Medische apparatuur wordt in toenemende mate met medische software en andere medische apparatuur gevormd tot medische systemen. De projecten en het beheer van deze medische systemen worden erg complex door de samenstelling uit vele componenten. Dit artikel geeft een voorbeeld van de methodiek gebruikt in het Leids Universitair Medisch Centrum om medische systemen efficiënt en veilig te kunnen introduceren en gebruiken. Daarvoor worden risico’s geclassificeerd, geïdentificeerd en geadresseerd via het risicomanagement proces.
Inleiding
De inzet van technologie tijdens de directe zorg van de patiënt groeit exponentieel. Al sinds jaren wordt medische apparatuur ingezet tijdens het zorgproces en sinds een aantal jaren komen daar in snel tempo informatiesystemen bij. Medische apparatuur wordt daarbovenop in toenemende mate gekoppeld aan het ICT netwerk om informatie vanuit de apparatuur in de informatiesystemen te kunnen opnemen of om monitorsignalen op afstand te kunnen bekijken. Door integratie van productfunctionaliteiten vervagen de klassieke grenzen tussen apparatuur, ICT en disposable en reusable medische hulpmiddelen en ontstaat één groot geheel. In het Leids Universitair Medisch Centrum (LUMC) is er een sterke toename van deze complexe medische systemen en de afhankelijkheid van deze systemen voor het primaire (zorg-)proces is hoog. Het LUMC hanteert de definitie: “Medisch Systeem: Medische apparatuur gekoppeld aan het IT netwerk en (eventuele) informatiesystemen.”
Het beheer van deze systemen is erg complex. Doordat de zorg sterk afhankelijk is van deze medische systemen is het belangrijk processen voor risicomanagement in te richten voor IT-netwerken met geïntegreerde medische apparatuur. Eerder werd het IT-netwerk louter voor kantoordoeleinden gebruikt. Nu wordt ditzelfde ziekenhuisnetwerk steeds vaker ingezet in het zorgproces.
In 2010 is de IEC80001-1 [1] verschenen waarin het belang van risicomanagement wordt beschreven en rollen, verantwoordelijkheden en acties voor risicomanagement worden gedefinieerd. De IEC80001-1 stelt dat het ziekenhuis de verantwoordelijkheid heeft voor het gehele systeem. Dit bestaat echter uit meerdere componenten die binnen en buiten het ziekenhuis onder beheer zijn bij verschillende partijen. Een verantwoordelijkheidsovereenkomst (responsibility agreement) biedt uitkomst, maar voor het ziekenhuis is het ook belangrijk om bijvoorbeeld storingsafhandeling via een duidelijke procesflow te borgen. Zo is het voor de gebruiker niet meer duidelijk waar in een complex systeem precies het probleem ligt. De gebruiker zou niet de keuze moeten hoeven maken welke ondersteunende afdeling te bellen en zou al helemaal niet direct de leveranciers moeten hoeven bellen bij een probleem.
Een ander probleem ontstaat echter al in een eerdere fase van de levenscyclus. Een medisch systeem wordt niet van de plank gekocht bij één leverancier en geïnstalleerd door deze leverancier. De projectfase is veel complexer omdat een extra stap wordt toegevoegd: het ontwerp van het systeem. Voor een medisch systeem worden vaak meerdere componenten van verschillende leveranciers “aan elkaar geknoopt” via het ziekenhuisnetwerk. De inrichting van het ziekenhuisnetwerk is vaak een gegeven, waardoor aan bepaalde aansluitvoorwaarden moet worden voldaan. In het geval van medische systemen kan dit wel eens anders liggen. Een multidisciplinaire groep dient zo vroeg mogelijk na te denken over het op te lossen probleem en de juiste, al dan niet technische, oplossing hiervoor. Ook dienen de risico’s onderkend te worden via een risicoanalyse en maatregelen bepaald te worden.
Eén van de oplossingen is een goede samenwerking tussen de ICT afdeling en de afdelingen verantwoordelijk voor medische techniek. Het LUMC is hier 5 jaar geleden mee begonnen door oprichting van de werkgroep MAIN: Medische Apparatuur in het IT-netwerk [2].In deze werkgroep wordt onder andere gezamenlijk beleid opgesteld voor de opname van medische apparatuur in het IT-netwerk, wordt gewerkt aan verbeterde samenwerking tijdens storingsafhandelingen en projecten, en worden risicoanalyses en investeringsaanvragen beoordeeld. Deze samenwerking heeft als doel de veilige introductie en gebruik van medische systemen in het LUMC. De IEC80001 serie is hiervoor een leidraad.
In het LUMC hebben we vervolgens in een gezamenlijk project (ICT, Medische Techniek en gebruikers) de belangrijkste risico’s van medische systemen bepaald en diverse tools ontwikkeld om in te zetten gedurende de levenscyclus van medische systemen. Dit artikel beschrijft de belangrijkste risico’s en geeft een overzicht van specifiek voor medische systemen aangepaste stappen in de levenscyclus.
Risico’s medische systemen
Het risicomanagement proces start met 3 stappen: het classificeren, identificeren en addresseren van de risico’s. Via de risicoclassificatie wordt een eerste indicatie gemaakt van het risiconiveau. Voor medische apparatuur en medische software wordt de Medical Device Directive classificatie gebruikt [3]. In het LUMC gebruiken we daarnaast een methode met 6 vragen voor de risicoclassificatie van dataverkeer [4]. Deze methode geeft via indeling in 4 klassen (0,I,II,III) aan in welke mate de zorg afhankelijk is van de beschikbaarheid van het dataverkeer.
Tijdens het project hebben we diverse risicoanalyses uitgevoerd als basis voor een overzicht van de belangrijkste risico’s van medische systemen. Via risicoanalyses worden de risico’s geïdentificeerd. Onderstaande top 7 is vastgesteld specifiek voor medische systemen.
- Onopgemerkt blijven van verstoringen in de keten
- Invloeden van buitenaf
- Afhankelijkheden in de keten
- Gebruikersfouten
- Informatie-overload
- Complexiteit versus doorlooptijd van storingen
- Infectiegevaar
De aard van medische systemen is de vorming van technische ketens. Indien in die keten een probleem ontstaat is het een groot risico als de gebruiker hier niet van weet en vertrouwd op het systeem (risico 1). Een ander groot risico is dat iets in de keten de andere componenten van de keten kan verstoren door de afhankelijkheden (risico 3). Hierdoor is ook de complexiteit van storingen een groot risico voor deze systemen (risico 6). Veel verschillende partijen hebben een verantwoordelijkheid in het systeem. Hierdoor bestaat de kans dat de gebruiker van het kastje naar de muur wordt gestuurd en de doorlooptijd van een storing erg lang is.
Medische apparatuur wordt niet alleen aan het IT-netwerk gekoppeld maar dit netwerk is ook vaak verbonden met de buitenwereld via internet. Daarom is belangrijk om te kijken naar invloeden van buitenaf (risico 2). Het gaat dan bijvoorbeeld om virussen, hacken en interferentie. Er zijn al diverse voorbeelden dat bijvoorbeeld pacemakers gehackt zouden kunnen worden [5,6]. Daarnaast kennen we de gevaren van interferentie van bijvoorbeeld magnetrons op het draadloze Wi-Fi (2,4 GHz).
Een door ECRI al lang onderkend risico is het risico van gebruikersfouten (risico 4) [7]. Dit geldt voor medische apparatuur en informatiesystemen, maar ook voor het systeem als geheel. Een ander erkend risico door ECRI is alarmmoeheid [7]. Door het toenemende aantal alarmen met hogere en lagere prioriteiten is het risico op een overvloed aan alarmen groot. Risico 5 beschrijft dit probleem, maar is breder opgezet door informatie-overload te benoemen. De arts en verpleegkundige krijgen zoveel informatie op zich af en er wordt zoveel informatie in de elektronische patiëntdossiers opgeslagen dat het correct filteren van informatie erg belangrijk wordt.
Een laatste risico (risico 7) uit de toplijst is toegevoegd omdat we erkennen dat we steeds meer elektronische ICT apparaten gebruiken in de directe zorgomgeving. Smartphones en andere ICT apparaten kunnen een gevaar vormen voor besmetting [8]. Hygiëne maatregelen zijn belangrijk in een ziekenhuisomgeving en daarom zullen ook deze ICT apparaten, die ingezet worden in de directe zorgomgeving, gereinigd moeten worden.
De bovenstaande risicolijst hebben we in het LUMC opgesteld vanuit uitgevoerde risicoanalyses met scoring van deze risico’s door een multidisciplinair team om de rangorde te bepalen. Het geeft aan welke risico’s wij op dit moment als meest belangrijk bestempelen, maar is niet volledig. Voor elk medisch systeem dient een risicoanalyse (een pragmatische Prospectieve Risico Inventarisatie of een gedetailleerde healthcare Failure Mode Effect Analysis) gedaan te worden om de risico’s te bepalen.
Levenscyclus Medische Systemen
Medische apparatuur kent een levenscyclus van 4 fasen:
- Beslissing tot inkoop apparatuur
- Inkoop en ingebruikname
- Gebruik en instandhouding
- Vervanging en verwijdering
Dezelfde fasen zijn van toepassing voor medische systemen, maar de invulling van deze fasen verschilt op een aantal punten. De grootste verschillen zijn weergegeven in onderstaande levenscyclus waar voor de gele stappen specifieke tools zijn ontwikkeld om tijdens die stappen hulp te bieden.
Fase 2 van de levenscyclus is uitgebreid door de ontwerpfase en risicoanalyses toe te voegen. Ook is belangrijk om tijdens deze fase het beheer zorgvuldig in te richten. De verantwoordelijkheden zullen benoemd moeten worden en daarbij is belangrijk de koppelvlakken ook te benoemen en beleggen. In het LUMC is een procedure opgesteld voor storingsafhandeling. De gebruiker heeft zo één telefoonnummer om zijn/haar probleem te melden en de ondersteunende afdelingen lossen het probleem, zo nodig gezamenlijk, achter de schermen op. Zo kan de gebruiker zich focusseren op de zorg voor de patiënt. Bij elke storing wordt een regiehouder (binnen de ICT of Medische techniek afdeling) benoemd die communiceert met de zorgafdeling en de leveranciers. Verantwoordelijkheden kunnen vastgelegd worden via een verantwoordelijkhedenovereenkomst (Responsibility Agreement, IEC80001-2-6 [9]) met behulp van een VERI-tabel.
Verantwoordelijkheden zijn ook belangrijk tijdens de projectfase. Daarom wordt in het Project Initiatie Document (Prince II: PID [10]) voor medische systemen een architect benoemd. Deze architect is vanuit het ziekenhuis verantwoordelijk voor een werkend systeem op het moment van vrijgave. De architect zal meestal een adviseur (bijvoorbeeld ICT architect, klinisch informaticus, klinisch fysicus) zijn vanuit de ICT afdeling of de Medische Techniek afdeling.
De eerder beschreven risicolijst is gebruikt om ontwerpregels (design rules) op te stellen voor medische systemen. Deze design rules worden gebruikt tijdens fase 2 van de levenscyclus waarin het ontwerp wordt gemaakt door de diverse interne partijen in het ziekenhuis en de leveranciers van de componenten van het systeem. De design rules geven input tijdens het opstellen van technische specificaties, het ontwerp, het herontwerp en de te nemen maatregelen. Ze zijn derhalve een manier om de risico’s te adresseren. De belangrijkste overkoepelende design rule is: “Alleen nieuwe technologie in een hoogrisico medisch systeem op een kritische afdeling als een risicoanalyse is gedaan, een fallback scenario is geïncludeerd en zo nodig (vanuit de risicoanalyse) dit systeem is getest in een representatieve testomgeving.” Andere voorbeelden van design rules zijn ketenbewaking van hoogrisico medische systemen, beheer volgens LUMC protocol voor storingen/calamiteiten, uitvoeren van de risicoanalyse via de ontwikkelde templates van een pragmatische PRI of gedetailleerde hFMEA Medische Systemen en een ontwerpdossier per medisch systeem met onder andere een plaat van de architectuur van het systeem, de uitkomst van de risicoclassificatie dataverkeer en de uitgevoerde risicoanalyses.
De ontwikkelde methodiek helpt ons in het LUMC tijdens de projectfase en de gebruiksfase van Medische Systemen. Het bevat handvaten voor de verschillende stappen en zorgt ervoor dat cruciale stappen niet worden vergeten. Daarnaast biedt het duidelijkheid in de samenwerking van veel verschillende interne en externe partijen. Natuurlijk is het slechts een hulpmiddel en zal per medisch systeem altijd gekeken moeten worden door multidisciplinaire teams of alle relevante zaken behandeld zijn en een risicoanalyse in de verschillende stadia van de levenscyclus is cruciaal.
Referenties
[1] IEC80001-1: 2010; Application of risk management for IT-networks incorporating medical devices Part 1: Roles, responsibilities and activities
[2] VMS zorg praktijkvoorbeeld “Samenwerking bij Medische Apparatuur in het IT-netwerk”: http://www.vmszorg.nl/_page/vms_inline?nodeid=22293&subjectid=22200
[3] European Commission DG Health and Consumers: Medical Devices: Directive 93/42/EEC
[4] Dagmar Rosenbrand et al.; Risk Classification of Data Transfer in Medical Systems; 34th International Conference SAFECOMP 2015 (september 2015)
[5] http://www.volkskrant.nl/dossier-archief/hoe-hackers-ons-in-het-hart-raken~a3537587/
[6] Jeroen Slobbe; Cyber security van netwerk verbonden Medische Apparatuur in Nederland 2015 – Risico’s en good practices voor een weerbare zorgsector; Deloitte
[7] ECRI Top 10 Health Technology Hazards 2015
[8] http://mens-en-gezondheid.infonu.nl/diversen/150353-smartphones-wemelen-van-bacterien.html en http://www.nu.nl/gezondheid/3639126/smartphone-arts-bron-van-ziekenhuisinfecties.html
[9] ISO/TR 80001-2-6: 2014; Application of risk management for IT-networks incorporating medical devices Part 2-6 Guidance for responsibility agreements
[10] Mark van Onna en Ans Koning; De kleine Prince 2 – Gids voor projectmanagement