von Dipl.-Ing. Armin Gärtner

Teleneurologie stellt ein Verfahren dar, mit Informations- und Kommunikationstechniken (IuK) die medizinische Behandlung von neurologischen Patienten in räumlich entfernten Standorten zu verbessern. Patienten mit Verdacht auf Schlaganfall o. a. können in kleineren Krankenhäusern, die keine eigene Neurologie haben, über eine für die Medizintechnik adaptierte Videokonferenztechnologie durch einen Teleneurologen eines neurologischen Zentrums betreut werden, der seinen internistischen Kollegen vor Ort konsiliarisch unterstützt. Da die für die Teleneurologie eingesetzten Komponenten definitionsgemäß Medizinprodukte darstellen, werden nachfolgend Sicherheitsstandards gemäß dem Medizinproduktegesetz und der einschlägigen Normen unter Berücksichtigung der 3. Edition der IEC 601-1 für die Teleneurologie aus technischer Sicht vorgestellt.

1. Zielsetzung des Medizinproduktegesetzes (MPG)

Das MPG regelt die Entwicklung, Herstellung, das Inverkehrbringen und den Betrieb von Medizinprodukten. Mit diesen Regelungen verfolgt das Gesetz die Zielsetzung, für die Sicherheit, Eignung und Leistung der Medizinprodukte sowie für die Sicherheit und den erforderlichen Schutz der Patienten, Anwender und Dritter zu sorgen.

Der Regelungsbereich des MPG umfasst jede Art von Medizinprodukten, mechanische, ebenso wie elektrische und betrifft daher nicht nur Röntgengeräte, Infusionsapparate, sondern auch Software, Produkte der Dentalmedizin wie Behandlungsstühle u. a. m. Im MPG heisst es nämlich: „ Medizinprodukte sind alle einzeln oder miteinander verbunden verwendete Instrumente, Apparate, Vorrichtungen, Stoffe und Zubereitungen aus Stoffen oder andere Gegenstände, einschließlich der für ein einwandfreies Funktionieren des Medizinproduktes eingesetzten Software, die bestimmungsgemäß vom Hersteller für die Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten, Verletzungen usw. bestimmt sind...“.

Dies bedeutet, dass auch telemedizinische Geräte und Anlagen und die dafür erforderlichen technischen Komponenten der Videokonferenztechnik mitsamt der Übertragungsstrecke unter die Anforderungen des Medizinproduktegesetzes fallen.

Ein Hersteller eines Telemedizinsystems, wie  z.B. für die Teleneurologie, muss daher

• die medizinische Zweckbestimmung nach § 3 Abs. 10 MPG festlegen

• die Risikoklassifizierung und das Risikomanagement (DIN EN 14971) durchführen und

• die grundlegenden Anforderungen (MDD, Anh. I) vollständig erfüllen und

• das Konformitätsbewertungsverfahren vornehmen

Diese Teilprozesse stellen die Voraussetzung dar, dass der Hersteller eines Medizinproduktes die Konformität eines Medizinproduktes mit der zutreffenden Richtlinie wie MDD 93/42 EWG (Medical Device Directive) nachweist und erklärt (Konformitätserklärung).

Die Anforderungen an Medizinprodukte im Sinne des MPG gehen weit über die Anforderungen an medizinisch-technische Geräte hinaus, wie sie in den Normen (DIN EN 60601-1, DIN EN 60601-1-1, DIN EN 60601-2-X u. a.) beschrieben werden. Die im Amtsblatt der EG veröffentlichten, harmonisierten Normen gelten als sog. „Regeln der Technik“ und werden herangezogen, um die Übereinstimmung mit dem Stand der Technik und den jeweils zutreffenden grundlegenden Anforderungen aus den Anhängen der europäischen Richtlinien nachzuweisen. Die Normen behandeln z. B. die konstruktiven Anforderungen an mechanische und elektrische Sicherheit, an die Ergonomie, die EMV-Verträglichkeit und weitere Sicherheitskriterien für (medizin-)technische Geräte.

Für Medizinprodukte gilt aber nicht nur das MPG, sondern es müssen auch die Vorschriften des Atomgesetzes, der Strahlenschutzverordnung, der Röntgenverordnung und des Strahlenschutzvorsorgegesetzes, des Chemikaliengesetzes, der Gefahrstoffverordnung sowie die Rechtsvorschriften über Geheimhaltung und Datenschutz u. a. zusätzlich beachtet und eingehalten werden.

2. Teleneurologie

Die Teleneurologie wird für die neurologische Akutexpertise, bei diffizilerem neurologischen Untersuchungsstatus, insbesondere im Bereich der Hirnstammsymptomatik und Differentialdiagnostik eingesetzt.

Ein weiteres Einsatzgebiet beinhaltet die systemische Fibrinolyse vor Ort, bei der ein Internist und Neurologe erforderlich sind.

Die Teleneurologie stellt gemäß Bild 1 ein Verfahren dar, bei der eine Video-Konferenzschaltung zwischen dem untersuchenden Arzt, dem Patienten und dem räumlich entfernten Diagnostiker geschaltet wird, um Video- und Tonaufnahmen zwischen den Beteiligten zu übertragen. Der Teleneurologe fordert beispielsweise den Patienten zu bestimmten Reaktionen auf, beobachtet die Pupillenmotorik und kann den untersuchenden Arzt bei der Diagnose beraten, indem ein mobiles Telemedizinsystem (auch als fahrbare Untersuchungseinheit oder fahrbarer Videowagen bezeichnet) mit spezieller Kamera und Mikrofon sowie den erforderlichen Flachbildschirmen, Computern, Software und Netzwerkanschluss dazu eingesetzt wird.

Bild 2 zeigt ein mobiles Telemedizinsystem, das als fahrbarer Gerätewagen an das Bett des Patienten gerollt werden kann, um Video- und Tonaufnahmen sowohl des Patienten als auch des untersuchenden Arztes, über eine Breitbandleitung an ein räumlich entferntes neurologisches Zentrum zu schicken, wo ein Teleneurologe an einem speziellen Arbeitsplatz gemäß Bild 3 über die eingesetzte Kommunikationstechnik mit dem Patienten und seinem Kollegen vor Ort kommunizieren kann. Das in Bild 2 gezeigte System ist als Medizinprodukt der Risikoklasse 1 zuzuordnen und wird als ein Medizinprodukte-System in Verkehr gebracht.

Ein telemedizinisches System, wie es in den Bildern 1 - 3 abgebildet ist, stellt also ein System gemäß § 10 Abs. 2 MPG dar. Es kann aus Medizinprodukten und „Nicht“-Medizinprodukten zusammengesetzt sein und schließt zudem eine Breitbandverbindung zwischen räumlich entfernten Standorten ein. Hinter diesem System verbirgt sich eine Videokonferenztechnologie, die speziell für die Medizin(-technik) adaptiert und als Ganzes als ein „Medizinprodukt“ in Verkehr gebracht wird. Damit fällt das System incl. aller Komponenten auch unter die Betreiberverordnung, die in § 2 Abs. 1 fordert, „...dass Medizinprodukte nur nach ihrer Zweckbestimmung entsprechend, nach den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden dürfen“. Damit hat der Betreiber u.a. die Normen 60601-1 und 60601-1-1 bzw. VDE 0751  bezüglich der elektrischen Sicherheit zu beachten und einzuhalten.

Bild 3 zeigt einen beispielhaften Arbeitsplatz, an dem der Teleneurologe im Anrufsfall sitzt und über die Verbindung den Patienten bzw. seinen internistischen Kollegen vor Ort sehen und sprechen kann.

3. Formalrechtliche Sicherheit

Telemedizin aus Sicht des MPG und der Betreiberverordnung

Alle Formen telemedizinischer Anwendungen fallen unter die Anforderungen des Medizinproduktegesetzes, wenn mit ihrer Hilfe Diagnose und Therapie unterstützt werden (Telekonsultation, Second Opinion, Befundung usw.). Bild 4 zeigt graphisch, wie ein System zwischen verschiedenen Häusern funktioniert.

Bild 2 zeigt ein Produkt der Risikoklasse 1 (Medizinproduktesystem) als mobilen Gerätewagen. Kommerzielle Lösungen werden in der Regel als ein Medizinprodukt der Klasse I gemäß der Richtlinie MDD 93/42/EWG ausgeführt, da sie weder unmittelbar am noch in physikalischem Kontakt mit dem Patienten betrieben werden. Sie stellen ein technisches System dar zur Unterstützung bei der diagnostischen Arbeit sowie der Inanspruchnahme von Konsiliar-Leistungen anderer involvierter Ärzte und Kliniken. Die mobilen Systeme werden meist in die unmittelbare Patientenumgebung (entspr. DIN EN 60601-1-1) gerollt und müssen demnach die daraus resultierenden Sicherheitsanforderungen erfüllen.

Bei der Teleneurologie wird aus Sicht des Medizinproduktegesetzes eine netzwerkgestützte Verbindung zwischen räumlich entfernt liegenden Krankenhäusern aufgebaut. Ein Hersteller kommerzieller Systeme muss daher im Rahmen der Zulassung auch die Risikobewertung für die Netzwerkverbindung durchführen, indem er analysiert und bewertet, welche Risiken entstehen können und wie der Nutzer/Betreiber z. B. bei einem plötzlichen Zusammenbruch der Netzwerkverbindung möglichen Schaden vom Patienten abwehrt.

Die nach § 3 Abs. 10 MPG vorgeschriebene Zweckbestimmung kann beispielsweise lauten:

Das System ist ein mobiles Telediagnosesystem und dient als Hilfsmittel zur Unterstützung bei der diagnostischen Arbeit sowie der Inanspruchnahme konsiliarer Leistungen anderer involvierter Ärzte und Kliniken.

Die Risikobewertung bei der Unterbrechung der Verbindung bzw. des Netzwerkes kann beispielsweise lauten:

• Handlungen bei Ausfall des Systems bzw. Ausfall von Teilen des Systems

• Eine Verbindung kommt nicht zustande, eine Verbindung bricht ab. Die konsiliarische Unterstützung ist nicht möglich, neue Verbindungsherstellung, ggf. zu einem anderen Standort.

• Bild fällt aus, Weiterführung des Konsils nur mit der Sprachverbindung.

• Bild und Ton fällt aus, neue Verbindungsaufnahme.

• Ton fällt aus, neue Verbindungsaufnahme.

• Bilddateien sind nicht abrufbar, Senden und/oder Empfangen gestört, Datensatz neu auswählen und abrufen/senden.

• Totalausfall: Das System schränkt die selbstverantwortliche Handlungsfähigkeit des Arztes vor Ort nicht ein.

• Der Arzt, der sich beim Patienten befindet, entscheidet eigenverantwortlich über den weiteren Fortgang der Untersuchung. Ggf. ist eine andere, alternative Kommunikationsverbindung herzustellen oder eine Verlegung des Patienten vorzunehmen. Die Auswertung der aus anderen Modalitäten gewonnen Bilder ist am Erzeugungs- und/oder Speicherort vorzunehmen. Die Ergebnisse sind dem behandelnden Arzt mitzuteilen.

In-Haus-Herstellung (neu Eigenherstellung) nach § 12 MPG

Stellt ein Betreiber selber eine telemedizinische Verbindung aus handelsüblichen Komponenten her, mit der er Diagnose und Befundung unterstützt oder sogar durchführt, so erstellt er in Form der Eigenherstellung nach § 12 MPG ein System her und muss dafür ein vereinfachtes Konformitätsbewertungsverfahren durchführen und nachweisen. Eine Eingenherstellung liegt immer dann vor, wenn ein Betreiber selber ein Produkt oder System erstellt, das für Diagnose und/oder Therapie eingesetzt wird. Der Gesetzgeber hat im 3. MPG-Änderungsgesetz die Eigenherstellung von Medizinprodukten geregelt. Danach gilt der § 12 nur für die Geräte und Systeme, die am Betriebsort erstellt wurden und auch nur dort eingesetzt werden. Das heißt aber, dass sowohl der Hersteller als auch der Betreiber diese Geräte und Systeme bestimmungsgemäß nicht im europäischen Binnenmarkt in Verkehr bringen und auch nicht an Dritte abgeben darf. Ein vereinfachtes Konformitätsbewertungsverfahren bedeutet, dass der Betreiber keine Konformitätserklärung zu erstellen und keine benannte Prüfstelle (Notified Body) einzuschalten braucht, wohl aber die Einhaltung der grundlegenden Anforderungen incl. der klinischen Bewertung, des Risikomanagements und der Dokumentationsanforderungen nachweisen können muss. 

Auf Grund der Beschränkung der Eigenherstellung auf den Betriebsort kann daher ein Betreiber selber kein Telemedizin-System in Form der Eigenherstellung herstellen, weil er ja immer eine Verbindung zwischen der eigentlichen Betriebsstätte (Krankenhaus I) und einem zweiten Standort (Krankenhaus II, außerhalb seines Standortes) herstellen muss. Und das ist dann keine In-Haus-Herstellung mehr. Das bedeutet, dass das Verfahren der vereinfachten Konformitätsbewertung dann nicht angewendet werden kann.

Eine Eigenherstellung eines Telemedizin-Systems im Sinne des MPG kann es also immer nur zwischen verschiedenen Gebäuden an ein und demselben Standort geben.

(Hinweis: Im Entwurf des 3. MPG-Änderungsgesetzes vom September 2005 wird die bisherige Regelung der In-Haus-Herstellung noch weiter eingeschränkt bzw. modifiziert.)

Medizinproduktebetreiberverordnung (MPBetreibV)

Die Medizinproduktebetreiberverordnung regelt das Errichten, Betreiben, Anwenden und Instandhalten von Medizinprodukten nach § 3 des Medizinproduktegesetzes. Darunter fallen z. B. auch alle Röntgengeräte, die dazu gehörenden Komponenten für Befundung und Verteilung von digitalen Bildern, wie Befundworkstations, PACS-Systeme usw. 

Telemedizinische Systeme fallen gemäß ihrer Zweckbestimmung als Medizinprodukt unter die Betreiberverordnung. Damit gelten für ein telemedizinisches System – wie in den Bildern 1, 2 und 3 am Beispiel der Teleneurologie gezeigt - sämtliche Anforderungen der Betreiberverordnung bezüglich Bestandsverzeichnis, Inbetriebnahmeformalitäten, Dokumentation, Einweisung und Instandhaltung. Dies betrifft sowohl das fahrbare telemedizinische System auf der Sendeseite, als auch die Komponenten auf der Empfängerseite in Form des teleneurologischen Arbeitsplatzes.

4. Technische Sicherheit

Elektrische Sicherheit eines mobilen Teleneurologie-Systems

Eine mobile, teleneurologische Untersuchungseinheit (siehe Bild 2) unterstützt Diagnose und Therapie, stellt ein System aus verschiedenen Komponenten dar und wird somit als Medizinprodukte-System nach dem Medizinproduktegesetz in Verkehr gebracht.

Ein solches System muss u.a. die Anforderungen der DIN EN 60601-1-2 (Allgemeine Festlegungen für die Sicherheit - Ergänzungsnorm: Elektromagnetische Verträglichkeit - Anforderungen und Prüfungen) und der Norm EN 55011 1997: (Grenzwerte und Messverfahren für Funkentstörung von industriellen, wissenschaftlichen und medizinischen Hochfrequenzgeräten (ISM-Geräten) Class A) erfüllen. Da eine solche mobile Einheit in die sog. „Patientenumgebung“ (nach DIN EN 60601-1-1 bzw. DIN EN 60601-1, 3. Edition) hineingefahren wird (Umkreis von 1,5 Meter um das Bett bzw. Patientenstuhl), muss sie über einen Trenntransformator zur Begrenzung der Ableitströme und eine galvanische Trennung der Verbindungen an das Krankenhausnetzwerk verfügen, wenn nichtmedizintechnische Komponenten wie PC, Monitore usw. integriert sind.

Ein mobiles Telemedizinsystem gemäß Bild 2 stellt aus Sicht der Norm DIN EN 60601-1 ein medizinisches elektrisches System (MES) dar, da es aus verschiedenen Komponenten wie PC, Software u. a. zu einem System zusammengesetzt wird. Damit muss der fahrbare Untersuchungswagen u. a. den Anforderungen an die elektrische Sicherheit nach DIN EN 60601-1 entsprechen.

Aus Sicht der bisherigen Norm DIN EN 60601-1-4 und der neuen IEC 601-1 bzw. der zukünftigen DIN EN 60601-1 (3. Ausgabe) wird ein solches System als PEMS bezeichnet (Programmierbares Elektrisches Medizinisches System).

Eine derartige Untersuchungseinheit wird mit Netzspannung 230 V betrieben und ist in Schutzklasse 1 ausgeführt. Wenn der mobile Aufnahmewagen in die Patientenumgebung gefahren wird, muss das Medizinprodukt „mobiler Aufnahmewagen“  folgende Sicherheitsanforderungen der Normen erfüllen:

• Begrenzung des zulässigen Ableitstromes

• Einbeziehung in den sog. Zusätzlichen Potenzialausgleich

DIN EN 60601-1 (3. Ausgabe) definiert die sogenannte Patientenumgebung als Umkreis von 1,5 m um den Patienten, innerhalb dessen ein System, bestehend aus medizinisch-technischen und nichtmedizinisch-technischen Komponenten, wie ein zusammenhängendes, medizinisch-technisches Gerät angesehen wird. Das medizinisch-technische System darf im Normalfall einen Ableitstrom von bis zu 0,5 mA (n.c. = normal condition) und im ersten Fehlerfall (s.f.c. = single fault condition) von max. 1 mA nicht überschreiten.

Das fahrbare Telemedizinsystem besteht aus verschiedenen Komponenten, wie Monitor, Rechner, Videokamera, Mikrofon und Verstärker, Lautsprecher sowie die entsprechende Software (Konferenzsoftware, Betriebssystem usw.). Als Rechner wird in der mobilen Einheit gemäß Bild 6 ein so genannter Medical-PC eingesetzt, der nach DIN EN 60601-1 gebaut ist, die zulässigen Ableitströme nach Norm einhält, über einen Potenzialausgleichsbolzen verfügt und für den Einsatz im unmittelbaren Patientenumfeld bestimmt und geeignet ist.

Die Einhaltung dieser Anforderungen, wie in der Systemnorm DIN EN 60601-1-1 beschrieben, ist eine der Grundlagen für das Konformitätsbewertungsverfahren des Systems.

Bild 6 zeigt auch, dass die Verbindung zwischen der mobilen Untersuchungseinheit und der Netzwerkverbindung galvanisch getrennt sein muss, damit über die Netzwerkverbindung keine Stör- oder Ausgleichsströme, die z.B. über metallische Leiter oder Abschirmungen fließen können, auf die Untersuchungseinheit und somit in den Patientenbereich gelangen können.

Zusätzlicher Potenzialausgleich

Da das Gehäuse der mobilen Einheit aus berührbaren, leitfähigen Teilen (Metall) usw. besteht, müssen sämtliche Teile und Geräte des Wagens, sofern sie in Schutzklasse 1 ausgeführt sind und über berührbare, leitfähige Gehäuseteile verfügen, mit einem zusätzlichen Potenzialausgleich versehen werden und in den Gesamt-Potenzialausgleich einbezogen sein. Folgerichtig muss die mobile Einheit über einen zentralen Potenzialausgleichsbolzen verfügen, über den der Betreiber die mobile Einheit im Betrieb über eine zusätzliche Potenzialausgleichsleitung mit dem Potenzialausgleich des Raumes anschließen muss.

Der zusätzliche Potenzialausgleich dient dazu, mögliche Potenzialunterschiede zwischen verschiedenen, leitfähigen Teilen eines Systems innerhalb der Patientenumgebung zu begrenzen. Er stellt somit eine Sicherheitsphilosophie dar, die vorbeugend Spannungsunterschiede bzw. –differenzen zwischen leitfähigen Gebilden als treibende Kraft für Ausgleichsströme mit Gefährdungspotenzial für Patient und Anwender zu verhindern weiss.

Auch wenn die in Bild 2 gezeigte mobile Untersuchungseinheit bestimmungsgemäß keine Verbindung mit dem Patienten hat, besteht doch die Möglichkeit der Berührung durch den Patienten und/oder den Arzt oder Pflegepersonal.

Galvanische Netzwerktrennung

Da die mobile Einheit gemäß Zweckbestimmung dafür vorgesehen ist, Daten zu senden und zu übertragen, muss eine galvanische Trennung gemäß Bild 8 zwischen der Sendeeinheit und dem Krankenhaus-Netzwerk vorhanden sein, damit keine Streuströme oder sonstige vagabundierende Ströme aus dem Netzwerk über das Netzwerkkabel auf die fahrbare Einheit fließen können.

Raumgruppe nach VDE 0100 Teil 710

VDE 0100 Teil 710: 2002.11.01 „Errichten von Niederspannungsanlagen, Medizinisch genutzte Bereiche“ beinhaltet die Anforderungen an die Spannungsversorgung in Krankenhäusern und anderen Einrichtungen des Gesundheitswesens. Sie definiert medizinisch genutzte Bereiche und unterteilt sie, je nach Anwendungsbereich, in die Raumgruppen 0, 1, und 2. Fahrbare teleneurologische Untersuchungseinheiten werden sowohl in Raumgruppe 1 (Ambulanzräume), als auch in Raumgruppe 2 (Intensivstation usw.) eingesetzt.

Röntgenverordnung

Die bei Schlaganfallpatienten aufgenommenen CT-Bilder werden nach Befundung durch einen Radiologen im Bedarfsfall dem Teleneurologen über eine entsprechende Leitung mit entsprechender Bandbreite zur Verfügung gestellt, da in der Regel befundete Bilder in DICOM-Qualität übersandt werden. Da der Teleneurologe keine Befundung radiologischer Bilder vornimmt, sondern Bild und Befund von einem Radiologen erhält, stellt die Verbindung zwischen dem befundenden Radiologen und dem Teleneurologen keine genehmigungspflichtige Teleradiologie-Verbindung im Sinne der Röntgenverordnung dar.

5. DIN EN 60601-1  (3. Ausgabe) und Telemedizin

Die seit 12/2005 als IEC-Fassung vorliegende Norm beschäftigt sich auch mit der Anbindung von Medizinprodukten an Netzwerke wie eine bildgebende Modalität an ein PACS-System. Die Norm ist Juli 2007 als DIN EN Norm in Kraft getreten.

Eine Norm hat für einen Betreiber primär keine normative oder gesetzliche Verpflichtung. Normen stellen Regeln der Technik dar, auf die man Bezug nimmt bzw. die man verwendet. Normen entstehen in einem teilweise langwierigen und aufwändigen Abstimmungsprozess und regeln bzw. normieren auch nur generelle, grundsätzliche Anforderungen. Auf Grund dieser zeitlichen Prozesse können Normen normalerweise nicht den (aktuellen) Stand der Technik darstellen.

Die Verpflichtung, den Stand der Technik, wie z.B. die DIN EN 60601-1 und andere Normen im Bereich der Medizintechnik zu beachten, einzuhalten und umzusetzen, ergibt sich aus dem Medizinproduktegesetz (MPG §8) und der Medizinprodukte-betreiberverordnung (MPBetreibV). Die auf dem MPG basierende MPBetreibV. beschreibt im § 2 Abs. 1 (Allgemeine Anforderungen) folgende Verpflichtung:

§ 2 (1) „Medizinprodukte dürfen nur ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik (Normen) sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden“.

Über diesen Paragraphen ergibt sich die Verknüpfung zwischen Medizinproduktegesetz und Normen, d. h. das gilt also auch für die 3. Edition der DIN EN 60601-1 mit ihren Anforderungen für die Telemedizin.

Die 3. Edition wurde über die letzten 5 Jahre (seit ca. 2000) bearbeitet: Explizite Beschreibungen, Anforderungen und Regelungen bezüglich Telemedizin finden sich naturgemäß nicht in dieser Norm, weil eine Norm zum einen immer nur generelle Anforderungen regelt und zum anderen zum Zeitpunkt der Fertigstellung des Normentwurfes die Telemedizin (noch) nicht im Fokus dieser Norm war und ist.

Die 3. Edition der IEC 601-1 ist im Juli 2007 als  DIN EN Norm in Kraft getreten und hat die bisherige 2. Ausgabe ablösen. Die derzeitige Bezeichnung (Oktober 2006) lautet:

DIN EN 601-1 (VDE 0750 Teil 1) Medizinische elektrische Geräte Teil 1: Allgemeine Festlegungen für die Sicherheit einschließlich der wesentlichen Leistungsmerkmale (als IEC 601-1 bereits 2005 verabschiedet)

Die neue 3. Ausgabe hat auch Auswirkungen auf die Telemedizin. Kapitel 14.13 der Norm beschäftigt sich mit der Verbindung zwischen einem Programmierbaren, Elektrischen Medizinischen System (PEMS) und anderen Geräten durch Netzwerk bzw. Datenverbund.

Eine telemedizinische Verbindung (Teleneurologie) stellt eine derartige Verbindung her, wie sie DIN EN 60601-1 in Abschnitt 14.13 beschreibt.

Dieser Abschnitt der Norm definiert, welche Informationen ein Hersteller/Lieferant in seinen technischen Beschreibungen für einen Betreiber mitliefern muss, wenn ein PEMS durch ein Netzwerk bzw. Datenverbund mit anderen Geräten verbunden wird, die außerhalb der Verantwortung des PEMS-Herstellers liegen.

Folgende Informationen müssen in der technischen Beschreibung enthalten sein:

&nb

• Der Hersteller muss die Merkmale des Netzwerkes bzw. des Datenverbundes spezifizieren, die das PEMS benötigt, um seinen bestimmungsgemäßen Gebrauch zu erzielen bzw. die Zweckbestimmung nach § 3 Abs. 10 MPG zu erfüllen.

• Der Hersteller muss alle möglichen Gefährdungen auflisten, die daraus resultieren, dass das Netzwerk bzw. der Datenverbund nicht in der Lage ist, die spezifizierten Merkmale zu liefern.

Die Norm verlangt, dass der Hersteller die verantwortliche Organisation, d. h. den Betreiber (Krankenhaus, Arztpraxis), in der technischen Beschreibung auf folgende Risiken hinweist:

• Die Verbindung eines PEMS mit einem Netzwerk bzw. Datenverbund, das andere Geräte einschließt, kann zu vorher unerkannten Risiken für den Patienten, Bediener oder Dritte führen.

• Der Betreiber (Krankenhaus, Arztpraxis) sollte diese Risiken bestimmen, analysieren, bewerten und beherrschen. (Das geeignete Instrument dazu stellt das Risikomanagement nach DIN EN 14971 dar, wie es in Kapitel 5.3 beschrieben ist).

Der Betreiber muss darauf hingewiesen werden, dass nachfolgende Änderungen am Netzwerk bzw. Datenverbund zu neuen Risiken führen könnten und daher neue Analysen erfordern.

Änderungen am Netzwerk bzw. Datenverbund können folgende Maßnahmen umfassen:

• Anschließen zusätzlicher Geräte an das Netzwerk bzw. den Datenverbund

• Entfernen von Geräten aus dem Netzwerk bzw. Datenverbund

• Geräte, die mit dem Netzwerk bzw. Datenverbund verbunden sind, sind auf den neuesten Stand zu bringen

•  Verbesserungen von Geräten, die mit dem Netzwerk bzw. Datenverbund verbunden sind.

Welche Auswirkungen und Bedeutungen haben nun diese Anforderungen der 3. Edition auf Telemedizin und Betreiber?

Eine Trennung zwischen Medizintechnik (Medizinprodukt) und IT-Technik (Netzwerk bzw. zentrale Datenspeicherung auf einem Server) ist funktional und technisch nicht mehr möglich. Die Norm definiert die als Teil des Netzwerkes bzw. Datenverbundes übertragene Information als diejenige, die vom Hersteller für die Übertragung bestimmt ist.

5.1 Verantwortung für die Systemintegration

Der Betreiber von ME-Geräten und ME-Systemen (ME = medizinisch-elektrische), wie telemedizinische Anwendungen, muss einen so genannten Systemintegrator benennen, der sich verantwortlich um die Aufgabenstellungen kümmert, die aus der Norm heraus resultieren. Die Norm begründet diese Forderung damit, dass auch ME Geräte eingesetzt werden, die primär nicht dafür entwickelt wurden, mit anderen ME-Geräten oder ME-Systemen zusammenzuarbeiten. Daher fordert die Norm eine Position als Systemintegrator, in der Praxis auch als Systemadministrator bezeichnet, der dafür verantwortlich ist, dass alle einzelnen ME-Geräte auch in einem integrierten System zufriedenstellend zusammenarbeiten.

Der Systemintegrator muss folgende Aufgaben wahrnehmen und Kenntnisse aufweisen:

• Wie soll das integrierte System genutzt werden?

•  Wie lauten die Anforderungen an die Leistung des integrierten Systems?

•  Wie soll die geplante Systemkonfiguration aussehen?

• Welche Einschränkungen bestehen bei der Erweiterbarkeit des Systems?

• Unterlagen über die Spezifikationen aller ME-Geräte und anderer zu integrierender Geräte

• Welche Leistungsfähigkeit weisen jedes ME-Gerät und andere Geräte auf?

•  Wie verläuft der Informationsfluss innerhalb und um das System?

Hersteller können normalerweise die Aufgabe eines Systemintegrators im Krankenhaus nicht übernehmen, da sie nicht über die vollständigen Informationen und Angaben verfügen, die vorher aufgeführt wurden. Die Norm begrenzt die Verantwortung eines Herstellers auf die Lieferung der geforderten Informationen über sein Gerät; sie kann auch nicht zwischen verschiedenen Herstellern aufgeteilt werden. Ein Betreiber wie ein Krankenhaus oder eine Arztpraxis kann natürlich einen Hersteller oder möglicherweise sogar einen Dienstleister beauftragen, ihr System zu integrieren. In diesem Fall wird das gesamte System zu einem ME-System, aus dem die Verantwortung des Herstellers oder Dienstleisters abzuleiten ist, ein korrekt integriertes System zu erstellen.

Der Systemintegrator sollte über die Kompetenz und Erfahrung verfügen, um Gefährdungen zu benennen und zu bewerten, die aller Wahrscheinlichkeit nach aus der Integration eines Systems resultieren und um sicherzustellen, dass verbleibende, mögliche (Rest-)Risiken beim Betrieb des Systems erkannt werden.

Dies bedeutet für die Aufgabenstellung eines Systemintegrators, dass er

• die Integration aller ME-Geräte oder ME-Systeme und nichtmedizinischer Geräte in Übereinstimmung mit den Anweisungen der verschiedenen Hersteller planen muss,

• das Risikomanagement am integrierten System durchführen muss

• und alle Herstellerinformationen an den Betreiber, d. h. das Krankenhaus oder die Arztpraxis weiterleitet, bei denen diese für einen sicheren Betrieb des integrierten Systems benötigt werden.

Die Norm fordert, dass derartige Herstellerinformationen auch Hinweise und Warnungen über Gefährdungen enthalten, die durch Konfigurationsänderungen (Upgrades, Updates) entstehen können. Dies setzt voraus, dass Hersteller alle Informationen über Software-Updates und –Upgrades, aber auch Hardwareänderungen dem benannten Systemintegrator mitteilen.

Der Betreiber sollte idealerweise eine komplette Dokumentation über netzwerkgebundene Systeme, so also auch telemedizinische Systeme, anlegen und Änderungen (technische Änderungen, Softwareänderungen, Upgrades usw.) entsprechend dokumentieren bzw. zu aktualisieren.

Der Systemintegrator muss für diese Aufgabe die Risikomanagementnorm DIN EN 14971 kennen und anwenden können.

5.2 Überlegungen für den Aufbau eines Netzwerkes bzw. Datenverbundes mit Risikomanagement nach DIN EN 14971

Die Norm führt aus, dass aus Sicht eines Herstellers eines PEMS jede Art von Netzwerk bzw. Datenverbund eine Quelle von zusätzlichen Ursachen für Gefährdungen darstellt. Im Umkehrschluss bedeutet dies, dass kein Netzwerk bzw. Datenverbund außerhalb der Kontrolle des Herstellers als zuverlässig angesehen werden kann.

Folgende mögliche Gefährdungsursachen in einem Netzwerk bzw. Datenverbund können auftreten:

• Datenverlust

• ngeeigneter Datenaustausch

• Datenkorruption

• ungeeignete zeitliche Datenzuordnung

• unerwarteter Datenempfang

• nichtautorisierter Zugang zu Daten

• destruktive Daten.

Beispiele für ME-Geräte und ME-Systeme im Netzwerk und Datenverbund:

• Modalitätenanbindung über Netzwerk an PACS und WEB-gestützte elektronische Bildverteilung gemäß Bild 9

• Servergestützte Datenbank für Langzeit-EKG-Geräte

• Telemedizinische Anwendungen

• WLAN-Anbindung von Patientenmonitoren

•  u. a.

Anhang A der DIN EN 14971 beinhaltet Fragen zur Feststellung von Eigenschaften eines Medizinproduktes, die Auswirkungen auf die Sicherheit haben können. Die Anwendung dieses Anhangs auf Ursachen und Gefährdungen von Netzwerken und Datenverbund sollte zumindest nach DIN EN 60601-1 u. a. folgende Überlegungen bzw. Gefährdungsursachen und -potenziale beinhalten und berücksichtigen:

•  Teleservice und Telemedizin mit externem Zugang zum internen Netzwerk bzw. Datenverbund eines Betreibers (Krankenhaus o. a.)

• Remote Service von Modalitäten-Herstellern

• Verträglichkeit der Betriebssysteme

• Änderungen und Upgrade der Software (Betriebssystem, Applikationen usw.)

• Auswirkungen und Konsequenzen von Patchmanagement

• Schnittstellenmanagement (Beispiel Unverträglichkeit von 10 MB Netzwerk-karten mit einem 100 MB Ethernet Netzwerk o. a.)

•  Verbindungen (Modifikation der Hardware, Netzwerkstecker)

•  Protokolle wie DICOM, HL7 im Netzwerk bzw. Datenverbund

• Paketadressstruktur und Bandbreite

• Heterogene Netzwerktopologie

• Normale Netzwerkbelastung und erforderliche Bandbreite

• Spitzen-Netzwerkbelastung

• Sicherheit und langfristige Lesbarkeit von Datenträgern

• Sicherheit gegenüber destruktiver Software, nichtautorisierte Software-Updates oder –Upgrades

• Maximal vertretbare Antwortzeit

• Vertretbare Fehlerrate des Netzwerkes bzw. Datenverbundes

• Verfügbarkeit bei geplanten und nichtgeplanten Wartungen

•  Inkonsistenz der Schnittstellen und Formate, die zu Genauigkeitsverlusten während der Datenübertragung führen können

• usw.

Anhang D der DIN EN 14971 beschreibt beispielhafte Gefährdungen und sonstige Faktoren in Verbindung zwischen ME-Gerät und Netzwerk bzw. Datenverbund:

• Welcher vorhersehbare Missbrauch kann entstehen?

•  Wird die Verbindung mit dem Netzwerk bzw. Datenverbund im Einklang zum bestimmungsgemäßen Gebrauch bzw. der Zweckbestimmung nach § 3 Abs. 10 des Medizinproduktegesetzes durchgeführt oder steht sie im Widerspruch dazu?

• Kann ein falscher Datenfluss zu oder von jedem angeschlossenen bzw. beteiligten PEMS entstehen?

• Was sollen die über das Netzwerk bzw. Datenverbund übertragenen medizinischen Daten erreichen bzw. was soll mit ihnen geschehen? Was passiert, wenn das Netzwerk bzw. der Datenverbund während der Datenübertragung zusammenbricht?

•  Können Abweichungen von den festgelegten Betriebsmerkmalen eines jeden beteiligten PEMS auftreten?

• Welche Eigenschaften und Betriebsmerkmale hat ein PEMS und wie und in welcher Form können sie durch das Netzwerk bzw. den Datenverbund beeinflusst werden?

• Liegt eine vollständige Beschreibung der Parameter des Netzwerkes bzw. des Datenverbundes vor, wie Netzwerktopologie, Konfiguration, Parameter, Bandbreite (100 MB Ethernet, 1GB Ethernet usw.) usw.?

• Kann eine Überlastung des Netzwerkes bzw. des Datenverbundes in den Netzwerkknoten auftreten?

• Ist das Netzwerk belastungssicher ausgelegt? Reicht die geplante Anzahl von Netzwerkknoten aus bzw. gibt es Redundanzen? Gibt es eine strukturierte Netzwerkverkabelung?

• Können Benutzungsfehler auftreten und wenn ja, welche? Welche Ausbildung und Fähigkeiten muss der Bediener mitbringen, um das Netzwerk sachgerecht zu betreuen und zu administrieren?

•  Wie erfolgen die Konfiguration und das Patchmanagement des Netzwerkes und angeschlossener PEMS? Ändern regelmäßige Servicearbeiten die Merkmale und Eigenschaften des Netzwerkes bzw. Datenverbundes z. B. bei Remote Service? Welchen Einfluss haben Remote Service, Patchmanagement usw. auf die angeschlossenen PEMS wie Modalitäten u. a.? Kümmert sich der Systemadministrator um die Genehmigung bzw. Zulassung von Patches auf der Betriebssystemebene, des Virenschutzes usw. und prüft er die Auswirkungen auf PEMS und Netzwerk?

• Kommen die medizinischen Daten an der richtigen Stelle beim richtigen Empfänger in vollständiger Form an? Kann es zu unvorhersehbaren Veränderungen kommen, die der Nutzer rechtzeitig erkennt?

• Gibt es für alle Hard- und Software-Komponenten sowie zur Software mit allen Updates ausreichende und jederzeit verfügbare Dokumentationen?

IEC 601-1 klassifiziert Netzwerke und Datenverbünde gemäß Bild 11 nach den Kriterien A, B und C, um eine Aussage über Konsequenzen als auch erforderliche Reaktionszeiten zu ermitteln. Unter Reaktionszeit versteht bei der Anbindung von PEMS an ein Netzwerk bzw. einen Datenverbund die Zeitverzögerung zwischen dem Auftreten eines Fehlers im Netzwerk bzw. Datenverbund und dem Eintreten einer Schädigung des Patienten. Tabelle 1 enthält mögliche Risiken nach Schweregrad und Reaktionszeit bei Datenverlust oder Datenveränderung in einem Netzwerk bzw. Datenverbund.