Bei Neuanschaffungen gilt es, nicht nur die Qualitäts-, sondern auch die Sicherheitsanforderungen als Auswahlkriterium zu berücksichtigen.

Priv.-Doz. Dr. Thomas Streichert, Institut für Klinische Chemie, Uniklinik Köln

Die Digitalisierung ist im Gesundheitssystem angekommen. Mittlerweile finden sich in Krankenhäusern hoch-vernetzte und komplexe IT-Landschaften, die, beginnend von der Patientenaufnahme über die verschiedenen diagnostischen Disziplinen, die Therapie und Pflege, die Dokumentation und Archivierung, das Entlassmanagement bis hin zu Controlling und Abrechnung, den Gesamtprozess im Krankenhaus abbilden. In dieses Gefüge müssen sich POCT-IT-Konzepte einpassen und neben den Anforderungen an Konnektivität, Wartung, Nutzerverwaltung, Auftragsverwaltung und Ergebnisübermittlung auch den gesetzlichen, normativen und State-of-the-art-Sicherheitsanforderungen genügen.

Vielfältige Online-Anbindungsmöglichkeiten
In der Vergangenheit orientierten sich die Anforderungen der Anwender an POCT-Geräte primär an einer guten, mit der eines medizinischen Laboratoriums vergleichbaren Analytik, verbunden mit einer einfachen Bedienung der Analyser. Natürlich sollten dazu die Messergebnisse ebenso wie die Ergebnisse der Kontrollprobeneinzelmessung dokumentiert werden und zur Beurteilung zur Verfügung stehen. Die gesetzlichen und normativen Anforderungen aus RiLiBÄK und DIN EN ISO 15189/22870 führten zu Ansprüchen an eine POCT-IT, die darüber hinaus eine umfassende Benutzerverwaltung bietet. Die praktische Anwendung zeigte, dass eine Nutzerverwaltung zur Identifikation und Bedienung auf den Geräten zentral für verschiedene Geräte (und Geräteklassen) abhängig von der Qualifikation der Benutzer möglich sein und dabei den Anforderungen des Datenschutzes genügen muss.  Mit der zunehmenden Integration von POCT-Geräten in die IT-Netzwerke der Krankenhäuser steigen auch die benötigten Online-Anbindungsmöglichkeiten ggf. über eine Middleware, um Mess- und Kontrollprobenergebnisse an Befundpräsentationssysteme und Archivsysteme im KIS übertragen zu können. Die Möglichkeit zur einer umfassenden Fernwartung aus der Klinik, aber auch von extern (z. B. durch den Gerätehersteller), sind mittlerweile Standard.

Gesetzliche Anforderungen und Normen
Aus dieser tiefen Integration verbunden mit gestiegenen Sicherheitsanforderungen ergeben sich neue Aspekte hinsichtlich der POCT-IT. Der Entwurf des Branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (B3S) der deutschen Krankenhausgesellschaft fasst die wesentlichen gesetzlichen Anforderungen, die sich aus § 107 Abs. 1 SGB 5 (Definition medizinische Versorgung) und § 8 a BSIG (Anforderungen zum Stand der Technik) sowie insbesondere den Normen DIN EN ISO 27001, 27002 und 27799 ergeben, zusammen. Krankenhäuser gelten als kritische Infrastruktur, wenn sie mehr als 30.000 stationäre Fälle behandeln, fallen sie zusätzlich unter das IT-Sicherheitsgesetz. Der „Nationale Plan zum Schutz der (Informations-) Infrastrukturen – Umsetzungsplan KRITIS“ unterteilt den Bereich Gesundheit in drei Bereiche: Medizinische Versorgung, Arzneimittel und Labore. Letztlich sind POCT-Geräte abhängig von dem Einsatz in die Bereiche Medizinische Versorgung oder Labore einzuordnen. Der B3S sieht die Etablierung eines Informationssicherheitsmanagements (nach DIN EN ISO 27001) als den ersten und wichtigsten Schritt. In dieses Sicherheitsmanagement müssen auch POCT-Geräte eingebunden werden. Damit ergeben sich konkrete Anforderungen an die POCT-IT, die das Betriebssystem, die eigentliche(n) Applikation(en) der Geräte, aber auch Folgesysteme wie z. B. eine Middleware-Lösung betreffen.  POCT-Geräte sind als Medizinprodukte gemäß des B3S oft als geschlossene Systeme konzipiert, die mit Blick auf die Informationssicherheit häufig noch nicht dem aktuellen Stand der Technik aus IT-Sicht entsprechen. Oft sind die regulatorischen Anforderungen an Medizinprodukte nicht in Einklang mit der gelebten Praxis der Informationstechnik zu bringen (z. B. Software- oder Betriebssystem-Updates oder die Verwendung von Antivirenprogrammen).

Umsetzung in die klinische Praxis
An der Uniklinik Köln sind mittlerweile mehr als 3.000 Bediener geschult. Eine manuelle Verwaltung einer derart großen Zahl von Nutzern ist nahezu ausgeschlossen, da die Verwaltung nicht nur in einer Qualifikationsprüfung mit Hinweisen auf eine notwendige (Nach-)Schulung, sondern auch in einer Berechtigungsprüfung von Mitarbeitern besteht, die das Klinikum verlassen oder in andere Bereiche wechseln. Die Berechtigungen müssen sehr zeitnah angepasst werden, um die gesetzlichen Regelungen einhalten zu können. Dies kann in großen Kliniken mit häufigem Personalwechsel ein aufwendiger Prozess sein. Als genereller Standard zur Benutzerauthentifizierung gilt eine Kombination aus Nutzername/ID und einem Passwort. POCT-Geräte sollten eine zentrale Nutzerverwaltung mit einer Passwort-Verwaltung beherrschen.

Auswahlkriterium IT- und Funktionssicherheit
Das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe haben im November 2018 aktuelle Empfehlungen für die Hersteller von Produkten ausgesprochen, die durch Betreiber von kritischen Infrastrukturen eingesetzt werden. So werden die Hersteller animiert, IT- und Funktionssicherheit als einen Mehrwert und heutzutage notwendigen und selbstverständlichen Teil der Produktqualität zu sehen. Eine Reihe von POCT-Herstellern beherrschen die Teilaspekte der IT- und Funktionssicherheit sehr gut, sind aber oft von den aktuellen Anforderungen eines umfassenden POCT-Konzepts, das die neuen Sicherheitsanforderungen berücksichtigt, herausgefordert. Für Betreiber von POCT-Geräten werden zukünftig neben den grundlegenden Qualitätsanforderungen an POCT-Geräte auch die Umsetzung der Sicherheitsanforderungen ein Auswahlkriterium für einen Hersteller oder einen Gerätetypus sein.