IT en software in de ziekenhuispraktijk

IT en software in de ziekenhuispraktijk Ontwikkelingen software & besluit medische hulpmiddelen Holger Most Imagination at work.

NEN Delft | 16 Mei 2014

2

Waarom is regelgeving voor software zo lastig?

Source: Interesting Engineering

NEN Delft | 16 Mei 2014

3

On the Floor

Nursing Workflow/ Documentation

Electronic Medical Record

Clinical Notes

Emergency Department

Procedure Documentation

ICU/Critical Care

OR Management Dictation

Pharmacy

CPOE

Advanced Analytics Medication Administration

Labs

Hemodynamics

Cardiology Pathology

Imaging Charting

Medication Dispensing

RIS Orders

PACS

Image Distribution

Mobile Data

Source: Microsoft NEN Delft | 16 Mei 2014

4

Behind the Scenes

Enterprise Scheduling

Contract Management

Claims Management

Financial/ERP

Business Decision Support

Inventory Medical Records Coding Purchasing

Revenue Management

Document Imaging Bed Management

Registration Call Management Staff/Nurse Scheduling

Physician Practice

Transcription

Outcomes Management

Access Management

Source: Microsoft NEN Delft | 16 Mei 2014

5

Health Information

Source: Microsoft NEN Delft | 16 Mei 2014

6

• Medische software • • •

Wet Verwerking Persoonsgegevens Technische standaards voor informatiebeveiliging Recente problemen met software veilgheid

NEN Delft | 16 Mei 2014

7

Definitie medisch hulpmiddel Elk instrument dat wordt gebruikt, met inbegrip van software, en dat door de fabrikant bestemd is om bij de mens voor de volgende doeleinden te worden aangewend: • diagnose, preventie, bewaking, behandeling of verlichting van ziekten, • diagnose, bewaking, behandeling, verlichting of compensatie van verwondingen of een handicap, • onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch proces, • beheersing van de bevruchting,

NEN Delft | 16 Mei 2014

8

Definitie hulpstuk Een artikel dat geen hulpmiddel is en door de fabrikant speciaal is bestemd om met een hulpmiddel te worden gebruikt zodat dit overeenkomstig het door de fabrikant van het hulpmiddel beoogde gebruik kan worden gebruikt

NEN Delft | 16 Mei 2014

9

Medische software

NEN Delft | 16 Mei 2014

10

Leveraging Standards to Develop Medical Device Software

NEN Delft | 16 Mei 2014

11

Software Techniques •IEC 61508 heeft betrekking op de aspecten die moeten worden overwogen wanneer elektrische/elektronische/programmeerbare elektronische (E/E/PE)-systemen worden gebruikt voor het uitvoeren van veiligheidsfuncties. Een belangrijke doelstelling is het faciliteren van productontwikkeling en toepassing van internationale sector industrie standaard door technische commissies verantwoordelijk voor het product of de toepassings sector.

NEN Delft | 16 Mei 2014

12

Software Lifecycle Process • ISO/IEC 12207: contains processes, activities, and tasks that are to be applied during the acquisition of a software product or service and during the supply, development, operation, maintenance and disposal of software products. • IEC 25051 Software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) Requirements for quality of Ready to Use Software Product (RUSP) and instructions for testing • ISO/IEC 14764: It defines the activities and tasks of software maintenance, and provides maintenance planning requirements. It does not address the operation of software and the operational functions, e.g., backup, recovery, system administration NEN Delft | 16 Mei 2014

13

Current landscape of health standards Health Domain Product Standard IEC 60601

Process Standard

Product Standard IEC 82304 (Future)

IEC 62304 Medical Device Hardware

Software Development

NEN Delft | 16 Mei 2014

Software as a Medical Device

14

IEC 82304 … a product safety standard for Software as a Medical Device • Targeted for Software as a Medical Device • Leverages IEC 62304 • Adds use requirements, validation, post-market considerations for Software as a Medical Device Targeted timeline: 2CD: December 2013 CDV: November 2014 FDIS: June 2015 IS: October 2015 NEN Delft | 16 Mei 2014

Addresses following challenges: • Intended user: lay person (“user”) versus hospital IT network operator (“responsible organization”) • Cyber security: regular updates needed • Platform changes: 3rd party, not sync’d with SW release • Agile methods: iterative development / deployment • Communication: to user / resp. org. / authorities

15

Embedded medical software IEC 60601-1

IEC 60601-1-2

IEC 60601-1-3

IEC 60601-1-3

ME Equipment

ME Equipment

ME Equipment

ME Equipment

General Requirements

EMC

Radiation

Usability

Collateral ME Equipment

Medical Accelerators

Particular

IEC 60601-2-1

NEN Delft | 16 Mei 2014

16

•

Medische software

• Wet Verwerking Persoonsgegevens • •

Technische standaards voor informatiebeveiliging Recente problemen met software veilgheid

NEN Delft | 16 Mei 2014

17

Uitgebreid wettelijk kader Recht op privacy vastgelegd in de artikelen 10 tot en met 13 van de Grondwet. sinds 1 september 2001 wordt de verwerking van persoonsgegevens nader geregeld in de Wet bescherming persoonsgegevens (Wbp). Soft law zoals • Europese Art 29 Werkgroep • Technische standaarden voor security

NEN Delft | 16 Mei 2014

18

Wet bescherming persoonsgegevens De organisatie: • mag PG alleen verzamelen en verwerken als daar een goede reden voor is. • mag niet meer gegevens verwerken dan strikt noodzakelijk is; • mag de gegevens niet gebruiken voor andere doelen; • moet betrokkenen laten weten wat zij met de gegevens gaan doen; • mag de gegevens niet langer bewaren dan noodzakelijk; • moet passende technische en organisatorische maatregelen treffen om de gegevens te beschermen;

NEN Delft | 16 Mei 2014

19

Veiligheidsbeleid • •

•

•

Risico analyse Beschrijving van de gestelde prioriteiten en de maatregelen genomen na uitvoering van de risico analyse Beschrijving van de verschillende aansprakelijkheden en organisatorische maatregelen genomen om deze te beperken Beschrijving van de procedure bij security inbreuk

NEN Delft | 16 Mei 2014

20

Beveiliging van netwerken De instelling moet waarborgen dat de netwerken waarmee de apparatuur verbonden is en die betrokken is bij een verwerking van persoonsgegevens, de vertrouwelijkheid en de integriteit van de gegevens garanderen.

NEN Delft | 16 Mei 2014

21

• •

Medische software Wet Verwerking Persoonsgegevens

•

Technische standaards voor informatiebeveiliging

•

Recente problemen met software veilgheid

NEN Delft | 16 Mei 2014

22

NEN 7510 reeks: Medische informatica Informatiebeveiliging in de zorg • In NEN7510 wordt gesteld dat toegangsbeveiliging is geïmplementeerd zodat alleen geautoriseerde gebruikers toegang krijgen tot voorzieningen en gegevens. Elke geregistreerde gebruiker dient een unieke gebruikersidentificatie te krijgen. • NEN 7512: ‘Vertrouwensbasis voor gegevensuitwisseling’ • NEN 7513: Logging – Vastleggen van acties op elektronische Patiëntendossiers • NTA 8009: Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen.

NEN Delft | 16 Mei 2014

23

ISO 27001/2 ISO 27001: Eisen voor het implementeren, onderhouden en verbeteren van beveiligingsmaatregelen. Bevat ook voorschriften voor de beoordeling en behandeling van veiligheidsrisico's. ISO 27002: informatiebeveiligingsbeheer: de selectie, implementatie en het beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico’s van de organisatie gelden.

NEN Delft | 16 Mei 2014

24

ISO 27799 • •

• •

gedetailleerde controles voor het beheer van de beveiliging van gezondheidsgegevens advies voor goede praktijken voor de beveiliging van gezondheidsgegevens. De toepassing zal het minimum vereiste beveiligingsniveau voor de IT systemen garanderen De vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gezondheidsgegevens wordt gewaarborgd.

NEN Delft | 16 Mei 2014

25

IEC 80001-1 •

•

•

Toepassing van risicomanagement voor IT-netwerken en medische hulpmiddelen - Deel 1: Verantwoordelijkheden en activiteiten Deze norm geeft adviezen over de toepassing van risicomanagement bij IT netwerken in combinatie met medische apparatuur. instelling voor de gezondheidszorg als eigenaar en gebruiker van het medische IT-netwerk hebben de algehele eindverantwoordelijkheid heeft voor het medische IT-netwerk tijdens de operationele fase van de levenscyclus. NEN Delft | 16 Mei 2014

26

HIMSS: Healthcare Information and Management Systems Society HIMSS work group’s material at http://www.himss.org/library/healthcare-privacy-security includes: Toolkits for: • Privacy & Security • Small Providers • Patient Identity Integrity • Risk Assessment • Mobile Security • Cloud Security

NEN Delft | 16 Mei 2014

27

Manufacturer's Disclosure Statement for Medical Device Security (MDS2) In the style of DICOM conformance statements and IHE integrations profiles the MDS2 has: • standard set of questions and instructions, • objective yes/no type questions required with optional notes, • all users benefit from knowledge of MDS2 authors, • standard format eases manufacturer burden, • standard, objective format eases burden on device users. http://www.nema.org/Standards/Pages/Manufacturer-DisclosureStatement-for-Medical-Device-Security.aspx#download NEN Delft | 16 Mei 2014

28

• • •

Medische software Wet Verwerking Persoonsgegevens Technische standaards voor informatiebeveiliging

• Recente problemen met software veilgheid

NEN Delft | 16 Mei 2014

29

Iederen is er aan gewend dat een computer af en toe crasht. Maar weinigen verwachten dat hun computer kan worden gehackt.

NEN Delft | 16 Mei 2014

30

TV-based botnets? DoS attacks on your fridge?

NEN Delft | 16 Mei 2014

31

Heartbleed: SSL/TLS beveiliging Ernstige kwetsbaarheid in beveiliging internetverbindingen Er is een ernstige kwetsbaarheid gevonden in software die wordt gebruikt voor het opzetten van veilige internetverbindingen. Leveranciers werken aan het implementeren van oplossingen. Uw rol als gebruiker is beperkt. Informeert een leverancier u dat u uw wachtwoord moet vernieuwen, volg dit advies dan op. De kwetsbaarheid zit in een softwarepakket dat OpenSSL heet, deze software wordt veel gebruikt door webservers. Kwaadwillenden kunnen de kwetsbaarheid misbruiken om gevoelige gegevens te achterhalen, bijvoorbeeld de websitecertificaten van de kwetsbare webserver. Eigenaren van websites die de kwetsbare OpenSSL versie gebruiken kunnen een nieuwe versie van OpenSSL installeren om de kwetsbaarheid te verhelpen. Als u websites bezoekt die een kwetsbare OpenSSL-versie gebruiken loopt u risico dat de website is vervalst of dat gevoelige gegevens worden onderschept. Er is op dit moment geen goede, eenvoudige manier om vast te stellen of een website veilig te bezoeken is. https://www.waarschuwingsdienst.nl/Risicos/Kwetsbaarheden/Ernstige+kwetsbaar heid+in+beveiliging+internet+verbindingen.html NEN Delft | 16 Mei 2014

32

In 2011 wisten andere hackers echter ook al draadloos toegang te verkrijgen tot precies dezelfde systemen, door via een gehackte mobiele telefoon in te breken met een Bluetooth-verbinding. NEN Delft | 16 Mei 2014

33