Patient- och cybersäkerhet rörande medicinteknisk utrustning. En NCS3-studie om avvikelsehantering och CE-märkning

Författare:

  • Ulrika Eckersand
  • Eva Mittermaier
  • Ann-Sofie Stenerus
  • Johanna Wahrenberg

Publiceringsdatum: 2022-01-31

Rapportnummer: FOI-R--5226--SE

Sidor: 64

Skriven på: Svenska

Forskningsområde:

  • Informationssäkerhet

Nyckelord:

  • avvikelse
  • certifiering
  • cybersäkerhet
  • Medicinteknisk produkt
  • NCS3
  • patientsäkerhet

Sammanfattning

Sjukvården digitaliseras precis som det övriga samhället. För medicintekniska system och produkter kan digitaliseringen få konsekvenser för såväl patientsäkerheten som cybersäkerheten. EU har beslutat om två förordningar (MDR och IVDR) med syfte att förbättra patientsäkerhet i medicintekniska produkter. Förordningarna påverkar arbetet med bland annat certifiering och avvikelsehantering. Intervjuer med regioner, myndigheter, tillverkare och anmälda organ har genomförts under 2021. Resultaten av dessa intervjuer bekräftar att regelverket påverkar cybersäkerheten. Ibland är regelverket grund för att både patientsäkerhet och cybersäkerhet förbättras och ibland motverkar regelverket cybersäkerheten. Enligt MDR klassificeras vårdens informationssystem som medicintekniska produkter. Medicinteknisk personal behöver därmed samarbeta närmre informations-, säkerhets- och IT-säkerhetsavdelningar. Det finns ett stort behov av personal med rätt kompetens hos tillverkare, vårdgivare och anmälda organ. Den kompetens som krävs är komplex och omfattar patientsäkerhet, cybersäkerhet samt regelverk och certifieringsarbete. Det är stor brist på anmälda organ, och utan personalresurser och rätt kompetens riskerar de anmälda organen att inte räcka till för de produkter som ska ut på marknaden. Avvikelserapporteringen behöver öka, särskilt till den nationella databasen reidarMTP, som ska vara en källa till kunskap om avvikelser i hela landet. Att rapportera till reidarMTP kräver tid, men andra uppgifter prioriteras högre. För att förbättra rapporteringen av cyberrelaterade avvikelser behövs mer samarbete mellan medicinteknisk och IT-personal.