JWG 7 projektiryhmien kokoukset Belfastissa 1.-3.11.2017


Kokoukset pidettiin Pohjois-Irlannin talousministeriön tiloissa Belfastissa. Paikalla oli noin 25 eksperttiä Euroopasta, Japanista, Australiasta ja USAsta. JWG7:n puheenjohtajat Todd Cooper (TC)  ja Georg Heidenreich (GH) avasivat kokouksen ja Nicholas Oughtibridge (NO) Englannista isännöi kokousta Yhdistyneen Kuningaskunnan puolesta.

ISO/IEC 80001-standardin päivitys

Phil Raymond (PR) ja TC vetävät tätä päivitystyötä, jossa ensi vaiheessa päivitetään standardia ISO/IEC 80001-1:2010 Application of risk management for IT-networks incorporating medical devices -- Part 1: Roles, responsibilities and activities. TC kertoi kertyneistä muutostarpeista 80001-standardiperheeseen. Standardin käytettävyys kaipasi parannuksia sen soveltamista kokeilleiden sairaaloiden mielestä. Se on ykköskohde päivitystyössä. Tietoturvan alala on tapahtunut niin paljon kehitystä, että sen on näyttävä uudessa versiossa. Sairaaloiden IT-organisaatioilla on jo nyt erilaisia prosesseja järjestelmien ylläpitämiseksi ja 80001-standardiperheen on sovittava yhteen näihin prosesseihin, tuoden tietenkin jotain lisää, jotta verkotettujen lääkintälaitteiden kaikinpuolinen turvallisuus varmistetaan. Nämä toiset prosessit voivat olla peräisin toisista standardeista, joten tulee tarkistaa 80001:n yhteensopivuus muihin standardeihin. Kokouksen aikana keskusteltiin siitä, kuinka tietoturva tällä hetkellä dominoi yleistä keskustelua, mutta sen lisäksi on olemassa kaksi muuta 80001:n tavoitetta, jotka ovat potilasturvallisuuden ja toiminnan tehokkuuden takaaminen.

Pitää miettiä, miten uusi versio skaalautuu eri kokoisiin terveydenhuoltoyksiköihin. Englannissa on luokkaa 40 000 terveydenhuoltoyksikköä, joiden tyypillinen koko on 20 henkeä, joista yhden tehtävä liittyy tietotekniikkaan. Hän saa toki tukea alueorganisaatiolta, mutta 80001:n osien soveltaminen kuuluisi hänellekin. Tämä ICT-tukihenkilöstön vähyys on ongelma myös muiden kuin pelkästään standardin 80001:n soveltamisen kannalta. NO mainitsi, että huonoin tilanne lienee Englannissa hoitokodeissa, joissa ei ole senkään vertaa tietoteknisiä kompetensseja kuin terveyskeskuksissa, mutta tieto- ja viestintatekniikkaa tulee koko ajan käyttöön. Trish Williams (TW) ehdotti, että asiaa lähestyttäisiin siten, että 80001:stä olisi eri tasoisia profiileja erikokoisille organisaatioille. ISO/IEC Guide 17:2016 Guide for writing standards taking into account the needs of micro, small and medium-sized enterprises saattaa auttaa näiden asioiden huomioonottamisessa standardin uuden version laadinnassa. Pienille ohjelmistotaloille on olemassa ISO 29110-standardiperhe Systems and software engineering -- Lifecycle profiles for Very Small Entities (VSEs).

Esitettiin näkemys, että pitää pystyä osoittamaan, miksi standardin 80001 toteuttamisen aiheuttama lisävaiva ja kustannukset ovat hyväksyttäviä. GH sanoi, että jos sairaala mittaa tietojärjestelmien hallinnan onnistumista, 80001:n soveltaminen on kannattavaa. Muuten 80001:n käyttö vaikuttaa vain kustannukselta. NO kertoi, että lääkintälaitteet olivat syynä siihen, että WannaCry-kiristyshaittaohjelma pystyi leviämään niin laajalle Englannissa aiemmin vuonna 2017. Parempi varautuminen olis rajoittanut vahinkoja. Michelle Jump (MJ) mainitsi, että 80001:n toteuttaminen sairaaloissa helpottaa myös valmistajien työtä, koska sitä soveltavat sairaalat tulevat kyselemään valmistajilta samoja tietoja ja valmistajat voivat valmistautua tähän. Hänen mielestään USAssa sairaaloiden vaatimukset ovat tällä hetkellä kovemmat kuin viranomaisten (FDA) tässä suhteessa. MDS2-lomake USAssa on yksi kohtalaisen hyvä tapa tähän, mutta se ei ole riittävä. MDS2-lomaketta ollaan siksi myös päivittämässä ja 80001:n pitää sopia sen kanssa yhteen. Valmistajien kannalta yhteensopivuus riskienhallintastandardiin ISO 14971 olisi toivottavaa. ISO 27799 terveydenhuollon tietotekniikan tietoturvastandardi on myös käytössä tervydenhuollon kentällä eikä ole tarpeen toistaa kaikkea, mitä siinä mainitaan.

Yksi ongelma on, että standardi on tekniikan kehityksen tasalla vain lyhyen aikaa. Pitäisi pystyä tunnistamaan ja standardoimaan ne hyvät käytännöt, jotka kestävät aikaa tekniikan kehittyessä. Jos standardi pysyy riittävän korkealla abstraktiotasolla, teknologian muutokset eivät niin nopeasti tee siitä vanhentunutta.

NO kertoi, että Englannin terveydenhoitojärjestelmä NHS tarkastelee, sopiiko riskienhallintastandardi ISO 31000 terveydenhuoltojärjestelmän käyttöön. Irlantilainen Silvana MacMahon (SM) esitteli nykyisen 80001-2-7-standardin ja ISO 31000- standardin välisiä eroja ja yhtäläisyyksiä. Jos uusi 80001 jäsenneltäisiin 31000:n rakenteen mukaan, standardien rinnakkainen soveltaminen olisi helpompaa. Päästandardin 80001-1:n ei tarvitsisi sisältää kaikkea nykyistä sisältöä, koska nyt saatavilla on sitä täydentäviä teknillisiä raportteja 80001-2-X, joihin voidaan viitata. Conformity assessment -osan täytyy kuitenkin olla normatiivisessa osassa 80001-1. ISO 31000:n ero 80001:een on se, että 80001:ssä sovitetaan yhteen sisäistä riskienhallintaa ja sen yhteistyötä ulkoisten organisaatioiden kanssa, missä ulkoisten palvelujen vastuunjakosopimuksilla on keskeinen osa. 31000:n määritelmät termeille poikkeavat 80001:n määritelmistä, koska 80001:n sovellutusalue on kapeampi eli terveydenhuollon laitteet ja ICT. 80001-1:n uudelleenjärjestelyssä voitaisiin koota yhteen kappaleeseen ne vaatimukset, jotka koskevat dokumentaatiota, jotta dokumentointityö ja siihen liittyvä auditointi helpottuisi.

Anita Finnegan (AF) esitteli esitteli 80001:n tietoturva-asioita käsittelevien osien uudelleenjärjestelyä. AF on myös mukana MDS2-lomakkeen päivitystyöryhmässä MITAssa ja siten on mahdollisuus saada uusi MDS2-lomake toimimaan yhteen 80001-sarjan kanssa. On ehkä mahdollisuus yhdistää tekniset raportit 80001-2-2, 80001-2-8 ja mahdollisesti 80001-2-9. AAMI TIR38 on esimerkki 80001-2-9:n sovellutusalueista, kohteena infuusiopumppu. FDA USAssa suosittaa myös ISO 15026-4 Systems and software engineering -- Systems and software assurance -- Part 4: Assurance in the life cycle -standardia.

NO esitteli ajatuksiaan 80001-standardin tarpeellisuudesta. 80001 koskettaa infrastruktuuria, laitteita, niiden komponetteja (ohjelmistot, käyttöjärjestelmät, kaapeloinnit) alikomponentteja (algoritmit, palvelut, data), ihmisiä, organisaatioita ja prosesseja. Asian tekee monimutkaiseksi se, että turvallisussvastuu eri osista jakaantuu niin monelle taholle. Turvallisuuden takaamiseksi tarvitaan ihmisiä eri rooleissa riippumatta siitä, onko roolissa oleva henkilö sairaalan palkkalistalla vai ulkoistetussa palvelussa. Ohjelmistot ovat riippuvaisia käyttöjärjestelmistä eivätkä niiden valmistajat aina ota riittävää vastuuta tuotteistaan. Java-ohjelmointikielen lisenssisäännöissä mainitaan, ettei kieltä tulisi käyttää lääkintälaitesovellutuksissa, mutta silti sitä esiintyy terveydenhuollon ohjelmistoissa.

Esiteltiin Englannissa (NHS Digital) laadittua säädöstöä siihen, miten terveystietojärjestelmien käyttöönotossa on sovellettava riskienhallintaa. Englannissa sovelletaan tässä kahta kansallista standardia SCCI 0129 Clinical Risk Management: its Application in the Manufacture of Health IT Systems ja SCCI 0160 Clinical Risk Management: its Application in the Deployment and Use of Health IT Systems. Sairaaloilta vaaditaan SCCI 0129 ja IT-toimittajilta SCCI 0160. "Safety case" on brittien hyväksi havaitsema työkalu turvallisuustyössä. Jos näiden kansallisten standardien tilalle saataisiin aikaan hyvä ISO-standardi, kansallisista määrityksistä voitaisiin luopua. ISO-standardin soveltaminen avaisi brittiyrityksille myös kansainvälisiä markkinoita. NO:n mukaan regulaatiossa on tapahtumassa muutos, jossa terveysohjelmistojen luokittelussa luokka I muuttuu yhä useammin luokkaan II. Koneoppimisen soveltaminen terveysohjelmistoihin on osaltaan ollut vaikuttamassa tähän. 80001:n päivityksessä täytyy pitää mielessä myös koneoppimisen yleistyminen. 80001:n version on tarkoitus kattaa tilanne, jossa mobiilisovellutus on verkotettu ja sitä käytetään lääketieteelliseen tarkoitukseen käytetyssä verkossa. Silloin kyseisen sovellutuksen riskienhallinta kuuluu mukaan 80001:n toimialaan. Tämä johti keskusteluun standardin nimestä ja keskustelu tulee vielä jatkomaan.

Englannissa ja Australiassa reguloijat osallistuvat entistä enemmän myös standardien laadintaan, mitä on pidetty hyvänä heidän asiantuntemuksensa takia. NHS:llä on Englannissa on periaate, että mitä ikinä säännöksiä he laativatkin, niiden pitää sopia kaikille, myös sille ohjelmointikykyiselle läkärille, joka laatii ohjelmistoja omaan käyttöönsä, eikä pelkästään suurille yrityksille.

GH kertoi, että viimeaikaiset osin onnistuneetkin kyberhyökkäykset terveydenhuoltoon ovat johtaneet ennen luotettaviksi ajateltujen valmistajabrändien mielikuvien heikkenemiseen. Luottamuksen heikkeneminen haittaa verkotettujen lääkintälaitteiden kaupankäyntiä. Siksi myös valmistajat alkavat olla valmiimpia hyväksymään turvallisuutta lisäävien standardien laadintaa ja käyttöönottoa luottamuksen palauttamiseksi.

Silvana kertoi ISO 20000 -standardista, joka on päivitettävänä. Sen rakenne muutetaan ISO/IEC direktiivien Annex SL mukaiseksi, koska se on nk. Management System Standard, joiden tulee olla Annex SL:n mukaisia. CEN/EN15226 Quality management systems - EN ISO 9001:2015 for healthcare on tarkoitettu terveydenhuolto-organisaatioille ja se on yksi niistä standardeista, joiden soveltajien tulisi olla helppoa ottaa 80001-sarja käyttöön.

Stuart NHS:stä kertoi, että Englannin NHS yrittää soveltaa ISO 14971-standardia terveydenhoitoyksiköiden riskienhallintaan, vaikka standardi on tarkoitettu lääkintälaitevalmistajille. He ovat lisäneet vaatimuksiin kliinisen turvallisuusvastaavan roolin, vaaratilannelokin ja -tietokannan. Lisäksi heillä on käytössä edellä mainittu Safety Case -menettely. Jatkossa terveydenhuoltoyksiköissä joudutaan tekemään EU:n uuteen tietosuojasäännöstöön liittyviä itsetarkasteluja (GDPR privacy impact assesment). Samoja analogioita olisi hyvä pystyä noudattamaan 80001:n vaatimuksien toteutumisen tarkastuksissa.

Norbert Pauli (NP) kertoi, miten ISO 14971-standardia päivitetään. Sen pitäisi valmistua vuoden 2019 loppuun mennessä. Siihen liittyy ohjeistava teknillinen raportti 24971. Jatkossakin standardin päämäärätä on taata lääkintälaitteiden potilasturvallisuus huolellisella riskienhallinnalla. ISO 14971:een tulevat muutokset liittyvät Euroopan lääkintälaitedirektiivin muutoksiin eikä muutostarpeita ole paljoa. Kyberturvallisuusasioita on otettu entistä paremmin huomioon, vaikka standardi on ennestäänkin kattanut tietoturvariskejä. AAMI TIR57 (kehitetään standardiksi SW96) täydentänee sitä, mitä standardista tältä osin jää puuttumaan. Termin "harm" määritelmä on muuttunut IEC Guiden 51 ja 63 mukaiseksi.

Responsibility agreement on 80001-standardissa käsite, jossa terveydenhuolto-organisaatio sopii vastuunjaosta jonkin resurssin, esimerkiksi sisäverkon ylläpidosta/hallinnasta jonkun toisen tahon kanssa. Sopimukset päätyvät osaksi riskienhallintadokumentaatiota. Sopimuksen perusteella tiedetään, kuka vastaa, kun jotain ei-toivottua resurssissa tapahtuu. TR 80001-2-6 ohjeistaa näiden sopimusten laadintaa. Vaikka mainittiin, ettei tämän perusteella sopimuksia ei ole kovin paljon tehty tällä nimellä, se on toiminut tarkistuslistana sopimusasioissa ja muutenkin. 80001-1:n päivityksessä 80001-2-6 olisi ehkä mahdollisuus päivittää informatiiviseksi liitteeksi osaan 80001-1.

Change permits - muutosluvat ovat osa 80001-standardia. Jos muutos on sellainen, että se ei vaadi uutta riskinarviointia, muutos voidaan tehdä nopeasti. Muuten täytyy käynnistää muutosprosessi. Etukäteen kartoitetut rutiinimuutostilanteet saavat tyypillisesti muutosluvat tapauskohtaisine toteutusohjeineen. Näistä keskusteltiin, mutta selkeitä päivitysehdotuksia ei ilmaantunut.

80001:n terminologiaa täytyy tarkastella uudelleen ja tarvittaessa selventää. Esimerkiksi on syytä tehdä selväksi, että keskeinen rooli Medical IT network risk manager ei tarkoita sitä, että sairaalan pitäisi palkata tähän täysipäiväinen uusi henkilö, vaan että tämä rooli voidaan antaa jollekin jo olemassaolevalle toimihenkilölle, jolla on riittävä kompetenssi ja valtuudet.

80001 ei ole "Management Systems Standard", jonka pitäisi pakosta olla ISO direktiivin Annex SL mukainen. Standardin käyttöönottoa saattaisi kuitenkin helpottaa, jos se olisi kirjoitettu Annex SL:n ohjeiden mukaan. Yhteensovitus standardien 31000, 20000, 27001 kanssa voitaisiin toteuttaa tämän lisäksi.

ISO/IEC 81001-1-standardin laadinta

Valmisteltavan standardin 81001-1 nimi on Health software and health IT systems safety, effectiveness and security -- Part 1: Foundational principles, concepts, and terms. Sen on tarkoitus yhtenäistää käsitteistöjä ja termejä valmistajille suunnattujen standardien (62304, 82304, 14971, 13485, 60601,...) ja terveydenhoitoyksiköille tarkoitettujen standardien (80001-sarja) välillä.
Standardi kattaa lääkintälaitteiden (myös ohjelmistot) koko elinkaaren: Suunnittelu ja kehitys -> Hankinta -> Integraatio -> Implementaatio -> Kliininen käyttö -> Käytöstäpoisto. 81001-1 tulee viittaamaan toisiin standardeihin, joissa näitä elinkaaren eri vaiheita ohjeistetaan tarkemmin. Tämän standardin tarkoituksena on ohjeistaa rajapintoja eri vaiheiden välillä eli mitä dokumentaatiota vaihe tarvitsee ja mitä se tuottaa seuraavaan vaiheeseen.

Keskeinen osa standardia on termien määrittely. Ideaalitapauksessa kaikki JWG7:n standardit viittaavat jatkossa tähän standardiin termiensä määrittelyn osalta. Termien tulisi olla peruslukijoiden helposti ymmärretävissä, mutta myös tarkasti määriteltyjä, jotta vaatimustenmukaisuuden tarkastajat voivat tehdä työnsä. Termien määrittelyssä käytetään lähteinä ISO/TC215:n SKMT-termitietokantaa, ISO:n Online Browsing Platformia ja aikaisempia JWG7:n standardeja. Australiassa oli jo tehty valmistelutyötä termien määritelmien parissa ja tunnistettu joitakin yhtenäistämistä vaativia kohtia, mm. termin "harm" määrittely.

Pieni työryhmä oli tarkastellut asiaa tietoturvan näkökulmasta. Ryhmä ehdotti, että tuotaisiin selvästi esiin, mistä eri asioista on elinkaaren eri vaiheissa otettava vastuu, mutta ei ei määritellä, kenelle vastuu kuuluu, koska tästä voidaan käytännössä päättää sopimuksilla mm. palveluja ulkoistettaessa.

Tämä standardi ei ole vielä lähelläkään valmista marraskuussa 2017. Vallitsee vielä erilaisia käsityksiä siitä, mitä sen pitäisi sisältää. Standardin luonteesta ei näytä tulevan erityisen velvoittava, vaan lähinnä ohjeistava ja muistilistan tyyppinen.

Alpo Värri 4.11.2017