ISO/TC215&IEC/TC62A/JWG7-kokous Frankfurtissa, Saksassa 5.-7.10.2016

Yleistä

Kokouksen alkaessa paikalla oli 32 eksperttiä puheenjohtajien Todd Cooper (TC) ja Sherman Eaglesin (SE) johdolla. Kokous oli poikkeuksellisesti järjestetty IEC/TC62A:n kokouksen yhteyteen eikä ISO/TC215:n yhteyteen, kuten normaalisti.

SE ilmoitti, että tämä tulee todennäköisesti olemaan hänen viimeinen JWG7-kokouksensa, koska hän ei pääse kevään 2017 kokoukseen Kiinaan. SE sai aplodit 10 vuoden työstään JWG7:n johdossa seisomaan nousseilta JWG7:n jäseniltä. Vuoden päästä SE:n tilalla on toinen puheenjohtaja TC:n rinnalla.

JWG7 on ollut olemassa nyt 10 vuotta. Sinä aikana teknologia, osalliset, hoidon paradigmat ja avoimet standardit ovat muuttuneet. Ensimmäinen JWG7-kokous oli 2007 San Diegossa. Ensimmäinen standardi 80001-1 valmistui vuonna 2010. Lähtökohtana olivat ongelmat sairaaloissa, joissa järjestelmät lakkaisvat yhtäkkiä toimimasta. Syinä useisiin tapauksiin olivat sairaalan tietoverkkoihin liitetyt uudet laitteet tai tietokoneet. JWG7 perustettiin ratkaisemaan näitä ongelmia standardien avulla. Alussa myös FDA oli aktiivisesti mukana, koska se oli tunnistanut ongelman oleelliseksi. JWG7 on tuottanut standardin 80001-1 lisäksi kahdeksan muuta dokumenttia 80001-sarjaan ja muutaman muun dokumentin.

80001-sarjaa ei ole kuitenkaan otettu käyttöön odotetusti. Sitä on pidetty liian raskaana ja kalliina toteuttaa. Sen toteuttaminen vaatii sairaalan johdon tuen, mutta projektit ovat keskeytyneet, kun hyvät johtajat ovat toisinaan vaihtuneet toisenlaisiin. Resurssit eivät ole aina riittäneet, kun osaava henkilöstö on tarvittu muihin kiireisiin tehtäviin. Joskus tarvitaan jokin iso häiriötapaus ennen kuin 80001:een liittyvät asiat ryhdytään ottamaan vakavasti. Regulaatio ei ole standardin soveltamista vielä vaatinut. USAssa tietoturvaloukkaukset alkavat maksaa organisaatioille rahaa myös sakkoina ja siksi tietoturvaan aletaan kiinnittää enemmän huomiota. Joistakin 80001:n käyttöön ottaneista sairaaloista on tullut prosessin aikana osaavampia organisaatioita. Tietoverkkoriskien asianmukainen hallinta ei kuitenkaan tule ilmaiseksi, vaan vaatii toimenpiteitä jokaisen muutoksen kohdalla.

Tulevaisuudessa seuraavat asiat nousevat pinnalle: Internet of Things, Bring Your Own Medical Device (BYOMD), Predictive analytics, real-time point-of-care päätöksenteon tuki jne. Toimijoita tulee suunnista Google, Amazon, Apple, IBM ja QualComm. AsthmaBrain-yrityksellä on älykäs analytiikkaan perustuva järjestelmä astman päivittäiseen hallintaan. HSPC/Cognitive Medical esitteli HIMMS 2016:ssa demon, joka yhdistää FHIR-standardin avulla erilaisia erikseen kehitettyjä tiedonlähteitä ennustamaan verenmyrkytystä. Qualcomm on tehnyt yhteistyötä Medtronicin kanssa glukoosimittarien yhdistämisessä pilveen (Qualcomm, 2net, Capsule, Medtronics). Kuinka hallita tällaisiin järjestelmiin liittyviä riskejä? Harkinnan alla on, miten päätöksenteon tukijärjestelmiä reguloidaan terveydenhuollossa.

http://www.diagnosticimaging.com/siim-2016/has-time-come-shared-risk-contracting-imaging-it

Ovatko tavanomaiset "paperi"standardit jo mennyttä aikaa? Joskus standardit ovat avointa lähdekoodia. Miten voidaan tukea 3-4 hengen tiimejä, jotka tekevät terveyssovellutuksia, joskus tapaamatta toisiaan kasvokkain?

Ihmiset ottavat sovellutuksia ladatessaan ja käyttäessään välillä aikamoisia riskejä. Joskus tämä on tietoista, mutta ei aina. Tässä suurta yleisöä pitäisi kouluttaa paljon nykyistä enemmän. Mikään ei takaa, että valistus menee perille ennen, kuin yksilö kohtaa henkilökohtaisesti jonkun kohtalaisen ison ongelman tietoturvaan liittyen.

Anura Fernando (AF) kertoi UL 2800:n ( Safety, security and effectiveness of medical devices) viimeaikaisesta kehityksestä. Arkkitehtuurit ja käyttötapaukset liittyvät asiaan. Käyttötapauksia on käyty läpi hiljattain. Lopputuotteena on tulossa viitekehys, jonka on tarkoitus ohjata lääkintälaitteiden valmistusta.

Cybersecurity

Georg Heidenreich (GH) esitteli Cybersecurity for Medical Devices - Proposal of DKE 811.3 otsikon alla tietoturvauhkiin varautumista Saksassa. Hyvin monenlaisia tapoja käytetään pääsemään sisälle terveydenhuoltoon liittyviin järjestelmiin tai laitteisiin ja niistä eteenpäin seruraaviin järjestelmiin. Viruskoodi saattaa "torkkua" oman aikansa järjestelmissä, jotta se pääsisi myös mukaan varmuuskopioihin. Ransomware eli tietojen salaaminen käyttäjien ulottumattomiin on yksi merkittävimmistä uhista. Järjestelmän heikkouden tultua tietoon sitä hyödynnetään lyhyen ajan kuluessa, muutamasta tunnista muutamaan päivään. Tietoturvan takaaminen vaatii erilaisia toimenpiteitä eikä sitä ratkaista vain yhdellä "kultaisella mikropiirillä". Laitteiden ja järjestelmien hyvällä dokumentaatiolla tuetaan sairaaloiden tietoturvatyötä. AAMI TIR57 on GH:n mielestä ajankohtaisin aihepiiriä käsittelevä dokumentti. Sen sijaan, että lähdeyttäisiin liikkeelle ISO 27005-standardin pohjalta, TIR57 vastaa paremmin lääkintälaitevalmistajien tarpeisiin. UL2900 on myös melko hyvä, mutta ei ota huomioon laitteiden kliinistä käyttöympäristöä.

Toshiaki Nakazato kertoi Japanin lääkintälaiteteollisuuden ja reguloijien aktiviteeteista lääkintälaitteiden tietoturva-asioissa. Japanissa asiaan ei ole vielä kiinnitetty kovin paljoa huomiota. Japanilaisessa julkaisussa Notification No 0428-1, 28.4.2015 viitattiin TIR57:ään ja 80001-2-2:een. Tietoturva nähtiin vain siltä osin tärkeänä kuin se vaikuttaa potilasturvallisuuteen. USAssa tietoturvaloukkauksista täytyy ilmoittaa, mutta Japanissa ei tällaista vaatimusta vielä ole. FISMAlla alkoi olla vaikutusta japanilaiseen teollisuuteen vuodesta 2011 lähtien. STIG-tarkistuslistoja alettiin ottaa käyttöön. Nyt Japanin terveysministeriö miettii uuden cybersecurity-ohjeiston laatimista lääkintälaitteille. Luonnos sisällysluettelosta on jo olemassa. Heinäkuussa 2016 Japanissa julkaistiin IoT-tietoturvan ohjeisto, joka ei ole velvoittava. Japanissa on 380-sivuinen ohjekirja standardin 62304 käytöstä. Alpo Värri (AV) kommentoi, että ehkä nopein tapa JWG7:n tukea tietoturvallisuustyötä on liittää 62304-standardiin järkeviä vaatimuksia tietoturvallisuudesta.

Michelle Jump (MJ) kertoi USAn tietoturvatilanteesta terveydenhuollossa. Asia on todella merkittävä puheenaihe USAssa tällä hetkellä. Lääkintälaitteita pidetään nyt melko turvattomina. Lääkintälaitteita pidetään osana kansallista perusinfrastruktuuria, jota pitää suojella nykyistä paremmin. Mayon sairaala kutsui hakkereita kokeilemaan lääkintälaitteiden tietoturvaa vuonna 2013. Jokaiseen laitteiseen päästiin tuolloin murtautumaan, mikä järkytti osallisia. FDA on julkaissut kaksi ohjedokumenttia uusia ja olemassaolevia lääkintälaitteita varten. Asiakkaat  alkavat vaatia kehittyneempää tietoturvaa lääkintälaitteilta ja kauppoja voidaan menettää tietoturvapuutteiden takia. Maineenmenetykset ja sakot uhkaavat tietoturvansa huonosti hoitaneita. Krakkerit ovat myös yrittäneet varastaa lääkintälaitteisiin liittyviä yrityssalaisuuksia. US MDSISC/ISAC - Medical Device Security Information Sharing Council on perustettu hiljattain hallituksen aloitteesta. Ensimmäinen kokous oli tammikuussa 2016. NH-ISAC ja MDISS toimivat MDSISC:n puheenjohtajina. Näiden organisaatioiden tarkoituksena on vaihtaa tietoja tietoturvapoikkeamista. FDA ei halua olla tässä toiminnassa mukana aktiivisesti. MDVISI on yksikkö, johon tietoturvapoikkemat enismmäiseksi ilmoitetaan. MDSATI ja MDRAP ovat muita kuviossa olevia yksiköitä. Yritysten MDS.2-lomakkeet tallennetaan MDRAPiin. Näihin cyberuhkatietokantoihin koottavaa tietoa täytyy suojella vääriltä tahoilta ainakin, kunnes niitä vastaan on ehditty suojautua.

Hollannissa sairaalat ovat korottaneet tietoturvavaatimuksiaan hankittavilta järjestelmiltä. Terveysalalla vallitsee pieni paniikki tietoturvan suhteen. Tietoturvaloukkuksista on tiedotettava viranomaisille, kertoi hollantilainen JWG7:n jäsen.

AF kertoi lyhyesti standardin UL 2900 kehitysvaiheesta. UL 2900 Cybersecurity Assurance Program on julkaistu hiljattain ja se on menossa kansalliseen standardointiprosessiin USAssa. Dokumentti kattaa tietoturvaa terveydenhuollossa, teollisuudessa ja kuluttajia koskien. Tietoturvaa on käsitelty monissa standardeissa eri standardointiorganisaatiossa. Soveltamalla niitä sopivalla tavalla yhdessä voidaan turvallisuutta hallita nykyistä paremmin. Tietoturvapoikkeamien raportointi on myös osa tätä tietoturvatyötä.

http://www.ul.com/newsroom/pressreleases/ul-launches-cybersecurity-assurance-program/

MJ esitteli AAMI:n TIR57:aa, joka yhdistää potilasturvallisuuden (safety) ja tietoturvan (security) lääkintälaiteympäristössä. Jos tietoturvaan lisätään hallintakeino, täytyy varmistua siitä, että ei lisätä samalla potilasturvallisuusriskiä toisaalla ja päinvastoin.

Nick Mankovich (NM) kertoi omasta lähestymistavastaan yritysturvalisuuteen. Liian isoa kokonaisuutta ei pysty varmistamaan tietoturvalliseksi 27001-standardin puitteissa, vaan esimerkiksi monikansallinen yhtiö joutuu jakamaan tietojärjestelmäverkkonsa osiin ja hallitsemaan näitä osina. Toinen vastaava esimerkki on Britannian National Health Service. Monet haluavat liittää koneitaan pilvipalveluihin, mikä avaa paljon mahdollisuuksia hyökkäyksille.

Käytiin keskustelua siitä, mikä olisi JWG7:n tapa edistää tietoturvaa standardeillaan. SE kysyi, eikö muualla ole jo kehitetty tietoturvastandardeja ohjelmistokehitykselle, joita JWG7:ssäkin voitaisiin käyttää. Dave Osbourne (DO) oli sitä mieltä, että noissa muissa standardeissa käytetään termistöjä sillä tavalla, että ne pitäisi "kääntää" lääkintälaitevalmistajien ymmärtämälle kielelle. MJ muotoili asian niin, että lääkintälaitevalmistajien tulisi ottaa uusi näkökulma laitteisiinsa tietoturvan suunnasta. NM oli samaa mieltä siitä, että ajattelutavan muutosta tarvitaan ja myös muutoksia yritysten toimintatapoihin. Yksi osa-alue on läitteistojen käytöstäpoisto. Tietosuojavaatimusten tähden niiden tallennuslaitteilta pitää huolellisesti poistaa henkilötiedot. Ei riitä, että lääkintälaite- ja tietoverkkolaitevalmistajat tekevät tietoturvallisia tuotteita, vaan myös niiden käyttäjäorganisaatioiden on tehtävä osuutensa. Jos tällainen kokonaisuus ostetaan palveluna, voidaan tietenkin vastuutakin siirtää enemmän palveluntarjoalle. Osallisten riittävä kypsyystaso on edellytys tyydyttävän tietoturvan saavuttamiselle. Vaikka lääkintälaitevalmistajan tietoturva olisi erittäin hyvällä tasolla tuotteissa, tietoturva vaarantuu, jos käyttäjäorganisaatio ei osaa hoitaa omaa osuuttaan. AV ehdotti, että etsitään muista ohjelmistostandardeista sopivia tietoturvaan liittyviä vaatimuksia 62304:ään, jotta ne saataisiin mukaan nopeasti. Rinnalla tämän kanssa 80001-sarjan päivitys hoitaisi terveydenhuolto-organisaatioiden puolen. Erillisen standardin laatimisen vaatima 4-5 vuotta on liikaa odottaa standardia lääkintälaitteiden tietoturvalle. Keskusteluja JWG7:n toimintasuunnitelmasta asian suhteen jatketaan.

Viimeisenä kokouspäivänä Oliver Christ (OC) ehdotti standardin tai standardien tekemistä tietoturvalle. SE kannatti tietoturvavaatimusten mukaanottoa 62304:ään. DO muistutti, että virus voi tulla tietokoneeseen myös USB-portin kautta eikä 62304-standardi voine tähän ottaa kantaa. Nick Mankovich huomautti, että laitteistot ja ohjelmistot on molemmat otettava huomioon tietoturvan parantamisessa. AV sanoi, että yhteisö odottaa, että tietoturvastandardi lääkintälaitteille ja muille terveysohjelmistoille olisi olemassa jo nyt ja että nopein tapa hoitaa asiaa olisi 62304:n kautta. TC sanoi, että JWG7:ssä on joitakin tietoturvaeksperttejä, jotka voisivat ottaa asiakseen valmistella ehdotuksia JWG7:lle. Perustetaan tällainen pienryhmä JWG7:ään, johon halukkaat voivat liittyä valmistelemaan asiaa JWG7:lle. MJ totesi, että pitäisi pitää erillään tekniset vaatimukset tietoturvalle ja prosessit, joilla tietoturvasta huolehditaan.

ISO/IEC 80001-1:n päivityksen aloittaminen

Phil Raymond esitteli standardin 80001-1 päivityksen tilannetta. Äänestyksen tuloksena standardin 80001-1 nimen ja scopen muutos hyväksyttiin äänestyksissä. Uusi nimi on Safety, efficiency and security in the implementation and use of connected medical devices or connected health software - Part 1: Application of risk management. Päivityksessä otetaan huomioon äänestyksessä tulleet kommentit, scopen laajennus, uudet osallisryhmät (health software -alue), uudet teknologiat, lisääntyneet tietoturvauhat, muutoslupa-asiat, lääkintälaitevalmistajan ilmoituslomakkeen vakiointi, standardit 14971 ja 31000 sekä kentältä saadut kokemukset 80001-sarjan käytöstä. Yksi havainto on ollut, että kahdennettuja verkkoja ei suinkaan löydy sairaaloista, joissa on kyse ihmishengistä, vaan pörssikauppaa käyvistä yrityksistä, joissa sekunnin viive voi tarkoittaa rahallisia mentyksiä.

80001-sarjaa ei ole otettu käyttöön niin laajasti kuin odotettiin, kun sarjan laadinta käynnistettiin. Keskusteltiin tähän johtaneista syistä ja siitä, mitä muutoksia olisi tehtävä, jotta standardin käyttö laajenisi. Potilasturvallisuusnäkökulma ei ole ollut riittävä argumentti sairaalahallinnolle ottaa standardia käyttöön. On koettu vaikeksi soveltaa standardia pienen teknisen tuen organisaation malliin. Lisäkustannuksia ei ole haluttu hyväksyä ja standardiperheen monimutkaisuuskin on ollut haitaksi. Organisaatorakennetta on ollut vaikea muuttaa standardin takia. Sairaaloiden johdolta on puuttunut osaamista riskienhallinnasta. Toivottiin enemmän palautetta sairaalaorganisaatioista. Ehdotettiin, että standardin päivitysryhmä pitäisi kokouksiaan eri sairaaloissa, jotta sairaaloiden edustajat voisivat osallistua, vaikka heillä ei ole matkustusbudjettia standardointikokouksiin. Herätettiin ajatus siitä, että sairaalan maine paranisi edistyksellisenä organisaationa, jos se sertifioitaisiin 80001:n soveltajana. Tällä voi olla merkitystä kaupallisille sairaaloille, mutta tuskin yhteiskunnan ylläpitämille, joissa tarkoituksena ei ole houkutella potilaita, vaan lähinnä päinvastoin.

Philips Medical Systems teki yhteistyötä Scripps-sairaalan kanssa 80001-standardin soveltamisessa sairaalan toimintaan. Philips investoi tähän aikaa, jotta se pystyisi toimimaan helpommin tulevien 80001-standardin soveltajien kanssa. Philips laati dokumentteja, joita sairaalan tulee ottaa huomioon riskienhallinnassaan, kun se liittää Philipsin laitteita verkkoonsa. Tällä pyrittiin jo ennakolta välttämään tyytymättömien asiakkaiden yhteydenotot.

OC kertoi, että hän on törmännyt tilanteisiin, jossa sairaala pyytää tarkistuslistaa, jonka läpikäynnillä sairaala voisi saada 80001:n toteutettua. OC toivoisi, että päivityksen tuloksena syntyisi jotain nykyistä käytännöllisempää ja helpommin sovellettavaa. OC totesi, että 80001-perhessä on jo nyt noin 1000 sivua. Ohjedokumenttien määrän lisääminen ei välttämättä tee sitä houkuttelevammaksi. Dokumenteista pitäisi tehdä standardeja, joista osasta voisi tulla reguloijien vaatimia standardeja. Pitäisi myös selkeyttää sairaalaorganisaation, lääkintälaitetoimittajan ja integraattorien rooleja 80001-standardeissa.

ISO/IEC 81001-1 Health software and health IT systems safety, effectiveness and security -- Part 1: Foundational principles, concepts, and terms

Michelle Jump esitteli tulevan standardin 81001 ideaa. Standardin 81001 on määrä sisältää niiden termien määritelmät, jotka ovat yhteisiä 80001-sarjalle ja standardeille 62304 ja 82304. Esimerkiksi termi HARM on melko keskeinen, koska sen määritelmän perusteella ratkeaa, kuinka laajasti risheihin tulee varautua. 81001:n pitäisi kattaa sosio-teknologiset aspektit liittyen teknologian elinkaareen. Standardia olisi tarkoitus kehittää paitsi JWG7:ssä, myös yhteistyössä ISO/TC210:n kanssa. Käytiin yleistä keskustelua elinkaariajattelusta liittyen ohjelmistotuotteisiin ja dataan mutta ei pelkästään niihin. Vertailukohtana pidettiin standardia ISO 31000 - Risk management.

ISO/IEC 62304 Ed. 2 Health software - Software life cycle processes

Pattu Kranx-Zuppan (PKZ) raportoi projektiryhmän tilanteesta. Rich de la Cruz USAsta on nimitetty PKZ:n rinnalle projektin vetäjäksi. Keväällä kommenteille lähettyyn 62304 Ed2. CD1:een oli tullut kolmisensataa kommenttia. 80 % niistä on ehditty käsitellä Frankfurtin kokouksen päättyessä. Termin HARM määritelmä on keskeinen keskustelunaihe. IEC:n Guide 51 sisältää sille määritelmän, joka ei oikein sovellu tarkoitukseen ja FDIS 82304-1:n määritelmää on käytetty sen sijasta. Tietoturvavaatimusten mukaanotto on myös kysymys, johon haetaan ratkaisua. FDIS pitää toimittaa viimeistään kesäkuussa 2019. Tavoitteena on saada CD2 aikaan maalisuussa 2017. AV mainitsi, että avoimen lähdekoodin yhteisöstä on tullut kommentteja, joissa koko 62304:n lähestymistapa on avoimen läähdekoodin (OSS) tuotantomallille soveltumaton eikä tuo yhteisö käytännössä voi 62304:ää käyttää. Itävallan kansallinen seurantaryhmä äänesti juuri näistä syistä CD 62304 Ed. 2:a vastaan. TC mainitsi, että OSS on melko merkittävä asia ja se tulee vastaan JWG7:ssä jatkossakin. Se tulee ottaa huomioon mm. 81001-standardissa.

ISO/IEC 82304-1 Health software - Part 1: General requirements for product safety

Standardi 82304-1 on tätä kirjoittaessa FDIS-äänestyksessä ja sen ennakoidaan läpäisevän äänestyksen. Se viittaa 62304:ään. Sitä kehitettäessä tietoturvaloukkausten määrä terveydenhuollossa ei ollut vielä herättänyt niin suurta huomiota, että 82304-1 olisi ottanut siihen tarkkoja kantoja. Tämä jää tehtäväksi myöhemmin.(ANSI) AAMI Health IT Standards Initiative HIT 1000 Health IT software and systems (series). Joe Lewelling (JL) kertoi, että standardiperhe tulee sisältämään neljä osaa. Nämä eivät ole organisaatiokohtaisia vaan sosioteknologisen systeemin kattavia. HIT-ohjelmiston ja -järjestelmän elinkaaresta laaditaan mallia ja sen eri vaiheisiin liittyviä aktiviteetteja. Dokumentti kuvaa, missä vaiheessa vastuu siirtyy osapuolelta toiselle. Näistä on tarkoitus tulla standardeja USAssa 2018-19. Työssä on mukana joitakin JWG7:n jäseniä. USA haluaa nämä standardit aika pian, mutta haluaa, että ne olisivat yhteensopivia kansainvälisten standardien kanssa.

AAMI edistää 80001:n käyttöönottoa USAssa

JL kertoi, että AAMI on laatinut johtotasolle suunnatun dokumentin, jolla edistetään 80001-standardiperheen käyttöönottoa terveydenhuollossa. Aiheesta on tarkoitus myös puhua HIMMSissä helmikuussa 2017. Terveydenhuolto-organisaatioiden ylin johto pitäisi pystyä informoimaan tietoverkkojen riskienhallinnan merkityksestä terveydenhuollon toimipisteissä.

UK PAS 277 Health and wellness apps. Quality criteria across the life cycle. Code of Practice

AV esitteli CEN/TC251:ssä äänestyksessä olevan NWIPin. Aikaa osallistua äänestykseen on vain 12.10.2016 asti ja AV kannusti europpalaisia JWG7:n jäseniä eisttämään kantojaan omien kansallisten standardointielintensä kautta. Norbert Pauli oli tutustunut dokumenttiin ja totesi ristiriitaisuuksia standardien 62304 ja 82304 kanssa. NWIP ei sisältänyt rukseja kohdassa, jossa oli mahdollisuus mainita yhteistyö ISO:n ja IEC:n kanssa. JWG7 halusi kuitenkin osallistua työhön. Syynä on se, että ehdotuksessa mainitaan dokumentin tulevaisuudessa tulevan 82304-sarjaan ja yhteensopivuus tulisi taata jo standardin valmisteluvaiheessa. JWG7 harkitsee uuden työkohteen perustamista rinnakkaiselle työlle, joka johtaisi samantyyppiseen standardiin. Ensiksi siitä tulisi kuitenkin alustava työkohde JWG7:ään.

JWG7:n standardien kehityksen projektiryhmien jäsenyys

Esiteltiin luettelo standardointiprojekteista ja niiden jäsenistä. Eksperttien pyydettiin tarkistamaan omat tietonsa listoilta ja pyytämään kansallisia standardointielimiä päivittämään tietoja, jos siellä on puutteita. JWG7:n pitkässä jäsenluettelossa on "kuolleita sieluja", joiden sähköpostiosoitekaan ei enää toimi. JWG7 ei kuitenkaan voi itse poistaa näitä eksperttejä listoiltaan, sillä se on jäsenmaiden tehtävä.

Päätökset

  1. Vahvistettiin vetäjät työkohteille 80001-1:n päivitys, 81001-1:n laadinta, 62304:n päivitys.
  2. Tietoturvan "tiger team" perustetaan tutkimaan vaihtoehtoja, miten tietoturva saadaan mukaan JWG7-standardeihin
  3.  Pyydetään ISO/TC215:a lähettämään valmiiksi saatu standardi 80001-2-9 julkaistavaksi.
  4. UK PAS277:n suhteen  halutaan tehdä yhteistyötä CEN/TC251:n kanssa, jotta siitä voisi tulla osa 82304-perhettä ja siksi perustetaan preliminary work item JWG7:ään.

Seuraavat kokoukset

JWG7 ei kokoonnu ISO/TC215-kokouksen yhteydessä Lillehammerissa, Norjassa marraskuussa 2016, mutta sen on tarkoitus kokoontua seuraavien kokousten yhteydessä.

Alpo Värri, TTY/Signaalinkäsittely, 7.10.2016