Die digitale Welt verändert sich rasant, insbesondere durch die Cloud-Technologie. Es ist daher von entscheidender Bedeutung, dass auch Medizinprodukte auf Cloud Services oder Applikationen basieren. Nur so kann die medizinische Welt mit der digitalen Entwicklung Schritt halten. Dies eröffnet enorme Potenziale für Patienten und Hersteller von Medizinprodukten. Doch wie kann die Cloud in diesem stark regulierten Umfeld verifiziert werden, um sie sicher einsetzen zu können?
Herausforderung – Die Regulierungsbehörden
Im Gesundheitswesen steht der Patient und dessen Schutz an erster Stelle. Um dies zu gewährleisten, geben Regulierungsbehörden wie die Food and Drug Administration (FDA) oder die European Medicines Agency (EMA) strikte Richtlinien und Vorgaben für Medizinprodukte vor. Erst nachdem ein Nachweis für deren Einhaltung erbracht und von den Behörden genehmigt wurde, darf ein Hersteller das Produkt in bestimmten Regionen, wie z.B. den USA, vertreiben.
Welche Richtlinien und Vorgaben existieren für Cloud Services oder Applikationen?
Keine. Sowohl die FDA als auch die EMA haben mehrere aufeinander aufbauende Richtlinien. Die relevantesten Richtlinien der FDA ([1][2][3][4]) und der EMA ([5][6]) unterscheiden sich in der Gliederung und Aufbau. Der Fokus beider Behörden liegt bei der Einhaltung und Validierung von Standards, Sicherheit, Datenintegrität, Dokumentation aller Arbeitsschritte (inkl. Validierung, Qualitätskontrolle, Risikomanagement, etc.) und Audits (vereinfacht ausgedrückt).
Die Formulierung der Richtlinien und Vorgaben ist agnostisch, aber dennoch basierend auf dem Wissen von On-Premise Systemen. Wie kann ein Hersteller den Nachweis der Datenintegrität und -sicherheit, der Zuverlässigkeit, der Einhaltung von z.B. ISO-Standards in der Cloud erbringen? Und das auch noch auditierbar?
Well-Architected Framework als Hilfeleistung?
Die heute prominentesten Hyperscaler und Cloud Service Anbieter Amazon Web Services (AWS)[7], Google Cloud Platform (GCP)[8] und Microsoft Azure[9] stellen unter dem Begriff Well-Architected Framework ein umfangreiches Werkzeug zur Verfügung. Dieses Werkzeug kann Hersteller unterstützen, einen Teil der geforderten Nachweise zu erbringen. Das Framework definiert sechs Grundpfeiler, Designprinzipien & Best Practices, Sichten und Vorlagen zur Beurteilung einer Architektur.
Grundpfeiler – Jedes System muss auf einem stabilen Fundament stehen. Damit die geforderte Leistung erbracht werden kann, dürfen die nachfolgend aufgeführten sechs Grundpfeiler nicht vernachlässigt werden.
- Operative Exzellenz: Die Verpflichtung, Software korrekt zu entwickeln und dabei durchgehend ein hervorragendes Kundenerlebnis zu bieten.
- Sicherheit: Daten, Systeme und Komponenten schützen
- Zuverlässigkeit: Die Fähigkeit eines Workloads, die beabsichtigte Funktion erwartungsgemäß korrekt und konsistent auszuführen.
- Leistungseffizienz: Die Fähigkeit zur effizienten Nutzung von Cloud-Ressourcen, um die Leistungsanforderungen zu erfüllen, sowie die Aufrechterhaltung dieser Effizienz bei Nachfrageänderungen.
- Kostenoptimierung: Die Fähigkeit, den geschäftlichen Wert bei geringstmöglichen Kosten zu liefern.
- Nachhaltigkeit: Die Auswirkungen auf die Umwelt, insbesondere den Energieverbrauch und -effizienz.
Für jeden dieser Grundpfeiler existieren detaillierte Whitepapers mit Designprinzipien und Best Practices.
Sichten – Mit spezifischen Sichten und der Verwendung des gesamten Frameworks kann die Architektur auf eine ganz bestimmte Art und Weise betrachtet und beurteilt werden. AWS stellt maßgeschneiderte Schichten für die Gesundheitsindustrie, Finanzdienstleistungen, Machine Learning, IoT, und noch viele weitere bereit. Mit Hilfe dieser Sichten hat ein Hersteller die Chance, spezifisch auf seine Bedürfnisse einzugehen und zu verifizieren.
Beurteilung der Architektur – Basierend auf den Sichten, Grundpfeilern, Designprinzipien & Best Practices und einem detaillierten Fragenkatalog kann die Architektur eines Systems beurteilt werden. Mithilfe dieser Beurteilung könnte die Konformität der Richtlinien unterstüzt werden. Wie für jedes System gilt auch hier: Review, Adapt, Repeat. Wie sich die Architektur und das System weiterentwickeln, so muss auch die Beurteilung angepasst und wiederholt werden.
Genügt das?
Nein, aber es ist definitiv besser als gar nichts. Das Well-Architected Framework ermöglicht eine strukturierte Herangehensweise, wie eine Cloud-Architektur definiert, überprüft und eventuell validiert werden kann. Es kann nicht einem Audit gleichgestellt werden. Die resultierenden Artefakte können jedoch als Input dienen, um die geforderten Nachweise zu erbringen.
Weiterführende Links zum Thema
Richtlinien und Vorgaben
[1] Guidance for Industry – Computerized Systems Used In Clinical Trials, https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/fda-bioresearch-monitoring-information/guidance-industry-computerized-systems-used-clinical-trials
[2] 21 CFR Part 11, Electronic Records; Electronic Signatures – Scope and Application (Guidance for Industry), https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
[3] General Principles of Software Validation (Guidance for Industry and FDA Staff) https://www.fda.gov/regulatory-information/search-fda-guidance-documents/general-principles-software-validation
[4] Software as a Medical Device (SaMD), https://www.fda.gov/medical-devices/digital-health-center-excellence/software-medical-device-samd
[5] General Safety and Performance Requirements (Annex I), https://www.medical-device-regulation.eu/2019/07/23/annex-i-general-safety-and-performance-requirements/
[6] Technical Documentation (Annex II), https://www.medical-device-regulation.eu/2019/07/25/annex-ii/
Well-Architected Framework
[7] AWS Well-Architected Framework, https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html
[8] Google Cloud Architecture Framework, https://cloud.google.com/architecture/framework
[9] Azure Well-Architected Framework, https://learn.microsoft.com/en-us/azure/well-architected/
