PŘEDBĚŽNÁ ČESKÁ TECHNICKÁ NORMA

ICS 35.240.80 Říjen 2010

Zdravotnická informatika – Klasifikace bezpečnostních rizik ze zdravotnického software

ČSN P
ISO/TS 25238

98 2022

Health informatics – Classification of safety risks from health software

Informatique de sante – Classification des risques de securité à partir ďun logiciel de sante

Medizinische Informatik – Klassifikation der Sicherheitsrisiken von Software aus dem Bereich Gesundheitswesen

Tato předběžná norma je českou verzí technické specifikace ISO/TS 25238:2007. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This prestandard is the Czech version of the Technical Specification ISO/TS 25238:2007. It was translated by Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

 

 

Národní předmluva

Upozornění na používání této normy

Tato předběžná česká technická specifikace přejímá technickou specifikaci ISO/TS 25238:2007 vydanou v souladu se směrnicemi ISO/IEC, Část 1 a je určena k ověření. Případné připomínky k obsahu technické specifikace přijímá Úřad pro technickou normalizaci, metrologii a státní zkušebnictví, Odbor technické normalizace,
Gorazdova 24, 128 01 Praha 2.

Převzetí TS do národních norem členů ISO/IEC není povinné a tato TS nemusí být na národní úrovni převzata jako normativní dokument.

Souvisící ČSN

ČSN EN ISO 14971:2009 (85 5231) Zdravotnické prostředky – Aplikace řízení rizika na zdravotnické prostředky

ČSN ISO/IEC 17799:2006 (36 9790) Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací

ČSN EN 60601-1-4 Zdravotnické elektrické přístroje – Část 1: Všeobecné požadavky na bezpečnost – 4. skupinová norma: Programovatelné zdravotnické elektrické systémy

ČSN EN 61508-4:2002 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností – Část 4: Definice a zkratky

ČSN EN 61508 (všechny části) Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností

TNI 01 0351:2010 Management rizik – Slovník (Pokyn 73)

Vysvětlivky k textu převzaté normy 

anglický termín

obvyklé termíny

použitý termín

ambulance dispatch systems

  • dispečerské systémy záchranné služby

  • systémy záchranné služby

dispečerské systémy záchranné služby

assessment

  • posouzení

  • odhad

posouzení

 

categorization

  • kategorizace

  • třídění (do kategorií)

kategorizace

 

  • CDRH

  • Centre for Devices and Radiological Health

  • Centrum CDRH

  • Středisko pro ohrožení zdraví působením přístrojů a zářením

Centrum CDRH

clinician

  • lékař

  • klinický lékař

lékař

consequence

  • důsledek

  • následek

důsledek

control

  • řízení

  • kontrola

  • řízení

  • kontrola

decision support systems

  • systémy podpory rozhodování

  • systémy podpory klinického rozhodování

systémy podpory rozhodování

  • electronic prescribing

  • e-prescribing

  • elektronická preskripce

  • e-preskripce

  • elektronická preskripce

  • e-preskripce

event

  • událost

  • případ

událost

failure

  • chyba (software)

  • nemožnost něco udělat (například diagnostikovat)

  • porucha (hardware)

  • chyba (software)

  • nemožnost něco udělat (například diagnostikovat)

fault

  • vada

  • závada

  • poruchový stav

vada

 

  • FDA

  • Food and Drug Administration (USA)

  • Úřad FDA

  • (Vládní) úřad pro kontrolu potravin a léků

Úřad FDA

generic prescribtion

  • generická prescripce

  • prescripce předpřipravená formou předlohy

generická prescripce

GP systems

  • systémy pro praktické lékaře

  • GP systémy

systémy pro praktické lékaře

  • guidance

  • guidelines

  • pokyny

  • směrnice

  • pokyny

  • směrnice

hazard

  • nebezpečí

  • riziko

nebezpečí

incident

  • příhoda

  • incident

  • příhoda

  • incident

likelihood

  • věrohodnost (výskytu)

  • pravděpodobnost výskytu

věrohodnost (výskytu)

medical devices

  • zdravotnické prostředky

  • prostředky zdravotnické techniky

zdravotnické prostředky (včetně příslušného software)

mitigation

  • zmírnění

  • omezení negativních důsledků

zmírnění

mode of operation

  • režim provozu

  • režim činnosti

režim provozu

production

  • tvorba (SW)

  • výroba (HW)

  • tvorba (SW)

  • výroba (HW)

risk avoidance

  • zabránění vzniku rizika

  • vyhnutí se riziku

zabránění vzniku rizika

 

risk control

  • omezení vzniku rizika

  • implementace rozhodnutí managementu rizika

omezení vzniku rizika

 

  • risk estimation

  • risk evaluation

  • odhad rizika

  • hodnocení rizika

  • odhad rizika

  • hodnocení rizika

 

risk management

  • management rizika

  • řízení rizika

  • potlačování rizika

management rizika

screening

  • screening

  • (hromadné) vyšetření

screening

stakeholder

  • zúčastněná strana

  • depozitář peněz

zúčastněná strana

 

  • SW products

  • software products

  • SW produkt

  • softwarový produkt

  • SW produkt

  • softwarový produkt

validation

  • validace

  • potvrzení platnosti

  • validace

  • potvrzení platnosti

Upozornění na národní poznámky

Do dokumentu byly do kapitoly 4 a k článku A.2 doplněny informativní národní poznámky.

Vypracování normy

Zpracovatel: Anna Juráková, Praha, IČ 61278386, RNDr. Karel Jurák, PhD.

Technická normalizační komise: TNK 20 Informační technologie

Pracovník Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Petr Wallenfels


MEZINÁRODNÍ TECHNICKÁ SPECIFIKACE ISO/TS 25238

Zdravotnická informatika – Klasifikace bezpečnostních První vydání
rizik ze zdravotnického software
2007-06

ICS 35.240.80

Obsah

Strana

Předmluva 6

Úvod 7

1 Předmět technické specifikace 9

2 Termíny a definice 9

3 Zkrácené termíny 10

4 Principy a analýza nebezpečí a rizik 10

5 Zařazení zdravotnického softwarového produktu do třídy rizika 11

5.1 Úvod 11

5.2 Zařazení do kategorií důsledků 12

5.3 Přiřazení věrohodnosti výskytu k důsledkům 13

5.4 Třídy rizika 14

5.5 Zařazení zdravotnického softwarového produktu do třídy rizika 15

5.6 Iterační postup 15

6 Analytický proces 15

6.1 Všeobecně 15

6.2 Angažovanost zúčastněných stran 15

6.3 Porozumění systému a prostředí uživatele 15

6.4 Analýza důsledků 15

6.5 Analýza věrohodnosti výskytu 16

6.6 Iterace 17

6.7 Revize 17

6.8 Dokumentace 17

6.9 Knihovna příhod 17

7 Příklady zařazení produktů do tříd rizika 17

8 Vztah mezi třídami rizika a návrhem a kontrolou při tvorbě produktů 17

Příloha A (informativní) Zdravotnické softwarové produkty a zdravotnické prostředky – srovnání 18

Příloha B (informativní) Příklady zařazení do tříd rizika 21

Příloha C (informativní) Ilustrace podstaty vztahu mezi třídami rizika a potenciálními kontrolami pro management rizika 25

Bibliografie 27

 

Odmítnutí odpovědnosti za manipulaci s PDF souborem

Tento soubor PDF může obsahovat vložené typy písma. V souladu s licenční politikou Adobe lze tento soubor tisknout nebo prohlížet, ale nesmí být editován, pokud nejsou typy písma, které jsou vloženy, používány na základě licence a instalovány v počítači, na němž se editace provádí. Při stažení tohoto souboru přejímají jeho uživatelé odpovědnost za to, že nebude porušena licenční politika Adobe. Ústřední sekretariát ISO nepřejímá za její porušení žádnou odpovědnost.

Adobe je obchodní značka „Adobe Systems Incorporated“.

Podrobnosti o softwarových produktech použitých k vytvoření tohoto souboru PDF lze najít ve Všeobecných informacích, které se vztahují k souboru; parametry, na jejichž základě byl PDF soubor vytvořen, byly optimalizovány pro tisk. Soubor byl zpracován s maximální péčí tak, aby ho členské organizace ISO mohly používat. V málo pravděpodobném případě, že vznikne problém, který se týká souboru,
informujte o tom Ústřední sekretariát ISO na níže uvedené adrese.

 

[image]

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO 2007

Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese, nebo od členské organizace ISO v zemi žadatele.

ISO copyright office

Case postale 56 · CH-1211 Geneva 20

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

E-mail copyright@iso.org

Web www.iso.org

Published in Switzerland

Předmluva

ISO (Mezinárodní organizace pro normalizaci) je celosvětovou federací národních normalizačních organizací (členských organizací ISO). Příprava mezinárodních norem je obvykle prováděna technickými komisemi ISO. Každá členská organizace, zainteresovaná na předmětu, pro který byla technická komise zřízena, má právo být reprezentována v této komisi. Mezinárodní organizace, vládní i nevládní, které jsou ve vztahu k ISO, se rovněž účastní práce. ISO těsně spolupracuje s Mezinárodní elektrotechnickou komisí (IEC) v záležitostech elektrotechnické normalizace.

Mezinárodní normy se navrhují ve shodě s pravidly uvedenými v Části 2 směrnic ISO/IEC.

Hlavním úkolem technických komisí je připravovat mezinárodní normy. Návrhy mezinárodních norem upravené technickými komisemi jsou předloženy členským organizacím k hlasování. Publikování jako mezinárodní norma vyžaduje souhlas alespoň 75 % hlasujících členských organizací.

Za jiných okolností, zejména když to vyžaduje naléhavý zájem trhu, mohou technické komise publikovat jiné typy normativních dokumentů:

Dokument ISO/PAS nebo ISO/TS je prověřován po třech letech, kdy se rozhodne, zda bude dokument potvrzen na další tři roky, opraven a stane se mezinárodní normou nebo zda bude dokument zrušen. Jestliže je dokument ISO/PAS nebo ISO/TS potvrzen, bude prověřován opět po dalších třech letech. V této době musí být buď převeden na mezinárodní normu, nebo musí být zrušen.

Je nutné upozornit na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. Organizace ISO nesmí být brána k odpovědnosti za identifikování libovolných nebo všech takových patentových práv.

Specifikace ISO/TS 25238 byla vypracována Technickou komisí ISO/TC 215, Zdravotnická informatika.

Úvod

V minulosti byl software, který se vztahuje ke zdraví, používán zejména pro relativně nekritické administrativní funkce, kde potenciální poškození pacienta bylo malé, na rozdíl od potenciálního „poškození“ organizace. Klinické systémy byly obecně jednoduché a často s velkým administrativním (spíše než klinickým) obsahem a s malou možností ovlivňovat rozhodování. Dokonce systémy pro podporu klinických rozhodování měly malý vliv. Měly relativně jednoduchou a srozumitelnou logiku a byly používány jako východisko pro příslušná rozhodnutí spíše, než že by rutinně ovlivňovaly nějaká rozhodnutí. Toto se změnilo a pokračují další změny. Podstata těchto změn bude zvyšovat potenciální rizika pro pacienty.

Vyskytly se závažné příhody vztahující se ke klinickému softwaru, například v oblasti screeningu a předvolání a/nebo opakovaném předvolání (pacienta), kde chybná funkce software způsobila, že „rizikoví“ pacienti nebyli předvoláni. Takové příhody vyvolaly nejen úzkost mnoha pacientů, avšak v některých případech mohly vést i k předčasnému úmrtí. Důvěra veřejnosti byla značně poškozena. Rozsah prováděného screeningu pro řadu nemocí se neustále zvyšuje a zahrnuje velké množství subjektů, které administrativně a klinicky velmi spoléhají na software, který detekuje normální a abnormální prvky a „předvolává“ nebo „zpracovává“ osoby, které se zdají být rizikové. Pro tyto účely musí být příslušný software spolehlivý.

Celosvětově narůstají obavy související s velkým počtem klinických příhod, kterým bylo možno předejít a které mají nepříznivý vliv na pacienty. Významná část takových příhod má za důsledek zbytečná úmrtí nebo závažná postižení (viz odkazy [1], [2], [3], [4], [5] a [6]). Řada takových zbytečných příhod zahrnuje nepřesné nebo „chybné“ diagnózy nebo další rozhodnutí. Dalším faktorem je často chybějící nebo neúplná informace nebo prostě neznalosti, například klinické volby za obtížných okolností nebo vzájemné ovlivňování léčebných postupů.

Je rozšířeným názorem, že informační systémy, například podpora rozhodování, protokoly, doporučené postupy a „algoritmy“ (pathways) mohou významně snížit související nepříznivé důsledky. Zejména z tohoto důvodu (kromě mnoha dalších existujících důvodů) se budou více využívat systémy podpory rozhodování a „systémy managementu nemoci“, které budou nevyhnutelně zvyšovat svoji složitost a komplexnost. Lze rovněž předpokládat, že z důvodu nedostatku času a z lékařsko-právních aspektů, budou pracovníci zdravotní péče stále více spoléhat na takové systémy a budou méně zkoumat jejich „výstupy“. Jelikož takové systémy jsou stále častěji integrovány do zdravotní péče, může být libovolné nepoužití takových prostředků standardní podpory kritizováno z právního hlediska.

Zvýšená podpora rozhodování může být přijatelná nejen pro klinické léčení, ale rovněž v oblastech důležitých pro bezpečnost pacienta, jako je rozhodnutí o doporučení k odbornému/dalšímu vyšetření, kde nesprávné
doporučení či jeho zpoždění může mít vážné důsledky.

Ekonomické tlaky rovněž více vedou k systémům podpory rozhodování. Nejběžnější je používání generické a/nebo ekonomické preskripce, avšak jiná je ekonomie v počtu a nákladech na klinické vyšetřovací testy.

Systémy, jako je podpora rozhodování, mají značný potenciál pro snížení klinických chyb a pro zlepšení klinické praxe. Velké množství publikovaných důkazů svědčí například o snižování chyb a nežádoucích příhod, které souvisí s nasazením elektronické preskripce. Všechny takové systémy však rovněž zahrnují potenciální vznik poškození. Poškození může být ovšem důsledkem nedotazování se a/nebo neprofesionálního použití, přestože výrobci mohou potlačit vznik takových okolností, například zabezpečením návodů k použití, školením a prezentačními technikami „s projekcí/na obrazovce“, pokyny nebo instrukcemi. Možnost vzniku škody může rovněž spočívat v systému návrhu, například v následujících oblastech:

Některé z těchto nedostatků systémů jsou nenápadné a mohou být pro jejich uživatele neviditelné.

Výrazné zvýšení nákladů na správu informací a na technologie je průkazný v mnoha národních zdravotních systémech. Příslušné časové tabulky jsou často velmi těsné a cíle jsou ambiciózní. Tyto zvýšené náklady mohou přitahovat nové „tvůrce“ software, z nichž někteří mohou mít malé zkušenosti v oblasti zdravotní péče. Takové okolnosti mohou vytvářet zvýšená rizika pro dobrý stav pacientů.

Část předvídatelné exploze v oblasti informačních a komunikačních technologií bude zdravotní péče na dálku (telemedicina). Řada zdravotnických softwarových produktů, které podporují takové aplikace, budou inovativní a nevyzkoušené a vzdálenost mezi lékaři a pacienty bude zdrojem velkých chyb, které budou ale současně méně průkazné. Podobně, zvýšené používání moderních mobilních IT zařízení a jejich využívání v nových
oblastech může souviset s dalšími riziky.

Ač jsme dosud řadu let vzdáleni od bezpapírových, bezfilmových nemocnic, praktičtí lékaři k tomuto stavu směřují. Nemožnost ověřit si problém na papíru či filmu vede ke zvýšenému spoléhání na počítače a databáze. Poškození a ztráta dat mohou vést nejen k administrativnímu chaosu, mohou však výrazně ovlivnit péči o pacienta.

V souhrnu tedy, potenciální poškození pacientů, které souvisí s používáním informačních a komunikačních technologií (ICT) ve zdravotních aplikacích bude vzrůstat se vzrůstem ICT ve zdravotních aplikacích. Složitost těchto aplikací vzrůstá a roste spoléhání se na ICT. Jsou důkazy o tom, že se zvyšují obavy mezi profesionály a veřejností ohledně takových příhod, kdy selhání software vede k nežádoucím zdravotním důsledkům.

Tedy v souhrnu se řada zdravotnických organizací stále více zaměřuje na normy na „záruky pomocí kontrol“, včetně „dozoru“ a „management rizika“. Důležitou vlastností takových kontrol je management rizika v kontextu poškození pacientů a nedostatků v kvalitě péče. Výsledky takových kontrol budou často zahrnovat nákup a používání zdravotnických softwarových produktů.

Chyby a nedostatky ve zdravotnických softwarových produktech mají ovšem nežádoucí dopad nejen na poškozování pacientů. Mohou například vytvářet administrativní obtíže nebo dokonce administrativní chaos s velkou řadou dopadů na organizaci, včetně finančních ztrát. Poškození pacientů může mít dopad na organizaci, jako je finanční ztráta ze soudních sporů. Tyto nepříznivé dopady budou pro organizaci významné, nejsou však předmětem této technické specifikace, pokud nevedou k poškození pacienta. Například, chyba nemocničního centrálního administrativního systému pacientů může zajisté způsobit značné administrativní obtíže, avšak tento nežádoucí dopad není předmětem této technické specifikace, pokud nemůže potenciálně způsobit poškození pacienta (což je však možné). Předmětem této technické specifikace je potenciální poškození pacienta.

Bezpečnost léčivých přípravků a zdravotnických prostředků se v mnoha zemích zaručuje řadou právních a administrativních opatření, například v Evropské unii je toto předmětem několika směrnic EU (viz odkazy [7], [8], [9]). Tato opatření jsou často podporována řadou bezpečnostních norem z řady zdrojů, národních a mezinárodních, včetně norem ISO (Organization for Standardization), CEN (European Committee for Standardization) a  IEC (International Electrotechnical Commission). Software nutný pro správné používání nebo fungování zdravotnických prostředků je často doprovázen těmito právními omezeními. Avšak další software používaný ve zdravotní péči není obvykle takto ošetřen. Tato technická specifikace je zaměřena na software používaný ve zdravotnictví, s výjimkou takového, který je nutný pro správné používání a fungování zdravotnických prostředků. 

Nutným východiskem pro stanovení a zavedení vhodných kontrol návrhu a vytváření produktu takového, aby se minimalizovala rizika pro pacienty ze selhání produktu nebo z neadekvátní funkce, je důkladné pochopení
nebezpečí, která může produkt představovat pro pacienty, jestliže by se vyskytlo selhání nebo neúmyslná událost a pravděpodobnost toho, že takové selhání nebo událost může vyvolat poškození pacienta. Navíc, jestliže tvůrcům zdravotnických softwarových produktů mají být dány pokyny pro kontrolu návrhu a tvorby SW (a odpovídající normy budou vytvořeny), potom bude nezbytné pochopit, že kontroly nutné pro produkt představující malé riziko budou malé ve srovnání s kontrolami pro produkty s velkými riziky. Kontrola musí odpovídat úrovni rizika, které produkt může představovat pro pacienta. Pro tyto účely existuje mnoho norem, právních předpisů a specifikací, které se zabývají omezením vzniku rizik při návrhu a tvorbě, které seskupují produkty do omezeného počtu tříd nebo typů podle rizika, které mohou představovat.

Tato technická specifikace představuje proces takového seskupování zdravotnických softwarových produktů. Specifikace navrhuje pět tříd rizika a bude podporovat široké třídění obecně použitelných typů produktů a individuálních produktů, které dovolují různé úrovně nebo přísnosti při používání kontrol návrhu a tvorby, které odpovídají uvažovanému riziku. Navržená klasifikace tedy může být východiskem pro normy na kontrolu návrhu a tvorby, přičemž kontrola tvorby SW může vyžadovat mnohem podrobnější specifikaci, hloubkovou a rigorózní analýzu rizika pro konkrétní produkt, než která by byla vyžadována pro široký proces klasifikace v této technické specifikaci. Jsou uvedeny příklady použití procesu zařazení řady různých typů zdravotnických softwarových produktů do tříd rizika.

Termín „zdravotnické softwarové produkty“ se vztahuje na libovolný zdravotnický softwarový produkt, ať je nebo není umístěn na trhu a zda se prodává nebo je zdarma. Tato technická specifikace se tedy vztahuje jak na
komerční produkty, tak na zdravotnický software typu „open-source“ (software k volnému použití) a software vytvořený a používaný pouze pro jednu zdravotnickou organizaci, například nemocnici. Existuje velká řada zdravotnických softwarových produktů, od jednoduchých výzkumných databází až po systémy předvolávání a/nebo opakovaného předvolávání, systémy podpory klinického rozhodování, systémy elektronických zdravotních záznamů, dispečerské systémy záchranné služby, systémy pro nemocniční klinické laboratoře a systémy pro praktické lékaře. Příloha B poskytuje čtyři příklady použití této technické specifikace na různé zdravotnické softwarové produkty. Avšak libovolný software, který je nutný pro správné používání nebo fungování zdravotnických prostředků je mimo předmět této technické specifikace.


1 Předmět technické specifikace

Tato technická specifikace je zaměřena na bezpečnost pacientů a obsahuje pokyny pro analýzu a kategorizaci nebezpečí a rizik pro pacienty, které souvisí se zdravotnickými softwarovými produkty tak, aby bylo možné přidělit libovolnému produktu jednu z pěti tříd rizika. Toto platí pro nebezpečí a rizika, která mohou způsobit poškození pacienta. Další rizika, jako jsou finanční a organizační rizika, jsou mimo předmět této technické specifikace, pokud nezahrnují potenciální poškození pacienta.

Tato technická specifikace platí pro libovolný zdravotnický softwarový produkt, ať je nebo není umístěn na trhu a zda je na prodej nebo zdarma. Jsou uvedeny příklady použití klasifikačního schématu.

Tato technická specifikace se nevztahuje na libovolný software, který je nutný pro správné používání nebo fungování zdravotnických prostředků.

POZNÁMKA Tato technická specifikace je určena pro zařazení zdravotnického softwaru do širokých tříd rizika. Tyto třídy mohou pomáhat při rozhodování o rozsahu kontrol pro zajištění bezpečnosti. Specifikace není určena pro analýzu rizik a management rizika při návrhu zdravotnických softwarových produktů a pro snižování libovolných identifikovaných rizik na přijatelnou úroveň (viz přílohu A). 

Konec náhledu - text dále pokračuje v placené verzi ČSN. 

Zdroj: www.cni.cz