Fern-Audits für Hersteller von Medizinprodukten: Schützen Sie Ihre sensiblen Daten und Geschäftsgeheimnisse!

Die Hersteller von Medizinprodukten müssen den benannten Stellen bei Fern-Audits Zugang zu hochsensiblen Daten und Informationen gewähren. Obwohl solche Informationen normalerweise niemals den Standort des Herstellers verlassen, werden sie oft über Cloud-Dienste ausgetauscht, insbesondere in Zeiten von Reisebeschränkungen. Wie kann man die Übertragung von sensiblen Informationen zur sicheren Durchführung eines Fern-Audits bewerkstelligen? von Arik Zucker

(az) – In Zeiten von Reisebeschränkungen aufgrund des jüngsten COVID-19-Ausbruchs haben die benannten Stellen begonnen, Fern-Audits durchzuführen. Damit verbunden sind einige Vorteile. Einer davon ist sicherlich der Wegfall der Reise- und Aufenthaltskosten der Prüfer, die bei kleinen Medizinproduktherstellern erheblich sein können. Außerdem können unangekündigte Vor-Ort-Audits im Budget des Herstellers entfallen, da viele Benannte Stellen sie vorerst zurückstellen. Ein weiterer Vorteil könnte darin bestehen, dass die Prüfer nun mehr Audits und Konformitätsbewertungen pro Zeiteinheit durchführen können, da ihre eigene Reisezeit entfällt, so dass ein Effizienzgewinn beobachtet werden könnte.

Bislang ist dies alles eine positive Nachricht. Doch so einfach und unkompliziert es auch klingt, ein Fern-Audits birgt auch einige Risiken, die von vielen Medizinproduktherstellern stark vernachlässigt zu werden scheinen.

Eine entscheidende Frage ist, wie die Hersteller ihre vertraulichen Informationen und Daten der Benannten Stelle vorlegen. Es liegt im höchsten Interesse des Herstellers, interne Daten zu schützen, die sensible Informationen beinhalten, wie z.B. Herstellungsprozesse, Reklamationsstatistiken, Korrektur- und Vorbeugungsmaßnahmen, Risikoanalysen, Entwicklungspläne von zukünftigen Produkten, usw. Diese Art von Daten verlässt normalerweise während regelmäßiger Vor-Ort-Audits (welche allerdings jetzt nicht stattfinden) niemals den Standort des Herstellers. Da es unklar ist, wann wieder Normalität einkehrt, können wir davon ausgehen, dass der Arbeitsmodus des Fern-Audits noch eine Weile anhalten wird. Wenn also übertragene Daten versehentlich durchsickern, wird ein großer Teil der Geschäftsgeheimnisse des Herstellers nicht nur der Konkurrenz, sondern auch der breiteren Öffentlichkeit, einschließlich Finanzanalysten oder Medien, zugänglich. Natürlich liegt es nicht in der Verantwortung der Benannten Stelle, einen sicheren Datenaustausch bereitzustellen. Die Hersteller sind für die Festlegung des Sicherheitsniveaus für ihre vertraulichen Daten zuständig.

Während der Produktentwicklung und auch später während des Produktelebenszyklus werden die mit dem Medizinprodukt verbundenen Risiken ständig und sorgfältig bewertet und gegen den klinischen Nutzen abgewogen. Aber die Sache ist die: werden auch die Risiken von Sicherheitsverletzungen, Lecks oder böswilligen Hacks während der Datenübertragung sorgfältig und gegen das Risiko von Geschäftsverlusten abgewogen? Tatsächlich werden solche Risiken mit zunehmendem Digitalisierungsfortschritt in der Branche immer größer!

Am Ende geht es um die Frage, wie man sensible Daten und Informationen übertragen kann, um sichere Fern-Audits durchführen zu können. Sicherlich sind Cloud-Speicheroptionen wie Google Drive, Drop Box, OneDrive usw. bequem und für die beteiligten Parteien gut zugänglich. Wenn man jedoch das Kleingedruckte dieser Dienste sorgfältig liest, wird deutlich, dass durch die Annahme der Nutzungsbedingungen (die zur Nutzung dieser Dienste erforderlich sind) der Zugriff auf die gespeicherten Daten nicht nur durch Dritte, sondern auch durch Behörden möglich ist. Darüber hinaus werden die Daten von diesen Anbietern analysiert, um ihre KI / «machine learning»-Algorithmen weiterzuentwickeln. Solche Prozesse werden letzten Endes irgendwo von Menschen überwacht. Daher ist die Anzahl der Personen, die Zugang zu den auf solchen Cloud-Diensten gespeicherten Daten haben, beträchtlich. Am Ende spielt es keine Rolle, ob die Daten unbeabsichtigt oder absichtlich durchsickern. Das Risiko steigt mit der Anzahl der Personen, die Zugang haben, sowie mit der Anzahl der Server, auf denen die Daten gespeichert sind.

MedtechVault ist eine hochsichere Datenaustauschlösung für die Medizinprodukteindustrie. Die Plattform berücksichtigt die oben genannten Risiken und Schwächen: die Daten werden weder an Dritte weitergegeben noch für interne Entwicklungszwecke verwendet. Darüber hinaus werden die Daten physisch auf einem Server in Deutschland gespeichert (ebenso die Backups). Da jeder Hersteller über einen eigenen MedtechVaults verfügt, sind die Risiken durch menschliches Versagen stark reduziert, insbesondere im Vergleich zu den üblichen Cloud-Lösungen. Was den Datenzugriff betrifft, so ist es der Medizinprodukthersteller, der jeden einzelnen Benutzer definiert. Falls gewünscht, kann der Dokumentenzugriff auf die reine Anzeige am Bildschirm (und ohne Möglichkeit des Druckes oder «print screens») beschränkt werden; dies entspricht z.B. einer Vor-Ort-Dokumentenprüfung durch die Benannte Stelle. Mit anderen Worten, solche Dokumente bleiben immer unter der vollen Kontrolle des Herstellers. Und nicht zuletzt ermöglicht die selbsterklärende und benutzerfreundliche Oberfläche von MedtechVaults, alle Funktionalitäten in weniger als 5 Minuten zu verstehen. Die Flexibilität des MedtechVaults erlaubt es, auf die individuellen Bedürfnisse jedes Herstellers einzugehen. Dies bedeutet, dass der Service auch z.B. für Fern-Audits bei Lieferanten eingesetzt werden kann, welche ja von den offiziellen Inverkehrbringer durchgeführt werden müssen.

Letztendlich müssen die Medizinprodukthersteller selbst entscheiden, in welchem Umfang die Daten geschützt werden sollen und welchen Wert ihre Geschäftsgeheimnisse für ihren zukünftigen Wettbewerbsvorteil haben. Die Frage ist jedoch, ob die Hersteller, analog zum Schutz der Patienten vor Schäden durch ihre Produkte, nicht auch verpflichtet sind, ihr Geschäft und letztlich die Arbeitsplätze durch angemessenen Datenschutz zu sichern?