Regulatorní poradenství pro software zdravotnických prostředků (SaMD)

ISO 13485: Základ pro shodu zdravotnických prostředků

ISO 13485 je základní norma pro organizace vyvíjející a uvádějící zdravotnické prostředky na trh. Stanovuje požadavky na systém managementu kvality (QMS) k zajištění konzistentní kvality a bezpečnosti produktu.

ISO 13485 nespecifikuje, jak by měl být produkt navržen nebo vyvinut; jde spíše o provozní opatření vaší společnosti.

IEC 62304: Řízení životního cyklu softwaru

IEC 62304 se zaměřuje konkrétně na životní cyklus softwaru a pokrývá:

• Počáteční návrh a vývoj.

• Implementaci a verifikaci.

• Průběžnou údržbu.

• Ukončení provozu a stažení z trhu.

Tato norma zajišťuje, že každá fáze životního cyklu produktu je kontrolována a dokumentována. Spolupracuje s dalšími normami, aby zajistila bezproblémový proces.

ISO 14971: Efektivní řízení rizik

Žádný zdravotnický prostředek nemůže vstoupit na trh bez robustního systému řízení rizik, na což se zaměřuje ISO 14971. Tato norma zdůrazňuje:

• Identifikaci potenciálních rizik

• Hodnocení a zmírnění těchto rizik

• Kontinuální monitorování rizik po celou dobu životního cyklu produktu

ISO 14971 musí být úzce integrována s IEC 62304, aby se sladilo řízení rizik s procesy návrhu a vývoje. Implementace těchto standardů izolovaně by vedla k neefektivnosti a mezerám v dodržování předpisů.

IEC 81001-5-1: Řešení rizik kybernetické bezpečnosti

Rizika kybernetické bezpečnosti jsou stále významnější a vyžadují samostatnou normu: IEC 81001-5-1. Na rozdíl od tradičního řízení rizik popsaného v ISO 14971 se tato norma zaměřuje na řízení technických rizik, jako jsou:

• Identifikace hrozeb

• Správa zranitelností

• Bezpečnostní kontroly specifické pro zdravotnický software

Kybernetická bezpečnost a řízení rizik musí spolupracovat, aby poskytly úplný obraz potenciálních hrozeb a zajistily bezpečnost pacientů i dat.

Nařízení o zdravotnických prostředcích (MDR): Nadřazený rámec

Nařízení EU o zdravotnických prostředcích (MDR) slouží jako nadřazený regulatorní rámec, který konsoliduje všechny požadavky z ISO 13485, IEC 62304, ISO 14971 a dalších norem.

Kromě toho MDR také zdůrazňuje:

• Soukromí a nakládání s lékařskými daty.

• Opatření pro bezpečnost dat na úrovni organizace, jako jsou zálohy a řízený přístup.

Zde se projevuje spojení s IEC 81001-5-1, protože kybernetická bezpečnost je kritickým aspektem shody.

ISO 27001: Bezpečnost dat v organizaci

Zatímco IEC 81001-5-1 se zabývá kybernetickou bezpečností na úrovni produktu, ISO 27001 se zaměřuje na širší bezpečnost dat v organizaci, včetně:

• Ukládání dat a správa přístupu

• Zálohovací systémy

• Plánování reakce na incidenty

Ačkoli není povinné, ISO 27001 nabízí komplexní rámec pro řízení rizik informační bezpečnosti. Pro povinnou shodu v Evropě musí organizace také zvážit požadavky NIS 2.

Umělá inteligence a software zdravotnických prostředků

Umělá inteligence (AI) je stále více integrována do softwaru zdravotnických prostředků. Nařízení EU o AI stanoví normativní rámec pro AI systémy, který musí být implementován v souladu s dalšími normami, jako jsou:

• IEC 22989 pro koncepty a terminologii AI

• IEC 23053 pro vysvětlitelnost AI

• IEC 23894 pro řízení rizik AI

Pro holistický přístup k softwaru zdravotnických prostředků nelze opomenout shodu s AI.

Předpisy FDA: Sladění s americkými normami

Pro organizace zaměřené na americký trh je třeba zohlednit také předpisy FDA. Tyto předpisy doplňují normy ISO a IEC definováním specifických požadavků na:

• Návrhové kontroly (21 CFR 820.30)

• Elektronické záznamy (21 CFR Part 11)

• Procesy podání jako 510(k) pro vstup na trh