Vi diskuterer regulering og cybersikkerhet for medisinsk utstyr

Medisinsk utstyr og dataene de genererer er sentralt, og dette er egentlig gode nyheter for de av oss hvis liv er forbundet med disse systemene!

Den 20. juni utgav FDA et nytt utkast til veiledningsdokument som beskriver deres nåværende tenkning på hvordan de planlegger å håndheve forskriftene: Medical Device Data Systems (MDDS), som en del av innovasjonsinitiativet for medisinsk utstyr.

Denne veiledningen foreslår at byrået bruker deres "skjønnsmessig skjønn" til å "nedklassifisere" * mange medisinske datasystemer, inkludert en rekke programvareapplikasjoner som brukes til å vise, spore og analysere helsedata generert av medisinske enheter - som er stor seier for oss D-talsmenn som har presset for mer åpne retningslinjer som kan frigjøre enhedsbedrifter og tredjepartsutviklere for å skape mer nyttig programvare for å få tilgang til enhetens data og bedre håndtere vår omsorg !

(* Nedklassifisering betyr at disse elementene anses som lavere risiko for pasienter, og derfor krever mindre streng regulering. Se illustrasjon nedenfor)

Byrået vil og trenger å høre fra diabetes-samfunnet om utkastet til veiledning, og vi trenger din støtte! Mens retningen av utkastet er tydelig positiv, er det mange punkter som fortsatt må avklares.

Jeg har jobbet med #WeAreNotWaiting-teamet av pasient / omsorgspersoner, inkludert Anna McCollister-Slipp, Bennet Dunlap og Howard Look of Tidepool for å bidra til å lede en diskusjon mellom D-pasientens samfunn og FDA i de kommende ukene.

Vi ville elske din innsats og deltakelse. Vi gjør fremgang, men vi trenger bred fellesskapsstøtte for å skape denne innsatsen gjennom.

Spesielt er noe av byråets tolkning av vilkår uklart. Vi jobber med et sett med spørsmål for å sende til FDA at du kan se og kommentere her: ow. ly / zvbsp

Vi har allerede sendt en epost med en rekke spørsmål direkte til Bakul Patel, seniorpolitisk rådgiver i FDAs senter for enheter og radiologisk helse (og den som skrev sitt siste blogginnlegg på MDDS-veiledningen), og har som mål å sette opp en samtale med ham i dag.

Pluspoeng

• Vi elsker at FDA omfatter begrepet "datavisning" som regulert separat fra enhetene som genererer dataene.
• Vi elsker at FDA fjerner diabetesutslipp fra MDDS (diabetes var tidligere i sin egen separate kategori, som kompliserte regulatoriske problemer).
• Vi elsker at FDA ikke lenger vil håndheve strenge regulatoriske kontroller på MDDS-programvare, medisinske bildelagringsenheter eller medisinske bildekommunikasjonsenheter ("på grunn av lav risiko de utgjør for pasienter og betydningen de spiller for å fremme digital helse") .

Spørsmål og anbefalinger

Veiledningen foreslår at byrået vil regulere eventuelle programmer eller programvare som brukes til "aktiv pasientovervåking." Her oppfordrer vi FDA til å:

• Først klart definere bruken av begrepet "aktiv pasientovervåkning" (som kan bety en rekke ting).
• I det minste bør byrået bedre forklare de oppfattede risikoene, slik at en plan kan tas i bruk for å dempe dem.
• Vurder å fjerne denne bestemmelsen; Ubegrenset sanntidsovervåkning av CGM-data gjør at foreldre kan vite at barna er trygge!
• Vi oppfordrer FDA til å gjøre et tydeligere skille mellom GENERASJON av data og DISPLAY av data.
• Hvor nøyaktig skilles de mellom bare å se data på enhetsvisning vs. bruk av data for personlige behandlingsbeslutninger? Og må anbefalingen / beslutningen om behandling være eksplisitt (dvs. ta denne mengden insulin), eller gjelder dette alle data som kan brukes til å informere pasientens selvbehov?
• De bør forklare omtale av "programvare som gjør det mulig for tredjepartsenheter / utviklere å trekke ut / skaffe medisinsk utstyrsinformasjon" - ved dette betyr de informasjon om selve enheten, for eksempel UDIer (unike enhets-IDer), seriell tall, etc., eller enhet-genererte data om pasientens helse status, dosering, etc.?
• Vi oppfordrer FDA til å fokusere på data validitet og autentisitetssystemer.
• Vi oppfordrer FDA til å oppmuntre enhets beslutningstakere til å sette digitale signaturer på dataene, slik at nedstrøms data validitetskontroller og data provenance (eierskap av data og bruk statistikk).

En påminnelse om hvordan FDA klassifiserer medisinske enheter, FYI:

Hvis du er interessert i å hjelpe innflytelse til disse tingene (og vi håper du er) …

Slik kommenterer du dokken:

* Gå gjennom vår #WeAreNotWaiting-innføring her, og sjekk også "Tips om effektive kommentarer"

* Gå til denne linken for å sende inn ditt innspill: MDDS Guidance-kommentarformular på forskrift. gov

* Kommentarer er forfalte innen 25. august 2014 klokka 11:59 EDT

Cyber-Security i nyheten

Selv om ikke fokuset på denne nye FDA-veiledningen (som er rettet mot virkningen av disse systemene på pasientbehandling), ønsket vi å berøre spørsmålet om sikkerhet av disse enhetene: hvor sårbare er de å hacket? Vi bringer dette opp spesielt fordi emnet blir revidert av media i det siste, forårsaket av ett års jubileum av Barnaby Jacks død - den berømte hackeren som døde av en tilsynelatende overdosering av legemidler i fjor sommer.

The Verge rapporter: "Jack var en genial programmerer fra New Zealand best kjent for å lage en minibank spytte ut regninger og finne ut hvordan du trådløst hakk inn i medisinske enheter, inkludert en pacemaker og en insulinpumpe. Han skulle planlegge en tale om sistnevnte i fjor på sikkerhetskonferansen Black Hat, hvor hackere presenterte sine utnytninger for å gjøre offentligheten oppmerksom på sikkerhetsproblemer i cybersikkerhet. Hans tale var en av de mest forventede på konvensjonen, men han døde seks dager før han skulle gi den den 25. juli i fjor."

Markerer det siste jubileet, en rekke nyhetshistorier revidert hvordan ikke-ondsinnede hackere - ofte omtalt som White Hat Hacks - har påvirket den medisinske enheten scenen. Bloomberg-historien rapporterte for eksempel at Jacks innsats "presset produsentene" som Medtronic for å ansette sikkerhetsgrupper og koordinere med US Department of Homeland Security for å "gjennomføre antihackende endringer i insulinpumper og andre produkter."

Og hvem kan glemme type 1 Jay Radcliffe, en D-enhet hacker selv som brakte alt dette til lys ved å publisere det han beskriver som "sikkerhetsfeil" med Medtronic og Animas insulinpumper? Han begynte deretter å jobbe med FDA for å løse disse og relaterte enhetsproblemer.

I et samtal bare to dager før jubileumet til Jacks død, reiste Medtronic faktisk til en gruppe av Diabetes Advocates for å diskutere deres ta på dette problemet og proaktivt berolig D-fellesskapet i forkant av a ny nyheter dekning som kan gjøre dette cyber-sikkerhetsproblemet synes mer om enn de tror det er.

Medtronics tilsynsjef Mark O'Donnell sa at selskapet har overvåket Adverse Event Reports (MDRs) som er registrert hos selskapet og med FDA, og de har ikke sett noen rapporter om "insulinpump hacking" -felter på alle - og absolutt ingen rapporter om pasientskade.

Men ville de likevel gjøre slike klager offentlige, hvis noen skulle overflate?

Carolyn Schmitz, som leder Medtrons cybersikkerhetsarbeid, sier at selskapspolitikken ikke skal avsløre detaljer om noen reelle eller potensielle sårbarheter for publikum for å unngå å øke oppmerksomheten fra hackere som kanskje vil utnytte disse sårbarhetene. I stedet tar de eventuelle negative funn i betraktning for FoU-formål, for å gjøre enheter mer robuste. Og eventuelle endringer gjort går gjennom FDA. Hun bemerket også at selskapet har jobbet direkte med White Hats - aka "sikkerhetsforskere" - for å teste og undersøke produkter for potensielle sikkerhetsrisiko.

"Vi tar det veldig alvorlig, og vi har kontaktet forskjellige regulatorer og forskere for å hjelpe til med å reagere på risikoen, industrien og med vår egen pumpe," sa O'Donnell og la til: "Vi ser det ikke som et betydelig problem … og vi fortsetter å tro at risikoen er svært lav. "

Visst, dette er bare ett pumpefirma - men verdensmarkedsføreren på det. Vi må anta en annen insulinpumpe, og med enhetsselskaper jobber det hardt med å sikre sine enheter og datalager også (se også: ifølge produsentene er det ikke en stor sak, til tross for hva de dramatiske overskriftene kan bety).

Ansvarsfraskrivelse : Innhold opprettet av Diabetes Mine-teamet. For flere detaljer klikk her.

Ansvar

Dette innholdet er opprettet for Diabetes Mine, en forbrukerhelseblogg fokusert på diabetessamfunnet. Innholdet er ikke medisinsk gjennomgått og overholder ikke Healthlines redaksjonelle retningslinjer. For mer informasjon om Healthlines partnerskap med Diabetes Mine, vennligst klikk her.