Produsenten av medisinsk utstyr har ansvar for at utstyr fungerer etter hensikten. Dette innebærer at forvaltning av MU som regel vil innebære tett samarbeid mellom virksomheten og produsentene/ leverandørene. Service på stedet er vanlig, men også ulike typer fjernovervåkning og fjernsupport benyttes. I de tilfeller leverandøren har som formål å behandle helse- og personopplysninger på vegne av virksomheten vil også leverandøren ha rollen som databehandler. Da må det inngås en databehandleravtale.
I dette kapitlet omtales fire områder av sikkerhetsmessig betydning ved samarbeid med leverandører: Anskaffelser, service og support fysisk hos virksomheten, fjernsupport og bruk av databehandler. Oppfølging av leverandører er et viktig område. Godt samarbeid mellom alle interessenter (f.eks. medisinsk-teknologisk avdeling, IKT og Innkjøpsfunksjonen) og gode rutiner fra anskaffelse til utfasing av utstyr er vesentlig.
Krav til informasjonssikkerhet og personvern til medisinsk utstyr ved anskaffelser
I forbindelse med anskaffelser vil en virksomhet ofte ha en god mulighet til å stille sikkerhetskrav overfor mulige leverandører av medisinsk utstyr. Krav til informasjonssikkerhet vil være en av flere typer krav. Selv om kravene til funksjon og bruk naturlig vil veie tyngst, så bør likevel relevante krav til informasjonssikkerhet inngå.
Som et utgangspunkt for krav til leverandører anbefales det å bruke Vedlegg til Normen - Oversikt over Normens krav mappet mot krav i anskaffelser, krav i ISO 27001 og kontroller i ISO 27002
Videre kan veilederen MDCG 2019-16 - Guidance on Cybersecurity for medical devices (ec.europa.eu) brukes for å finne relevante sikkerhetskrav som kan stilles ved anskaffelse av medisinsk utstyr. Veilederen beskriver hvordan produsenter av medisinsk utstyr kan oppfylle relevante krav til informasjonssikkerhet i Annex 1 i MDR og IVDR (Se kapittel 2 for nærmere omtale). Mange av kravene som stilles i veilederen kan være egnet å ta inn i kravspesifikasjoner ved anskaffelser. Eksempler på krav som kan stilles til produsenten (med referanse til DocsRoom - European Commission (europa.eu) kan være:
- Sikkerhetskapabiliteter som må være på plass (kap. 3.3 Security Capabilities),
- systemer for rapportering av sikkerhetsrelaterte hendelser og distribusjon av sikkerhetsoppdateringer knyttet til utstyret (kap. 3.8 Lifecycle Aspects), og
- dokumentasjon og brukerdokumentasjon knyttet til informasjonssikkerhet (kap. 4 Documentation and Instructions for use).
For nettverkstilknyttet utstyr er det i tillegg relevant å ta med krav som er mer direkte knyttet til muligheten for å sikre MU som skal anskaffes mot digitale angrep. Her kan anbefalinger fra amerikanske myndigheter (FDA) være et nyttig utgangspunkt for kravspesifikasjoner. FDA kommer med flere anbefalinger om sikkerhetstiltak som produsenter av medisinsk utstyr bør gjennomføre, anbefales det bl.a. tiltak knyttet til tilgangskontroll, integritet for kode og data, motstandsdyktighet mot digitale angrep, og dokumentasjon. Se Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (www.fda.gov) Av dokumentasjon som anbefales er bl.a. risikovurderinger og beskrivelse av hvordan softwareoppdateringer og beskyttelse mot skadelig kode skal ivaretas.
Anskaffelser skal alltid foregå i tett samarbeid med medisinsk-teknologiske avdelinger og klinikker. Forskrift om håndtering av medisinsk utstyr krever at utstyret skal være vurdert av brukere og teknisk personell for det tiltenkte området før anskaffelsen kan gjennomføres. En innkjøper skal derfor aldri anskaffe noe utstyr uten at dette er faglig klarert av bruker og medisinsk tekniske avdelinger.
Fysisk service og support
Det bør foreligge en skriftlig avtale mellom leverandøren og virksomheten som regulerer fysisk service og support. Dette gjelder både service som fortas hos virksomheten og service hos leverandøren.
Leverandørens ansatte som utfører arbeidet skal undertegne taushetserklæring. Det er ikke nødvendig at virksomheten administrerer taushetserklæringene for leverandørens ansatte. Dette kan gjøres av leverandøren selv, men virksomheten skal ha rett til innsyn.
Det kan være andre forhold som bør reguleres enten i serviceavtalen eller i instruks/erklæring. Dette kan være f.eks. endringshåndtering, varsling ved fremmøte, om leverandørens representant skal følges i spesielle områder, sikkerhet ved tilkobling av egen PC eller minnepinner, samt utkopiering av feillogger som kan inneholde helse- og personopplysninger.
I tilfeller der utstyr må sendes fysisk til leverandøren, og utstyret inneholder helse- og personopplysninger som ikke kan slettes, anbefales det å inngå en databehandleravtale med leverandøren. Forsendelsen må foregå på en sikker måte, f.eks. rekommandert sending.
