Loven og forskriften gjennomfører forordning (EU) 2017/745 om medisinsk utstyr (MDR) og forordning (EU) 2017/746 om in vitrodiagnostisk medisinsk utstyr (IVDR) i norsk rett. Disse er omtalt under. For MDR vil deler av loven og forskriftsutkastene tre i kraft samtidig, dvs. 26. mai 2021. Siden ikrafttredelse er planlagt nær tidspunktet denne veilederen er planlagt publisert, vises det til Statens Legemiddelverk sine nettsider for mer informasjon.
Forordningene om medisinsk utstyr og in vitrodiagnostisk medisinsk utstyr (www.lovdata.no) trådte i kraft i EU 26. mai 2017 og Norge har implementert forordningene gjennom ny lov om medisinsk utstyr.
Formålet med forordningene er å sikre at medisinsk utstyr er trygt når det plasseres på markedet samtidig som det nye regelverket skal fremme innovasjon av medisinsk utstyr. Det nye regelverket vil styrke pasientsikkerheten og sørge for et enhetlig regelverk i hele EØS-området. For medisinsk utstyr er det en overgangsperiode på tre år.
Det følger en rekke krav til elektroniske programmerbare systemer i forordningen om medisinsk utstyr (utstyr som inneholder programmerbare systemer og programvare som er utstyr i seg selv):
- Utstyret skal designes slik at det sikres at repeterbarhet, pålitelighet og ytelse er i samsvar med den tiltenkte bruken. Ved feil i utstyret, skal det treffes egnede tekniske tiltak slik at risikoene eller den svekkede ytelsen som dette kan innebære, fjernes eller reduseres så langt som mulig.
- Utstyret skal utvikles og framstilles i samsvar med det aktuelle tekniske nivået, idet det tas hensyn til prinsippene for utviklingslivssyklus, risikohåndtering (herunder informasjonssikkerhet, verifisering og validering).
- Utstyr som er beregnet på bruk i kombinasjon med mobile databehandlingsplattformer skal utvikles og framstilles slik at det tas høyde for den mobile plattformens særlige egenskaper (f.eks. skjermens størrelse og kontrastforhold), og ytre faktorer knyttet til bruk (skiftende lys- eller støynivå i omgivelsene).
- Produsenter av utstyret skal fastsette minstekrav til maskinvare, IT-nettverkenes egenskaper og IT-sikkerhetstiltak (vern mot uautorisert tilgang, som er nødvendige for å kunne bruke programvaren som beregnet) Ref. EU2017/745 av 5 april 2017 om medisinsk utstyr vedlegg 1, kapittel 2 nr. 17. (regjeringen.no)
Forordningen for medisinsk utstyr (MDR) har på lik linje som personvernforordningen en risikobasert tilnærming. MDR handler hovedsakelig om pasientsikkerhet, men også her må produsenten inkludere informasjonssikkerhet i risikovurderingene, selv når informasjonssikkerheten ikke er direkte nevnt i bestemmelsene.
Flere typer medisinsk utstyr kobles til nettverk og gjøres digitale. Basert på dette øker også risikoen for brudd på informasjonssikkerheten og personvernet.
Operatører og brukere som inkluderer helsepersonell og pasient/bruker er ansvarlige for å bruke det medisinske utstyret basert på instruksjonene fra produsenter.
Medical Device Coordination Group (MDCG) har utarbeidet en veileder for cybersikkerhet i medisinsk utstyr på bakgrunn av EU forordning for medisinsk utstyr:
