Hoy publicamos un ejemplo práctico de la relación beneficio-riesgo del software como producto sanitario. Lo cierto es que lo veo claro a pesar de la falta de definición de la Directiva y Reglamento. El análisis de beneficio-riesgo del producto sanitario y el efecto de elementos externos al producto sanitario, pero complementos imprescindibles para su funcionamiento, se han de analizar por una gestión de riesgos unificada.
Software, como producto sanitario, se define como cualquier programa informático que se destina por el fabricante a utilizarse en personas con alguno de los siguientes fines médicos o específicos:
— diagnóstico, prevención, seguimiento, predicción, pronóstico, tratamiento o alivio de una enfermedad,
— diagnóstico, seguimiento, tratamiento, alivio o compensación de una lesión o de una discapacidad,
— investigación, sustitución o modificación de la anatomía o de un proceso o estado fisiológico o patológico,
— obtención de información mediante el examen in vitro de muestras procedentes del cuerpo humano, incluyendo donaciones de órganos, sangre y tejidos,
Dicho esto, en mi opinión, los programas informáticos destinados a la captura, gestión, transmisión y muestra de imágenes y datos clínicos deberán ser considerados producto sanitario.
Análisis de riesgos y relación beneficio-riesgo del producto sanitario
Como producto sanitario, como parte del Análisis de riesgos y de la propia evaluación clínica es necesario determinar la relación beneficio-riesgo. Este proceso pasa por determinar cual es la relación entre el beneficio provisto por el producto en relación al riesgo que supone su uso.
Después de esta introducción, expongo el caso: las autoridades de seguridad informática. Servicio rumano de Información: ha detectado un ataque informático masivo a los Hospitales del país que pretendían robar datos clínicos de pacientes con el objeto de venderlos y enriquecerse con ellos.
Dicho esto,
- ¿el análisis beneficio-riesgo del software como producto sanitario es suficiente en relación con la red informática y su seguridad?,
- ¿son lo suficientemente seguras las redes informáticas de los Hospitales como garantizar su seguridad y funcionamiento?,
- ¿no siendo la red un producto sanitario, está suficientemente protegida o están suficientemente evaluados y controlados los riesgos relacionados con la red informática en un entorno tecnológico de última generación?
- ¿hasta qué extremo la idoneidad de la red influirá en el funcionamiento, y seguridad, del software como producto sanitario?
Existe una norma creada para gestionar los riesgos de redes de comunicaciones a las que se conectan productos sanitarios, la UNE-EN 80001-1. ¿Es conocida y aplicada en general en el diseño e implementación de las redes de comunicaciones en Hospitales? ¿Es contemplado este efecto en el análisis de riesgos del software como producto sanitario?
Para concluir, una evidencia de que, quizás, queda trabajo por hacer.