Man kann Gesundheitstechnologie nur anbieten, wenn man sich zur Einhaltung von Gesetzen und Vorschriften verpflichtet. Das ist zumindest die Meinung von Rob Peters, CFO bei Minddistrict, der eine führende Rolle dabei spielt, die Organisation konform zu machen und zu halten. „Patientendaten müssen geschützt werden. Nur darum geht es. Und darauf sollten sich Patienten und Organisationen verlassen können.“
Rob Peters
Um die Sicherheit der sensiblen Patientendaten bestmöglich zu schützen, wurden Gesetze und Vorschriften erarbeitet, die von den Lieferanten eingehalten werden müssen. „Das ist nicht nur für Minddistrict selbst wichtig, sondern auch für alle, die unser Produkt nutzen.“
Rob und sein Team haben im Jahr 2024 eine Reihe wichtiger Compliance-Projekte abgeschlossen: die Umstellung auf den neuen Informationssicherheitsstandard ISO 27001-2022, ein Compliance-Projekt rund um die Gesetzgebung für DiGA (digitale Gesundheitsanwendungen) und ein Projekt zur Vorbereitung der Organisation und der technischen Unterlagen der Minddistrict-Plattform auf die Medizinprodukteverordnung (MDR).
Was ist die Medical Device Regulation?
Die MDR – Medizinprodukteverordnung – ist ein Rechtsrahmen, der die EU-Vorschriften für Medizinprodukte verschärft. Das Ziel der MDR ist es, Medizinprodukte für Kunden und Patienten so sicher wie möglich zu machen. „Sie besteht aus umfangreichen Gesetzen und Vorschriften. Viele Anforderungen daraus werden an die Lieferanten von Medizinprodukten gestellt. Und das zu Recht.“
Ein Unterschied zu der Vorgängerverordnung besteht darin, dass der Schwerpunkt stärker auf Software als Medizinprodukt gelegt wurde. Die Anforderungen, die Hersteller erfüllen müssen, wurden präzisiert und verschärft.
Übergangsphase MDR
„Derzeit ist das von der MDR geforderte Qualitätsmanagementsystem bei Minddistrict vollständig implementiert. Wir befinden uns in der Übergangsphase zwischen der alten und der neuen Gesetzgebung. Unsere Unterlagen sind eingereicht, aber es wird noch einige Zeit dauern, bis die Zertifizierung abgeschlossen ist. Das Audit, von Anfang bis Ende, besteht aus mehreren Phasen. Im Laufe des Jahres 2025 werden wir diese durchlaufen”.
Obwohl die Übergangsfrist für Minddistrict bis 2028 dauern kann, ist es wichtig, schon vorher MDR-zertifiziert zu sein, erklärt Rob. „Die Hersteller können die Übergangsfrist nur nutzen, wenn sie ihr Produkt in dieser Zeit nicht wesentlich ändern. Wenn sie jedoch größere Änderungen an ihrem Produkt vornehmen wollen, müssen sie das MDR-Zertifikat bereits an der Wand hängen haben. Mit anderen Worten: Wenn ein Hersteller zu lange mit der Aktualisierung und dem Audit seines Qualitätsmanagementsystems und seiner technischen Unterlagen wartet, wird er irgendwann in der Produktentwicklung stecken bleiben.“
Gleichzeitig ist das für Rob nicht die einzige Überlegung. „Nein, ich denke nicht 'oh, der Termin ist noch weit weg'. Ich möchte unseren Partnern und Anwendern zeigen, dass wir diese Art von umfangreichen Gesetzes- und Verordnungsänderungen nicht auf die lange Bank schieben.”
Compliance und Innovation: ein Widerspruch?
„Informationssicherheit und Compliance sind wichtige Voraussetzungen für das Angebot von Medizinprodukten“, erklärt Peters. „Eine unserer Visionen lautet daher 'comply or explain'. Wir sind also entweder nachweislich compliant, oder wir können Kunden und Aufsichtsbehörden erklären, wie wir mit Frameworks umgehen und wie sie bei Minddistrict umgesetzt werden. Natürlich nach der Compliance-Arbeitsmethode.“
„Wir arbeiten nach der ‚comply or explain‘ Vision“
Das Compliance-Team bei Minddistrict ist also nicht „die Nein-Abteilung“, betont Rob. „Man braucht Compliance, um ein sicheres und solides Produkt anbieten zu können. Man braucht sie aber auch, um innovativ sein zu können. Denn man kann nicht innovativ sein, um ein Produkt herzustellen, das dann nicht sicher genug ist, um es zu verwenden.“
Bei der Weiterentwicklung des Produkts ist der Ausgangspunkt daher immer die Überlegung, warum Minddistrict etwas erreichen will, erklärt er. „Dazu kommt man ins Gespräch, intern und extern. Warum wollen Sie etwas mit dem Datenaustausch erreichen? Warum wollen wir diese neue Funktion? Warum ist das so wichtig und was bringt es unseren Kunden und Patienten?“
„Wir sind nicht die ‚Nein-Abteilung‘“
In einem nächsten Schritt wird geprüft, wie die Entwicklung in den Rahmen der Gesetze und Vorschriften passt. „Wir prüfen, wer zuständig ist, und dokumentieren, wie die Entwicklung den Kunden und Patienten erklärt werden kann. Es ist also fast alles möglich, wenn man es nur richtig organisiert und dokumentiert.
Vor allem der letzte Satz ist wichtig. „Sie können feststellen, dass Ihr Unternehmen bestimmte Vorschriften nicht einhalten muss, aber meiner Meinung nach sind Sie dann noch nicht fertig. Sie müssen in der Lage sein, für jeden einzelnen Rahmen zu erklären, wie Sie damit umgegangen sind und warum Sie glauben, dass Sie es richtig gemacht haben. Das ist der Punkt, an dem es oft schief geht: Es fehlt oft eine Dokumentation über Rahmenbedingungen, die nicht sichtbar umgesetzt worden sind.“
Man kann nicht alles auf einmal machen
Die Fragen der Kliniken werden immer konkreter, je näher die MDR-Frist rückt, stellt team compliance fest. „Das ist eine gute Entwicklung. Schauen Sie doch mal in die Küche, denn gegenseitige Transparenz und Ehrlichkeit bringen Sie am weitesten.“
Das gilt auch dann, wenn das Team noch nicht alles im Griff hat: „Manchmal bekommen wir Fragen zu Aspekten eines Gesetzes oder einer Richtlinie, die wir noch nicht ganz ausgearbeitet haben. Dann gehen wir einfach offen damit um: Wir können auch nicht alles auf einmal machen. Ich habe die Erfahrung gemacht, dass dies gut für das Vertrauen ist, das die Kunden in uns setzen: Es schafft eine gute Arbeitsbeziehung zu unseren Kunden. Und das ermöglicht uns, uns auf die Kernthemen zu konzentrieren: den Einsatz der digitalen Versorgung in der Praxis und die weitere Skalierung.“
Eine erhebliche Investition
Die Einhaltung der Vorschriften ist mit hohen Kosten verbunden, aber als Anbieter von digitalen Gesundheitsdiensten kann man sich dem nicht entziehen, erklärt Rob. „Es erfordert eine beträchtliche Investition, um MDR-konform zu sein. Neben Ihrem Informationssicherheits- und Datenschutzmanagementsystem müssen Sie u. a. ein komplettes Qualitätsmanagementsystem in der gesamten Organisation einführen. Dieses wird dann in mehreren Audits geprüft. Jeder Schritt ist mit Kosten verbunden. Am Ende stellt eine externe Partei der Organisation ein Zertifikat aus.
Dies erfordert nicht nur vom Compliance-Team Zeit, sondern auch vom Rest von Minddistrict. „Man muss es wirklich gemeinsam machen. Wenn nur die Compliance die Gesetze und Vorschriften umsetzt, funktioniert es nicht. Um nachweislich compliant zu sein, muss jeder von dem Nutzen und der Funktionsweise überzeugt sein.“
Lohnt sich der Aufwand
Lohnt sich der ganze Aufwand, um immer mehr Vorschriften zu erfüllen, überhaupt noch? „Ja, die Zukunft gehört der digitalen Versorgung“, sagt Rob ohne zu zögern. „Und wenn man die Einhaltung der Vorschriften gut organisiert, kann man den Kunden die Unsicherheit über Gesetze und Vorschriften nehmen. Dann wird Raum geschaffen, um die E-Health-Technologie für eine personalisierte und effiziente Versorgung vollständig einzusetzen. Dann kann man endlich das Versprechen der digitalen Gesundheit einlösen.“
Möchten Sie mehr wissen?
Haben Sie Fragen an Rob und das complianceteam? Nehmen Sie Kontakt mit uns auf, und wir werden dafür sorgen, dass sie sie erhalten.