Lääkinnällisten laitteiden tietoyhteydet – kiinnostavia mahdollisuuksia ja tiukentuvaa sääntelyä

Nykyään yhä useampi lääkinnällinen laite liitetään sairaalan tietoverkkoon tai kotikäytössä suoraan internetiin. Laitteilla on tarkoitus esimerkiksi seurata turvallisesti ja luotettavasti verenpainetta tai verensokeria kotona. Tällöin puhutaan IoMT-laitteista (Internet of Medical Things). Lääketieteen tekniikan (MedTech) kasvaville markkinoille tulee innovatiivisia startup-yrityksiä.

”Aikoinaan kun laitteiden toiminnot eivät riippuneet ohjelmistoista eikä laitteissa ollut tietoyhteyksiä, kehitystyö onnistui pienemmällä tiimillä. Nykyään tuotekehityksen joka vaiheeseen tarvitaan isompi asiantuntijaryhmä”, toteaa Ohjelmistot ja sulautetut ratkaisut ‑palvelualueen myyntijohtaja Antti Tolvanen.

Verkkoon liitettävät lääkinnälliset laitteet parantavat hoidon laatua, mutta samalla kasvavat potilaiden ja kuluttajien kyberturvallisuusriskit. Alan yritysten on hallittava näitä riskejä.

Viranomaisvaatimukset lisääntyvät ja tekoälyä sekä tietoyhteyksiä tarvitsevat toiminnot tekevät lääkinnällisistä laitteista yhä mutkikkaampia.

Erikoisosaamisen tarve kasvaa, mistä voi muodostua ongelma yrityksille, jotka haluavat kehittää laitteet kokonaan itse. Lääkinnällisten/IoMT-laitteiden kehitystyössä hyödynnetäänkin enenevässä määrin kumppanuuksia. MedTech-alan yritykset voivat täydentää omaa osaamistaan millä tahansa erikoisosaamisen alueella, jota markkinoille meno sekä elinkaaren loppuun ja kehittyviin markkinatarpeisiin liittyvien tulevien haasteiden ratkaiseminen vaatii.

Mitä mutkikkaampi verkkoyhteyksillä varustettu laite on, sitä kriittisempää on hallita sen kyberturvallisuutta. Vaatimukset tiukentuvat edelleen, jos laitteessa hyödynnetään tekoälyä. Laitteiden arvioinnista vastaavat organisaatiot, kuten ilmoitetut laitokset EU:ssa, käyvät läpi teknisen tiedoston, mukaan lukien turvalliseen tuotekehitysprosessiin liittyvät asiakirjat, ennen CE-merkinnän myöntämistä. Yhdysvalloissa elintarvike- ja lääkevirasto FDA yllätti koko MedTech-alan tekemällä uusien lääkinnällisten laitteiden turvalliseen tuotekehitysprosessiin liittyvän dokumentoinnin pakolliseksi hyvin nopeassa aikataulussa.

Kannattaa myös pitää mielessä, että hiljan hyväksytyt radiolaitedirektiiviä täydentävä delegoitu asetus ja yleinen tuoteturvallisuusasetus sekä kyberresilienssisäädöstä koskeva ehdotus koskevat myös terveys- ja hyvinvointilaitteiden kyberturvallisuutta. Pakollisiksi muuttuvien teknisten tuoteturvallisuutta koskevien vaatimusten, kuten ohjelmistopäivitysten, noudattaminen vaatii toimintaa tukevaa tietoturvainfrastruktuuria.

”Lääkinnällisillä laitteilla on pitkä elinkaari, kun taas tuotteiden elinkaaren hallintaan tarkoitetuilla kaupallisilla järjestelmillä voi olla yllättävän lyhyt elinkaari. Ottaen huomioon lääkinnällisiä laitteita koskevat tietoturvavaatimukset laitteiden valmistajille voi olla varteenotettava vaihtoehto kehittää itse tietoturvainfrastruktuurin kattava ratkaisu. ’Tehdä vai ostaa’ on tärkeä ratkaisu”, Tolvanen sanoo.

Lääkinnällisiä laitteita ja niiden valmistajia koskeva sääntely on raskasta. EU sääntelee käytännössä kaikkia digitalisaatioon liittyviä alueita torjuakseen ihmisten ja yhteisöjen turvallisuuteen, yksityisyyteen ja perusoikeuksiin liittyviä riskejä. Alan sääntelytaakkaa kasvattavat entisestään esimerkiksi kyberturvallisuusdirektiivi (NIS2) ja datasäädös.

NIS2-direktiivissä keskikokoiset ja suuret lääkinnällisten laitteiden valmistajat luokitellaan 18. lokakuuta 2024 lähtien niin kutsutuiksi tärkeiksi toimijoiksi, joilla on oltava asianmukainen tietoturvallisuuden hallintajärjestelmä. EU:n datasäädös puolestaan tuo tullessaan uusia vaatimuksia verkkoyhteyksillä varustetuille laitteille ja niihin liittyville palveluille, eivätkä lääkinnälliset laitteet ole tähän poikkeus. Tuotteiden käyttäjät saavat omistusoikeuden laitteiden generoiman dataan, ja heille on tarjottava vapaa pääsy kaikkeen käyttödataan.

”Uusi sääntely luo epäilemättä lisähaasteita lääkinnällisten laitteiden valmistajille ja terveydenhoitopalveluiden tarjoajille. Datasäädöksen vaatimuksiin kannattaa todellakin alkaa tutustua jo nyt”, Etteplanin sääntelyasiantuntija Tolvanen patistelee.