Ειδικά χαρακτηριστικά λογισμικού
Το λογισμικό διαφέρει από τις παραδοσιακές ιατρικές συσκευές σε ένα βασικό σημείο: αλλάζει γρήγορα. Οι εκδόσεις, τα patches, τα περιβάλλοντα cloud, οι διεπαφές, οι λειτουργίες AI και οι κίνδυνοι κυβερνοασφάλειας είναι όλα φυσικά μέρη του κύκλου ζωής του. Ο MDR λαμβάνει αυτό υπόψη. Για το λογισμικό, το Παράρτημα Ι απαιτεί, μεταξύ άλλων, μια σύγχρονη προσέγγιση στον κύκλο ζωής ανάπτυξης, στη διαχείριση κινδύνου, στην επαλήθευση και επικύρωση, καθώς και ελάχιστες απαιτήσεις για το υλικό, τα δίκτυα IT και την προστασία από μη εξουσιοδοτημένη πρόσβαση. Η κυβερνοασφάλεια, επομένως, δεν είναι ένα δευτερεύον ζήτημα IT, αλλά μέρος της ασφάλειας και της απόδοσης του προϊόντος.
Ιδιαίτερα με το λογισμικό, δεν έχει σημασία ο κώδικας, αλλά ο ιατρικός σκοπός. Μια εφαρμογή ευεξίας δεν θεωρείται ιατρικό λογισμικό απλώς και μόνο επειδή είναι τεχνικά πολύπλοκη. Αντίθετα, μια φαινομενικά απλή εφαρμογή μπορεί πολύ καλά να υπάγεται στον MDR αν οι πληροφορίες της χρησιμοποιούνται για διαγνωστικές ή θεραπευτικές αποφάσεις. Η τρέχουσα καθοδήγηση του MDCG σχετικά με την κατάταξη και την κατηγοριοποίηση του λογισμικού διευκρινίζει ακριβώς αυτή τη διάκριση.
Απαιτήσεις στον MDR – πού μπορούν να βρεθούν;
Οποιοσδήποτε επιθυμεί να διαθέσει λογισμικό στην αγορά σύμφωνα με τον Κανονισμό MDR θα πρέπει να διαβάσει πολύ προσεκτικά τις σχετικές ενότητες του κανονισμού. Οι πιο σημαντικές ενότητες είναι:
Παράρτημα I, το οποίο καθορίζει τις γενικές απαιτήσεις ασφάλειας και απόδοσης. Για το λογισμικό, οι απαιτήσεις σχετικά με τη διαδικασία ανάπτυξης, τη διαχείριση κινδύνου, την ασφάλεια πληροφοριών, την επικύρωση και το περιβάλλον IT είναι ιδιαίτερα σχετικές εδώ.
Τα Παραρτήματα II και III διέπουν την τεχνική τεκμηρίωση καθώς και τις απαιτήσεις για την παρακολούθηση μετά την κυκλοφορία στην αγορά. Για το λογισμικό, αυτό περιλαμβάνει επίσης στοιχεία επαλήθευσης και επικύρωσης του λογισμικού ως μέρος της τεκμηρίωσης του προϊόντος.
Παράρτημα VIII, και ειδικότερα ο Κανόνας 11, είναι κεντρικό για την ταξινόμηση του ιατρικού λογισμικού. Το MDCG 2019-11, αναθεωρημένο το 2025, εξηγεί τις τρεις βασικές αρχές του Κανόνα 11: λογισμικό που παρέχει πληροφορίες για διαγνωστικές ή θεραπευτικές αποφάσεις· λογισμικό που παρακολουθεί φυσιολογικές διαδικασίες· και «όλο το υπόλοιπο λογισμικό». Ανάλογα με τη κλινική σημασία, η ταξινόμηση μπορεί να κυμαίνεται από την Κατηγορία I έως την Κατηγορία III.
Το Άρθρο 52 και τα Παραρτήματα IX έως XI περιγράφουν την αξιολόγηση συμμόρφωσης. Για τις συσκευές Κλάσης I, η δήλωση συμμόρφωσης εκδίδεται γενικά από τον ίδιο τον κατασκευαστή· για τις συσκευές Κλάσης IIa και άνω, απαιτείται η συμμετοχή ενός Ενημερωμένου Φορέα.
Το Παράρτημα XIV, τελικά, αποτελεί την κεντρική αναφορά για την κλινική αξιολόγηση και την Κλινική Παρακολούθηση Μετά την Τοποθέτηση στην Αγορά (PMCF). Ιδιαίτερα με το λογισμικό, πρόκειται για έναν τομέα που συχνά καθιερώνεται συστηματικά πολύ αργά.
Τα πιο σημαντικά πρότυπα για λογισμικό ιατρικής χρήσης
Ο Κανονισμός MDR καθορίζει τις ρυθμιστικές απαιτήσεις. Στην πρακτική εφαρμογή, ωστόσο, ορισμένα πρότυπα είναι ιδιαίτερα σημαντικά επειδή ορίζουν την «τεχνολογία αιχμής».
IEC 62304 είναι το βασικό πρότυπο για τον κύκλο ζωής του λογισμικού ιατρικού λογισμικού. Περιγράφει διαδικασίες για την ανάπτυξη και συντήρηση του λογισμικού όταν το ίδιο το λογισμικό είναι ιατρική συσκευή ή αποτελεί αναπόσπαστο μέρος μιας ιατρικής συσκευής.
ISO 14971 είναι το πρότυπο αναφοράς για τη διαχείριση κινδύνων των ιατρικών συσκευών, συμπεριλαμβανομένου ρητά του Λογισμικού ως Ιατρική Συσκευή.
ISO 13485 είναι το κεντρικό πρότυπο διαχείρισης ποιότητας για ιατρικές συσκευές σε όλο τον κύκλο ζωής του προϊόντος. Για τους κατασκευαστές που επιδιώκουν να δημιουργήσουν έναν ισχυρό οργανισμό συμμορφούμενο με το MDR, λειτουργεί ως η πρακτική επιχειρησιακή βάση.
IEC 62366-1 Καλύπτει τη μηχανική χρηστικότητας. Αυτό είναι ιδιαίτερα σημαντικό για το λογισμικό, επειδή η λανθασμένη λειτουργία, η παραπλανητική καθοδήγηση του χρήστη ή οι ασαφείς συναγερμοί μπορούν να έχουν άμεσες συνέπειες για την ασφάλεια.
IEC 82304-1 είναι ιδιαίτερα σημαντικό για λογισμικό υγείας σε γενικές πλατφόρμες πληροφορικής, δηλαδή για προϊόντα χωρίς ειδικό υλικό. Το πρότυπο ασχολείται με την ασφάλεια και την προστασία σε επίπεδο προϊόντος και συνεπώς έχει μεγάλη σημασία για πολλά ανεξάρτητα λογισμικά προϊόντα ή Λογισμικό ως Ιατρική Συσκευή (SaMD). Είναι ιδιαίτερα αξιοσημείωτο ότι το IEC 82304-1 ορίζει συγκεκριμένες απαιτήσεις για την επικύρωση του SaMD και αναφέρεται ταυτόχρονα στο IEC 62304, το οποίο είναι εναρμονισμένο σύμφωνα με τον MDR.
Κατηγοριοποίηση: Το Καίριο Πρώτο Βήμα
Η πιο συνηθισμένη και σημαντική αρχική ερώτηση είναι: Σε ποια κατηγορία ανήκει το λογισμικό μου; Είναι ακριβώς εδώ που αποτυγχάνουν πολλά έργα — όχι λόγω της τεχνολογίας, αλλά εξαιτίας ενός ασαφούς προορισμού. Σύμφωνα με το MDCG 2019-11 Rev.1, ο Κανόνας 11 εφαρμόζεται ουσιαστικά βάσει του αν το λογισμικό παρέχει πληροφορίες για διαγνωστικές ή θεραπευτικές αποφάσεις, παρακολουθεί φυσιολογικές διαδικασίες ή αν ανήκει στην υπόλοιπη κατηγορία. Παραδείγματα στην καθοδήγηση δείχνουν ότι λογισμικό που υποστηρίζει διάγνωση ή θεραπεία μπορεί γρήγορα να καταταχθεί στις Κατηγορίες IIa, IIb ή III, ενώ το «όλα τα άλλα λογισμικά» ανήκει στην Κατηγορία I.
Από την οπτική γωνία ενός Ενημερωμένου Οργανισμού, είναι επομένως σαφές: Η ταξινόμηση δεν αποτελεί ένα διοικητικό βήμα στο τέλος, αλλά τη βάση για ολόκληρη τη στρατηγική έγκρισης στην αγορά. Επηρεάζει το πεδίο των κλινικών αποδείξεων, το βάθος της τεχνικής τεκμηρίωσης, τις απαιτήσεις PMS/PMCF και, φυσικά, το ερώτημα του εάν και σε ποιο βαθμό πρέπει να εμπλακεί ένας Ενημερωμένος Οργανισμός.
Κλινικά Δεδομένα: Δεν Λειτουργεί Χωρίς Κλινικά Αποδεικτικά Στοιχεία
Για ιατρικό λογισμικό, τα κλινικά αποδεικτικά στοιχεία δεν είναι «καλό να τα έχει κανείς». Το MDCG 2020-1 αναφέρει ρητά ότι το ιατρικό λογισμικό με τον δικό του σκοπό και την δηλωμένη κλινική ωφέλεια απαιτεί κλινικά αποδεικτικά στοιχεία ως μέρος της διαδικασίας αξιολόγησης συμμόρφωσης. Ο στόχος είναι να αποδειχθεί ότι το λογισμικό είναι ασφαλές, επιτυγχάνει την απόδοσή του και παρέχει την δηλωμένη κλινική ωφέλεια.
Στην πράξη, αυτό σημαίνει για το λογισμικό: Δεν αρκεί απλώς να επιδειχθεί ότι ο αλγόριθμος λειτουργεί τεχνικά. Πρέπει επίσης να αξιολογηθεί αν το λογισμικό παρέχει τις σωστές πληροφορίες σε κλινικό πλαίσιο, πώς χρησιμοποιούνται αυτές οι πληροφορίες και αν όντως επιφέρει μια αποδεδειγμένη ωφέλεια. Η κλινική αξιολόγηση δεν είναι ένα έγγραφο μίας φοράς, αλλά μια συνεχής διαδικασία.
Κλινική Παρακολούθηση Μετά την Αγορά (PMCF)
Η PMCF συχνά υποτιμάται στον τομέα του λογισμικού. Ο MDR ορίζει την PMCF ως μια συνεχή διαδικασία που ενημερώνει την κλινική αξιολόγηση και πρέπει να είναι αγκυρωμένη στο σχέδιο PMS του κατασκευαστή. Αυτό είναι ακριβώς που περιγράφει ρητά το Πρότυπο PMCF του MDCG.
Η PMCF είναι ιδιαίτερα σημαντική για το λογισμικό επειδή τα πλαίσια χρήσης, τα λειτουργικά συστήματα, οι διεπαφές, οι κυβερνοαπειλές και τα κλινικά πρότυπα χρήσης αλλάζουν συνεχώς. Οι κατασκευαστές χρειάζονται συνεπώς όχι μόνο μια αξιόπιστη στρατηγική αδειοδότησης μάρκετινγκ αλλά και ένα ισχυρό σύστημα για τη συλλογή και αξιολόγηση δεδομένων πραγματικής απόδοσης και ασφάλειας μετά την κυκλοφορία στην αγορά και για την ενσωμάτωση αυτών στις βελτιώσεις του προϊόντος.
Πώς λειτουργεί η διαδικασία πιστοποίησης από την οπτική γωνία ενός Ειδοποιημένου Φορέα;
Η πορεία προς την πιστοποίηση μπορεί να συνοψιστεί σε έξι βασικά βήματα.
Πρώτον: Η προβλεπόμενη χρήση πρέπει να καθοριστεί με ακρίβεια. Αυτός είναι ο μόνος τρόπος να προσδιοριστεί με σαφήνεια αν το λογισμικό υπάγεται στον Κανονισμό MDR.
Δεύτερον: Το λογισμικό πρέπει να ταξινομηθεί σωστά—συνήθως βάσει του Παραρτήματος VIII και του Κανόνα 11.
Τρίτον: Η εταιρεία χρειάζεται ένα κατάλληλο σύστημα διαχείρισης ποιότητας και μια επαληθεύσιμη, σύγχρονη διαδικασία ανάπτυξης, που συνήθως βασίζεται στα πρότυπα ISO 13485, IEC 62304, ISO 14971 και άλλα πρότυπα ανάλογα με το προϊόν.
Τέταρτον: Η τεχνική τεκμηρίωση πρέπει να είναι πλήρης, δομημένη και ιχνηλάσιμη—συμπεριλαμβανομένης της επαλήθευσης και επικύρωσης του λογισμικού.
Πέμπτο: Η κλινική αξιολόγηση, η παρακολούθηση μετά την κυκλοφορία (PMS) και η παρακολούθηση μετά την κυκλοφορία της κλινικής ασφάλειας (PMCF) πρέπει να δομηθούν κατάλληλα για το προϊόν.
Έκτο: Εάν η ταξινόμηση απαιτεί τη συμμετοχή ενός Εμανθέντος Οργανισμού, η επίσημη αξιολόγηση συμμόρφωσης ακολουθεί τις διαδικασίες που καθορίζονται στον MDR.
