Comply with medical regulatory smarter.

Geld und Aufwand bei Zertifizierungen sparen durch integrierte Systeme.
Skalierbare Lösungen - für MedTech Startups und Konzerne.

Jetzt Termin zur Demo vereinbaren

TopEase® Digital Health Regulatory Suite

Challenge:  Ausufernde Kosten durch EU MDR Einführung, Qualitätsmanagement nach ISO 13485, Risikomanagement nach ISO 14971, ISMS nach ISO 27001 inkl. SOA und Annex A Controls

Die Medizinbranche steht nicht nur durch Covid-19 vor einer der größtem Umbrüche in Ihrer Geschichte. Die Digitalisierung ermöglicht neue Formen von Krankheitsprävention, Krankheitsfrüherkennung sowie digitaler Behandlung und digitaler Krankheitsnachsorge. Dies erfolgt über Innovationen in den Kliniken, bei den Ärzten, aber auch durch neue digitale Anwendungen direkt beim Patienten – den digitalen Gesundheitsanwendungen (DiGa), digitalen Pflegeanwendungen (DiPa), oder weiteren Anwendungen über individuelle Selektivverträge mit Krankenkassen. 

Die Anbieter, sei es kleine Startups oder große Konzerne, stehen alle vor der gleichen Herausforderung der Zertifizierung Ihrer Produkte: Umsetzung der MDR (Medical Device Regulation) der EU bis 2026 sofern bereits nach der MDD (Medical Device Directive) zertifiziert wurde. Andernfalls muss eine Zertifizierung direkt nach der MDR erfolgen. Die MDR erfordert von den Anbietern ein vollständiges Qualitäts- und Risikomanagement nach ISO 13485 und ISO 14971, und unterscheidet im Umfang nicht nach der Größe oder Finanzkraft der Unternehmen. Dies führt mit traditionellen Ansätzen im Qualitäts- und Risikomanagement ohne vernetzte und integrierte Systeme zu Doppelarbeiten und Ineffizienten – insbesondere hochkomplexe Prozesslandschaften welche manuell, z.B. in Textverarbeitungstools erstellt werden, können schwer gesteuert und bewertet werden. Die Abstimmung von internen Kontrollsystemen (IKS), des Risikomanagements auf die relevanten Prozesse und Produkte, die Bewertung von kritischen Assets für die Umsetzung des ISMS stellt die Organisation vor große Herausforderungen. 

 

Unsere effiziente Lösung: Digital Health Regulatory Suite

Wir haben durch unsere Erfahrung im Bereich der kritischen Infrastruktur eine Regulatory Suite für den Bereich Digital Health zusammengestellt. Die Digital Health Regulatory Suite kann sowohl in Startups als auch Konzernen eingesetzt werden, und beinhaltet die wesentlichen Disziplinen welche für Medizintechnikunternehmen gefordert werden: Qualitäts- und Prozessmanagement, Risikomanagement, Informationsecurity-Management (ISMS), Asset-Management und Kontrollmanagement. Die Lösungen lassen sich mit anderen TopEase® Produkten auf der TopEase®-Plattform integrieren und kundenindividuell anpassen. So lässt sich z.B. die Umsetzung der Risikomanagement-Prozesse nach ISO 14971 anhand der bestehenden Unternehmensstrukturen und heutigen Freigabeworkflows und bestehender Risikoeinstufung und -taxonomie umsetzen. Die Plattform vernetzt Informationen intelligent, und stellt diese in Echtzeit in Dashboards dar. Durch die Informationslenkung und die 100%ige-Nachvollziehbarkeit von Workflows gehört das Thema Dokumentenlenkung der Vergangenheit an.

Informationssicherheitsmanagement - ISO 27001 inkl. SOA

ISO 27001 toolkit zur Automatisierung der SoA und des Anhang A

Management der Informationssicherheit (ISMS) muss nicht kompliziert sein! Wir haben mit unserer Konditionalen SoA (Statement of Applicability)-Lösung ein hocheffizientes und hochautomatisiertes Tool entwickelt, welche alle relevanten Controls der ISO 27001 Anhang A auf die jeweiligen Assets  anhand Ihrer Charakteristik zuweist. So können Sie einfach erkennen welche Controls angewendet werden müssen, und die Anwendung in automatisieren Assessments abprüfen. Unser SoA Tool unterstützt Sie nicht nur in der Identifizierung der notwendigen Controls, sondern kommt bereits mit Vorschlägen zu konkreten Maßnahmen welche Sie in die Umsetzung übernehmen können. Die Umsetzung der Maßnahmen lässt sich einfach in einem automatisiert erstellten Gantt-Chart nachvollziehen, die Maßnahmen einzelnen Verantwortlichen zuweisen. Darüber hinaus können Sie alle Informaitonssicherheitsrelevanten Risiken in TopEase® erfassen – und auch mit den Assets und Maßnahmen vernetzen.

Über das Dashboard erhalten Sie so in Echtzeit den aktuellen Stand im Bereich ISMS und belasten Ihrer Organisation nicht mehr mit manuellen Reports. Darüber hinaus sparen Sie massiv ISO 27001 Beratungskosten. Der Einführungsaufwand und die Einführungskosten sind deutlich geringer als bei manuellen Lösungen – durch die Nachvollziehbarkeit welche wir analog unserer Lösungen im KRITIS und BSI Grundschutz einsetzen sind alle Vorgänge im System transparent gespeichert und im Rahmen von Audits aufrufbar. 

Definition der Asset-Charakteristik für die SoA

Festlegen der Asset-Eigenschaften anhand vor vordefinierten Kategorien. Die Kategorien können durch uns vordefiniert werden, oder Sie bauen einen eigenen Kategorien- / Controlkatalog auf. Der Katalog kann dynamisch erweitert oder geändert werden, so dass neue Versionen der ISO 27001 oder des IT Grundschutzes ergänzt werden können.

Automatisierte Zuschlüsselung der Annex A Controls

Auf Basis der Asset-Eigenschaften werden dem Asset alle notwendigen Controls zugeschlüsselt. Der manuelle Aufwand für die Auswertung des ISO 27001 Fragebogens auf Asset-Basis sowie das händische Übertragen in Excel-Tabellen entfällt vollständig. 

Assessment der Control-Implementierung

Jede Control der ISO 27001 Anhang A wird auf Umsetzung geprüft – gegliedert nach Dokumentation, Control Effectiveness sowie Implementierungsstatus. Darüber hinaus können weitere Kategorien wie z.B. Design Effectiveness konfiguriert werden, oder weitere Fragen ergänzt werden. Jede Frage kann mit Evidenzen oder weiteren Maßnahme hinterlegt werden.

Identifikation der ISMS Risiken

Identifizierte Risiken können eingewertet und mit Minimierungsmaßnahmen versehen werden. Neben dem aktuellen Risikorating lässt sich das Risikoziel definieren, welches durch die Maßnahmen erreicht werden soll. 

Nach Abarbeitung der Maßnahmen kann das verbleibende Risiko (Residual Risk) neu bewertet und erneut freigegeben werden. Alle Prozesse sind 100% workflowgestützt und transparent dokumentiert.

Medizinisches Risikomanagement

Risikoregister und grafische Darstellung in Dashboards 

Schnelle Übersicht und detaillierte Reportings welche Risiken existieren. Automatische Priorisierung und Trenderkennung bei den Risiken. Freie Definition der Risikomatrix (z.B. 4×4, 5×5) und Beschreibung der Risk Probability und Risk Severity.

Darstellung der Risikoentwicklung nach ISO 14971

Grafische Darstellung pro Risiko wie das Risiko bzgl. Probability und Severity entwickelt werden soll. Freigabe des Risikos über Workflow. Volle Nachvollziehbarkeit der Risikobewertung und der Überprüfung über Historisierungsfunktion. 

Anhand identifizierter Risiken Maßnahmen einstellen, umsetzen und verfolgen

Vollständige Planung aller Maßnahmen zur Minimierung der Risiken. Maßnahmen werden den betreffenden Risiken zugeordnet, über erneute Risikobewertung kann die Effektivität der Maßnahme bewertet werden.

Risk 1 Mitigation 50%
Risk 2 Mitigation 64%
Risk 3 Mitigation 57%
Risk 4 Mitigation 22%
Umsetzungsstatus der Maßnahmen einfach erkennen

Individuelle Fortschrittsdarstellungen und Customizing möglich. Live-Dashboard zur schnellen Übersicht der Maßnahmenumsetzung.

Automatisierte Reports

Schneller Überblick durch automatisierte Reports. Standard-Reports out-of-the-box sowie eigene individuelle Reports möglich. Reports lassen sich z.B. auch im Rahmen von Genehmigungsworkflows generieren.

      • Vertriebsprozess
      • Produktentwicklungsprozess
      • CAPA-Prozess
      • Software-Plattform
      • SW Komponente 1
      • Medical Device 1
      • Data availability
      • Data integrity
      • Data stream delay
Intelligente Vernetzung von Informationen

Vollständige Vernetzung von Risiken mit Maßnahmen, Prozessen, Assets und Kontrollen. Darüber hinaus Zuweisung z.B. von Bedrohungen und Ereignissen möglich.

Medizinisches Prozess- und Qualitätsmanagement

Kern-Features im Bereich Prozess- und Qualitätsmanagement
  1. Einfache Aufnahme von Prozessen, Verknüpfung mit Kontrollen, Assets und Risiken möglich

  2. Einfache Governance von Prozessen, Implementierung der Verantwortlichkeiten und Steuerung der Rollen & Rechte z.B. über Active Directory

  3. Workflowbasierte Freigabe von Prozessen und Arbeitsanweisungen / Standard Operating Procedures

  4. Informationslenkung an Stelle von Dokumentenlenkung zur Nachvollziehbarkeit aller Änderungen und Freigabestände

  5. Export aller Informationen, wie z.B. Standard-Prozessbeschreibungen als PDF 

Aggregierung & Dashboards

Darstellung von Prozesslandkarten und Prozesshäusern. Vollständige grafische Navigation über Prozessgrafiken möglich. 

Darstellung der Lieferantenstruktur nach Ländern um z.B. bei Exportbeschränkungen schnell die Lieferkette optimieren zu können.

Aggregierte Darstellung der aktuellen Prozessstati (Anzahl Prozesse in Freigabe, freigegebene Prozesse, Prozesse in Revision, etc.).

Templates & Musterprozesse

Vorhandene Templates zu Risikomanagement und z.B. Capa-Prozessen. 

Reporting-Templates z.B. für Arbeitsanweisungen oder SIPOC Reports.

Digitalisierung von Kontrollen nach regulatorischen Vorgaben möglich.

Datenschutz Risikomanagement und Maßnahmenmanagement

Erfassung und Umsetzung technischer und organisatorischer Maßnahmen der DS-GVO

Das Management des Datenschutzes ist ein zentrales Element im Bereich von Digital Health Lösungen. Der Dienstanbieter muss die  datenschutzfreundliche Verarbeitung der Patientendaten (siehe Art. 25 DSGVO) sicherstellen. Darüber hinaus müssen die personenbezogenen Daten nach dem Grundsatz der Datensparsamkeit erfasst werden, und geeignete technische und organisatorische Maßnahmen getroffen werden um die Sicherheit der Verarbeitung und die Datensparsamkeit umzusetzen. Für immer mehr Anwendungsfälle, wie z.B. in der Telemedizin mit der KBV Anlage 31b, sieht der Regulator Datenschutzprüfungen oder Datenschutzzertifizierungen vor. 

Die Digital Health Regulatory Suite unterstützt den Datenschutzprozess ganzheitlich, indem z.B. die Risiken aus den Datenschutzfolgeabschätzung (DSFA) und Maßnahmen erfasst und bearbeitet werden. Alle Maßnahmen werden eindeutig Verantwortlichen zugewiesen, vorgabekonform beschrieben und bewertet, und anschließend die Umsetzung über einen Genehmigungsworkflow gesteuert.

Über ein Risiko-Register können auf einen Blick alle Datenschutz-Risiken eingesehen werden, eine automatische Filterung und ein automatisches Ranking unterstützt den Benutzer die wichtigsten und kritischsten Datenschutz-Risiken zu identifizieren. 

Erfassung und Umsetzung technische und organisatorische Maßnahmen nach Art. 24 Abs. 1 und 2 Datenschutz-Grundverordnung

Die Umsetzung des Artikel 24 Abs. 1 DSGVO fordert die Bewertung der Schwere der Risiken für die Rechte der Freiheit sowie die Bewertung der Eintrittswahrscheinlichkeit der Risiken.

Transparenz in der Genehmigung von Datenschutz-Risiken und Umsetzung von Datenschutz-Maßnahmen durch eingebaute Workflow-Engine 

Mit der Digital Health Regulatory Suite erfolgt eine systematische Bewertung der Datenschutz-Risiken gem. Art. 32 Abs. 2 DSGVO. Dies betrifft insbesondere die Datenschutz-Risiken der Verarbeitung. Durch die Workflowsteuerung wird die in Artikel 31 Abs. 1 DSGVO geforderte regelmäßige Überprüfung, Bewertung und Evaluierung der Datenschutz-Risiken sowie technischen und organisatorischen Datenschutz-Maßnahmen sichergestellt.

Use-Cases der Digital Health Regulatory Suite

Krankenhäuser
Umsetzung des Qualitäts- und Informationsecurity-Managements (QMS + ISMS)

Bedingt durch regulatorische Änderungen wie dem Krankenhauszukunftsgesetz (KHZG) sowie dem Patientendatenschutzgesetz (PDSG) ändern sich die Anforderungen an die IT-Sicherheit und dem Schutz der Patientendaten für Krankenhäuser. Dies bedingt oftmals neben der Einführung einer ISMS Lösung die Einführung eines Prozess- und Qualitätsmanagementsystems, zur Dokumentation der relevanten Kernprozesse. Darüber hinaus empfehlen wir die Einführung eines internen Kontrollsystems (IKS) zur digitalen Dokumentation und Umsetzung der regulatorische geforderten und operativ benötigten Kontrollen innerhalb der Prozesse. 

Digitale Gesundheitsanwendungen (DiGa / DiPa)
Erlangung der Medizinproduktzertifizierung als Basis für die DiGa & DiPa

Die Einführung der digitalen Gesundheitsanwendungen (DiGa) und der digitalen Pflegeanwendungen (DiPa) ermöglichen es erstmals Apps in die Regelversorgung der gesetzlichen Krankenkassen einzubinden. Hierfür fordern der Gesetzgeber über die Medizinproduktzertifizierung die Umsetzung eines Qualitäts-, Risiko- und Informationsecurity-Managements. Wir bieten insbesondere für Startups massgeschneiderte Lösungen welchen die regulatorische notwendige Dokumentation softwarebasiert unterstützen und mit dem Unternehmen wachsen. Unser Ansatz der softwaregestützten Dokumentation vermeidet Doppelarbeit und hohe Folgekosten in der weiteren Zertifizierung durch intelligente Vernetzung aller relevanten Informationen. Je nach Phase des Startups lässt sich die Lösung an die Bedürfnisse anpassen und wächst mit dem Unternehmen.

Medizinprodukte-Hersteller
Vereinheitlichung und Digitalisierung der Managementsysteme zur Effizienzsteigerung

Hersteller von zertifizierten Medizinprodukten verfügen bereits über zertifizierte Prozesse und Abläufe. Hier besteht die Challenge oftmals in redundanten Systemen und Informationen, teilweise an mehreren Standorten weltweit verteilt. Darüber hinaus gibt es umfangreiche Supply-Chains, interne und externe Kontrollsysteme, und eine Vielzahl von Produkten und Produktkomponenten. Wir bieten hier mit der TopEase®-Plattform maßgeschneiderte Lösungen an, welche sich in die bestehende Applikationslandschaft über Schnittstellen integrieren lassen, um durch einheitliche Datenbasis schnellstmöglich Effizienzen z.B. im Bereich des Prozess- und Supply-Chain Managements zu schaffen. Über die Mandantenfähigkeit wird der weltweite Einsatz der Solutions sichergestellt.

Anbieter von Telemedizin nach Anlage 31b KBV
Umsetzung Datenschutz und Informationssicherheit in der Telemedizin

Telemedizinanbieter sind zur Umsetzung von Datenschutz und Informationssicherheit nach der Anlage 31b KBV verpflichtet. Zur Erlangung der Zulassung und zum bestehen der Prüfung durch zertifizierte Prüfinstitute ist u.a. die Umsetzung von technischen und organisatorischen Maßnahmen im Bereich des Datenschutz sowie im Bereich der Informationssicherheit verpflichtend. Mit der Digital Health Regulatory Suite können die Maßnahmen welche z.B. durch die Datenschutzfolgeabschätzung (DSFA) entstehen erfasst und umgesetzt werden. Darüber hinaus unterstützt die Digital Health Regulatory Suite die Verwaltung aller Datenschutzrisiken und Informationssicherheitsrisiken. Nachweisdokumente können einfach als PDF generiert und den Zertifizierungsinstitutionen vorgelegt werden.

Customer Journey

Step 1 Get-to-know
Vorstellung der Kundenchallenge

Erstes kennenlernen und Gewinnung Verständnis der Problemstellung. Kurzvorstellung der TopEase®-Plattform.

Step 2 Analysis
Analyse des Problemstellung

Analyse der Ist-Situation anhand der individuellen Finanzierungs- und Produktsituation. Leaner Ansatz,  Fragestellungen z.B. bzgl. Produktroadmap (Planung DiGa / DiPa) und größter Handlungsbedarfe im regulatorischen Umfeld (Quick-Check Compliance), Ausarbeitung der Handlungsbedarfe, Einbeziehung von Best-Practices. 

Step 3 Solutioning
Lösungsvorschlag mit Digital Health Regulatory Suite

Erstellung kundenorientierter Lösungsvorschlag: Einführung von einzelnen Solutions der Digital Health Regulatory Suite anhand der Kundenbedürfnisse, Integration in die bestehende Landschaft, Betrachtung von Kosten/Nutzen. Erstellung einer Umsetzungstimeline anhand der regulatorischen Erfordernisse. 

Step 4 Implementation
Implementierung Digital Health Regulatory Suite

Auslieferung vorkonfigurierter Solutions z.B. für das Qualitätsmanagement. Weitere Unterstützungen der Implementierung, z.B. bei der Aufnahme und Dokumentation von Prozessen sowie der relevanten Kontrollen. Weitere Integration in die Systemlandschaft, z.B. durch Anschluss einer bestehenden CMDB Lösung. 

Step 5 Regulatory Support
Weitere Zeritifzierungsunterstützung

Wir unterstützen unsere Kunden nicht nur durch weiteres Customizing und Konfiguration der Softwarelösungen, sondern auch operativ im Bereich der für die Zertifizierung notwendigen Tätigkeiten. Der Kundenvorteil besteht in unserem Expertenwissen im Bereich leaner Prozessgestaltung, End-to-End Prozessketten und Wertschöpfungsflüsse, Supplier-Management oder Informationssicherheit in der kritischen Infrastruktur. 

Insights