Hablamos de regulación y ciberseguridad para dispositivos médicos

Los dispositivos médicos y los datos que generan están en el centro de atención en los últimos tiempos, y esto es esencialmente una gran noticia para aquellos de nosotros cuyas vidas están entrelazadas con estos sistemas.

El 20 de junio, la FDA publicó un nuevo borrador de documento de orientación que describe sus ideas actuales sobre cómo planean hacer cumplir las reglamentaciones sobre: ​​Sistemas de datos de dispositivos médicos (MDDS), como parte de su iniciativa de innovación de dispositivos médicos.

Esta guía propone que la agencia use su "discreción de aplicación" para "clasificar" * muchos sistemas de datos de dispositivos médicos, incluida una variedad de aplicaciones de software utilizadas para ver, rastrear y analizar los datos de salud generados por dispositivos médicos, lo cual es una gran victoria para nosotros, los defensores de los derechos que hemos impulsado políticas más abiertas que podrían liberar a las empresas de dispositivos y desarrolladores de terceros para crear software más útil para acceder a los datos de nuestros dispositivos y administrar mejor nuestra atención !

(* La clasificación Abajo significa que estos artículos se consideran de menor riesgo para los pacientes y, por lo tanto, requieren una regulación menos estricta. Consulte la ilustración a continuación)

La agencia quiere y necesita saber de la comunidad de diabetes sobre el borrador de la guía, ¡y necesitamos su apoyo! Si bien la dirección del borrador de la guía es claramente positiva, aún hay muchos puntos por aclarar.

He estado trabajando con el equipo #WeAreNotWaiting de pacientes / cuidadores que incluyen a Anna McCollister-Slipp, Bennet Dunlap y Howard Look of Tidepool para ayudar a dirigir una discusión entre la comunidad de pacientes con D y el FDA en las próximas semanas.

AMAREMOS su aporte y participación. Estamos progresando, pero necesitamos un amplio apoyo de la comunidad para impulsar estos esfuerzos.

En particular, algunas de las interpretaciones de términos de la agencia no están claras. Estamos trabajando en una serie de preguntas para enviar a la FDA que puede ver y comentar aquí: ow. ly / zvbsp

Ya hemos enviado un correo electrónico con una serie de preguntas directamente a Bakul Patel, asesor principal de políticas en el Centro de Dispositivos y Salud Radiológica de la FDA (y el que escribió su reciente publicación en el blog sobre la guía MDDS), y tienen como objetivo establecer una llamada con él hoy.

Plus Points

• Nos encanta que la FDA adopte la noción de "visualización de datos" como se regula por separado de los dispositivos que generan los datos.
• Nos encanta que la FDA elimine la exclusión de diabetes de MDDS (anteriormente la diabetes estaba en su propia categoría, lo que complicaba los problemas de regulación).
• Nos encanta que la FDA ya no aplique controles regulatorios estrictos en el software MDDS, dispositivos de almacenamiento de imágenes médicas o dispositivos de comunicación de imágenes médicas ("debido al bajo riesgo que representan para los pacientes y la importancia que tienen para mejorar la salud digital") .

Preguntas y recomendaciones

La guía sugiere que la agencia REGULARÁ cualquier aplicación o software usado para "monitoreo activo del paciente". Aquí, alentamos a la FDA a:

• Primero, defina claramente su uso del término "monitoreo activo del paciente" (lo que podría significar varias cosas).
• Como mínimo, la agencia debería explicar mejor los riesgos percibidos para que se pueda implementar un plan para mitigarlos.
• Considere eliminar esta estipulación; ¡la monitorización en tiempo real sin restricciones de los datos de CGM les permite a los padres saber que sus hijos están a salvo!
• Alentamos a la FDA a hacer una distinción más clara entre GENERACIÓN de datos y PANTALLA de datos.
• ¿Cómo diferencian exactamente entre la simple visualización de datos en la pantalla de un dispositivo y el uso de datos para decisiones de tratamiento personal? ¿La recomendación / decisión de tratamiento debe ser explícita (es decir, tomar esta cantidad de insulina) o esto se aplica a cualquier información que pueda usarse para informar el cuidado personal de un paciente?
• Deben explicar su mención de "software que permite a entidades / desarrolladores de terceros extraer / obtener información de dispositivos médicos"; con esto, quieren decir información sobre el dispositivo en sí, como UDI (identificaciones únicas de dispositivos), seriales números, etc., o datos generados por el dispositivo sobre el estado de salud del paciente, la dosificación, etc.?
• Alentamos a la FDA a que se centre en la validez de los datos y los sistemas de autenticidad.
• Alentamos a la FDA a alentar a los fabricantes de dispositivos a que firmen digitalmente los datos, permitiendo verificaciones de validez de los datos descendentes y la procedencia de los datos (propiedad de las estadísticas de uso y datos).

Un recordatorio de cómo la FDA clasifica los dispositivos médicos, FYI:

Si estás interesado en ayudar a influir en esto (y esperamos que lo estés) …

Aquí tienes cómo comentar sobre el expediente:

* Revise nuestra entrada #WeAreNotWaiting aquí, y también consulte "Consejos sobre comentarios efectivos"

* Vaya a este enlace para enviar su entrada: Formulario de comentarios de orientación MDDS sobre las regulaciones. gov

* Los comentarios vencen el 25 de agosto de 2014 a las 11:59 p.m. EDT

Ciberseguridad en las noticias

Aunque no es el objetivo de esta nueva orientación de la FDA (que apunta al impacto de estos sistemas en terapia de paciente), queríamos tocar el tema de seguridad de estos dispositivos: ¿cuán vulnerables son para ser pirateados? Mencionamos esto en particular porque el tema ha sido revisado por los medios últimamente, provocado por el primer aniversario de la muerte de Barnaby Jack, el famoso hacker que murió de una aparente sobredosis de drogas el verano pasado.

The Verge informa: "Jack era un programador ingenioso de Nueva Zelandia, conocido por hacer cajeros automáticos y detectar cómo introducir de forma inalámbrica dispositivos médicos, incluidos un marcapasos y un marcapasos. Se programó una charla sobre este último el año pasado en la conferencia de seguridad Black Hat, donde los piratas informáticos presentan sus hazañas para que el público tome conciencia de las vulnerabilidades de ciberseguridad. Su charla fue una de las más esperadas en la convención. pero murió seis días antes de que se suponía que lo diera, el 25 de julio del año pasado."

Al marcar ese aniversario reciente, una serie de noticias revisaron cómo los hackers no maliciosos, a menudo denominados White Hat Hacks, han influido en la escena de los dispositivos médicos. La historia de Bloomberg, por ejemplo, informó que los esfuerzos de Jack "empujaron a los fabricantes" como Medtronic a contratar equipos de seguridad y coordinarse con el Departamento de Seguridad Nacional de los EE. UU. Para "implementar cambios anti-piratería a sus bombas de insulina y otros productos".

¿Y quién puede olvidar al tipo 1 Jay Radcliffe, un hacker de dispositivos D que sacó todo esto a la luz al publicitar lo que él describe como "fallas de seguridad" con las bombas de insulina Medtronic y Animas? Posteriormente, comenzó a trabajar con la FDA para abordar estos y otros problemas relacionados con los dispositivos.

En una llamada justo dos días antes del aniversario de la muerte de Jack, Medtronic contactó a un grupo de defensores de la diabetes para discutir su opinión sobre este tema y de forma proactiva tranquilizar a la D-Community antes de un Nueva cobertura de noticias que podría hacer que este tema de ciberseguridad parezca más preocupante de lo que creen.

El vicepresidente de asuntos regulatorios de Medtronic, Mark O'Donnell, dijo que la compañía ha estado monitoreando activamente los Informes de Eventos Adversos (MDR) presentados ante la compañía y ante la FDA, y no han visto ningún informe de "piratería de bombas" todos, y definitivamente no hay informes de lesiones a los pacientes.

¿Pero harían públicos tales reclamos de todos modos, si surgieran algunos?

Carolyn Schmitz, quien lidera los esfuerzos de seguridad cibernética de Medtronic, dice que la política de la compañía es no revelar detalles de las vulnerabilidades reales o potenciales al público, para evitar la creciente atención de los piratas informáticos que quieran explotar esas vulnerabilidades. En cambio, toman en cuenta cualquier hallazgo negativo para fines de I + D, al hacer que los dispositivos sean más robustos. Y cualquier cambio realizado pasa por la FDA. También señaló que la compañía ha trabajado directamente con White Hats, también conocido como "investigadores de seguridad", para probar y examinar productos en busca de posibles riesgos de seguridad.

"Nos lo tomamos muy en serio, y nos hemos puesto en contacto con diferentes reguladores e investigadores para ayudar a responder al riesgo, en toda la industria y con nuestra propia bomba", dijo O'Donnell, y agregó: "No lo vemos como un problema importante … y seguimos creyendo que el riesgo es muy bajo. "

Claro, esta es solo una compañía de bombas, pero el líder del mercado mundial es eso. Tenemos que suponer que otras compañías de bombas de insulina y dispositivos médicos están trabajando arduamente para asegurar sus dispositivos y repositorios de datos también (ver también: según los fabricantes, no es gran cosa, a pesar de lo que puedan implicar los dramáticos titulares).

Descargo de responsabilidad : contenido creado por el equipo de Diabetes Mine. Para más detalles, haga clic aquí.

Descargo de responsabilidad

Este contenido está creado para Diabetes Mine, un blog de salud del consumidor enfocado en la comunidad de la diabetes. El contenido no se revisa médicamente y no cumple con las pautas editoriales de Healthline. Para obtener más información sobre la asociación de Healthline con Diabetes Mine, haga clic aquí.