Buongiorno a tutte e tutti, Andrea, e 380°,

 

Qui Elisabetta Biasin (ricercatrice al KU Leuven Centre for IT & IP Law), iscritta da molto alla mailing list Nexa ma in questa occasione scrivo per la prima volta 😊 Oggi intervengo con piacere e interesse perché Right to Repair, Cybersecurity e Medical Device Regulation sono argomenti a me molto molto cari e sui quali vorrei condividere alcune prospettive/ riflessioni generali.

 

Come illustrava 380°, una serie di tematiche emergono nell'ambito dell'articolo in IEEE Spectrum, come ad esempio: i requisiti della legge sui dispositivi medici, il diritto alla riparazione o right to repair, ma anche la cybersecurity dei dispositivi medici (e ovviamente gli argomenti di solito ad essi opposti, come i diritti di proprietà intellettuale, e alla safety dei pazienti o utenti finali).

 

Ho ricercato questi argomenti in occasione di alcuni progetti (legati all'Open Source Hardware nella sanità [1][2]) e ho l’impressione che queste tematiche abbiano molta più risonanza nel dibattito legato all'impianto normativo statunitense rispetto a quello europeo.

 

In altre parole la conclusione a cui sono arrivata è (e sarei contenta di apprendere da chi ha diverse prospettive o informazioni): serve più dibattito per il medical device right to repair con riferimento anche alle norme UE!

Qualche punto.

 

Su Right to Repair in UE (non in generale, ma) con riferimento specifico ai dispositivi medici ho trovato pochi riferimenti o iniziative. Ad esempio in US e AUS, ho letto e consiglio ia gli articoli di Jason Koebler [3], o quanto riportato da 380 – senza poi dilungarmi sull’esistente dottrina in merito. In UE ho trovato meno. Forse in UE diventa più complesso o comunque diverso perché la normativa dei dispositivi medici combacia relativamente con quella dei consumatori.

 

Un altro argomento che trovo interessante riguarda il controllo dei dispositivi medici -- lato end user e non. Lato end-user: penso al lavoro di Karen Sandler  (Software Freedom Conservancy) [4] e mi chiedo se esistano iniziative simili in UE. Lato strutture ospedaliere: esse possono avere un ruolo nella produzione di dispositivi medici. In alcuni casi si parla di Healthcare makerspace [5], come MakerNurse o MakerHealth. Sarei curiousa di sapere se accade lo stesso in concreto in UE [6][7] e quale ruolo possono avere i maker al riguardo.

 

Infine, per quanto riguarda la cybersecurity dei dispositivi medici in UE: In US la FDA ha pubblicato la sua prima guidance nel 2005 [8] [9]. In UE la prima guidance da parte dell’Europeo Medical Device Coordination Group è arrivata [sic!] ben oltre dieci anni dopo, alla fine del 2019 (senza menzionare che non esiste ancora una relativa a AI & medical device, rimandata dal MDCG da molto tempo) -- non che non vi fossero requisiti nella MDD, ma comunque trovo questo ritardo abbastanza indicativo.

 

Credo quindi sarebbe utile aprire una maggiore breccia nel dibattito europeo per quanto riguarda il R2R per i dispositivi medici (& tenendo anche presente quanto cruciale si prospetta il 2022 per il Right to Repair in UE! [10])

 

L’avvento della pandemia/ COVID19 nei primi mesi del 2020 ci ha dato la possibilità di riflettere maggiormente sulle potenzialità della riparazione dei dispositivi medici – penso all’Ospedale di Chiari e al caso ‘Isinnova’ [11] [12] [13].

 

Che la si veda da una prospettiva transumanista, cyborgista, *femminista, o di human enhancement, credo sia un argomento di notevole importanza, perché i dispositivi medici constituiranno sempre più un elemento fondamentale per la quotidianità [14] di tutte.i noi.

 

Auguro un buon inizio di settimana!

Un saluto,

Elisabetta

 

 

Riferimenti

[1] https://careables.org/

[2] Biasin et al. (2020) ‘Open Source Hardware and Healthcare Collaborative Platforms: Common Legal Challenges’ https://doi.org/10.5334/joh.31

[3] Koebler, J. (2020). Hospitals need to repair ventilators. Manufacturers are making that impossible https://www.vice.com/en/article/wxekgx/hospitals-need-to-repair-ventilators-manufacturers-are-making-that-impossible  

[4] Si veda ad es: https://www.law.kuleuven.be/citip/en/citip-conferences/lailec/lailec-2021/speakers-bio/karen-sandler

[5] The Medical Futurist. (2018) A Revolution in Access to Healthcare: DIY Labs and Makerspaces. https://medicalfuturist.com/revolution-access-healthcare-diy-labs-makerspaces/

[6] Oltre a quanto evidenziato da Larsson et al. in: ‘Makerspaces and clinician innovation in Swedish hospitals’, doi:10.1016/j.respol.2017.11.006

[7] Al riguardo, ne ho scritto qualche nota in (p. 17): Careables Validation and Policy Recommendations including Guidelines on Responsible Research and Innovation https://zenodo.org/record/4574442#.YhOAgOjMI2w

[8] Si veda https://www.fda.gov/media/72154/download

[9] Ne ho scritto ad esempio qui (2019): ‘Medical devices cybersecurity: a growing concern?’ https://www.law.kuleuven.be/citip/blog/medical-devices-cybersecurity-a-growing-concern/

[10] Chamberlain. E (2022) ‘2022 Should Be a Landmark Year for Right to Repair’ https://www.ifixit.com/News/56736/2022-should-be-a-landmark-year-for-right-to-repair

[11] Peters, V. (2020). Volunteers produce 3D-printed valves for life-saving coronavirus treatments https://www.theverge.com/2020/3/17/21184308/coronavirus-italy-medical-3d-print-valves-treatments

[12] https://www.agendadigitale.eu/sanita/stampa-3d-in-sanita-sfide-e-opportunita-ai-tempi-del-covid-19/
[13] Kieslinger et al (2020) ‘Covid-19 Response From Global Makers: The Careables Cases of Global Design and Local Production’ https://doi.org/10.3389/fsoc.2021.629587

[14] Quigley et al. (2018) ‘Everyday Cyborgs: On Integrated Persons and Integrated Goods’ https://doi.org/10.1093/medlaw/fwy003

______________________________________________
Ms Elisabetta BIASIN
Legal Researcher

KU Leuven Centre for IT & IP Law – imec

 

 

Sint-Michielsstraat 6 box 3443, 3000 Leuven – BELGIUM
[t] +32 16 37 77 73       
[e] Elisabetta.Biasin@kuleuven.be 
[w] www.law.kuleuven.be/citip - www.imec.be

[project] In Silico World | CORE-MD

Advanced Master (LLM) of Intellectual  Property & ICT Law

CiTiP Social Media: Twitter – Blog – Linkedin – Google+

ORCID ID: https://orcid.org/0000-0001-9090-3315
Pronouns: she/her/hers

New! Cybersecurity of Medical Devices: Regulatory Challenges in the EU

 

 

-----Original Message-----
From: nexa <nexa-bounces@server-nexa.polito.it> On Behalf Of 380°
Sent: zaterdag 19 februari 2022 0:44
To: ego@atrent.it; nexa <nexa@server-nexa.polito.it>
Subject: Re: [nexa] occhio non vede...

 

Ciao Andrea, buogiorno nexiane

 

per chi come me indicizza l'email a fini archivistici, e anche per fornire un minimo di contesto, sotto aggiungo qualche info

 

La questione è (ovviamente) in-topic perché molti devices medici contengono un processore (per esempio i pacemakers, molto più diffusi) /quindi/ anche del software /riprogrammabile/ (anche la congigurazione è riprogrammazione), con TUTTE le conseguenze che questo comporta; per

esempio:

 

--8<---------------cut here---------------start------------->8---

 

We assess the security and privacy properties of a common ICD (implantable cardioverter defibrillator, n.d.r.) and present attacks on privacy, integrity, and availability. We show that the ICD discloses sensitive information in the clear (unencrypted); we demonstrate a reprogramming attack that changes the operation of (and the information contained in) the ICD; and we give evidence that a battery-powered ICD can be made to communicate indefinitely with an unauthenticated device, thereby posing a potential denial-of-service risk. All of our attacks can be mounted by an unauthorized party equipped with a specially configured radio communicator within range of the ICD. In our experiments, we performed attacks from distances up to several centimeters; we did not experiment with increasing this range. We also present prototype defenses against the attacks we describe.

 

--8<---------------cut here---------------end--------------->8---

(https://www.secure-medicine.org/hubfs/public/publications/icd-study.pdf)

 

Per rimanere su un prodotto diffusissimo come il pacemaker, chi lo impianta /sa/ che nei pazienti vanno /periodicamente/ sostituiti:

 

https://www.theatlantic.com/health/archive/2014/02/who-killed-the-rechargeable-pacemaker/283365/

 

--8<---------------cut here---------------start------------->8---

 

In other words, pacemakers may seem outdated battery-wise, but they're actually heading in the same direction as most wearable gadgets:

Data-driven and responsive to the behaviors of the person who is wearing—or in this case implanted with—the device.

 

--8<---------------cut here---------------end--------------->8---

 

cioè (dicono) non fanno pacemakers ricaricabili perché è meglio sostituirli con quelli più moderni.  Perché non dovrebbe valere per /tutti/ i dispositivi, /soprattutto/ quelli "neurali"?

 

Qualcuno ne fa anche una questione etica:

 

--8<---------------cut here---------------start------------->8---

 

other issues that have been relatively neglected in the literature:

potential conflicts of interest, especially those associated with industry employed allied professionals (IEAPs); unanticipated impacts of commercial competition and the continuing cycle of device improvement; risks associated with remotely accessible software; equity in access to healthcare; and questions about reuse of explanted pacemakers in low and middle income countries.

 

--8<---------------cut here---------------end--------------->8---

(https://academic.oup.com/europace/article/20/5/739/3109178?login=false)

 

...perché questa etica dovrebbe valere solo per il pacemakers?!?

 

Il movimento Right To Repair spiega bene il problema con i medical devices e le apparecchiatire diagnostiche:

https://www.repair.org/medical

 

...perchè "l'agibilità" di quei devices deve essere legata INDISSOLUBILMENTE con chi li produce?!?

 

Andrea Trentini <andrea.trentini@unimi.it> writes:

 

> ... e il cuore mi duole a leggere (io che posso!) questa

 

https://spectrum.ieee.org/bionic-eye-obsolete

 

«Their Bionic Eyes Are Now Obsolete and Unsupported»

 

--8<---------------cut here---------------start------------->8---

 

Second Sight left users of its retinal implants in the dark

 

[...] more than 350 other blind people around the world with Second Sight’s implants in their eyes, find themselves in a world in which the technology that transformed their lives is just another obsolete gadget. One technical hiccup, one broken wire, and they lose their artificial vision, possibly forever. To add injury to insult: A defunct Argus system in the eye could cause medical complications or interfere with procedures such as MRI scans, and it could be painful or expensive to remove.

 

--8<---------------cut here---------------end--------------->8---

 

Wikipedia ha un articolo che parla proprio di questi prodotti:

 

https://en.wikipedia.org/wiki/Artificial_cardiac_pacemaker

 

> notizia di quella che "noi" (*) etichettiamo con:

> 

> - #L3 computing agency rubata e obsolescenza "programmata" (fallisce

> la ditta)

> 

> - #L1 lock-in

> 

> immagino valga anche per molti altri device medicali che ad un certo

> punto raggiungono un /end-of-life/ e non sono più supportati (né

> supportabili dato che sono iperproprietari)

 

sì, vale per TUTTI... e non ditemi che non dipende /soprattutto/ da come vengono progettati :-)

 

> (*) nel nostro modello di Cittadinanza Digitale e Tecnocivismo

 

[...]

 

Saluti, 380°

 

--

380° (Giovanni Biscuolo public alter ego)

 

«Noi, incompetenti come siamo,

non abbiamo alcun titolo per suggerire alcunché»

 

Disinformation flourishes because many people care deeply about injustice but very few check the facts.  Ask me about <https://stallmansupport.org>.