Die Norm ISO 13485 ist unter Medizinprodukteherstellern sehr bekannt und ein etablierter Standard. Sie stellt Anforderungen an ein Qualitätsmanagementsystem für alle Stufen des Lebenszyklus von Medizinprodukten. In ihrer letzten Revision aus dem Jahre 2016 wurde allerdings ein interessanter Ansatz eingeführt, der immer noch brandaktuell ist: Der risikobasierte Ansatz als Teil des Qualitätsmanagements. Es gibt verschiedene Arten dieses Konzept anzugehen. Dieser Artikel soll sein Augenmerk jedoch auf den risikobasierten Ansatz für die Lenkung der Unternehmensprozesse laut ISO 13485:2016 legen.
Allgemeines zur ISO 13485:2016
Diese Norm definiert die Anforderungen an ein Qualitätsmanagementsystem für Entwicklung, Produktion, Lagerung und Vertrieb, Installation, Instandhaltung, endgültige Außerbetriebnahme und Entsorgung von Medizinprodukten.
Zu den wichtigen Zielen der ISO 13485 gehören folgende Aspekte:
Anforderungen an das Qualitätsmanagement für Medizinproduktehersteller und involvierte Lieferanten festlegen
Fähigkeit des Unternehmens zur Bereitstellung von anforderungskonformen Medizinprodukten und zugehörigen Dienstleistungen darlegen
Entsprechende gesetzliche Anforderungen durch Normeinhaltung erfüllen
Für Medizinprodukte zutreffende gesetzliche Anforderungen verschiedenster Länder an Qualitätsmanagementsysteme harmonisieren
Besondere Anforderungen an Medizinprodukte definieren
Bezüglich Dokumentation und Aufzeichnung wird von der ISO 13485:2016 nicht nur ein Qualitätsmanagementhandbuch verlangt, sondern auch zahlreiche Verfahrensanweisungen, Aufzeichnungsarten und weitere Anforderungen zur Dokumentation. Dies stellt, vor allem auch gegenüber anderen Normen, einen höheren Umfang und Mehraufwand für Medizinproduktehersteller dar.
Der für den risikobasierten Ansatz relevante Abschnitt 4.1.2 b („Die Organisation muss […] b) einen risikobasierten Ansatz für die Lenkung von geeigneten Prozessen anwenden, die für das Qualitätsmanagementsystem benötigt werden“) wurde erst mit der neuen Fassung der ISO 13485 aus dem Jahr 2016 hinzugefügt. Diese Norm stellt damit umfangreich Anforderungen an den risikobasierten Ansatz (risk-based approach), was eine gewisse Sicherheit in den Prozessen gewährleisten soll und als regulatorischer Rahmen dient.
Kapitel 4.1.2 b
Das Kapitel 4 beschreibt das Qualitätsmanagementsystem und spezifiziert den risikobasierten Ansatz. Im Kern geht es darum, dass Unternehmen die Aufwände im Qualitätsmanagement an die Risiken anpassen. Damit werden auch bestimmte Ziele verfolgt, wie das Vermeiden unnötiger Aufwände und Qualitätsbürokratie. Die Produktsicherheit und Gesetzeskonformität sollen erhöht werden und die Verwendung von Ressourcen soll bewusster werden. Wo das Risiko hoch ist, muss mehr getan werden, wo das Risiko niedrig ist, kann schlanker gearbeitet werden. Der Ansatz bezieht sich sowohl auf (Medizin)produktbezogene als auch auf wirtschaftliche Risiken.
Aber man darf nicht übergenerealisieren! Die ISO verlangt in Kapitel 4 nicht die risikobasierte Lenkung aller Prozesse des Unternehmens, sondern nur die Lenkung der dafür geeigneten Prozesse. Es wird dann in den darauffolgenden Kapiteln spezifiziert, welche Prozesse genau von der Norm betroffen sind.
Der risikobasierte Ansatz wird mindestens für die folgenden essentiellen Merkmale gefordert:
Lenkung von QM-Prozessen (Kap. 4.1.2)
Kontrolle von ausgegliederten Prozessen (Kap. 4.1.5)
Validierungsaktivitäten für Software im QMS (Kap. 4.1.6), Software zur Produktion und zur Dienstleistungserbringung (Kap. 7.5.6) sowie Software zur Überwachung und Messung von Anforderungen (Kap. 7.6)
Wirksamkeitsbewertung von Schulungen o.ä. Maßnahmen (Kap. 6.2)
Kriterien zur Lieferantenbewertung und das Lieferantenmanagement (Kap. 7.4.1)
Welcher Nutzen springt dabei heraus?
In bestimmten Märkten ist es eine Voraussetzung ein QM-System nach ISO 13485 zu implementieren und sich danach zertifizieren zu lassen, um Medizinprodukte zu vermarkten. Dies betrifft unter anderem die EU, Kanada oder Japan. Konkret auf den europäischen Markt bezogen, bedeutet das: In der MDR wird das Konzept eines risikobasierten Ansatzes zwar erwähnt, aber es werden keinerlei weitere Angaben dazu gemacht. Daher ist es nur schlüssig, dass dieser in der Norm beschriebene Ansatz von Herstellern angewendet wird.
Jedoch nicht nur in Europa ist der risikobasierte Ansatz ein relevantes Thema, denn auch die FDA arbeitet an vielen Stellen mit diesem Ansatz. Er dient teilweise als Grundlage dafür, wie häufig und in welchem Umfang manche Hersteller auditiert werden.
Im Gegensatz zu anderen Ansätzen, beruht der risikobasierte Ansatz darauf, Risiken zu betrachten, die aus der Nichteinhaltung von regulatorischen Anforderungen entstehen und somit eine Abweichung von den Vorschriften darstellen. Regulatorische Anforderungen beziehen sich hierbei auf gesetzliche Regelungen (z.B. die MDR, länderspezifische Gesetze, FDA-Regelungen, etc.).
Der risikobasierte Ansatz ist somit nicht mit dem Risikomanagement im Allgemeinen gleichzusetzen. Die Anwendung des risikobasierten Ansatzes bedeutet, Unsicherheiten in den Prozessen des Unternehmens zu identifizieren und Kontrollen innerhalb der entsprechenden Prozesse anzuwenden, damit potentielle negative Auswirkungen minimiert werden können und die positiven maximiert werden können. Auf diese Weise hilft er dem Unternehmen, vorbeugend zu handeln, vorhandene Ressourcen richtig zu priorisieren und auf lange Sicht anforderungskonforme (Medizin)Produkte sowie ein wirksames Qualitätsmanagementsystem zu gewährleisten, was auch die unternehmerischen Risiken senkt.
Wie wird der risikobasierte Ansatz umgesetzt?
Zunächst ist es wichtig festzustellen, welche Prozesse relevant sind, um dann für jeden einzelnen die gegebenen Risiken zu identifizieren. Im Rahmen der ISO 13485 sollen dabei vor allem regulatorische Risiken berücksichtigt werden. Zur einfacheren Übersicht kann dies in Form einer Tabelle dargestellt werden. Nach der ersten Analyse müssen Maßnahmen festgelegt werden, mit welchen den Risiken entgegengewirkt werden soll bzw. womit die Risiken minimiert werden sollen. Oftmals werden die Risiken in Klassen eingeteilt, und dementsprechend werden die jeweiligen Maßnahmen für jede Klasse festgelegt.
Etwas vereinfacht gesagt, kann man den risikobasierten Ansatz in 3 großen Schritten implementieren:
Risiken definieren, analysieren und bewerten
Maßnahmen definieren, umsetzen, messen (und regelmäßig bewerten)
Qualitätsmanagementsystem (folglich auch das Produkt) verbessern
Zur Bewertung kann beispielsweise der folgende Maßstab herangezogen werden:
Risikopotential | Definitionsbeispiel |
Niedrig | Beeinflussung regulatorischer Anforderungen |
Mittel | Indirekter Einfluss auf Produktsicherheit/-leistung |
Hoch | Direkter Einfluss auf Produktsicherheit/-leistung |
Laut Punkt 4.1.2 b muss nicht mit einem bestimmten Dokument nachgewiesen werden, dass man den risikobasierten Ansatz in seinen Unternehmensprozessen implementiert hat. Ganz allein in dem man diesen Ansatz umsetzt, kann von einem Dritten erkannt werden, dass ein Unternehmen danach handelt. Denn allein die Abläufe im QMS und die Entscheidungen über Priorisierung, Planung und Kontrollmaßnahmen, die ein Unternehmen getroffen hat, geben darüber Auskunft.
Nicht komplett neu, aber dennoch wichtig
Letztendlich gibt der risikobasierte Ansatz den Herstellern die Möglichkeit, ihre Qualitätsmanagement-Prozesse an die vorhandenen Risiken anzupassen und auch die Aufwände dafür. Auch wenn nicht jede Einzelheit in diesem Konzept eine völlige Neuerung ist – in dieser Konstellation in der ISO 13485 ist es neu. Somit ist es für jeden Medizinproduktehersteller zwingend, den risikobasierten Ansatzes einzuführen.
Um dabei kein Risiko einzugehen, steht die seleon gmbh Ihnen mit voller Unterstützung zur Seite.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.
