Damit Ihnen der Wind nicht in Form strengerer Richtlinien ins Gesicht bläst und Sie vor unerwarteten Hürden stehen, haben die seleon-Experten für Sie recherchiert: Seit Dezember 2019 ist die ISO 14971:2019, die Risikomanagement-Norm für Medizinprodukte, in ihrer dritten Version öffentlich. Was hat sich seither getan? Was gibt es für Sie zu tun?
Zwar hat die Europäische Kommission im März dieses Jahres die Liste der harmonisierten Normen für die Medizinproduktrichtlinie MDD (93/42 EWG) aktualisiert, jedoch gibt es für die Medizinprodukteverordnung (EU 2017/745) noch keine Liste der harmonisierten Normen und somit auch noch keine harmonisierte Risikomanagement-Norm. Dies stellt für die Entwicklung und Konformitätsvermutung von Medizinprodukten nach MDR EU (2017/745) eine Herausforderung dar.
Laut einem aktuellen Beschluss der EU-Kommission darf die Liste der harmonisierten Normen der Richtlinie für Medizinprodukte MDD NICHT für den Beleg der GRUSULA (Grundlegenden Sicherheits- und Leistungsanforderungen) der MDR verwendet werden. Um zu zeigen, dass die GRUSULA erfüllt werden, müssen die Hersteller für Medizinprodukte also einen Mehraufwand betreiben und für jeden Punkt einzeln prüfen, inwiefern er durch bestehende Normen abgedeckt wird – sei es Risikomanagement, Qualitätsmanagement oder andere relevante Anforderungen.
Von einer Harmonisierung der Risikomanagement-Norm für Medizinprodukte ISO 14971:2019 ist dennoch stark auszugehen. Zum Vergleich: Bei der FDA ist die Norm bereits unter den „Recognized Consensus Standards“ gelistet, darf dort also angewendet werden.
Leitfaden veröffentlicht: ISO/TR 24971
Etwa sechs Monate nach Veröffentlichung der Risikomanagement-Norm für Medizinprodukte ISO 14971:2019 wurde im Juni der zugehörige Leitfaden ISO/TR 24971:2020-06 woher publiziert.
Der Leitfaden kann als langer Kommentar angesehen werden, denn er konkretisiert die Anforderungen aus der ISO 14971 und gibt Hilfestellung für Hersteller von Medizinprodukten bei der Umsetzung. Die ersten 30 Seiten kommentieren die ISO 14971:2019 Kapitel für Kapitel. Daran schließen sich acht Anhänge mit einem Umfang von 55 Seiten an:
Annex A: Identification of hazards and characteristics related to safety
Annex B: Techniques that support risk analysis
Annex C: Relation between the policy, criteria for risk acceptability, risk control and risk evaluation
Annex D: Information for safety and information on residual risk
Annex E: Role of international standards in risk management
Annex F: Guidance on risks related to security
Annex G: Components and devices designed without using ISO 14971
Annex H: Guidance for in vitro diagnostic medical devices
Anhang zu Cyber- und Datensicherheit
Nachdem Software als Medizinprodukt in die dritte Ausgabe der ISO 14971 aufgenommen wurde, behandelt der Anhang F der ISO/TR 24971 erstmals die Themen Datensicherheit und Cybersecurity.
Der Anhang führt sechs wichtige Begriffe ein:
Sicherheit (Security): Das System ist unverletzlich gegenüber feindlichen Handlungen.
Bedrohung (Threat): Potenzial, welches die Sicherheit verletzen und Schäden verursachen könnte
Schwachstelle (Vulnerability): Fehler oder Schwächen im Design, die ausgenutzt werden könnten, um ein System zu schädigen
Zuverlässigkeit (Confidentiality): Nur autorisierte Personen haben Zugriff auf die Daten.
Integrität (Integrity): Genaue und vollständige Daten
Verfügbarkeit (Availability): Zugänglichkeit der Daten
Weiterhin gibt es Informationen zu Gefährdungen, Ereignisabfolgen (Sequences of events) und Schäden. Wer sich noch nicht mit dem Thema Cybersecurity beschäftigt hat, erhält hier eine erste Idee der Thematik. (TIPP: Schauen Sie sich auch unseren Newsletter zum Thema Cybersecurity an).
Risikomanagement-Vorgaben für Medizinprodukte nach MDR schlägt ISO 14971
Wichtig für internationale Medizinprodukte-Hersteller, aber auch alle, die Normen erst ab Kapitel 3 lesen, ist das Prinzip von „Ober schlägt Unter“. Die sture Anwendung der ISO 14971:2019 und ihres Leitfadens ISO/TR 24971:2020 kann eine böse Überraschung bereithalten. Denn die ISO 14971:2019 ist weiter gefasst als die Risikomanagement-Vorgaben für Medizinprodukte nach MDR. Das war schon bei der zweiten Version der ISO 14971 aus dem Jahr 2012 so. Was bei der ISO 14971 noch „erlaubt“ ist, kann von der MDR als „gesetzeswidrig“ angesehen werden. Für die Anwendung der harmonisierte EN ISO 14971:2012 hieß dies, dass die Vorgaben der MDD so manches Prinzip der ISO 14971 ausstachen.
Aber es gilt: Ober schlägt Unter oder: MDR schlägt ISO 14971.
ALARP/ALARA und die Risikomanagement-Norm für Medizinprodukte MDR
Beispielsweise sind die Prinzipien ALARA (As low as reasonably achieveable) und ALARP (As low as reasonably practible) zwar in ISO/TR 24971 genannt, widersprechen aber ganz klar den Anforderungen aus der EU-Medizinprodukteverordnung MDR, Anhang I:
„2. Die in diesem Anhang dargelegte Anforderung zur möglichst weitgehenden Minimierung von Risiken ist so zu verstehen, dass Risiken so weit zu verringern sind, wie es ohne negative Auswirkungen auf das Nutzen-Risiko-Verhältnis möglich ist.“
Auch wenn sich in der Harmonisierung der ISO 14971:2019 noch nichts getan hat, so ist die ISO/TR 24971 sicher einen Blick wert!
Sie merken, dass der Wind nicht nur aus der MDR-Richtung pfeift, sondern Ihnen auch das Risikomanagement stürmische Zeiten beschert? Sie befinden sich inmitten eines Entwicklungsprozesses und fragen sich, welche Normvorgaben nun für Sie final zur Anwendung kommen und wie die Konformitätsvermutung aufzustellen ist? Wir geben Ihnen in diesen stürmischen Zeiten gerne Halt und unterstützen Sie kompetent bei der Minimierung Ihrer Risiken. Sprechen Sie uns an.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.