Qualität für Medizinprodukte managen

Bei Medizinprodukten wirkt sich die Qualität direkt auf die Wirksamkeit des Produkts und die Sicherheit von Patienten, Anwendern und eventuell weiteren Personen aus. Deshalb verlangen zahlreiche nationale Vorschriften von Herstellern und Inverkehrbringern den Nachweis eines Qualitätsmanagementsystems. Medizinprodukte, die von Unternehmen hergestellt oder angeboten werden, die nicht über ein zertifiziertes Qualitätsmanagementsystem verfügen, bekommen oftmals keine Marktzulassung oder nur mit erheblichem Mehraufwand. Die Zertifizierung des Qualitätsmanagementsystems nach der ISO 13485 schafft Akzeptanz. Unternehmen, die bereits über ein Zertifikat nach ISO 13485 verfügen, müssen ihre Zertifizierung bis 31. Mai 2019 auf die neue Version umgestellt haben.

Die Norm ISO 13485 „Medizinprodukte: Qualitätsmanagementsysteme – Anforderungen für regulatorische Zwecke“ regelt Anforderungen, die Hersteller und Anbieter von Medizinprodukten bei der Entwicklung, Umsetzung und Aufrechterhaltung von Managementsystemen für Medizinprodukte erfüllen müssen.

Aufbau der ISO 13485

Die ISO 13485 und die ISO 9001 haben einen vergleichbaren Aufbau. Die ISO 13485 enthält jedoch zusätzliche, spezifische Anforderungen für Medizinprodukte und formuliert einige Anforderungen der ISO 9001 anders. Aus diesem Grund ist die ISO 9001 kein vergleichbarer Ersatz für eine Zertifizierung nach den Anforderungen der ISO 13485.
In der EU sind die Anforderungen der EU-Medizinprodukterichtlinie (93/42/EWG), der Richtlinie über In-vitro-Diagnostika (98/79/EG) und der Richtlinie über aktive implantierbare medizinische Geräte (90/385/EWG) mit der ISO 13485 harmonisiert worden. Folglich führt eine Zertifizierung nach ISO 13485 durch eine akkreditierte Zertifizierungsgesellschaft zu einer sogenannten Konformitätsvermutung. Bei einer Konformitätsvermutung darf davon ausgegangen werden, dass ein zertifizierter Hersteller die Anforderungen der oben genannten Richtlinien erfüllt.
Auch die USA und Kanada fordern ein zertifiziertes Qualitätsmanagementsystem nach ISO 13485 von den Herstellern.

Wichtige Änderungen

  • Der sogenannte risikobasierte Ansatz tritt wie bei der ISO 9001 oder der ISO 27001 auch bei der ISO 13485 stärker in den Vordergrund. Dabei geht es um die ganzheitliche Risikobetrachtung des Unternehmens. Da oftmals die produktspezifische Risikobetrachtung konträr zum unternehmerischen Risikomanagement stand, hat die funktionale Sicherheit aus dem Produktherstellprozess gelitten.
  • Eine weitere Neuerung ist der prozessorientierte Ansatz und damit ist primär die Wertschöpfungskette als essenzieller Bestandteil des Managementsystems gemeint. Da darf es keine Lücken in der Darstellung und Überwachung geben. Das trifft auch auf die sogenannten ausgelagerten Prozesse zu.
    Ein wichtiger Punkt ist die Ermittlung und Einhaltung der regulatorischen Anforderungen. Darunter fällt auch das Risikomanagement. So kennen wir aus dem Kontext des Datenschutzes und der Informationssicherheit ISO 27001 sowohl die Begriffe Einhaltung gesetzlicher und behördlicher Anforderungen, aber auch die Kommunikation mit Aufsichtsbehörden und benannten Stellen.
  • Der Begriff Medizinproduktefamilie ist neu. Durch diese Regelung ist es möglich, sogenannte Produktfamilien zu definieren und auf dieser Ebene die Konformitätsnachweise zu erbringen und nicht mehr wie zuvor für jedes einzelne Produkt.
  • Eine weitere Änderung der ISO 13485:2016 adressiert explizit die Validierung von Computersoftware für das QM-System. Das könnte z.B. eine Software für das Beschwerdemanagement bzw. für den Umgang mit Kundenrückmeldungen sein.
  • Aber auch der Prozess zum Umgang mit Beschwerden wurde mit neuen Anforderungen versehen.

Weitere Änderungen

  • Neu ist die Forderung nach einem „Medical Device File“. Andere Branchen kennen den Begriff der Geräteakte schon seit vielen Jahren. Offensichtlich ist es gelungen hier von Erkenntnissen dieser Branchen zu profitieren. Die Erwartungen der FDA werden dadurch ebenfalls erfüllt.
  • Im Verantwortungsbereich des obersten Managements wurden bestehende Anforderungen neu definiert. So wird jetzt das Management Review nach ISO 13485 ebenfalls Meldungen an Behörden, Einhaltung von Compliance und Messung und Überwachung von Produkten und Prozessen beinhalten. Als Ergebnis dieser Managementbewertung soll das Top Management die Eignung und Angemessenheit des QM-Systems bestätigen.
  • Ebenfalls nicht neu, aber dennoch konkretisiert ist der Risikomanagementprozess, der zu entwickeln und zu etablieren ist. Dieser kann konform der ISO 14791 sein.
  • Für den Prozess des Produktdesigns und -entwicklung gibt es jetzt Forderungen nach dokumentierten Verfahren. Da fällt einem sogleich das Stichwort Design- und Entwicklungsakte ein. Ein besonderer Augenmerk liegt dabei auf dem sogenannten Design Transfer. Dieser muss nach der Verifizierung aber vor der Validierung erfolgen.
  • Die technische Dokumentation, wie sie der ein oder andere bereits aus der Maschinenrichtlinie kennt, gilt auch bei Medizinprodukten. Hierunter fallen auch die Entwicklungsaufzeichnungen. In diesem Kontext muss auch die Prozessvalidierung erwähnt werden. Denn nicht nur der Prozess muss validiert werden sondern auch die zugehörige Prozesssoftware.

Herausforderungen

Die beiden Normen ISO 13485 und ISO 9001 in ein Managementsystem zu integrieren wird schwierig, da die Kapitelstrukturen nicht deckungsgleich sind. Ob die im Anhang der ISO 13485:2016 befindliche Mapping-Tabelle hilfreiche Dienste leistet, wird die Praxis zeigen.
Medizinproduktehersteller und andere nach der Norm ISO 13485:2003 zertifizierte Organisationen haben bis 31. Mai 2019 Zeit, um ihr Qualitätsmanagementsystem auf die Anforderungen der neuen ISO 13485:2016 umzustellen und zertifizieren zu lassen.
Es darf davon ausgegangenen werden, dass angesichts des Umfangs der Änderungen die Umstellung auf die neuen Anforderungen mit einem beträchtlichen Aufwand an Zeit und Ressourcen verbunden sein wird. Insbesondere wenn neben der ISO 13485 auch Anforderungen der ISO 9001, ISO 14001, ISO 27001, OHSAS, ISO 50001 und weitere Managementsystemanforderungen kombiniert wurden.

Bildnachweis: (C) Darko Stojanovic, CC0 v1.0, Pixabay