Der neue Systemstandard für Medizinprodukte ist da ISO — 13485:201626 | 04 | 16
Die Medizinproduktebranche zeichnet sich durch kurze Innovationszyklen bei gleichzeitig hohem Regulierungsgrad aus. Um Medizinprodukte erfolgreich vermarkten zu können, müssen rechtliche Rahmenbedingungen beachtet werden. Diese Rahmenbedingungen werden durch die Gesetzgeber, nicht zuletzt aufgrund medial bekanntgewordener Produktmängel, ständig verschärft. Am 1. März 2016 wurde die neueste Ausgabe von ISO 13485 publiziert.
Was hat sich mit ISO 13485:2016 geändert?
ISO13485:2003 (voraussichtlich gültig bis Juni 2019) regelt Managementsysteme in Organisationen, die Medizinprodukte entwickeln, herstellen und vermarkten. Mit der Version ISO13485:2016 fallen nun auch Organisationen in den Geltungsbereich dieser Norm, die:
- Medizinprodukte lagern, installieren und bereitstellen,
- technischen Service anbieten sowie
- Zulieferer und Servicedienstleister sind.
Der neue Standard kann somit für alle Organisationen angewandt werden, die im Rahmen ihrer Funktion im Lebenszyklus eines Medizinproduktes, die Konformität mit den anwendbaren Kundenanforderungen und Gesetzen nachweisen müssen.
Die gültigen Rechtsrahmen für Medizinprodukte
Der derzeit gültige Rechtsrahmen für Medizinprodukte in Europa besteht aus der Richtlinie 90/385/EWG für aktive implantierbare Medizinprodukte, 93/42/EWG für Medizinprodukte sowie 98/79/EG für In-vitro-Diagnostika. Mit diesen Richtlinien, deren Inhalte in allen Mitgliedsstaaten in nationalen Gesetzen Niederschlag finden, sind alleine in Deutschland geschätzt etwa 500.000 verschiedene Produkte, vom Fieberthermometer bis hin zum Herzschrittmacher, geregelt.
Die Struktur der Richtlinien stammt aus den 90er Jahren, wo man mit dem sogenannten „New Approach“ den freien Warenverkehr innerhalb der Union bei gleichzeitig hohem Sicherheitsniveau gewährleisten wollte. Dabei ist vorgesehen, dass jedes Produkt bevor es in Verkehr gebracht wird, einer sog. Konformitätsbewertung unterzogen wird. Diese erfolgt bei niedrigem Patientenrisiko durch den Hersteller selbst und bei Produkten mit höherem Risiko durch unabhängige, von den Behörden der Mitgliedsstaaten benannte Prüfstellen (=Notified Bodies).
Im Rahmen der Konformitätsbewertungsverfahren wird festgestellt, dass der Medizinproduktehersteller mit seinem Produkt die jeweils anwendbare Richtlinie sowie die aktuell gültigen harmonisierten Normen erfüllt. Eine zentrale Norm stellt dabei ISO 13485 „Medizinprodukte — Qualitätsmanagementsysteme — Anforderungen für regulatorische Zwecke“ dar. Dieser Standard regelt den Aufbau und die Inhalte eines Managementsystems für Medizinproduktehersteller, und jetzt neu: auch für alle Organisationen in der Wertschöpfungskette.
ISO 9001:2015 vs. ISO 13485:2016 – die Unterschiede (Auszug)
ISO-Norm 9001 ist der „Management-Klassiker“ und enthält Anforderungen an Qualitäts-Managementsysteme, die weltweit von Unternehmen und Organisationen angewendet werden. Im Jahr 2015 wurde sie überarbeitet und neu strukturiert.
Die von der ISO/IEC vorgegebene neue „High Level Structure“ (übergeordnete Struktur, die den Aufbau neuer Normen vereinheitlichen soll) wurde bei der neuen ISO 9001 angewandt, jedoch nicht bei ISO 13485:2016. Das Thema Risikomanagement gewinnt in beiden Standards stark an Bedeutung. Wie auch schon bei ISO 9001:2015, kommen durch die Einführung von ISO 13485:2016 neue Herausforderungen auf die Unternehmen der Medizinproduktebranche zu (Auszug):
- Eine der Hauptänderungen betrifft die Entwicklung: Im Gegensatz zur neuen Version der ISO 9001, die den Detailierungsgrad der Entwicklungsaktivitäten vom Risiko abhängig macht, beinhaltet die ISO 13485:2016 klare Vorgaben zu diesem Punkt. Die Themen Entwicklungsverifizierung und Entwicklungsvalidierung sind neu und umfangreicher formuliert.
- In Zukunft wird das Risikomanagement verstärkt angewandt. Während bisher der Fokus auf dem Produktrisiko lag, ist nun auch ein risikobasierter Ansatz für die Änderung von Unternehmensprozessen gefordert. Das heißt, eine Risikoevaluierung im Rahmen des Change Control für Prozesse.
- Computersysteme und deren korrekte Arbeitsweisen (Stichwort: Computervalidierung) sind umfassender geregelt. Unter anderem ist nun eine Softwarevalidierung von elektronischen Qualitätsmanagementsystemen gefordert.
- Die periodische Managementbewertung („Management Review“), die nun im QM-System beschrieben sein muss, wurde hinsichtlich Eingaben und Ergebnissen erweitert.
- Auch die Anforderungen an personelle Ressourcen wurden neu formuliert: Zusätzlich müssen die Organisationen die Kompetenz ihrer Mitarbeiter nachweisen und sicherstellen, dass sich die Mitarbeiter über den Einfluss ihrer Tätigkeit bzw. ihren Beitrag zur Erreichung der Qualitätsziele bewusst sind.
- Unternehmen müssen nun die Anforderungen an die infrastrukturellen Einrichtungen dokumentieren und sie so gestalten, dass die Sicherheit der Produkte gewährleistet ist bzw. eine Verwechslung von Produkten und Komponenten ausgeschlossen werden kann.
- Die Produktanforderungen, die im Rahmen der Realisierungsplanung definiert und vor Auslieferung überprüft werden, müssen nun auch die Anforderungen an das Anwendertraining beinhalten, um die spezifizierte Leistung der Produkte bzw. den sicheren Gebrauch zu gewährleisten.
- Neben der klassischen Kundenkommunikation ist nun auch die Kommunikation mit Behörden geregelt, wobei hier auf die lokal gültigen Gesetze Bezug genommen wird.
Durch die Aufnahme aktueller Themen wie Softwarevalidierung und UDI (Unique Device Identifier) bzw. dem Ausbau des Risikomanagements wurde die Aktualität der inzwischen 13 Jahre alten ISO13485 wieder hergestellt. Die Handschrift der amerikanischen Gesundheitsbehörde bzw. die Ähnlichkeit mit dem amerikanischen Medizinproduktegesetz ist in einigen Kapiteln klar erkennbar.
Conclusio zur ISO-Norm 13485:2016
Zusammenfassend ist festzuhalten, dass die neue Norm ISO 13485:2016 im Gegensatz zum Basiswerk ISO 9001 viele neue Forderungen beinhaltet, deren Umsetzung viele zertifizierte Organisationen vor neue Herausforderungen stellen wird. Die zertifizierten Organisationen haben nun maximal drei Jahre Zeit, auf den neuen Standard umzustellen.
Über den Autor: Andreas Aichinger
Hallo Herr Aichinger,
was bedeutet die Umsetzung der Norm ISO 13485:2016 für ein kleines mittelständiges Unternehmen das medtech. Service und Vertrieb liefert.
1) Firma Zertifiziert
2) Firma nicht Zertifiziert
Mit freundlichen Grüßen
Volker Haß
Hallo Herr Haß,
Herr Aichinger ist in Kürze aus dem Urlaub zurück und beantwortet Ihre Fragen danach gern hier im Blog. Vielen Dank für Ihre Geduld.
Viele Grüße
Katrin Kemm
DGQ Marketing/Kommunikation
Hallo Herr Haß,
Generell ist es zunächst wichtig eine Standortbestimmung der Organisation vorzunehmen. Die Rolle der Organisation muss klar definiert sein. Diese „Rolle“ der Organisation wird meist bei der Startegieentwicklung mitberücksichtigt bzw. festgelegt und im QM-Handbuch (Q-Politik) dokumentiert.
1) Zertifiziertes Unternehmen:
Hier besteht der Vorteil, dass bereits ein Managementsystem installiert ist und die grundlegenden Unternehmensprozesse definiert sind. Für solche Unternehmen ist es ratsam eine Normanalyse durchzuführen, um jene Anforderungen zu erkennen, die nicht schon im bestehenden Managementsystem implementiert sind. Anschließend werden diese Anforderungen implementiert. Für Organisationen, die nach ISO9001 zertifiziert sind empfiehlt sich der Anhang B der neuen Norm, der zu jedem Kapitel der ISO9001 die Zusatzanforderungen der ISO13485:2016 enthält.
2) Noch keine Zertifizierung
Hier müssen nach der Standortbestimmung die anwendbaren Norminhalte implementiert werden. Würde dazu eine Aktionsmatrix empfehlen, um die parallel zu erledigenden Arbeitspakete zu koordinieren. Achten Sie hier auf die Prozessorientierung, die zuerst angewandt werden muss. D.h. Sie sollten zunächst alle Unternehmensprozesse abbilden und beschreiben bzw. die Schnittstellen der Prozesse untereinander regeln. Anschließend sollte man sich erst auf die Implementierung der spezifischen Normanforderungen konzentrieren. Vielen Unternehmen engagieren Berater zur Unterstützung. Hier ist Vorsicht geboten, da es sehr große Qualitätsunterschiede bei den Beratern gibt. Von einem Managementsystem „von der Stange“ ist dringend abzuraten, da der Mehrwert solcher Systeme in der Regel für die Organisationen begrenzt ist. Wichtig ist, dass das Managementsystem neben der Erfüllung spezieller Normen, einen Nutzen für die Organisation bringt (z.B. betreffend Risikominimierung, Wissensmanagement und Rechtssicherheit). Das kann es nur, wenn die tatsächlich gelebten Unternehmensprozesse abgebildet, mit den entsprechenden Normanforderungen versehen, und von den Verantwortlichen nachhaltig mitgetragen und konsequent weiterentwickelt werden.
Entsprechend der Rolle der Organisation bzw. den Märkten, in denen die Organisation auftritt, ist möglichst frühzeitig ein geeignetes Zertifizierungsunternehmen auszuwählen. Achten Sie bei der Auswahl auf eine entsprechende Akkreditierung dieser Organisation. Ihr Systemzertifikat nach ISO13485 sollte von den Gesundheitsbehörden jener Länder anerkannt werden, wo Sie mit Ihren Medizinprodukten bzw. Dienstleistungen tätig sein möchten (Länderzulassung!). Hier gibt es in Kanada, Taiwan, Japan usw. spezielle Anforderungen.
Mit freundlichen Grüßen,
Der Artike war sehr aufschlussreich