Risikomanagement & ISO 14971

Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicher stellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sind und im Vergleich zum Nutzen akzeptabel sind.

Risikomanagement-Prozess konform ISO 14971

Dieser Prozess soll u.a. folgende Schritte umfassen:

  1. Risikoakzeptanzkriterien festlegen. Dies geschieht oft in Form einer Risikoakzeptanzmatrix.
  2. Risikoanalyse Teil 1: Gefährdungen durch das Medizinprodukt identifizieren aus der Zweckbestimmung ableiten z.B. mit Hilfe der PHA, FMEA und FTA. (Hier mehr zum Unterschied von Gefährdungen und Gefährdungssituationen.)
  3. Risikoanalyse Teil 2: Wahrscheinlichkeiten, Schwergrade und damit Risiken abschätzen. Über die Vertretbarkeit dieser Risiken entscheiden
  4. Maßnahmen zur Risikominimierung festlegen und umsetzen, falls die Risiken nicht vertretbar sind
  5. Neue Risiken durch diese Maßnahmen analysieren
  6. Über die Vertretbarkeit der Risiken (erneut) entscheiden
  7. Einen Risikomanagementbericht erstellen
  8. Das Produkt im Rahmen der nachgelagerten Phase beobachten, kontinuierlich Risiken analysieren und über Risikoakzeptanz neu entschieden

ISO 14971: Der Risikomanagement-Prozess

Weitere Informationen zu …

Auditgarant: Tutorial ISO 14971 und Risikomanagement
Der Auditgarant zeigt Ihnen in über 15 Videotrainings Schritt für Schritt, wie Sie eine Risikoakzeptanzmatrix systematisch herleiten, Risiken analysieren und geeignete Maßnahmen ableiten und all dies ISO-14971-konform dokumentieren.

Die harmonisierte Norm ISO 14971

Die Forderung nach Risikomanagement ist die zentralste der „grundlegenden Anforderungen“ der Medizinprodukterichtlinie und damit des Medizinproduktegesetzes. Wenn Medizinproduktehersteller einen ISO 14971-konformen Risikomangementprozess befolgen, wird man vermusten, dass sie diese gesetzliche Anforderung erfüllen.

Die Norm zur Anwendung des Risikomanagements bei Medizinprodukten

Die Norm ISO EN DIN ISO 14971 fordert, dass

  • bei Medizinprodukten die Risikopolitik zu formulieren ist,
  • eine Gefährdungsanalyse bzw. Risikoanalyse durchzuführen ist (hier können Verfahren zu Risikoanalyse angewendet werden wie die FMEA, FTA und PHA)
  • die Risiken gemäß der Risikopolitik zu bewerten sind
  • die Risiken so weit wie möglich zu minimieren sind
  • und die Wirksamkeit der risikominimierenden Maßnahmen zu prüfen ist.

Die ISO 14971 wird als harmonisierte Norm auch von den nationalen Normengremium als DIN 14971 oder OE 14971 (Österreich) publiziert. Lesen Sie hier mehr dazu, wie es zu den Prefixen DIN EN ISO 14971 kommt.

Änderungen der Norm durch die ISO 14971:2012

Sie finden hier Informationen zu den Änderungen durch die ISO 14971:2012 (Anhang ZA).

Typische Probleme beim Risikomanagement

Für Firmen die erstmalig Medizinprodukte entwickeln, stellt das Risikomanagement meist die größte Herausforderung dar. Die Anwendung des Risikomanagementprozesses auf Medizinprodukte bedarf nicht nur Kompetenzen bei der Anwendungen der Verfahren zur Risikoanalyse, sondern auch Kenntnisse des Kontexts, in dem die Medizinprodukte eingesetzt werden, und der gesetzlichen Anforderungen insbesondere der grundlegenden Anforderungen der Medizinprodukte-Richtlinie.

Viele Hersteller betreiben ein unzureichendes Risikomanagement. Die Fehler liegen oft

  1. bereits in der Verwendung von Begrifflichkeiten (so wird Software als Risiko bezeichnet),
  2. in einer unzureichenden weil regelmäßig zu technisch fokussierten Risikoanalyse,
  3. in einer fehlenden Begründung der Wahrscheinlichkeiten und Schweregraden von Schäden,
  4. der nicht dokumentierten Verifizierung der Implementierung und(!) Wirksamkeit der risikominimierenden Maßnahmen,
  5. in einer willkürlich erscheinenden Festlegung akzeptabler und nicht akzeptabler Risiken,
  6. im fehlenden Zusammenspiel mit der klinischen Bewertung
  7. und in einem nicht konsequenten Risikomanagement in der nachgelagerten Phase.

Da die korrekte Anwendung der ISO 14971 die Voraussetzung für andere Normen wie die IEC 62304, IEC 62366 und IEC 60601-1 darstellt, kommt der ISO 14971 und damit der Risikomanagementakte eine überragende Bedeutung zu. Das Johner Institut unterstützt Hersteller aktiver Medizinprodukte dabei, in wenigen Tagen eine Risikomanagementakte zu erstellen, die sicher durchs Audit und die Zulassung kommt.

Video-Risikomanagementakte-technische-Dokumentation

Rückblick 2013: Wurde die 14971:2012 zurückgezogen?

Große Aufregung: Mich erreicht die Anfrage, ob die ISO 14971:2012 zurückgezogen sei? Beim Beuth-Verlag wäre sie bereits nicht mehr erhältlich, sie wäre dort als zurückgezogen gelistet. Auf eine erste Nachfrage bekomme ich die Antwort, so etwas habe man auch schon gehört.

Das stimmt aber nicht, wie ich jetzt dank Oliver Christ von PROSYSTEM in Hamburg und einer Kollegin aus dem Beuth-Verlag weiß. Man schreibt mir:

„Die DIN EN ISO 14971: 2013 ist nicht zurückgezogen worden, denn sie wurde bisher auch noch nicht veröffentlicht. Der Hintergrund des Gerüchtes ist wohl der, dass im Beuth Verlag das Manuskript zur Norm erhältlich war. Dieses Manuskript wurde „zurückgezogen“, d.h. aber nur, dass es nicht mehr erhältlich ist!!! Der normale Veröffentlichungsprozess geht weiter und die Norm erscheint voraussichtlich im April 2013.“

Wohlgemerkt, es geht um die deutsche Ausgabe der Norm. Ob Sie das nun erleichtert oder erschreckt, kann ich nicht beurteilen. Zumindest haben wir Klarheit.


Donnerstag 2. Februar 2017 von Prof. Dr. Christian Johner

Unter Post-Market Surveillance (Marktüberwachung) versteht man einen systematischen Prozess, um aus Informationen über Medizinprodukte, die bereits in Verkehr gebracht wurden, notwendige Korrektur- und Vorbeugemaßnahmen (CAPA, corrective and preventive action) abzuleiten.

Die ISO 13485:2016 und die ISO 14971:2012 verlangen eine Post-Market Surveillance, und die FDA hat im Mai 2016 ein überarbeitetes Guidance-Document dazu veröffentlicht.

Update: Forderungen der MDR ergänzt. Abgrenzung Post-Market Surveillance und Post-Market Clinical Follow-up weiter präzisiert.

Den ganzen Beitrag lesen »


Montag 16. Januar 2017 von Prof. Dr. Christian Johner

Wie Sie eine Benefit-Risk (Nutzen-Risiko) Abwägung durchführen sollen, verrät die FDA in einem „Guidance Document“.

Es trägt den Titel “Factors to Consider When Making Benefit-Risk Determinations in Medical Device Premarket Approval and De Novo Classifications” und wurde am 24. August 2016 veröffentlicht.

Dieses Guidance-Document zur Benefit-Risk-Abwägung ist nicht nur bei FDA-Zulassungen sehr hilfreich. Nutzen Sie es auch bei der abschließenden Nutzen-Risiko-Bewertung gemäß ISO 14971.

Den ganzen Beitrag lesen »


Donnerstag 15. Dezember 2016 von Prof. Dr. Christian Johner

Die ISO/IEC 15408-1 trägt den Titel „Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model“. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie geprüft werden soll, finden sich in dem zweiten und dritten Teil der ISO/IEC 15408.

Dieser Artikel verschafft Ihnen einen Überblick über die Normenfamilie. Er gibt Medizinprodukteherstellern Hinweise, wie sie die Norm nutzen können, um beispielsweise die Anforderungen der ISO 13485:2016, der IEC 62304 und der FDA bezüglich IT-Sicherheit bzw. Cybersecurity zu erfüllen.

Den ganzen Beitrag lesen »


Dienstag 11. Oktober 2016 von Prof. Dr. Christian Johner

Ob in einer Software ein – möglicherweise gefährlicher – Fehler schlummert, läß sich schwer abschätzen. So schwer, dass die „alte“ DIN EN IEC 62304:2006 schrieb: „Es gibt jedoch keine Übereinstimmung, wie die Wahrscheinlichkeit des Auftretens von Software-Ausfällen unter Verwendung von traditionellen statistischen Methoden bestimmt werden kann.“

Die Norm schlussfolgerte, dass „die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden muss“. Die hochproblematische Forderung ist in der „neuen“ IEC 62304:2015 gestrichen.

Dieser Artikel verrät Ihnen, wie Sie die Fehlerwahrscheinlichkeit bei Software realistischer abschätzen können und wann Sie das müssen.

Den ganzen Beitrag lesen »


Dienstag 20. September 2016 von Prof. Dr. Christian Johner

Anormaler Gebrauch: Eine von vielen möglichen Fehlhandlungen

Irrtum, Benutzungsfehler, anormaler Gebrauch, Aufmerksamkeitsfehler, vernünftigerweise vorhersehbarer Erinnerungsfehler, vorhersehbarer Missbrauch. Die Liste möglicher (Fehl-) Handlungen ist lang, die die Normen betrachtet haben möchten.

Doch Vorsicht: Die Normen zur Gebrauchstauglichkeit (IEC 62366:2007 und IEC 62366-1:2015) und die Norm zum Risikomanagement (ISO 14971) verwenden unterschiedliche Begriffe.

Dieser Artikel bringt Licht ins Dunkel.

Den ganzen Beitrag lesen »


Freitag 29. April 2016 von Prof. Dr. Christian Johner

Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern Handlungsleitung für ein effektives und effizientes Risikomanagement geben – unabhängig von der Domäne einer Organisation.

Dieser Artikel möchte Ihnen als Medizinprodukte-Hersteller eine Übersicht über die ISO 31000 verschaffen, damit Sie schnell entscheiden können, ob Sie deren Prinzipien und Richtlinien in Ihrem Unternehmen anwenden wollen.

Den ganzen Beitrag lesen »


Mittwoch 27. April 2016 von Prof. Dr. Christian Johner

Die ISO 24971 ist die Norm, die meine Auditoren-Kollegen oft zücken, wenn es mit Medizinprodukte-Hersteller Diskussionen über die Auslegung der ISO 14971 gibt.

Sie kennen die ISO 24971 nicht? Sie möchten diese Norm nicht kaufen? Kein Problem, ich habe diese Technical Report für Sie gelesen und zusammengefasst.
Den ganzen Beitrag lesen »


Montag 25. April 2016 von Prof. Dr. Christian Johner

Die ISO 14971 fordert in Kapitel 8 einen Risikomanagementbericht. Welchen Inhalt dieser Bericht enthalten sollte und wie Sie Fehler beim Formulieren des Risikomanagementberichts vermeiden können, zeigt Ihnen dieser Artikel.

Den ganzen Beitrag lesen »


Freitag 8. April 2016 von Prof. Dr. Christian Johner

Zu den Synonymen von „vorhersehbarer Missbrauch“ zählen „vorhersagbarer Missbrauch“, „vorhersehbarer Fehlgebrauch“ oder im Englischen „foreseeable misuse“. In der Medizinproduktewelt ergänzt man meist noch zum „vernünftigerweise vorhersehbaren Missbrauch“.
Den ganzen Beitrag lesen »


Mittwoch 27. Januar 2016 von Prof. Dr. Christian Johner

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu zwei Guidance Dokumente veröffentlich, die sich beide an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ wendet sich an alle Medizinproduktehersteller, der Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase. Das Guidance-Dokument legt fest,
    • wie Hersteller das Risikomanagement um das Thema Cybersecurity ergänzen müssen,
    • welche Aspekte sie dabei konkret beachten bzw. umsetzen sollen und
    • wie sie diese Maßnahmen zu dokumentieren haben.
  2. Das Dokument „Postmarket Management of Cybersecurity in Medical Device“ schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.

Update: Die FDA hat einen neuen „Postmarket Management Guidance herausgegeben. Was die FDA darin fordert, habe ich Ihnen hier zusammengefasst.
Den ganzen Beitrag lesen »