Das Risikomanagement zählt zu den wichtigsten gesetzlichen Anforderungen, die Hersteller von Medizinprodukten erfüllen müssen.
Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicherstellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sowie im Vergleich zum Nutzen akzeptabel sind.
Abb. 1: Risikomanagementprozess nach ISO 14971 (zum Vergrößern klicken)
Inhalt
Sie finden auf dieser Seite Fachartikel …
Der erste Schritt beim Risikomanagement für ein konkretes Produkt besteht darin, den Risikomanagementplan zu erstellen. Dieser legt fest,
Diesen Risikomanagementplan muss die Verfahrensanweisung zum Risikomanagement einfordern
Hersteller müssen zuerst die Zweckbestimmung des Produkts festlegen.
Dann müssen sie im Rahmen einer Gefährdungsanalyse bzw. Risikoanalyse die Gefährdungen und Gefährdungssituationen identifizieren. Dazu gibt es mehrere Methoden:
Um Gefährdungen zu identifizieren, die von fehlerhaften Prozessen ausgehen, empfiehlt sich die Prozess-FMEA (pFMEA).
Im nächsten Schritt müssen die Hersteller die Risiken abschätzen. Dazu müssen sie bestimmen:
Viele Hersteller arbeiten mit einer Risikoprioritätszahl (RPZ). Dieses Konzept entspricht allerdings nicht der ISO 14971.
Spätestens jetzt besteht die Aufgabe der Hersteller darin, ihre Kriterien für die Risikoakzeptanz zu bestimmen. Die Festlegung erfolgt meist in Form einer Risikoakzeptanzmatrix.
Dabei hilft auch der Benefit-Risk-Guidance der FDA.
Bei der Bewertung des Restrisikos sollten Sie diese Zahlen kennen. Auch die Kaplan-Meier-Kurve hilft im Risikomanagement.
Gesetze wie die MDR und die IVDR verpflichten die Hersteller zur Risikominimierung bzw. Risikobeherrschung. D.h. sie müssen die Risiken so weit wie möglich und gemäß ihrer Akzeptanzkriterien reduzieren.
Sehr hilfreich bei Diskussionen mit Auditoren und Behörden sind der Artikel zu Informationen als Maßnahmen zur Risikominimierung sowie die Safety Assurance Cases, welche die FDA bei einigen Produkten sogar verlangt.
Die Ergebnisse aller bisherigen Aktivitäten müssen die Hersteller in einem Risikomanagementbericht dokumentieren. Bei dieser Bewertung sollten die Hersteller prüfen, dass sie die 7 häufigsten Fehler im Risikomanagement vermeiden.
All diese Aufzeichnungen und Dokumente bilden dann die Risikomanagementakte.
Damit endet das Risikomanagement nicht. Vielmehr folgt die Post-Market-Phase bzw. die nachgelagerte Phase, wie die ISO 14971 sie nennt. Ein Teil derer ist die Post-Market Surveillance und Überwachung der Produkte im Markt.
Die DIN EN ISO 14971 liegt in der Version 2022 vor. Die letzte wesentliche Änderung stammt aus dem Jahr 2019. Diese Änderungen wurden mit der dritten Ausgabe der ISO 14971 eingeführt. Damit wird die EN ISO 14971:2012 mit dem Annex ZA obsolet.
Im Beitrag zu den harmonisierten Normen erfahren Sie mehr zur Bedeutung der Präfixe wie DIN, EN und ISO.
Wie Hersteller die (neue Version) der Norm anwenden sollten, beschreibt der Beitrag zur ISO 24971.
Wichtig ist auch die Frage, ob die ISO 14971 überhaupt anwendbar ist. In diesem Kontext sind die Begriffe vorhersehbarer Missbrauch und anormaler Gebrauch wichtig.
In anderen Rechtsbereichen wird die ISO 31000 genutzt, die für die Medizinproduktehersteller zumindest als Anregung dienen kann.
Bei Medizinprodukten, die Software enthalten oder Software sind, wirkt sich die IT-Sicherheit wesentlich auf die Risiken aus. Hilfreich sind hier folgende Publikationen:
Für Medizinprodukte, die Software enthalten oder eine Standalone-Software sind, empfehlen sich diese Fachartikel:
Das Risikomanagement bei Medizinprodukteherstellern unterscheidet sich in manchen Aspekten von dem Risikomanagement bei anderen Organisationen:
Nutzen Sie die Unterstützung des Johner Instituts:
Melden Sie sich gleich, damit wir die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.
Medizinprodukte- und IVD-Hersteller müssen die Konzepte „anormaler Gebrauch“, „vorhersehbarer Missbrauch“, „Fehler beim bestimmungsgemäßen Gebrauch“ und „Fehlanwendung“ unterscheiden. Das ist die Voraussetzung, um die Anforderungen der ISO 14971 und IEC 62366 zu verstehen und zu erfüllen. Selbst die Maßnahmen, die Hersteller ergreifen müssen, hängen von der Art des Gebrauchs ab.
DetailsDie ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern dabei helfen, ein effektives und effizientes Risikomanagement aufzubauen. Diese Norm wendet sich an alle Organisationen, hat also keinen „Domänenfokus“. Daher stehen beispielsweise Medizinprodukte- und IVD-Hersteller vor der Frage, ob ihnen domänenspezifische Normen nicht nützlicher sind. Dieser Artikel verschafft eine Übersicht…
DetailsWie Sie eine Benefit-Risk-Abwägung (Nutzen-Risiko-Abwägung) durchführen sollen, verrät die FDA in einem Guidance-Dokument. Es trägt den Titel “Factors to Consider When Making Benefit-Risk Determinations in Medical Device Premarket Approval and De Novo Classifications”, aktuell in der Ausgabe vom 30. August 2019. Dieses Guidance-Dokument zur Benefit-Risk-Abwägung ist nicht nur bei FDA-Zulassungen sehr hilfreich. Nutzen Sie es auch bei der…
Details
Ein Medizinprodukt kann zu einem Schaden für Patienten, Anwender oder Dritte führen. Diesen Schaden muss der Hersteller bestimmen, um die Risiken durch sein Produkt bewerten und beherrschen zu können. Dieser Artikel gibt Hilfestellung, um Schäden gemäß der ISO 14971 zu bestimmen und zu dokumentieren und den Begriff „Schaden“ korrekt zu verwenden.
Details
Medizinproduktehersteller müssen die Schweregrade möglicher Schäden bestimmen, um die Risiken durch ihre Produkte bewerten zu können. Was sich einfach anhört, ist in der Praxis sehr herausfordernd. Dieser Artikel gibt Hilfestellung, um die Schweregrade dieser Schäden ISO 14971-konform zu bestimmen und zu dokumentieren.
Details
Die ISO 14971 definiert die Begriffe Gefährdung und Gefährdungssituation. Trotzdem fällt es Medizinprodukte-Herstellern oft schwer, den beiden Begriffen Sachverhalte zuzuordnen. Dieser Artikel gibt Hilfestellung.
Medizinprodukte- und IVD-Hersteller verwenden zunehmend Cloud-Dienste: Erfahren Sie, welche Möglichkeiten Hersteller haben, um Cloud-Dienste wie Medical Clouds zu nutzen und dennoch die regulatorischen Anforderungen an z. B. den Datenschutz zu erfüllen.
DetailsGesetze fordern das Risikomanagement im Krankenhaus, vor allem, um die Patientensicherheit zu verbessern. Dennoch tun sich viele Krankenhäuser damit schwer. Dieser Artikel stellt die wichtigsten regulatorischen Anforderungen vor und gibt Tipps zur Umsetzung.
DetailsDie Cybersecurity von Medizinprodukten ist nicht nur ein Schwerpunkt der FDA, sondern auch anderer Gesetzgeber und Behörden, sowohl in den US als auch anderen Märkten. Das ist nachvollziehbar, Die USA hat den „Food, Drug & Cosmetic Act“ (FD&C) um Anforderungen an „Cyber Devices“ ergänzt, und die FDA mehrere Guidance Documents zur Cybersecurity veröffentlicht, die dieser…
DetailsDas Risikomanagement an Dienstleister auslagern. Wäre das nicht praktisch? Aber darf man das? Und wie sinnvoll ist das überhaupt? Umgekehrt: Was sollten Sie als Dienstleister sich keinesfalls aufbürden lassen? Dieser Artikel gibt die Antworten. Er enthält einen Vorschlag, wie Hersteller und Dienstleister ihre Tätigkeiten aufteilen können, und gibt beiden praktische Tipps.
Details