Risikomanagement & ISO 14971

Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicher stellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sind und im Vergleich zum Nutzen akzeptabel sind.

1. Risikomanagement-Prozess konform ISO 14971

Dieser Prozess soll u.a. folgende Schritte umfassen:

  1. Risikoakzeptanzkriterien festlegen. Dies geschieht oft in Form einer Risikoakzeptanzmatrix.
  2. Risikoanalyse Teil 1: Gefährdungen durch das Medizinprodukt identifizieren aus der Zweckbestimmung ableiten z.B. mit Hilfe der PHA, FMEA und FTA. (Hier mehr zum Unterschied von Gefährdungen und Gefährdungssituationen.)
  3. Risikoanalyse Teil 2: Wahrscheinlichkeiten, Schwergrade und damit Risiken abschätzen. Über die Vertretbarkeit dieser Risiken entscheiden
  4. Maßnahmen zur Risikominimierung festlegen und umsetzen, falls die Risiken nicht vertretbar sind
  5. Neue Risiken durch diese Maßnahmen analysieren
  6. Über die Vertretbarkeit der Risiken (erneut) entscheiden
  7. Einen Risikomanagementbericht erstellen
  8. Das Produkt im Rahmen der nachgelagerten Phase beobachten, kontinuierlich Risiken analysieren und über Risikoakzeptanz neu entschieden

ISO 14971: Der Risikomanagement-Prozess

Weitere Informationen zu …

Auditgarant: Tutorial ISO 14971 und Risikomanagement
Der Auditgarant zeigt Ihnen in über 15 Videotrainings Schritt für Schritt, wie Sie eine Risikoakzeptanzmatrix systematisch herleiten, Risiken analysieren und geeignete Maßnahmen ableiten und all dies ISO-14971-konform dokumentieren.

2. Die harmonisierte Norm ISO 14971

Die Forderung nach Risikomanagement ist die zentralste der „grundlegenden Anforderungen“ der Medizinprodukterichtlinie und damit des Medizinproduktegesetzes. Wenn Medizinproduktehersteller einen ISO 14971-konformen Risikomangementprozess befolgen, wird man vermusten, dass sie diese gesetzliche Anforderung erfüllen.

a) Die Norm zur Anwendung des Risikomanagements bei Medizinprodukten

Die Norm ISO EN DIN ISO 14971 fordert, dass

  • bei Medizinprodukten die Risikopolitik zu formulieren ist,
  • eine Gefährdungsanalyse bzw. Risikoanalyse durchzuführen ist (hier können Verfahren zu Risikoanalyse angewendet werden wie die FMEA, FTA und PHA)
  • die Risiken gemäß der Risikopolitik zu bewerten sind
  • die Risiken so weit wie möglich zu minimieren sind
  • und die Wirksamkeit der risikominimierenden Maßnahmen zu prüfen ist.

Die ISO 14971 wird als harmonisierte Norm auch von den nationalen Normengremium als DIN 14971 oder OE 14971 (Österreich) publiziert.

b) Änderungen der Norm durch die ISO 14971:2012

Sie finden hier Informationen zu den Änderungen durch die ISO 14971:2012 (Anhang ZA).

c) Über die Präfixe bei der Norm

Was „DIN“, „SN“, „OE“, „ISO“ bei Normen aussagen

Manche sprechen von der DIN 14971, manche von der EN ISO 14971, manche von der ISO 14971, andere nutzen Kombinationen der Präfixe wie DIN EN ISO 14971. Was ist richtig?

DIN EN ISO 14971: Die Herkunft der Präfixe

ISO 14971 und Harmonisierung internationaler Normen

Oft werden Normen wie die „14971“ in einem internationalen Normengremium erarbeitet und in diesem Fall als ISO 14971 veröffentlicht.

Die Harmonisierung ist ein formaler Akt der Europäischen Kommission, der besagt, dass eine Norm geeignet ist, nachzuweisen, dass jemand die gesetzlichen Anforderungen (z.B. einer Richtlinie) erfüllt. Die Kommission kann sowohl Mandate an die Normungsorganisationen geben, harmonisierte Normen zu erstellen, als auch bereits existierende Normen harmonisieren.

Sie finden hier die Liste der harmonisierten Normen.

Die Harmonisierung hat nichts mit der Nummerierung zu tun. Beispielsweise ist die DIN EN 14971 nicht die Norm zum Risikomanagement bei Medizinprodukten sondern eine zu  „Textilien – Maschenwaren – Bestimmung der Maschenzahl je Längeneinheit und Flächeneinheit“.

Internationalisierung harmonisierter Normen

Es gibt aber auch den Weg, dass harmonisierte EN-Normen zur ISO werden. Dabei werden aber oft die Nummern geändert, weil die ISO andere Nummernkreise für Themen bereithält oder die Nummern bereits reserviert oder vergeben hat. Beispiele sind die Normen DIN EN 12442-x, die zur DIN EN ISO 22442-x geworden sind.

Nationale Normen und DIN EN ISO 14971

Über die nationalen Vorworte wie der DIN EN ISO 14971  geben die Normungsorganisationen Hinweise zum Verständnis und Verweise auf nationale Literatur, die auf europäischer und internationaler Ebene keine Gültigkeit oder Bedeutung haben. Siehe hierzu das Vorwort der DIN EN 80001-1. Achtung: Sie heißt nicht DIN EN IEC, obschon sie den gleichen Inhalt hat wie die IEC/ISO.

Man will vermeiden, dass sich die nationalen Normen unterscheiden, also die DIN EN ISO 14971, von der SN EN ISO  14971 (für die Schweiz) und der OE EN ISO 14971 (für Österreich). Das wäre fatal, denn dann wäre der Gedanke der europäischen Richtlinien wie der Medizinprodukterichtlinie nicht mehr erfüllt, dass alle Medizinprodukte in Europa die gleichen Anforderungen erfüllen müssen. Daher prüft man bei den relevanten Normen, dass deren Inhalte gleich sind.

Deharmonisierung von Normen

Die Kommission kann auch Normen de-harmonisieren. So geschehen unlängst bei der EN 980. Dieses Schicksal hätte übrigens auch der 14971 gedroht, wenn nicht die Anhänge Z dazu gekommen wären. Gerade diese sind es, die nun die EN von der ISO-Version unterscheiden, mit gravierenden Auswirkungen.

Auswahl der richtigen Normen

Wenn Sie unsicher sind, welche Normen Sie nutzen sollen, dann hilft Ihnen folgender Tipp:

  1. Wollen Sie international zulassen? Dann schauen Sie nach ISO oder IEC Normen. Haben Sie welche gefunden, dann prüfen Sie, ob sie national abweichen und ggf. einen besonderen Status besitzen, wie z.B. die „recognized“ Standards bei der FDA.
  2. Sie müssen „nur“ in Europa „zulassen“? Dann schauen Sie zuerst auf der Seite der Kommission nach harmonisierten Normen. Dort würden Sie die EN ISO 14971 finden. Danach können Sie gerne national nach einer Übersetzung suchen und würden die DIN EN ISO 14971 finden. Oder die SN EN ISO 14971. Oder die OE EN ISO 14971. Oder…

3. Typische Probleme beim Risikomanagement

Für Firmen die erstmalig Medizinprodukte entwickeln, stellt das Risikomanagement meist die größte Herausforderung dar. Die Anwendung des Risikomanagementprozesses auf Medizinprodukte bedarf nicht nur Kompetenzen bei der Anwendungen der Verfahren zur Risikoanalyse, sondern auch Kenntnisse des Kontexts, in dem die Medizinprodukte eingesetzt werden, und der gesetzlichen Anforderungen insbesondere der grundlegenden Anforderungen der Medizinprodukte-Richtlinie.

Viele Hersteller betreiben ein unzureichendes Risikomanagement. Die Fehler liegen oft

  1. bereits in der Verwendung von Begrifflichkeiten (so wird Software als Risiko bezeichnet),
  2. in einer unzureichenden weil regelmäßig zu technisch fokussierten Risikoanalyse,
  3. in einer fehlenden Begründung der Wahrscheinlichkeiten und Schweregraden von Schäden,
  4. der nicht dokumentierten Verifizierung der Implementierung und(!) Wirksamkeit der risikominimierenden Maßnahmen,
  5. in einer willkürlich erscheinenden Festlegung akzeptabler und nicht akzeptabler Risiken,
  6. im fehlenden Zusammenspiel mit der klinischen Bewertung
  7. und in einem nicht konsequenten Risikomanagement in der nachgelagerten Phase.

Da die korrekte Anwendung der ISO 14971 die Voraussetzung für andere Normen wie die IEC 62304, IEC 62366 und IEC 60601-1 darstellt, kommt der ISO 14971 und damit der Risikomanagementakte eine überragende Bedeutung zu. Das Johner Institut unterstützt Hersteller aktiver Medizinprodukte dabei, in wenigen Tagen eine Risikomanagementakte zu erstellen, die sicher durchs Audit und die Zulassung kommt.

Video-Risikomanagementakte-technische-Dokumentation

4. Risikomanagement durch Entwicklungsdienstleister

Fast alle größeren Medizinproduktehersteller setzen bei der Entwicklung auf externe Dienstleister und wollen dabei auch das Risikomanagement durch Entwicklungsdienstleister erbracht haben. Doch geht das überhaupt? Ist das erlaubt?

Manchmal möchten die Hersteller nur eine Komponente, manchmal um das komplette Produkt wie im Fall von OEM-Herstellern durch Entwicklungsdienstleister entwickeln lassen. Dazu sollen diese auch die zugehörige Dokumentation erstellen einschließlich Risikomanagementakte (konform ISO 14971). Doch das klappt nicht immer.

a) Tätigkeiten im Risikomanagement

Zu einer Risikomanagementakte zählen folgende Elemente:

  1. Festlegung der Risikoakzeptanz (in Form der Risikoakzeptanzmatrix)
  2. Risikoanalyse
  3. Festlegung und Umsetzung von Maßnahmen
  4. Verifizierung und Validierung der Maßnahmen
  5. Zusammenfassende Bewertung

Welche dieser Elemente kann beispielsweise ein Komponentenhersteller beisteuern? Ist ein Risikomanagement durch Entwicklungsdienstleister möglich?

b) Was Entwicklungsdienstleister NICHT leisten können

Mit hoher Wahrscheinlichkeit wird ihm das bei allen genannten Punkten nur teilweise gelingen. Aus folgenden Gründen:

  • ad 1.: Ein Komponentenhersteller kennt (in seiner Funktion als Komponentenhersteller) den quantifizierten(!) Nutzen des Gesamtprodukts nicht. Damit kann er auch keine Risikoakzeptanzkriterien festlegen.
  • ad 2.: Der Komponentenhersteller kennt nicht das gesamte Produkt, und auch OEM-Hersteller kennen oft den Kontext nicht genau, in dem es eingesetzt wird. Damit können Wahrscheinlichkeiten von Schäden nicht abgeschätzt werden, was eine vollständige Risikoanalyse unmöglich macht.
  • ad 3.: Viele Maßnahmen insbesondere im Bereich der Gebrauchstauglichkeit liegen außerhalb der Expertise vieler Entwicklungsdienstleister.
  • ad 4.: Da die Komponentenhersteller (und viele OEM-Hersteller) keinen Zugang zu wirklich repräsentativen Nutzern und wirklich repräsentativen Nutzungsumgebungen haben, fällt auch die Usability-Validierung flach.
  • ad 5.: Weil so viele Elemente fehlen, wird eine zusammenfassende Bewertung ebenfalls unmöglich.

Das komplette Risikomanagement durch Entwicklungsdienstleister erbringen zu lassen, ist also meist weder möglich, noch erlaubt. Die Verantwortung dafür bleibt beim Hersteller.

c) Wo Risikomanagement durch Entwicklungsdienstleister möglich ist

Wenn Sie Ihren externen Dienstleister also in die Erstellung der ISO 14971-konformen Risikomanagementakte einbeziehen wollen, dann wie folgt:

Verlangen Sie von ihm, dass er

  1. analysiert, was passiert, wenn seine Komponente falsche Inputs (direkt oder von anderen Komponenten erhält),
  2. wie sich seine Komponente (oder im Fall eines OEM-Herstellers das ganze Medizinprodukt) an den äußeren Schnittstellen falsch verhalten kann,
  3. und mit welchen Wahrscheinlichkeiten dies geschieht, und
  4. dies mit Hilfe einer FMEA dokumentiert.

Risikomanagement durch Entwicklungsdienstleister

Die Ursachenkette von den Schnittstellen bis zum Schaden beschreiben Sie als Inverkehrbringer des Medizinprodukts. Ebenso verbleibt es in Ihrer Hand alle anderen Elemente der Risikomanagementakte zu erstellen.


Gesundheitswesen

Dienstag, 5. Dezember 2017 | Prof. Dr. Christian Johner

Medical Cloud: Cloud Computing im Gesundheitswesen

Medizinproduktehersteller nutzen zunehmend Cloud-Dienste, die wir in diesem Artikel als Medical Cloud bezeichnen.

Erfahren Sie, welche Möglichkeiten Hersteller haben, um Medical Clouds zu nutzen und dennoch die regulatorischen Anforderungen z.B. an den Datenschutz zu erfüllen.

Beitrag lesen


Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Dienstag, 24. Oktober 2017 | Prof. Dr. Christian Johner

AAMI TIR 57: IT-Sicherheit und Risikomanagement

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI.

Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.

Beitrag lesen


Risikomanagement & ISO 14971

Dienstag, 10. Oktober 2017 | Prof. Dr. Christian Johner

Vorhersehbarer Missbrauch

Die Begriffe ‚vernünftigerweise vorhersehbarer Missbrauch‘ (‚reasonable foreseeable misuse‘), ‚anormaler Gebrauch‘ (‚abnormal use‘), ‚korrekter Gebrauch‘ (‚correct use‘) und ‚bestimmungsgemäßer Gebrauch‘ (’normal use‘) stammen aus den Normen ISO 14971 und IEC 62366-1. Leider erscheinen die Definitionen nicht gut aufeinander abgestimmt zu sein. Allerdings sind sie substantiell für das Verständnis, wie die Normen, in denen diese Begriffe erwähnt werden, anzuwenden sind.

Synonym zum Begriff ‚vorhersehbarer Missbrauch‘ nutzen manche die Begriffe ‚vorhersagbarer Missbrauch‘ und ‚vorhersehbarer Fehlgebrauch‘.

Dieser Artikel soll Klarheit verschaffen und beschreiben, wann Sie welche Norm anwenden müssen.

Beitrag lesen

Risikomanagement & ISO 14971

Donnerstag, 11. Mai 2017 | Prof. Dr. Christian Johner

Schweregrad von Schäden gemäß ISO 14971

Die ISO 14971, die Norm zum Risikomanagement bei Medizinprodukten, definiert den Begriff Schweregrad (von Schäden) als „Maß der möglichen Auswirkungen einer Gefährdung„.

Lesen Sie in diesem Beitrag, welche typischen Schwierigkeiten Sie beim Klassifizieren von Schweregrade vermeiden sollten und welche Kodiersysteme Ihnen dabei zur Verfügung stehen.

Beitrag lesen


FDA Zulassung - die U.S. Food and Drug Administration

Montag, 16. Januar 2017 | Prof. Dr. Christian Johner

FDA Benefit-Risk Guidance

Wie Sie eine Benefit-Risk (Nutzen-Risiko) Abwägung durchführen sollen, verrät die FDA in einem „Guidance Document“.

Es trägt den Titel “Factors to Consider When Making Benefit-Risk Determinations in Medical Device Premarket Approval and De Novo Classifications” und wurde am 24. August 2016 veröffentlicht.

Dieses Guidance-Document zur Benefit-Risk-Abwägung ist nicht nur bei FDA-Zulassungen sehr hilfreich. Nutzen Sie es auch bei der abschließenden Nutzen-Risiko-Bewertung gemäß ISO 14971.

Beitrag lesen


Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Donnerstag, 15. Dezember 2016 | Prof. Dr. Christian Johner

ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

Die ISO/IEC 15408-1 trägt den Titel „Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model“. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie geprüft werden soll, finden sich in dem zweiten und dritten Teil der ISO/IEC 15408.

Dieser Artikel verschafft Ihnen einen Überblick über die Normenfamilie. Er gibt Medizinprodukteherstellern Hinweise, wie sie die Norm nutzen können, um beispielsweise die Anforderungen der ISO 13485:2016, der IEC 62304 und der FDA bezüglich IT-Sicherheit bzw. Cybersecurity zu erfüllen.

Beitrag lesen


Risikomanagement & ISO 14971

Dienstag, 20. September 2016 | Prof. Dr. Christian Johner

Anormaler Gebrauch – unterschiedliche Begriffswelten in den Normen

Anormaler Gebrauch: Eine von vielen möglichen Fehlhandlungen

Irrtum, Benutzungsfehler, anormaler Gebrauch, Aufmerksamkeitsfehler, vernünftigerweise vorhersehbarer Erinnerungsfehler, vorhersehbarer Missbrauch. Die Liste möglicher (Fehl-) Handlungen ist lang, die die Normen betrachtet haben möchten.

Doch Vorsicht: Die Normen zur Gebrauchstauglichkeit (IEC 62366:2007 und IEC 62366-1:2015) und die Norm zum Risikomanagement (ISO 14971) verwenden unterschiedliche Begriffe.

Dieser Artikel bringt Licht ins Dunkel.

Beitrag lesen

Risikomanagement & ISO 14971

Freitag, 29. April 2016 | Prof. Dr. Christian Johner

ISO 31000: Risikomanagement richtig gemacht

Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern Handlungsleitung für ein effektives und effizientes Risikomanagement geben – unabhängig von der Domäne einer Organisation.

Dieser Artikel möchte Ihnen als Medizinprodukte-Hersteller eine Übersicht über die ISO 31000 verschaffen, damit Sie schnell entscheiden können, ob Sie deren Prinzipien und Richtlinien in Ihrem Unternehmen anwenden wollen.

Beitrag lesen


Risikomanagement & ISO 14971

Mittwoch, 27. April 2016 | Prof. Dr. Christian Johner

ISO 24971: Wie Sie die ISO 14971 anwenden sollten

Die ISO 24971 ist die Norm, die meine Auditoren-Kollegen oft zücken, wenn es mit Medizinprodukte-Hersteller Diskussionen über die Auslegung der ISO 14971 gibt.

Sie kennen die ISO 24971 nicht? Sie möchten diese Norm nicht kaufen? Kein Problem, ich habe diese Technical Report für Sie gelesen und zusammengefasst.

Beitrag lesen

Risikomanagement & ISO 14971

Montag, 25. April 2016 | Prof. Dr. Christian Johner

Risikomanagementbericht: Die 6 häufigsten Fehler

Die ISO 14971 fordert in Kapitel 8 einen Risikomanagementbericht. Welchen Inhalt dieser Bericht enthalten sollte und wie Sie Fehler beim Formulieren des Risikomanagementberichts vermeiden können, zeigt Ihnen dieser Artikel.

Beitrag lesen