Die ISO 13485 ist eine harmonisierte Norm, die Anforderungen an das Qualitätsmanagement (QM) bzw. an die QM-Systeme von Medizinprodukteherstellern formuliert.
Medizinproduktehersteller lassen sich v.a. deshalb nach ISO 13485 zertifizieren, weil sie damit die Konformität Ihrer Produkte nach Anhang VII der Medizinprodukterichtlinie MDD selbst erklären können.
Bei Medizinprodukten, die Software enthalten oder eigenständige Software sind, fordert zudem die IEC 62304 ein QM-System und empfiehlt eines nach ISO 13485.
Die Wirksamkeit des Qualitätsmanagementsystems wird durch benannte Stellen im Rahmen von externen Audits sowie durch interne Audits geprüft.
Klicken Sie auf diesen Link um das kostenlose Starter-Kit herunterzuladen. Dieses enthält eine Info-Grafik, das die vier Schritte zum „Upgrade“ auf die neue ISO 13485:2016 beschreibt und die zu ändernden Dokumente benennt.
Im Kontext von QM-Systemen sind folgende Themen relevant:
Wenn Sie Medizinprodukte in Verkehr bringen, benötigen Sie meist ein nach ISO 13485 zertifiziertes Qualitätsmanagementystem. Allerdings gibt es u.a. die folgenden Ausnahmen:
Der Umfang Ihres QM-Systems hängt von der Art und Klasse Ihres Produkts ab, beispielsweise ob die Entwicklung einzubeziehen ist.
Nein. Allerdings haben Sie mit einem ISO 9001-konformen QM-System den größten Teil der Arbeit gemacht. Sie finden hier Hinweise zu den Unterschieden beider Normen.
Wir führen Firmen in typischerweise sechs bis neun Monaten zum ISO 13485 Zertifikat (mehr zum Ablauf). Derzeit kann die Überlastung der benannten Stellen diesen Zeitrahmen etwas verzögern. Entscheidend ist v.a. der Willen der Organisation.
Der Aufwand hängt stark von der Größe der Organisation und den zu zertifizierenden Bereichen ab. Kleine und mittlere Firmen wenden zwischen 15 und 50 Tagen für den Aufbau ihres QM-Systems auf.
Das QM-System dauerhaft zu pflegen, bedeutet auch Aufwände, die aber durch niedrigere Fehlerfolgekosten (Rückrufe, Nachbesserungen, unnötige Iterationen bei der Entwicklung) überkompensiert werden sollten.
Zuerst ist zwischen Vorgabedokumente und Aufzeichnungen zu unterscheiden. Die Vorgabedokumente lassen sich in Verfahrens- und Arbeitsanweisungen, Templates, Formblätter und Checklisten unterteilen.
Die ISO 13485 fordert ca. 25 Verfahrensanweisungen, die Sie hier gelistet finden.
Für die Zertifizierung ihres Qualitätsmanagementsystems fallen in jedem Fall Zertifizierungskosten an. Für die Vorbereitung, das Vor-Ort-Audit und die Nachbereitung des Audits stellt die Zertifizierstelle Ihnen Kosten in Rechnung, die abhängig von der Größe des Unternehmens sind. Mehr über die Auditdauer erfahren Sie in unserem Blogbeitrag Auditdauer: Wie lange Ihr Auditor bleiben darf.
Falls Sie die Unterstützung von uns beanspruchen möchten, fallen weitere Kosten für diese externe Beratung an, die abhängig von der Größe des Unternehmens, des aktuellen Stand ihres Qualitätsmanagementsystems und dem Umfang ihrer Eigenleistung variieren. Gerne erstellen wir Ihnen ein passgenaues Angebot!
Wir haben Ihnen auf dieser Seite beschrieben, wie der Weg von Ihrer ersten Kontaktaufnahme bis zum ISO 13485-zertifizierten System verlaufen kann.
Die Antwort auf diese Frage finden Sie weiter unten.
Das Ziel von QM-Systemen besteht darin, die Qualität der Produkte oder Dienstleistungen, die eine Firma ihren Kunden anbietet, ständig zu verbessern. Die ISO 9000 (und damit auch die ISO 13485) definiert Qualität als Grad, in dem ein Satz inhärenter Merkmale eines Objekts Anforderungen erfüllt. Es geht dabei v.a. um die Anforderungen der Kunden.
Der Ansatz der QM-Systeme wie ISO 9001, ISO 13485, EFQM oder KTQ, um diese Anforderungen zu erfüllen, besteht darin, standardisierte Prozesse zu definieren, die sicherstellen, dass die Anforderungen präzise erhoben, Produkte oder Dienstleistungen geeignet entwickelt und produziert bzw. erbracht werden. Dazu — eine weitere Forderungen vieler Qualitätsmanagementsysteme — müssen die Firmen geeignete Ressourcen wie Personen und Arbeitsmittel bereitstellen.
Medizinprodukte müssen in Europa ein Konformitätsbewertungverfahren durchlaufen, bevor sie verkauft werden. Abhängig von der Klasse dieser Medizinprodukte (I, IIa, IIb, III) ist ein zertifiziertes QM-System verpflichtend. Das fordern die EU-Medizinprodukterichtlinie (MDD) und die EU-Medizinprodukteverordnung (MDR).
Für Medizinprodukte ist die ISO 13485 die dazu harmonisierte Norm. D.h. QM-Systeme, die nicht nach ISO 13485 zertifiziert sind, sondern nach einer anderen Norm oder überhaupt nicht, erfüllen diese Anforderungen aus der Medizinprodukterichtlinie bzw. der Medizinprodukteverordnung MDR nicht.
In anderen Ländern wie den USA gibt es spezifische regulatorische Anforderungen an QM-Systeme wie die „Quality System Regulations“ QSR der FDA im 21 CFR part 820.
Um redundante Audits durch die verschiedenen Länder zu vermeiden, hat man das Medical Device Single Audit Program MDSAP aufgesetzt.
Die ISO 13485 trägt den Titel Medizinprodukte — Qualitätsmanagementsysteme — Anforderungen für regulatorische Zwecke.
Wie Sie sehen, definiert die ISO 13485 vier große Prozessbereiche:
Wohlgemerkt, es handelt sich um Prozessbereiche, nicht um Prozesse. Jeder dieser Prozessbereiche der ISO 13485 muss einen oder mehrere Prozesse umfassen, den die Medizinproduktehersteller definieren müssen z.B. in Form einer Verfahrensanweisung (auf englisch SOP – Standard Operating Procedure). Für ein Softwarehaus könnte die Zuordnung exemplarisch (und nicht vollständig) wie folgt aussehen:
Die ISO 13485 fordert im Rahmen des Qualitätsmanagementsystems ebenso wie die ISO 9001
Im ersten Quartal 2016 erschien die neue ISO 13485. Die Änderungen folgen allerdings nicht der ISO 9001:2015, weshalb die beiden Normen etwas weiter auseinander driften. Das bedeutet für Hersteller, die sich für beide Normen zertifizierten lassen, erhöhte Anforderungen. Referenztabellen in der ISO 13485:2016 sollen helfen, diesen gerecht zu werden.
Die neue ISO 13485 ergänzt, verschärft oder konkretisiert einige Anforderungen. Beispielsweise schreibt sie nun auch ein Verfahren vor, um den Schutz von vertraulichen Gesundheitsdaten zu gewährleisten. Die Planung der Verifizierung und Validierung und Re-Validierung wird künftig strenger geregelt.
Lesen Sie hier einen ausführlichen Beitrag zu den Neuerungen durch die ISO 13485:2016.
Hersteller von Medizinprodukten, die Software enthalten oder standalone Software sind, müssen eine weitere gesetzliche Forderung erfüllen: Die Software muss nach Lebenzyklusprozessen entwickelt werden. Dass diese Forderung erfüllt ist, weisen Medizinproduktehersteller üblicherweise dadurch nach, dass sie die IEC 62304 einhalten. Diese Norm verlangt wiederum ein QM-System und empfiehlt eines konform ISO 13485.
Es gibt jedoch weder eine normative Forderung, dass das QM-System des Herstellers IEC 62304-konform sein muss, noch dass es überhaupt zertifiziert ist.
Der Gedanke mit den Prozessbereichen stammt übrigens von der ISO 9001, der Schwesternorm „unserer“ ISO 13485. Beide Normen sind zu 90% deckungsgleich.
Zwar fordert die ISO 13485 im Gegensatz zur ISO 9001 nur die Beibehaltung und nicht die kontinuierliche Verbesserung des QM-Systems. Dafür stellt sie zusätzliche Anforderungen wie z.B.
Die deutsche Akkreditierungsstelle DaKKs publiziert auf ihrer Webseite die benannten Stellen bzw. Zertifizierer, die für eine ISO 13485-Zertifizierung akkrediert sind. Beachten Sie, dass die zertifizierten Stellen nur für einen gewissen Typ von Medizinprodukten (z.B. Invitro-Diagnostika, nicht-aktive Medizinprodukte, extra-korporale Kreisläufe) eine ISO 13485-Zertifizierung durchführen dürfen.
Beispielsweise nennt die Webseite der Dakks zurzeit nur 17 Zertifizierer, für Invitro-Diagnostika-Herteller reduziert sich die Auswahl auf Medcert, TÜV Rheinland, mdc, Dekra, TÜV Süd und möglicherweise TÜV Nord (die „Anlage“ ist derzeit nicht einsehbar). Interessanterweise akzeptiert die ZLG auch die DQS med, die durch eine kanadische Behörde für IvD akkreditiert ist. Die ZLG selbst bietet keine Zertifizierungen mehr an.
Wie Sie in kürzester Zeit mit unserer Hilfe ein schlankes QM-System etablieren können, finden Sie auf dieser Seite beschrieben (zu den „7 Schritten“ scollen).
Um ein Audit beantragen zu können, müssen Sie nicht nur ein QM-System definiert haben, sondern Sie müssen bereits nach den Regeln dieses (neuen) QM-Systems arbeiten. Es sollte beispielsweise bereits eine Technische Dokumentation für ein Medizinprodukt (weitestgehend) bestehen. Typischerweise sollten Sie auch ein Internes Audit sowie eine Managementbewertung durchgeführt haben.
Anschließend laden Sie die ausgewählte benannte Stelle zu einem Audit ein. Wenn Sie dieses Audit bestehen, wird Ihnen die benannte Stelle (mit hoher Wahrscheinlichkeit) ein ISO 13485- und ggf. ein Anhang II-Zertifikat ausstellen. Damit sind Sie befugt, Medizinprodukte zu vermarkten.
Lesen Sie hier hier, wie Sie das Johner Institut beim Aufbau und der Zertifizierung Ihres Qualitätsmanagementsystems unterstützt.
Zumindest ein Rumpf-QM-System solle der Hersteller einer Medical App implementieren, fordern die Behörden. Lesen Sie nachfolgend, was Behörden und manche benannten Stellen unter einem solchen Rumpf-QM-System verstehen, speziell bei Firmen, die standalone Software entwickeln.
Firmen, die Medizinprodukte der Klasse I herstellen, können für diese Produkte die Konformität mit den gesetzlichen Anforderungen nach MDD bzw. MDR selbst erklären, ohne eine benannte Stelle zu involvieren.
Allerdings sind sie verpflichtet, beim DIMDI die Produkte zu registrieren. Daraufhin erhalten die zuständigen Aufsichtsbehörden eine Meldung und fordern gelegentlich Einsicht in die technische Dokumentation.
Die technische Dokumentation muss die Einhaltung der gesetzlichen Anforderungen nachweisen. Dazu zählen zum einen die grundlegenden Anforderungen der Medizinprodukterichtlinen z.B. der MDD bzw. in der MDR im Anhang I:
Zusätzlich müssen die Hersteller nachweisen, dass sie ein funktionierendes Vigilanz-, Melde- und Rückrufsystem etabliert haben. Das ergibt sich teilweise aus den Richtlinien, teilweise direkt aus dem Medizinproduktegesetz bzw. den nationalen Verordnungen wie der Medizinproduktesicherheitsplanverordnung MPSV.
Diese Auflistung macht klar: die regulatorischen Anforderungen betreffen nicht nur das Produkt, sondern auch die Prozesse im Unternehmen. Genau daraus ergeben sich die Anforderungen an ein „Rumpf-QM-System“.
Beachten Sie: Die MDR fordert sogar explizit und für alle Produkteklassen ein QM-System (s. Artikel 10), das zwar bei Produkten der Klasse I nicht zertifiziert sein, aber bestimmte Verfahren umfassen muss. Damit gehört das Konzept des Rumpf-QM-Systems der Vergangenheit an.
Die meisten Hersteller nutzen die IEC 62304 („medical device software – software life cycle processes„), um die Einhaltung der gesetzlichen Forderungen nach Software-Lebenszyklusprozessen nachzuweisen. Die IEC 62304 selbst fordert ein Qualitätsmanagementsystem, das aber nicht unbedingt zertifiziert sein muss.
Ein Rumpf-QM-System – um diesen Begriff zu nutzen – sollte zumindest die folgenden Prozesse abdecken:
Diese Prozess- bzw. Verfahrensanweisungen sollten gelenkte Dokumente sein. Sie beschreiben
In anderen Worten: Mit Verfahrensanweisungen beschreiben Organisationen, wer wann was wie machen soll.
Zugehörige Arbeitsanweisungen können das jeweilige Verfahren im Detail festlegen. Beispielsweise könnte eine Arbeitsanweisung regeln, wie man vorgeht, wenn man
Ein Rumpf-QM-System muss nicht zertifiziert sein. Dies ist für Hersteller der wichtigste Unterschied zwischen einem Rumpf-QM-System und einem vollständigen QM-System. Ein Rumpf-QM-System muss auch nicht alle Verfahrensanweisungen enthalten, die von Normen wie der ISO 13485 oder der ISO 9001 gefordert werden.
Es gibt zudem keine Notwendigkeit, Ausschlüsse oder die Nichtanwendbarkeit von Forderungen dieser Normen zu diskutieren.
Sie finden hier die Liste aller von der ISO 13485 geforderten Verfahrensanweisungen.
Wenn externe Prüfungen (und im Falle fehlender interner Audits auch die internen Prüfungen) nicht routinemäßig durchgeführt werden, fehlen die entsprechenden Regelkreise. Daher erreichen Rumpf-QM-Systeme oft nicht die Güte, die vollständige zertifizierte Qualitätsmanagementsysteme haben.
Wer die Einkaufskosten senken möchte, sollte nicht nur auf den Einkaufspreis achten. Lesen Sie in diesem Beitrag, wann Sie welche Hebel ansetzen sollten und auf was Medizinprodukte-Hersteller besonders achten sollten.
ISO 14969? Nie gehört? Sollten Sie aber. Denn an dieser Norm orientieren sich Ihre Auditoren beim ISO 13485-Audit.
Häufig stellt sich beim Thema „Werkzeug Validierung“ die Frage, ob man auch Testwerkzeuge (z.B. N/JUnit) und ALM-Tools (z.B. MedPack, JIRA, Microsoft TFS) validieren bzw. verifizieren muss. Und falls die Antwort ja wäre, müsste man dann die zu dieser Validierung bzw. Verifizierung eingesetzten Werkzeuge selbst wieder prüfen? Da würde sich ja ein Teufelskreis auftun. Dieser Artikel…
Weiterlesen
Die ISO 9001 und damit die ISO 13485 fordern eine Prozessorientierung. Doch was ist damit gemeint? Dass sich das QM-System an Prozessen orientieren soll? Keineswegs! Lesen Sie hier, was die Normen unter Prozessorientierung und Prozessmanagement verstehen, wie sich beide unterscheiden und wie Sie beide erreichen.
WeiterlesenDie ISO 13485 verlangt ebenso wie ihre „Schwesternorm“, die ISO 9001, interne Audits. Genauso wie die externen Audits verfolgen die internen Audits zwei wesentliche Ziele: Sicherstellen, dass das QM-System (die „eigenen Spielregeln) den Normenforderungen genügt. Sicherstellen, dass man sich an die eigenen Spielregeln hält. Update: Kriterien zur Bewertung der Güte des QM-Systems Inhaltsübersicht Planung interner…
WeiterlesenAuf die Frage, was ein Design Review sei, bekommt man häufig unterschiedliche Antworten — abhängig davon, ob man einen Entwickler oder einen Qualitätsmanager fragt. Genau diese unterschiedlichen Sichten können im Audit zum Problem werden. Inhaltsübersicht Design Review: Begriffsdefinition » Ziele des Design Reviews » Regulatorische Anforderungen » Design Review planen » Design Review auditieren »
WeiterlesenViele Medizinproduktehersteller nutzen für die Entwicklung ihrer Produkte Engineering Dienstleister. Dieser Beitrag verrät Ihnen, auf was Sie dabei achten sollten. Übersicht Gründe für und gegen das Auslagern » Regulatorische Sicht » Was Sie beachten sollten »
Weiterlesen