Die ISO 13485 ist eine harmonisierte Norm, die Anforderungen an das Qualitätsmanagement (QM) bzw. an die QM-Systeme von Medizinprodukteherstellern formuliert.
Medizinproduktehersteller lassen sich v.a. deshalb nach ISO 13485 zertifizieren, weil sie damit die Konformität Ihrer Produkte nach Anhang VII der Medizinprodukterichtlinie MDD selbst erklären können.
Bei Medizinprodukten, die Software enthalten oder eigenständige Software sind, fordert zudem die IEC 62304 ein QM-System und empfiehlt eines nach ISO 13485.
Die Wirksamkeit des Qualitätsmanagementsystems wird durch benannte Stellen im Rahmen von externen Audits sowie durch interne Audits geprüft.
0. Wichtige Beiträge zu Qualitätsmanagementsystemen
Im Kontext von QM-Systemen sind folgende Themen relevant:
1. FAQ: Qualitätsmanagement-Systeme und ISO 13485
Frage 1: Benötigt man ein ISO 13485 zertifiziertes QM-System?
Wenn Sie Medizinprodukte in Verkehr bringen, benötigen Sie meist ein nach ISO 13485 zertifiziertes Qualitätsmanagementystem. Allerdings gibt es u.a. die folgenden Ausnahmen:
- Ihr Medizinprodukt fällt in die Klasse I gemäß MDD oder MDR.
Die MDR und IVDR bestehen immer auf einem QM-System, verzichten aber bei den Klasse-I- bzw. Klasse-A-Produkten auf eine Zertifizierung. - Sie sind ein reiner Händler (und kein PLM, der OEM-Produkte verkauft). Der PLM-OEM-Konstrukt ist mit der MDR/IVDR hinfällig geworden.
Der Umfang Ihres QM-Systems hängt von der Art und Klasse Ihres Produkts ab, beispielsweise ob die Entwicklung einzubeziehen ist.
Frage 2: Kann eine ISO 9001-Zertifizierung als Ersatz für eine ISO 13485-Zertifizierung dienen?
Nein. Allerdings haben Sie mit einem ISO 9001-konformen QM-System den größten Teil der Arbeit gemacht. Sie finden hier Hinweise zu den Unterschieden beider Normen.
Frage 3: Wie lange dauert es, bis ein Qualitätsmanagementsystem aufgebaut und zertifiziert ist?
Wir führen Firmen in typischerweise sechs bis neun Monaten zum ISO 13485 Zertifikat (mehr zum Ablauf). Derzeit kann die Überlastung der benannten Stellen diesen Zeitrahmen etwas verzögern. Entscheidend ist v.a. der Willen der Organisation.
Frage 4: Wie viel Aufwand benötigt es, um ein QM-System aufzubauen?
Der Aufwand hängt stark von der Größe der Organisation und den zu zertifizierenden Bereichen ab. Kleine und mittlere Firmen wenden zwischen 15 und 50 Tagen für den Aufbau ihres QM-Systems auf.
Das QM-System dauerhaft zu pflegen, bedeutet auch Aufwände, die aber durch niedrigere Fehlerfolgekosten (Rückrufe, Nachbesserungen, unnötige Iterationen bei der Entwicklung) überkompensiert werden sollten.
Frage 5: Wie viele Dokumente muss man dafür erstellen?
Zuerst ist zwischen Vorgabedokumente und Aufzeichnungen zu unterscheiden. Die Vorgabedokumente lassen sich in Verfahrens- und Arbeitsanweisungen, Templates, Formblätter und Checklisten unterteilen.
Die ISO 13485 fordert ca. 25 Verfahrensanweisungen, die Sie hier gelistet finden.
Frage 6. Welche externen Kosten fallen an?
Kleine und mittlere Firmen müssen mit einem Aufwand von 1-4 Tagen (Besuch, Vorbereitung) von einem oder zwei Auditoren rechnen. Falls Sie sich von uns unterstützen lassen, benötigen wir abhängig von der Größe und Unterstützung durch die Firmen zwischen sechs und 15 Tagen.
Frage 7: Wie kann ein Zertifizierungsprojekt ablaufen?
Wir haben Ihnen auf dieser Seite beschrieben, wie der Weg von Ihrer ersten Kontaktaufnahme bis zum ISO 13485-zertifizierten System verlaufen kann.
Frage 8: Welche Anforderungen stellt die ISO 13485 an ein Qualitätsmanagementsystem?
Die Antwort auf diese Frage finden Sie weiter unten.
2. Qualitätsmanagement im Allgemeinen
Das Ziel von QM-Systemen besteht darin, die Qualität der Produkte oder Dienstleistungen, die eine Firma ihren Kunden anbietet, ständig zu verbessern. Die ISO 9000 (und damit auch die ISO 13485) definiert Qualität als Grad, in dem ein Satz inhärenter Merkmale eines Objekts Anforderungen erfüllt. Es geht dabei v.a. um die Anforderungen der Kunden.
Der Ansatz der QM-Systeme wie ISO 9001, ISO 13485, EFQM oder KTQ, um diese Anforderungen zu erfüllen, besteht darin, standardisierte Prozesse zu definieren, die sicherstellen, dass die Anforderungen präzise erhoben, Produkte oder Dienstleistungen geeignet entwickelt und produziert bzw. erbracht werden. Dazu — eine weitere Forderungen vieler Qualitätsmanagementsysteme — müssen die Firmen geeignete Ressourcen wie Personen und Arbeitsmittel bereitstellen.
3. Regulatorische Anforderungen an das Qualitätsmanagement
a) Gesetzliche Anfoderungen
Europa
Medizinprodukte müssen in Europa ein Konformitätsbewertungverfahren durchlaufen, bevor sie verkauft werden. Abhängig von der Klasse dieser Medizinprodukte (I, IIa, IIb, III) ist ein zertifiziertes QM-System verpflichtend. Das fordern die EU-Medizinprodukterichtlinie (MDD) und die EU-Medizinprodukteverordnung (MDR).
Für Medizinprodukte ist die ISO 13485 die dazu harmonisierte Norm. D.h. QM-Systeme, die nicht nach ISO 13485 zertifiziert sind, sondern nach einer anderen Norm oder überhaupt nicht, erfüllen diese Anforderungen aus der Medizinprodukterichtlinie bzw. der Medizinprodukteverordnung MDR nicht.
Andere Länder
In anderen Ländern wie den USA gibt es spezifische regulatorische Anforderungen an QM-Systeme wie die „Quality System Regulations“ QSR der FDA im 21 CFR part 820.
Um redundante Audits durch die verschiedenen Länder zu vermeiden, hat man das Medical Device Single Audit Program MDSAP aufgesetzt.
b) Forderungen der ISO 13485
Die ISO 13485 trägt den Titel Medizinprodukte — Qualitätsmanagementsysteme — Anforderungen für regulatorische Zwecke.
Wie Sie sehen, definiert die ISO 13485 vier große Prozessbereiche:
- Verantwortung der Leitung
- Management von Ressourcen
- Produktrealisierung und Dienstleistungserbringung
- Messung, Analyse und Verbesserung.
Wohlgemerkt, es handelt sich um Prozessbereiche, nicht um Prozesse. Jeder dieser Prozessbereiche der ISO 13485 muss einen oder mehrere Prozesse umfassen, den die Medizinproduktehersteller definieren müssen z.B. in Form einer Verfahrensanweisung (auf englisch SOP – Standard Operating Procedure). Für ein Softwarehaus könnte die Zuordnung exemplarisch (und nicht vollständig) wie folgt aussehen:
Die ISO 13485 fordert im Rahmen des Qualitätsmanagementsystems ebenso wie die ISO 9001
c) Neue Forderungen durch die ISO 13485:2016
Im ersten Quartal 2016 erschien die neue ISO 13485. Die Änderungen folgen allerdings nicht der ISO 9001:2015, weshalb die beiden Normen etwas weiter auseinander driften. Das bedeutet für Hersteller, die sich für beide Normen zertifizierten lassen, erhöhte Anforderungen. Referenztabellen in der ISO 13485:2016 sollen helfen, diesen gerecht zu werden.
Die neue ISO 13485 ergänzt, verschärft oder konkretisiert einige Anforderungen. Beispielsweise schreibt sie nun auch ein Verfahren vor, um den Schutz von vertraulichen Gesundheitsdaten zu gewährleisten. Die Planung der Verifizierung und Validierung und Re-Validierung wird künftig strenger geregelt.
d) Forderungen der IEC 62304
Hersteller von Medizinprodukten, die Software enthalten oder standalone Software sind, müssen eine weitere gesetzliche Forderung erfüllen: Die Software muss nach Lebenzyklusprozessen entwickelt werden. Dass diese Forderung erfüllt ist, weisen Medizinproduktehersteller üblicherweise dadurch nach, dass sie die IEC 62304 einhalten. Diese Norm verlangt wiederum ein QM-System und empfiehlt eines konform ISO 13485.
Es gibt jedoch weder eine normative Forderung, dass das QM-System des Herstellers IEC 62304-konform sein muss, noch dass es überhaupt zertifiziert ist.
e) ISO 13485 und ISO 9001: Gemeinsamkeiten und Unterschiede
Der Gedanke mit den Prozessbereichen stammt übrigens von der ISO 9001, der Schwesternorm „unserer“ ISO 13485. Beide Normen sind zu 90% deckungsgleich.
Zwar fordert die ISO 13485 im Gegensatz zur ISO 9001 nur die Beibehaltung und nicht die kontinuierliche Verbesserung des QM-Systems. Dafür stellt sie zusätzliche Anforderungen wie z.B.
- Einbindung des Risikomanagements
- Nachverfolgbarkeit der Produkte
- Die Validierung von Software für Produktion, Wartung und Monitoring
- Die Klinische Validierung
- Maßnahmen zur Sterilität und Reinigung
4. Ablauf einer Zertifizierung nach ISO 13485
1. Schritt: Zertifizierer (benannte Stelle) auswählen
Die deutsche Akkreditierungsstelle DaKKs publiziert auf ihrer Webseite die benannten Stellen bzw. Zertifizierer, die für eine ISO 13485-Zertifizierung akkrediert sind. Beachten Sie, dass die zertifizierten Stellen nur für einen gewissen Typ von Medizinprodukten (z.B. Invitro-Diagnostika, nicht-aktive Medizinprodukte, extra-korporale Kreisläufe) eine ISO 13485-Zertifizierung durchführen dürfen.
Beispielsweise nennt die Webseite der Dakks zurzeit nur 17 Zertifizierer, für Invitro-Diagnostika-Herteller reduziert sich die Auswahl auf Medcert, TÜV Rheinland, mdc, Dekra, TÜV Süd und möglicherweise TÜV Nord (die „Anlage“ ist derzeit nicht einsehbar). Interessanterweise akzeptiert die ZLG auch die DQS med, die durch eine kanadische Behörde für IvD akkreditiert ist. Die ZLG selbst bietet keine Zertifizierungen mehr an.
2. Schritt: Qualitätsmanagementsystem etablieren
Wie Sie in kürzester Zeit mit unserer Hilfe ein schlankes QM-System etablieren können, finden Sie auf dieser Seite beschrieben (zu den „7 Schritten“ scollen).
3. Schritt: Qualitätsmanagementsystem leben
Um ein Audit beantragen zu können, müssen Sie nicht nur ein QM-System definiert haben, sondern Sie müssen bereits nach den Regeln dieses (neuen) QM-Systems arbeiten, beispielsweise eine technische Dokumentation für ein Medizinprodukt (weitgehend) erstellt haben.
4. Schritt: Benannte Stelle zum Audit einladen
Anschließend laden Sie die ausgewählte benannte Stelle zu einem Audit ein. Wenn Sie dieses Audit bestehen, wird Ihnen die benannte Stelle (mit hoher Wahrscheinlichkeit) ein ISO 13485- und ggf. ein Anhang II-Zertifikat ausstellen. Damit sind Sie befugt, Medizinprodukte zu vermarkten.
Weiterführende Informationen
Lesen Sie hier hier, wie Sie das Johner Institut beim Aufbau und der Zertifizierung Ihres Qualitätsmanagementsystems unterstützt.
5. Rumpf-QM-System
Zumindest ein Rumpf-QM-System solle der Hersteller einer Medical App implementieren, fordern die Behörden. Lesen Sie nachfolgend, was Behörden und manche benannten Stellen unter einem solchen Rumpf-QM-System verstehen, speziell bei Firmen, die standalone Software entwickeln.
a) Rumpf-QM-System: Wie es zu der Forderung überhaupt kommt
Firmen, die Medizinprodukte der Klasse I herstellen, können für diese Produkte die Konformität mit den gesetzlichen Anforderungen nach MDD bzw. MDR selbst erklären, ohne eine benannte Stelle zu involvieren.
Allerdings sind sie verpflichtet, beim DIMDI die Produkte zu registrieren. Daraufhin erhalten die zuständigen Aufsichtsbehörden eine Meldung und fordern gelegentlich Einsicht in die technische Dokumentation.
b) Rumpf-QMS: Welche Regularien damit erfüllt werden sollen
Europäische Richtlinien und nationale Gesetze und Verordnungen
Die technische Dokumentation muss die Einhaltung der gesetzlichen Anforderungen nachweisen. Dazu zählen zum einen die grundlegenden Anforderungen der Medizinprodukterichtlinen z.B. der MDD bzw. in der MDR im Anhang I:
Zusätzlich müssen die Hersteller nachweisen, dass sie ein funktionierendes Vigilanz-, Melde- und Rückrufsystem etabliert haben. Das ergibt sich teilweise aus den Richtlinien, teilweise direkt aus dem Medizinproduktegesetz bzw. den nationalen Verordnungen wie der Medizinproduktesicherheitsplanverordnung MPSV.
Diese Auflistung macht klar: die regulatorischen Anforderungen betreffen nicht nur das Produkt, sondern auch die Prozesse im Unternehmen. Genau daraus ergeben sich die Anforderungen an ein „Rumpf-QM-System“.
Vorsicht!
Beachten Sie: Die MDR fordert sogar explizit und für alle Produkteklassen ein QM-System (s. Artikel 10), das zwar bei Produkten der Klasse I nicht zertifiziert sein, aber bestimmte Verfahren umfassen muss. Damit gehört das Konzept des Rumpf-QM-Systems der Vergangenheit an.
IEC 62304
Die meisten Hersteller nutzen die IEC 62304 („medical device software – software life cycle processes„), um die Einhaltung der gesetzlichen Forderungen nach Software-Lebenszyklusprozessen nachzuweisen. Die IEC 62304 selbst fordert ein Qualitätsmanagementsystem, das aber nicht unbedingt zertifiziert sein muss.
c) Welche Prozesse und Verfahren ein Rumpf-QM-System abdecken sollte
Ein Rumpf-QM-System – um diesen Begriff zu nutzen – sollte zumindest die folgenden Prozesse abdecken:
- Marktüberwachung (Vigilanz)
- Sammeln und Bewerten von (Kunden-)Rückmeldungen (auch der entsprechende Teil des Problemlösungsprozesses nach IEC 62304)
- Maßnahmen bei fehlerhaften Produkten: Rückrufe, Behördenmeldungen usw.
- Entwicklung einschließlich Usability Engineering, Verifizierung und Validierung, Wartung bzw. Änderung von Software (auch Konfigurationsmanagement)
- Risikomanagement
- Konformitätsbewertung inkl. Bewerten und Zusammenstellen der technischen Dokumentation
Diese Prozess- bzw. Verfahrensanweisungen sollten gelenkte Dokumente sein. Sie beschreiben
- die Rollen der Personen
- die Aufgaben und Tätigkeiten
- Sequenzen, Flusspläne und Wechselbeziehungen dieser Aufgaben und Tätigkeiten
- im Prozess geplante Zwischenergebnisse und Ergebnisse (auch z.B. begleitende Dokumente) sowie die Informationen (z.B. Dokumente) und Materialien aus denen sie zu erarbeiten sind.
In anderen Worten: Mit Verfahrensanweisungen beschreiben Organisationen, wer wann was wie machen soll.
Zugehörige Arbeitsanweisungen können das jeweilige Verfahren im Detail festlegen. Beispielsweise könnte eine Arbeitsanweisung regeln, wie man vorgeht, wenn man
- Testfälle für den Software-Systemtest spezifiziert,
- eine Risikoanalyse durchführt oder
- die Ergebnisse der Marktüberwachung dokumentiert.
d) Was ein Rumpf-QM-System von einem vollständigen QM-System unterscheidet
Ein Rumpf-QM-System muss nicht zertifiziert sein. Dies ist für Hersteller der wichtigste Unterschied zwischen einem Rumpf-QM-System und einem vollständigen QM-System. Ein Rumpf-QM-System muss auch nicht alle Verfahrensanweisungen enthalten, die von Normen wie der ISO 13485 oder der ISO 9001 gefordert werden.
Es gibt zudem keine Notwendigkeit, Ausschlüsse oder die Nichtanwendbarkeit von Forderungen dieser Normen zu diskutieren.
Wenn externe Prüfungen (und im Falle fehlender interner Audits auch die internen Prüfungen) nicht routinemäßig durchgeführt werden, fehlen die entsprechenden Regelkreise. Daher erreichen Rumpf-QM-Systeme oft nicht die Güte, die vollständige zertifizierte Qualitätsmanagementsysteme haben.
