MDSAP: Medical Device Single Audit Program

Donnerstag 31. Mai 2018

Das Medical Device Single Audit Program MDSAP wurde ins Leben gerufen, um einen Wunsch vieler Medizinproduktehersteller zu erfüllen: Statt vieler Audits und Inspektionen durch die Behörden verschiedener Länder soll es nur noch eines geben. Die Teilnahme am MDSAP soll ausreichen, um die Wirksamkeit und Konformität von QM-Systemen (z.B. mit ISO 13485 oder 21 CFR part 820) nachzuweisen.

Ob dieser Wunsch wirklich in Erfüllung geht und was der Preis dafür ist, erfahren Sie in diesem Artikel.

Updates:

  • 13. April 2018: Health Canada kündigt auf seiner Webseite, die Anforderungen von MDSAP nicht sofort und aller Härte einfordern zu wollen.
  • März 2018: Die FDA erwägt die ISO 13485 anstatt des 21 CFR part 820 als QM-Standard anzuerkennen bzw. einzufordern. Der entsprechende Hinweis ist auf der offiziellen Seite zwar verschwunden. Andere Quellen wie das AAMI erwähnen dies aber weiterhin. Die Notwendigkeit eines MDSAP würde dadurch stark relativiert.

1. MDSAP: Eine Einführung

a) Ziele des MDSAP-Programms

Das International Medical Device Regulators Forum IMDRF, ein Zusammenschluss internationaler Behörden und Gesetzgeber, hatte erkannt, dass die Vielzahl der Audits und Inspektionen von QM-Systemen, die man in den verschiedenen Zielmärkten fordert, in mehrfacher Hinsicht suboptimal sind.

Von einer Vereinheitlichung durch das MDSAP erhofft(e) man sich:

  • QM-Overhead bei Herstellern vermeiden, Marktzulassung beschleunigen
    Die Hersteller müssen viele, oft redundante Audits und Inspektionen über sich ergehen lassen. Dies führt zu einem QM-Overhead und bedeutet Aufwände, Kosten und Zeitverzug bei der Inverkehrbringung. Das MDSAP hat zum Ziel, diese Aufwände zu minimieren.
  • Redundante Aufwände für die Weiterentwicklung von QM-Anforderungen minimieren; Anforderungen einheitlich interpretieren
    Die Aufwände betreffen auch die internationalen „Regulators“: Sie müssen sehr ähnliche Anforderungen an QM-Systeme formulieren und kontinuierlich weiterentwickeln, wie das beispielsweise bei der MDR kürzlich geschehen ist. Auch streben die „Regulators“ an, die QM-Anforderungen (wie beispielsweise die der ISO 13485) noch einheitlicher zu interpretieren.
  • Bewertung vereinheitlichen
    Den Auditoren soll ein Bewertungsschema an die Hand gegeben werden, das gewährleisten soll, dass verschiedene Auditoren bei der Bewertung eines Sachverhalts z.B. einer Nichtkonformität möglichst zum gleichen Ergebnis gelangen.
  • Redundante Aufwände für die Überprüfung der QM-Systeme minimieren
    Die in hohem Maße redundanten Audits und Inspektionen bedeuten nicht nur für die Hersteller Aufwände, sondern auch für die Behörden wie beispielsweise die FDA selbst. Diese Aufwände für das Auditieren möchte man minimieren. Auch strebten die „Regulators“ an, beim Auditieren einheitlicher vorzugehen.
  • Auditzeiten verringern
    Laut Health Canda soll das MDSAP sogar dazu beitragen, die Dauer der Audits zu verringern, bei Firmen bis 45 Mitarbeitenden um 10%, bei kleinen Firmen mit bis zu 15 Mitarbeitenden sogar um 20%.
  • Schwarze Schafe leichter identifizieren, Produktsicherheit erhöhen
    Weil die Behörden so schlecht abgestimmt waren (und sind), gelingt es den schwarzen Schafen unter den Herstellern leichter, Schwächen, die eine Behörde entdeckt hat, vor anderen Behörden zu verstecken. Daher besteht ein weiteres Ziel des MDSAP darin, Informationen, insbesondere Auditergebnisse, zwischen den teilnehmenden Behörden auszutauschen. Damit erhoffen sich diese, schwarze Schafe und damit unsichere Produkte schneller zu identifizieren und so die Patientensicherheit zu erhöhen.

Die Vereinheitlichung betrifft die Audits und deren Dokumentation. MDSAP fordert hingegen keine Vereinheitlichung der Dokumentation der Hersteller.

b) Teilnehmer

In der ersten Phase des Medical Device Single Audit Programs haben sich folgende Länder beteiligt:

Land Behörde QM-Vorgaben
Australien Therapeutic Goods Administration TGA Australian Therapeutic Goods (Medical Devices) Regulations (TG(MD)R Sch3)
Brasilien Agência Nacional de Vigilância Sanitária (ANVISA) Brazilian Good Manufacturing Practices (RDC ANVISA 16/2013)
Kanada Health Canada ISO 13485:2016
Japan Ministry of Health, Labour and Welfare (MHLW) and Pharmaceuticals and Medical Devices Agency (PMDA) Ordinance on Standards for Manufacturing Control and Quality Control of Medical Devices and In Vitro Diagnostic Reagents (MHLW Ministerial Ordinance No. 169)
USA Food and Drug Administration FDA QSR – 21 CFR Part 820

Die EU und die WHO beschränken sich auf eine Beobachterrolle.

Die FDA bewertet die erste im Jahr 2017 endende Phase (Pilotphase) als Erfolg:

“Based on its evaluation of the MDSAP Final Pilot Report, the MDSAP Regulatory Authority Council determined that the MDSAP Pilot had satisfactorily demonstrated the viability of the Medical Device Single Audit Program. [..]FDA will continue to accept MDSAP audit reports as a substitute for routine Agency inspections.”

c) Anerkennung

Bisher nehmen die o.g. fünf Länder am Medical Device Single Audit Program MDSAP teil.

MDSAP Medical Device Single Audit Program

Abb. 1: Die am MDSAP teilnehmenden Länder sind Australien, Brasilien, Kanada, Japan und die USA(zum Vergrößern klicken).

Diese Länder verpflichten sich zwar, die Ergebnisse der MDSAP-Audits anzuerkennen, es gibt aber leichte Unterschiede, Einschränkungen und Ausnahmen:

Land Anerkennung
Australien Ja, aber nicht für Medizinprodukte, die Arzneimittel oder Materialien menschlichen oder tierischen Ursprungs enthalten.
Brasilien Ja, auch initial, aber beispielsweise nicht, wenn vorausgegangenes ANVISA-Audit nennenswerte Abweichungen festgestellt hat.
Kanada Ja, ab 2019 gestattet Health Canada sogar nur MDSAP-Audits
Japan Ja, aber z.B. nicht für Medizinprodukte, die Materialien menschlichen oder tierischen Urspruchs enthalten
USA Ja, aber nur für „Routine-Inspektionen“, nicht für initiale und für anlassbezogene Inspektionen

Fazit: Einzig Kanada setzt konsequent auf dieses Vorgehensmodell. Kanada erkennt ab 2019 sogar nur noch QM-Systeme an, die über ein MDSAP auditiert wurden.

d) Auditierende Organisationen

Die Audits führen die sogenannten „Auditing Organizations“ (AO) durch. Zu diesen AOs zählen auch einige benannte Stellen wie der TÜV Süd, der TÜV Rheinland und DQS-med. Benannte Stellen sind aber nicht automatische als AO autorisiert.

Die FDA führt auf ihrer Webseite eine Liste der Auditing Organizations und eine Liste der von der ANVISA anerkannten AOs.

2. MDSAP Audits

a) Anforderungen und Ausschlüsse

Der Anforderungskatalog basiert stark auf der ISO 13485:2016. Er berücksichtigt zudem die Anforderungen der teilnehmenden Länder, die durch die ISO 13485:2016 nicht abgedeckt sind. Ähnlich wie die ISO 13485 ist auch der MDSAP-Anforderungskatalog prozessorientiert und die Audits erfolgen nach Prozessgruppen.

Es gibt vier Primärprozesse bzw. Prozessgruppen und drei Unterstützungsprozesse:

  • Primärprozesse
    • Management
    • Measurement, Analysis and Improvement
    • Design and Development
    • Production and Service Controls;
  • Support Processes
    • Purchasing
    • Device Marketing Authorization and Facility Registration
    • Medical Device Adverse Events and Advisory Notices Reporting.

Wenn eine Organisation nicht über alle Prozesse verfügt z.B. nicht entwickelt, müssen die entsprechende Prozesse auch nicht auditiert werden. Ein Hersteller, der ein Outsourcing von Prozessen vornimmt, profitiert von dieser Vereinfachung nicht.

Hersteller dürfen Anforderungen ausschließen, die für einen Zielmarkt spezifisch sind, falls er in diesem Zielmarkt keine Medizinprodukte verkauft.

b) Aufgaben der Auditoren

Ein Audit nach MDSAP berücksichtigt die Abhängigkeiten der Prozesse. Beispielsweise ist der Output des Entwicklungsprozesses der Input des Herstellungsprozesses. Entlang dieser Reihenfolgen müssen die Audits erfolgen, sie müssen risikobasiert durchgeführt werden und den kompletten Produktlebenszyklus (bis zur Außerbetriebnahme) betrachten.

Für jede der oben genannten Prozessgruppen beschreibt das MDSAP-Audit-Modell Folgendes:

Element Beispiel (Ausschnitte)
Name des Prozesses Management-Prozess
Ziel des Audits dieses Prozesses Sicherstellen, dass adäquate Ressourcen für die Entwicklung, Herstellung […] zur Verfügung stehen und dass […]
Erwartete Ergebnisse (= Anforderungen) Verpflichtung, dass in angemessener Weise Personal und Ressourcen für die Infrastruktur des QM-Systems bereitstehen […]
Verweis auf Prozesse, die von diesem Prozess abhängig sind Messung, Analyse und Verbesserung, Entwicklung, Einkauf, Produktion, Inverkehrbringung, […]
Aufgaben des Auditors Überprüfen Sie die Organisationsstruktur und entsprechende Dokumente, um sicherzustellen, dass Sie Vorgaben enthalten zu Verantwortlichkeiten, Personal, Ressourcen [….]
Für jede Aufgabe Verweise auf die entsprechenden Teilkapitel, Artikel und Absätze der ISO 13485:2016 und der anderen Anforderungen wie 21 CFR part 820 und RDC ANVISA 16/2013. SO 13485:2016: 5.1, 5.5.1, 5.5.2, 6.1, 6.2; TG(MD)R Sch3 P1 1.4(5)(b); […]
Hinweise für jede Aufgabe ggf. länderspezifische Anforderungen keine
Hinweise für die Auditoren (diese finden sich im Companion Document) Eine Methode, um zu bestätigen, dass ausreichende Ressourcen zur Verfügung gestellt werden, besteht darin, den QMB um Beispiele zu kürzlich erfolgten Anfragen nach Ressourcen zu bitten und ihn beschreiben zu lassen, wie mit diesen Anfragen verfahren wurde.

c) Häufigkeit von Audits

Die MDSAP-Audis erfolgen nach der gleichen dreijährigen Frequenz wie 93/42-EWG bzw. ISO 13485-Audits.

MDSAP Audit-Schedule

Abb. 2: Der Auditzyklus nach MDSAP gleicht dem der ISO 13485 bzw. der ISO 17021 (zum Vergrößern klicken).

Bei dieser Abfolge orientiert sich MDSAP stark an der ISO 17021:2015, die auch die Grundlage für die Audits nach ISO 13485 darstellt. Wie stark sich das MDSAP an der ISO 13485 orientiert findet sich auch in der Beschreibung des Audit-Modells:

“The purpose of a Stage 2 audit is to determine if all applicable requirements of ISO 13485:2016 and the relevant regulatory requirements from participating regulatory authorities have been implemented.”

d) Dauer von Audits

Die Dauer der MDSAP-Audits berechnet sich nach der Anzahl der Aufgaben. Diese Anzahl wiederum hängt von den Ausschlüssen ab. Beispielsweise kann es sein, dass ein Hersteller keine Anforderungen an sterile Produkte erfüllen muss.

Im ungünstigsten Fall müssen die Auditoren 90 Aufgaben erledigen, für die sie je nach Aufgabentyp zwischen 12 und 35 Minuten benötigen dürfen. Beispielsweise sind für die Aufgaben in der Prozessgruppe „Management“ je 28,8 Minuten vorgesehen.

MDSAP Auditzeiten

Abb. 3: Die Dauer von Audits nach MDSAP berechnet sich aus den Aufgaben und der Anzahl der einzubeziehenden Länder. Abhängig vom Hersteller können Aufgaben ausgeschlossen werden (zum Vergrößern klicken).

Für die Auditierung der länderspezifischen Anforderungen erhöhen sich die Aufwände.

e) Auditergebnisse

Für die Dokumentation der Planung, Durchführung und Bewertung von Audits stehen Templates bereit. Damit werden beispielsweise Audit- und Abweichungsberichte einheitlich gestaltet und automatisiert auswertbar.

MDSAP legt die Fristen fest, innerhalb derer die auditierenden Organisationen (AOs) die Berichte erstellen und verteilen müssen. Diese Fristen sind ambitionierter als wir das von vielen benannten Stellen im Alltag gewohnt sind.

3. Fazit

Für die Hersteller kann es einen großen Vorteil bedeuten, wenn mit dem MDSAP die Anzahl der Audits und Inspektionen durch die Behörden der verschiedenen Zielmärkte verringert wird. Dennoch waren die Hersteller in der MDSAP-Pilotphase zurückhaltend. Dies mag mit folgenden Nachteilen und Herausforderungen zusammenhängen:

  • Die Transparenz bedeutet, dass negative Auditergebnisse allen teilnehmenden Ländern zur Verfügung stehen und diese dann zusätzliche Inspektionen veranlassen können. Die FDA beispielsweise behält sich dieses Recht explizit vor.
  • Die Liste der Anforderungen wird tendenziell eher breiter, weil sie die Vereinigungsmenge der Anforderungen verschiedener Länder darstellt.
  • Das interne Qualitätsmanagementteam muss sich stärker mit internationalen Anforderungen beschäftigen.
  • Einer der wichtigsten Zielmärkte ist außen vor: Europa.

Wer Medizinprodukte in Kanada in den Markt bringen will, hat keine Wahl: Das Medical Device Single Audit Program wird der einzige Weg sein. Für alle anderen Hersteller bedeutet die Teilnahme eine Abwägung von Vor- und Nachteilen, zumindest solange Europa sich nicht von seiner Beobachterrolle verabschiedet und das MDSAP anerkennt.

Der Umstieg auf MDSAP ist zeitintensiv. Starten Sie daher rechtzeitig.

Die relativ transparenten und einheitlichen Regelungen zu den Tätigkeiten, zur Dokumentation und zur Bewertung dürften dazu beitragen, dass auch Audits weltweit einheitlicher ablaufen.

Die versprochene Anpassung der Aufwände an das Risiko der Medizinprodukte eines Herstellers und an dessen Größe lässt aber zu wünschen übrig. Damit wird das MDSAP im Vergleich zu ISO 13485-Audits gerade für kleine Hersteller mit weniger kritischen Produkten zu einer eher höheren Hürde.


Kategorien: QM-Systeme & ISO 13485, Regulatory Affairs
Tags: ,

7 Kommentare über “MDSAP: Medical Device Single Audit Program”

  1. Markus Roemer schrieb:

    Vielen Dank, sehr gute Zusammenfassung.

  2. Armin Rieß schrieb:

    Sehr informativer Artikel, vielen Dank.
    Spannend dürfte es werden, wenn es um die Details des Bewertungsschemas geht…spontan fallen mir da mehrere Varianten ein:
    – SPICE / ISO/IEC 15504 Part 7 – „Assessment of organizational maturity“ nach MedicalSpice/MDevSpice
    – oder CMMI

    In meinen Augen könnten beide gut für diesen Zweck dienen

  3. Prof. Dr. Christian Johner schrieb:

    Die 15504 schätze ich ebenfalls. Die Breite der Tätigkeiten in den Firmen ist leider so breit, dass so spezifische Kriterien wie in der Norm kaum definiert werden können. Dazu bedarf es weiterer Normen. Beispiele sind Tätigkeiten wie Schweißen, Transportieren, Service, Sterilisieren, Platinenbestücken, Risikoanalyse usw. usw.. Würde man das alles mit aufnehmen, gäbe es für viele Hersteller viele nicht anwendbare Anforderungen.

  4. H. Hüttmeyer schrieb:

    Vielen Dank für diese Zusammenfassung!

    Verstehe ich es richtig, dass, wenn man Produkte in Kanada und mindestens einem weiteren Teilnehmerland vertreibt, bis 2019 das MDSAP-Audit für den Scope Kanada+x absolviert haben muss? Oder würde zum jetzigen Zeitpunkt ein Audit mit Einbezug der kanadaspezifischen Anforderungen genügen?

  5. Prof. Dr. Christian Johner schrieb:

    Es genügt Kanada, weil Kanada bereits die erste Erweiterung (zur ISO 13485) ist. Sie müssen kein weiteres Land im Audit berücksichtigen.

  6. Jan Meiß schrieb:

    Die FDA-homepage ist zu MDSAP nur mäßig übersichtlich, aber es gibt dort ein Link zu einer FAQ von 2017-08-23. Dort steht unter Frage 95,

    „Q: Can the manufacturer exclude a jurisdiction from the scope of an MDSAP audit?
    A: A manufacturer may exclude the requirements of a jurisdiction where the organization does not in tend to supply medical devices. In other words, audit criteria under the MDSAP include at a minimum ISO 13485 and the medical device regulations that are applicable in any of the participating regulatory authority’s jurisdiction where the organization supplies medical devices.“

    Dies würde ich so verstehen, dass „Kanada+x“ Auditkriterium wäre.

    Eine praktische Herausforderung für den Hersteller ist es, für die jeweiligen Teilnehmerländer herauszufiltern, welche Anforderungen im einzelnen anwendbar sind (also „x“, abhängig von der Natur des Produktes). Dies wird die AO in der Regel schon im Vorfeld abfragen, um ein seriöses Angebot abgeben zu können.

  7. Olaf Masur schrieb:

    Kanada verlangt ab 2019 MDSAP Berichte/Zertifikate fuer all die Produktklassen, fuer die bisher ein CMDCAS Zertifikat notwendig war. Aus diesem Grund sind alle Hersteller, die auf dem kanadischen Markt aktiv sind bzw. es werden wollen, dazu angehalten, zumindest ihr MDSAP Audit bis Ende 2018 durch eine MDSAP Auditorganisation erfolgreich durchgefuehrt zu haben. Tueckisch ist dabei, dass eine MDSAP Auditorganisation aufgrund der gegenwaertigen Anforderungen/Regeln dazu angehalten wird, im MDSAP Audit alle regulatorischen Anforderungen all der MDSAP Laender abzudecken, in denen der Hersteller bereits Produkte vertreibt oder vertreiben moechte. Das waeren maximal Anforderungen fuer 5 MDSAP Laender, die in einem solchen Audit abgedeckt werden muessen, obwohl offiziell fuer den Hersteller bisher nur fuer ein MDSAP Land (Kanada) der Nachweis verpflichtend ist (fuer neue Lizenzen bzw. jaehrliche Lizenzerneuerungen).
    Fuer die anderen MDSAP Laender ist das Einreichen eines MDSAP Berichtes/Zertifikates aber (noch) nicht unbedingt verpflichtend. Der Hersteller hat immer noch die Wahl, je nach den landesspezifischen Zulassungsbedingungen zu agieren. Wenn der Hersteller diese „Kuer“ fuer sich selbst nicht umgehend auch zur „Pflicht“ macht bzw. die anderen MDSAP Laender nicht bald dem Aktionismus von Kanada folgen, ist das erste MDSAP Audit fuer so einen Hersteller eine relativ hohe Investition.

Kommentar schreiben