Audit: Voraussetzung für ISO 13485-Zertifikat

Ein Audit durch eine benannte Stellen stellt in den meisten Fällen die Voraussetzung dar, um Medizinprodukte in Europa vermarkten zu dürfen.

Begriffsdefinition

Die ISO 9000:2015 definiert den Begriff Audit als einen systematischen, unabhängigen und dokumentierten Prozess zum Erlangen von objektiven Nachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind.

Audit bei Medizinprodukte-Herstellern

Europa

Für Medizinprodukte-Hersteller ist das ISO 13485-Audit das wichtigste Audit. Nur wenn sie dieses Audit erfolgreich bestanden haben, dürfen die benannten Stellen ein ISO 13485-Zertifikat bzw. ein Anhang II-Zertifikat erstellen. Diese Zertifizierungen wiederum sind die Voraussetzung für eine Konformitätsbewertung nach Anhang II der Medizinprodukterichtlinie und damit für das legale Vermarkten der Produkte.

ISO 13485-Audits dürfen nur benannte Stellen durchführen. Die Auditoren nutzen zur Interpretation der ISO 13485 die Erläuterungen der ISO 14969.

USA / FDA

Die FDA führt keine Audits sondern Inspektionen durch. Das bedeutet, dass Prüfungen durch die FDA im guten Fall ohne Beanstandung verlaufen aber keinem Zertifikat führen, während die Audits durch die europäischen benannten Stellen im guten Fall in einem Zertifikat münden. Die FDA prüft nicht gegen die Anforderungen der ISO 13485, sondern gegen die des 21 CFR part 820.

Weltweit

Das International Medical Device Regulators Forum (IMDRF) hat das Medical Device Single Audit Program MDSAP ins Leben gerufen, mit dem mit einem Audit die regulatorischen Anforderungen an die Auditierung und Inspektionen von QM-Systemen erfüllt werden können.

Audit: Die verschiedenen Typen

Je nach Schwerpunkt von einem Audit spricht man von

  • Systemaudit (z.B. auf Konformität eines Qualitätsmanagementsystems mit den Forderungen einer Norm wie der ISO 13485 oder ISO 9001)
  • Prozessaudit
  • Produktaudit
  • Software-Audit

Weiter unterscheidet man

Anforderungen an Audits und Auditoren

Die ISO 19011 beschreibt die Anforderungen an Audits (deren Planung, Durchführung und Dokumentation) und an die Auditoren.

Weitere Vorschriften bestimmen die Dauer von Audits.

FAQ: Antworten auf die häufigsten Fragen

  • Wann muss man sich auditieren lassen?
    Sie benötigen ein Audit durch eine benannte Stelle, wenn Sie ein Medizinprodukt in Europa in Verkehr bringen möchten. Zu den Ausnahmen zählen die Produkte der Klasse I.
  • Wie lange dauert ein Audit?
    Das hängt von u.a von der Größe Ihres Unternehmens ab. Lesen Sie hier mehr zur Dauer von Audits.
  • Wer darf ein Audit durchführen?
    Das hängt vom Ziel des Audits ab. Wenn Sie eine Zertifizierung nach ISO 13485 anstreben, sind ausschließlich die benannte Stellen dazu berechtigt.
  • Welche Voraussetzungen müssen für ein Audit erfüllt sein?
    Für eine ISO 13485 Audit müssen Sie ein Qualitätsmanagementsystem nicht nur festgelegt haben, sondern dies auch tatsächlich „leben“. Das bedeutet beispielsweise, dass Sie ein Produkt konform mit den Forderungen der Norm zumindeset weitgehend entwickelt bzw. produziert haben müssen. Damit muss eine technische Dokumentation für ein Medizinprodukt (weitgehend) vollständig existieren. Die Auditoren möchten prüfen, ob Ihr QM-System die normativen Forderungen abdeckt und Sie sich an Ihr QM-System halten.
  • Unterstützung: Wer kann bei der Vorbereitung auf ein Audit helfen?
    Das Johner Institut unterstützt in vielfacher Weise:

Nehmen Sie Kontakt auf, um zu erfahren, wie Sie schnell zu einem schlanken Qualitätsmanagementsystem kommen und so die Voraussetzungen für die Inverkehrbringung Ihrer Medizinprodukte schaffen.

Was ein Auditor prüft

Wenn ihnen der Auditor eine „Non-Conformity“ bescheinigt, kann das dazu führen, dass Ihnen Ihre benannte Stelle das Zertifikat verwehrt oder entzieht. Dabei ist das, was der Auditor prüft, prinzipiell bekannt:

Audit Prüfung ISO 13485

Die folgenden Zahlen beziehen sich auf obige Abbildung.

  1. Der Auditor muss sicherstellen, dass Sie gesetzeskonform handeln. Gemäß der Medizinprodukterichtlinie und damit dem Medizinproduktegesetz kann/soll/darf er vermuten, dass Ihre Produktentwicklung gesetzeskonform ist, wenn Sie die entsprechenden harmonisierten Normen einhalten. Dazu zählen u.a. die ISO 13485 für das QM-System, die ISO 14971 für das Risikomanagement, die IEC 62304 für die Softwareentwicklungsprozesse und die IEC 62366 für das Thema Gebrauchstauuglichkeit.
  2. Daher wird der Auditor prüfen, ob Ihr QM-System – also die Spielregeln, die Sie sich selbst geben, – überhaupt der Norm entspricht. Beispielsweise ob Ihr System alle Aspekte der Norm abdeckt. Der Auditor kündigt in der Regel sogar an, welche Aspekte (Kapitel der Norm) er schwerpunktmäßig prüfen wird.
  3. Schließlich prüft Ihr Auditor, ob Sie sich an Ihre eigenen Spielregeln gehalten haben. Ob Sie bei der Entwicklung konkreter Produkte genau die Dinge getan und dokumentiert(!) haben, die Ihr QM-System verlangt.

Wenn es bei den Punkten 2 oder 3 Abweichungen gibt, haben Sie ein Problem.

Auditgarant: Die E-Learning-Plattform

Der Auditgarant zeigt Ihnen Schritt für Schritt, wie Sie eine Software-Dokumentation erstellen
Der Auditgarant zeigt Ihnen in, wie Sie eine FDA- und normenkonforme Dokumentation erstellen, mit der Sie im Audit glänzen.

Donnerstag 27. September 2018 von Prof. Dr. Christian Johner

Ein OEM, ein „Original Equipment Manufacturer“, ist eine Firma, die Produkte herstellt (entwickelt, produziert), aber nicht notwendigerweise unter eigenem Namen in Verkehr bringt.

Dieser Artikel untersucht die regulatorischen Anforderungen und die Verantwortlichkeiten der OEM einerseits und der Firmen andererseits, die die Produkte unter eigenem Namen in Verkehr bringen. Letztere nennt man „Private Label Manufacturer“ (PLM).

Update: MDR: Alternativen zum OEM-PLM-Konstrukt

OEM (Original Equipment Manufacturer) von Medizinprodukten | Beitrag lesen »


Donnerstag 31. Mai 2018 von Prof. Dr. Christian Johner

Das Medical Device Single Audit Program MDSAP wurde ins Leben gerufen, um einen Wunsch vieler Medizinproduktehersteller zu erfüllen: Statt vieler Audits und Inspektionen durch die Behörden verschiedener Länder soll es nur noch eines geben. Die Teilnahme am MDSAP soll ausreichen, um die Wirksamkeit und Konformität von QM-Systemen (z.B. mit ISO 13485 oder 21 CFR part 820) nachzuweisen.

Ob dieser Wunsch wirklich in Erfüllung geht und was der Preis dafür ist, erfahren Sie in diesem Artikel.

Updates:

  • 13. April 2018: Health Canada kündigt auf seiner Webseite, die Anforderungen von MDSAP nicht sofort und aller Härte einfordern zu wollen.
  • März 2018: Die FDA erwägt die ISO 13485 anstatt des 21 CFR part 820 als QM-Standard anzuerkennen bzw. einzufordern. Der entsprechende Hinweis ist auf der offiziellen Seite zwar verschwunden. Andere Quellen wie das AAMI erwähnen dies aber weiterhin. Die Notwendigkeit eines MDSAP würde dadurch stark relativiert.

MDSAP: Medical Device Single Audit Program | Beitrag lesen »


Donnerstag 22. März 2018 von Prof. Dr. Christian Johner

Über die Auditdauer diskutieren Medizinproduktehersteller und Zertifizierer (hier, die benannten Stellen) regelmäßig. Je kürzer umso lieber ist es den Herstellern. Schließlich sind Audits oft unangenehm, kosten viel Geld und behindern die Arbeit. Zum Glück gibt es Regeln, an die sich auch die benannten Stellen halten müssen.

Auditdauer: Wie lange Ihr Auditor bleiben darf | Beitrag lesen »


Mittwoch 8. November 2017 von Prof. Dr. Christian Johner

Unangekündigte Audits sind stichprobenhafte Prüfungen von Qualitätsmanagement-Systemen durch benannte Stellen mit den folgenden Zielen:

  • Herausfinden, ob Medizinproduktehersteller konform mit ihrem QM-System (z.B. gemäß ISO 13485) arbeiten
  • Abweichungen schnell identifizieren und darauf reagieren können
  • Betrugsversuche zuverlässiger aufdecken

Inzwischen liegen erste Erfahrungen mit unangekündigten Audits vor.

Update: Änderungen durch die MDR.

Unangekündigte Audits durch benannte Stellen | Beitrag lesen »


Dienstag 25. Oktober 2016 von Prof. Dr. Christian Johner

Der Qualitätsmanagementbeauftragte (QMB) wird auch Qualitätsbeauftragter oder von der ISO 9001 bzw. ISO 13485 „Beauftragter der Leitung“ genannt.

Für welche Aufgaben die Person mit dieser Rolle innerhalb einer Organisation verantwortlich ist und welche regulatorischen Anforderungen dabei zu beachten sind, erfahren Sie in diesem Artikel.

Qualitätsmanagementbeauftragter | Beitrag lesen »


Dienstag 27. September 2016 von Prof. Dr. Christian Johner

Regulatory Affairs Manager kümmern sich in einem Unternehmen um die Zulassung von Medizinprodukten. Lesen Sie in diesem Artikel,

Regulatory Affairs Manager (Medizinprodukte) | Beitrag lesen »


Montag 7. März 2016 von Prof. Dr. Christian Johner

„Findet ein Software-Audit statt?“ lautet eine Frage, die mich über unser Micro-Consulting erreicht. „Und kann ich durch eine geeignete Wahl der Software-Sicherheitsklasse so ein Software-Audit vermeiden?“

Erst ist mir weder klar, was genau mit „Software-Audit“ gemeint, noch was die genaue Befürchtung ist. Doch dann verstehe ich und finde die Frage sehr bedeutsam für alle Medizinprodukte-Hersteller.

Software-Audit: Auf was es wirklich ankommt | Beitrag lesen »


Mittwoch 17. Februar 2016 von Prof. Dr. Christian Johner

ISO 14969? Nie gehört? Sollten Sie aber. Denn an dieser Norm orientieren sich Ihre Auditoren beim ISO 13485-Audit.

ISO 14969 oder ISO 13485: Welche Norm Ihre Auditoren wirklich nutzen | Beitrag lesen »


Mittwoch 10. Februar 2016 von Prof. Dr. Christian Johner

„Objective Evidence“ bzw. Objektiver Nachweis bei FDA und ISO 13485

Begriffsdefinitionen

Die FDA benutzt den Begriff „objective evidence“ definiert im 21 CFR part 820 (den „Quality System Regulations“) bei der Definition von Verifizierung und Validierung. Auf eine Definition von „objective evidence selbst verzichtet die FDA aber leider.

Update: Müssen Sie Screenshots anfertigen oder gar Videos drehen, ob eine „objective evidence“ zu erbringen? Welche Alternativen dazu gibt es?

Objective Evidence: Objektiver Nachweis im Audit | Beitrag lesen »


Montag 1. Februar 2016 von Prof. Dr. Christian Johner

Unter Dokumentenlenkung verstehen die meisten ein dokumentiertes Verfahren, das festlegt, wie Dokumente erstellt, geprüft, genehmigt, gekennzeichnet, verteilt und aktualisiert werden. Während die ISO 13485 die Lenkung von Dokumenten und die Lenkung von Aufzeichnungen unterscheidet, fasst die ISO 9001:2015 beide Typen als „dokumentierte Informationen“ zusammen, die natürlich auch gelenkt werden müssen.

Inhalt

QM Dokumentenlenkung: Wie viele im Audit scheitern | Beitrag lesen »

Seite 1