Risikomanagement & ISO 14971

Das Risikomanagement zählt zu den wichtigsten gesetzlichen Anforderungen, die Hersteller von Medizinprodukten erfüllen müssen.

Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicherstellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sowie im Vergleich zum Nutzen akzeptabel sind.

Abb. 1: Risikomanagementprozess nach ISO 14971 (zum Vergrößern klicken)

Inhalt

Sie finden auf dieser Seite Fachartikel …

zu den Aktivitäten im Risikomanagementprozess, welche die ISO 14971 vorschreibt,
zur Norm selbst,
zum Zusammenspiel von Risikomanagement und der IT-Sicherheit,
zur Anwendung der Norm in bestimmten Kontexten, z. B. bei Standalone-Software und
dazu, wo Sie Unterstützung beim Risikomanagement bekommen.

1. Artikel zu Aktivitäten im Risikomanagementprozess

a) Risikomanagementplan

Der erste Schritt beim Risikomanagement für ein konkretes Produkt besteht darin, den Risikomanagementplan zu erstellen. Dieser legt fest,

welche Rollen bzw. Personen (mit welchen Kompetenzen)
welche Aktivitäten
mit welchen Methoden
zu welchem Zeitpunkt durchführen.

Diesen Risikomanagementplan muss die Verfahrensanweisung zum Risikomanagement einfordern

b) Gefährdungsanalyse

Hersteller müssen zuerst die Zweckbestimmung des Produkts festlegen.

Dann müssen sie im Rahmen einer Gefährdungsanalyse bzw. Risikoanalyse die Gefährdungen und Gefährdungssituationen identifizieren. Dazu gibt es mehrere Methoden:

Um Gefährdungen zu identifizieren, die von fehlerhaften Prozessen ausgehen, empfiehlt sich die Prozess-FMEA (pFMEA).

c) Risikobewertung

Im nächsten Schritt müssen die Hersteller die Risiken abschätzen. Dazu müssen sie bestimmen:

Die (möglichen) Schäden (gemäß ISO 14971) durch ihr Produkt
Die Schweregrade möglicher Schäden gemäß ISO 14971. Bei manchen Schäden hilft die ICF bei der Klassifizierung der Schäden.
Die Wahrscheinlichkeit des Auftretens dieser Schäden (diese Wahrscheinlichkeit ist bei Software besonders schwer abzuschätzen)

Viele Hersteller arbeiten mit einer Risikoprioritätszahl (RPZ). Dieses Konzept entspricht allerdings nicht der ISO 14971.

d) Risikoakzeptanz

Spätestens jetzt besteht die Aufgabe der Hersteller darin, ihre Kriterien für die Risikoakzeptanz zu bestimmen. Die Festlegung erfolgt meist in Form einer Risikoakzeptanzmatrix.

Dabei hilft auch der Benefit-Risk-Guidance der FDA.

Bei der Bewertung des Restrisikos sollten Sie diese Zahlen kennen. Auch die Kaplan-Meier-Kurve hilft im Risikomanagement.

e) Risikobeherrschung und Risikomanagementbericht

Gesetze wie die MDR und die IVDR verpflichten die Hersteller zur Risikominimierung bzw. Risikobeherrschung. D.h. sie müssen die Risiken so weit wie möglich und gemäß ihrer Akzeptanzkriterien reduzieren.

Sehr hilfreich bei Diskussionen mit Auditoren und Behörden sind der Artikel zu Informationen als Maßnahmen zur Risikominimierung sowie die Safety Assurance Cases, welche die FDA bei einigen Produkten sogar verlangt.

Die Ergebnisse aller bisherigen Aktivitäten müssen die Hersteller in einem Risikomanagementbericht dokumentieren. Bei dieser Bewertung sollten die Hersteller prüfen, dass sie die 7 häufigsten Fehler im Risikomanagement vermeiden.

All diese Aufzeichnungen und Dokumente bilden dann die Risikomanagementakte.

f) Nachgelagerte Phase

Damit endet das Risikomanagement nicht. Vielmehr folgt die Post-Market-Phase bzw. die nachgelagerte Phase, wie die ISO 14971 sie nennt. Ein Teil derer ist die Post-Market Surveillance und Überwachung der Produkte im Markt.

2. Fachartikel zur Norm

Die DIN EN ISO 14971 liegt in der Version 2022 vor. Die letzte wesentliche Änderung stammt aus dem Jahr 2019. Diese Änderungen wurden mit der dritten Ausgabe der ISO 14971 eingeführt. Damit wird die EN ISO 14971:2012 mit dem Annex ZA obsolet.

Im Beitrag zu den harmonisierten Normen erfahren Sie mehr zur Bedeutung der Präfixe wie DIN, EN und ISO.

Wie Hersteller die (neue Version) der Norm anwenden sollten, beschreibt der Beitrag zur ISO 24971.

Wichtig ist auch die Frage, ob die ISO 14971 überhaupt anwendbar ist. In diesem Kontext sind die Begriffe vorhersehbarer Missbrauch und anormaler Gebrauch wichtig.

In anderen Rechtsbereichen wird die ISO 31000 genutzt, die für die Medizinproduktehersteller zumindest als Anregung dienen kann.

3. Fachartikel zum Zusammenspiel von Risikomanagement und IT-Sicherheit

Bei Medizinprodukten, die Software enthalten oder Software sind, wirkt sich die IT-Sicherheit wesentlich auf die Risiken aus. Hilfreich sind hier folgende Publikationen:

Übersichtsartikel zur IT-Security im Allgemeinen und zur IT-Sicherheit im Gesundheitswesen und den regulatorischen Anforderungen
Cybersecurity in Medical Devices: Die Guidance-Dokumente der FDA
AAMI TIR 57: IT-Sicherheit und Risikomanagement
UL 2900: Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
Medical Cloud: Cloud Computing im Gesundheitswesen
ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten

4. Fachartikel zu bestimmten Kontexten

a) Fachartikel für Software-Hersteller

Für Medizinprodukte, die Software enthalten oder eine Standalone-Software sind, empfehlen sich diese Fachartikel:

b) Fachartikel für andere Organisationen

Das Risikomanagement bei Medizinprodukteherstellern unterscheidet sich in manchen Aspekten von dem Risikomanagement bei anderen Organisationen:

Risikomanagement vernetzter Krankenhaus-IT & IEC 80001-1
Risikomanagement bei Entwicklungsdienstleistern
Risikomanagement im Krankenhaus und bei anderen Betreibern

Das Johner Institut hilft

Nutzen Sie die Unterstützung des Johner Instituts:

Haben Sie noch Fragen zum Risikomanagement? Dann nutzen Sie das kostenfreie Micro-Consulting.
Im Seminar „Risikomanagement & ISO 14971“ lernen Sie die gesetzlichen Anforderungen an das Risikomanagement kennen und erfüllen.
Der Auditgarant zeigt Ihnen mit Videotrainings, wie Sie Schritt für Schritt eine schlanke und ISO 14971 konforme Risikomanagementakte erstellen. Zusätzlich nimmt Ihnen ein vollständiger Satz an Templates für eine Risikomanagementakte viel Arbeit ab.
Nutzen Sie auch die Unterstützung des Risikomanagement-Teams. Es hilft Ihnen, Ihre Akten zu schreiben, zu prüfen und auf Audits und Reviews vorzubereiten.

Melden Sie sich gleich, damit wir die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.

Prozess-FMEA (pFMEA): Wie Sie Risiken systematisch erkennen

Von Prof. Dr. Christian Johner 14. Mai 2025 4 Kommentare

Die Prozess-FMEA (pFMEA) ist eine Methode zur systematischen Analyse von Risiken, die sich durch Fehler in Prozessen wie der Produktion und Reinigung von Produkten ergeben. Gesetze wie die MDR und Normen wie die ISO 13485 verpflichten die Hersteller von Medizinprodukten dazu, solche Prozessrisiken zu identifizieren und zu beherrschen.

Details

FMEA: Definition und Bedeutung am Beispiel von Medizinprodukten

Von Christian Rosenzweig 14. Mai 2025 7 Kommentare

Die FMEA, die Failure Mode and Effect Analysis (auf Deutsch: Fehlermöglichkeits- und -einflussanalyse), ist ein Verfahren, um zu bekannten Ursachen unbekannte Auswirkungen zu untersuchen. Bei Medizinprodukten nutzt man die FMEA beispielsweise bei der Risikoanalyse, um die Folgen einer fehlerhaften Komponente zu analysieren, insbesondere die sich daraus ergebenden Gefährdungen.

Details

Restrisiko: Diese Zahlen sollten Sie kennen

Von Christian Rosenzweig 7. Mai 2025 13 Kommentare

Ein Restrisiko ist laut ISO 14971 das „Risiko, das nach Durchführung von Maßnahmen zur Risikobeherrschung verbleibt.“ Doch welche Restrisiken sind akzeptabel? Damit tun sich viele Medizinproduktehersteller schwer. Lesen Sie hier, wie Sie zu belastbaren Akzeptanzkriterien für das Restrisiko kommen. Diese Zahlen können Ihnen nützlich sein.

Details

Anormaler Gebrauch oder vorhersehbarer Missbrauch?

Von Christian Rosenzweig 25. März 2025 2 Kommentare

Medizinprodukte- und IVD-Hersteller müssen die Konzepte „anormaler Gebrauch“, „vorhersehbarer Missbrauch“, „Fehler beim bestimmungsgemäßen Gebrauch“ und „Fehlanwendung“ unterscheiden. Das ist die Voraussetzung, um die Anforderungen der ISO 14971 und IEC 62366 zu verstehen und zu erfüllen. Selbst die Maßnahmen, die Hersteller ergreifen müssen, hängen von der Art des Gebrauchs ab.

Details

ISO 31000: Risikomanagement richtig gemacht

Von Christian Rosenzweig 21. November 2024 2 Kommentare

Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern dabei helfen, ein effektives und effizientes Risikomanagement aufzubauen. Diese Norm wendet sich an alle Organisationen, hat also keinen „Domänenfokus“. Daher stehen beispielsweise Medizinprodukte- und IVD-Hersteller vor der Frage, ob ihnen domänenspezifische Normen nicht nützlicher sind. Dieser Artikel verschafft eine Übersicht…

Details

Die Benefit-Risk Guidance der FDA

Von Luca Salvatore 16. Oktober 2024 Kommentar hinterlassen

Wie Sie eine Benefit-Risk-Abwägung (Nutzen-Risiko-Abwägung) durchführen sollen, verrät die FDA in einem Guidance-Dokument. Es trägt den Titel “Factors to Consider When Making Benefit-Risk Determinations in Medical Device Premarket Approval and De Novo Classifications”, aktuell in der Ausgabe vom 30. August 2019. Dieses Guidance-Dokument zur Benefit-Risk-Abwägung ist nicht nur bei FDA-Zulassungen sehr hilfreich. Nutzen Sie es auch bei der…

Details

Foto zeigt Blut auf Kompresse. Symbolisch für Schaden

Schaden gemäß ISO 14971

Von Christian Rosenzweig 1. Oktober 2024 2 Kommentare

Ein Medizinprodukt kann zu einem Schaden für Patienten, Anwender oder Dritte führen. Diesen Schaden muss der Hersteller bestimmen, um die Risiken durch sein Produkt bewerten und beherrschen zu können. Dieser Artikel gibt Hilfestellung, um Schäden gemäß der ISO 14971 zu bestimmen und zu dokumentieren und den Begriff „Schaden“ korrekt zu verwenden.

Details

Schweregrade von Schäden gemäß ISO 14971

Von Christian Rosenzweig 1. Oktober 2024 9 Kommentare

Medizinproduktehersteller müssen die Schweregrade möglicher Schäden bestimmen, um die Risiken durch ihre Produkte bewerten zu können. Was sich einfach anhört, ist in der Praxis sehr herausfordernd. Dieser Artikel gibt Hilfestellung, um die Schweregrade dieser Schäden ISO 14971-konform zu bestimmen und zu dokumentieren.

Details

Gefährdung und Gefährdungssituation

Von Christian Rosenzweig 16. September 2024 19 Kommentare

Die ISO 14971 definiert die Begriffe Gefährdung und Gefährdungssituation. Trotzdem fällt es Medizinprodukte-Herstellern oft schwer, den beiden Begriffen Sachverhalte zuzuordnen. Dieser Artikel gibt Hilfestellung.

Medical Cloud und Cloud-Computing im Gesundheitswesen

Von Prof. Dr. Christian Johner 4. April 2024 5 Kommentare

Medizinprodukte- und IVD-Hersteller verwenden zunehmend Cloud-Dienste: Erfahren Sie, welche Möglichkeiten Hersteller haben, um Cloud-Dienste wie Medical Clouds zu nutzen und dennoch die regulatorischen Anforderungen an z. B. den Datenschutz zu erfüllen.

Details

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365