Qualitätsmanagement-System nach ISO 13485 zertifizieren

In folgendem Artikel beantworten wir Fragen, wer die Norm ISO 13485 benötigt und was zu beachten ist. Lesen Sie im nachkommenden Artikel die Einführung, Definitionen und Anforderungen von EN ISO 13485:2016.

Inhalte:

Was beinhaltet die ISO 13485?

Die ISO 13485 ist eine eigenständige, von der Internationalen Organisation für Normung (ISO) veröffentlichte Norm, die Anforderungen an das Qualitätsmanagementsystem (QMS) von Unternehmen in der Medizintechnikindustrie (Medtech) formuliert.

Sie basiert auf der international anerkannten Norm ISO 9001 (die nicht für eine bestimmte Branche oder Produktart ist) und enthält zusätzliche Elemente, die für spezifische Prozesse in der Medtech relevant sind.

Obwohl die ISO 13485 nur die Anforderungen an das QMS und keine Definition der Qualität von Medizinprodukten abdeckt, verlangen einige Länder bei der Zulassung von Medizinprodukten eine Zertifizierung nach ISO 13485. ISO 9001 hingegen ist in fast keinem Land für die Zulassung von Medizinprodukten erforderlich.

ISO 13485 soll primär Herstellern von Medizinprodukten helfen, ein QMS zu etablieren um nachzuweisen, dass die Anforderungen über den ganzen Lebenszyklus eines Medizinprodukts erfüllt werden. Dies beinhaltet Design, Entwicklung, Produktion, Lagerung, Vertrieb, Installation, Instandhaltung, endgültige Ausserbetriebnahme und Entsorgung von Medizinprodukten sowie Design und Entwicklung oder die Bereitstellung damit verbundener Tätigkeiten (z. B. technischer Support).

Die aktuelle Version der Norm ist ISO 13485:2016, Medizinprodukte – Qualitätsmanagementsysteme – Anforderungen für regulatorische Zwecke. Die internationale Version ist auf der ISO-Website erhältlich, die nationalen Versionen können direkt bei nationalen Normungsorganisation (z.B. SNV in der Schweiz) erworben werden.

Was ist ein Qualitätsmanagementsystem (QMS)?

Ein Qualitätsmanagementsystem ist ein formeller Bestand an internen Regeln. Dieser definiert und dokumentiert die Prozessstruktur und -abfolge, Rollen und Verantwortlichkeiten, Richtlinien, Verfahren, Arbeitsanweisungen und Formulare/Vorlagen. Diese bestimmen, wie ein Unternehmen Kundenanforderungen und regulatorische Anforderungen erfüllt.

QMS-Normen wie ISO 9001 und ISO 13485 basieren auf einem prozessorientierten Ansatz für das Qualitätsmanagement. Jede Tätigkeit, die angestossen wird und in einem Ergebnis resultiert, wird als Prozess betrachtet. Die zahlreichen miteinander verknüpften Tätigkeiten müssen identifiziert und verwaltet werden. Für diese Darstellung wird eine Matrix eingesetzt, die miteinander verbundene Prozesse, deren Verwaltung und das gewünschte Ergebnis aufzeigt.

Ein QMS baut auf dem simplen Prinzip auf, das besagt, dass nicht dokumentierte Tätigkeiten und Prozesse nicht stattgefunden haben. Der Nachweis der Konformität von nicht dokumentierten Tätigkeiten und Prozessen kann somit nicht erbracht werden und ist für Zertifizier- und benannte Stellen, Auditoren und zuständige Behörden nicht prüfbar.

Richtig gestaltete, schriftlich festgehaltene Prozesse, Arbeitsanweisungen, Formulare und Vorlagen helfen Unternehmen, einheitlich zu arbeiten und das Prozesswissen unabhängig von Einzelpersonen zu sichern. Das bedeutet nicht, dass Ressourcen für das Schreiben langer Dokumente aufgewendet werden sollten, die niemand liest. Dies würde den Zweck verfehlen. Um wirksam zu sein, muss ein QMS umfassend und dennoch schlank sein. Umfang und Ausmass des QMS sollten in allen Fällen den Tätigkeiten des Unternehmens und den vom Medizinprodukt oder der Dienstleistung ausgehenden Risiken entsprechen (kontaktieren Sie uns bei Fragen zu einem wirksamen QMS).

Das QMS muss kontinuierlich aufrechterhalten und verbessert werden. Dabei sind alle Änderungen zu berücksichtigen. Dies können insbesondere Änderungen der geltenden Normen oder gesetzlichen Anforderungen, der Unternehmensorganisation, der Prozesse oder Produkte und erforderliche kontinuierliche Verbesserungen des QMS sein.

Wer braucht eine ISO 13485-Zertifizierung?

ISO 13485 ist für jede Organisation gedacht, die ganz oder teilweise am Lebenszyklus von Medizinprodukten beteiligt ist. Die Anforderungen dieser Norm gelten für Organisationen unabhängig von ihrer Grösse und unabhängig von ihrer Art, sofern nicht anders angegeben.

Die ISO 13485 gilt explizit auch für ausgelagerte Prozesse. Wird ein in ISO 13485 beschriebener Prozess (oder ein Prozess, der sich auf die Anforderungen dieser Norm auswirkt wie z.B. Verpackung und Wartung), an ein Unternehmen ausgelagert, muss der Auftraggeber die Kontrolle über die ausgelagerten Prozesse sicherstellen. Dies gilt auch wenn der Auftragnehmer über ein konformes QMS gemäss ISO 13485 verfügt. Zu diesem Zweck müssen mit dem Zulieferer (unabhängig davon, ob es sich dabei um ein anderes Unternehmen oder eine Einzelperson handelt) schriftliche Qualitätsvereinbarungen mit detaillierten Rollen und Verantwortlichkeiten für alle relevanten ausgelagerten Tätigkeiten getroffen werden.

ISO 13485 kann auch von Zulieferer oder anderen externen Parteien wie Auftragsfertigern, Entwicklungsdienstleistern oder Distributoren angewendet werden, die Produkte oder Dienstleistungen für Hersteller von Medizinprodukten bereitstellen. Der Lieferant kann die Anforderung an die ISO 13485 freiwillig erfüllen, aufgrund von regulatorischen Anforderungen in einem bestimmten Land oder der vertraglichen Forderung eines Kunden erfolgen.

Ein Unternehmen kann sich entscheiden, die Anforderungen der ISO 13485 zu erfüllen, ohne eine Zertifizierung durch eine akkreditierte Stelle anzustreben. Angesichts des beträchtlichen Aufwands, ein konformes QMS für Medizinprodukte einzurichten und aufrechtzuerhalten, sollte die Zertifizierung nach ISO 13485 das Endziel sein. Die Anerkennung der Konformität durch die Zertifizierung stellt einen bedeutenden Vorteil dar, um Anforderungen von Kunden und Regulierung zu erfüllen.

Es ist wichtig zu wissen, dass die Zertifizierung nach ISO 13485 in einigen Ländern Pflicht ist, entweder als Voraussetzung für die Zulassung von Medizinprodukten oder für Unternehmen in der Lieferkette für Medizinprodukte. Generell lässt sich sagen, dass eine ISO-13485-Zertifizierung eines Herstellers von Medizinprodukten in den meisten Ländern vorausgesetzt wird.

Unternehmen, die auf den Märkten der Mitgliedsstaaten der Europäischen Union (EU) oder der Staaten des Europäischen Freihandelsabkommens (EFTA) tätig sind, sollten für die folgenden Aktivitäten ein nach ISO 13485:2016 zertifiziertes QMS vorweisen können (dies gilt unabhängig davon, ob sie ihren Sitz in der EU/EFTA haben oder nicht):

  • Hersteller von Medizinprodukten im Sinne der Verordnungen (EU) 2017/745 über Medizinprodukte und (EU) 2017/746 über In-vitro-Diagnostika, einschliesslich Hersteller von Produkten ohne medizinischen Verwendungszweck, die in Anhang XVI der MDR aufgeführt sind.
  • Entwickler von Medizinprodukten (inkl. Software als Medizinprodukt).
  • Auftragsfertiger (Contract Manufacturers) von Medizinprodukten.
  • Hersteller von Teilen oder Komponenten von Medizinprodukten, die Leistung, Sicherheit oder Zweckbestimmung des Produkts wesentlich verändern (d.h. solche, die als Medizinprodukte angesehen werden können, gemäss Artikel 23 MDR und Artikel 20 IVDR).
  • Dienstleister für die Installation, Wartung oder Instandhaltung von Medizinprodukten.
  • Händler oder Importeure mit Sitz in der EU/EFTA, die gemäss Artikel 16(1) MDR/IVDR Tätigkeiten ausüben, die ihnen die Pflichten des Herstellers auferlegen. D.h. ein Medizinprodukt unter ihrem eigenen Namen/Markenzeichen zur Verfügung stellen, den Verwendungszweck eines CE-gekennzeichneten Produktes ändern oder das Produkt modifizieren.

Weitere Beispiele in der EU/EFTA sind:

  • EU/EFTA-Händler oder Importeure von Medizinprodukten, die unter bestimmten Bedingungen Übersetzungen von Gebrauchsanweisungen oder Umverpackungen vornehmen, sollten sich durch eine benannte Stelle zertifizieren lassen. Diese muss bescheinigen, dass das QMS den Anforderungen von Artikel 16(3) MDR entspricht. Obwohl ISO 13485 die folgerichtige Norm zu sein scheint, gibt es noch keine offizielle Position zu diesem Punkt.
  • Unternehmen oder Einzelpersonen, die Produkte mit einer CE-Kennzeichnung mit anderen Medizinprodukten oder sonstigen Produkten in Systemen oder Behandlungseinheiten kombinieren. Diese müssen laut EU MDR Artikel 22(1) sicherstellen, dass ihre Tätigkeiten geeigneten Methoden der internen Überwachung, Verifizierung und Validierung unterliegen. Auch diesbezüglich gibt es keine ausdrückliche Verpflichtung für ein ISO-13485-Zertifikat. Dagegen unterliegen Unternehmen oder Einzelpersonen, die Systeme für Medizinprodukte oder Behandlungseinheiten sterilisieren, einer Zertifizierungspflicht hinsichtlich des Sterilisationsverfahrens.

    Die Zertifizierung nach ISO 13485 ist in einigen Ländern Pflicht, entweder als Voraussetzung für die Zulassung von Medizinprodukten oder für Unternehmen in der Lieferkette für Medizinprodukte.

In welchen Ländern ist ein ISO-13485-Zertifikat erforderlich?

Länder, die ihre Regulierungssysteme für Medizinprodukte auf der Grundlage der Empfehlungen des International Medical Device Regulatory Forum (IMDRF) entwickeln, verlassen sich beim Nachweis der Konformität des QMS auf das ISO 13485 Zertifikat. Einige haben die Zertifizierung nach ISO 13485 als Mittel zum Nachweis der Konformität sogar zwingend vorgeschrieben. Zum Beispiel:

EU & EFTA (CE-Kennzeichnung):

Für die CE-Kennzeichnung von Medizinprodukten muss ein Konformitätsbewertungsverfahren durchlaufen werden. Ausser bei Klasse-I-Produkten ist dafür ein zertifiziertes QMS verpflichtend.  ISO 13485 ist die harmonisierte Norm für Qualitätsmanagementsysteme für Medizinprodukte unter den Medizinprodukterichtlinien AIMDD, MDD und IVDD. Die Einhaltung der EN ISO 13485:2016 erfüllt die Anforderungen der Richtlinien für die CE-Kennzeichnung, da die Konformität mit den QMS-Anforderungen durch ein solches Zertifikat anerkannt wird. Gemäss den europäischen Regeln zur Normung sind die folgenden Länder verpflichtet, die europäische Version der Norm EN ISO 13485:2016 umzusetzen:

Österreich

Finnland

Lettland

Rumänien

Belgien

Frankreich

Litauen

Slowakei

Bulgarien

Deutschland

Luxemburg

Slowenien

Kroatien

Griechenland

Malta

Spanien

Zypern

Ungarn

Niederlande

Schweden

Tschechische

Republik

Island

Norwegen

Schweiz

Dänemark

Irland

Polen

Türkei

Estland

Italien

Portugal

Grossbritannien

Zurzeit gibt es noch keine harmonisierte Normen für den Nachweis der Konformität mit der MDR und der IVDR. Die Einhaltung der EN ISO 13485:2016 gilt deshalb nicht als Vermutung der Konformität mit den QMS-Anforderungen der Regulierungen. Obwohl ISO 13485:2016 nicht alle QMS-Anforderungen der MDR/IVDR für Medizinprodukte abdeckt, ist es nur eine Frage der Zeit, bis eine Harmonisierung erreicht ist, und es wird daher empfohlen, EN ISO 13485:2016 als Norm für ein QMS für Medizinprodukte in der EU/EFTA beizubehalten.

Kanada:

Die kanadischen Medical Device Regulations (SOR 98-282) verlangen eine QMS-Zertifizierung gemäss der kanadischen Version CAN/CSA-ISO 13485:2016, Medical devices – Quality management systems – Requirements for regulatory purposes. Zudem sind seit Januar 2019 alle Hersteller von Medizinprodukten der Klassen II, III und IV, die in Kanada verkaufen, verpflichtet, auf das Medical Device Single Audit Program (MDSAP) umzustellen (für weitere Infos zu MDSAP s. unten).

Japan:

Die japanische Ministerial Ordinance zu Normen für die Fertigungskontrolle und Qualitätskontrolle von Medizinprodukten und In-vitro-Diagnostika (MHLW MO 169) passte die Anforderungen an das QMS des Herstellers an ISO 13485 an, mit einigen länderspezifischen Varianten.

Malaysia:

In Malaysia verlangen die Medical Device Regulations 2012 ein ISO 13485 konformes QMS für Hersteller von Medizinprodukten.

Saudiarabien:

Die Saudi Food & Drug Authority (SFDA) veröffentlichte im April 2019 den Leitfaden MDS-35, der Hersteller von Medizinprodukten bei der Implementierung von ISO 13485:2016 in ihr QMS unterstützen soll. Im Januar 2020 nahm die SFDA das Dokument AHWP/WG7/F001:2016 der Asian Harmonization Working Party zur ISO 13485:2016 in den neuen Leitfaden MDS-45 zu den Anforderungen an ein QMS für Händler, Importeure und lokale Bevollmächtigte von Medizinprodukten auf.

Singapur:

Auch Singapur verlangt ein ISO 13485 konformes QMS für Hersteller von Medizinprodukten. Diese Anforderung findet sich in den Health Products (Medical Device) Regulations 2010.

USA:

Obwohl noch nicht umgesetzt, hat die US Food & Drug Administration (FDA) informiert, dass sie daran arbeitet die US Quality System Regulations (21CFR820) mit ISO 13485 zu harmonisieren und ISO 13485 verbindlich zu machen.

Andere Regulierungssysteme haben ISO 13485 indirekt als QMS-Modell für die Erfüllung ihrer regulatorischen Anforderungen an die Herstellung von Medizinprodukten übernommen, so zum Beispiel:

Australien:

Australien hat ISO 13485 formell als Norm für Hersteller medizinischer Geräte anerkannt. Die Einhaltung der Norm ist aber noch nicht verpflichtend. Ein QMS, das mit ISO 13485 übereinstimmt, wird so behandelt, als erfülle es die relevanten Teile der Konformitätsbewertungsverfahren für ein QMS in der Therapeutic Goods (Medical Devices) Regulation 2002.

ISO 13485 und MDSAP – was muss ich wissen?

Das Medical Device Single Audit Program (MDSAP) sieht vor, dass ein einziges Audit des QMS eines Medizinprodukteherstellers von Behörden verschiedener Länder akzeptiert wird. Damit es akzeptiert wird, muss die Inspektion von einer akkreditierten Auditorganisation (AO) durchgeführt werden.

Das Programm ist nur für Hersteller von Medizinprodukten bestimmt und reduziert die Anzahl der behördlichen Audits und Inspektionen, da der MDSAP-Auditbericht wie folgt anerkannt wird:

Australien: Die Therapeutics Goods Administration (TGA) verwendet MDSAP-Berichte als Nachweis bei der Bewertung der Einhaltung des australischen Konformitätsbewertungsverfahrens, mit Ausnahme von Medizinprodukten, die Arzneimittel oder Materialien menschlichen/tierischen Ursprungs enthalten.

Brasilien: ANVISA verwendet MDSAP-Berichte/Zertifikate als Input für ihre Bewertung bei Marktzulassungen.

Kanada: Seit Januar 2019 akzeptiert Health Canada nur noch MDSAP-Zertifikate für Hersteller von Medizinprodukten der Klassen II, III und IV. Dieses Datum wurde gewählt, um dem Übergang von ISO 13485:2003 zu ISO 13485:2016 Rechnung zu tragen.

Japan: Japans Pharmaceuticals and Medical Devices Agency (PMDA) verwendet MDSAP-Auditberichte, um ausländische Hersteller von Inspektionen auszunehmen, mit Ausnahme von Medizinprodukten, die Materialien menschlichen/tierischen Ursprungs enthalten.

USA: Die FDA akzeptiert MDSAP-Auditberichte als Ersatz für FDA-Routineinspektionen bei Herstellern (d.h. nicht für Erstinspektionen oder Inspektionen, die sich aus einem Vorfall ergeben).

Weitere Behörden (z.B. Argentinien, Südkorea) sind dem Programm als Partner beigetreten, d.h. sie sind zwar keine Vollmitglieder, können aber die MDSAP-Berichte/Zertifikate in ihren nationalen Regulierungsprozessen verwenden. Die Europäische Union, die sich bisher auf die Beobachterrolle im MDSAP beschränkt, hat ihr Interesse an einer Teilnahme am Programm für QMS-Überwachungsaudits bekundet.

Die Kriterien für ein MDSAP-Audit umfassen die Anforderungen der ISO 13485:2016 sowie zusätzliche länderspezifische Anforderungen der teilnehmenden Regulierungsbehörden.

Welche Anforderungen beinhaltet ISO 13485?

QMS-Standards basieren auf einem sogenannten Plan-Do-Check-Act-Zyklus, d.h. der iterativen Abfolge der Planung der QMS-Tätigkeiten, ihrer Umsetzung, der Überprüfung ihrer Wirksamkeit und der Ergreifung von Korrekturmassnahmen bei Bedarf. Dadurch wird eine kontinuierliche Verbesserung innerhalb der Prozesse gewährleistet.

ISO 13485:2016 verfolgt einen risikobasierten Ansatz zur Steuerung von Prozessen und zur Bestimmung des Umfangs bestimmter QMS-Tätigkeiten im Verhältnis zu den damit verbundenen Risiken. Das Risikomanagement ist eine grundlegende Anforderung für Medizinprodukte und wird in ISO 13485:2016 verstärkt. Unternehmen können sich dabei auch auf die Methoden und Prozesse stützen, die in der verwandten Norm ISO 14971 zum Risikomanagement für Medizinprodukte beschrieben sind. ISO 14971 enthält die Anforderungen zur Implementierung von Risikomanagementsystemen während des gesamten Lebenszyklus von Medizinprodukten.

ISO 13485:2016 besteht aus acht Kapiteln, wobei die ersten drei Kapitel allgemein gehalten sind (Anwendungsbereich, normative Verweise und Begriffe) und die Kapitel 4 bis 8 die eigentlichen QMS-Anforderungen enthalten:

Kapitel 4 – Qualitätsmanagementsystem:

Kapitel 4 beinhaltet die allgemeinen Erwartungen und Anforderungen an das QMS. Dazu gehören die Anforderungen an das Qualitätsmanagement-Handbuch, die Medizinproduktakte und die Kontrolle und Lenkung von Dokumenten und Aufzeichnungen.

Kapitel 5 – Verantwortung der Leitung:

Die Verpflichtung bezüglich der Entwicklung und Implementierung sowie der Aufrechterhaltung der Wirksamkeit des QMS liegt bei der obersten Führungsebene. Sie muss sicherstellen, dass das QMS auf regulatorische Anforderungen sowie Kundenanforderungen ausgerichtet ist. Dieses Kapitel erörtert zudem die Qualitätspolitik, Planung der Qualitätsziele und des QMS, die regelmässigen Managementbewertungen sowie die Verteilung der Verantwortung und Befugnisse (inkl. der Rolle des Beauftragten der Leitung) und die interne Kommunikation.

Kapitel 6 – Management von Ressourcen:

Das Management von Ressourcen umfasst die Bereitstellung und Kontrolle angemessener Ressourcen für die geplanten Tätigkeiten, einschließlich Personal, Infrastruktur und Arbeitsumgebung.

Kapitel 7 – Produktrealisierung:

Die Produktrealisierung betrifft alle Aspekte der Lieferkette eines Medizinprodukts oder einer damit zusammenhängenden Dienstleistung. Alle Unterkapitel, die nicht zutreffende Tätigkeiten beschreiben, können aus dem QMS ausgeschlossen werden. Dieser umfangreiche Abschnitt umfasst Anforderungen an die Planung der Produktrealisierung, die Produktanforderungen, Design und Entwicklung, die Beschaffung, die Produktion, die Dienstleistungserbringung und die Lenkung von Überwachungs- und Messmitteln.

Kapitel 8 – Messung, Analyse und Verbesserung:

Überwachungs-, Mess-, Analyse- und Verbesserungsprozesse sind erforderlich, um die Wirksamkeit des QMS aufrechtzuerhalten. Dieses Kapitel umfasst Rückmeldung in und nach der Produktion, die Bearbeitung von Beschwerden (einschl. einer Meldepflicht an die Aufsichtsbehörden), interne Audits, die Überwachung und Messung von Produkten und Prozessen, die Kontrolle fehlerhafter Produkte, die Analyse von Daten, die mit geeigneten Methoden gesammelt wurden, und die Verbesserung des QMS durch Korrektur- und Vorbeugungsmassnahmen (CAPA).

In einem weiteren Blogbeitrag geben wir praktische Anleitungen zur Implementierung eines QMS nach ISO 13485 und erteilen Auskunft über die damit verbundenen Kosten.

Weitere Artikel