Risikomanagement in der ISO 13485
Begriffe wie Risiko / Risiken, risikobasierter Ansatz / risikobasiertes Denken oder Risikomanagement tauchen in dieser Norm im normativen Teil sowie in den informativen Anhängen an vielen Stellen auf. Was aber ist wirklich gefordert?
Strukturieren wir das Ganze doch anhand der Begriffe und starten mit „Risiko“, „Risiken“, „risikobasiert“.
Aus der Klarstellung der Konzepte (Kapitel 0.2 der ISO 13485) geht hervor, dass die Betrachtung eines Risikos auf den Anwendungsbereich dieser Norm beschränkt ist. Das heißt Risikobetrachtungen sind nur für die Sicherheits- oder Leistungsanforderungen des Medizinprodukts oder die Erfüllung anwendbarer regulatorischer Anforderungen anzuwenden. Das bedeutet, dass nicht für jeden Prozess eine Risikobetrachtung gemacht werden muss. So steht z.B. das Reinigungsprozedere des Personal-WCs in keinem direkten Zusammenhang mit der Sicherheit des Medizinproduktes, heißt überspitzt gesagt, dass man nicht evaluieren muss, welcher WC-Reiniger am besten geeignet ist.
Die Organisation (d.h. der Medizinproduktehersteller) muss in der Lage sein, Risiken zu lenken (0.2). Dafür muss sie einen risikobasierten Ansatz zur Lenkung der für das QM-System notwendigen geeigneten Prozesse anwenden (4.1.2.). Das heißt, die Firma muss sich über Folgendes Gedanken machen:
- welche Prozesse wirklich kritisch sind,
- wie diese Prozesse gelenkt werden und
- an welchen Stellen für das Medizinprodukt relevante Sicherheits- oder Anwendungsrisiken auftreten können.
An verschiedenen Stellen in der Norm wird davon gesprochen, dass das Ausmaß bestimmter Tätigkeiten in einem angemessenen Verhältnis zum entsprechenden Risiko stehen soll. Dies ist der Fall:
- bei den Maßnahmen zur Lenkung eines die Produkt-Konformität beeinflussenden ausgegliederten Prozesses (4.1.5),
- beim Ansatz und den erforderlichen Tätigkeiten für die (Re-) Validierung von Computersoftware im Hinblick auf die Anwendung der Software (4.1.6, 7.5.6, 7.6),
- bei der Methodik zur Überprüfung der Wirksamkeit von Schulungen im Hinblick auf die Arbeit des Mitarbeiters (6.2.),
- bei der Adressierung von Reklamationen an Lieferanten im Hinblick auf das beschaffte Produkt (7.4.1)
- sowie bei den Verifizierungstätigkeiten im Rahmen der Wareneingangskontrolle ebenfalls im Hinblick auf das beschaffte Produkt (7.4.3).
Im Zusammenhang mit dem Beschaffungsprozess wird zudem davon gesprochen, dass die Kriterien für die Lieferantenauswahl und -beurteilung im Zusammenhang stehen sollen mit dem Risiko, das mit dem Medizinprodukt verbunden ist (7.4.1). Das heißt, dass die Durchführung der in diesem Abschnitt genannten Prozesse risikobasiert erfolgen soll. Am Beispiel eines Blutdruckmessgerätes ist einer in der Elektrik zu verbauenden Diode sicherlich ein größeres Risiko beizumessen als der Manschette und entsprechend eine sorgfältigere Lieferantenauswahl und Wareneingangskontrolle durchzuführen.
Und wo wird von einem „Risikomanagement“ gesprochen?
Bezogen auf die Herstellung des Produktes beginnend ab der Entwicklung (= Produktrealisierung) ist mind. 1 Risikomanagement-Prozess anzuwenden und die entsprechenden Unterlagen sind aufzubewahren (7.1.). Die Ergebnisse des Risikomanagements sind zudem zu Beginn der Entwicklung während der Ermittlung der Anforderungen des zukünftigen Produktes (= Entwicklungseingaben) zu berücksichtigen (7.3.3). Umgekehrt gilt, dass bei Änderungen der Entwicklung die Auswirkungen auch im Hinblick auf die Risikomanagementergebnisse betrachtet werden sollen (7.3.9). Im Falle von Beanstandungen (= Rückmeldungen) sollen die Informationen als Eingaben für Risikomanagementprozesse genutzt werden, um die Produktanforderungen zu überwachen und aufrechtzuerhalten (8.2.1).
Wie so ein Risikomanagementprozess auszusehen hat oder nach welchen Vorgaben er zu erfolgen hat, wird dabei von der ISO 13485 nicht vorgegeben. Die Begriffsdefinition in Kapitel 3 gibt insofern eine Hilfestellung, als dass Risikomanagement als systematische Technik definiert wird, die die Analyse, Bewertung, Beherrschung und Überwachung von Risiken umfasst (3.18).
Hilfreich ist zudem der Hinweis auf die ISO 14971 in Kapitel 7.1 („ANMERKUNG Für weitere Informationen siehe ISO 14971“). Auch wenn die ISO 14971 an weiteren Stellen (Literaturhinweise, Quelle bei den Begriffsdefinitionen und in den informativen Anhängen ZA, ZB und ZC) in der Norm auftaucht, so ist ihre Anwendung nirgendwo verbindlich gefordert.
Es bleibt damit jedem Medizinproduktehersteller selbst überlassen, wie er seinen Risikomanagementprozess aufsetzen und welche Techniken er dafür anwenden möchte. Die in der ISO 14971 genannten Methoden stellen einen Goldstandard dar, an dem sich orientiert werden kann, aber nicht muss.