Risikomanagement
Coloures-Pic / stock.adobe.com
09.12.2019 Fachinformation

Risikomanagement für Medizinprodukte: ISO 14971

Die Risiken eines Medizinprodukts müssen im Vergleich zu dessen Nutzen so gering wie möglich sein.

Kontakt
Dipl.-Ing. Hans Wenner

Der Einsatz von Medizinprodukten ist immer auch mit Risiken für Patienten und Anwender verbunden. Diese Risiken müssen im Vergleich zum Nutzen eines Medizinproduktes so gering wie möglich sein. Hersteller von Medizinprodukten müssen daher einen Risikomanagementprozess durchführen. Dieser Prozess wird für Medizinprodukte in der Norm ISO 14971 beschrieben.

Welche rechtlichen Grundlagen gibt es?

Wollen Hersteller ein Medizinprodukt in Europa vermarkten, müssen sie die Medizinprodukteverordnung 2017/745 (MDR) oder die In-Vitro-Diagnostika-Verordnung 2017/746 (IVDR) befolgen. Beide Verordnungen sind am 25. Mai 2017 in Kraft getreten. Gegenwärtig gelten auch noch die „alten“ EU-Richtlinien. Der Übergangszeitraum endet aber am 25. Mai 2021, so dass es Zeit ist, sich mit den neuen Regeln vertraut zu machen.

Die EU-Verordnungen verlangen von Medizinprodukteherstellern ausdrücklich, ein Risikomanagementsystem einzuführen, umzusetzen und fortzuschreiben. Dabei müssen Hersteller das Risikomanagement während des gesamten Lebenszyklus eines Produkts aktuell halten.

Die Norm ISO 14971 ist die zentrale Norm für das Risikomanagement von Medizinprodukten. Sie erläutert, wie der Prozess im Detail aufgebaut und aufrechterhalten werden muss. Hersteller sind also gut beraten, die ISO 14971 zu verstehen und anzuwenden. Befolgen Medizinproduktehersteller einen ISO 14971 konformen Risikomanagementprozess, wird vermutet, dass die entsprechenden Anforderungen der EU-Verordnungen auch erfüllt werden.

Warum ist ein Nutzen/Risiko-Profil wichtig?

Werden Medizinprodukte verwendet, treten erwünschte und unerwünschte Effekte auf. Die erwünschten Effekte sind Teil des bestimmungsgemäßen Gebrauchs von Medizingeräten. Die unerwünschten Effekte sind „Nebenwirkungen“.

Außerdem kann es zu unerwarteten Ereignissen kommen, die dann unerwünschte Effekte nach sich ziehen können. Bei der Risikobewertung muss der Hersteller diese Auswirkungen systematisch analysieren und Schweregrade zuordnen.

Neben dem Schweregrad ist die Auftretenswahrscheinlichkeit entscheidend, d.h. die Wahrscheinlichkeit des Auftretens eines unerwünschten Effekts in Verbindung mit der Wahrscheinlichkeit, dass ein unerwünschter Effekt zu Schäden führt.

Das Risiko, das von einem Medizinprodukt ausgeht, ist die Kombination aus Schweregraden und Wahrscheinlichkeiten von unerwünschten Effekten.

Der Hersteller muss die Risiken in Bezug zum erwarteten Nutzen setzen. Ein Produkt ist nur dann ausreichend sicher, wenn der Nutzen die Risiken überwiegt. Der Hersteller definiert auf diese Weise seine Risikoakzeptanzkriterien.

An dieser Stelle wird auch der Zusammenhang des Risikomanagements mit der klinischen Bewertung deutlich. Auch dort steht das (klinische) Nutzen/Risiko-Profil im Mittelpunkt der Betrachtung. Die MDR bzw. die IVDR fordern daher ausdrücklich auf, beide Prozesse geeignet miteinander zu verknüpfen.

Die Definition eines ausreichenden Nutzen/Risiko-Profils durch den Hersteller ist für die spätere Vermarktung des Produkts sehr wichtig. Für ein Unternehmen geht es letztlich um Risiken in Bezug auf Reputation, Haftung und finanziellem Schaden.

Daher sind Hersteller gut beraten, diese Entscheidung nicht einzelnen Personen zu überlassen. Es ist wichtig, an dieser Stelle unterschiedliche fachliche Standpunkte und das Top-Management einzubeziehen.

Hersteller sollten auch beachten, dass sich Nutzen/Risiko-Profile ändern können. Risiken, die in der Vergangenheit akzeptabel waren, sind es heute nicht mehr.

Die folgenden Punkte können bei der Definition eines ausreichenden Nutzen/Risiko-Profils helfen:

  • Berücksichtigung produktrelevanter Sicherheitsnormen
  • Vergleich mit bestehenden Produkten
  • Analyse von Daten aus klinischen Bewertungen
  • Berücksichtigung des Standes der Technik

Was beschreibt die Norm ISO 14971?

Die ISO 14971 beschreibt einen systematischen Ansatz eines Risikomanagements für Medizinprodukte. Sie wird allgemein als grundlegende Norm für die Entwicklung von Medizinprodukten akzeptiert. Viele andere Normen, die für Medizinprodukte relevant sind, beziehen sich auf die ISO 14971 und fordern die Anwendung des dort beschriebenen Risikomanagementprozesses.

Die ISO 14971 definiert auch den Begriff “Sicherheit”. Dieser ist die “Freiheit von unannehmbaren Risiken”. Wenn also ein ausreichendes Nutzen/Risiko-Profil vorliegt, kann ein Produkt als sicher betrachtet werden.

Die ISO 14971 verlangt einen Risikomanagementprozess für den gesamten Produktlebenszyklus. Dies umfasst Planung und Durchführung aller relevanten Aufgaben, Aktivitäten, Verfahren und Verantwortlichkeiten sowohl während der Entwicklung eines Produkts als auch während dessen Vermarktung.

Risikomanagement ist kein statischer Prozess. Neue Erkenntnisse, Probleme oder eine sich ändernde Risikoakzeptanz können auch nach Jahren der Vermarktung eines Produkts Korrekturen erforderlich machen.

Die ISO 14971 verlangt 4 Elemente als Teil des Risikomanagementprozesses:

  • Risikoanalyse,
  • Risikobewertung,
  • Risikobeherrschung und
  • Informationen aus der Herstellung und der Herstellung nachgelagerter Phasen.

Darüber hinaus muss der Hersteller einen Risikomanagementplan und eine Risikomanagementakte erstellen. Teil des Risikomanagementplans sind die Risikoakzeptanzkriterien. Die ISO 14971 spezifiziert zudem ausdrücklich Anforderungen an die „oberste Leitung“ und die Qualifikation des Personals.

Wie analysiert und bewertet man Risiken?

Zunächst muss der Hersteller Gefährdungen identifizieren, und zwar solche, die in Zusammenhang mit der Zweckbestimmung des Produkts stehen. Gefährdungen gehen etwa von physikalischen, chemischen, biologischen und funktionellen Eigenschaften des Produkts aus. Gefährdungen können aber auch in der bloßen Existenz eines Geräts oder einer Funktion begründet sein.

Gefährdungen, die von medizinischer Software ausgehen, haben im Regelfall etwas mit ihren Funktionsmerkmalen zu tun. Es können z. B. Leistung, Verfügbarkeit oder die Datenintegrität betroffen sein. Außerdem spielen Fehlbedienungen, Fehleinschätzungen von Anzeigewerten oder unvorhergesehene „externe“ Ereignisse eine Rolle.

Nachfolgend schätzt der Hersteller die resultierenden Risiken ein. Dies kann qualitativ oder quantitativ erfolgen. Der Hersteller kann dazu beispielsweise folgende Informationsquellen heranziehen:

  • Normen
  • wissenschaftlich-technische Daten
  • Marktdaten von ähnlichen Medizinprodukten
  • Berichte über Vorkommnisse bei ähnlichen Medizinprodukten
  • Gebrauchstauglichkeitsuntersuchungen
  • Untersuchungsdaten, insbesondere klinische Daten
  • Gutachten
  • Qualitätsdaten aus externen Quellen

Der Hersteller gleicht die Ergebnisse mit den Risikoakzeptanzkriterien ab und entscheidet, ob er Maßnahmen zur Risikominderung durchführen muss.

Wie funktioniert Risikobeherrschung?

Um Risiken zu mindern, muss der Hersteller Maßnahmen zur Risikobeherrschung festlegen. Diese sind:

  • integrierte Sicherheit durch Design,
  • Schutzmaßnahmen im Medizinprodukt selbst oder im Herstellungsprozess und/oder
  • Informationen zur Sicherheit.

Der Hersteller muss die Maßnahmen in der angegebenen Reihenfolge prüfen und ggf. umsetzen. Designänderungen können insbesondere zu Beginn einer Produktentwicklung noch relativ einfach umgesetzt werden. Dies ändert sich im späteren Verlauf erheblich.

Schutzmaßnahmen hingegen ändern in den meisten Fällen nicht das grundlegende Design eines Produkts und sind einfacher bzw. auch später noch realistisch umsetzbar.

Sicherheitsinformationen sind natürlich am einfachsten zu realisieren. Das beste Beispiel sind Angaben in der Gebrauchsanweisung. Allerdings ist der tatsächliche Nutzen solcher Änderungen in Normungsfachkreisen umstritten. Es gibt dazu eine entsprechende Diskussion in den Fachgremien.

Hersteller sollten auch beachten, dass Maßnahmen der Risikobeherrschung ihrerseits zu weiteren Risiken führen können. Wird etwa als Schutzmaßnahme ein Gitter verbaut, könnte dieses einen Anwender beim Herunterklappen verletzen.

Der Hersteller muss zudem nachweisen, dass er Maßnahmen zur Risikobeherrschung auch tatsächlich umgesetzt und deren Funktion verifiziert hat. Im Anschluss bewertet er das Restrisiko. Als Teil einer abschließenden Risiko-Nutzen-Analyse muss der Hersteller ein etwaiges Restrisiko fachlich plausibilisieren, wenn er sein Produkt trotzdem vermarkten will. Ist dies nicht möglich, kann ein Produkt mit einer dazugehörigen Zweckbestimmung nicht in Verkehr gebracht werden.

Was passiert in der Produktions- und Vermarkungsphase?

ISO 14971 verlangt, dass ein Hersteller systematisch Informationen zu seinem Medizinprodukt sowie zu ähnlichen Medizinprodukten sammelt und überprüft. Dieses muss er während des gesamten Produktlebenszyklus proaktiv tun.

Hier einige Beispiele für Informationsquellen:

  • DIMDI-Datenbank
  • Liste der Rückrufe durch die FDA
  • Europäische Datenbank für Medizinprodukte (EUDAMED)
  • Kundenbefragungen
  • Umfragen bei den Handelsvertretern
  • Feedback aus dem Kundentraining
  • Post-Market-Überwachung

Der Hersteller bewertet die Relevanz der Informationen für das Risikomanagement fortlaufend und ergreift ggf. Maßnahmen. Auch Änderungen der einschlägigen Normen können Konsequenzen für das Risikomanagement haben und müssen mitbetrachtet werden.

Fazit

Das Risikomanagement ist einer der grundlegendsten Schritte bei der Zulassung eines Medizinprodukts. Viele andere Prozesse beziehen sich darauf. Die Sicherheit eines Medizinprodukts wird über das Risikomanagement definiert. Grundlage dafür ist die Norm ISO 14971.

Zusammengefasst müssen Hersteller folgende Schritte umsetzen:

  1. Risikoakzeptanzkriterien definieren
  2. Gefährdungen eines Produkts ermitteln
  3. Risiken als Kombination aus Schweregrad und Wahrscheinlichkeit abschätzen
  4. Entscheiden, ob Risiken vertretbar erscheinen
  5. Maßnahmen der Risikobeherrschung prüfen und umsetzen
  6. Neue Risiken ermitteln und entscheiden, ob diese vertretbar erscheinen
  7. Restrisiko ermitteln und entscheiden, ob dieses vertretbar erscheint
  8. Risikomanagement durch Marktbeobachtung kontinuierlich fortsetzen
  9. Risikomanagement kontinuierlich dokumentieren (Risikomanagementbericht)

Und: Das Risikomanagement ist Chefsache! Für ein Unternehmen bedeuten Produktrisiken letztlich Risiken in Bezug auf Reputation, Haftung und finanziellem Schaden.

Anmeldung zum Newsletter

Hand eines Arztes mit modernem PC-Interface
everythingpossible / Fotolia
15.08.2023

Aktuelle Infos zu unseren Fachbeiträgen und Fachveranstaltungen zur Zulassung von Medizinprodukten und Software.

Jetzt registrieren!