Procesdokumentation i en virksomhed inden for medicinsk udstyr
Hvordan arbejder man praktisk med ledelsessystemer og procesdokumentation, når man skal overholde både ISO 27001 og ISO 13485? Læs hvordan Auditdata arbejder med deres ledelsessystem med hensyn til versionskontrol og kontrolprocesser i den daglige drift, mens du forsøger at holde det enkelt.
I sidste uge interviewede jeg Steen Schledermann, QA, Regulatory & IT Director hos den danske medicovirksomhed, Auditdata A/S. Vi talte om den måde, de arbejder med deres ledelsessystem og procesdokumentation i praksis, idet de er ISO 27001 og ISO 13485 certificeret udvikler af medicinsk udstyr.
Kort sagt er Auditdata en voksende international virksomhed med ca. 60+ ansatte. Auditdata A/S leverer software og diagnostisk udstyr til audiologiske klinikker og hospitaler i både den offentlige og private sektor. Virksomheden har hovedkontor i Danmark, udviklingscenter i Kiev, salg og support i England og outsourcet produktion i Sverige.
Arbejde med versionsstyrede og kontrollerende processer
Steen Schledermann understregede, at Auditdata opererer inden for et meget reguleret felt:
“Vi har mange processer, der skal versionsstyres og kontrolleres. De skal være velkendte for de mennesker, der arbejder med dem, og de skal være opdaterede. Derfor har vi et stort behov for at holde styr på den tilhørende procesdokumentation, processer og formidling.”
Steen Schledermann oplyser også, at de bruger to dokumenthåndteringssystemer i forhold til de to revisioner – ISMS (Information Security Management System) og Aras PLM (Quality Management System). Begge systemer er ledelsessystemer, hvor QA-systemet er målrettet produktudvikling af medicinsk udstyr.
“Der er nogle ret strenge krav til måden, det skal gøres på, så processerne er grundigt beskrevet”
Ledelsessystemer i praksis
Aras PLM-systemet er et professionelt kvalitetsstyringssystem til procesdokumenthåndtering. Systemet bruges til at skabe relationer mellem dokumenter for elektronisk at definere dem og delegere dem til ansvarlige parter. Dokumenter kan også underskrives og godkendes elektronisk.
Steen Schledermann fortæller, at udfordringen for QA-systemer til medicinsk udstyr er, at alt skal være veldefineret i en teknisk fil – en specifik struktur for den type dokumentation, der kræves for hver udgivelse og version af et givent system. Desuden skal hver udgivelse af en version kunne spores i 10 år.
“De databasekrav, der er forbundet med dette, er ret betydelige. Derfor bruger vi et relationelt databasestyringssystem til at styre denne del.”
Tidligere har virksomheden haft dokumenter, procesdokumentation og beskrivelser tilgængelige via SharePoint som intranetløsning. Sidste år besluttede de at bruge Neupart-løsningen SecureAware – et ledelsessystem for informationssikkerhed. Steen Schledermann fortæller, at ISO 27001 er en ledelsesstandard, der lægger stor vægt på risikovurdering af virksomhedens aktiver – en relativt kompleks opgave. SecureAware gør det lettere at skabe forbindelser mellem aktiver og sporbarhed udelukkende baseret på risiko mellem de forskellige komponenter i virksomheden. Han uddyber:
“Det er det, der forventes i standarden – at have et dokumenteret overblik over virksomhedens vigtigste informationsaktiver og kunne forklare virksomhedens risikoeksponering ved at foretage løbende risikovurderinger. På baggrund af risikovurderingen udarbejder du en handlingsplan for at reducere de identificerede risici. At holde styr på disse vurderinger kan være en relativt kompleks projektledelsesopgave, og de ændrer sig altid. Dette behov understøttes især af SecureAware-systemet”.
Start gratis prøve
Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.
Han oplyser, at ISMS-systemet understøtter standardkrav til risikovurderinger, hvor et universelt katalog over sikkerhedstrusler gør det nemt at arbejde med risikovurderinger sammenlignet med brud på fortrolighed, integritet og tilgængelighed af virksomhedens informationsaktiver.
ISMS-systemet tegner sig for alle sikkerhedspolitikker i virksomheden – alt fra elektronisk til fysisk og personlig sikkerhed. Steen Schledermann udtaler:
“Der er mere end 110 krav, der skal opfyldes på sikkerhedsområdet i henhold til standarden. Standarden er ret omfattende, og derfor er den omfattende og kompleks. Der er meget information at formidle.”
Systemet har en sektion for politikdokumenter og overholdelse samt et Business Continuity Management Module, der gør det relativt enkelt at beskrive nødprocedurer, hvis noget går galt, hvilket også er et krav i henhold til standarden.
Ejerskab
Ledelsessystemet som helhed ejes af ledelsen, og ansvaret for løbende drift og vedligehold delegeres til QA-direktøren og informationssikkerhedschefen.
Derudover afholder Auditdata kvartalsvise Management Review møder, hvor en dagsorden gennemgås med ledelsen i forhold til QA-systemer og ISMS-systemet. På den måde kan ledelsen holdes orienteret om udviklingen af systemerne og virksomheden i forhold til kvalitetssikring og informationssikkerhed.
Aktiv deltagelse i systemet
Jeg spurgte Steen Schledermann om rollefordelingen i deres ledelsessystem. Han svarede, at enhver med en rolle i systemet kunne bidrage, hvor den enkelte har ejerskab. Han oplyser, at deltagerne i systemet arbejder aktivt med procesdokumenterne:
“Især QA-systemet er et, hvor dokumenter cirkulerer. Der er en forfatter, en korrekturlæser og en person, der giver godkendelse. På den måde er der aktiv deltagelse, og der er et procesflow, som dokumenterne følger”.
Han siger endvidere, at deres ISMS-system giver mulighed for at tildele ansvarlige parter individuelle sektioner af et dokument. Desuden kan systemet spores i henhold til versionen med hensyn til kommentarer og ændringer:
“Så ja, de er samarbejdsværktøjer, når vi taler ledelsessystemer.”
Forbedringer og udvikling i praksis
Jeg spurgte Steen Schledermann, hvordan Auditdata arbejder med forbedringer og ændringer i praksis. Hans svar på dette var, at de har en Change Management Process. Dette defineres som forskellige skabeloner, som de arbejder med i forhold til den type ændringer, der skal foretages.
I øjeblikket bruger de Word-skabeloner. Disse lokaliseres på SharePoint, som er grundlaget for ændringsanmodninger, der ikke er relateret til produktudvikling. Tilsvarende har Auditdatas QA-system en indbygget ændringsanmodning i forhold til produktudvikling, så spillerne kan bidrage og godkende dem.
Start gratis prøve
Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.
Steen Schledermann forklarer, at de også bruger samarbejdsværktøjet Microsoft Team Foundation Server til hele deres softwareudviklingsproces. Da de udvikler og producerer medicinsk udstyr, er det et krav, at de dokumenterer hele udviklingsprocessen, verifikations- og sporbarhedsrapporter. Han uddyber:
“Derfor har vi et meget veletableret og automatiseret informationsstyringssystem til vores softwareudvikling – vi har al udviklingsdokumentationen i dette samarbejdssystem. Det er her, du udfører typiske ændringer af softwaren eller produkterne. De løber gennem specifikke dokumentationsstrømme, der er en central del af det samlede udviklingssystem.”
Virksomhedens politik for adgangskontrol giver alle udviklere, produktchefer, spillere og andre, der er involveret i projektudviklingsprocessen, adgang til systemet. Systemet fungerer også som et internt samarbejdsværktøj i virksomheden, da det krydser fysiske lokationer, forklarer Steen Schledermann:
“Det er i høj grad et samarbejdssystem, og det drager vi virkelig fordel af, netop fordi vi er så decentraliserede.”
Fremtidens ledelsessystem
Jeg spurgte Steen Schledermann, hvordan han ser fremtiden for ledelsessystemer. Han foreslår, at en af fremtidens nøglemekanismer er at have et risikostyringssystem til rådighed for virksomheden. Især for virksomheder som Auditdata, der er ISO 27001-certificerede, hvilket kræver meget procesdokumentation.
Han fortæller, hvordan de selv har arbejdet med ideen om at skabe et QIMS-system – (Quality &; Information Security Management System). På den måde kunne de kombinere fælles aspekter i deres to ledelsessystemer og optimere arbejdet ved at håndtere flere certificeringer.
Steen Schledermann understregede også, at han mener, at en vigtig faktor for ledelsessystemer er at holde dem enkle:
“Det er ret overvældende, mængden af information og procedurer, der skal dokumenteres, når man dokumenterer disse ledelsessystemer. Du skal virkelig gøre en indsats for at gøre det så enkelt og nemt som muligt. Ellers mister folk interessen”
Han mener, at brugervenlighed bør være en prioritet i alle ledelsessystemer – både hvad angår tilgængelighed og læsning af dokumenter og processer. Nogle af de ting, han allerede selv bruger til at forenkle dokumenter og guide folk ind i konteksten, er visuelle illustrationer og tegninger (læs mere om visuelle arbejdsinstruktioner her):
“Visuelle illustrationer eller billeder er normalt meget lettere at huske end to sider tekst. Det er noget, der gør det meget nemmere at fordøje, når man sidder der med en masse dokumenter.”
Et andet aspekt, han forudser for fremtiden, er at gøre ledelsessystemer tilgængelige via mobile enheder uden at skulle logge ind på en computer og ind i et tungt system. Steen Schledermann afslutter:
“Det er vigtigt at følge tendensen i den måde, medarbejderne foretrækker at tilgå viden på, ligesom man er vant til med sin personlige brug af apps og teknologi. Det er noget af det, jeg synes er vigtigt”
Sådan lyder det fra Steen Schledermann fra Auditdata A/S. Snart præsenterer vi en anden sag og et andet perspektiv.
Start gratis prøve
Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.
Hyppigt stillede spørgsmål
For effektivt at bruge al procesdokumentation til at overholde ISO 13485 skal organisationer følge et par specifikke trin. Først skal de identificere alle processerne i deres virksomhed og forstå deres samspil. Efterfølgende bør de dokumentere og kommunikere alle procedurer relateret til kvalitetsstyringssystemet på tværs af organisationen. Derefter sikrer implementeringen af hver enkelt procedure på tværs af organisationen ensartethed. I sidste ende skal organisationer løbende overvåge og gennemføre regelmæssige revisioner af disse procedurer for at sikre overholdelse og identificere eventuelle afvigelser.
ISO 13485-standarderne opfordrer virksomheder til løbende at gennemgå og opdatere deres procesdokumentation. Virksomheder skal revidere og opdatere deres dokumentation, hver gang de konstaterer en afvigelse, eller når produktet, processen eller systemet ændres. Selv hvis der ikke sker mærkbare ændringer, er det ideelt for virksomheder at gennemgå deres dokumentation mindst en gang om året. En sådan konsekvent gennemgang hjælper med at identificere og løse potentielle problemer tidligt, hvilket mindsker enhver negativ indvirkning på compliance-status.
Ud over TraceAnalyzer-softwaren hjælper andre teknologier med at opnå ISO 13485-overensstemmelse. Disse omfatter Quality Management System (QMS) software, som strømliner kvalitetsprocesser i henhold til ISO-standarder, og digitale dokumentstyringssystemer til vedligeholdelse af procesdokumentation.