What specific steps are needed to ensure that all process documentation is effectively used for ISO 13485 compliance?

To effectively use all process documentation for ISO 13485 compliance, organizations must follow a few specific steps. First, they must identify all the processes in their operation and understand their interactions. Subsequently, they should document and communicate all procedures related to the quality management system across the organization. After that, the implementation of each respective procedure across the organization ensures uniformity. Ultimately, organizations must continuously monitor and conduct regular audits of these procedures to ensure compliance and identify any deviations.

How often should a company review and update its process documentation to maintain ISO 13485 standards?

ISO 13485 standards advocate for companies to continuously review and update their process documentation. Companies must revise and update their documentation whenever they note a deviation or when the product, process, or system changes. Even in the absence of noticeable changes, it is ideal for companies to review their documentation at least once every year. Such consistent reviewing aids in identifying and resolving potential issues early, mitigating any negative impact on compliance status.

Besides the TraceAnalyzer software, are there other technologies or tools that can be beneficial in maintaining or achieving ISO 13485 compliance?

Besides TraceAnalyzer software, other technologies help achieve ISO 13485 compliance. These include Quality Management System (QMS) software, which streamlines quality processes as per ISO standards, and digital document control systems for maintaining process documentation.

Procesdokumentation i en virksomhed inden for medicinsk udstyr

By Søren Pommer
Last updated on 23/03/2024

Hvordan arbejder man praktisk med ledelsessystemer og procesdokumentation, når man skal overholde både ISO 27001 og ISO 13485? Læs hvordan Auditdata arbejder med deres ledelsessystem med hensyn til versionskontrol og kontrolprocesser i den daglige drift, mens du forsøger at holde det enkelt.

I sidste uge interviewede jeg Steen Schledermann, QA, Regulatory & IT Director hos den danske medicovirksomhed, Auditdata A/S. Vi talte om den måde, de arbejder med deres ledelsessystem og procesdokumentation i praksis, idet de er ISO 27001 og ISO 13485 certificeret udvikler af medicinsk udstyr.

Kort sagt er Auditdata en voksende international virksomhed med ca. 60+ ansatte. Auditdata A/S leverer software og diagnostisk udstyr til audiologiske klinikker og hospitaler i både den offentlige og private sektor. Virksomheden har hovedkontor i Danmark, udviklingscenter i Kiev, salg og support i England og outsourcet produktion i Sverige.

Arbejde med versionsstyrede og kontrollerende processer

Steen Schledermann understregede, at Auditdata opererer inden for et meget reguleret felt:

“Vi har mange processer, der skal versionsstyres og kontrolleres. De skal være velkendte for de mennesker, der arbejder med dem, og de skal være opdaterede. Derfor har vi et stort behov for at holde styr på den tilhørende procesdokumentation, processer og formidling.”

Steen Schledermann oplyser også, at de bruger to dokumenthåndteringssystemer i forhold til de to revisioner – ISMS (Information Security Management System) og Aras PLM (Quality Management System). Begge systemer er ledelsessystemer, hvor QA-systemet er målrettet produktudvikling af medicinsk udstyr.

“Der er nogle ret strenge krav til måden, det skal gøres på, så processerne er grundigt beskrevet”

Ledelsessystemer i praksis

Aras PLM-systemet er et professionelt kvalitetsstyringssystem til procesdokumenthåndtering. Systemet bruges til at skabe relationer mellem dokumenter for elektronisk at definere dem og delegere dem til ansvarlige parter. Dokumenter kan også underskrives og godkendes elektronisk.

Steen Schledermann fortæller, at udfordringen for QA-systemer til medicinsk udstyr er, at alt skal være veldefineret i en teknisk fil – en specifik struktur for den type dokumentation, der kræves for hver udgivelse og version af et givent system. Desuden skal hver udgivelse af en version kunne spores i 10 år.

“De databasekrav, der er forbundet med dette, er ret betydelige. Derfor bruger vi et relationelt databasestyringssystem til at styre denne del.”

Tidligere har virksomheden haft dokumenter, procesdokumentation og beskrivelser tilgængelige via SharePoint som intranetløsning. Sidste år besluttede de at bruge Neupart-løsningen SecureAware – et ledelsessystem for informationssikkerhed. Steen Schledermann fortæller, at ISO 27001 er en ledelsesstandard, der lægger stor vægt på risikovurdering af virksomhedens aktiver – en relativt kompleks opgave. SecureAware gør det lettere at skabe forbindelser mellem aktiver og sporbarhed udelukkende baseret på risiko mellem de forskellige komponenter i virksomheden. Han uddyber:

“Det er det, der forventes i standarden – at have et dokumenteret overblik over virksomhedens vigtigste informationsaktiver og kunne forklare virksomhedens risikoeksponering ved at foretage løbende risikovurderinger. På baggrund af risikovurderingen udarbejder du en handlingsplan for at reducere de identificerede risici. At holde styr på disse vurderinger kan være en relativt kompleks projektledelsesopgave, og de ændrer sig altid. Dette behov understøttes især af SecureAware-systemet”.

Han oplyser, at ISMS-systemet understøtter standardkrav til risikovurderinger, hvor et universelt katalog over sikkerhedstrusler gør det nemt at arbejde med risikovurderinger sammenlignet med brud på fortrolighed, integritet og tilgængelighed af virksomhedens informationsaktiver.

ISMS-systemet tegner sig for alle sikkerhedspolitikker i virksomheden – alt fra elektronisk til fysisk og personlig sikkerhed. Steen Schledermann udtaler:

“Der er mere end 110 krav, der skal opfyldes på sikkerhedsområdet i henhold til standarden. Standarden er ret omfattende, og derfor er den omfattende og kompleks. Der er meget information at formidle.”

Systemet har en sektion for politikdokumenter og overholdelse samt et Business Continuity Management Module, der gør det relativt enkelt at beskrive nødprocedurer, hvis noget går galt, hvilket også er et krav i henhold til standarden.

Ejerskab

Ledelsessystemet som helhed ejes af ledelsen, og ansvaret for løbende drift og vedligehold delegeres til QA-direktøren og informationssikkerhedschefen.

Derudover afholder Auditdata kvartalsvise Management Review møder, hvor en dagsorden gennemgås med ledelsen i forhold til QA-systemer og ISMS-systemet. På den måde kan ledelsen holdes orienteret om udviklingen af systemerne og virksomheden i forhold til kvalitetssikring og informationssikkerhed.

Aktiv deltagelse i systemet

Jeg spurgte Steen Schledermann om rollefordelingen i deres ledelsessystem. Han svarede, at enhver med en rolle i systemet kunne bidrage, hvor den enkelte har ejerskab. Han oplyser, at deltagerne i systemet arbejder aktivt med procesdokumenterne:

“Især QA-systemet er et, hvor dokumenter cirkulerer. Der er en forfatter, en korrekturlæser og en person, der giver godkendelse. På den måde er der aktiv deltagelse, og der er et procesflow, som dokumenterne følger”.

Han siger endvidere, at deres ISMS-system giver mulighed for at tildele ansvarlige parter individuelle sektioner af et dokument. Desuden kan systemet spores i henhold til versionen med hensyn til kommentarer og ændringer:

“Så ja, de er samarbejdsværktøjer, når vi taler ledelsessystemer.”

Forbedringer og udvikling i praksis

Jeg spurgte Steen Schledermann, hvordan Auditdata arbejder med forbedringer og ændringer i praksis. Hans svar på dette var, at de har en Change Management Process. Dette defineres som forskellige skabeloner, som de arbejder med i forhold til den type ændringer, der skal foretages.

I øjeblikket bruger de Word-skabeloner. Disse lokaliseres på SharePoint, som er grundlaget for ændringsanmodninger, der ikke er relateret til produktudvikling. Tilsvarende har Auditdatas QA-system en indbygget ændringsanmodning i forhold til produktudvikling, så spillerne kan bidrage og godkende dem.

Steen Schledermann forklarer, at de også bruger samarbejdsværktøjet Microsoft Team Foundation Server til hele deres softwareudviklingsproces. Da de udvikler og producerer medicinsk udstyr, er det et krav, at de dokumenterer hele udviklingsprocessen, verifikations- og sporbarhedsrapporter. Han uddyber:

“Derfor har vi et meget veletableret og automatiseret informationsstyringssystem til vores softwareudvikling – vi har al udviklingsdokumentationen i dette samarbejdssystem. Det er her, du udfører typiske ændringer af softwaren eller produkterne. De løber gennem specifikke dokumentationsstrømme, der er en central del af det samlede udviklingssystem.”

Virksomhedens politik for adgangskontrol giver alle udviklere, produktchefer, spillere og andre, der er involveret i projektudviklingsprocessen, adgang til systemet. Systemet fungerer også som et internt samarbejdsværktøj i virksomheden, da det krydser fysiske lokationer, forklarer Steen Schledermann:

“Det er i høj grad et samarbejdssystem, og det drager vi virkelig fordel af, netop fordi vi er så decentraliserede.”

Fremtidens ledelsessystem

Jeg spurgte Steen Schledermann, hvordan han ser fremtiden for ledelsessystemer. Han foreslår, at en af fremtidens nøglemekanismer er at have et risikostyringssystem til rådighed for virksomheden. Især for virksomheder som Auditdata, der er ISO 27001-certificerede, hvilket kræver meget procesdokumentation.

Han fortæller, hvordan de selv har arbejdet med ideen om at skabe et QIMS-system – (Quality &; Information Security Management System). På den måde kunne de kombinere fælles aspekter i deres to ledelsessystemer og optimere arbejdet ved at håndtere flere certificeringer.

Steen Schledermann understregede også, at han mener, at en vigtig faktor for ledelsessystemer er at holde dem enkle:

“Det er ret overvældende, mængden af information og procedurer, der skal dokumenteres, når man dokumenterer disse ledelsessystemer. Du skal virkelig gøre en indsats for at gøre det så enkelt og nemt som muligt. Ellers mister folk interessen”

Han mener, at brugervenlighed bør være en prioritet i alle ledelsessystemer – både hvad angår tilgængelighed og læsning af dokumenter og processer. Nogle af de ting, han allerede selv bruger til at forenkle dokumenter og guide folk ind i konteksten, er visuelle illustrationer og tegninger (læs mere om visuelle arbejdsinstruktioner her):

“Visuelle illustrationer eller billeder er normalt meget lettere at huske end to sider tekst. Det er noget, der gør det meget nemmere at fordøje, når man sidder der med en masse dokumenter.”

Et andet aspekt, han forudser for fremtiden, er at gøre ledelsessystemer tilgængelige via mobile enheder uden at skulle logge ind på en computer og ind i et tungt system. Steen Schledermann afslutter:

“Det er vigtigt at følge tendensen i den måde, medarbejderne foretrækker at tilgå viden på, ligesom man er vant til med sin personlige brug af apps og teknologi. Det er noget af det, jeg synes er vigtigt”

Sådan lyder det fra Steen Schledermann fra Auditdata A/S. Snart præsenterer vi en anden sag og et andet perspektiv.

Ofte stillede spørgsmål

Hvilke specifikke trin er nødvendige for at sikre, at al procesdokumentation bruges effektivt til at overholde ISO 13485?

For effektivt at bruge al procesdokumentation til at overholde ISO 13485 skal organisationer følge et par specifikke trin. Først skal de identificere alle processerne i deres virksomhed og forstå deres samspil. Efterfølgende bør de dokumentere og kommunikere alle procedurer relateret til kvalitetsstyringssystemet på tværs af organisationen. Derefter sikrer implementeringen af hver enkelt procedure på tværs af organisationen ensartethed. I sidste ende skal organisationer løbende overvåge og gennemføre regelmæssige revisioner af disse procedurer for at sikre overholdelse og identificere eventuelle afvigelser.

Hvor ofte skal en virksomhed gennemgå og opdatere sin procesdokumentation for at opretholde ISO 13485-standarderne?

ISO 13485-standarderne opfordrer virksomheder til løbende at gennemgå og opdatere deres procesdokumentation. Virksomheder skal revidere og opdatere deres dokumentation, hver gang de konstaterer en afvigelse, eller når produktet, processen eller systemet ændres. Selv hvis der ikke sker mærkbare ændringer, er det ideelt for virksomheder at gennemgå deres dokumentation mindst en gang om året. En sådan konsekvent gennemgang hjælper med at identificere og løse potentielle problemer tidligt, hvilket mindsker enhver negativ indvirkning på compliance-status.

Udover TraceAnalyzer-softwaren, er der så andre teknologier eller værktøjer, der kan være gavnlige for at opretholde eller opnå ISO 13485 compliance?

Ud over TraceAnalyzer-softwaren hjælper andre teknologier med at opnå ISO 13485-overensstemmelse. Disse omfatter Quality Management System (QMS) software, som strømliner kvalitetsprocesser i henhold til ISO-standarder, og digitale dokumentstyringssystemer til vedligeholdelse af procesdokumentation.