What specific steps are needed to ensure that all process documentation is effectively used for ISO 13485 compliance?

To effectively use all process documentation for ISO 13485 compliance, organizations must follow a few specific steps. First, they must identify all the processes in their operation and understand their interactions. Subsequently, they should document and communicate all procedures related to the quality management system across the organization. After that, the implementation of each respective procedure across the organization ensures uniformity. Ultimately, organizations must continuously monitor and conduct regular audits of these procedures to ensure compliance and identify any deviations.

How often should a company review and update its process documentation to maintain ISO 13485 standards?

ISO 13485 standards advocate for companies to continuously review and update their process documentation. Companies must revise and update their documentation whenever they note a deviation or when the product, process, or system changes. Even in the absence of noticeable changes, it is ideal for companies to review their documentation at least once every year. Such consistent reviewing aids in identifying and resolving potential issues early, mitigating any negative impact on compliance status.

Besides the TraceAnalyzer software, are there other technologies or tools that can be beneficial in maintaining or achieving ISO 13485 compliance?

Besides TraceAnalyzer software, other technologies help achieve ISO 13485 compliance. These include Quality Management System (QMS) software, which streamlines quality processes as per ISO standards, and digital document control systems for maintaining process documentation.

Prozessdokumentation in einem Medizintechnikunternehmen

By Søren Pommer
Last updated on 23/03/2024

Wie arbeitet man praktisch mit Managementsystemen und Prozessdokumentationen, wenn man sowohl die ISO 27001 als auch die ISO 13485 einhalten muss? Lesen Sie, wie Auditdata mit seinem Managementsystem in Bezug auf die Versionskontrolle und die Steuerung von Prozessen im täglichen Betrieb zusammenarbeitet und dabei versucht, es einfach zu halten.

Letzte Woche habe ich Steen Schledermann, QA, Regulatory &; IT Director beim dänischen Medizintechnikunternehmen Auditdata A/S, interviewt. Wir sprachen über die Art und Weise, wie sie mit ihrem Managementsystem und der Prozessdokumentation in praktischer Hinsicht arbeiten, da sie ein nach ISO 27001 und ISO 13485 zertifizierter Entwickler von medizinischen Geräten sind.

Kurz gesagt, Auditdata ist ein wachsendes internationales Unternehmen mit ca. 60+ Mitarbeitern. Auditdata A/S liefert Software und Diagnosegeräte an Audiologiekliniken und Krankenhäuser im öffentlichen und privaten Sektor. Das Unternehmen hat seinen Hauptsitz in Dänemark, ein Entwicklungszentrum in Kiew, Vertrieb und Support in England und eine ausgelagerte Produktion in Schweden.

Arbeiten mit versionskontrollierten und steuernden Prozessen

Steen Schledermann betonte, dass Auditdata in einem stark regulierten Bereich tätig ist:

“Wir haben viele Prozesse, die versionskontrolliert und kontrolliert werden müssen. Sie müssen den Menschen, die mit ihnen arbeiten, vertraut sein und sie müssen auf dem neuesten Stand sein. Daher haben wir ein großes Bedürfnis, den Überblick über die damit verbundene Prozessdokumentation, die Prozesse und die Verbreitung zu behalten.”

Steen Schledermann gibt auch an, dass sie in Bezug auf die beiden Revisionen zwei Dokumentenmanagementsysteme verwenden – ISMS (Information Security Management System) und Aras PLM (Quality Management System). Bei beiden Systemen handelt es sich um Managementsysteme, bei denen das QS-System auf die Produktentwicklung von Medizinprodukten ausgerichtet ist.

“Es gibt einige ziemlich strenge Anforderungen an die Art und Weise, wie es gemacht werden muss, daher werden die Prozesse gründlich beschrieben.”

Managementsysteme in der Praxis

Das Aras PLM-System ist ein professionelles Qualitätsmanagementsystem für das Prozessdokumentenmanagement. Das System dient dazu, Beziehungen zwischen Dokumenten herzustellen, um diese elektronisch zu definieren und an Verantwortliche zu delegieren. Dokumente können auch elektronisch signiert und genehmigt werden.

Steen Schledermann sagt, dass die Herausforderung für QS-Systeme für Medizinprodukte darin besteht, dass alles in einem technischen Dossier genau definiert sein muss – einer spezifischen Struktur für die Art der Dokumentation, die für jede Version und Version eines bestimmten Systems erforderlich ist. Des Weiteren muss jede Veröffentlichung einer Version 10 Jahre lang nachvollziehbar sein.

“Die damit verbundenen Anforderungen an die Datenbank sind ziemlich hoch. Aus diesem Grund verwenden wir ein relationales Datenbankmanagementsystem, um diesen Teil zu verwalten.”

Bisher hatte das Unternehmen Dokumente, Prozessdokumentationen und Beschreibungen über SharePoint als Intranet-Lösung zur Verfügung. Im vergangenen Jahr entschied man sich für die Neupart-Lösung SecureAware – ein Informationssicherheits-Managementsystem. Steen Schledermann sagt, dass ISO 27001 eine Managementnorm ist, die die Risikobewertung der Vermögenswerte des Unternehmens sehr stark betont – eine relativ komplexe Aufgabe. SecureAware erleichtert das Herstellen von Verbindungen zwischen Assets und die Rückverfolgbarkeit rein auf der Grundlage des Risikos zwischen den verschiedenen Komponenten im Unternehmen. Er führt aus:

“Das ist es, was von der Norm erwartet wird – einen dokumentierten Überblick über die wichtigsten Informationsbestände des Unternehmens zu haben und in der Lage zu sein, die Risikoexposition des Unternehmens durch kontinuierliche Risikobewertungen zu erklären. Auf Basis der Risikobewertung entwickeln Sie einen Maßnahmenplan zur Reduzierung der identifizierten Risiken. Den Überblick über diese Bewertungen zu behalten, kann eine relativ komplexe Projektmanagementaufgabe sein, und sie ändern sich ständig. Dieses Bedürfnis wird durch das SecureAware-System besonders unterstützt.”

Er erklärt, dass das ISMS-System Standardanforderungen für Risikobewertungen unterstützt, bei denen ein universeller Katalog von Sicherheitsbedrohungen die Arbeit mit Risikobewertungen im Vergleich zu Verstößen gegen die Vertraulichkeit, Integrität und Verfügbarkeit der Informationsbestände des Unternehmens erleichtert.

Das ISMS-System berücksichtigt alle Sicherheitsrichtlinien im Unternehmen – von der elektronischen bis hin zur physischen und persönlichen Sicherheit. Steen Schledermann erklärt:

“Es gibt mehr als 110 Anforderungen, die laut Norm im Bereich Sicherheit erfüllt werden müssen. Die Norm ist ziemlich umfassend und aus diesem Grund umfangreich und komplex. Es gibt viele Informationen, die es zu verbreiten gilt.”

Das System verfügt über einen Abschnitt für Richtliniendokumente und Compliance sowie ein Business-Continuity-Management-Modul, das es relativ einfach macht, Notfallverfahren zu beschreiben, falls etwas schief geht, was ebenfalls eine Anforderung nach der Norm ist.

Eigentum

Das Managementsystem als Ganzes liegt im Besitz der Geschäftsführung, und die Verantwortung für den laufenden Betrieb und die Wartung wird an den QA-Direktor und den Informationssicherheitsmanager delegiert.

Darüber hinaus hält Auditdata vierteljährliche Management-Review-Meetings ab, in denen mit dem Management eine Agenda in Bezug auf QS-Systeme und das ISMS-System besprochen wird. Auf diese Weise kann das Management über die Entwicklung der Systeme und des Unternehmens in Bezug auf Qualitätssicherung und Informationssicherheit auf dem Laufenden gehalten werden.

Aktive Teilnahme am System

Ich habe Steen Schledermann nach der Rollenverteilung innerhalb des Managementsystems gefragt. Er antwortete, dass jeder, der eine Rolle im System spielt, einen Beitrag leisten kann, wo diese Person Eigentümer ist. Er gibt an, dass die Teilnehmer des Systems aktiv mit den Prozessdokumenten arbeiten:

“Insbesondere das QS-System ist eines, in dem Dokumente zirkulieren. Es gibt einen Autor, einen Gutachter und jemanden, der die Genehmigung erteilt. Auf diese Weise gibt es eine aktive Beteiligung und einen Prozessablauf, dem die Dokumente folgen.”

Er führt weiter aus, dass ihr ISMS-System es ermöglicht, den Verantwortlichen einzelne Abschnitte eines Dokuments zuzuweisen. Darüber hinaus ist das System in Bezug auf Kommentare und Änderungen je nach Version nachvollziehbar:

“Also ja, sie sind kollaborative Werkzeuge, wenn wir über Managementsysteme sprechen.”

Verbesserungen und Weiterentwicklung in der Praxis

Ich habe Steen Schledermann gefragt, wie Auditdata mit Verbesserungen und Änderungen in der Praxis funktioniert. Seine Antwort darauf war, dass sie einen Change-Management-Prozess haben. Dies ist definiert als verschiedene Vorlagen, mit denen sie in Bezug auf die Art der Änderungen arbeiten, die vorgenommen werden müssen.

Im Moment verwenden sie Word-Vorlagen. Diese sind auf SharePoint lokalisiert, das die Grundlage für Änderungsanforderungen bildet, die nicht mit der Produktentwicklung zusammenhängen. In ähnlicher Weise verfügt das QA-System von Auditdata über eine integrierte Änderungsanforderung in Bezug auf die Produktentwicklung, sodass die Spieler sie beitragen und genehmigen können.

Steen Schledermann erklärt, dass sie auch das kollaborative Tool Microsoft Team Foundation Server für ihren gesamten Softwareentwicklungsprozess verwenden. Da sie Medizinprodukte entwickeln und herstellen, ist es eine Anforderung, dass sie den gesamten Entwicklungsprozess, die Verifizierungs- und Rückverfolgbarkeitsberichte dokumentieren. Er führt aus:

“Daher haben wir ein sehr gut etabliertes und automatisiertes Informationsmanagementsystem für unsere Softwareentwicklung – wir haben die gesamte Entwicklungsdokumentation in diesem kollaborativen System. Hier führen Sie typische Änderungen an der Software oder den Produkten durch. Sie durchlaufen spezifische Dokumentationsströme, die ein wichtiger Bestandteil des gesamten Entwicklungssystems sind.”

Die Zugriffskontrollpolitik des Unternehmens erlaubt allen Entwicklern, Produktmanagern, Akteuren und anderen am Projektentwicklungsprozess Beteiligten den Zugriff auf das System. Das System dient auch als internes kollaboratives Tool im Unternehmen, da es sich über physische Standorte hinweg erstreckt, erklärt Steen Schledermann:

“Es ist ein sehr kollaboratives System, und davon profitieren wir sehr, gerade weil wir so dezentralisiert sind.”

Das Managementsystem der Zukunft

Ich habe Steen Schledermann gefragt, wie er die Zukunft von Managementsystemen sieht. Er schlägt vor, dass einer der wichtigsten Mechanismen der Zukunft darin besteht, dem Unternehmen ein Risikomanagementsystem zur Verfügung zu stellen. Vor allem für Unternehmen wie Auditdata, die nach ISO 27001 zertifiziert sind und viel Prozessdokumentation benötigen.

Er erzählt, wie sie selbst mit der Idee gearbeitet haben, ein QIMS-System (Quality &; Information Security Management System) zu schaffen. Auf diese Weise konnten sie gemeinsame Aspekte in ihren beiden Managementsystemen kombinieren und die Arbeit optimieren, indem sie mehr Zertifizierungen abwickelten.

Steen Schledermann betonte auch, dass er glaubt, dass ein wichtiger Faktor für Managementsysteme darin besteht, sie einfach zu halten:

“Es ist ziemlich überwältigend, wie viele Informationen und Verfahren bei der Dokumentation dieser Managementsysteme dokumentiert werden müssen. Man muss sich wirklich anstrengen, es so einfach und leicht wie möglich zu machen. Sonst verlieren die Leute das Interesse.”

Er ist der Meinung, dass die Benutzerfreundlichkeit in allen Managementsystemen Priorität haben sollte – sowohl in Bezug auf die Zugänglichkeit als auch auf das Lesen von Dokumenten und Prozessen. Einige Dinge, die er bereits selbst verwendet, um Dokumente zu vereinfachen und Menschen in den Kontext zu führen, sind visuelle Illustrationen und Zeichnungen (lesen Sie hier mehr über visuelle Arbeitsanweisungen):

“Visuelle Illustrationen oder Bilder sind in der Regel viel leichter zu merken als zwei Seiten Text. Das ist etwas, das es viel leichter verdaulich macht, wenn man mit vielen Dokumenten dasitzt.”

Ein weiterer Aspekt, den er für die Zukunft prognostiziert, ist die Zugänglichmachung von Managementsystemen über mobile Geräte, ohne dass man sich in einen Computer und in ein schweres System einloggen muss. Steen Schledermann fasst zusammen:

“Es ist wichtig, dem Trend in der Art und Weise zu folgen, wie Mitarbeiter am liebsten auf Wissen zugreifen, so wie Sie es von Ihrer persönlichen Nutzung von Apps und Technologie gewohnt sind. Das ist ein Teil dessen, was ich für wichtig halte.”

Dies sind die Worte von Steen Schledermann von Auditdata A/S. Bald werden wir einen weiteren Fall und eine andere Perspektive vorstellen.

Fragen und Antworten

Welche spezifischen Schritte sind erforderlich, um sicherzustellen, dass die gesamte Prozessdokumentation effektiv für die Einhaltung der ISO 13485 verwendet wird?

Um die gesamte Prozessdokumentation effektiv für die Einhaltung der ISO 13485 zu nutzen, müssen Unternehmen einige spezifische Schritte befolgen. Zunächst müssen sie alle Prozesse in ihrem Betrieb identifizieren und deren Zusammenspiel verstehen. Anschließend sollten sie alle Verfahren im Zusammenhang mit dem Qualitätsmanagementsystem dokumentieren und in der gesamten Organisation bekannt machen. Danach sorgt die Umsetzung der jeweiligen Verfahren in der gesamten Organisation für Einheitlichkeit. Letztlich müssen Unternehmen diese Verfahren kontinuierlich überwachen und regelmäßig überprüfen, um die Einhaltung der Vorschriften zu gewährleisten und Abweichungen zu erkennen.

Wie oft sollte ein Unternehmen seine Prozessdokumentation überprüfen und aktualisieren, um die ISO 13485 Standards einzuhalten?

Die ISO 13485-Normen verlangen von den Unternehmen, dass sie ihre Prozessdokumentation kontinuierlich überprüfen und aktualisieren. Unternehmen müssen ihre Dokumentation überarbeiten und aktualisieren, wenn sie eine Abweichung feststellen oder wenn sich das Produkt, der Prozess oder das System ändert. Selbst wenn es keine spürbaren Änderungen gibt, ist es für Unternehmen ideal, ihre Dokumentation mindestens einmal im Jahr zu überprüfen. Eine solche konsequente Überprüfung trägt dazu bei, potenzielle Probleme frühzeitig zu erkennen und zu lösen, wodurch negative Auswirkungen auf den Compliance-Status gemildert werden.

Gibt es neben der TraceAnalyzer-Software noch andere Technologien oder Tools, die bei der Einhaltung oder Erreichung der ISO 13485-Vorschriften von Nutzen sein können?

Neben der TraceAnalyzer Software tragen auch andere Technologien zur Einhaltung der ISO 13485 bei. Dazu gehören Software für Qualitätsmanagementsysteme (QMS), die Qualitätsprozesse gemäß den ISO-Normen rationalisiert, und digitale Dokumentenkontrollsysteme zur Pflege der Prozessdokumentation.