Die ISO 14971 im Detail
Definition und Ziel der ISO 14971
Die ISO 14971 ist eine Norm, die beschreibt, wie Hersteller von medizinischen Geräten Risiken, die mit der Nutzung ihrer Produkte verbunden sind, systematisch identifizieren, bewerten, kontrollieren und überwachen können. Sie deckt den gesamten Lebenszyklus eines Medizinprodukts ab, von der Entwicklung und Herstellung bis hin zur Verwendung und Wartung.
Das Hauptziel der ISO 14971 besteht darin, sicherzustellen, dass die Risiken, die mit der Verwendung von medizinischen Geräten verbunden sind, auf ein akzeptables Niveau reduziert werden, um die Sicherheit der Patient:innen, Anwender:innen und die Umwelt zu gewährleisten.
Die europäische Version der ISO 14971 die DIN EN ISO 14971 enthält die Anhänge ZA, ZB und ZC welche die Zusammenhänge der Norm mit den Regeln der Medizinprodukteverordnung MDR enthält.
Wichtige Begriffe der Norm verstehen (Risiko, Risikobewertung, Risikomanagement)
Die ISO 14971 definiert den Begriff Risiko als eine Kombination aus dem Schweregrad des Schadens und der Eintrittswahrscheinlichkeit. Wichtig ist, ein Risiko ist keine Gefährdung. Eine Gefährdung ist z. B. ein scharfes Messer. Eine Gefährdungssituation entsteht, wenn eine Person das scharfe Messer verwendet. Der mögliche Schaden, der dabei entsteht, ist eine Schnittwunde.
Unter Risikobewertung versteht man den Vergleich der ermittelten Risiken mit gegebenen Risikofaktoren um die Akzeptanz des Risikos zu bestimmen. (Wobei die Risiken immer so weit wie möglich reduziert werden müssen).
Der Begriff Risikomanagement umfasst die systematische Anwendung von Managementstrategien, Verfahren und Praktiken auf die Aufgaben der Analyse, Bewertung, Beherrschung und Überwachung von Risiken.
Einhaltung der ISO 14971
Wer muss sich an die Norm halten?
Die Norm richtet sich an Hersteller von Medizinprodukten. Die Norm ist natürlich nicht verpflichtend, allerdings fordert die Medizinprodukteverordnung die Anwendung eines Risikomanagements. Die DIN EN ISO 14971 ist zur MDR harmonisiert. Dadurch kann der Hersteller davon ausgehen, dass wenn er sich an die Vorgaben der Norm hält, dass er damit ebenfalls die Forderungen der MDR erfüllt. Daher ist es für Hersteller dringend empfohlen, sich an die Norm zu halten, anstatt den Nachweis erbringen zu müssen, dass der eigene Risikomanagementprozess den Anforderungen der MDR genügt.
Worauf müssen Hersteller von Medizinprodukten achten?
Hersteller von Medizinprodukten müssen die Risiken, die mit ihrem Produkt verbunden sind, analysieren und entsprechend mitigieren. Grundsätzlich sollen Medizinprodukte den Menschen helfen und keinen Schaden zufügen – zumindest muss das Risiko-Nutzen-Verhältnis so ausfallen, dass der Nutzen überwiegt. Z. B. ist Röntgenstrahlung per se ein Risiko für den Menschen. Man akzeptiert dieses Risiko aber, weil der Nutzen, der sich aus der Bildgebung für die Behandlung ergibt, höher ist, als das Risiko, das damit einhergeht. Um so eine Aussage treffen zu können, ist die systematische Anwendung des Risikomanagements über den gesamten Produktlebenszyklus notwendig.
Wichtigkeit der Einhaltung von ISO 14971
EU: CE-Kennzeichnung
Die CE-Kennzeichnung von Medizinprodukten erfolgt nach den Regeln der Medizinprodukteverordnung MDR 2017/745. Die MDR fordert in Artikel 10. Pflichten der Hersteller die Anwendung eines Risikomanagements, welches den grundlegenden Sicherheits- und Leistunganforderungen gemäß Anhang I entspricht.
Die MDR definiert im Artikel 8 zusätzlich, dass bei der Anwendung harmonisierter Normen davon auszugehen ist, dass dadurch auch die Forderungen der MDR erfüllt sind. Die DIN EN ISO 14971:2022 ist zur MDR harmonisiert.
USA: FDA-Zulassung
Die FDA verlangt ebenso wie die EU die Anwendung eines Risikomanagementprozesses über den gesamten Lebenszyklus des Medizinprodukts. Die FDA empfiehlt im aktuellen Guidance Dokument „Content of Premarket Submissions for Device Software Functions“ auch die Anwendung der ISO 14971.
Die ISO 14971 ist in der Version 2019 auch als „Recognized Consensus Standard“ bei der FDA gelistet. Die Anwendung der Consensus Standards ist nicht verbindlich, erleichtert aber erheblich die notwendige „Declarity of Confirmation“ (Konformitätserklärung) für die FDA Zulassung.
Anwendung der Norm
Anwendungsbereiche
Die ISO 14971 definiert die Terminologie, Grundsätze und den Prozess für das Risikomanagement von Medizinprodukten, einschließlich Software als Medizinprodukt und In-vitro-Diagnostika. Der darin beschriebene Prozess soll Herstellern von Medizinprodukten helfen, Gefährdungen im Zusammenhang mit dem Medizinprodukt zu identifizieren, die entsprechenden Risiken zu bewerten und zu analysieren, diese Risiken zu kontrollieren und die Wirksamkeit der Risikokontrollmaßnahmen zu überwachen.
Risikomanagement in der Praxis: die einzelnen Schritte
Risikoanalyse
Die Risikoanalyse hilft dabei, ausgehend von der Zweckbestimmung des Produkts, potentielle Gefährdungen und damit verbundene potentielle Schädigungen zu identifizieren. Die Kombination aus der Wahrscheinlichkeit, dass ein Schaden eintritt und dessen Schweregrad ergibt ein Risiko. Typischerweise werden Methoden wie PHA, FTA oder FMEA dabei angewendet.
Risikobewertung
Für jedes identifizierte Risiko muss der Hersteller bewerten, ob das Risiko akzeptabel ist oder nicht. Dabei helfen die vorher festgelegten Akzeptanzkriterien eines Risikos.
Risikobeherrschung/-minderung
Ergeben sich nicht akzeptable Risiken aus der Risikobewertung, muss der Hersteller geeignete Aktivitäten zur Risikobeherrschung durchführen. Folgende Optionen hat der Hersteller:
a) inhärent sicheres Design (z. B. Messer nicht schärfen)
b) Schutzmaßnahmen (z. B. Klingenschutz anbringen)
c) Information der Anwendenden (z. B. „Vorsicht scharf“)
Bewertung des Gesamt-Restrisikos
Nach erfolgter Risikominderung muss der Hersteller das vorhandene Gesamt-Restrisiko bewerten und eine Nutzen-Risko-Analyse durchführen. Die Methode zur Bewertung des Gesamt-Restrisikos und die dafür notwendigen Akzeptanzkriterien müssen festgelegt werden. Diese dürfen sich von den Methoden und den Akzeptanzkriterien für einzelne Risiken unterscheiden!
Überwachung und Kontrolle
Nach erfolgter Inverkehrbringung muss die Risikoanalyse und ggf. der komplette Risikomanagementprozess erneut durchgeführt werden. Gerade bei Produkten die Software enthalten ergeben sich möglicherweise Risiken durch publik gemachte CyberSecurity Schwachstellen oder auch einfach nur durch neu entdeckte Bugs in verwendeten Librarys.
Regulatorische Anforderungen an das Risikomanagement
Die weltweit vorhandenen Regulierungen für Medizinprodukte fordern alle die Anwendung eines systematischen Risikomanagements. Medizinprodukte sollen Menschen helfen und ihnen nicht schaden. Die internationale Norm ISO 14971 ist dabei der anerkannte Stand der Technik und alle Medizinproduktehersteller sind gut beraten, diesen anzuwenden. Das grobe Ziel bei der Anwendung ist immer, das Risiko auf ein akzeptables Niveau zu senken und einen Zustand zu erreichen, wo das Risiko für die Patient:innen und Anwender:innen minimal ist oder zumindest der Nutzen überwiegt.
Die neueste Version der Norm: ISO 14971:2019
Die internationale Norm ISO 14971 wurde 2019 in der dritten Ausgabe veröffentlicht und löste damit die Vorgängerversion von 2007 ab. Die für den europäischen Markt relevante EN Version der Norm ist als DIN EN ISO 14971:2022 veröffentlicht und enthält im wesentlichen zusätzlich die Anhänge ZA und ZB.
Überarbeiteter Anwendungsbereich
Der Anwendungsbereich der Norm wurde ergänzt um die explizite Nennung von „Software als Medizinprodukt und In-Vitro-Diagnostika“; eine logische Ergänzung, da die Zahl an Softwaremedizinprodukten immer weiter zunimmt.
Neue Begriffe (benefit, reasonably foreseeable misuse und state of the art)
In der dritten Version der ISO 14971 werden drei neue Begriffe eingeführt: “benefit“ (Nutzen), “reasonable foreseeable misuse“ (vernünftigerweise vorhersehbare Fehlanwendung), „state of the art“(Stand der Technik).
Der „benefit“ beschreibt eine positive Auswirkung oder ein wünschenswertes Ergebnis bei der Anwendung des Medizinprodukts, das nicht nur die Gesundheit des Patienten betrifft, sondern auch z. B. auf ein Patientenmanagement oder die öffentliche Gesundheit angewendet werden kann.
Der „reasonable foreseeable misuse“ wurde aus einer Anmerkung in einen festen Begriff überführt. Er beschreibt die Anwendung eines Medizinprodukts außerhalb seiner Zweckbestimmung bezogen auf vorhersagbaren Handlungen; das kann bewusst oder unbewusst passieren.
Der „state of the art“ entspricht allgemein anerkannten technische „good- und best-practices“ basierend auf gesicherten Erkenntnissen aus Wissenschaft, Technik und Erfahrung.
Fazit zur ISO 14971
Die neue ISO 14971 ist keine Revolution, sie erfindet nichts neu, sondern stellt eine evolutionäre Weiterentwicklung dar. Nachdem Software schon seit einiger Zeit in der Definition von Medizinprodukten enthalten ist, ist nur konsequent, dass Software als Medizinprodukt nun auch offiziell im Anwendungsbereich der ISO 14971 enthalten ist. Mindestens die Festlegung der Methode und der Akzeptanzkriterien für das Gesamt-Restrisiko bedeuten aber in jedem Fall eine Änderung im Risikomanagementprozess der Hersteller.