Risikomanagement (2): Computer System Validierung & Digitale Medizinprodukte
„Software und Schnittstellen sind untrennbar mit modernen medizintechnischen Geräten und GMP-Produktionsanlagen verbunden. Die damit verbundenen Risiken müssen beherrscht sein.“
Philipp Babel, M.Sc.
Compliance Spezialist / Berater
Klassifizierung und Validierung von Software / Schnittstellen
Die Digitalisierung in der Medizin ist nicht nur die Schlüsseltechnologie zur Effizienzsteigerung und Schonung der Personalressourcen in der medizinischen Versorgung – Stichwort Pflegenotstand – , sondern eine wesentliche Voraussetzung zur Weiterentwicklung der Evidenzbasierten Medizin (EbM). Aber: „Cybersicherheit ist eine wesentliche Voraussetzung für die Medizinproduktesicherheit und den Patientenschutz.“ sagte das BfArM.
Für die Entwicklung von Medizingeräte-Software (EN 62304) als auch Gesundheitssoftware (EN 82304-1) und die Validierung bzw. Verifizierung von Entwicklungstools (ISO 13485:2016, ISO / TR 80002-2) gibt es präzise Vorgaben.
Auch für die Herstellung von Arzneimitteln, Wirkstoffen und Medizinprodukten ist die Validierung computergestützter Systeme in den EU-GMP- Leitlinien bzw. der ISO 13485 und durch die FDA vorgeschrieben.
Seit der ISO 13485:2016 müssen auch in Europa, wie in den USA, nicht nur die in den Produktions- und Dienstleistungsprozessen eingesetzten Softwaresysteme validiert sein. Die Validierungsplicht gilt für alle Prozesse des QM-Systems, z.B. auch für ein Enterprise Resource Plannung (ERP) System.
Best Practices
Die Computer System Validierung (CSV) muss vor dem ersten Einsatz und, sofern angemessen, auch nach Software Änderungen durchgeführt werden. Die dreijährige Übergangsfrist ist bereits verstrichen.
Die Planung, Durchführung und Dokumentation von (Software-) Produktentwicklungen und der Qualifizierungen und Validierungen von Computer Systemen und Werkzeugen bedeutet für Hersteller einen immensen Arbeitsaufwand.
Im Validierungsmasterplan wird begründet festgelegt, welche Computersysteme in welcher Weise validiert werden müssen. Hier bietet der risikobasierte Ansatz die Chance, sich auf das Wesentliche zu beschränken.
So kann das GRÜNEWALD Team unterstützen
Die Entscheidungen über den Umfang der Validierungen sollten in der Produktentwicklung, dem QM und der GMP-Produktion auf Basis von Risikobewertungen getroffen werden.
Die Spezialisten aus dem GRÜNEWALD-Team unterstützen gerne dabei, einen fundierten Validierungsmasterplan zu erarbeiten, der risikobasiert den Fokus auf das Entscheidende schärft und den Aufwand auf das Minimum reduziert. Neben dieser konzeptionellen Projektarbeit unterstützen wir gerne bei der Umsetzung und führen CSVs in Ihrem Auftrag selbständig durch.
Im Rahmen unserer Angebote zur Begleitung von Entwicklungsprojekten unterstützen GRÜNEWALD-Berater gerne bei der Erstellung von Mastervalidierungspläne für (Entwicklungs-) Tools und natürlich auch bei Festlegung der A/B/C Sicherheitsklassen für Software Komponenten (EN 32604 / EN 82304-1).
Computer System Validierung (CSV)
Das Thema CSV erfreut sich zunehmend einem besonderen Interesse von Auditoren und (behördliche) Inspektoren. Nicht nur deshalb muss das Thema in Pharmazeutischen Qualitätssystemen (EU-GMP, FDA) und Qualitätsmanagementsystemen (ISO 13485, FDA) durch SOPs fest verankert und der erarbeiteten Validierungsmasterplan (VMP) klar strukturiert, übersichtlich und nachvollziehbar sein.
Mit dem Fortschritt der Digitalisierung in der Produktion (Industrie 4.0) wachsen die Anforderungen an die CSV, wie zum Beispiel im Bereich der Manufacturing Execution Systems (MES-Lösung).
Bei CSV Projekten starten GRÜNEWALD Berater in der Regel mit einer Bestandsaufname der Systeme und überprüfen kritisch, welche Systeme tatsächlich und mit welchem Mindestumfang validiert werden müssen.
Unsere Projekterfahrung hilft uns dabei, routiniert die Anforderungen an das zu validierende System aufzunehmen und zu spezifizieren. Wir übernehmen gerne die Arbeit und Verantwortung den Validierungsplan zu erstellen. Auch bei der Ausführung können wir je nach Wunsch unterstützen oder die Ausführung übernehmen.
Für die Computer System Validierung haben wir einen innovativen Ansatz über unsere Lean-GMP CSV-Checkliste entwickelt. Das Team profitiert bei einem Projekt mit GRÜNEWALD nicht nur von den zusätzlichen Ressourcen, die die Aufgaben selbständig erledigen, sondern auch von der Ergebnisqualität.
# ISO 13485, CSV, ISO/TR 80002-2:2017-06, 21 CFR part 11, 21 CFR part 820.70(i), 21 CFR 211.68, AAMI TIR 36, GAMP 5. EU-GMP, Annex 11,ICH Q7 (5.4),
Software-Sicherheitsklassifizierung
Hersteller von Medizinprodukten müssen einen Risikomanagement-Prozess nach ISO 14971 anwenden. Darüber hinaus fordert die EN 62304, dass risikobasiert jedem Software-System eine Software-Sicherheits-Klassifizierung (A, B oder C) zugeordnet werden muss.
Dazu muss aus einer worst-case Betrachtung beantwortet werden, ob die Software im Fehlerfall zu einer Gefährdungssituation beitragen kann, in der ein Risiko eines Schadens für den Patienten, den Anwender oder andere Personen entsteht.
Ist ausgeschlossen, dass ein Versagen der Software zu einer Gefährdungssituation oder einem unvertretbaren Risiko führt, ist die Sicherheits-Klasse A zu wählen. Abhängig vom Schweregrad der Verletzung des (Gesundheits-) Schadens sind die Software Module in die Klasse B (keine schweren Schäden) oder C einzuordnen.
In einer modularen Software-Architektur müssen nicht zwingend alle Komponenten in die gleiche Sicherheits-Klassifizierung wie das Gesamtsystem fallen.
Bei der Begleitung von Entwicklungsprojekten von der Idee bis zur Markteinführung bieten GRÜNEWLAD Berater gerne an, im Rahmen des Risikomanagements aus „externer Sicht“ zu prüfen, ob alle Möglichkeiten der Senkung des Dokumentationsaufwand wirklich ausgenutzt wurden.
Die Planung oder Analyse des Risikomanagementakte und Software-Sicherheits-Klassifizierung bietet häufig verdeckte Möglichkeiten, den Dokumentationsaufwand zu senken und effektive zusätzliche Entwicklungszeit zu gewinnen.
# ISO 14971, EN 62304, EN 82304-1
Intraoperabilität und Datenschutz
Die Workflow- und IT-Integration von Medizinprodukten entlastet medizinisches Assistenz- & Fachpersonal bei administrativen und organisatorischen Prozessen. Diesehilft, sich auf die wertschöpfenden Kernprozesse der Versorgung von Patientinnen und Patienten zu fokussieren. “Intraoperabilität” ist heute das Pseudonym für zukunftsfähige Medizinprodukte.
So werden IT- und Workflow Integration und die Internet-of-Medical-Things (IoMT) Technologie zum Mehrwert für Kunden und unverzichtbarer Bestandteil der Wachstumsstrategie der MedTec / BioTec Industrie 4.0.
Compliance Spezialisten und Berater aus dem GRÜNEWALD-Team unterstützen das (Produkt-) Management dabei, eine Digitalisierungsstrategie des Geschäftes methodenbasiert zu entwickeln. Mit Hilfe der Werkzeuge des Requirements- und Usability- Engineerings gelegt es uns, konkrete User Stories und Stakeholder Requirements zu entwickeln.
Das GRÜNEWALD-Team begleitet das R&D Team oder (externe) Entwicklungsdienstleister auch gerne bei der Erarbeitung einer schlanken Risikoakte, die systematisch potentielle Risiken durch Geräteschnittstellen und Intraoperabilität abdeckt und beherrschbar macht.
Das ISO 14971 Risikomanagement gibt uns die Methoden an die Hand, die Risiken der herstellerübergreifenden bidirektionalen Datenübertragung zu bewerten.
Gerade im Bereich der „Medical device embedded webserver“ und der online Datenübertragung vom Gerät zum Hersteller (Internet-of-Medical-Things, IoMT) liegt das Potential den klinischen Nutzen eines Produktes belegbar zu machen und Wachstumspotential für das Verbrauchsmaterial- & Service- Geschäft abzuschöpfen.
Wir sind der richtige Partner für die Begleitung der Entwicklung dieser zukunftsweisenden Lösungen, die die Digitalisierung der Medizin vorantreiben.
# IEC 62304, IEC 82304, IEEE 11073, SDC, VITAL, IoT, IoMT
Data-, System- & Cybersecurity
Im Gegensatz zur MDD Richtlinie aus dem Jahr 1993 geben die aktuelle Medical Device Regulation (MDR) und auch die In-vitro-Diagnostic Device Regulation (IVDR) Herstellern von Medizinprodukten seit 2017 konkrete Vorgaben zur Cybersecurity.
Auch die 3rd Edition der ISO 14971:2019-12 zur Anwendung des Risikomanagements auf Medizinprodukte nimmt das Thema Cybersecurity (risks related to data and systems security) in den Blick.
Im Sinne unseres Lean Regulatory Compliance Beratungsansatz unterstützen wir durch unsere Best Practices dabei, die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) und der Datensicherheit/ Cybersecurity zu erfüllen.
Unsere GRÜNEWALD Compliance Spezialisten / Berater gehen dabei streng systematisch und entsprechend der regulatorischen / normativen Vorgaben und Cybersecurity Guidelines vor.
# MDR, DSGVO, ISO 14971:2019, MDGC 2019-16
Gerne stehe ich Ihnen als direkter Ansprechpartner zur Verfügung
