ISO 13485:2016 nowe wymagania

Wymagania ISO 13485:2016  Wyroby medyczne – Systemy zarządzania jakością – Wymagania do celów przepisów prawnych

Obowiązującą dla celów certyfikacji wersją tej normy jest EN ISO 13485:2016 wprowadzona do Polskich Norm jako PN-EN ISO 13485:2016-04 w wersji angielskiej.

Norma ta zastępuje obowiązującą przez kilkanaście lat poprzednią wersję z 2003 roku.

W tym opracowaniu prześledzimy główne zmiany wprowadzone przez nową wersję normy oraz omówimy te wymagania, z którymi firmy wciąż mają problemy na audytach certyfikujących.

Określenie i udokumentowanie roli organizacji (4.1.1)

Opisanie swojej roli (ról)  jest konieczne do zdefiniowania wymagań normy, jakie organizacja musi spełnić, bo firma może być legalnym producentem dla jednej grupy wyrobów a importerem lub dystrybutorem dla innych.

Zarządzanie ryzykiem procesów (4.1.2 i 7.1)

W wymaganiach ogólnych (4.1.2) norma wymaga zastosowania podejścia opartego na zarządzaniu ryzykiem do nadzorowania procesów SZJ i dalej w p. 4.1.4  wymaga, aby oceniać wpływ zmian w procesach na SZJ i na wyroby medyczne, biorąc pod uwagę wymagania regulatorowe.  W obszarze realizacji wyrobu (7.1) literalnie wymaga się aby co najmniej jeden proces został oceniony w ramach zarządzania ryzykiem oraz aby opracować odnośną dokumentację i prowadzić zapisy.

Wydanie z 2016 podkreśla znaczenie zarządzania ryzykiem i stawia bardziej konkretne wymagania, niż poprzednia edycja normy, gdzie w p. 7.1 zapisano, by ustanowić udokumentowane wymagania dotyczące zarządzania ryzykiem w trakcie realizacji wyrobu i utrzymywać zapisy.

Mimo, że zarządzanie ryzykiem pełni rolę fundamentalnego narzędzia do określania znaczenia poszczególnych procesów i stosownie do tego ustalania odpowiednich środków nadzoru w SZJ,  w niektórych firmach jest to wciąż słaby punkt systemu zarządzania jakością. Warto zauważyć, że zarządzanie ryzykiem pojawiło się też w ISO 9001:2015.

Nadzór nad procesami zewnętrznymi (4.1.5)

Od 2003 roku ISO 13485 wymaga, aby ustanowić nadzór nad procesami przebiegającymi na zewnątrz, które maja wpływ na zgodność wyrobu z wymaganiami.  Wydanie z 2016 podkreśla i uszczegóławia to wymaganie. Tu zwraca się uwagę, że producent bierze odpowiedzialność za procesy zewnętrzne, zarówno przed klientem jak i w kontekście wymagań regulatorowych. Zakres kontroli nad procesami zewnętrznymi powinien być proporcjonalny do ryzyka związanego z wyrobami oraz do możliwości spełniania wymagań przez dostawcę. Chodzi tu by ocenić np. stosowane przez dostawcę technologie i stabilność procesów, jego sprawność organizacyjną, posiadanie certyfikowanego SZJ itp.

Dla krytycznych procesów sposób nadzoru powinien obejmować np. uzgodnienie dokumentacji wyrobu, specyfikacji procesu, specyfikacji kontroli, otrzymywanie raportów kontroli dla każdej serii, okresowe audytowanie dostawcy. W takich przypadkach wszystkie elementy nadzoru nad procesami zewnętrznymi powinny być określone i udokumentowane w obustronnej umowie.

Ocena dostawców (7.4.1)

Kryteria oceny dostawców zostały rozszerzone i pojawiło się podejście oparte na zarządzaniu ryzykiem tzn. kryteria te powinny być proporcjonalne do ryzyka związanego z wyrobami medycznymi. W praktyce zmusza to osoby odpowiedzialne za SZJ do przeanalizowania wszystkich dostawców po tym kątem i dobrania różnych kryteriów oceny w zależności od wagi przedmiotu dostawy. Będzie się to bezpośrednio przekładało na określenie sposobów nadzoru nad dostawcami i procesami zewnętrznymi jak wyżej.  

Norma ISO 13485:2016 wymaga również aby przypadki wyrobów niezgodnych po stronie dostawcy były załatwiane przez odbiorcę (producenta finalnego) proporcjonalnie do ryzyka związanego z danym wyrobem i mając na uwadze zapewnienie zgodności regulatorowej wyrobu.

W punkcie 7.4.2 postawiono nowe wymaganie, by dostawca w formie podpisanej umowy zobowiązał się do poinformowania odbiorcę (producenta finalnego) z odpowiednim wyprzedzeniem o zamiarze wprowadzenia istotnych zmian w dostarczanym produkcie czy usłudze.

Walidacja oprogramowania

To jest zupełnie nowe wymaganie postawione w p. 4.1.6 i dotyczy udokumentowanych procedur walidacji zastosowanych programów komputerowych w SZJ i walidacji tych programów. Zakres tych działań powinien być proporcjonalny do ryzyka związanego z używaniem danego oprogramowania. Wymagane są zapisy.

Ponadto w p. 7.5.6 dotyczącym walidacji procesów produkcyjnych jest podobne wymaganie odnośnie oprogramowania stosowanego w produkcji lub dostarczaniu usługi a analogiczne wymaganie znajduje się też w p. 7.6 dla przyrządów kontrolnych i pomiarowych.

Oczywiście wymagane są też rewalidacje, nadzór nad zmianami i zapisy.

Komitet Techniczny ISO opracował dokument ISO/TR 80002-2:2017, który pomaga zrozumieć wymagania narzucone przez normę ISO 13485:2016 w zakresie walidacji oprogramowania i podpowiada różne rozwiązania.

W praktyce, z wdrożeniem tego wymagania w firmach jest różnie.

Nadzór nad dokumentacją

W ISO 13485:2016 mamy nowy punkt 4.2.3 dotyczący zawartości zbioru dokumentów dla wyrobu medycznego. W praktyce producenci wyrobów medycznych i tak powinni stosować się do wymagań w tym zakresie zawartych w Dyrektywie 93/42/EWG lub w Rozporządzeniu 2017/745, które są znacznie bardziej szczegółowe.  

Pojawiło się nowe wymaganie, by wdrożyć metody ochrony poufnych danych dotyczących zdrowia zgodnie z obowiązującymi przepisami. Tu wiadomo, że na naszym gruncie prawnym chodzi o RODO, natomiast w kontekście SZJ należy przyjrzeć się procesowi obsługi reklamacji, bo tu mogą pojawić się (choć w zasadzie nie powinny) dane osobowe pacjenta lub poufne dane dotyczące jego zdrowia.

W danych wyjściowych z Przeglądu Zarządzania (5.6.2) pojawił się wymóg identyfikacji i podjęcia decyzji dotyczących zmian potrzebnych do spełnienia nowych lub zmienionych przepisów prawnych.

W wymaganiach dotyczących infrastruktury (6.3) pojawił się zapis, że infrastruktura powinna zapobiec pomieszaniu się wyrobów i umożliwiać odpowiednią manipulację wyrobami.

W wymaganiach dotyczących środowiska pracy (6.3) pojawił się nowy podpunkt dotyczący nadzorowania zanieczyszczonego produktu oraz w przypadku wyrobów sterylnych wymóg kontrolowania poziomu zanieczyszczenia mikroorganizmami i cząstkami stałymi w procesach montażu i pakowania.

procesach związanych z klientem jest nowy wymóg komunikacji z władzami regulatorowymi zgodnie z obowiązującym prawem.

projektowaniu i rozwoju (7.3) najważniejsze zmiany są następujące:

  • nowy podpunkt dotyczący transferu projektu
  • nowy podpunkt dotyczący zbioru dokumentów z projektowania dla każdego typu lub rodziny wyrobów.

Domyślnie zbiór ten powinien korespondować ze zbiorem dokumentów dla wykazania zgodności wyrobów.

serwisowaniu (7.5.4) pojawił się wymóg analizowania, czy dany przypadek powinien być traktowany jak reklamacja.

W 7.5.7 mamy nowy podpunkt dotyczący walidacji procesów dla sterylizacji oraz systemów bariery sterylnej.

Jest tutaj odniesienie do norm ISO 11607-1 i ISO 11607-2.  

Punkt 7.5.8 Identyfikacja został rozszerzony o wymóg stworzenia i udokumentowania systemu nadawania niepowtarzalnych kodów identyfikacyjnych.

Oczywiście wymaganie to idzie w parze z analogicznym wymaganiem nadawania kodów UDI w Rozporządzeniu 2017/745.

W odniesieniu do informacji zwrotnych (8.2.1.) zostało doprecyzowane, że źródłem danych powinna być nie tylko faza poprodukcyjna ale również faza produkcyjna. Ponadto wymaga się aby zebrane informacje zwrotne były wykorzystane w ocenie ryzyka. 

Postępowanie z reklamacjami zostało opisane w nowym punkcie 8.2.2.

Podobnie wymaganie raportowania do władz regulatorowych znalazło się w oddzielnym punkcie 8.2.3.

Oczywiście tutaj należy stosować się do szczegółowych wymagań w Dyrektywie 93/42/EWG lub w Rozporządzeniu 2017/745 lub prawodawstwie krajowym.

Urządzenie pomiarowe (8.2.6) powinno być identyfikowane w kontekście kontroli wyrobów tam, gdzie jest to właściwe.

nadzorze nad wyrobem niezgodnym (8.3)  jest kilka nowych wymagań:

  • uszczegółowienie sposobów nadzoru nad wyrobem niezgodnym;
  • uszczegółowienie wymagań odnośnie zapisów;
  • oddzielne podpunkty dotyczące nadzoru nad wyrobem niezgodnym wykrytym przed dostawą i po dostawie;
  • oddzielny podpunkt dotyczący poprawiania wyrobu niezgodnego.

Analizie danych (8.4) zostały dodane audyty i raporty z serwisu jako dane wejściowe.

Dla działań korygujących (8.5.2) i zapobiegawczych (8.5.3) dodano, że należy sprawdzić, czy działania te nie naruszają zgodności regulatorowej oraz, czy nie szkodzą bezpieczeństwu i działaniu wyrobów medycznych.

Dla działań korygujących (8.5.2) dodano, że muszą być podjęte bez zbędnej zwłoki.

Polecamy również artykuł > ISO 13485 a Dyrektywa MDD, gdzie omówiono, w jaki sposób norma ISO 13485 spełnia lub nie spełnia wymagań systemu zarządzania jakością opisanych w Dyrektywie 93/42/EWG.