The Business Designers The Route to Compliance Unsere Unterstützung für Sie QUALITÄTSMANAGEMENT Interne Audits den Zustand objektiv erfassen Lieferantenmanagement systematisch und qualifiziert CAPAs langfristig Mehrwert schaffen Complaint Management aus Fehlern lernen Prozessmanagement die Effizienz steigern Risikomanagement (ISO 14971) die Sicherheit im Fokus REGULATORY AFFAIRS AIMDD / MDD / IVDD die Konformität sichern Marktbeobachtung Aufwand & Nutzen in Waage FDA & Co. Inspektionen gelassen begegnen Begleitung externer Inspektionen gemeinsam stark Produktregistrierung erfolgreich & schnell Inhouse-Schulungen Anforderungen sicher beherrschen QUALIFIZIERUNG & VALIDIERUNG Qualifizierung mit geeigneter Technik arbeiten CSV Validierung computergestützter Systeme n. GAMP 5 Electronic records & signatures mit Part 11 sicher Prüfmethodenvalidierung dem Ergebnis vertrauen Prozessvalidierung die Fertigung sicher in Griff 2 Best Practices Medizintechnik
The Business Designers OEM / PLM: Sind Ihre Verantwortungen klar? Was für das Inverkehrbringen eines Medizinproduktes zu beachten ist Medizinprodukte sind zunehmend komplexer. Komponenten werden oft von Unterlieferanten entwickelt und hergestellt. Teilweise werden sogar fertige Produkte «eingekauft» und unter neuem Namen vertrieben. Wer ist wofür verantwortlich? Wann ist ein zertifiziertes QM-System, wann ein Audit notwendig? Welches CE-Zeichen wird angebracht? der Inverkehrbringer ist verantwortlich Die Richtlinie 93/42/EWG definiert die Verantwortung des Herstellers in Zusammenhang mit dem Inverkehrbringen des Produktes im europäischen Wirtschaftsraum. Wer seinen Namen dafür hergibt, trägt die gesamte Verantwortung, d.h. er ist für eine korrekte Durchführung der Konformitätsbewertung und das dafür notwendige QM-System verantwortlich. Er unterzeichnet die Konformitätserklärung und ist verpflichtet, bei Vorkommnissen und Korrekturmassnahmen im Markt die entsprechenden Meldungen an die Behörden abzusetzen. Mit der Einführung der Direktive 2007/47/EG wurden die Anforderungen an die Hersteller von Medizinprodukten erhöht, insbesondere die Verpflichtung zur Überwachung der Zulieferanten: Präambel 21 (2007/47): «Da die Hersteller die Entwicklung und die Herstellung von Medizinprodukten immer häufiger bei Dritten in Auftrag geben, muss der Hersteller unbedingt nachweisen, dass er jene Dritten ange messenen Kontrollen unterzieht, um dauerhaft zu gewährleisten, dass das Qualitätssicherungssystem effizient arbeitet.» Ob OEM oder PLM Als OEM (Original Equipment Manufacturer) wird der Originalhersteller bezeichnet, der das Produkt selbst entwickelt und herstellt, aber nicht unbedingt unter dem eigenen Namen vertreibt. Er kann selbst ein vollständiges oder teilweises QM-System nach der Medizinprodukterichtlinie unterhalten. Es kann aber vorkommen, dass der OEM aus einem anderen Industriebereich kommt und nicht unter die Richtlinie fällt. Dementsprechend können seine Produkte die CE- Anforderungen für Medizinprodukte oder die Anforderungen anderer Richtlinien erfüllen. Je nach Situation ergeben sich unterschiedliche Voraussetzungen für die Regelung der Verantwortung und der zu treffenden Massnahmen und Abmachungen. Ein PLM (Private Label Manufacturer) ist der in Europa «verantwortliche» Hersteller also derjenige, der im Sinne der Direktive die Gesamtverantwortung für das Produkt trägt. Dies kann der Importeur oder ein autorisierter Repräsentant des Herstellers sein. Sein Name erscheint auf der Etikette und auf der Gebrauchsinformation. Je nach Klassifikation des Produktes ergeben sich verschiedene Anforderungen an sein QM-System und an die Beteiligung der Benannten Stelle. Auf dieser Basis wurde z.b. im Anhang II der Richtlinie 93/42/EWG folgender Passus eingeführt: «Es [das QM-System] soll insbesondere eine adäquate Beschreibung beinhalten von falls Auslegung, Herstellung und/oder Endkontrolle und Prüfung des Produkts oder von Produktbestandteilen durch einen Dritten erfolgt Methoden zur Überwachung der wirksamen Anwendung des Qualitätssicherungs systems und insbesondere Art und Umfang der Kontrollen, denen dieser Dritte unterzogen wird.» Fallkonstellationen Um die Geschäftsbeziehung zwischen OEM und PLM klar zu regeln, müssen Produktklasse und QM-Zertifizierung der Partner betrachtet werden. In den meisten Fällen können dafür die folgenden, vereinfachten Grundannahmen getroffen werden (Tabelle 1): ein PLM unterhält ein QM-System nach Anh. II der Richtlinie 93/42/EWG und EN ISO 13485 ein OEM hat das Produkt bereits entwickelt, hergestellt und vermarktet, evtl. ausserhalb Europas 4 Best Practices Medizintechnik
The Business Designers Wie steht es mit der Konformität Ihrer Medizin- produkte? Neues Patientenrechtegesetz und seine Auswirkungen Die deutsche Bundesregierung will die Patientenrechte stärken. In einer gemeinsamen Initiative des Gesundheits- und Justizministeriums soll ein «Patientenrechtegesetz» entstehen. In dem vorgestellten Entwurf ist u.a. vorgesehen, dass die Kranken- und Pflegekassen verpflichtet werden, ihre Versicherten bei Schadensersatzansprüchen zu unterstützen. Auch für Hersteller von Medizinprodukten hätte dies Konsequenzen. Was bedeutet die Stärkung des Patientenrechts für die Hersteller von Medizinprodukten? Welche Szenarien können sich aus dem Vorhaben entwickeln? Drohen gar die berüchtigten «amerikanischen Verhältnisse» in der Produkthaftung? Müssen sich Hersteller auf eine Klageflut einrichten? Ein Blick auf der Website der zuständigen Behörde in Deutschland, das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), zeigt in Summe jedes Jahr eine wachsende Zahl von Vorkommnissen mit Medizinprodukten. Ein Vorkommnis bedeutet: «jede Funktionsstörung oder jede Änderung der Merkmale und/oder der Leistung sowie jede Unsachgemässheit der Kennzeichnung oder der Gebrauchsanweisung eines Produkts, die zum Tode oder zu einer schwerwiegenden Verschlechterung des Gesundheitszustands eines Patienten oder eines Anwenders führen kann oder geführt hat» (RL 93/42/EWG Artikel 10 Abschnitt 1, Absatz a). 6 Best Practices Medizintechnik
The Business Designers Effizienter Compliance-Ansatz für Unternehmens-IT ITIL, CobiT, SOX, EuroSOX und GMP, GAMP5, cgxp widersprüchliche oder komplementäre Sichtweisen für qualitätsgesicherte IT-Prozesse? Die hinter den schillernden Akürzungen ITIL, CobiT, SOX, EuroSOX und GMP, GAMP5, cgxp stehenden Prinzipien wollen vor allem eines: die Anforderungen für die Unternehmens-Informationstechnologie (IT) an Betriebssicherheit, Stabilität, Business-Support und Produktqualität sicherstellen. Aber wo ansetzen, um IT-Service-Prozesse gesetzeskonform und pragmatisch zu gestalten? Dabei entsteht für die Unternehmens-IT eine besondere Herausforderung: während SOX/EuroSOX und cgxp-gerechte IT in Regularien und Gesetze gegossen und damit verbindlich für die entsprechenden Unternehmen sind, sind ITIL/CobiT und GAMP5 Industrie-Standards, denen man sich freiwillig unterwerfen kann. Leider sind die Prinzipien nicht komplett deckungsgleich. Zusätzliche Anforderungen entstehen durch Corporate Governance-Anforderungen, welche in den IT- Governance-Richtlinien des Unternehmens umgesetzt und auch bei Unternehmensprüfungen abgefragt werden. Versuchen wir zunächst eine kurze Begriffsdefinition, da die verschiedenen Begriffe ihrer Entstehung und Herkunft nach auf den ersten Blick nicht viel gemeinsam haben: GMP (Good Manufacturing Practice) sind die behördlichen MUSS-Anforderungen für die Unternehmen der regulierten Branchen wie Pharma, Biotechnologie, Medizintechnik und ihnen nahestehende Zulieferbetriebe. Die Standards haben zum Ziel, dass in Erfüllung (Compliance) der rechtlichen (z.b. GMP) oder der freiwilligen Standards (GAMP5, ISO 9000ff, ISO13485 u.a.) die Gefahr für den Patienten minimiert und die Produktqualität und -sicherheit maximiert wird. Diese Definition ist für uns eine grundlegende Feststellung und für alle weiteren Betrachtungen in diesem Artikel die Ausgangsbasis. ITIL (Information Technology Infrastructure Library) definiert die wesentlichen Service-Prozesse eines IT-Betriebs in einem Unternehmen. Richtet dieses seine IT-Services nach ITIL aus, so ist das ein freiwilliger Prozess mit dem Ziel, die interne Kundenzufriedenheit, die Stabilität der IT und die Qualität der IT-Services kontinuierlich zu verbessern. CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Rahmenwerk zur Umsetzung und Einführung von IT-Governance in einem Unternehmen. Es werden die IT-(Service)-Prozesse definiert nebst den dazu notwendigen Steuerungsvorgaben, den so genannten Control Objectives (oft fälschlicherweise mit Kontrollzielen übersetzt). CobiT legt somit fest, was umzusetzen ist, weniger wie es zu tun ist. Damit schlägt das Regelwerk die Brücke zwischen Unternehmens-IT und der Corporate Governance, stellt also die IT in den Dienst des Geschäftsmodells bzw. den Unternehmenszielen. SOX (Sarbanes Oxley Act) ist ein US-Bundesgesetz, das als Reaktion auf die Bilanzskandale der frühen 2000er-Jahre in den USA entstand. Es soll die Berichterstattung der Unternehmen an den US-Kapitalmärkten regulieren und Transparenz herstellen. Insbesondere die Section 404 ist in der Öffentlichkeit bekannt, weil Unternehmen und Wirtschaftsprüfer danach die Wirksamkeit des internen Kontrollwesens (IKS) beurteilen müssen. Damit wurden viele Aspekte der Corporate Governance, der Finanz-/Controlling-Prozesse und der sie unterstützenden IT verändert. Die Umsetzung des Gesetzes in den Unternehmen führte analog den GMP-Anforderungen zu erhöhten Anforderungen an die Prozess-Dokumentation im Finanz- und Rechnungswesen sowie in der IT-Service-Qualität und -Stabilität in den Unternehmen. EuroSOX (8.EU-Richtlinie, Abschlussprüfungsrichtlinie) bezeichnet die EU-Richtlinie 2006/43/EG zur Prüfung von Jahresabschlüssen von in der EU ansässigen Firmen. In der europäischen Variante des Sarbanes Oxley-Act geht es ähnlich der US-Vorlage um die Verlässlichkeit und Korrektheit der Unternehmensabschlüsse mit den entsprechenden Auswirkungen auf die IT-gestützten Finanz- und Controlling-Prozesse in einem Unternehmen und seiner Corporate Governance. Folgerungen für IT-Prozesse Für die Unternehmens-IT, insbesondere mittelständischer Firmen, ergibt sich nun die Frage: wie um Gottes Willen soll man mit vertretbarem Aufwand so vieler verschiedener Herren Diener sein? Um dies zu beantworten, müssen die Schnittmengen der Anforderungen und ihre Besonderheiten erarbeitet werden. So betrachten cgxp und GAMP in einem Unternehmen vorwiegend die Prozesse, welche unmittelbar mit der Herstellung, Qualität und dem Inverkehrbringen von Produkten verbunden sind. SOX/EuroSOX legen Augenmerk auf die Finanz- und Best Practices Medizintechnik 11
The Business Designers Ein erster Blick auf den neuen Annex 11 Plädoyer für genauere Risikobetrachtung Die jetzt vorliegende Novellierung des Annex 11 reagiert auf die Trends und Entwicklungen der letzten Jahre. Dabei bezieht er die Prinzipien des ICH Q9 «Quality Risk Management», den neuen ISPE GAMP 5-Leitfaden sowie die steigende Bedeutung von Aspekten der Informationssicherheit in der regulierten Industrie mit ein. Gleich zu Beginn ist die Zielsetzung festgelegt: Die Anwendung muss validiert und die IT-Infrastruktur qualifiziert werden. Das erste Kapitel (Risk Management) betont von Anfang an die Notwendigkeit einer umfassenden Risikobetrachtung, immer im Hinblick auf Produktqualität und -sicherheit, sowie Datensicherheit und -integrität. Dies entspricht den bekannten drei Hauptzielen aus dem ISPE GAMP 5: der Gewährleistung der Patientensicherheit und Sicherstellung von Produktqualität sowie Datenintegrität. Der Betreiber muss Umfang und Tiefe seiner Validierungsaktivitäten im Hinblick auf die eigene dokumentierte Risikoeinschätzung begründen und verteidigen. Ein umfassendes Risikomanagement ist einer der grossen Trends auf dem Gebiet der Validierung im Allgemeinen: als wirksames Mittel, um Aufwand und damit Kosten in vertretbaren Grenzen zu halten ohne Abstriche am eigentlichen Ziel, dem Nachweis der «fitness for intended use». Der bisherige EG-GMP-Annex 11 «Ergänzende Leitlinie für computergestützte Systeme» hat seine Ursprünge in den frühen 1980er Jahren und ist seitdem mehr oder weniger unverändert geblieben. Die inhaltlichen Grundzüge des Annex 11 sind heute sicher noch in vielen Bereichen der IT anwendbar. Mehr und mehr fiel es aber Inspektoren und der Industrie schwer, neue technische Entwicklungen in der Informationstechnologie mit Hilfe dieses Regelwerks zu bewerten. Was hat sich geändert? Schon auf den ersten Blick fällt der etwas gewachsene Umfang auf: 17 Unterkapitel sind entlang eines typischen Lebenszyklus angeordnet, beginnend mit allgemeinen Aspekten, über die Projektphase, die nur aus dem Kapitel «Validierung» besteht und der operativen Phase, gefolgt von einem Glossar. Im Kapitel 2 (Personnel) wird auf die Notwendigkeit von klar definierten Rollen und Verantworlichkeiten hingewiesen. Worin nun konkret die Aufgaben von Process Owner, System Owner und Qualified Persons bestehen, wird nicht näher ausgeführt. In der Zusammenarbeit mit Lieferanten und (Entwicklungs-) Dienstleistern müssen Aufgaben und Verantwortlichkeiten geregelt sein. Dies gilt auch für «interne» IT-Abteilungen. Die Notwendigkeit eines Audits soll aufgrund einer Risikobetrachtung evaluiert werden. Projektphase: risikobasierte Validierung Das vierte Kapitel «Validierung» wird wesentlich detaillierter und spezifischer behandelt. Es bildet den Abschnitt «Project Phase». Dieser besagt, dass die gewählte Validierungsstrategie die relevanten Schritte im Lebenszyklus abdecken und (risiko)begründet sein muss. Vom Betreiber wird eine aktuelle Aufstellung aller Systeme einschliesslich einer Kategorisierung der jeweiligen GxP-Auswirkung und Risikoeinstufung gefordert. Speziell für kritische Systeme sind die detaillierte physische und lo- 14 Best Practices Medizintechnik