Spring naar inhoud

Tijd om ISO 13485 te vereenvoudigen

22 november 2021

normen

Michael Schaefer publiceerde op 21 november op LinkedIn een interessant pleidooi om ISO 13485 te vereenvoudigen. Zijn argument is dat omdat in de meeste rechtsgebieden voortdurend strengere en gedetailleerdere regelgeving ontstaat, het belang van een gedetailleerde QMS-standaard voor medische hulpmiddelen afneemt. Vervolgens doet hij meerdere voorstellen om de eisen in ISO 13485 te vereenvoudigen, waarbij in korte clausules wordt gefocusseerd op wat het doel van elke marktdeelnemer in de medische hulpmiddelen markt zou moeten zijn: het leveren van een veilig en goed presterend product.

Ook ik ervaar in mijn dagelijkse praktijk dat ISO 13485 eerder een probleem kan vormen dan een steun:

  • Aangemelde instanties richten zich tijdens hun audit op de uitvoering van de bedrijfsvoering in overeenstemming met de clausules in ISO 13485, maar verliezen daarbij de noodzaak voor de beheersen ten behoeve van het verbeteren van de prestatie en veiligheid van het medisch hulpmiddel uit het oog. Zo heb ik een procedure moeten schrijven voor het valideren van software voor een bedrijf dat alleen maar Common of the Shelf (COTS) software (office pakketten en CAD tekenpakken) gebruikt, waarbij de resultaten 100% worden gecontroleerd door document beheersingsprocedures en ontwerpverificatie en validatie. Nu heb ik zo’n procedure wel op de plank liggen die ik klakkeloos kan toepassen, immers, de procedure zou toch nooit worden toegepast; de tekst moet alleen de auditor van de aangemelde instantie tevreden houden.
  • Als ik audits uitvoer tegen ISO 13485 merk ik dat ik sommige waarnemingen kan relateren aan meerdere clausules, waarbij andere waarnemingen geen vereiste kennen in de ISO norm. Het punt is dat de dubbele clausules met name de sturende en controlerende processen zijn (hoofdstuk 4, 5 en 8), terwijl ik vereisten mis in de beheersing van middelen en product realisatie (achtereenvolgens hoofdstuk 6 en 7).

Dus, net als Michael, ben ik wel voorstander van een herziening van ISO 13485, gericht op toegevoegde waarde van de norm, in plaats van de bureaucratische last.

Een eerste analyse, die gemaakt moet worden, is die van het regulerende landschap waarin de norm zijn positie inneemt. Verschillende regelgevers geven aan welke normen kunnen worden toegepast om overeenstemming met de wet- en regelgeving te bereiken. ISO 13485 is één van die zogenaamde geharmoniseerde of erkende normen. Recentelijk is amendement ISO 13485:2016 A11:2021 gepubliceerd waarin in de Z bijlagen wordt aangegeven met welke wettelijke eisen ISO 13485 overeenstemming kan worden bereikt. In het kort vereist de wet dat een fabrikant een geschikt kwaliteitssysteem vaststelt waarmee wordt gewaarborgd dat veilige hulpmiddelen op de markt worden gebracht, die voldoen aan de prestatiecriteria. Dus Michael heeft een punt als wordt aangekaart dat alle normatieve eisen die niet bijdragen aan dit doel in principe overbodig zijn.

Daarnaast is de norm een kwaliteitsmanagementsysteemnorm, die past in de historie van de ISO 9000 normen. Sterker nog, de norm is blijven hangen in de vorige opzet. De norm is niet aangepast aan de nieuwe High Level Structure waarin de overige kwaliteitsmanagementsysteemnomen zijn opgezet. Daarom moeten fabrikanten nog steeds een directievertegenwoordiger aanstellen. Omdat deze weer een andere rol heeft dan de door artikel 15 van de MDR vereiste voor de naleving van de regelgeving verantwoordelijke persoon wordt dit er organisatorisch niet eenvoudiger op. De High Level Structure stelt dat het management verantwoordelijk en aansprakelijk moet zijn voor het kwaliteitsmanagement, wat in de praktijk ook zo is. Of, als het niet zo is, dan helpt daar ook geen directievertegenwoordiger of voor de naleving van de regelgeving verantwoordelijke persoon aan. Ook het kwaliteitshandboek wordt nog steeds in ISO 13485 vereist. Hoeveel waarnemingen ik al niet van de aangemelde instantie heb gekregen ten aanzien van de bewoording in het kwaliteitshandboek. De woorden liggen nog steeds te verstoffen in de la waar het kwaliteitshandboek wordt bewaard. De High Level Structure vereist daarentegen een schriftelijke contextanalyse. Mijn ervaring is als dat deze op een zinvolle wijze wordt uitgevoerd, de contextanalyse veel meer toegevoegde waarde heeft dan het kwaliteitshandboek.

Een ander punt dat meespeelt bij de recentelijke ontwikkeling van ISO 13485 is dat de FDA de norm ziet als vervanger van hun wet 21 CFR 820 Quality System Regulation. Amerikanen zijn nog al van de regeltjes. Alles moet netjes worden voorgekauwd en voorgeschreven, zodat men alleen nog maar de regeltjes hoeft te volgen om tot het gewenste resultaat te komen (de Capitoolbestormers hebben het bewijs geleverd hoe goed dat werkt). 21 CFR 820 behandelt dezelfde onderwerpen als ISO 13485, maar heeft veel meer regeltjes. Dit staat haaks op het concept van contextanalyse. Vandaar dat het hem nog even niet ging worden met de High Level Structure. Wel is zo het Dossier van medisch hulpmiddel (4.2.3) geïntroduceerd, wat weer lekker voer vormt voor de aangemelde instantie. Het dossier moet namelijk worden geïnterpreteerd als de Device Master Record (21 CFR 820.181) aangevuld met een algemene beschrijving van het medisch hulpmiddel, zoals in de MDR bijlage II, 1.1. is vastgelegd. Maar veel fabrikanten die niet op de Amerikaanse markt zitten kennen de term Device Master Record helemaal niet, dus wordt de vereiste voor een Dossier van medisch hulpmiddel (4.2.3) niet begrepen. Daarnaast zijn de vereiste specificaties feitelijk ook de Ontwerp- en ontwikkelingsoutputs (7.3.4). Michael suggereert om 7.3.4 te verwijderen, maar ik zou 4.2.3 willen verwijderen.

Michael stelt voor om sectie 7.1 Planning van product realisatie te laten vervallen, omdat dit al wordt gedekt door sectie 7.3 Ontwerp en ontwikkeling. Daarbij gaat hij echter voorbij aan een andere historische context. ISO 13485 was oorspronkelijk opgesteld voor kwaliteitsmanagementsystemen van fabrikanten. Maar de daadwerkelijke vervaardiging werd meer en meer uitbesteed aan contract fabrikanten. Daarbij hadden de fabrikanten de behoefte dat deze toeleveranciers ook voldoen aan de eisen van ISO 13485. Maar toeleveranciers kunnen niet uit de voeten met sectie 7.3, zij hanteren sectie 7.1. Echter, deze uitbesteding wordt ook geregeld door de vereisten van 7.3.8 Overdracht van ontwerp en ontwikkeling. Ik zou 7.1 daarom opnemen in 7.3.8. Dan blijf je wel zitten met de verwijzing in 7.1 naar de norm voor risicomanagement: ISO 14971, die in 7.1 is opgenomen. Die verwijzing vond ik altijd al misplaatst en zou eerder in sectie 7.3.3 thuishoren, waar de verwijzing naar de usability norm: IEC 62366-1, al is opgenomen.

Michael heeft nog een radicaal voorstel: de vereisten voor CAPA uit de norm halen. Hij geeft zelf ook al aan dat hij niet gelooft dat dat gaat gebeuren. Lijkt mij ook niet wenselijk. Afhandeling afwijkende producten is wat anders dan verbetermaatregelen. Wel lijkt het mij noodzakelijk dat het systeem van verbeteringen beter wordt geïntegreerd met andere systemen, zoals risicomanagement. De gedachte dat preventieve maatregelen feitelijk risicobeperkende maatregelen zijn die voortkomen uit een risicoanalyse, zoals nu opgenomen in de High Level Structure, heeft het ook niet gehaald in ISO 13485. Dat terwijl ISO 13485 een risico gebaseerde benadering van kwaliteitsmanagement verwacht. Nu krijgen fabrikanten discussies met hun aangemelde instanties of ze de termen corrigerende en preventieve maatregelen goed toepassen. Leuke discussie, maar het gaat er uiteindelijk om dat alle noodzakelijk maatregelen zijn getroffen om te verzekeren dat elk product aan de eisen voor veiligheid en prestatie voldoet. Laten we ons liever bezighouden met die risico gebaseerde benadering, waarin verbetermanagement, PMS en directiebeoordeling met elkaar zijn geïntegreerd.

Als we het toch hebben over PMS en directiebeoordeling, Michael zegt dat sectie 8.4 Analyse van gegevens niet noodzakelijk is, omdat dat impliciet wordt vereist in PMS en directiebeoordeling. Sectie 8.4 is inderdaad een ramp. Je moet er zelfs een procedure voor hebben, war een onzin. Mijn argument dat dit de PMS en de directiebeoordelingsprocedure was werd niet geaccepteerd door de aangemelde instantie. Dus heb ik een procedure geschreven waarin ik heb beschreven dat Analyse van gegevens plaats vindt door middel van PMS en directiebeoordeling. Toen was de aangemelde instantie wel tevreden. Tjonge jonge, wat hebben we het kwaliteitsmanagementsysteem verbeterd met elkaar. Daarbij is het een illusie dat gegevens alleen worden geanalyseerd tijdens PMS en directiebeoordeling, wat dacht je van kwalificaties en validaties, alle monitoring activiteiten, etc. Sterker nog, Besluitvorming op basis van feiten is één van de acht kwaliteitsmanagementprincipes waarop de ISO normen zijn gebaseerd. Dat kun je niet vervatten in één procedure. Net als risico gebaseerd denken, moet dat een integraal onderdeel zijn van alle procedures.

Michael doet nog een aantal andere interessante voorstellen, de ene wat haalbaarder dan de ander. Dus bij deze als leestip.

No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.

%d bloggers liken dit: