Das Risikomanagement an Dienstleister auslagern. Wäre das nicht praktisch?
Aber darf man das? Und wie sinnvoll ist das überhaupt? Umgekehrt: Was sollten Sie als Dienstleister sich keinesfalls aufbürden lassen?
Dieser Artikel gibt die Antworten. Er enthält einen Vorschlag, wie Hersteller und Dienstleister ihre Tätigkeiten aufteilen können, und gibt beiden praktische Tipps.
1. Risikomanagement bei Dienstleistern
a) Um welche Dienstleistung es geht
Viele Medizinproduktehersteller nutzen externe Firmen, beispielsweise für die
- Entwicklung des ganzen Produkts (auch die OEM-Hersteller könnten als solch ein Entwickler betrachtet werden),
- Entwicklung von Komponenten,
- Produktion von Produkten und Komponenten oder
- Sterilisation.
b) Um welche Risikomanagement-Tätigkeiten es geht
Die ISO 14971 legt die Tätigkeiten beim Risikomanagement fest. Dazu zählen:
- Festlegung der Risikopolitik und der Kriterien für die Risikoakzeptanz
- Identifizierung der Gefährdungen
- Bewertung der Risiken
- Festlegung und Umsetzung der Maßnahmen
- Verifizierung von Umsetzung und Wirksamkeit der Maßnahmen
- Überprüfung aller Risikomanagement-Tätigkeiten
c) Wo liegt die Herausforderung?
Dienstleister entwickeln, produzieren oder behandeln Komponenten und Produkte (z. B. reinigen oder sterilisieren sie diese). Wenn dabei Fehler passieren, dann kann sich die Komponente und damit das ganze Produkt nicht spezifikationsgemäß verhalten. Es könnte z. B. brechen, strahlen oder verunreinigt sein.
Das führt direkt oder indirekt zu Gefährdungen. Es gibt Gefährdungssituationen und Schäden mit einer gewissen Wahrscheinlichkeit und einem bestimmten Schweregrad – Risiken für Patienten, Anwender oder Dritte.
Es ergeben sich mehrere Fragen:
- Welche Tätigkeiten sollen und dürfen die Inverkehrbringer beim Risikomanagement von Dienstleistern erledigen lassen?
- Welche Tätigkeiten sollten die Dienstleister sich aufbürden lassen?
- Wer trägt letztlich die Verantwortung?
2. Die ideale Aufteilung
a) Was Dienstleister leisten können
Eine Firma muss sich offensichtlich mit der Komponente (oder dem Produkt) auskennen, die sie im Auftrag entwickelt oder produziert. Sie muss wissen,
- was die Spezifikationen dieser Komponente bzw. dieses Produkts sind,
- welches nicht-spezifikationsgemäße Verhalten die Komponente bzw. das Produkt aufweisen kann,
- was die Ursachen dieses Fehlverhalten sein können (z. B. Aufbau oder Inputs der Komponente) und
- mit welcher Wahrscheinlichkeit dieses Fehlverhalten auftritt.
Genau diese Analysen sollte der Dienstleister vornehmen. Sie sind Teil des Risikomanagements.
Beachten Sie weitere Tipps im Artikel zu den kritischen Bauteilen und Komponenten.
b) Was Dienstleister nicht (so gut) leisten können
Hingegen ist der Dienstleister (in seiner Rolle) kein Experte für die weitere Ursachenkette (s. rote Linie in Abb. 1): Er kann nicht (so gut) beurteilen,
- wie sich eine fehlerhafte Komponente auf das Produkt auswirkt (falls er nicht der Dienstleister für das ganze Produkt ist),
- welche Schäden ein fehlerhaftes Produkt bei Patienten, Anwendern und Dritten verursachen kann,
- mit welcher Wahrscheinlichkeit diese Schäden auftreten und welchen Schweregrad sie haben (sprich: wie groß die Risiken sind) und
- ob diese Risiken akzeptabel sind.
In der Post-Market-Phase verfügt der Dienstleister typischerweise nur über die Informationen, die für seine Komponente oder sein Produkt spezifisch sind.
c) Empfehlung für die Aufteilung der Tätigkeiten
Hersteller und ihre Auftragnehmer können die Tätigkeiten beim Risikomanagement beispielsweise wie folgt aufteilen:
| Tätigkeit | Hersteller | Dienstleister | Kommentar |
| Risikoakzeptanzkriterien festlegen | X | Hängt vom Nutzen ab | |
| Nutzen des Produkts bestimmen | X | Stammt aus klinischer Bewertung | |
| Risikomanagementplan erstellen | X | (X) | Ggf. für Teilaktivitäten |
| Usability-Risiken evaluieren | X | (X) | Nur falls Usability-Dienstleister |
| Ursachen für nicht spezifikationsgemäßes Verhalten des Produkts bzw. der Komponente identifizieren | X | X | nur für die Komponente des Dienstleisters; für Produkt muss dessen Architektur bekannt sein |
| Gefährdungen identifizieren | X | (X) | Setzt voraus, dass der Dienstleister den Anwendungs- und medizinischen Kontext kennt |
| Risiken bewerten | X | Setzt voraus, dass der Dienstleister den medizinischen Kontext kennt | |
| Produktionsrisiken identifizieren und bewerten | X | (X) | Nur für den Teil, den der Dienstleister produziert |
| Informationen in Post-Market-Phase sammeln und bewerten | X | (X) | Nur für die Komponente des Dienstleisters (eher sammeln als bewerten) |
3. Tipps
a) Für Dienstleister
Tipp 1: Zusammenarbeit mit dem Hersteller regeln
Dienstleister sollten die Zusammenarbeit mit dem Hersteller präzise regeln. Dazu zählen:
- Spezifikation der Komponenten (oder des Produkts), die (das) entwickelt oder produziert werden soll(en)
- Vorgaben zur Dokumentation (die ein Teil des Outputs des Dienstleisters ist)
Die Auftragnehmer sollten keine Tätigkeiten übernehmen, für die notwendige Informationen oder Kompetenzen fehlen.
Tipp 2: FMEA nutzen
Für Dienstleister sind die FMEA (dFMEA, pFMEA) die wichtigsten Methoden der „Risikoanalyse“.
Tipp 3: Portfolio ausbauen
Firmen, die als Dienstleister für die Entwicklung oder Produktion von Medizinprodukten agieren, können ihr Angebotsportfolio erweitern und die Hersteller auch beim Risikomanagement als Dienstleister (Berater) unterstützen.
Dies ist aber eine andere Rolle. Sie erfordert andere Kompetenzen und alle Einblicke in das Produkt und dessen Nutzung.
b) Für Hersteller
Tipp 1: Zusammenarbeit klar regeln
Hersteller sollten darauf achten, Tätigkeiten „konsistent“ auszulagern. Beispielsweise sollte der Dienstleister, der eine Komponente entwickelt,
- die Komponente und ihre Entwicklung sowie ihren Aufbau (Architektur) dokumentieren
- die möglichen Fehlerursachen und Fehlerwirkungen dieser Komponente identifizieren,
- Wahrscheinlichkeiten dieser Fehler abschätzen.
All diese Informationen sind der Output des Dienstleisters und dienen als Input des Herstellers, v. a. für das Risikomanagement.
Der Input für den Dienstleister besteht in
- der Spezifikation für die zu entwickelnde Komponente,
- Vorgaben für die Entwicklung,
- Dokumentation der Tätigkeiten (sprich: Spezifikation des Outputs).
Üblicherweise regeln Qualitätssicherungsvereinbarungen diese Zusammenarbeit.
Tipp 2: Realistisch bleiben
Die Versuchung ist groß, alles an die Auftragnehmer auszulagern. Aber die Verantwortung für das Medizinprodukt bleibt beim Hersteller. Daher ist es ratsam, die Dienstleister wie vertraglich vereinbart zu überprüfen, z. B. im Rahmen von Lieferantenaudits.
Die Hersteller sind gesetzlich zur Lieferantenlenkung verpflichtet.
Tipp 3: Die Aufteilung im Risikomanagementplan beschreiben
Welche Partei welche Tätigkeit im Rahmen des Risikomanagements durchführt, müssen Hersteller im Risikomanagementplan beschreiben.
4. Zusammenfassung
Auslagern ergibt oft Sinn …
Jeder sollte das tun, was er am besten kann. Daher ist es oft sinnvoll, wenn Hersteller Tätigkeiten wie die Entwicklung, Produktion oder Verarbeitung von Komponenten oder ganzen Produkten an Dienstleister auslagern.
Die Verantwortung für die Produkte verbleibt aber beim Hersteller. Auch die Verantwortung für das Risikomanagement.
… wenn der Dienstleister die Kompetenzen dafür hat
Daher sollten die Hersteller die Tätigkeiten beim Risikomanagement nur so weit an die Dienstleister auslagern, wie diese über notwendige Kompetenzen verfügen. Dazu gehört die Kompetenz, die Ursachen und die Arten des nicht spezifikationsgemäßen Verhaltens der Komponenten zu identifizieren, die der Dienstleister entwickelt, produziert oder verarbeitet. Und die Wahrscheinlichkeit, mit der dieses nicht spezifikationsgemäße Verhalten auftritt. Dieses Fehlverhalten entspricht aber nicht den Schäden. Folglich unterstützen die Dienstleister beim Risikomanagement, bewerten aber keine Risiken im Sinne der ISO 14971.
Sehr geehrter Herr Rozenzweig,
wenn man Komponenten für ein eigenes Produkt als fertiges Listenprodukt von einem Lieferanten einkauft, muss man dann die Entwicklungsdokumentation und Risikobewertung für diese Komponente nachweisen? Kann bzw. muss man auf eine EN ISO 13485 Zertifizierung des Lieferanten verweisen?
Sollte dies nicht gehen, dann müsste der Hersteller die Entwicklungsdokumentation für sämtliche Ausgangsstoffe/Materialien durchführen. Dies ist aber nicht möglich, da dies die Entwicklung/Produktion sämtlicher Chemikalien/Gemische oder z.B. Gefäße miteinbeziehen würde.
Die Dokumentation des Herstellers beginnt doch an dem Punkt, an dem er aus den Ausgangsmaterialien ein eigenes neues Produkt entwickelt.
Nachvollziehen kann ich die Pflicht des Herstellers für die Dokumentation der Entwicklung und des Riskos, wenn der Hersteller nur die Anforderungen setzt, die eigentliche Entwicklung und ggf. Produktion an einen Dienstleister auslagert.
Aber eben nicht, wenn er bereits ein fertiges (Listen-)Produkt einkauft und es zum eigenen Produkt weiterentwickelt/-verarbeitet.
Viele Grüße
G. Handt
Sehr geehrter Herr Handt,
danke für Ihre spannende und wichtige Frage!
Bei Komponenten sollte man unterscheiden zwischen Handelsware und einer Individual-Entwicklung (Stichwort: Verlängerte Werkbank). Wenn Sie z.B. ein Standard-Netzteil kaufen und in ihrem Produkt verbauen, werden Sie wahrscheinlich keine Entwicklungsdokumentation bekommen und benötigen. Falls Sie hingegen ein Netzteil für sich speziell gemäß Ihren Spezifikationen entwickeln lassen, wäre die Entwicklungsdokumentation vorzulegen, einschließlich den Teilen für das Risikomanagement.
Letztlich bestimmt auch das Risikomanagement für das gesamte Produkt selbst, welche Anforderungen die Komponente und die Nachweise, dass diese Anforderungen erfüllt sind, erfüllen müssen.
Fazit: Wir stimmen Ihren Gedanken zu und danken Ihnen für die differenzierte Betrachtung.
Viele Grüße
Christian Johner