Der Risikomanagementplan ist eines der wichtigsten Dokumente der Technischen Dokumentation. Entsprechend intensiv prüfen Behörden und Benannte Stellen diesen Plan.
Doch nicht nur aus regulatorischer Sicht profitieren Medizinproduktehersteller von einem präzisen Risikomanagementplan. Dieser Beitrag
- nennt die regulatorischen Anforderungen und
- zeigt auf, wie Hersteller von einem präzisen Plan profitieren.
1. Was ein Risikomanagementplan ist
In einem Risikomanagementplan dokumentiert ein Hersteller Informationen zu Verfahren, Aktivitäten, Methoden und Werkzeugen beim Risikomanagement eines bestimmten Produkts, und zwar über dessen gesamten Lebenszyklus hinweg.
Üblicherweise liegen diese Informationen als gelenktes Dokument vor. Es ist auch möglich, diese Informationen – wie beim Realtime Compliance System – als strukturierte Daten abzulegen.
Kapitel 3 dieses Artikels nennt die Inhalte eines Risikomanagementplans.
2. Welche Vorteile der Risikomanagementplan bietet
Vorteil 1: Regulatorische Konformität und schnelle Zulassung
Normen wie die ISO 14971, Kapitel 4.4 und Gesetze fordern Risikomanagementpläne. Beispielsweise schreiben MDR und IVDR in Anhang I Abschnitt 3 wortgleich:
„Bei der Durchführung des Risikomanagements müssen die Hersteller a) einen Risikomanagement-Plan für jedes Produkt festlegen und dokumentieren.“
MDR Anhang I, Abschnitt 3
Wenn Hersteller diese Anforderung erfüllen, vermeiden sie regulatorischen Ärger bei z. B. Zulassungen, Prüfungen der Technischen Dokumentation und Audits und mögliche Folgen wie eine verspätete Zulassung.
Vorteil 2: Effizientere Entwicklung
Liegt ein Plan vor, wissen alle beteiligten Personen, was wann zu tun ist. Das ist insbesondere für ein erfolgreiches Risikomanagement wichtig, zu dem viele unterschiedliche Rollen beitragen:
- Entwicklung
- Risikomanager
- Qualitätsmanagement
- Klinisches Expertenteam
- Oberste Leitung
- Kunden und Anwender
Ein Plan stellt sicher, dass alle Aktivitäten koordiniert werden und zum richtigen Zeitpunkt stattfinden. Er hilft, unabgestimmte Aktivitäten und Blindleistung zu vermeiden.
Vorteil 3: Bessere Produkte
Wenn alle Aktivitäten des Risikomanagements von den richtigen Personen, mit den richtigen Methoden und zum richtigen Zeitpunkt ausgeführt werden (genau diese legt der Risikomanagementplan fest), sind diese Aktivitäten besonders wirksam. Das bedeutet, dass Risiken besonders zuverlässig gefunden und beherrscht werden. Dies resultiert in sicheren Produkten.
Der Risikomanagementplan ist auch notwendig, um aus der oft allgemeingültigen Verfahrensanweisung zum Risikomanagement die produktspezifischen Anforderungen an das Risikomanagement abzuleiten. Erst die produktspezifischen Aktivitäten führen dazu, dass die Sicherheit des Produkts optimiert wird.
Der allgemeine Risikomanagementplan fordert, dass bei der Entwicklung des Produkts Risiken identifiziert und alternative Technologien und Architekturen bewertet werden müssen.
Der Risikomanagementplan für eine Standalone-Software fordert, dass die bei der Entwicklung verwendeten Software-Bibliotheken u. a. abhängig davon ausgewählt werden müssen, in welcher Geschwindigkeit deren Hersteller Patches ausliefert.
Vorteil 4: Bessere Prozesse
Der Risikomanagementplan hilft auch auf der Metaebene: Er ist ein Teil des PDCA-Zyklus („Plan-Do-Check-Act“). Ohne einen Plan kann nichts getan („Do“) und geprüft werden („Check“). Aus der Abweichung vom Ist zum Plan ergeben sich die notwendigen Handlungen („Act“) zur Verbesserung nicht nur des spezifischen Plans, sondern auch des gesamten Risikomanagementprozesses.
Der Risikomanagementplan fordert, dass Sicherheitsschwachstellen von Software während ihrer Architekturphase vermieden und während der Systemtestphase durch Penetrationstests gesucht werden müssen.
Es stellt sich heraus, dass die Penetrationstests viele Schwachstellen identifizieren, die bereits während der Architekturphase hätten vermieden werden können.
Daher ergänzt der Hersteller für Softwareprodukte in seiner Verfahrensanweisung für das Risikomanagement die Forderung nach einem Threat-Modeling während der Architekturphase.
3. Welche Inhalte der Risikomanagementplan hat
Die Mindestanforderungen an den Inhalt von Risikomanagementplänen stellen
- die ISO 14971, Kapitel 4.4 und
- das Positionspapier des Teams-NB aus dem Jahr 2023 (siehe S. 18).
Die ISO 14971 fordert folgende Elemente:
- Anwendungsbereich („Scope“) der Risikomanagement-Aktivitäten
- Verantwortlichkeiten
- Anforderungen an die Aktivitäten
- Kriterien für die Risikoakzeptanz
- Methode zur Beurteilung der Restrisiken
- Aktivitäten zur Verifizierung der Maßnahmen zur Risikokontrolle
- Aktivitäten während der Produktion und in der nachgelagerten Phase
Im Folgenden gibt es weiterführende Hinweise zu den Inhalten des Risikomanangementplans.
a) Anwendungsbereich
Der Anwendungsbereich hat verschiedene Dimensionen, die der Risikomanagementplan berücksichtigen sollte:
Aufbauorganisation
Hier ist festzulegen, welche Personen und Abteilungen das Dokument betrifft. Diese sollten auch an der Erstellung und Freigabe des Risikomanagementplans beteiligt sein.
Viele Aktivitäten bei der Entwicklung und Produktion von Medizinprodukten übernehmen Lieferanten. Daher muss der Plan regeln, ob er sich auch auf diese bezieht.
Objekt
Der Plan sollte festlegen, auf welches Produkt oder welche Produkte er sich bezieht. Bei Systemen kann das auch nur ein Teil des Systems betreffen, ggf. nur Zubehör zu einem Produkt oder Verbrauchsmaterialien.
Achten Sie darauf, dass die Schnittstellen zu anderen Produkten bzw. Komponenten auch mit den Schnittstellen der Dokumente (hier Pläne) abgeglichen sind.
Ablauforganisation und Prozesse
Es sollt klargestellt werden, welche Prozesse und Lebenszyklusphasen der Plan abdeckt. Gilt er nur für die initiale Entwicklung oder auch für spätere Design Changes? Deckt er die Post-Market-Phase ab?
Meist gibt es einen eigenen Post-Market-Surveillance-Plan, welchen der initiale Risikomanagementplan referenziert.
Dabei sollte beachtet werden, dass der Post-Market-Plan nach MDR die Fertigungsphase nicht einschließt, der Risikomanagementplan nach 14971 schon.
b) Verantwortlichkeiten
Risikomanagement ist ein Teamsport. Typische Rollen wurden weiter oben in Kapitel 2 aufgeführt. Der Risikomanagementplan stellt sicher, dass keine Rollen vergessen und alle notwendigen Kompetenzen vorhanden sind.
- Die ISO 14971 fordert im Kapitel 7.3.2 zur Entwicklungsplanung, dass der Hersteller „die erforderlichen Ressourcen, einschließlich der notwendigen Kompetenzen des Personals“ festlegt. Diese Festlegungen sind spezifisch für das jeweilige Entwicklungsprojekt. Entsprechend müssen die Hersteller diese Kompetenzen festlegen und Nachweise bereithalten.
- Regelmäßig wird das „Assignment of responsibilities and authorities” missverstanden. Eine “Authority” hat das Recht, beim Review des Risikomanagements die Produktfreigabe zu verhindern, wenn Zweifel am Risiko oder am Nutzen-Risiko-Verhältnis bestehen. Diese „Authority“ muss bestimmt sein.
c) Anforderungen an die Aktivitäten
Methoden und Verfahren
Im Rahmen des Risikomanagements müssen verschiedene Aktivitäten durchgeführt werden, z. B. die Gefährdungsanalyse, die Risikobewertung, die Festlegung risikominimierender Maßnahmen und die Überprüfung von deren Wirksamkeit.
Für jede dieser Aktivitäten müssen die Hersteller Anforderungen festlegen. Üblicherweise geschieht das dadurch, dass sie Methoden festlegen, etwa die PHA für die Gefährdungsanalyse.
Falls bereits eine übergeordnete Prozess- oder Verfahrensanweisung dazu Vorgaben macht, kann der Risikomanagementplan diese überschreiben oder in anderer Weise projektspezifisch festlegen.
- Im Risikomanagementplan wird festgelegt, dass eine modulare D-FMEA die Auswirkungen von Fehlern nur bis zur „Gerätekante“, d. h. bis zur Verletzung der Produktspezifikation analysiert und dabei eine andere Bewertung verwenden darf, z. B. in Form einer RPZ.
- Der Risikomanagementplan legt die Vorgehensweise fest, wenn die Wahrscheinlichkeit nicht abschätzbar ist. Er bestimmt, dass in diesem Fall eine Worst-Case-Abschätzung gemacht oder die Akzeptanz der Risiken nur anhand des Schweregrads der Risiken bestimmt werden muss.
Weitere Festlegungen
Der Risikomanagementplan kann Antworten auf folgende Fragen liefern:
- Wie wird die Analyse in modulare Sub-Analysen zerlegt (Design, Fertigung, Software, Cybersecurity, Lieferanten, KI/ML, Komponenten, Lebenszyklusphasen etc.)?
- In welcher Form werden die Aktivitäten dokumentiert?
- Wer nutzt wann welche Output-Dokumente?
- Welche Werkzeuge sollen bei den Aktivitäten genutzt werden?
d) Risikoakzeptanz
Weitere Festlegungen des Risikomanagementplans betreffen die Risikoakzeptanzkriterien, beispielsweise
- die Definition der Wahrscheinlichkeits- und Schweregradachse,
- die Herleitung (oder Übernahme) des quantitativen oder qualitativen Nutzens,
- das Vorgehen zur Bewertung des Restrisikos, z. B. basierend auf den Einzelrisiken oder auf Ebene des Gesamtrisikos.
Beachten Sie unsere Tipps zum Ableiten der Risikoakzeptanz.
e) Weitere Festlegungen
Regelmäßig enthält der Risikomanagementplan Referenzen auf Dokumente, die ebenfalls gelten und zu beachten sind.
4. Typische Abweichungen im Audit
Das Risikomanagement-Team des Johner Institut hat häufig auftretende Beanstandungen von Behörden und Benannten Stellen mit Bezug zum Risikomanagementplan zusammengetragen:
- Das Team ist nicht vollständig. Es fehlt z. B. eine Expertin für die ISO 14971 oder ein Arzt.
- Manche Auditoren und Reviewer behaupten, eine Akzeptanzmatrix dürfe nicht mehr drei Farben haben. Andere geben an, dass Farben gar nicht mehr erlaubt seien. Beides stimmt nicht. Aber generell akzeptable Risiken, die oft grün bezeichnet sind, erlauben weder die ISO 14971 noch MDR bzw. IVDR.
- Der Risikomanagementplan fehlt ganz. Eine Verfahrensanweisung (SOP) alleine genügt nicht, wenn dort produkt- und projektspezifische Festlegungen fehlen.
- Es ist nicht beschrieben, wie das Review gemacht wird oder wer daran teilnimmt.
- Es fehlt eine Aussage zur finalen Gesamtrestrisiko- bzw. Nutzen-Risiko-Bewertung und insbesondere dazu, wie und mit welcher Methode diese vorgenommen wird.
- Es ist nicht klar, welche System- oder Produktbestandteile der Plan abdeckt. Oder der Plan deckt nicht die Varianten des Produkts ab und dessen Zubehör, Verbrauchsmaterialien und Optionen.
- In der Risikoanalyse fehlen bestimmte Gesichtspunkte (z. B. Fertigung, Software, Verpackung, Lagerung/Transport, Begleitpapiere, biologische Sicherheit, etc.), weil sie bereits im Plan fehlten.
5. Tipps zum Erstellen des Risikomanagementplans
a) Typische Fehler ausschließen
Stellen Sie sicher, dass sie die oben in Kapitel 4 genannten Abweichungen, die bei Audits auffallen, ausschließen können.
b) Lenkung des Risikomanagementplans
Ein Risikomanagementplan ist kein statisches Dokument. Er muss mit fortschreitenden Erkenntnissen fortlaufend revisioniert werden. Fügen Sie diese Revisionen der Risikomanagement-Akte bei.
c) Prüfung des Risikomanagementplans
Prüfen Sie, ob der Risikomanagementplan alle Risikomanagement-Aktivitäten spezifiziert, welche die ISO 14971:2019 in den Kapitel 5 bis 10 beschreibt. Für jede dieser Aktivitäten sollte der Risikomanagementplan festlegen:
- Die für die Umsetzung und Prüfung verantwortlichen Personen
- Wie die Aktivitäten dokumentiert werden
- Die Phase des Lebenszyklus oder speziell des Entwicklungsprozesses, in dem diese Aktivität durchgeführt wird
- Die Hilfsmittel und Werkzeuge, die dabei verwendet werden
Lassen Sie Ihren Risikomanangementplan von einem Vertreter des Top-Managements freigegeben, um die Übereinstimmung mit der festgelegten Risikopolitik sicherzustellen.
d) Nutzung des Plans
Um zu prüfen, ob das Risikomanagement gemäß dem Plan erfolgt, können Sie Ihre Design Reviews nutzen. Der Plan liefert auch den Input für die abschließende Risikomanagementbewertung.
Prüfen Sie in beiden Fällen, ob
- die vorgesehenen Personen
- die vorgesehenen Aktivitäten
- zur vorgesehenen Zeit sowie
- mit den vorhergesehenen Methoden und Werkzeugen durchgeführt und
- wie vorgesehen dokumentiert haben.
Wichtig: Die strukturierte und systematische Vorgehensweise der Analyse soll nicht nur geplant, sondern auch entsprechend dokumentiert werden. Das wirkt sich positiv auf die Effizienz der Umsetzung aus und verhindert Lücken sowie Abweichungen. Außerdem können Sie dann zu jedem Zeitpunkt nachweisen, dass Sie tatsächlich systematisch vorgegangen sind.
Ein Hersteller zeigt der Auditorin die Risikotabelle als Teil der Technischen Dokumentation. Die Auditorin sucht in der Tabelle nach drei spezifischen Risiken, findet diese aber nicht. Sie stellt die Hypothese auf, dass eine fehlende Struktur und Systematik die Ursache für das Fehlen sind. Deshalb vermutet sie weitere größere Lücken und verweigert letztlich das Zertifikat.
Weil der Hersteller seine Vorgehensweise nirgends dokumentiert hat, kann er nicht das Gegenteil beweisen und muss die Analyse erneut komplett durchlaufen.
6. Fazit und Zusammenfassung
Ein Hersteller muss für jedes Produkt einen Risikomanagementplan erstellen. Die Inhalte dieser Pläne werden durch Normen und Gesetze festgelegt.
Wie alle Pläne muss auch der Risikomanagementplan festlegen, wer wann, was und wie macht und welche Inputs in welche Outputs überführt. Und wie viele andere Pläne ist der Risikomanagementplan kein statisches Dokument, sondern darf weiterentwickelt werden. Denn das Risikomanagement endet nicht mit der Entwicklung.
Es ist wichtig, die Mindestanforderungen an den Plan zu erfüllen und sie auch umzusetzten. So können Hersteller nicht nur Probleme in Audits und Zulassungen vermeiden. Ein Risikomanagementplan ist ein wichtiger Baustein, um sichere Medizinprodukte effizient zu entwickeln und zu produzieren.
Das Johner Institut bietet alle Hilfestellungen, um auditsichere Risikomanagementpläne zu entwickeln und diese zu befolgen:
- Der Auditgarant stellt bewährte Templates für einen Risikomanagementplan zur Verfügung.
- Im Risikomanagement-Seminar erhalten die Teilnehmenden Hinweise und lernen Tricks kennen, um Pläne zu erstellen und auf Konformität zu prüfen.
- Unsere Expertinnen und Experten prüfen Ihre Pläne aus Sicht der Auditoren. So vermeiden Sie Überraschungen in Audits und bei Zulassungen.
- Das Risikomanagement-Team unterstützt Sie dabei, Ihren produktspezifischen Risikomanagementplan zu erstellen.
Melden Sie sich für ein kostenloses Abstimmungsgespräch, bei dem Ihnen die Expertinnen und Experten gleich erste Praxistipps geben.
