Was ist die ISO 13485 und was sagt sie aus?

Immer öfter in letzter Zeit hört man von Unternehmen, dass diese auch nach der ISO 13485 zertifiziert sind. Doch was ist die ISO 13485 eigentlich und was sagt eine Zertifizierung nach dieser Norm aus? Das möchte ich Ihnen in diesem kleinen Artikel erläutern.

Was ist die ISO 13485?

Bei der ISO 13485 handelt es sich um eine Managementnorm für Qualitätsmanagementsysteme. Allerdings nicht wie bei der ISO 9001 um eine allgemeine Norm, die für jegliche Art von Organisationen angewendet werden kann – sondern speziell für Unternehmen aus dem Bereich der Medizinprodukte. Daher lautet der vollständige Name auch DIN EN ISO Medizinprodukte – Qualitätsmanagementsysteme – Anforderungen für regulatorische Zwecke.

Und ebenso wie in der ISO 9001 werden in der ISO 13485 Forderungen aufgestellt, die ein Unternehmen erfüllen muss, wenn es sich nach ihr zertifizieren lassen möchte.

Wie ist die ISO 13485 aufgebaut?

Die ISO 13485 existiert momentan in der aktuellsten Fassung von 2016. Anders als die ISO 9001 allerdings ist sie noch nicht nach der HLS (High Level Structure) aufgebaut, sondern besteht aus folgenden Kapiteln:

1. Anwendungsbereich
2. Normative Verweisungen
3. Begriffe
4. Qualitätsmanagementsystem
5. Verantwortung der Leitung
6. Management von Ressourcen
7. Produktrealisierung
8. Messung, Analyse und Verbesserung

In verschiedenen Anhängen der Norm wird diese dann zum Beispiel noch mit der ISO 9001 verglichen und Zusammenhänge zu verschiedenen EU-Richtlinien dargelegt.

Anforderungen die nicht im Unternehmen bzw. im Qualitätsmanagementsystem angewendbar sind, dürfen ausgeschlossen werden. Diese müssen allerdings im Qualitätsmanagementhandbuch schriftlich begründet werden.

Welche Gemeinsamkeiten und Unterschiede gibt es zwischen der ISO 13485 und der 9001?

Die ISO 13485 ist über weite Strecken sehr identisch mit der ISO 9001 und wurde an (für Medizinprodukte) relevanten Stellen „aufgebohrt“. Zum Beispiel spielen die Themen rechtliche Sicherheit, Kommunikation mit Regulierungsbehörden, Produktbeobachtung auch nach der Auslieferung, Rückverfolgbarkeit und Reklamationsbearbeitung eine wesentlich größere Rolle.

Weitere gravierende Unterschiede gibt es im Bereich des Beauftragten der obersten Leitung und beim Qualitätsmanagementhandbuch. Diese sind auch in der aktuellen Ausgabe der ISO 13485 noch immer explizit gefordert, was meiner Meinung nach auch angemessen und richtig ist. Ebenso wir in der 13485 noch in Dokumente und Aufzeichnungen unterschieden.

Weiterhin gibt es genügend Anforderungen, die speziell auf Medizinprodukte abzielen. So wird zum Beispiel explizit nach Medizinproduktakten verlangt, das Thema Kontamination wird angesprochen und im Kapitel 7.5. geht es unter anderem um besondere Anforderungen für sterile Medizinprodukte und besondere Anforderungen für die Validierung von Sterilisationsprozessen und Sterilbarrieresystemen.

Einen ganz gravierenden Unterschied zwischen der ISO 13485 und der 9001 gibt es im Bereich des Risikomanagements. An anderer Stelle wird (auch von der Lösungsfabrik Thode und Partner immer wieder) darauf hingewiesen, dass die ISO 9001 nur den risikobasierten Ansatz bzw. das risikobasierte Denken fordert. Die ISO 13485 wird in dem Bereich schon deutlicher und fordert in Kapitel 7.1 Planung der Produktrealisierung ganz klar ein Risikomanagementsystem und auch, dass Aufzeichnungen über die Tätigkeiten im Bereich Risikomanagement erstellt und aufrechterhalten werden müssen.

Wie läuft eine Zertifizierung nach ISO 13485 ab und wie lange hat diese Bestand?

Auch hier kann man wieder ganz klare Parallelen zur ISO 9001 ziehen. Wenn sich ein Unternehmen nach ISO 13485 zertifizieren lassen möchte, dann muss es im ersten Schritt eine Dokumentation als Vorgabe erstellt werden, nach den in der Norm aufgeführten Anforderungen zu arbeiten. Diese Dokumentation muss im Unternehmen wirksam und nachvollziehbar umgesetzt werden. Denn für die Zertifizierung wird das Qualitätsmanagement durch einen unabhängigen Dritten, also den Auditor im Auftrag einer Zertifizierungsgesellschaft geprüft. Und wenn dieser nachvollziehen kann (anhand objektiver Nachweise – daher die nachvollziehbare Umsetzung), dass die Anforderungen der ISO 13485 erfüllt werden, dann gibt er an die Zertifizierungsgesellschaft die Empfehlung, das Zertifikat zu erteilen.

Das ISO 13485 Zertifikat hat dann eine 3-jährige Gültigkeit, vorbehaltlich der positiven Überwachungsaudits, die jährlich stattfinden müssen.