MDSAP (Medical Device Single Audit Program)

Wird das Inverkehrbringen von Medizinprodukten einfacher?

Medizintechnik-Unternehmen klagen häufig, dass sie eine Vielzahl verschiedener internationaler Regularien und QM-Anforderungen umsetzen müssen, die sich häufig überschneiden und deren Überwachung viele Ressourcen binden. Außerdem führt das oft dazu, dass ein Audit auf das andere folgt, was erhebliche Ausfallzeiten nach sich ziehen kann.

Das MDSAP ist ein erster Schritt in Richtung, diese Situation zu ändern. Es ist eine globale Initiative, die die Harmonisierung von verschiedenen Regularien für das Inverkehrbringen von Medizinprodukten beschleunigen soll. Mit einem einzelnen Audit können die entsprechenden QM-Anforderungen mehrerer Länder gleichzeitig überprüft werden. Das bedeutet im Prinzip weniger Aufwand und Ausfallzeiten für einen Hersteller.

MDSAP wurde unter dem Dach des International Medical Device Regulators Forum (IMDRF) entwickelt, einer Organisation, in der internationale Regulierungsbehörden zusammenarbeiten. Folgende Ziele werden dabei verfolgt:

  1. Reduzierung der Audits und somit der Belastungen für die Hersteller; Minimierung der Aufwände für die Überprüfung des QM-Systems
  2. Effizientere und flexiblere Nutzung der regulatorischen Ressourcen durch Arbeitsteilung und gegenseitige Akzeptanz zwischen den beteiligten Regulierungsbehörden
  3. Vereinheitlichung der Bewertungen von Nichtkonformitäten
  4. Austausch von Informationen zwischen den Regulierungsbehörden
  5. Erhöhung der Produktsicherheit
  6. Langfristig eine größere Angleichung von Regulierungsansätzen und technischen Anforderungen auf der Grundlage internationaler Normen

Wer nimmt am MDSAP daran teil?

Am MDSAP nehmen diese Regulierungsbehörden aus folgenden Ländern teil:

  • Australien: Therapeutic Goods Administration (TGA)
  • Brasilien: Agência Nacional de Vigilância Sanitária (ANVISA)
  • Japan: Ministry of Health, Labour and Welfare (MHLW)
  • Kanada: Health Canada
  • USA: Food and Drug Administration (FDA)

Die EU war während des MDSAP-Entwicklungsprozesses nur Beobachter und nimmt vorerst nicht an der MDSAP-Einführung teil. Da das Medical Device Single Audit Program in weiten Teilen auf der ISO 13485:2016 basiert, sind damit auch schon wesentliche Anforderungen für ein Inverkehrbringen in der EU erfüllt.

Weiterhin sind im MDSAP-Konzept die jeweils länderspezifischen zusätzlichen Anforderungen berücksichtigt, die durch die ISO 13485:2016 nicht abgedeckt sind. In den meisten der o.g. Länder ist das MDSAP-Audit eine Option zu anderen Überwachungsmöglichkeiten der jeweiligen Regulierungsbehörden bzw.es kann nur in bestimmten Situationen angewandt werden. Für die FDA ersetzt es z.B. nur Routine-Inspektionen. Für initiale oder anlassbezogene Überprüfungen ist es nicht anerkannt. Die Ausnahme ist Kanada. Ab 2019 ist das MDSAP für Kanada verbindlich.

Was ist ein MDSAP-Audit?

Das allgemeine Konzept des MDSAP kann als dynamische Beziehung zwischen Medizinprodukteherstellern, Regulierungsbehörden und auditierenden Organisationen gesehen werden. Das MDSAP-Audit wird von den auditierenden Organisationen durchgeführt, die ihrerseits von den Regulierungsbehörden überwacht werden. Für manche Fragestellung außerhalb des Rahmens von MDSAP behalten sich die Regulierungsbehörden vor, selbst Überwachungstätigkeiten durchzuführen.

Ähnlich wie bei der ISO 13485 ist auch der MDSAP-Anforderungskatalog prozessorientiert. Das Qualitätsmanagementsystem einer Organisation wird in sieben Prozesse unterteilt, in vier Primärprozesse (Management; Measurement, Analysis and Improvement; Design and Development sowie Production and Service Controls) und drei Unterstützungsprozesse (Purchasing; Device Marketing Authorization and Facility Registration sowie Medical Device Adverse Events and Advisory Notices Reporting). Beim Audit wird auch nach Verknüpfungen zwischen all diesen Prozessen gesucht.

Die FDA stellt auf ihrer Webseite Dokumente zum MDSAP Audit Model und ein Companion Document bereit, in dem die Prozesse sowie die Audit-Anforderungen beschrieben sind. Im MDSAP Audit Model wird auch, vergleichbar mit der ISO 13485:2016, ein risikobasierter Ansatz für das QM-System gefordert.

Wie können wir Sie am besten unterstützen?

Wer darf ein MDSAP-Audit durchführen?

In der EU ist nicht jede Benannte Stelle berechtigt, als sogenannte auditierende Organisation ein MDSAP Audit durchzuführen. In Deutschland sind das der TÜV Rheinland, TÜV Süd und DQS-med.

Audit Zyklus

Das Auditprogramm für Medizinprodukte basiert auf einem Auditzyklus von drei Jahren. Das Erstaudit, auch "Erstzertifizierungsaudit" genannt, ist eine vollständige Prüfung des Qualitätsmanagementsystems eines Medizinprodukteherstellers, das aus einem Stufe-1-Audit und einem Stufe 2- Audit besteht. Dem ersten Audit folgen ein Überwachungsaudit in jedem der folgenden zwei Jahre und ein vollständiges Re-Audit im dritten Jahr, das auch als "Rezertifizierungsaudit" bezeichnet wird.

Auditergebnisse

Die bisher bekannten, teilweise unterschiedlichen Systeme der Bewertung von Auditfeststellungen werden durch ein einheitliches und differenzierteres System ersetzt. Die Bewertung einer Nonkonformität erfolgt abgestuft nach insgesamt fünf Graden - je höher der Grad, umso kritischer die Abweichung. Kriterien für die Bewertung sind u.a., ob die Nonkonformität eine direkte bzw. indirekte Auswirkung auf das QM-System hat und ob sie das erste Mal bzw. wiederholt aufgetreten ist.

Bearbeitungsfristen

Für auditierende Organisationen und Hersteller sind Fristen definiert, in denen sie Auditberichte erstellen sowie verteilen bzw. Nonkonformitäten bearbeiten müssen. Die Zeitvorgaben sind deutlich enger, als das bisher der Fall war.

Wie kann sich ein Hersteller vorbereiten

Drei Themen sollten zur Vorbereitung im Wesentlichen beachtet werden.

Zu Beginn sollte der Hersteller eine GAP-Analyse aller Anweisungen und Prozesse z.B. auf Basis des FDA Companion Document durchführen. In ihm sind die Anforderungen beschrieben und es verweist auf die spezifischen Anforderungen der ISO 13485:2016 sowie auf die zusätzlichen Anforderungen der jeweiligen nationalen Regulierungsbehörden.

Ebenso sollte ein umfassendes Risiko-Management-Programm für das gesamte QM-System entwickelt und implementiert werden. Siehe dazu ebenfalls die entsprechenden Anforderungen der ISO 13485:2016.

Zudem sollte sichergestellt werden, dass Mitarbeiter nicht nur geschult sind, sondern gemäß der Norm ihre Kompetenz für ihre Aufgabenerfüllung nachgewiesen werden kann.