MDSAP – Medical Device Single Audit Program

Viele Audits und Inspektionen machen den Medizintechnikherstellern das Leben nicht leichter und so wurde das Medical Device Single Audit Program MDSAP ins Leben gerufen.

Das Ziel:

um die Wirksamkeit und Konformität von QM-Systemen z.B. mit ISO 13485 nachzuweisen, soll die Teilnahme am MDSAP ausreichen.

Wie die Chancen stehen:

1. MDSAP: Ein Überblick

1. a) Ziele des MDSAP-Programms

Von einer Vereinheitlichung durch das MDSAP erhofft(e) man sich:

  • Beschleunigung der Marktzulassung, Reduzierung des QM-Overhead

    Die vielen Audits und Inspektionen führen zu einem QM-Overhead mit signifikant steigenden Aufwänden, Kosten und Zeitverzögerungen bei der Inverkehrbringung neuer Produkte.
    Ziel: diese Aufwände minimieren.

  • Reduzierung überzähliger Aufwände für die Weiterentwicklung von QM-Anforderungen bei gleichzeitig einheitlicher Interpretation der Anforderungen

    Die Formulierung und Weiterentwicklung sehr ähnlicher Anforderungen an QM-Systeme schafft sich unnötigerweise wiederholende Aufwände.
    Ziel: überflüssige, weil redundante Anforderungen eliminieren.
    Viele Anforderungen sind unterschiedlich interpretierbar und können damit auch unterschiedlich umgesetzt werden. Die Folge sind aufweichende Standards und unterschiedliche Bewertungen eines Sachverhalts durch verschiedene Auditoren
    Ziel: einheitliche Interpretation und Bewertung der QM-Anforderungen

Produktsicherheit erhöhen durch Informationsaustausch

  • Die schlechte Abstimmung der Behörden macht es den schwarzen Schafen unter den Herstellern leichter, Schwächen, die eine Behörde entdeckt hat, vor anderen Behörden zu verstecken.
    Ziel: Informationsaustausch insbesondere von Auditergebnissen zwischen den teilnehmenden Behörden, um diese schwarze Schafen und damit unsichere Produkte schneller zu identifizieren und so die Patienten-sicherheit zu erhöhen.

1. b) Teilnehmer

Bisher haben sich nur folgende Länder an der ersten Phase des Medical Device Single Audit Programs beteiligt:

Australien mit derTGA (Therapeutic Goods Administration)
Brasilien mit derANVISA (Agência Nacional de Vigiância Santitária)
Kanada mitHealth Canada
Japan mit demMHLW (Ministry of health, labour and Welfare) und der PMDA (Pharmaceuticals and Medical Devices Agency)
USA mit derFDA (Food and Drug Administration )

Die WHO und die EU schauen zu…

Die FDA bewertete die im Januar 2017 beendete Pilotphase als Erfolg:

“Based on its evaluation of the MDSAP Final Pilot Report, the MDSAP Regulatory Authority Council determined that the MDSAP Pilot had satisfactorily demonstrated the viability of the Medical Device Single Audit Program. [..]FDA will continue to accept MDSAP audit reports as a substitute for routine Agency inspections.”

1. c) Wer setzt auf MDSAP?

Einzig Kanada setzt seitdem ausschließlich auf die Auditierung über ein MDSAP-Programm und erkennt sogar nur noch diese an.

Australien, Brasilien, Japan und die USA arbeiten damit, aber mit nicht unerheblichen Einschränkungen:

– Australien und Japan sagen „JA“ zum MDSAP-Programm – wenn es sich nicht um Medizinprodukte handelt, die Arzneimittel oder Materialien menschlichen oder tierischen Ursprungs enthalten.
– Brasilien sagt „JA“, wenn im vorausgegangenen ANVISA-Audit keine nennenswerten Abweichungen festgestellt wurden.
– Die USA sagen nur „JA“ für die Anwendung im Rahmen von Routine-Inspektionen – nicht für initiale oder anlassbezogene

1. d) Welche Organisationen auditieren?

Die Audits führen die sogenannten „Auditing Organizations“ (AO) durch. Zu diesen AOs zählen auch einige benannte Stellen wie der TÜV Süd, der TÜV Rheinland und DQS-med. Benannte Stellen sind aber nicht automatisch als AO autorisiert.

Die FDA führt auf ihrer Webseite eine Liste der Auditing Organizations und eine Liste der von der ANVISA anerkannten AOs.

2. MDSAP Audit

2. a) Anforderungen und Ausschlüsse

Der Anforderungskatalog basiert stark auf der ISO 13485:2016. Er berücksichtigt zudem die Anforderungen der teilnehmenden Länder, die durch die ISO 13485:2016 nicht abgedeckt sind. Ähnlich wie die ISO 13485 ist auch der MDSAP-Anforderungskatalog prozessorientiert und die Audits erfolgen nach Prozessgruppen.

Es gibt vier Primärprozesse bzw. Prozessgruppen und drei Unterstützungsprozesse:

  • Primärprozesse
    • Management
    • Measurement, Analysis and Improvement
    • Design and Development
    • Production and Service Controls;
  • Support Processes
    • Purchasing
    • Device Marketing Authorization and Facility Registration
    • Medical Device Adverse Events and Advisory Notices Reporting.

Wenn eine Organisation nicht über alle Prozesse verfügt z.B. nicht entwickelt, müssen die entsprechende Prozesse auch nicht auditiert werden. Ein Hersteller, der ein Outsourcing von Prozessen vornimmt, profitiert von dieser Vereinfachung nicht.

Hersteller dürfen Anforderungen ausschließen, die für einen Zielmarkt spezifisch sind, falls er in diesem Zielmarkt keine Medizinprodukte verkauft.

2. b) Aufgaben der Auditoren

Ein Audit nach MDSAP berücksichtigt die Abhängigkeiten der Prozesse. Beispielsweise ist der Output des Entwicklungsprozesses der Input des Herstellungsprozesses. Entlang dieser Reihenfolgen müssen die Audits erfolgen, sie müssen risikobasiert durchgeführt werden und den kompletten

2. c) Häufigkeit von Audits

Die MDSAP-Audis erfolgen nach der gleichen dreijährigen Frequenz wie 93/42-EWG bzw. ISO 13485-Audits.

  • Erstzertifizierungsaudit (Stufe 1)
    Sichtung der wichtigsten QMS-Dokumente und Evaluierung, ob Grundvoraussetzungen zur Zertifizierbarkeit erfüllt sind
  • Erstzertifizierungsaudit (Stufe 2)
    Bewertung der Konformität des QMS mit ISO 13485 und allen MDSAP-Anforderungen. Wenn das Erstzertifizierungsaudit erfolgreich abgeschlossen wurde, wird das MDSAP-Zertifikat ausgestellt. Es ist drei Jahre gültig.
  • Überwachungsaudit
    Jährliches Audit zur Bewertung der fortlaufenden Konformität, Wirksamkeit von Veränderungen an Produkten oder QMS-Prozessen
  • Rezertifizierungsaudit
    Alle drei Jahre findet ein Rezertifizierungsaudit statt, dessen Umfang dem Erstzertifizierungsaudit entspricht.

Hersteller müssen gemäß des in ihrem Zertifizierungsantrag angegebenen Umfangs auditiert werden. Basierend auf den Ländern, in denen Medizinprodukte im Verkauf sind oder registriert werden und in den Verkauf kommen sollen, ermitteln die Experten der benannten Stellen, welche regulatorischen Anforderungen der Hersteller erfüllen muss.

2. d) Dauer von Audits

Die Dauer der MDSAP-Audits berechnet sich nach der Anzahl der Aufgaben. Diese Anzahl wiederum hängt von den Ausschlüssen ab. Beispielsweise kann es sein, dass ein Hersteller keine Anforderungen an sterile Produkte erfüllen muss.

Im ungünstigsten Fall müssen die Auditoren 90 Aufgaben erledigen, für die sie je nach Aufgabentyp zwischen 12 und 35 Minuten benötigen dürfen. Beispielsweise sind für die Aufgaben in der Prozessgruppe „Management“ je 28,8 Minuten vorgesehen.

Für die Auditierung der länderspezifischen Anforderungen erhöhen sich die Aufwände.

2. e) Auditergebnisse

Für die Dokumentation der Planung, Durchführung und Bewertung von Audits stehen Templates bereit. Damit werden beispielsweise Audit- und Abweichungsberichte einheitlich gestaltet und automatisiert auswertbar.

MDSAP legt die Fristen fest, innerhalb derer die auditierenden Organisationen (AOs) die Berichte erstellen und verteilen müssen. Diese Fristen sind ambitionierter als man das von vielen benannten Stellen im Alltag gewohnt ist.

3. Updates

4. Fazit

Für die Hersteller kann es einen großen Vorteil bedeuten, wenn mit dem MDSAP die Anzahl der Audits und Inspektionen durch die Behörden der verschiedenen Zielmärkte verringert wird. So richtig begeistert schienen die Hersteller in der MDSAP-Pilotphase aber nicht. Folgende Nachteile und Herausforderungen mögen das begründen:

  • Transparenz bedeutet eben auch, dass negative Auditergebnisse allen teilnehmenden Ländern zur Verfügung stehen und diese dann zusätzliche Inspektionen veranlassen können. Die FDA beispielsweise behält sich dieses Recht explizit vor.
  • Die Liste der Anforderungen wird tendenziell eher breiter, weil sie die Vereinigungsmenge der Anforderungen verschiedener Länder darstellt.
  • Das interne Qualitätsmanagementteam muss sich stärker mit internationalen Anforderungen beschäftigen.
  • Die EU war während des MDSAP-Entwicklungsprozesses nur Beobachter und nimmt vorerst nicht an der MDSAP-Einführung teil. Da das Medical Device Single Audit Program in weiten Teilen auf der ISO 13485:2016 basiert, sind damit auch schon wesentliche Anforderungen für ein Inverkehrbringen in der EU erfüllt.

Weiterhin sind im MDSAP-Konzept die jeweils länderspezifischen zusätzlichen Anforderungen berücksichtigt, die durch die ISO 13485:2016 nicht abgedeckt sind. In den meisten der o.g. Länder ist das MDSAP-Audit eine Option zu anderen Überwachungsmöglichkeiten der jeweiligen Regulierungsbehörden bzw.es kann nur in bestimmten Situationen angewandt werden. Für die FDA ersetzt es z.B. nur Routine-Inspektionen. Für initiale oder anlassbezogene Überprüfungen ist es nicht anerkannt.
Die Ausnahme ist Kanada. Ab 2019 ist das MDSAP für Kanada verbindlich.

Die o.g. Inhalte wurden maßgeblich diesem BLOG-Beitrag des Johner-Institut entnommen: