Rola podwykonawcy wyrobów medycznych w świetle MDR
Rola podwykonawców wyrobów medycznych w świetle MDR jest znacznie większa, niż mogłoby się wydawać. MDR jednoznacznie wskazuje, że to producent ponosi pełną odpowiedzialność za zgodność wyrobu z wymaganiami. Dzieje się to niezależnie od tego, które procesy zostały zlecone na zewnątrz!
Artykuł 10 ust. 9 MDR wymaga, aby system zarządzania jakością producenta obejmował m.in. zarządzanie zasobami, w tym wybór i nadzór nad dostawcami oraz podwykonawcami. W praktyce oznacza to, że każdy podmiot wykonujący procesy, które wpływają na zgodność wyrobu, musi być odpowiednio kontrolowany.
Dla uściślenia, MDR nie wprowadza osobnej kategorii „podwykonawcy” jako odrębnego operatora ekonomicznego. Wytyczne MDCG dotyczące operatorów ekonomicznych, w tym: MDCG 2021-27 na temat importerów i dystrybutorów oraz MDCG 2021-23 odnoszące się do certyfikacji systemów jakości dystrybutorów i importerów w kontekście art. 16 MDR, bardzo mocno podkreślają zasadę, że obowiązki regulacyjne mogą być zlecane.
Przy czym przy zleceniu, odpowiedzialność pozostaje po stronie podmiotu, na którym spoczywają pierwotnie. Ujmując to w najprostszy możliwy sposób: można „oddać” proces, ale nie można „oddać” odpowiedzialności za zgodność wyrobu.
W związku z powyższym, wymogi dotyczące podwykonawców nierozerwalnie łączą się z systemem zarządzania jakością. MDR wskazuje, że SZJ producenta musi obejmować wszystkie elementy organizacji wpływające na bezpieczeństwo wyrobu, w tym procesy zakupów i nadzoru nad podmiotami zewnętrznymi.
Na poziomie normatywnym naturalnym punktem odniesienia jest tutaj ISO 13485:2016, która w pkt 4.1.5 nakłada na producenta obowiązek ustanowienia nadzoru nad procesami zlecanymi na zewnątrz, a w rozdziale 7.4 precyzuje wymagania dotyczące procesów zakupowych, kwalifikacji dostawców oraz kryteriów ich oceny.
Bezpośredni związek między art. 10 MDR a sekcjami 4.1.5 i 7.4 ISO 13485 implikuje konieczność stworzenia listy kluczowych podwykonawców/dostawców podlegających szczególnemu nadzorowi.
W praktyce oznacza to, że producent powinien stworzyć proces zarządzania podwykonawcami. Częstym podejściem jest klasyfikacja dostawców na „krytycznych” i „niekrytycznych”, która powinna być proporcjonalna do ryzyka, które niosą za sobą procesy wykonywane przez dane podmioty.
Krytycznymi podwykonawcami będą na przykład:
Oczywiście są to tylko przykłady, natomiast niezbędne jest każdorazowe ocenienie podwykonawców zgodnie z wewnętrznymi przyjętymi kryteriami.
Dla takich podmiotów oczekuje się nie tylko podpisania szczegółowych umów jakościowych, ale również wdrożenia u nich systemu jakości zgodnego z ISO 13485, a często także przeprowadzania audytów na miejscu. Choć MDR formalnie nie wymaga, aby podwykonawca posiadał certyfikat ISO 13485, to na pewno wdrożenie systemu opartego o tę normę jest niezbędne.
Wytyczne MDCG nie tworzą osobnej instrukcji „dla podwykonawców”, ale wzmacniają oczekiwania wobec ich systemów jakości. Przykładowo MDCG 2021-23, opisujące sposób certyfikacji systemów jakości importerów i dystrybutorów, którzy prowadząc proces przepakowywania lub etykietowania, pokazuje szczegółowość oceny SZJ takiego podmiotu. W wyniku czego analogiczne podejście stosuje jednostka notyfikowana wobec krytycznych podwykonawców producenta.
W ramach audytów zgodnie z załącznikami IX i XI MDR JN bada, czy producent w sposób skuteczny nadzoruje zewnętrzne procesy i czy ma kontrolę nad ich wpływem na wyrób. Wymóg przekazywania do jednostki listy istotnych dostawców i podwykonawców oraz możliwość przeprowadzania u nich niezapowiedzianych audytów jest dziś standardem.
Niejednokrotnie ze względu na charakterystykę procesu, konieczne jest zaplanowanie audytów u podwykonawców już na etapie tworzenia programu audytów na cały cykl certyfikacyjny. Należy tutaj podkreślić rolę takich audytów, które są też dodatkową informacją zwrotną dla producenta (lub innego operatora ekonomicznego) o zgodności zlecanych procesów z wymaganiami MDR, bezpośrednio mających wpływ na końcowe bezpieczeństwo wyrobu medycznego.
Jednostka Notyfikowana na podstawie aktualnych wymagań prawnych oraz wewnętrznych procedur opartych na analizie ryzyka, odnosząc je do wniosków o certyfikację, ocenia konieczność zaplanowania audytów u podwykonawców na cały cykl certyfikacji. Audyty są planowane u podmiotów świadczących usługi kluczowe dla końcowego bezpieczeństwa wyrobu. Zalecane jest, żeby w trakcie takich audytów uczestniczyli w nich przedstawiciele/osoby odpowiedzialne firmy, która zleca dany proces.
Podsumowując, nadzór nad zlecanymi procesami to nie tylko „legislacyjne” wymagania, ale przede wszystkim zapewnienie bezpieczeństwa wyrobu medycznego, a końcowo pacjenta.
Autor: Magdalena Derda