Unter Dokumentenkontrolle ist ein dokumentierter Prozess, der bestimmt, wie Dokumente erstellt, überprüft, genehmigt, gekennzeichnet, verteilt und aktualisiert werden.
Nach ISO 9001 oder ISO 13485 zertifizierte Organisationen sind zur Dokumentenkontrolle verpflichtet.
1. Gegenstand der Dokumentenkontrolle
Es ist offensichtlich, dass es bei der Dokumentenkontrolle um Dokumente geht. Was weniger offensichtlich ist, ist, was Dokumente sind.
Manche verstehen Dokumente als den Überschuss von
- Spezifikationsdokumente (z. B. Verfahrensanweisungen, Arbeitsanweisungen, Vorlagen, Checklisten, Formulare) und
- Aufzeichnungen (z. B. Messprotokolle, ausgefüllte Checklisten und Formulare).
In einigen Fällen werden die Begriffe „Spezifikationsdokumente“ und „Dokumente“ synonym verwendet, was zur Verwirrung beiträgt.
Daher ist es hilfreich, den Überschuss an Spezifikationsdokumenten und -aufzeichnungen als „dokumentierte Informationen“ zu bezeichnen, wie es ISO 9001 ab der Version 2015 tut. Bei der Dokumentenkontrolle wird (im Gegensatz zu anderen Standards wie ISO 13485) nicht mehr zwischen Standarddokumenten und Aufzeichnungen unterschieden.
2. Ziele der Dokumentenkontrolle
Für Wirtschaftsprüfer gilt: Was nicht dokumentiert ist, existiert nicht. Entsprechend wichtig sind Dokumente und Aufzeichnungen bei der Prüfung.
Was man unter Dokumentenkontrolle versteht, wird im Englischen mit „Control of Document“ deutlicher: Ziel der Dokumentenkontrolle ist es, dies sicherzustellen
- die richtigen (richtigen, vollständigen) Informationen
- Zur richtigen Zeit
- an die richtigen Adressaten
Stehen zur Verfügung. Dies wiederum erfordert das
- keine ungültigen, falschen oder unvollständigen Informationen verbreitet werden,
- ungültige Informationen werden zurückgezogen,
- Sie wissen, wer diese Informationen erhalten muss,
- Diese Personen werden über neue, geänderte oder gelöschte Dokumente informiert und
- Sie stellen sicher, dass diese Personen diese Informationen verstehen.
3. Regulatorische Anforderungen an die Dokumentenkontrolle
Die eben genannten Aspekte finden sich in Normen wie der ISO 13485 wieder. Sie erfordern, dass Sie festlegen (natürlich dokumentieren :-)), wie Sie es tun
- Dokumente vor der Verteilung auswerten,
- Dokumente aktualisiert und genehmigt,
- sorgt dafür, dass Veränderungen erkennbar sind,
- stellt sicher, dass die Dokumente verfügbar sind (und lesbar bleiben),
- stellt sicher, dass keine alten Versionen im Umlauf sind und
- bestimmt den Zeitraum, für den Sie Dokumente aufbewahren möchten (obwohl es bestimmte Mindestanforderungen gibt).
ISO 13485 spricht nicht von der „Freigabe“ von Dokumenten, sondern von deren „Genehmigung“.
4. Typische Probleme: Was beim Audit immer schief geht
Bei Audits stoßen Hersteller und Auditoren regelmäßig auf Probleme wie diese:
- Die Dokumente oder Informationen sind unbekannt. Fragen Sie einfach einen Mitarbeiter am Fließband, wie die Qualitätspolitik lautet …
- Am Arbeitsplatz gelten veraltete Arbeitsanweisungen.
- Die Dokumentenkontrolle wurde in internen Audits nicht überprüft.
- Es ist nicht klar, auf welche Produkt- oder Softwareversionsdokumente Bezug genommen wird.
- Es liegen keine aktualisierten Dokumente für eine Produkt- oder Softwareversion vor.
- Die Entwicklungsunterlagen wie der Bebauungsplan wurden freigegeben, nach Die Entwicklung hatte längst begonnen.
- Die Verfahrensanweisungen legen nicht fest, wie lange und wie Dokumentarten aufzubewahren sind, oder sie ignorieren gesetzliche Vorgaben.
- Es gibt keine definierten Prüfkriterien, anhand derer die verschiedenen Arten von Dokumenten bewertet werden sollen. Eine Unterschrift allein reicht nicht aus.
- Es liegen Dokumente im Dateisystem oder SharePoint vor, deren Status (z. B. Entwurf, freigegeben, zurückgezogen) nicht erkennbar ist.
- Im Dateisystem gibt es mehrere Dateien mit demselben Namen, aber unterschiedlichem Inhalt.
- Der Hersteller kann nicht erklären, ob und wie er Dokumente wie Arbeits- oder Prozessanweisungen geschult hat oder warum dies nicht erforderlich war.
- Geänderte Spezifikationsdokumente wurden nicht umgeschult.
Das Johner-Institut erlebt regelmäßig Audits, bei denen es bei der Dokumentenkontrolle zu Abweichungen kommt. Diese Beschwerden sind kein Ausdruck übermäßigen Formalismus, sondern eines Chaos beim Medizinproduktehersteller, das sich nicht nur auf die Dokumente beschränkt.
5. Möglichkeiten zur Weiterleitung von Dokumenten
5.1 Übersicht
Zur Verwaltung von Dokumenten stehen zahlreiche technische Möglichkeiten zur Verfügung. Diese beinhalten
- Dateisystem, Netzlaufwerke
Hier sollten Sie Lese- und Schreibrechte regeln und sicherstellen, dass die betroffenen Personen auch Zugriff haben. Dies ist insbesondere in der Produktion ein Problem. - Cloudspeicher
Mit Diensten wie Dropbox oder Google Drive und ihren mobilen Clients können Ihre Mitarbeiter problemlos auf Dokumente zugreifen. Allerdings ist es nicht so einfach, Lese- oder Schreibrechte einzuschränken. - Dokumentenmanagementsysteme
Anwendungen wie Microsoft Sharepoint (auch als Cloud-Dienst verfügbar) oder Alfresco vereinfachen die Versionierung und ermöglichen die Definition von Dokument-Workflows zum Erstellen, Überprüfen, Teilen, Veröffentlichen und Zurückziehen von Dokumenten. Die Schwierigkeiten liegen meist im Detail, in der Einrichtung und Konfiguration der Tools sowie in deren Schulung. - Wiki → PDF
Manche Unternehmen arbeiten mit Wiki-Systemen wie Confluence und nutzen entweder Plug-ins zur Freigabe (elektronische Signatur) oder exportieren die Dokumente als PDF, nutzen also „nur“ das Wiki als Editor. Die Tools unserer Schwesterfirma Medsoto wie das MedPack und das DocuPack ersparen Ihnen sogar das Ausdrucken. - Versionskontrollsysteme
Unternehmen, die entwicklungsbezogen arbeiten, nutzen überwiegend Versionsverwaltungssysteme wie SVN oder Git. Allerdings eignen sich diese Systeme eher für rein textuelle Dokumente, z. B. in Markdown. Die allgemeine Benutzerfreundlichkeit ist nicht immer gegeben. Andererseits eröffnen Features wie Branching, Tagging, Commit-Kommentare und Integration in Build-Tools neue Möglichkeiten. Mehr dazu erfahren Sie im nächsten Kapitel.
5.2 Beispiel: Dokumentenkontrolle (nur für Technikfreaks)
5.2.1 Vorgehensweise
Technikfreaks können eine Kombination aus Git-, Pandoc- und Jenkins-Tools verwenden. Mit dieser Toolkette kann folgender Workflow erreicht werden:
- Dokument im Markdown
Der Autor erstellt ein Dokument in Markdown. Dabei handelt es sich um eine rein textbasierte Sprache, die sehr leicht zu erlernen ist. Beispiel: Sie unterstreichen einen Text mit einem Gleichheitszeichen („=======“), um ihn als Überschrift zu kennzeichnen. Diese Texte sind direkt lesbar und erscheinen als schön formatierte Webseiten in Systemen wie Github. - Dokumente in Git speichern (mit entsprechenden Zweigen)
Der Autor übergibt seine Änderungen oder sein neues Dokument an einen Entwicklungszweig. Sobald es veröffentlicht wird, werden die Änderungen im Master-Zweig „zusammengeführt“. Wenn wir an Kundendokumenten arbeiten, erstellen wir unsere eigenen Zweige. - Erstellen von Word-Dokumenten
Weil viele lieber mit Word arbeiten: Jeder Commit löst einen Build-Prozess aus, der automatisch ein Word-Dokument erstellt. Diese Word-Dokumente werden beim Erstellen automatisch versioniert und im Versionskontrollsystem (Git) gespeichert. - Arbeiten mit Word-Dokumenten
Optional können Benutzer diese Dokumente mit ihrem Computer synchronisieren.
Sie können auch auf die Generierung von Word-Dokumenten verzichten.
5.2.2 Bewertung
Vorteile
- Klarer, transparenter Arbeitsablauf
- Einfache Nachverfolgbarkeit von Änderungen über die Git-Bordmittel (bei Word ist das zeitaufwändig und nur über die Vergleichsfunktion möglich)
- Einheitliches Dokumentenlayout. Durch die Anpassung der Vorlage erhalten alle Dokumente ein einheitliches oder neues Layout.
- Paralleles Arbeiten mit mehreren Versionen: Wir können Verbesserungen, die wir für einen Kunden entwickelt haben, problemlos wieder in unsere Hauptniederlassung einbinden.
- Die Dokumente stehen den Nutzern im üblichen Word-Format zur Verfügung.
- Eine Konvertierung in PDF, LaTeX, HTML etc. ist „eingebaut“.
Nachteile
- Das System bestehend aus Git, Pandoc und Jenkins (inkl. Build-Skript) muss eingerichtet und eine entsprechende Tool-Landschaft gepflegt werden.
- Das Erstellen und Ändern von Dokumenten erfordert Kenntnisse, die über die Verwendung von Word hinausgehen.
- Die Markdown-Sprache erlaubt nur begrenzte Anpassungen im Layout (obwohl sogar das Ausrichten von Text in Tabellen, Listen in Listen, Fußzeilen usw. möglich ist).
6. Ausblick
Viele Organisationen verstehen Dokumentenkontrolle und ihre Anforderungen immer noch sehr wörtlich, nämlich als die Kontrolle von Dokumenten auf Papier oder als Dateien, z. B. als PDF. Die meisten Behörden und benannten Stellen verlangen solche Dokumente.
Dokumentorientierte Ansätze gehören jedoch der Vergangenheit an. Moderne Unternehmen stellen von dokumentengesteuerten Prozessen auf datengesteuerte Prozesse um. Dadurch können sie:
- höhere Konformität (z. B. durch automatisierte Tests),
- reduzierter Arbeitsaufwand (z. B. durch Automatisierung der Erstellung und Überprüfung von Inhalten)
- schnellere Time-to-Market und damit auch
- höhere Wettbewerbsfähigkeit.
Allerdings bleiben die normativen Anforderungen an die Dokumentenkontrolle bestehen, wie etwa Transparenz über den (Freigabe-)Status der Informationen oder Schutz vor Verlust der Informationen.
Das Johner Institut unterstützt Hersteller von Medizinprodukten und IVDs bei ihrer digitalen Transformation, z. B. im Rahmen des Fit for Future-Programms. Hersteller wandeln ihre Dokumente in strukturierte Daten um.
7. Zusammenfassung
Ohne eine präzise Dokumentenkontrolle haben Unternehmen kaum eine Chance, ein Audit erfolgreich zu bestehen. Sie schaffen nicht nur unnötige regulatorische Risiken, sondern erhöhen auch die Wahrscheinlichkeit, dass ihre Produkte und Dienstleistungen nicht konform sind und Patienten gefährden.
Eine sorgfältig zusammengestellte Toolkette hilft, den „Overhead“ in der Dokumentenkontrolle zu minimieren. Auf diese Weise können Sie sicherstellen, dass die richtigen Personen zur richtigen Zeit über die richtigen Informationen verfügen und diese verstehen.
Die Zukunft der Dokumentenkontrolle liegt in der Kontrolle strukturierter Informationen und nicht mehr in der Kontrolle von Dokumenten. Hersteller sollten sich darauf vorbereiten und ihre eigene digitale Transformation vorantreiben.
Geschichte verändern
- 29.07.2024: Link zum überarbeiteten Artikel zu elektronischen Signaturen in Kapitel 3 hinzugefügt.
- 02.05.2024: Einleitungstext geändert, 1. Kapitel hinzugefügt, weitere Kapitel neu nummeriert, Abb. 2 neu gestaltet, Struktur des 5. Kapitels angepasst, 6. Kapitel und letzter Satz hinzugefügt
- 20.03.2019: Erste Version erstellt