”Vi pratar fortfarande om det här eftersom många fortfarande letar efter ett rimligt och hållbart sätt att hantera validering i praktiken”, säger Maria Liljevret, expert på Plantvision med lång erfarenhet från både läkemedels- och medicinteknikbranschen. Det handlar alltså inte om brist på vilja, utan snarare om att hitta nivån där validering är meningsfull och effektiv, utan att bli en bromskloss.
Från regelverk till praktik: Vad behöver valideras?
De grundläggande kraven på validering finns i ISO 13485:2016, kvalitetsledningsstandarden för medicinteknik. Där anges att mjukvaruapplikationer som används i kvalitetsarbetet, produktionen eller för övervakning ska valideras både vid införande och vid förändringar. Det kan till exempel handla om dokumenthanteringssystem, ärendehanteringssystem, utbildningsplattformar, produktionsnära automatisering eller system för datainsamling och analys.
”Det handlar om de system som stödjer vår verksamhet, våra beslut och vår dokumentation. Och då är det viktigt att dessa fungerar som de ska.” förklarar Lina Stange, specialist på validering av applikationer inom life science hos Plantvision.
Inte vilken risk som helst
Riskbaserade beslut är ett centralt begrepp i standarden. Men det handlar inte om vilken risk som helst, utan risk förknippad med patientsäkerhet, produktprestanda eller regulatorisk uppfyllnad. Det gäller alltså att skilja på affärskritiska och regulatoriska risker. Bedömningen ska ske både på processnivå och applikationsnivå: Vilken process ska applikationen användas i? Hanteras data som omfattas av regulatoriska krav? Kan ett fel påverka kvalitet eller spårbarhet?
”Det viktiga är att våga göra en bedömning”, säger Lina. ”Hellre en rimlig och dokumenterad analys än att man inte gör någonting alls för att det känns för komplext.”
Tre vägar till validering: standard, konfigurerad eller specialbyggd
Alla system kräver inte samma mängd arbete. Ett sätt att strukturera sitt valideringsarbete är att utgå från applikationens komplexitet och anpassningsgrad:
- En standardapplikation som används utan anpassningar, kräver i regel endast att man verifierar att funktionerna motsvarar verksamhetens behov.
- En konfigurerad applikation är anpassad med logik, roller eller flöden. Här behövs mer omfattande testning och tydlig kravdokumentation.
- En specialutvecklad applikation är byggd för syftet. Den måste valideras i grunden: kravspecifikation, designspecifikation, testfall, riskanalys och instruktioner.
”Ju mer vi anpassar funktionaliteten, desto viktigare blir det att testa alla variationer och att ha tydlig dokumentation på hur applikationen ska fungera”, förklarar Maria.
Exempel från verkligheten: Incidenthantering
Låt oss ta ett konkret exempel: ett system för hantering av incidenter och klagomål. I ett första scenario har organisationen valt att bygga en helt egen applikation dock utan guidande hjälptext eller vägledning i gränssnittet. Systemet tar emot rapporter från kunder, skickar dem vidare för bedömning och utredning, och genererar automatiskt rapporter till myndigheter. Just den automatiserade logiken är kritisk – om systemet inte fungerar som det ska, finns risk att händelser inte utreds i tid, eller att felaktig information rapporteras. Både patientsäkerhet och regulatorisk efterlevnad kan påverkas.
Denna höga grad av egenutveckling kräver därför en omfattande validering. Utöver processbeskrivning, kravspecifikation och riskanalyser behövs en detaljerad design- och konfigurationsspecifikation, flera testplaner, ofta med fokus på olika typer av funktionalitet och en separat användarinstruktion som vägleder personalen i varje steg.
I det andra scenariot har företaget istället valt en standardiserad lösning från en etablerad leverantör. Gränssnittet är pedagogiskt, funktionerna välkända och dokumentationen från leverantören redan genomarbetad. Här kan valideringen förenklas. Det räcker ofta med en enklare valideringsplan där man granskar leverantörens testdokumentation, verifierar att funktionerna motsvarar de egna kraven och dokumenterar sina slutsatser.
”Huvudsaken är att man anpassar dokumentationen till nivån på risk och komplexitet, inte att man fyller en mapp för sakens skull,” betonar Lina.
Glöm inte det vardagliga – ja, även Excel
Ett vanligt misstag är att underskatta system som upplevs som enkla, till exempel Excel-ark. Men om ett ark används för att fatta beslut baserat på data, tex för processmål eller regulatoriska krav, då krävs testning och dokumentation.
Maria förklarar:
”Man behöver inte göra det komplicerat. En enkel kravspec, en testplan och en verifiering av att beräkningarna fungerar räcker långt i många fall.”
Rätt process, inte mer dokumentation
Att validera system inom medicinteknik handlar inte om att producera flest dokument, utan om att fatta rätt beslut. En genomtänkt, riskbaserad process hjälper organisationer att fokusera där det verkligen spelar roll: funktionalitet, säkerhet och regelefterlevnad. Det innebär att våga anpassa insatsen efter systemets faktiska påverkan och komplexitet.
”Gör någonting hellre än ingenting alls. Validering handlar inte om perfektion, det handlar om att göra ett medvetet, informerat val,” avslutar Lina Stange.
Vill ni stärka er valideringsstrategi, bygga interna processer eller få hjälp att komma igång? Vi finns här för att lyssna, dela med oss av vår erfarenhet och stötta där det behövs. Hör av dig på det sätt du föredrar, ibland är det minsta steget det som tar er längst.
Hur kan vi hjälpa dig?
Behöver ni råd eller stöd inom detta eller liknande områden? Boka en timmes gratis konsultation med en av våra experter så hjälper vi dig vidare.
