Certyfikaty w służbie zdrowiu układają się w kilka warstw — sektor ochrony zdrowia w Polsce, od szpitali państwowych przez prywatne kliniki, laboratoria diagnostyczne, producentów wyrobów medycznych po podmioty healthtech, funkcjonuje w środowisku regulacyjnym wymagającym wielu warstw certyfikacji. ISO 13485, ISO 9001 oraz ISO 27001 stanowią obecnie standardowy zestaw dla większości podmiotów.
Mapa norm dla sektora zdrowia
Każdy typ podmiotu w ochronie zdrowia ma swój priorytetowy zestaw:
| Podmiot | Priorytetowy zestaw certyfikatów |
|---|---|
| Producent wyrobów medycznych | ISO 13485 + MDR/IVDR + ISO 14971 (zarządzanie ryzykiem) |
| Szpital publiczny / kliniczny | ISO 9001 + ISO 14001 + ISO 45001 + ISO 27001 |
| Klinika prywatna / spec. | ISO 9001 + ISO 27001 |
| Laboratorium medyczne | ISO 15189 (wymóg PCA) + ISO 9001 |
| Apteka szpitalna / hurtownia farm. | GMP + ISO 9001 |
| Healthtech (telemedycyna, AI med.) | ISO 27001 + ISO 13485 (jeśli wyrób medyczny) + ISO 42001 (jeśli AI) |
| NZOZ (gabinety prywatne) | ISO 9001 (dobrowolnie) |
ISO 13485 — fundament dla MDR/IVDR
MDR — rozporządzenie (UE) 2017/745 dla wyrobów medycznych i IVDR — rozporządzenie (UE) 2017/746 dla wyrobów do diagnostyki in vitro to obecnie obowiązujące rozporządzenia UE. Wszystkie wymagają, by producent miał udokumentowany system zarządzania jakością — w praktyce realizowany przez normę ISO 13485:2016. Szerzej zależności opisuje przewodnik ISO 13485 a MDR/IVDR dla producentów.
Norma jest oparta na ISO 9001, ale rygor jest wyższy:
- Identyfikowalność każdego wyrobu (UDI — Unique Device Identifier)
- Dokumentacja techniczna dla każdego wyrobu (Technical File / Design Dossier)
- Zarządzanie ryzykiem wg ISO 14971 (analiza FMEA, ocena risk-benefit)
- Walidacja procesów (zwłaszcza sterilizacji, czystych pomieszczeń)
- Monitorowanie post-market (PMS) i vigilance (raportowanie incydentów)
- Kontrola dostawców komponentów krytycznych
- Notified Body — dla większości klas (IIa, IIb, III) — ocena zgodności przez jednostkę notyfikowaną
ISO 9001 w placówce ochrony zdrowia
Coraz więcej szpitali (zwłaszcza prywatnych — Lux Med, Medicover, Enel-Med) oraz klinik specjalistycznych certyfikuje ISO 9001. Nie stanowi to wymogu prawnego — stanowi konkurencyjną decyzję rynkową. Kontekst ustawy o jakości i kontroli NFZ rozwija certyfikat ISO 9001 dla przychodni i szpitala.
Co daje:
- Systemowe zarządzanie ścieżką pacjenta — od rejestracji po follow-up
- Standaryzacja procedur klinicznych i administracyjnych
- Zarządzanie reklamacjami i sytuacjami niepożądanymi
- Wsparcie akredytacji CMJ (Centrum Monitorowania Jakości w Ochronie Zdrowia) — dobrowolnej, ale często wymaganej
- Argument w kontraktach z NFZ i ubezpieczycielami komercyjnymi
ISO 27001 — ochrona danych pacjentów
Dane medyczne to dane wrażliwe w rozumieniu art. 9 RODO — rozporządzenia (UE) 2016/679. Wymagają „odpowiednich środków technicznych i organizacyjnych”. ISO 27001 to najczęstsza udokumentowana odpowiedź — i coraz częściej wymóg przetargów na systemy IT dla ochrony zdrowia (e-zdrowie, EDM, telemedycyna). Praktyczne wdrożenie i 93 kontrole z Załącznika A opisuje przewodnik ISO 27001:2022.
Szczegóły procesu: certyfikacja ISO 13485.
Najczęstsze pytania
Jakie certyfikaty obowiązują w sektorze ochrony zdrowia? +
Czym jest ISO 13485? +
Czy ISO 13485 wystarczy do oznakowania CE wyrobu medycznego? +
Czy szpital może posiadać certyfikat ISO 9001? +
Czy ISO 27001 jest wymagana w ochronie zdrowia? +
Autor artykułu
Zespół Multicert
Redakcja Multicert · Akredytacja PCA AC 210
Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.