was successfully added to your cart.
Category

Allgemein

Apotheken vertreiben Medizinprodukte

By | Allgemein, Startseite

Das Thema besteht schon lange, im Zuge von Corona ist es nochmal verstärkt aufgetreten.

Die FFP2-Masken sind Medizinprodukte. Einfach sichtbar ist dies durch die Nummer der notifizierten Stelle, die diese Produkte freigegeben hat. Die Nummer steht direkt neben dem CE-Kennzeichen. So steht die 2797 für die BSI Group The Netherlands B.V.

Das Spannende ist jetzt, dass Apotheken, die Medizinprodukte verkaufen, damit zu Händlern im Sinne der MDR werden.

Die Medical Device Regulation (MDR), Europäische Verordnung für Medizinprodukte, trat gemeinsam mit der Verordnung für In-vitro-Diagnostika (IVDR) am 25. Mai 2017 offiziell in Kraft. Die MDR ist nach einer vierjährigen Übergangszeit ab 26. Mai 2021 verpflichtend anzuwenden. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R0745&from=DE .

Hinzu kommt, dass wenn die Medizinprodukte von ausserhalb der EU importiert werden, ist man nicht nur Händler sondern auch Importeur.

Wir empfehlen allen Apotheken dringend sich mit den Anforderungen zu beschäftigen. Bei Händlern ist der Aufwand minimal. Bei Importeuren ist der Aufwand sehr überschaubar, aber es kommen zusätzliche Pflichten hinzu.

Homeoffice – strukturiert umsetzen

By | Allgemein

Ab KW 4 (nächste Woche) sind alle Unternehmen verpflichtet, ihren Mitarbeitern das „Homeoffice“ anzubieten.

Zuerst nochmal, Homeoffice/Telearbeit ist klar definiert und an viele Regularien gebunden. In der Regel werden die Mitarbeiter im Zuge von Corona „Mobil arbeiten“.

Phase 1 – Entscheidung

Die Entscheidung ist gefallen. Mitarbeiter sollen, wo immer möglich Zuhause arbeiten.

Deshalb ist unsere Empfehlung, dass Sie sich so verhalten, als ob Ihre Mitarbeiter infiziert und ansteckend sind. Jedes Bundesland gibt die jeweils geltenden Regelungen aktualisiert heraus. Für Baden-Württemberg ist die z.B. https://www.baden-wuerttemberg.de/de/service/aktuelle-infos-zu-corona/aktuelle-corona-verordnung-des-landes-baden-wuerttemberg/

Phase 2 – Aktualisierung der Funktionsmatrix

Aktualisieren Sie die Zuordnung zu den Funktionen im Betrieb. Ergänzen Sie gegebenenfalls weitere Funktionen um die folgenden Phasen durchlaufen zu können. (Beispiel ID_2645_Funktionsmatrix)

Phase 3 – Technische Notwendigkeit

Ergänzen Sie die Funktionsmatrix um Kriterien für die „Technisch notwendige Anwesenheit im Betrieb“.

Dokumentieren Sie zu jedem Mitarbeiter die Kriterien.

Phase 4 – Organisatorische Notwendigkeit

Ergänzen Sie die Funktionsmatrix um Kriterien für die „Organisatorisch notwendige Anwesenheit im Betrieb“.

Dokumentieren Sie zu jedem Mitarbeiter die Kriterien.

Phase 5 – Technische Machbarkeit

Prüfen Sie für die Funktionen, bei denen ein Homeoffice möglich ist, welche zusätzlichen Maßnahmen notwendig sind. Fügen Sie hierfür weitere Zeilen in die Matrix ein. Dies ermöglicht Ihnen einen guten Überblick zum den Umfang der Maßnahmen. Beachten Sie z.B. VPN-Zugriff, Bildschirme, Telefonanlage, Zeiterfassung, Virenscanner, …

Der BSI hat hier eine Checkliste erstellt. Link

Phase 6 – Wunsch der MitarbeiterIn

Erfragen Sie bei Ihren Mitarbeitern den Willen zum Homeoffice. Beachten Sie, dass die Mitarbeiter sich jederzeit umentscheiden können. Dokumentieren Sie den Willen der Mitarbeiter in der Matrix. Wichtig, achten Sie darauf, dass die Matrix nur Berechtigten zugänglich ist. Es drohen Datenschutzverstöße.

Erläutern Sie anhand der Matrix den Mitarbeitern die Gründe, warum für die Betreffenden ein Homeoffice nicht möglich ist. Eventuell ändert sich die Matrix durch neue Informationen.

Phase 7 – Umsetzung der Maßnahmen

Jetzt können Sie zielgerichtet die erforderlichen Maßnahmen einleiten. Besprechen Sie mit den Mitarbeitern den Stand, damit keine Unsicherheit aufkommt. Aktualisieren regelmäßig den Stand der Matrix. Speichern hierzu den aktuellen Stand mit aktuellem Datum

Phase 8 – Vereinbarungen und Belehrung

Belehren und vereinbaren Sie mit den Mitarbeitern im „Homeoffice„-Regeln für die Tätigkeit zuhause. Berücksichtigen Sie z.B. Erreichbarkeit, Kommunikation, Vertraulichkeit, Arbeitszeiterfassung, Leistungskontrolle, Meldewesen bei Schwierigkeiten, usw..

Phase 9 – Test der Homeoffice-Arbeitsplätze

IT-Verantwortliche und Vorgesetzte sollten „geplant“ die Funktionsfähigkeit der Homeoffice-Arbeitsplätze testen. Prüfen Sie neben der technischen Funktionalität auch die organisatorischen Maßnahmen und das Funktionieren der Steuerung der Aufgaben.

Phase 10 – Dauer-Betrieb Homeoffice

Hierzu empfehlen wir zu Beginn öfter zu prüfen und dann, wenn es keine Auffälligkeiten gibt, den Zyklus zu verlängern.

Stellen Sie sich beim Betrieb der Homeoffice-Arbeitsplätze darauf ein, dass diese bis mindesten Ende des Jahres bestehen werden. Achten Sie darauf, dass Sie möglichst schnell in einen „dauerhaften“ Regelbetrieb übergehen. Helfen können Ihnen hier die Elemente der ISO. Geben Sie Ihren Mitarbeitern eine Orientierung mit Hilfe der „Politik“. Betrachten Sie die „Risiken und Chancen“. Geben Sie „Ziele“ vor. Beschreiben Sie die Funktionen, bzw. Arbeitsergebnisse mit Hilfe der „Prozesse“.

Diese Dokumentation können Sie im Falle einer Überprüfung als Nachweis vorlegen. Ob es dann auch akzeptiert wird, kann man heute noch nicht sagen.

Fazit

Gehen Sie schnell, aber nicht überhastet vor. Es ist anzunahmen, dass aus den Provisorien Dauerlösungen werden.

Präqualifizierung: Termin 30.04.2021

By | Allgemein, Startseite

In der Präqualifizierung gab es die letzten Jahre viele, einschneidende Veränderungen.

Die Idee einer gemeinsamen Zulassung für die Abrechnung mit allen Krankenkassen ist ja eine wirklich sinnvolle Sache. Und auch die Inhalte passen im Großen und Ganzen.

Mit dem Übergang der Akkreditierung (Zulassung der PQ-Stellen) von der GKV auf die DAkkS hat sich der Charakter des Zulassungsverfahrens dahin grundlegend geändert, dass die Formalitäten deutlich an Gewicht gewonnen haben.

Mit dem 30.04.2021 läuft jetzt eine weitere Übergangsfrist ab.

Ab dem 01.05.2021 dürfen nur noch DAkkS-akkreditierte PQ-Stellen eine Präqualifizierung erteilen. (Stichtag war der 01.05.2019)

Da viele Unternehmen zwischen den Präqualifizierungen keinen Kontakt mit ihrer PQ-Stelle hatten, kann es gut sein, dass Ihre PQ-Stelle nicht mehr tätig ist.

Bisher hat dies nur begrenzte Auswirkungen auf die Leistungserbringer. Der GKV-Spitzenverband unterscheidet bisher zwischen der Auslegung nach § 126 SGV V (Abs. 2) und der Regelung der DAkkS.

Wir haben uns in diesem Thema zu einer Zusammenarbeit mit QVH Service GmbH entschlossen. Diese ist DAkkS-akkreditiert und konzentriert sich auf die PQ. Durch eine sehr gute Vernetzung, u.a. mit der GKV sind die bestehenden und künftigen Anforderungen bekannt. Die Abwicklung ist unkompliziert und klar.

Wir empfehlen allen eine BAFA-geförderte Unterstützung zur

  • Aufbereitung der PG-Unterlagen,
  • Prüfung der MDR-Umsetzung (Termin Mai) und
  • Prüfung Datenschutz.

Alles ist sehr gut in 2 Tagen zu schaffen, und die 1.500 € sind überschaubar.

Link zur Präqualifizierung

ISO 27001 – effizient einführen

By | Allgemein, Startseite

Wir sind immer wieder überrascht, an welchen „Trivialitäten“ die Einführung der ISO 27001 scheitert.

Bei der Einführung eines ISO 27001-Management-Systems stoßen wir auf die gleichen Gegebenheiten, wie vor 15 Jahren bei der ISO 9001.

  1. Die Unternehmen kennen sich in ihrem Tagesgeschäft aus, es fehlt nur der für eine Zertifizierung notwendige Rahmen.
  2. Die Unternehmen versuchen im Rahmen der Einführung, Re-Organisationsmaßnahmen umzusetzen.
  3. Der Detaillierungsgrad ist viel zu hoch, da man sich im Detail natürlich sehr gut auskennt.

Das Ganze führt zu einem enormen Einführungsaufwand (meist Wochen), nicht eingehaltenen Zeitplänen und einer kaum pflegbaren Dokumentation.

Um effizient vorzugehen bietet es sich an, die ISO 27001 tatsächlich als Leitfaden für die Einführung zu betrachten. Dann ist alles einfach.

Der Aufbau und damit die Vorgehensweise ist im vorherigen Artikel beschrieben.

Um dabei effizient zu sein bieten sich folgende Schritte an:

  1. Kurzinformation der Leitung über Idee der Norm. (2 Std)
  2. Entscheidung, ob man diesen Weg beschreiten will.
  3. Nutzung von Standard-Unterlagen. Diese passen vom Grundsatz auf jedes Unternehmen. Wichtig hierbei: Die Norm sagt „tu das“, die Unterlagen sagen „ich tue das“.
  4. Wenn man sich jetzt durch die Unterlagen arbeitet (sie lernen hier einen neuen „Dialekt“), ist das System stimmig und es gibt wenig Überschneidungen. (5 Tg)
  5. Relativ schnell kommen Sie an die Stelle, an der Sie Ihre Vorgaben einbinden. Das geschieht idealerweise durch Verweise. Dann behalten Sie und Ihre Mitarbeiter die gewohnte Dokumentation und der Rahmen der ISO 27001 passt. (2 Tg)
  6. Jetzt gibt es meist noch die generellen ISO-Themen. Internes Audit, Management-Review, Ziele, Risiko-Betrachtung, … . Sie werden feststellen, dass die hier verwendete Systematik leicht umzusetzen ist und Vorteile in der Dokumentation bietet. (2 Tg)
  7. Erst wenn diese Schritte umgesetzt sind, sollten Sie mit der Re-Organisation beginnen. Vorteil: Sie haben eine Systematik die auf die Anpassung der Organisation auf die sich ändernden Rahmenbedingungen ausgerichtet ist. Die Re-Organisation ist der erste große Test hierfür.

Fazit

Wenn man sich von der Norm als Leitfaden helfen lässt, ist die Einführung der ISO 27001 sehr gut umsetzbar.

ISO 27001 – wichtige Informationen schützen

By | Allgemein

Sind Sie sicher, dass Ihre „wertvollen“ Daten ausreichend geschützt sind?

Um hier effizient vorzugehen und das erreichte Niveau auf Dauer abzusichern bietet sich die ISO 27001 als Leitfaden an.

1. Fazit

Ihre Daten stellen einen entscheidenden Bestandteil Ihrer Unternehmenswerte dar.

Das IS-Management bietet sich für die Grundorganisation genauso an, wie die ISO 9001.

2. Ziele für Einführung eines Informationssicherheits-Managements

IS-Management kann zwei Primärgründe haben:

  • Ihre Kunden fordern es. Entweder direkt oder indirekt, wenn Sie ein Auftragsverarbeiter im Sinne der DSGVO sind und die Umsetzung der TOM nachweisen müssen.
  • Sie möchten strukturiert den IS-Status feststellen.

3. Unser Angebot:

  • Sehr einfach Umsetzung durch an der Norm orientierte Vorlagen
  • Individualisierung durch erfahrene Berater
  • Abgestimmt auf eine DAkkS-akkreditierte Zertifizierung
  • Zertifizierung preisWert und schnell

4. Aufbau des Informationssicherheits-Management (ISM) nach ISO 27001

Die ISO 27001 ist einfach gegliedert und in der Struktur allen bekannt, die schon mal mit ISO-Management-Normen Kontakt hatten.

Wer sind Sie, was ist für Sie im Hinblick auf IS-Management wichtig?

  • Zuerst legen Sie fest für was Sie verantwortlich sind und für was nicht. (Anwendungsbereich)
  • Dann dokumentieren Sie, was für Sie im Hinblick auf die IS entscheidend ist. (Relevante Themen)
  • Betrachten Sie Kunden, Lieferanten, Mitarbeiter, Staat, … und was die heute und „morgen“ von Ihnen erwarten. (Interessierte Parteien)
  • Schaffen Sie sich eine Organisationsdokumentation mit dem Zentrum IS-Management (IS-Handbuch)

Wo wollen Sie hin?

  • Nur wenn Sie sich als gesamte Leitung zur IS bekennen ist das ganze sinnvoll. Das ist mit „Unbequemlichkeiten“ verbunden. (Verpflichtung)
  • Jeder Ihrer Mitarbeiter und Dienstleister braucht eine Orientierung für den Fall, dass es keine klare Anweisung gibt. (Politik)
  • Legen Sie fest, wer wofür verantwortlich ist und wer was entscheiden kann. (Rollen, Verantwortlichkeiten)

Wie geht man vor?

  • Zuerst müssen Sie für Ihren Anwendungsbereich unter Beachtung Ihrer relevanten Themen ermitteln was Ihre Risiken sind und wie hoch der zu mögliche Schaden ist. Die ISO 27001 ist hier ein sehr guter Leitfaden. (IS-Risikobeurteilung),
  • dann müssen Sie IS-Ziele für sich formulieren (IS-Ziele) und
  • dann müssen Sie die notwendigen Maßnahmen formulieren, dabei ist die Checkliste „Anhang A“ der Norm zu berücksichtigen (IS-Behandlung)

Wie kann man die IS unterstützen?

  • Liste eingesetzter Hard-, Software, Clouddienste, … erstellen (Ressourcen)
  • Fähigkeiten ihrer Mitarbeiter und Dienstleister erstellen und weiterentwickeln (Kompetenz)
  • Das Bewusstsein für die IS wecken und fördern (Bewusstsein)
  • Festlegen worüber, wann wer mit wem kommuniziert
  • Festlegen wie Vorlagen und Informationen erstellt, aktualisiert, erhalten und gelöscht werden (Dokumentierte Information)

Wie lebt man IS?

Hier hat die Norm Lücken, da sie sich hauptsächlich mit der Beurteilung und Behandlung von IS-Risiken beschäftigt. Es ist sicher sinnvoll die einzelnen Hauptprozesse regelmäßig unter IS-Gesichtspunkten zu steuern. (Betrieb)

Wie überwacht man die IS?

  • Durch die Überwachung der gesteckten Ziele schaffen Sie sich Frühindikatoren für sich abzeichnende Entwicklungen. (Überwachung)
  • Mit den internen Audits können Sie geplant alle relevanten Bereiche auf Einhaltung und Sinnhaftigkeit der Vorgaben überwachen. Hier ist unsere Empfehlung, dass Sie die Informationen für eine „Revision“ aufbereiten lassen, z.B. Zugriffsrechte der Benutzer (Internes Audit)
  • Die Ergebnisse der Überwachung und der Internen Audits müssen Sie in geplanten Abständen (meist jährlich) „bewerten“. (Managementbewertung)

Wie sorgt man für die Anpassung der

  • Ihre Maßnahmenliste ist Ihr zentrales Werkzeug, um die IS auf dem laufenden zu halten. (Verbesserung)
  • Wichtig: Im Gegensatz zur ISO 9001 ist die Wirksamkeit der Maßnahmen auf Dauer zu überwachen.

Wenn Sie sich mit der ISO 27001 beschäftigen fällt sehr schnell auf, dass andere System wie TISAX oder auch die DSGVO der gleichen Logik folgen.

Durch die einheitliche Struktur der Norm (HLS-High Level Structure) ist Integration in andere ISO-Managementnormen sehr einfach.

HomeOffice

By | Allgemein

Im Zuge von CORONA ist der Anteil der Mitarbeiter, die im HomeOffice tätig sind natürlich sehr stark gestiegen.

Mobiles Arbeiten ist bei den „Einzelkämpfern“, Vertriebs- und Service-Mitarbeitern schon lange üblich. Durch die jetzige Situation sind Themen und Probleme offen gelegt worden, die lange Zeit nicht beachtet wurden.

Interessant dabei ist, dass es total abweichende Stimmen zum Erfolg und der Effizienz dieser „neuen“ Form des Arbeitens gibt.

Ich denke am Ende ist klar, dass nicht alle Arbeiten im HomeOffice bleiben werden – aber 10 – 20 % der Verwaltungstätigkeiten bleiben dauerhaft „mobil“.

Bei der Umsetzung des „mobilen Arbeitens“ sind folgende Punkte wichtig:

  • Klare Verantwortlichkeiten (die Aufgaben müssen mit Termin und Inhalt klar zugeordnet sein)
  • Eindeutige Ziele für die Bewertung (der Einzelerfolg muss zum Unternehmenserfolg beitragen)
  • Regel-Kommunikation aufbauen, umsetzen und bei Bedarf anpassen (Tages-, Wochen- Projekt-Meeting)
  • Die Gruppen-Organisation zentral steuern (Anlage der TEAMS / Kanälen, Rechtevergabe)
  • Überwachung der „mobilen“ Arbeitsplätze (Zutritt, Zugang, Passwörter, Arbeitsplatzgestaltung, Geheimhaltung)
  • Eindeutige Regeln für Benennung und Ablage von Informationen in OneDrive und SharePoint (Dateinamen, Ablageorte)
  • Möglichst Nutzung von Firmen Hard- und Software (Administration, Pflege, keine Fremdsoftware)
  • Vertragliche Regelungen (Geheimhaltung, Arbeitzeit, Meldewege, private Nutzung)

Fazit:

Wenn man die Ideen der „ISO“ mit denen des „Datenschutzes“ kombiniert ist das Ziel und der Weg klar.

CORONA – Ausblick

By | Allgemein

Ich möchte einen Ausblick wagen.

Stand 01.12.2020:

  • Die Zahlen der Neu-Infektionen haben sich bei ca. 16.000 stabilisiert,
  • Anzahl der Menschen in Quarantäne steigt,
  • Todesfälle ca. 17.000, Tendenz steigend,
  • Teil-Lockdown (Max. 5 Personen, Maskenpflicht im öffentlichen Raum, Schulen noch geöffnet, Gastronomie geschlossen),
  • Arbeitslosenzahl Nov. 2020 rund 2,7 Mio. (Nov. 2019 rund 2,2 Mio.),
  • Unterbeschäftigt Nov. 2020 rund 3,5 Mio. (Nov. 2019 rund 3,1 Mio.),
  • Kurzarbeit Nov. 2020 ca. 2.7 Mio.,
  • Corona-Kurzarbeitergeld wurde bis Ende 2021 verlängert,
  • mehrere Impfstoffe sind vor der Zulassung,
  • die Industrie hat sich auf Corona eingestellt (Homeoffice, Lieferketten gesichert),
  • die Insolvenzantragspflicht ist weiter eingeschränkt,
  • Politik drängt auf e-Mobilität.

Ausblick nächste 12 Monate

  • Es ist anzunehmen, dass durch Weihnachten die Anzahl der Neu-Infektionen nochmal steigt.
  • Im Frühjahr werden die Impfungen beginnen.
  • Freizeit-Aktivitäten bleiben bis März eingeschränkt.
  • Quarantänen werden bis März stark bleiben.
  • Die Bevölkerung gewöhnt sich an die Maßnahmen.

Ausblick nächste 5 Jahre

  • Alle Branchen, die auf die Präsenz von Menschen angewiesen sind und nicht abhängig vom Freizeitverhalten sind, werden noch Jahre brauchen um sich zu erholen. (z.B. Luftfahrt, Messen, Tagungshotels, Einzel-Handel)
  • Die Digitalisierung wird stark zunehmen. Der Einsatz von Microsoft TEAMS wird sich weiter verbreiten, auch getrieben von der Lizenzpolitik von Micorsoft.
  • Es gibt Überkapazitäten an Büros.
  • Hersteller in der Automobilindustrie bauen massiv Personal ab.
  • Maschinenbau gerät stark unter Druck der chinesischen Hersteller.
  • Arbeitslostenzahlen steigen stark.
  • Die Margen werden sinken.
  • Die Mitarbeiter im Homeoffice müssen deutlich stärker über Ziele geführt werden.
  • Der Staat wird seine Leistungen über eine starke Neu-Verschuldung finanzieren.

Fazit

Es wird extrem wichtig sich mit seinen Kunden (zu erwartende Entwicklung) und deren Anforderungen zu beschäftigen.

Die eigene Strategie muss darauf abgestimmt sein:

  • Neue Produkte
  • Neue Organisation
  • Kostenplanung

Unternehmens-Know-how im Wohnzimmer

By | Allgemein

Im Zuge der „Heimarbeit“ wurde das Wissen der Unternehmen in die Wohnzimmer der Mitarbeiter ausgelagert.

Die CORONA-Pandemie hat dazu geführt, dass sehr viele Unternehmen ihre Mitarbeiter in die Heimarbeit geschickt haben. Hierdurch konnte das Risiko für eine Quarantäne-bedingte Störung des Ablaufs deutlich reduziert werden.

In diesem Zuge haben die Unternehmen aber auch Kontrolle über ihre essenziellen Werte abgegeben.

  • Vertriebsmitarbeiter haben Kalkulationen, Kundenstämme, Reklamationswissen und Aufträge zuhause,
  • Entwickler greifen auf Zeichnungen, Programme, Arbeitspläne und Wissensdatenbanken zu,
  • Buchhalter buchen Löhne/Gehälter und Eingangs- bzw. Ausgangsrechnungen.

Jetzt haben wir das Problem, dass wir nicht sicher sein können, ob das Wissen nicht abgewandert ist.

Wie stellen wir sicher, dass

  • bei einer Trennung vom Mitarbeiter eventuelle Kopien gelöscht werden,
  • wirklich wichtige Informationen nicht zu Partnern, Bekannten oder Kindern abfließen,
  • Verstöße gegen die Vertraulichkeit auch tatsächlich an das Unternehmen gemeldet werden (DATA-BREACH).

Der erste Schritt ist sicher eine zentrale Dokumentation des aktuellen Standes der Zugriffe und Möglichkeiten.

Der zweite Schritt sollte das Nachvollziehen und Dokumentieren der bereits wieder rückgängig gemachten Organisations-Maßnahmen sein.

Die meisten Unternehmen haben das Problem der strukturierten Erfassung und Dokumentation der im Zuge der CORONA-Pandemie getroffenen Maßnahmen.

Wir unterstützen Sie gerne, rufen Sie uns an.

MAQMSR (IATF 16949 light)

By | Allgemein

Minimum Automotive Quality Management System Requirements for Sub-Tier Suppliers

Der Druck auf die Weiterentwicklung der QM-System der Lieferanten steigt.

In der Zwischenzeit haben die Tier 1 alle mehrere Audits nach der IATF 16949 durchlaufen. Die Forderung der Weiterentwicklung der Lieferanten in Richtung auf die IATF wird immer stärker (IATF 16949 – 8.4.2.3 Entwicklung des QM-Systems von Lieferanten).

Mit der MAQMSR wurde eine pragmatische Lösung für die Sub-Lieferanten geschaffen. Diese konzentriert sich auf die Kernelemente der IATF und hat die Sicherstellung der Produkt-Qualität zum Hauptziel.

In der aktuellen Situation, in der die Lieferketten neu geordnet werden und die Probleme der neu entwickelten Produkte in der Lieferkette konsequent weitergegeben werden, ist die MAQMSR eine sinnvolle und praktikable Lösung sowohl für die Tier 1 als auch für die Sub-Lieferanten.

Notwendig für die effiziente dauerhafte Pfege des Systems ist die Integration in die bestehenden QM-Systeme und die Kombination mit Automotive SPICE.