Vorbereitung auf eine Inspektion der Datenintegrität
Die pharmazeutische Qualitätssicherung ist dadurch charakterisiert, dass in regelmäßigen Abständen neue Themen auftauchen und in den Fokus der behördlichen Inspektionen übernommen werden. Solche Interessensschwerpunkte waren beispielsweise die Regelungen zu elektronischen Unterschriften und Aufzeichnungen, Reinigungsvalidierung, OOS, Risikomanagement und seit einigen Jahren die Datenintegrität. Erstaunlicherweise wird letzteres Thema seit ca. 2012 mit großer Vehemenz bearbeitet, wobei ein Ende derzeit noch nicht absehbar ist.
Die US FDA und die europäischen Überwachungsbehörden starteten ihre diesbezüglichen Inspektionen zunächst mit der Entdeckung und Analyse von betrügerischen Datenfälschungen, vor allem in Indien und China. Nachdem man in diesen Ländern viele Manipulationen aufgedeckt und die Mehrzahl der Inspektoren auf diesem Gebiet trainiert hatte, wurde die Einhaltung der Richtlinien bei den Global Players in der pharmazeutischen Industrie überprüft. Mittlerweile werden auch die mittelständischen und kleineren Unternehmen, die oft nur über eine sehr dünne Personaldecke verfügen, von den Inspektoren genauer unter die Lupe genommen.
In Anbetracht der großen Anzahl von Guidelines, die allesamt keinen eindeutigen legalen Status besitzen und oft gegensätzliche Hinweise geben, ist eine kleinere Firma ohne externe Hilfestellung auf verlorenem Posten, da es kaum Referenzen zu pragmatischen Ansätzen zur Implementierung der Datenintegrität gibt. Externe Consultants sind häufig eher am Verkauf von möglichst vielen Beratungsstunden als an pragmatischen Lösungen interessiert.
Programm
Die meisten Firmen haben mittlerweile ein eigenes Datenintegritäts- Programm gestartet, das eine Beteiligung des Managements vorsieht. Die Überzeugung der Führungsriege von der Notwendigkeit eines entsprechenden Konzepts ist allerdings oft schwierig, da Fragen nach Sinn und Zweck sowie möglicher Kostenersparnis durch dieses Programm gestellt werden. Die Implementierung der Datenintegrität im Unternehmen wird in keinem Fall kurzfristige Einsparungen bringen. Die Unternehmensleitung sollte daher über mögliche negative Folgen auf Umsatz und Ansehen der Firma hingewiesen werden, sofern Datenintegritätsprobleme publik werden. Der nachstehend aufgeführte Überblick (Abb. 1) eignet sich dazu, eine Entscheidung des Managements herbeizuführen.
Abb. 1 Fiktives Beispiel: Abschätzung von Ressourcen und Budget in einem Unternehmen
Seminarempfehlung
Amsterdam, The Netherlands27-29 November 2024
Strukturierung
Bei einer Inspektion durch die lokale oder internationale Überwachungsbehörde müssen alle organisatorischen und technischen Maßnahmen demonstriert werden, die zur Sicherung der Datenintegrität im Unternehmen getroffen worden sind. Dabei ist es erforderlich, eine klare Struktur dieser Aktivitäten zusammen mit der internen Kontrolle, zum Beispiel durch die QA, nachzuweisen. Alle Maßnahmen sollten dabei Risiko-basiert, d.h. unter Berücksichtigung des Produkt-, Prozess- und Patientenrisikos geplant werden.
Risikoanalyse
Dabei müssen zunächst auf Basis des Systeminventars (Beispiel für eine graphische Darstellung siehe Abb. 2) alle computergestützten Systeme betrachtet und nach einer Reihe von Kriterien beurteilt werden - hier ein Auszug:
Abb. 2: System Landscape
1. Static Data / Dynamic Data
2. Impacting Quality (Release of batches)
3. Management/Generation of Raw Data
4. System used for validated/compendial methods (QC) or validated production processes
5. Change of Parameters/limits described
6. Is critical data from the system transcribed reading to paper records by individuals
7. Number of interfaces with other systems
8. Ratio department members / system users
9. Complexity of the application
10. Can data or metadata be changed / modified
11. Can system malfunctions or bugs be discovered
12. Can Parameters/limits/setpoints be changed or deleted by the operator
13. Segregation of Duties
14. User und Admin in one Person
15. Number of Administrators
16. Audit Trail compliant to regulations
17. No. of malfunctions of application per year
18. No. of malfunctions of sys. environment per year
19. Annual Change history
20. User Account Management
Diese Kriterien erlauben es, das Gesamtrisiko der Datenintegrität und die Kritikalität des Audit Trails in kurzer Zeit (wenige Minuten) zu ermitteln. Dabei ist es unbedingt erforderlich, dass die Experten (Process Owner, System Owner, User) diese Beurteilung im Team vornehmen, da nur diese Personen die in Tab. 1 aufgeführten Fragen sicher beantworten können; sofern solche Systemkenntnisse nicht vorliegen, wird die Bewertung keine fundierten Ergebnisse liefern. Bei der Diskussion der einzelnen vordefinierten Fragen können die Teilnehmer darüber hinaus Sofortmaßnahmen für die einzelnen Applikationen definieren, um größere Compliance Lücken, die bei der Diskussion offenkundig werden, zeitnah zu schließen.
Mit dem Ergebnis dieser ersten, sehr zeitsparenden Risikoanalyse können die Priorität und Reihenfolge der weiteren Maßnahmen in einen - je nach Risiko - abgestuften Zeitplan eingetragen und die CAPAs entsprechend festgelegt werden. Der Abschluss der einzelnen CAPAs kann Risikobasiert über einen Zeitraum von ca. zwei Jahren definiert werden. In Abb. 4 (auf der Folgeseite) sind Beispiele zu einer entsprechenden Risikoanalyse auf Basis der zuvor genannten Kriterien aufgeführt.
Abb. 3: Beispiel eines Zeitplans für die Implementierung
Im nächsten Schritt erfolgt dann die detaillierte Analyse eines jeden einzelnen computergestützten Systems mithilfe einer Checkliste. Solche Checklisten sind alle sehr ähnlich aufgebaut und bestehen aus ca. 50-80 Fragen.
Sofortmaßnahmen
Sofern für eine Risikoanalyse weder Zeit noch Kapazität vorhanden sind, kommen in Vorbereitung einer Inspektion eine Reihe von Sofortmaßnahmen infrage, die zum Beispiel sinngemäß in der MHRA Guideline der britischen Behörde aufgeführt sind:
- Generische User Accounts eliminieren für Windows Login und Instrumenten-Software Login
- Labormitarbeiter dürfen keinen Zugang haben zum lokalen Laufwerk, z. B. zum Löschen oder Ändern von Daten; das gilt auch für den Zugriff zum "Papierkorb"
- Immer Virenschutz aktivieren, extreme Vorsicht bei USB Memory Sticks, besonders von externen Dienstleistern
- Labormitarbeiter dürfen keine Möglichkeit haben, in der Instrumenten-Software Daten zu löschen oder zu ändern innerhalb ihrer Berechtigung
- Mitarbeiter dürfen keinen Zugang zur Änderung des System- Datums/Uhrzeit haben
- Alle Standalone-Systeme müssen die Audittrail-Funktion aktiviert haben; diese darf nicht ausgeschaltet werden können durch die Mitarbeiter
- Elektronische Aufzeichnungen (einschl. Metadaten) müssen durch eine zweite Person auf Richtigkeit und Vollständigkeit geprüft werden
- Durch eine SOP sollte sichergestellt sein, dass auch bei kurzzeitigem Alleinlassen des Systems ein Log-off erfolgt, um unberechtigten Zugriff auf Daten zu verhindern
- Dokumentationsmanagement: SOPs und Anweisungen dürfen nicht lokal gespeichert werden
- etc.
Abb. 4: Beispiel einer Risikoanalyse
Datenlenkung
Über die erwähnten Risikoanalysen hinaus empfiehlt es sich natürlich, eine Data Integrity Policy, d.h. ein Statement der Unternehmensleitung zur Einhaltung der DI Prinzipien zu entwerfen. Hierbei ist festzustellen, dass sich die Policies der großen pharmazeutischen Unternehmen kaum unterscheiden und somit ein entsprechendes eigenes Statement ohne großen Aufwand formulieren lässt.
Ein pharmazeutischer Inspektor wird sich allerdings weniger für die Policy als für eine ausführliche SOP zur Datenintegrität interessieren. Ein solches Dokument wird oft "Data Integrity Principles" genannt mit einem Umfang von üblicherweise 10-15 Seiten und lebt von den zahlreichen Referenzen zu den Anweisungen, die einen Einfluss auf die Datenintegrität im Unternehmen haben. Eine Auswahl der dort zu referenzierenden Dokumente ist nachstehend aufgeführt:
- Handling of Data (GMP, GLP, GCP)
- Good Documentation Practice
- General description of handling of logbooks
- General procedure for analytical procedure validation
- Performance, approval and documentation of analyses in GxP laboratories
- Retention of documentation in <COMPANY>
- Global Business IT Backup & Restore Procedure
- Business Continuity Management (BCM)
- Procedure for Computerised System Validation
- Change Management
- Qualification and Validation Principles
- Procedure for Data Audit performed by QA
- Procedure for Data Audit performed by Clinical Data Monitors
- Procedure for Data Audit performed by GLP auditors
- Technical agreements
- Quality Document Management
- General procedure for analytical procedure validation
- Procedure for training
- Handling of Deviations
- Handling of Case Record Forms (CFR)
- Handling of Corrective and Preventive Actions (CAPA)
- Handling of Informed Consent Forms (ICF)
Audit Trail Review
Das wichtigste Thema im Zusammenhang mit der Datenintegrität ist für ein pharmazeutisches Unternehmen die Überprüfung des Audit Trails. Diese Forderung ist bereits seit der Novellierung des Annex 11 EU GMP Leitfaden, der seit 2011 in Kraft ist, allgemein bekannt, wurde aber seitens der Inspektoren nur sehr zögerlich hinterfragt. Diese Praxis hat sich in den beiden letzten Jahren erheblich geändert, so dass auch mittelständische und kleine Firmen nach einem Audit Trail Review gefragt werden. Basis dafür ist selbstverständlich wieder die oben erwähnte Risikoanalyse und eine genaue Kenntnis der Datenfelder, die gegebenenfalls geändert/manipuliert/gelöscht werden könnten. Sofern der User nach der Ersteingabe der Daten keinen Zugriff mehr auf die Daten hat, kann die Frage nach dem Audit Trail Review recht schnell beantwortet werden. Leider lassen die meisten Computersysteme Datenänderungen durch den User zu.Seminarempfehlung
Amsterdam, The Netherlands28/29 November 2024
Qualified Person Forum 2024
Die generelle Praxis des Audit Trail Reviews (Rollen, Verantwortung, Dokumentation, Frequenz) wird in einer SOP festgelegt, die für den gesamten Reviewprozess Gültigkeit hat. Die Details des Reviews werden in Checklisten beschrieben, die spezifisch für jedes einzelne System ausgearbeitet sind und alle zu überprüfenden Datenfelder identifizieren. Der Reviewer wird bei der Überprüfung sein Ergebnis in die Checkliste eintragen, diese unterschreiben und der Sachkundigen Person (QP, Schweiz: Fachtechnisch verantwortliche Person) übermitteln. Die QP verwendet das Ergebnis des Audit Trail Reviews als Kriterium für die Chargenfreigabe.
Stand Alone Systeme
Bei einer Behördeninspektion werden häufig auch die Stand Alone Systeme unter die Lupe genommen. Dabei handelt es sich häufig um ältere computergestützte Systeme, die recht einfach aufgebaut sind und keine Verbindung zum Unternehmensnetzwerk bzw. Internet haben. Benutzerverwaltung, Datenspeicherung und Datensicherung entsprechen oft nicht den Anforderungen an moderne Systeme (generische User Accounts und Passwörter); die Konfiguration wird in manchen Fällen sogar vom User vorgenommen.
Wenn es sich dabei um sogenannte "Embedded Systems" handelt, die zum Beispiel einfachere Maschinen in der Produktion steuern und direkt mit dem Gerät verbunden sind, so ist ein Ersatz der Steuerung nur in Verbindung mit einer neuen Maschine möglich und damit sehr kostenintensiv. Die Firma sollte hier über pragmatische Lösungen nachdenken, die eine höhere Sicherheit der Datenintegrität gewährleisten und kostengünstig realisierbar sind, bis ausreichend Mittel zum Ersatz des Gesamtsystems verfügbar sind.
Im Falle von generischen User Accounts ist zum Beispiel eine Lösung denkbar, bei der sich die Nutzer in ein bereitliegendes Logbuch zusammen mit dem Zeitfenster der Nutzung eintragen müssen. Solche Unterlagen sollten auch der QP zur Chargenfreigabe vorliegen, sofern qualitätsrelevante Chargendaten verarbeitet worden sind. Die Handhabung von Stand Alone Systemen sollte zusammen mit den verschiedenen Problemstellungen und deren Lösung in einer SOP beschrieben sein.
Zusammenfassung
Bei der Vorbereitung einer Behördeninspektion ist es sehr wichtig, einen Überblick über alle bis dato getroffenen Maßnahmen zur Sicherstellung der Datenintegrität zu geben. Eine pragmatische Risikoanalyse, die nicht viel Zeit in Anspruch nimmt, unterstützt dabei eine sinnvolle Priorisierung über einen Zeitraum, der für das Unternehmen tragbar und für den Behördenvertreter akzeptabel ist. Durch die Implementierung der Sofortmaßnahmen wird erkennbar, dass das Unternehmen bereits mit der Umsetzung begonnen hat.
Autor:
Dr. Wolfgang Schumacher
... war Leiter der Abteilung Quality Computer Systems der F. Hoffmann-La Roche AG. Er ist DGQ Fachauditor und hat eine Personalzertifizierung gem. DIN 10011 Teil II durchlaufen.