Datenintegrität: Eine Rückkehr zu den Wurzeln


2018-bl-Data-Integrity-A-Return-to-BasicsIch besuchte kürzlich den Internationalen Kongress A3P in Biarritz, Frankreich, bei dem die Hauptakteure der Pharma- und Biotechnologiebranche in Europa auftraten. Ich hatte Gelegenheit, an einem Workshop zum Thema Datenintegrität teilzunehmen. In diesem Workshop kamen viele Fachleute der Biowissenschaften zusammen.

Seit den Veröffentlichungen der Medical and Healthcare Product Regulatory Agency (MHRA) in Großbritannien (1) und der Food and Drug Administration (FDA) in den USA (2) zu diesem Thema 2015 und 2016 rückt das Problem der Datenintegrität immer mehr in den Fokus. Einige Teilnehmer des Workshops fragten, ob es sich dabei nicht nur um einen Trend handele, der bald wieder Geschichte sei. Ich bin der festen Überzeugung, dass dies nicht der Fall ist.

Im Zeitraum von Januar 2015 bis Mai 2016 befassten sich 21 von 28 Warnbriefen der FDA mit Datenintegritätsproblemen in der Arzneimittelherstellung. Was haben wir übersehen? Da man sich in der Branche bezüglich der Verwaltung der Qualität und Compliance mit Informationssystemen hauptsächlich auf die “Systeme” konzentrierte, blieben die Informationen an sich auf der Strecke.

Ist die Datenintegrität eine Rückkehr zu den Grundlagen einer guten Praxis?

Sehen wir uns an, wie sich Informationssysteme in den letzten 40 Jahren entwickelt haben. Wir müssen tatsächlich zum Jahr 1980 zurückgehen. Damals veränderte ein Ereignis die Welt der Computerwissenschaften, wie wir sie kannten – die Erfindung der Mikrocomputer. Dieser Fortschritt machte es möglich, dass nun jeder auf einen Computer zugreifen konnte, sei es bei der Arbeit oder zu Hause. Diese Innovation förderte nicht nur die Demokratisierung der Technologie, sondern war auch ein Zeichen für den Aufschwung der “Softwareindustrie” mit Unternehmen wie SAP, Microsoft, Google und anderen.

Während der innovativen Ausbreitung der Schnittstellen änderte sich die Bedeutung des Worts “Information”, da es von der Branche dazu verwendet wurde, sich auf Systeme zu konzentrieren. Heutzutage bezieht sich Datenintegrität hauptsächlich auf die “Informationen”.

Und dennoch gab es bereits Vorschriften...

Hier müssen wir die Leistung der Gesetzgeber anerkennen und die europäischen und amerikanischen Texte heranziehen, die bereits den Weg wiesen. Anhang 11 (3) der EU bietet einige Ansätze zum Thema Datenschutz. Beispielsweise gibt es Anforderungen für die Aufbewahrung von Daten (§ 7.1), Sicherungen (§7.2), Prüfungsnachweisen (§9) oder für die gerechtfertigte Änderung von Daten (§ 9 und 10). Die Nachverfolgbarkeit sollte Datum und Uhrzeit von Änderungen umfassen sowie die Datenquelle und detaillierte Informationen zur Person, die Änderungen vorgenommen hat (§ 8.2). Daten sollten vor Beschädigung durch physische wie elektronische Einflüsse geschützt werden (§ 7.1). Über ein Computersystem sollte für die logische Sicherheit eine Benutzerkennung erforderlich sein, um den Zugriff auf berechtigte Personen zu beschränken (§ 12.1, 12.2, 12.3).  Elektronische Datensätze implizieren außerdem, dass Daten von der Person signiert werden, die den Eintrag vornimmt. Elektronische Signaturen werden als genauso zuverlässig betrachtet wie Unterschriften per Hand (§ 14). Prinzipien wie Archivierung (§ 17), Aufgabentrennung (§ 6) und Bestandskarten zum “Datenfluss” (§ 4.3) werden ebenfalls vorgeschlagen.

Identische Datensicherheitsmaßnahmen werden in gleichem Maße von CFR21 Teil 11 herausgestellt.

Was hat sich somit bezüglich der Probleme mit Datenintegrität geändert oder ist gleich geblieben? Wieso musste die MHRA ihre Vorschriften oder etwas anderes ändern oder aktualisieren? Was sind die neuen Prinzipien?  

 Was steht im Moment im Vordergrund?

Probleme mit der Datenintegrität sind auf betrügerische Praktiken zurückzuführen. Es hat sich gezeigt, dass bestimmte Unternehmen Daten direkt ändern konnten, wenn sie nicht ihren Wünschen entsprachen. Die Integrität der Daten ist nicht gewährleistet. In den letzten Jahren nahmen daher die Verletzungen der Datenintegrität, wie etwa Verfälschungen, erheblich zu (4), was zu 483 Warnbriefen der FDA an Pharmaunternehmen führte.

White Paper
Dieser Artikel bezieht sich auf das Produktdatenblatt:
Können Sie sich einen Verstoß gegen die Datensicherheit leisten?
Die vollständigen Details herunterladen kostenloses Datenblatt.

Offene Systeme und Datenfluss

Viele Jahre lang konzentrierten wir uns besorgt um die Validierung der computergestützten und automatisierten Systeme und vergaßen dabei fast die Daten, um die es eigentlich geht.

Inzwischen liegt der Fokus wieder auf den Daten. Daher ist die einseitige Sicht auf Informationssysteme, die sich auf ein einzelnes geschlossenes Tool konzentrierten und weder auf Eingangs- noch auf Ausgangsseite kommunizierten, überholt. Sogar im Kontext einer massiven Implementierung von Systemen zur Unternehmensressourcenplanung (ERP) im großen Stil finden wir immer auch Verbindungen zu Laboranlagen, Labor-Informations- und Managementsystemen (LIMS), Produktionsanlagen und Extraktionswerkzeugen. Die Daten zirkulieren zwischen den Systemen, entwickeln sich weiter und ändern sich. Daher ist es wichtig, die Daten zu steuern und sicherzustellen, dass sich die ursprüngliche Semantik nicht ändert, was auch als “semantischer Angriff” bezeichnet wird.

Datenkontrolle übernehmen

Die Kontrolle der Datenintegrität ist die Voraussetzung für die Konsistenz der Daten insgesamt. Wie könnte man belegen, dass die Daten seit ihrer Erfassung nicht bearbeitet oder geändert wurden, insbesondere wenn es bei den Daten um die Sicherheit von Patienten geht? Ist andererseits bei gerechtfertigten Änderungen die Nachvollziehbarkeit dieser Änderung gewährleistet? Wird der ursprüngliche Eintrag aufbewahrt und kann auf ihn zugegriffen werden? Ein Prüfnachweis ist eine Methode zur Nachverfolgung aller Datenänderungen. Elektronische Managementsysteme bieten ein Tool zur Durchführung von Prüfnachweisen. Sie ermöglichen es, einen aktuellen Wert über alle Datenänderungen bis zurück zum ursprünglichen Wert zurückzuverfolgen. Die Reihenfolge der Änderungen an Daten kann daher nachgebildet werden. Es sollte eine Beschränkung der Werte auf bestimmte Benutzer des Systems in Erwägung gezogen werden, weil Änderungen auf diese Weise den Personen zugewiesen werden können, die sie vorgenommen haben.

Ein Schritt hin zu neuen Prinzipien

Neue Sicherheitsmaßnahmen tragen auch dazu bei, dass der Blick auf das Konzept der Datenintegrität geschärft wird. Prinzipien wie ALCOA (zuweisbar, lesbar, zeitgleich, original und akkurat), verschiedene Praktiken rund um das Datenmanagement sowie die Überprüfung von Prüfnachweisen sind im Kommen. All diese Themen sind nun Teil der Sicherstellung von Datenintegrität.

Hersteller im Bereich der Biowissenschaften werden unter die Lupe genommen.

Das Konzept der Datenintegrität sollte unternehmensweit verwurzelt sein. Ursprünglich waren die Daten auf das Labor beschränkt, doch inzwischen sprechen wir von Industriedaten. Wir werden bald schon über alle Daten sprechen, die direkt oder indirekt an der Sicherheit der Patienten oder der Qualität des Produkts beteiligt sind.

Daher sind wir an einem entscheidenden Wendepunkt angelangt und müssen zum fundamentalen Wert der Sicherstellung akkurater und zuverlässiger Unternehmensdaten zurückkehren. Und das ist gut so. Die Behörde drückt es so aus: “Datenintegrität ist eine wichtige Komponente der Branchenverantwortung für die Sicherheit, Wirksamkeit und Qualität von Arzneimitteln und der Fähigkeit der FDA, die öffentliche Gesundheit zu schützen.”

Quellen 

  1. https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/538871/MHRA_GxP_data_integrity_consultation.pdf
  2. https://www.fda.gov/downloads/drugs/guidances/ucm495891.pdf
  3. https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwj_itTpieHXAhVnJ8AKHXJkCfkQFggtMAA&url=http%3A%2F%2Fansm.sante.fr%2Fcontent%2Fdownload%2F48612%2F625114%2Fversion%2F1%2Ffile%2FAnnexe-11_Systemes-Informatises_Mai2013.pdf&usg=AOvVaw01ilZGItQOpVECLWws6H6i
  4. https://www.fda.gov/downloads/AboutFDA/CentersOffices/OfficeofMedicalProductsandTobacco/CDER/UCM549445.pdf

 


Philippe_Charbon_Apsalys_PresidentPhilippe Charbon ist CEO von Apsalys, einem Wiederverkäufer von MasterControl für das französischsprachige Europa. Er war seit mehr als zwei Jahrzehnten in Unternehmen der Biowissenschaften tätig und ist Experte in Informationssystemen (IS) für die Pharmaindustrie. Sein spezifisches Wissen über die Umgebung eines Unternehmens und die Einhaltung behördlicher Vorschriften ergänzt seine bemerkenswerten Fähigkeiten im IT-Bereich und macht ihn zu einem der qualifiziertesten Berater und IS-Integratoren. Er macht sich Gedanken über die Probleme der Datenintegrität, berät seine Kunden zu diesem Thema und bietet Dienstleistungen rund um die Datenintegrität entsprechend den jeweiligen Anforderungen.

Informationen zu Apsalys finden Sie hier: apsalys-version-courtewww.apsalys.com 



https://www.mastercontrol.com/gxp-lifeline/data-integrity-a-return-to-basics?source=sm-all

https://www.mastercontrol.com/gxp-lifeline/data-integrity-a-return-to-basics?source=sm-qt