Back to GXP-Lifeline home page

Der Zusammenhang zwischen Regulierung, Qualitätssystemen und Datenintegrität, Teil 1

by Von Philippe Charbon, CEO von Apsalys, Wiederverkäufer von MasterControl in Europa | Mai 29, 2018
2018-bl-link-between-regulation-page-imageANMERKUNG DER REDAKTION : Dieser Artikel ist der erste einer zweiteiligen Reihe über das Verhältnis zwischen Regulierung und Qualitätssystemen in Bezug auf die Datenintegrität in den Biowissenschaften.

Das Aufkommen neuer Richtlinien zur Datenintegrität und zur Interpretation dieser Daten über Audits und Prüfungen hat keine Auswirkungen auf die bereits bestehenden Regulierungselemente, insbesondere Annex 11 der EU-Richtlinien zur guten Herstellungspraxis (Good Manufacturing Practice, GMP). Genau genommen geht es nicht um neue Vorschriften, sondern vielmehr um “... einen neuen Ansatz für Verwaltung und Kontrolle von Daten...” . Durch diesen Ansatz können Aspekte aus bestehenden Regeln hervorgehoben werden. Er dient zudem als Erinnerung, da immer wieder von Praktiken abgewichen wurde, sei es aufgrund der falschen Umsetzung der Vorschrift oder wegen vorsätzlichen Straftaten.

Wenn die Datenintegrität sich auf alle Daten (unabhängig von ihrer Art) erstrecken soll, können wir elektronische Daten sowie Daten betrachten, die ebenfalls von Informationssystemen interpretiert und verarbeitet werden.

Der innovative Charakter internationaler Richtlinien in Bezug auf die Datenintegrität weckt auch das Bewusstsein für eine neue Sicht auf die unternehmerische Verantwortung. Wir zeigen Ihnen, wie die Konzepte manchmal Punkte betonen können, die bereits umfassend in bestehenden Regeln behandelt werden, insbesondere in Annex 11 der EU-GMP-Richtlinien (5), und wie diese Punkte von bestimmten Situationen beleuchtet werden. Zudem untersuchen wir die Auswirkungen der Implementierung von Datenintegritätsprozessen in einem vorhandenen Qualitätssystem sowie die Entwicklungen, die zum Erfüllen von Datenintegritätsanforderungen erforderlich sind.

In erster Linie identifizieren wir aber Aspekte der Datenintegrität, die neue Erkenntnisse bieten, und diejenigen, die bereits umfassend behandelt werden.

Grundsätze der Datenintegrität

Das grundlegende Prinzip, das bereits etabliert ist, prüft, ob Daten (sowohl in Papierform als auch elektronische Daten) zuweisbar, lesbar, zeitgleich, original und akkurat sind (ALCOA) (2 - § III 1.) (A). Davon gibt es auch eine erweiterte Version (siehe ALCOA +). Eine detaillierte Erläuterung sowie Kommentare zu jedem Buchstaben sind ausreichend dokumentiert. Wir konzentrieren uns also darauf, die neuen Konzepte zu identifizieren.

Daten und Metadaten

Das Konzept von Daten wird durch den Blickwinkel der Datenintegrität immer umfassender verstanden. Daten sind nicht individuell und autonom. Alle bezeichnenden Datenpunkte sind von anderen bezeichneten Datenpunkten abhängig. Eine Gewichtsmessung ist beispielsweise nur eine Zahl, die ohne die Metadaten, die ihre Einheit identifizieren, keinen realen Wert hat. Das Konzept der Daten verändert sich. Ein Datenpunkt ist nicht mehr nur ein Bezeichner, sondern die Summe aller Daten, aus denen er besteht. Abhängig von den Umständen können sich diese Daten auch entwickeln. Die historische Entwicklung dieser Daten sowie ihrer verschiedenen aufeinanderfolgenden Zustände ist ebenfalls untrennbar. Daher müssen wir unser Konzept von Daten überarbeiten, damit es die Idee widerspiegelt, dass Daten nun eine Kombination aus dem Bezeichner, den Metadaten (die aus bezeichneten Daten bestehen) dem zugehörigen Prüfungsnachweis und den Historien darstellen. Diese Kombination wird untrennbar und stellt als Ganzes die Daten dar. Darüber hinaus bleiben bestimmte Daten je nach ihrer Art, aufgrund ihres Mediums (statische Daten, wie Daten auf Papier), nach ihrer Erstellung unveränderbar, während andere Daten mit dem Benutzer interagieren (dynamische Daten, wie z. B. elektronische Daten) und schließlich zur besseren Verwendung neu verarbeitet werden können.

Diese drei Konzepte, bei denen der Zusammenhang eine neue Vision darstellt, sind in den folgenden Richtlinien angemessen dokumentiert: Dokument von der US-Gesundheitsbehörde FDA (Food and Drug Administration) (2 – III – 1 – b, c und d); Dokument von der britischen Medicines and Healthcare Products Regulatory Agency (MHRA), die statische Daten genauer als Dokument im Papierformat und dynamische Daten als Datensatz im elektronischen Format definiert; (4 – 6.3, 6.7, 6.13) und sogar im Leitfaden des internationalen Pharmaceutical Inspection Co-operation Scheme  (PIC/S) (3 – 7.5, 8.11.2). Diese Leitlinien (siehe Abb. 1) definieren eine neue Einheit, die dann zu den Daten wird.

2018-bl-link-between-regulation-quality-systems-data-integrity-4-page-image

Governance und Verhalten

Ein weiterer wichtiger Punkt wird schnell beim Lesen der Standards erkennbar – die erforderliche Beteiligung in den “obersten Ebenen der Organisation” 4 - § 3.3 oder “Das leitende Management ist zuständig” 4 § 6.5) und verantwortlich für die Datenintegrität. Das Management muss diese Verantwortung übernehmen und dafür sorgen, dass Schulungen und Verfahren zur Datenintegrität durchgeführt werden. Der Schwerpunkt beim Datenintegritätsmanagement liegt auf dem Verhalten der Mitarbeiter und Manager. Der PIC/S-Leitfaden stellt eine Kategorisierungsart auf, die auf der Einstellung eines Unternehmens zum Verhalten seiner Mitarbeiter bei Problemen mit der Datenintegrität basiert. Wenn das Unternehmen eine offene Kultur pflegt, können alle Mitarbeiter hierarchische Normen hinterfragen, wenn es um den besten Schutz von Daten geht. In einem Unternehmen mit einergeschlossenen Kultur ist es dagegen sehr viel schwieriger, das Management in Frage zu stellen oder Anomalien zu melden. In einem offenen Unternehmen wissen die Mitarbeiter, dass sie jedem hierarchischen Druck entgehen können, der den Anforderungen an die Datenintegrität widerspricht.

Dieser Artikel bezieht sich auf das Whitepaper:
Können Sie sich einen Verstoß gegen die Datensicherheit leisten?
Die vollständigen Details herunterladen Ihr kostenloses White paper.

Dieser Punkt wird durch das PIC/S-Dokument unterstrichen, das dem Konzept „Data Governance“, Personalschulungen und der Beteiligung auf höchster Ebene des Unternehmens einen großen Abschnitt widmet.

Die Autoren dieser Dokumente erwarten von Organisationen, sich auf höchster Ebene für Aktionspläne einzusetzen, um ein echtes Programm zum Datenintegritätsmanagement umzusetzen. Unternehmen werden ermutigt, Sponsoren im Managementteam zu bestimmen, ein echtes Implementierungsprojekt durchzuführen, alle Mitarbeiter in Bezug auf Datenintegrität und deren Auswirkungen zu schulen und regelmäßige Überprüfungen mit Korrektur- und Vorbeugemaßnahmen (Corrective actions and preventive actions (CAPA)) durchzuführen.

Datenmedien

Kombination von Metadaten bedeutet auch, verschiedene Medienarten zu kombinieren. Leere Formulare (2 §. 6) müssen ebenfalls kontrolliert werden. Wenn das Medium auch einige der bezeichneten Daten (d. h. qualifizierende Informationen) bestimmt, unterliegt dieses Medium ebenfalls einem überwachten Zyklus. Auch wenn dieses Konzept eher als Daten in Papierformat interpretiert wird, gilt es doch auch für elektronische Daten (Verwaltung von Dateneingabeformularen) sowie für Daten in Excel-Vorlagen (Berechnungsvorlagen, die häufig in Laboren verwendet werden). Der PIC/S-Leitfaden behandelt diesen Punkt in erster Linie im Hinblick auf Papierformulare (3 § 8 und die folgenden Punkte). Es ist aber anzumerken, dass diese Formulare zum Ausfüllen (ob manuell oder elektronisch) oft in elektronischer Form vorliegen.

Datenlebenszyklus

Das neue Konzept eines Datenlebenszyklus sollte ebenfalls erwähnt werden. Diese Idee berücksichtigt den gesamten Lebenszyklus der Daten, von ihrer Erzeugung (und ihrer Überwachung), ihrer Speicherung und allen Transformationen bis hin zu ihrer Verwendung und ihrer Archivierung (4 § 6.6 oder 3 § 13.7). Der Datenlebenszyklus steht im Widerspruch zum bisherig gelebten Konzept des Softwareentwicklungslebenszyklus. Hier zeigt sich, wie innovativ das Konzept der Datenintegrität ist. Daten (insbesondere elektronische Daten) existieren alleinstehend und nicht nur im Zusammenhang mit der Software, die diese generiert und verarbeitet.

Die Daten, die zuvor nur mit Software betrachtet und untersucht wurden und zudem validiert werden mussten, lösen sich damit vollständig vom “System” und werden zu Informationen. Die Ausbreitung von Informationstechnologie in Unternehmen begünstigt immer mehr diese Datenübertragungen. Solche Daten, die von Produktions- oder Überwachungsgeräten erzeugt werden, können leicht durch verschiedene Arten von Software übertragen werden und spielen letztendlich eine Rolle bei Entscheidungen in Bezug auf die Patientensicherheit oder Produktqualität (siehe Beispiel in Abb. 2).

2018-bl-link-between-regulation-quality-systems-data-integrity-3-page-image

 

Mit dem Datenlebenszykluskonzept wird deutlich, wie wichtig es ist, dass der semantische Umfang der Daten, anhand derer eine Entscheidung zur Gesundheit eines Patienten oder Qualität des Produkts getroffen wird, keinen Einfluss auf den Anfangswert hat, der von der Quellausrüstung generiert wurde. Daher muss nachgewiesen und sichergestellt werden, dass aufeinanderfolgende Transformationen der Daten diesen Wert nicht ändern und dass die Rohquelldaten bei Bedarf immer zugänglich sind.

Datenmigration, Datenübertragung und Schnittstellen

Ein Datenpunkt kann im weitesten Sinne übertragen (von einer IT-Lösung zu einer anderen verschoben) oder migriert werden (Wiederherstellung in einem neuen IT-System über einen Prozess, der als Datenübertragung bezeichnet wird). Er kann sogar neu generiert werden, wenn seine Speicherstruktur veraltet ist oder nicht beibehalten werden kann.

Dieser Vorgang muss einem geeigneten Prozess unterliegen, der den Erhalt der Datenqualität überprüft und dokumentiert. PIC/S betrachtet Datenübertragungen als Teil des Datenlebenszyklus (3 § 5.12). Für die MHRA (4 § 6.8) ist das ein vollständiger Ansatz, der eine “Begründung” oder umfangreiche Validierung aufweisen muss, um die Datenintegrität zu demonstrieren. Interessanterweise betont der MHRA-Leitfaden die mit dieser Art von Vorgang verbundenen Risiken und erörtert häufige Fehler in diesem Bereich.

Bestehende Konzepte

Es gibt auch Konzepte, die in europäischen und/oder amerikanischen Richtlinien bereits umfassend behandelt werden und ebenfalls wichtig sind:

  • Elektronische Unterschriften (2 § III – 11; 3 § 9.3 4 § 6.14; 5 § 14), der Prüfungsnachweis (2 § III – 1 c; 3 § 9.4; 4 § 6.13; 5 § 9) bei allen Änderungen oder anderen Aktionen an Daten
  • Die verschiedenen Arten der Sicherheit, darunter Zugriff auf Daten und Systeme (die Sicherheit wird weiter unten noch genauer erläutert) (2 § III 1.e und 1.f; 3 § 9.3; 4 § 6.16, 6.17, 6.18; 5 § 12 sowie die folgenden Punkte);
  • Zuordnung/Bestand mit Risikobewertungen zur Identifizierung und Verwaltung Ihrer Systeme und Daten (3 § 9.21; 4 § 3.4; 5 § 4.3), Datenflüsse, Datenübertragungen und Änderungen an Software, Risikobereiche mit einer Beurteilung der Art und des Umfangs des Risikos;
  • Regelmäßige Prüfungen und Management von Vorfällen bei Bedarf mit CAPAs (3 § 9.2.1 – 4; 4 §6.15; 5 § 11, 13);
  • Die Zeitlichkeit von Daten und die Unmittelbarkeit ihrer Erstellung (der Zusammenhang zwischen Daten und Ereignissen) (3 § 8.4; 4 § 5.1).

 

Der zweite Teil dieser zweiteiligen Blogreihe wurde am 31. Mai 2018 in GxP Lifeline veröffentlicht. Sie finden ihn hier.



2018-bl-author-philiipe-charbonPhilippe Charbon ist CEO von Apsalys, Wiederverkäufer von MasterControl für das französischsprachige Europa. Er war seit mehr als zwei Jahrzehnten in Unternehmen der Biowissenschaften tätig und ist Experte in Informationssystemen (IS) für die Pharmaindustrie. Sein spezifisches Wissen über die Umgebung eines Unternehmens und die Einhaltung behördlicher Vorschriften ergänzt seine bemerkenswerten Fähigkeiten im IT-Bereich und macht ihn zu einem der qualifiziertesten Berater und IS-Integratoren. Er macht sich Gedanken über die Probleme der Datenintegrität, berät seine Kunden zu diesem Thema und bietet Dienstleistungen rund um die Datenintegrität entsprechend den jeweiligen Anforderungen.


Informationen zu Apsalys finden Sie hier: www.apsalys.comapsalys-version-courte

Leave a comment