Audit Finding: not compliant – was nun? Audit- und GxP-ready per Software-Update

Ein Gastbeitrag von Anton Neuber, Handshake Lesedauer: 9 min |

Anbieter zum Thema

Das nächste Audit steht an – Sind alle Anforderungen an Data Integrity und GxP erfüllt? Besonders bei Bestandsgeräten kann dies zur Belastungsprobe für die Verantwortlichen werden. Um bestehende Anlagen und Programme abzusichern, gibt es dennoch Möglichkeiten – etwa per Zusatz-Software.

Abb.1: Neue Software statt neues Gerät – auch so lassen sich strenge GxP-Vorgaben im Pharma-Bereich erfüllen.
Abb.1: Neue Software statt neues Gerät – auch so lassen sich strenge GxP-Vorgaben im Pharma-Bereich erfüllen.
(Bild: © ra2 studio - stock.adobe.com)

Viele wachsende Unternehmen in der Pharmaindustrie müssen die Anforderungen der Gesundheitsbehörden erfüllen, lückenlos zu dokumentieren wer, was, wann im Arbeits- oder Produktionsprozess gemacht hat. Data Integrity, „Good Manufacturing Practices“ (GMP) und „Good Laboratory Practices“ (GLP) müssen umgesetzt werden. Zu dokumentieren, welche Parameter zu einem bestimmten Zeitpunkt verwendet wurden und welche Abläufe wann durchgeführt wurden, ist notwendig für die Produktfreigabe und letztlich für die Zulassung der Produkte zum Verkauf. Obligatorisch dabei ist auch der Nachweis, dass generierte Daten vollständig vorliegen, also nichts gelöscht wurde und auch keine Veränderungen an generierten Daten durchgeführt wurden.

Bis zu einem bestimmten Punkt ist das recht übersichtlich. Aber wenn es im Fall eines Audits darum geht, den Nachweis vollständiger „Compliance“ möglichst rasch und punktgenau vorlegen zu können, ist das eine nicht zu unterschätzende Herausforderung für die zuständigen Audit-Betreuer im Labor.

Dazu kommt, dass Aufzeichnungen auch regelmäßig kontrolliert und einem Review unterzogen werden müssen, der ebenfalls dokumentiert und nachvollziehbar sein muss. Dies manuell durchzuführen, erfordert viel Erfahrung und ist zeitaufwändig. Teilautomatisierung kann den Aufwand hier enorm reduzieren. Zusätzliches Optimierungspotenzial liegt darin, Review-Prozesse zu vereinheitlichen und Audit-Trail-Anforderungen auf möglichst allen im Unternehmen befindlichen Anlagen zu harmonisieren.

Problem: Bestandsgeräte oft nicht GxP-fit

Die Auflagen der Behörden werden immer strenger und restriktiver. Damit sind auch bestehende Anlagen immer wieder mit dem Problem konfrontiert, diesen Anforderungen nicht gerecht zu werden. Im Zuge der obligatorischen „Data Integrity Assessments“ werden Vorgaben identifiziert, die aktuell nicht erfüllt werden („Gaps“), aber erfüllt werden müssen, um weiter produzieren zu dürfen. Mitunter stehen in solchen Fällen Investitionen in Millionenhöhe im Raum, um die Prozesse und Abläufe den geänderten Vorgaben entsprechend anpassen zu können und so die Produktion nachhaltig sicherzustellen.

Insbesondere problematisch ist, dass viele im Labor oder in der Produktion eingesetzte Geräte nicht für diesen qualitätskritischen Anwendungsbereich entwickelt wurden und die relevanten Anforderungen daher nicht erfüllen. Auch Neugeräte, die nicht explizit für GxP-Bereiche entwickelt wurden, erfüllen diese gesetzlichen, GxP-relevanten Anforderungen oft nicht. Ein Gerät zu finden, das die fachlich und operativ erforderlichen Notwendigkeiten im jeweiligen Forschungs- oder Produktionsprozess erfüllt, ist entsprechend schwierig. Ein solches Gerät dann nicht einsetzen zu dürfen, weil die Anforderungen an Data Integrity und GxP nicht ausreichend erfüllt werden können, ist frustrierend, weil GxP-konforme Geräte mit der gleichwertigen Funktionalität mitunter nicht zur Verfügung stehen oder viel teurer sind.

Lösung: Update statt Neukauf – nur wie?

Es gibt einen alternativen Weg, um Geräte GxP-ready zu machen, die Microsoft Windows als Betriebssystem für den Betrieb der Steuerungssoftware unterstützen: Statt neue Hardware anzuschaffen bietet sich die Installation von Zusatzsoftware an, welche Data Integrity und GxP-relevante Funktionalität nachträglich implementiert. „Smart Audit Trail“ ist genau dafür entwickelt worden. Die Software stammt von einem österreichischen Unternehmen, das sich seit mehr als 30 Jahren genau auf Prozesse im qualitätsrelevanten und validierten Produktions- und Forschungsumfeld spezialisiert hat. Sie bringt über konfigurierbare Zusatzsoftware nachträglich Audit-Trail-Funktionalität.

Um Data Integrity Gaps zu schließen, sind umfangreiche Zusatzfunktionalitäten enthalten. Elemente und Funktionen in Dialogen können für die Aktivierung durch Benutzer bestimmter Benutzergruppen gesperrt werden. Wenn es z. B. im Zuge des Data Integrity Assessments als erforderlich definiert wurde, kann jeder Versuch, eine Funktionalität über ein Dialogelement aufzurufen, im Audit Trail dokumentiert werden. Damit ist festgehalten, wer, wann, was versucht bzw. ausgelöst hat – und das ist auch im Fall eines Audits unmittelbar abrufbar, z. B. in Form eines PDF-Berichts.

Bildergalerie

Welche Vorteile das Nachrüsten von Laborgeräten mit der GxP-Software im Detail bietet, wird im Folgenden näher erläutert.

Nutzerführung für Sicherheit und Kontrolle

Um auch Systeme mit einem GxP-gerechten Audit Trail ausstatten zu können, die vom Design her nur auf einen Benutzer ausgelegt sind, unterstützt Smart Audit Trail eine „Multi User Screen Lock“-Funktion. Das bedeutet, dass beim Start des Systems eine automatisierte Anmeldung mit einem Service-Account erfolgt, aber unmittelbar danach der Bildschirm für Eingaben gesperrt wird. Diese Sperre kann nur durch persönliche Authentifikation und Anmeldung mit einem Benutzer-zugeordneten Konto erfolgen. Damit ist sichergestellt, dass im Audit Trail der tatsächlich aktive Benutzer mitgeführt wird, obwohl das laufende Programm nach wie vor unter dem Service Account betrieben wird, mit dem das System gestartet wurde. Besonders Legacy-Anwendungen die Administratorrechte erfordern, um fehlerlos zu arbeiten, lassen sich so auch weiterhin GxP-gerecht einsetzen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sollen kritische Operationen ausgelöst werden, lässt sich eine Sicherheitsabfrage einrichten. Dann muss der Benutzer die Aktivierung bestimmter Gerätefunktionen durch eine zusätzliche Eingabe begründen und ggf. mit einer elektronischen Unterschrift quittieren. Durch Sperren von nicht benötigten Funktionen wird sichergestellt, dass Anwender nur die Software-Funktionen nutzen können, die auch tatsächlich für den Arbeitsprozess erforderlich sind. Damit kann auch der Validierungs- und Qualifikationsaufwand reduziert werden, da manche Funktionen nachweislich nicht für bestimmte Anwender freigeschaltet sind und somit auch nicht validiert werden müssen. Um Manipulation von Daten auszuschließen, lassen sich Datenspeicher, auf denen die Rohdaten generiert werden, überwachen. So ist es möglich, erstellte Daten unmittelbar nach vollständiger Erzeugung auf gesicherte Speicherbereiche zu übertragen. Das System kann dabei mit unterschiedlichen Anmeldeinformationen agieren. Es hat also Zugriff auf Speicherbereiche, die für den Benutzer nicht zugänglich sind. Damit ist jede Möglichkeit der Manipulation ausgeschlossen.

Prozesse im System automatisieren

Neben der Sicherheit spielt auch die Effizienz von Prozessen eine entscheidende Rolle, allen voran durch Automation. Ansätze bieten hier so genannte „Events on Demand“. Damit lassen sich Abläufe und Vorgänge starten, wenn bestimmte Funktionen ausgeführt oder bestimmte Ereignisse im Steuerungssystem identifiziert werden, die zuvor als Auslöser definiert wurden. Die Möglichkeiten sind umfassend: von Kopiervorgängen bis hin zur Umwandlung von Textdateien in PDF, um zusätzliche Manipulationssicherheit zu gewährleisten.

Besonders hilfreich für die Personen, die mit dem Review betraut sind, ist die übersichtliche Darstellung der gesammelten Daten und die Teilautomatisierung zum Erstellen von Berichten in PDF-Format. In diesen PDF-Dokumenten lässt sich ein abgeschlossenes Review unmittelbar per elektronischer Unterschrift dokumentieren und ebenfalls elektronisch und somit automatisierbar archivieren.

Audit Trail lässt sich auch remote abrufen

Mithilfe von „intelligenten Berichtsvorlagen“ können Anwender überprüfen, ob bestimmte Ereignisse vollständig und chronologisch korrekt abgearbeitet wurden. Dies lässt sich auf Knopfdruck ebenfalls jederzeit als PDF-Bericht abrufen. Damit wird der Zeitaufwand für den Review drastisch reduziert.

Große Zeitersparnis bietet die Möglichkeit, den Review „remote“, also über das Netzwerk direkt von Büroarbeitsplätzen durchzuführen. Auf diese Weise entfällt das zeitaufwändige, aber für Reinraumbereiche obligatorische Ein- und Ausschleusen. Die Analyse der Daten wird dabei selbstverständlich nur auf dem Gerät durchgeführt, auf dem der Audit Trail gespeichert ist, um auch hier jede Manipulationsmöglichkeit auszuschließen.

So werden Bestandsgeräte GxP-konform

Aber was bedeutet es in der Praxis ein System nachträglich abzusichern? Ausgangspunkt ist immer ein „Data Integrity Assessment“ und die damit verbundenen Erkenntnisse, welche „Gaps“ gelöst werden müssen. Hierbei wird u. a. geprüft, ob es möglich ist, ein GxP-gerechtes Audit Trail nachzurüsten und potenzielle Risiken hinsichtlich Data Integrity zu schließen. Ist dies der Fall, kann die Zusatzsoftware „Smart Audit Trail“ installiert werden. In der nicht konfigurierten Form überwacht die Software jeden Zugriff auf Daten im System und dokumentiert, welche Dateien erstellt, verändert oder gelöscht wurden. Im Zuge der Konfiguration auf die relevanten Verzeichnisse und Bereiche lässt sich die Überwachung aber nach Bedarf einschränken. Alle Anforderungen an Systeme hinsichtlich Data Integrity, sowie CFR Part 11 und GxP-relevante Vorgaben können auf diese Weise erfüllt werden.

Die Funktionen von Smart Audit Trail im Überblick
  • Implementiert Audit Trail auch für MS Windows basierende Softwareprodukte, die das von sich aus nicht unterstützen
  • Vermeidet Kosten für Neuinvestitionen durch Nachrüstung bestehender Einrichtungen
  • Reduziert den Aufwand für Audit Trail Review durch „intelligente Berichte“, Teilautomatisierung und Filtermöglichkeit der Ereignisse
  • Remote Review über das Netzwerk möglich  kein Aufwand für Ein- und Ausschleusen bei Reinraumbereichen
  • Ermöglicht den Einsatz von Analysegeräten, auch wenn sie nicht für den GxP-relevanten Einsatz entwickelt wurden
  • Reduziert den Aufwand für Qualifikation und Validierung durch Fokus auf relevante Funktionalität der Anwendungen; Nachweis, dass andere Funktionalität nicht verwendet werden kann
  • Multi User Screen Lock ermöglicht den Betrieb von Legacy-Anwendungen, die nur mit Administratorrechten fehlerfrei arbeiten
  • Erzwingt vorgegebene Eingabeformate für Werte, Dokument- oder Dateinamen und schließt damit „Human Errors“ weitgehend aus
  • Sperre von Funktionalität in Anwendungsdialogen auf Dialogelementebene möglich
  • Erfüllt alle Anforderungen hinsichtlich CFR Part 11, GLP, GMP und Data Integrity
  • Überwacht alle Vorgänge von Erstellung, Veränderung und Löschen von Dateien
  • Automatisiert Hintergrundvorgänge und kann erstellte Rohdaten absichern (auf für die Benutzer nicht zugäng­lichen Netzwerkbereichen)

Fazit: sinnvolles GxP-Update

Smart Audit Trail ist ein mächtiges Werkzeug, um Windows-Softwareprodukte auch nachträglich mithilfe von Audit Trail „compliant“ zu machen und sowohl hinsichtlich Data Integrity als auch GxP-bezogen abzusichern. Dadurch können Investitionen zur Erfüllung von Behördenvorgaben hinsichtlich Data Integrity und GxP auf moderatem Niveau gehalten werden. Der Aufwand für Review und Kontrolle der Audit Trail Information kann durch Teilautomatisierung der Auswertungen erheblich verringert werden; durch Remote-Zugriffsmöglichkeit auf Geräte in Reinraum-Umgebungen entfällt das aufwändige Ein- und Ausschleusen in diese Bereiche.

Damit ist Smart Audit Trail ein wesentlicher Beitrag, Investitionen zu sichern und bestehende Anlagen mit moderaten Kosten den immer strenger werdenden Anforderungen an Data Integrity, GMP und GLP anzupassen.

Glossar

Definitionen zu GMP, GLP, Audittrail und CFR Part 11

GxP ist ein Überbegriff und fasst GMP (Good Manufacturing Practices) und GLP (Good Laboratory Practicies) zusammen.

GMP

Die Vorschriften zur guten Herstellungspraxis, die von der US-amerikanischen Food and Drug Administration unter der Autorität des Federal Food, Drug, and Cosmetic Act [1] erlassen wurden (s. Kapitel IV für Lebensmittel und Kapitel V, Unterkapitel A, B, C, D und E für Arzneimittel und Geräte).

Diese Vorschriften, die Gesetzeskraft haben, verlangen von Herstellern, Verarbeitern und Verpackern von Arzneimitteln, Medizinprodukten, einigen Lebensmitteln und Blut, dass sie proaktive Schritte unternehmen, um sicherzustellen, dass ihre Produkte sicher, rein und wirksam sind.

GLP

Die Grundsätze der Guten Laborpraxis (GLP) definieren eine Reihe von Regeln und Kriterien für ein Qualitätssystem, die sich mit dem organisatorischen Prozess und den Bedingungen befassen, unter denen nicht-klinische Gesundheits- und Umweltsicherheitsstudien geplant, durchgeführt, überwacht, aufgezeichnet, berichtet und archiviert werden. [2]

Audittrail

Ein Audit (lat. audire: hören) bezeichnet die Prüfung von Prozessen, Aktivitäten, Ergebnissen oder eines internen Kontrollsystems (IKS) hinsichtlich des Grads der Erfüllung bzw. Einhaltung von definierten Anforderungen, Normen oder Standards. Ein Audit Trail (= Prüfpfad; vom engl. trail: Pfad, Spur) ist ein Verfahren, bei dem Personen und ihre tatsächlichen bzw. versuchten Handlungen während eines bestimmten Zeitraums überwacht und (elektronisch oder manuell bzw. auf Papier) dokumentiert bzw. protokolliert werden. [3]

CFR Part 11 (auch ERES Verordnung)

CFR Part 11 [4] legt die Bedingungen und Voraussetzungen fest, unter denen Aufzeichnungen elektronisch geführt werden dürfen und dennoch als Beweis herangezogen werden können. Ebenso wird in dieser Verordnung definiert, unter welchen Voraussetzungen elektronische Aufzeichnungen und elektronische Unterschriften fälschungssicher sind und damit als rechtlich verbindlich gelten. Er wurde von den US Behörden definiert und ist weltweit als Richtlinie anerkannt.

Die jährliche Ausgabe des „Code of Federal Regulations“ (CFR) ist die Kodifizierung der allgemeinen und dauerhaften Regeln, die von den Ministerien und Behörden der Bundesregierung der Vereinigten Staaten von Amerika im Federal Register veröffentlicht werden. [5]

Quellen:

[1] Federal Food, Drug, and Cosmetic Act (FD&C Act) | FDA aufgerufen 1.Aug.2023

[2] Good laboratory practice compliance | European Medicines Agency (europa.eu) aufgerufen 1.Aug.2023

[3] Audit Trail • Definition | Gabler Wirtschaftslexikon aufgerufen 1.Aug.2023

[4] eCFR :: 21 CFR Part 11 -- Electronic Records; Electronic Signatures aufgerufen 1.Aug.2023

[5] Code of Federal Regulations | GovInfo aufgerufen 1.Aug.2023

(ID:49642762)