Suchen

Eine Marke der PROCESS Gruppe

Audit-Trail und Audit-Trail-Review Datenintegrität: So vermeiden Sie Ärger mit der FDA

| Autor / Redakteur: Dr. Stephan Koller* / Anke Geipel-Kern

Fällt ein Pharmaunternehmen wegen mangelnder Datenintegrität bei der FDA durch, sind häufig fehlerhafte Audit-Trails und Audit-Trail-Reviews der Grund. Dieser Beitrag beleuchtet den aktuellen Stand der Anforderungen und beantwortet die wichtigsten Fragen.

Firmen zum Thema

Datenintegrität und die wichtigsten Voraussetzungen
Datenintegrität und die wichtigsten Voraussetzungen
(Bild: Shimadzu)

Wen die amerikanischen Food and Drug Administration (FDA, dt. Behörde für Lebens- und Arzneimittel) mit einem Warning Letter wegen fehlender Datenintegrität bestraft, der hat ein echtes Problem. Die amerikanische Gesundheitsbehörde nimmt es bei diesem Thema sehr genau und verpflichtet das betroffene Unternehmen nicht nur Gegenmaßnahmen zu ergreifen, sondern setzt oft genug auch die Importerlaubnis in die USA zurück oder legt Genehmigungsverfahren auf Eis.

Wissen ist Wettbewerbsvorteil Ob Branchennews, innovative Produkte, Bildergalerien oder auch exklusive Videointerviews. Sichern auch Sie sich diesen Informationsvorsprung und abonnieren Sie unseren redaktionellen Branchen-Newsletter „rund um das Thema Pharma“.

Die bekannteste Richtlinie der FDA ist der 21 CFR Part 11, welche den Übergang von papierbasierten manuellen Prozessen zu computergestützten elektronischen Prozessen ermöglicht.

Eine der wichtigsten Forderungen des Part 11 betrifft die Integrität der erhobenen elektronischen Daten und stellt deshalb hohe Anforderungen an den computergenerierten Audit-Trail, in dem alle Bedienereinträge unveränderlich dokumentiert sind (vgl. Abb.).

Welche Anforderung wird an die Datenqualität gestellt?

Für die Qualität der Daten haben sich Prinzipien herausgebildet, die im Akronym „ALCOA“ zusammengefasst sind. Dahinter verbirgt sich attributable, legible, contemporaneous, original und accurate – also zur jeweiligen Person zurechenbar, lesbar, zeitgleich, original und akkurat. Dazu kommt die so genannte Data Governance, d.h. die nötige Organisation, um sicherzustellen, dass Daten unabhängig vom Format über den gesamten Lebenszyklus erhalten bleiben.

Beide Aspekte zusammen werden häufig als „ALCOA+“ bezeichnet. Eine Einordnung der Zusammenhänge und Begriffsdefinition hat die britische Behörde Medicines & Health­care products Regulatory Agency (MHRA, dt. Arzneimittel- und Gesundheitsprodukte-Regulierungsbehörde) erstellt. [3] Auch von der FDA ist ein derartiger Leitfaden für die Industrie verfügbar.[4]

Was sind Rohdaten und was Metadaten?

Vor der Definition des Audit-Trail ist das Verständnis für den Unterschied zwischen Rohdaten (engl. raw data oder source data) und Metadaten wichtig. Bei Rohdaten handelt es sich um die tatsächlich gemessenen Werte. Erst durch die beschreibenden Metadaten erhalten die Werte an sich eine Bedeutung. Beides zusammen wird als Datensatz verstanden. Das Datum einer Einwaage besteht so aus dem Wert, den die Waage anzeigt (Rohdatum) und den beschreibenden Informationen wie Einheit, Substanz, Analyst und Zeitpunkt (Metadaten) [3].

Was wird im Audit-Trail festgehalten?

Laut MHRA handelt es sich bei Audit-Trail um Folgendes: „The audit trail is a form of metadata containing information associated with actions that relate to the crea­tion, modification or deletion of GXP records. An audit trail pro­vides for secure recording of life-­cycle details such as creation, additions, deletions or alterations of information in a record, either paper or electronic, without obscur­ing or overwriting the original record. An audit trail facilitates the reconstruction of the history of such events relating to the record regardless of its medium, including the ‚who, what, when and why‘ of the action.“ [2]

Sinngemäß übersetzt heißt das: „Der Audit-Trail ist eine Form von Metadaten, die Informationen zu Aktionen enthalten, die sich auf die Erstellung, Änderung oder Löschung von GXP-Datensätzen beziehen. Ein Audit-Trail ermöglicht die sichere Aufzeichnung von Lebenszyklusdetails wie Erstellung, Hinzufügung, Löschung oder Änderung von Informationen in einem Datensatz, entweder auf Papier oder elektronisch, ohne den ursprünglichen Datensatz zu verbergen oder zu überschreiben. Ein Audit-Trail erleichtert die Rekonstruktion der Historie solcher Ereignisse in Bezug auf die Aufzeichnung, unabhängig von ihrem Medium, einschließlich des ‚wer, was, wann und warum‘ der Aktion.“

Ein Audit-Trail kann also als Protokoll der Änderungshistorie verstanden werden. Bezogen auf einen Datensatz lässt sich so beispielsweise jeder Schritt der Datennachbearbeitung nachvollziehen. In modernen Systemen gibt es aber nicht nur einen Audit-Trail für die Bearbeitung von Datensätzen, sondern auch für Methoden, Report-Vorlagen usw.

Eine Sonderstellung hierbei nimmt der System-Audit-Trail ein. Dieser bezieht sich nicht auf eine ausgewählte Messung oder Messvorschrift, sondern auf die Konfiguration des Systems.

Welche Kriterien soll ein Audit-Trail erfüllen?

Audit-Trails sollen leicht zugänglich sein, damit sie bereits bei der Überprüfung der Daten kon­trollierbar sind. Auf diese Weise lassen sich alle autorisierten oder unautorisierten Änderungen an den Daten als Teil der Freigabe schnell identifizieren. Hilfreiche Audit-Trails müssen für den Menschen leicht lesbar sein. Als Teil der Metadaten müssen diese so lange aufbewahrt werden, wie die eigentliche Aufzeichnung, auf die sie sich beziehen.

Wie werden die Informationen abgelegt?

In welcher Form und mit welchem Komfort Audit-Trails in einer Software umgesetzt sein müssen, wird dabei nicht definiert. Prinzipiell gibt es für die Ablage von Audit-Trail-Informationen, die zu einem Datensatz gehören, zwei verschiedene Möglichkeiten. Der Audit-Trail kann zusammen mit anderen Metadaten und den Rohdaten in einer einzigen Datei gespeichert werden.

Dies hat den Vorteil, dass bei einer Übertragung der Datei der vollständige Kontext der Messung erhalten bleibt und jederzeit überprüfbar ist. Das hat allerdings den Nachteil, dass es keinen zentralen Ort für alle Audit-Trail-Informationen eines Systems gibt. Somit ist kein zentraler Überblick über das vollständige System möglich.

Welche Systeme werden im Pharma-Labor eingesetzt?

Heute kommen in pharmazeutischen Laboren üblicherweise Datenbank-basierte Systeme für die Aufnahme und Verwaltung von Messdaten zum Einsatz. Es spielt dabei keine Rolle mehr, ob es sich um Daten von Waagen, Titratoren, Spektroskopen, Chromatographie-­Instrumenten oder sogar Massen­spektrometern handelt.

Durch die grundlegende Datenbank ist es in solchen Systemen leichter möglich, alle Audit-Trail-­Einträge strukturiert an einem Ort abzulegen. Dadurch kann der Nutzer gezielt bestimmte Audit-Trail-Informationen suchen und im Kontext bewerten. So lässt sich z.B. eine Übersicht aller gelöschter Daten aus dem System erzeugen oder auch darlegen, welche Parameter einer bestimmten Analytik besonders häufig angepasst werden.

Diese Bewertung der vorliegenden Informationen im Kontext ist neben der Bewertung der Änderungshistorie für jede einzelne Messung ein Teil des durchzuführenden Reviews bei der Freigabe von Daten. Die konkret zu überprüfenden Punkte sollten dabei in einem Prozess definiert sein.

Was beinhaltet der Audit-Trail-Review?

Der Prozess für die Überprüfung der unterschiedlichen Audit-Trail-­Informationen eines Systems sollte zum einen definieren, welche Punkte auf welche Art überprüft werden müssen, zum anderen aber auch, in welchem Rhythmus diese Tests durchgeführt werden sollen.

So erscheint es zwar sinnvoll, den Audit-Trail einer Messung direkt bei der Freigabe der Analytik zu kontrollieren, für den globalen System-Audit-Trail ist dagegen ein längeres Intervall problemlos hinzunehmen. Die genaue Definition der Intervalle erfolgt dabei idealerweise risikobasiert, um eventuelle Probleme der Datenintegrität zu identifizieren und Untersuchungen zur Qualität zu unterstützen.

Audit-­Trail-Reviews können so auf das nötige Maß beschränkt bleiben. Ebenfalls zu bedenken ist, welcher Personenkreis welche Reviews durchführen soll. Dabei ist darauf zu achten, dass alle Reviewer in der Software trainiert sind. Für die Bewertung ist neben dem Verständnis der Audit-Trail-Funktion auch die Kenntnis über die Analytik und der entsprechenden Software-Funktionen essenziell.

Wann ist die Suchfunktion nützlich?

Hilfreich für die Überprüfung von Audit-Trails ist eine Suchfunktion. Somit lassen sich die relevanten Punkte schneller finden und überprüfen. Idealerweise ist eine Funktion vorhanden, die eine automatische Selektion definierbarer, qualitätskritischer Punkte erlaubt und eine erste Beurteilung vornimmt.

Gerade kombiniert mit einer Suchfunktion hat es sich als praktisch erwiesen, typische, wiederkehrende Begründungen bereits in der Software zu hinterlegen. Das erspart den Nutzern abermalige Erklärungen identischer Sachverhalte und erhöht zudem die Übersichtlichkeit, da gleichartige Änderungen leicht nachvollzogen werden können.

Warum lohnt sich der Review-Prozess?

Einen umfassenden Review-Prozess zu gestalten, ist zwar zeitaufwändig und bisweilen mühsam. Allerdings erreicht ein Labor auf diesem Weg eine passgenaue, effiziente Lösung. Durch die eigenständige Erarbeitung des Prozesses wird tiefes Wissen über das System erworben und im Unternehmen verankert. Dieses Wissen um die Zusammenhänge erleichtert die spätere Verteidigung des etablierten Vorgehens in Audits.

Auch wenn Nutzer die Funktion des Audit-Trails anfänglich als hinder­lich und störend bei der Anwen­dung empfinden, handelt es sich um ein wichtiges Element für die Überprüfung und Verteidigung der Analytik. Durch moderne Hilfen, wie der Hinterlegung typischer, wiederkehrender Begründungen in der Software oder einer Suchfunktion für den Audit-Trail, handelt es sich hierbei mittlerweile um ein mächtiges Werkzeug zur Analyse des eigenen Vorgehens und zur Steuerung qualitätsverbessender Maßnahmen.

Das analytische Client-Server-System Labsolutions CS von Shimadzu unterstützt diese Funktionen [5] und hilft somit, sich auf die Analytik mittels verschiedener Methoden wie Chromatographie, Spek­troskopie, Spektrometrie und Summenparameter zu konzentrieren. Des Weiteren werden Audit-Trail-­Informationen sowohl als Teil der Metadaten in einer Datei mit den Rohdaten gespeichert, als auch in einer zentralen Datenbank. Das vereint die Vorteile beider Ansätze.

Wo kann man Wissen vertiefen?

Die Literatur zum Thema ist umfangreich:

[1] EudraLex – Volume 4 – Good Manufacturing Practice (GMP), https://ec.europa.eu/health/documents/eudralex/vol-4_en

[2] a) US FDA “Data Integrity and Compliance with Drug CGMP” Data Integrity and Compliance with Drug CGMP, December 2018; b) WHO “Guidance on good data and record management practices”, Part of Technical Report 996, May 2016; c) PIC/S Draft “Good Practices for Data Management and Integrity in Regulated GMP/GDP Enviroments”, November 2018; d) EudraLex – Volume 4 – Good Manufacturing Practice (GMP) guidelines Annex 11 Computerised Systems https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-4/annex11_01- 2011_en.pdf; e) Anhang 11 zum EG-Leitfaden der Guten Herstellungspraxis https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Statistiken/GKV/Bekanntmachungen/GMP-Leitfaden/Anlage_2_zur_Bekanntmachung_–_Annex_11.pdf.

[3] Medicines & Healthcare products Regulatory Agency (MHRA), “‘GXP’ Data Integrity Guidance and Definitions”, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/687246/MHRA_GxP_data_integrity_guide_March_edited_Final.pdf

[4] Data Integrity and Compliance With Drug CGMP Questions and Answers Guidance for Industry, https://www.fda.gov/regulatory-­information/search-fda-guidance-­documents/data-integrity-and-­compliance-drug-cgmp-questions-a­nd-answers-guidance-industry

[5] Hiroomi Nishimura, Whitepaper “What you should know to assure laboratory data integrity with LabSolutions”, https://solutions.shimadzu.co.jp/an/n/en/etc/jpz19005.pdf

[6] Data Integrity Trends in 483s and Warning Letters: Part 1, www.govzilla.com/blog/2019/05/pharma-medical-devices-data-integrity-breaking-down-keywords-and-citation-trends-from-the-fda

* * Der Autor ist Spezialist Informatics bei der Shimadzu Deutschland GmbH, Duisburg. E-Mail-Kontakt: info@shimadzu.de

(ID:46595060)