Suchen

Eine Marke der PROCESS Gruppe

Annex 11 Geplante Revision des Annex 11 reflektiert aktuelle Trends in der CSV

| Autor/ Redakteur: Dr. Peter Schober / Marion Henig

Der EG-GMP-Annex 11 hat seine Ursprünge in den frühen 1980er Jahren und ist seitdem mehr oder weniger unverändert geblieben. Die inhaltlichen Grundzüge sind heute sicher noch in vielen Bereichen der IT anwendbar. Mehr und mehr fällt es aber Inspektoren und der Industrie schwer, neue technische Entwicklungen der IT mit Hilfe dieses Regelwerks zu bewerten. Die jetzt vorliegende Entwurfsfassung des Annex 11 reagiert hierauf.

Firmen zum Thema

Risikomanagement ist einer der großen Trends auf dem Gebiet der Computersystemvalidierung.
Risikomanagement ist einer der großen Trends auf dem Gebiet der Computersystemvalidierung.
( Bild: Chemgineering Holding AG )

In der geplanten Revision des EG-GMP-Annex 11 „Ergänzende Leitlinie für computergestützte Systeme“ spiegeln sich die neue Trends und Entwicklungen der letzten Jahre wieder: die Prinzipien des ICH Q9 „Quality Risk Management“, der neue ISPE GAMP 5 Leitfadens und die steigenden Bedeutung von Aspekten der Informationssicherheit in der regulierten Industrie. Schon auf den ersten Blick fällt der erheblich gewachsene Umfang auf: Die bis dato gültigen 4 Hauptkapitel wurden auf 19 Hauptkapitel erweitert.

Das erste Kapitel betont gleich zu Beginn die Notwendigkeit einer umfassenden Risikobetrachtung, immer im Hinblick auf Produktqualität und –sicherheit, sowie Datensicherheit und –integrität. Dies entspricht den bekannten drei Hauptzielen aus dem ISPE GAMP 5, der Gewährleistung der Patientensicherheit und Sicherstellung von Produktqualität sowie Datenintegrität.

Ein umfassendes Risikomanagement ist einer der großen Trends auf dem Gebiet der Validierung im Allgemeinen: Als wirksames Mittel, Aufwand und damit Kosten in vertretbaren Grenzen zu halten – ohne Abstriche am eigentlichen Ziel, dem Nachweis der „fitness for intended use“, machen zu müssen.

Das Kapitel Validierung wird wesentlich detaillierter und spezifischer behandelt. Vom Betreiber wird eine aktuelle Aufstellung aller Systeme einschließlich einer Kategorisierung der jeweiligen GxP – Auswirkung und Risikoeinstufung gefordert.

Validierung als Tätigkeit erstreckt sich über die gesamten Lebenszyklen der computerisierten Systeme, gefordert wird dabei ein etablierter Prozess, welcher alle Phasen von Systementwicklung bis zur Stilllegung umfasst. Sämtliche User-Anforderungen müssen durch den ganzen Validierungsprozess verfolgbar sein, laufende Änderungen am computerisierten System unterliegen einem Change Control. Periodische Reviews stellen den validierten Zustand sicher. Der Betreiber muss Umfang und Tiefe seiner Validierungsaktivitäten im Hinblick auf seine eigene dokumentierte Risikoeinschätzung begründen und verteidigen können.

Besonderheiten zu Datenbanken und Spreadsheets

Beachtenswert sind eigene Unterkapitel zu Datenbanken und Spreadsheet-Anwendungen: Wichtige Stichworte zum Thema Datenbanken sind Zugriffskontrolle, Schnittstellen, Belastungstests, Leistungsmonitoring sowie funktionierende Backup- und Recovery Verfahren.

Immer noch als universelles Werkzeug im Alltagseinsatz, müssen Tabellenkalkulationen gegen Überschreiben und Falscheingaben gesichert sein. Entsprechende Anwendungen unterliegen einer Versionskontrolle und müssen reproduzierbar mit geforderter Genauigkeit arbeiten.

Die Ausführungen zu Datenbanken und Spreadsheets sind im Entwurf auffallend technisch formuliert – es bleibt abzuwarten, wie hier die Endfassung formuliert sein wird.

Explizit betont werden Aspekte der Infrastruktur: Aktuelle Dokumente über den physischen und logischen Aufbau der Systeme und deren Interaktion müssen kontrolliert geführt werden. Hardware sollte sicher vor unerwünschten äußeren Einflüssen aufgestellt sein.

Gläserne Lieferanten und Service Provider

Der Betreiber muss sicherstellen, dass Systemlieferanten qualifiziert sind und gemäß einem angemessenen Qualitätsmanagementsystem arbeiten. Lieferantenbewertungen in Form von Audits sind aber nicht ausdrücklich gefordert, das ist im Einzelfall Risiko abhängig zu entscheiden. Mit externen Dienstleistern sollen Verantwortlichkeiten klar geregelt sein. Kompetenz und Zuverlässigkeit sind die Hauptkriterien bei deren Auswahl.

Stichwort Datenintegrität

Ein zweiter wichtiger Trend betont die Aspekte der Informationssicherheit, Zugangskontrolle und der Verhinderung von unautorisierten Datenmanipulationen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 300581)