Zamann Pharma Support logo

Siedlerstraße 7 | 68623 Lampertheim, Deutschland

info@zamann-pharma.com

Anforderungen an die Datenintegrität für computergestützte Systeme

Was ist Datenintegrität?

Gewährleistung der Datenintegrität: Kritisch für genaue, zuverlässige und sichere Daten in der pharmazeutischen Herstellung.

Die Datenintegrität gewährleistet, dass die während des gesamten Herstellungsprozesses erzeugten Daten genau, zuverlässig und sicher sind. Datenintegrität bezieht sich auf die Vollständigkeit, Konsistenz und Genauigkeit von Daten während ihres gesamten Lebenszyklus, von der Erstellung und Verarbeitung bis zur Speicherung und zum Abruf.

Durch die Implementierung von Datenintegritätskontrollen können Unternehmen neue Technologien und digitale Innovationen einbeziehen und den Weg für automatisierte Produktionssysteme ebnen. Diese Integration ist entscheidend für die Modernisierung veralteter Systeme und die Verbesserung der betrieblichen Unterstützung. Die Wahrung der Datenintegrität erfordert die Einhaltung von Verfahren, Richtlinien und Standards bereits in der Entwurfsphase. Unabhängig davon, ob Daten kurz oder lang gespeichert werden und wie häufig auf sie zugegriffen wird, bleiben ihre Genauigkeit, Vollständigkeit und Vertrauenswürdigkeit erhalten, wenn die Datenintegrität gewährleistet ist. Dies ist in der pharmazeutischen Industrie, wo sichere, wirksame und qualitativ hochwertige Arzneimittel von größter Bedeutung sind, von entscheidender Bedeutung.

Das Konzept der Datenintegrität wird häufig mit ALCOA+ erklärt, was für Attributable, Legible, Contemporaneous, Original, Accurate, Complete, Consistent, Enduring und Available steht. Jeder dieser Begriffe hebt unterschiedliche Aspekte der Datenintegrität hervor. Weitere Einzelheiten finden Sie unter ALCOA+.

Datenintegrität: Gebote und Verbote der FDA

Aufgaben

  • Erstellen Sie klare und umfassende Richtlinien für die Datenverarbeitung, um Genauigkeit und Konsistenz zu gewährleisten.
  • Überprüfen Sie Dateneingaben sorgfältig, um Fehler zu minimieren.
  • Erstellen Sie einen klaren und umfassenden Prüfpfad und führen Sie detaillierte Aufzeichnungen über den Datenzugriff, einschließlich wer wann darauf zugegriffen hat.
  • Schulen Sie Ihre Mitarbeiter in Sachen Datenintegrität und Compliance. Bieten Sie gründliche Schulungen zum richtigen Umgang mit Daten an.
  • Führen Sie regelmäßig interne Audits durch. Führen Sie regelmäßig Audits durch, um die Richtigkeit und Integrität der Daten zu überprüfen.
  • Dokumentieren Sie alle datenbezogenen Aktivitäten und Änderungen. Führen Sie ausführliche Protokolle über alle Datenänderungen.
  • Verwenden Sie elektronische Unterschriften und Kontrollen. Implementieren Sie sichere Zugangssysteme durch Passwortschutz und elektronische Signaturen.
  • Aufrechterhaltung von Datensicherheit und Vertraulichkeit. Verwenden Sie Verschlüsselung und andere Maßnahmen zum Schutz sensibler Informationen.
  • Unverzügliche Behandlung von Problemen mit der Datenintegrität. Untersuchen und berichtigen Sie Unstimmigkeiten oder Probleme umgehend.
    Halten Sie sich über die gesetzlichen Vorschriften auf dem Laufenden.
  • Bilden Sie sich und Ihr Team kontinuierlich über die neuesten Compliance-Anforderungen fort.

Gebote und Verbote

  • Vermeiden Sie es, Informationen zu verändern oder zu fälschen, um sie den gewünschten Ergebnissen anzupassen.
  • Daten ohne Dokumentation löschen: Löschen Sie niemals Datensätze ohne entsprechende Genehmigung und Dokumentation.
  • Verhindern Sie unbefugten Zugriff, indem Sie keine Passwörter weitergeben.
  • Ergreifen Sie sofort Maßnahmen, wenn Sie Unstimmigkeiten oder Ungereimtheiten bemerken.
  • Geben Sie dem Datenschutz stets Vorrang und gehen Sie mögliche Sicherheitsverletzungen umgehend an.
  • Dokumentieren Sie alle Datenverarbeitungsvorgänge genau, ohne sich auf die Erinnerung zu verlassen.
  • Vermeiden Sie den Einsatz veralteter Software oder Tools für die Datenverwaltung.
  • Bewahren Sie Transparenz und Integrität, indem Sie keine Aufzeichnungen fälschen, um Fehler zu vertuschen.
  • Melden Sie Datenverstöße oder Vorfälle unverzüglich den zuständigen Stellen.
  • Gewährleistung kontinuierlicher Schulung und Überwachung zur Wahrung der Datenintegritätsstandards.

Die Bedeutung der Datenintegrität für Pharmaunternehmen

Die Datenintegrität spielt sowohl in der pharmazeutischen als auch in der medizintechnischen Industrie aufgrund mehrerer kritischer Faktoren eine zentrale Rolle

  • Einhaltung gesetzlicher Vorschriften: Die Einhaltung strenger Vorschriften ist unerlässlich, um die Sicherheit und Wirksamkeit von Produkten zu gewährleisten. Die Datenintegrität garantiert die Einhaltung der von Behörden wie der FDA festgelegten Normen und stellt sicher, dass die Produkte die erforderlichen Qualitäts- und Sicherheitsstandards erfüllen.
  • Patientensicherheit: Die Aufrechterhaltung genauer und zuverlässiger Daten ist für die Gewährleistung der Patientensicherheit unerlässlich. Ungenaue oder unvollständige Daten können zu Fehlern bei der Diagnose, Behandlung oder Überwachung führen und so die Gesundheit der Patienten gefährden.
  • Qualitätssicherung: Die Datenintegrität ist von grundlegender Bedeutung für die Aufrechterhaltung der Qualität und Konsistenz von Arzneimitteln und Medizinprodukten. Durch die Sicherstellung der Genauigkeit und Vollständigkeit der Daten während des gesamten Herstellungsprozesses können Unternehmen hohe Qualitätsstandards aufrechterhalten und Risiken im Zusammenhang mit Produktfehlern oder Rückrufaktionen minimieren.
  • Reputation und Vertrauen: Der Aufbau und die Aufrechterhaltung von Vertrauen innerhalb der Gesundheitsbranche und bei den Verbrauchern hängt stark von der Datenintegrität ab. Unternehmen, die den Ruf haben, durchweg zuverlässige und sichere Produkte herzustellen, gewinnen mit größerer Wahrscheinlichkeit das Vertrauen von Angehörigen der Gesundheitsberufe und Patienten, was zu langfristigem Erfolg und Glaubwürdigkeit auf dem Markt führt.

Schlüsselanforderungen für computergestützte Systeme

  • Die Unternehmen verwenden verschiedene computergestützte Systeme für betriebliche Aufgaben, die von einfachen Einrichtungen bis hin zu komplexen integrierten Systemen reichen und sich alle auf die Produktqualität auswirken. Diese Systeme müssen die GMP- und GDP-Anforderungen erfüllen.
  • Die Unternehmen müssen die Art und Verwendung ihrer computergestützten Systeme verstehen und die damit verbundenen Risiken für die Datenintegrität bewerten. Kritische Systeme, die die Produktqualität beeinflussen, sollten im Rahmen eines pharmazeutischen Qualitätssystems verwaltet werden, um Manipulationen zu verhindern.
  • Bei der Entwicklung oder Auswahl von computergestützten Systemen ist es wichtig, der Datenverwaltung und -integrität Priorität einzuräumen. Anbieter sollten die GMP/GDP- und Datenintegritätsanforderungen verstehen, während Altsysteme möglicherweise zusätzliche Kontrollen zur Einhaltung der Vorschriften benötigen.
  • Regulierte Benutzer sollten die Bedeutung der von diesen Systemen erzeugten Daten verstehen und einen risikobasierten Ansatz für die Verwaltung von Daten und Metadaten wählen. Die vollständige Erfassung und Aufbewahrung von kritischen Daten ist von entscheidender Bedeutung.
  • Das Verständnis der Rolle eines Systems in den Geschäftsprozessen hilft bei der Bewertung der Datenanfälligkeit und des Risikos. Bei Inspektionen sollten die Inspektoren das Fachwissen des Unternehmens für die Systembewertung nutzen. Ob Outsourcing oder nicht, die Verantwortung für die Einhaltung der Vorschriften und eine wirksame Kontrolle der Datenverwaltung liegt bei den beaufsichtigten Unternehmen.

Im Folgenden werden die wichtigsten Anforderungen an die Datenintegrität für computergestützte Systeme erläutert.

  • Regulierte Unternehmen müssen robuste Kontrollen einführen und befolgen, um die Datenintegrität während des gesamten Lebenszyklus des Systems zu gewährleisten. Dazu gehört, dass Überlegungen zur Datenverwaltung und -integrität von Anfang an in die Systembeschaffung einfließen und während des gesamten Lebenszyklus beibehalten werden. Funktionale Spezifikationen (FS) und Benutzeranforderungsspezifikationen (URS) für regulierte Benutzer sollten diese Anforderungen umfassend berücksichtigen.

 

  • Besondere Aufmerksamkeit ist beim Kauf kritischer GMP/GDP-Ausrüstung erforderlich, um eine angemessene Bewertung der Datenintegritätskontrollen vor der Beschaffung sicherzustellen.

 

  • Bestehende Systeme sollten einer Bewertung unterzogen werden, um festzustellen, ob ihre derzeitige Konfiguration und Funktionalität mit guten Datenverwaltungspraktiken übereinstimmen. Wenn die vorhandenen Systeme keine angemessenen Kontrollen aufweisen, sollten zusätzliche Maßnahmen erforscht und umgesetzt werden.
  • Die Validierung von computergestützten Systemen muss den GMP/GDP-Richtlinien entsprechen. Die Validierung allein gewährleistet jedoch keinen angemessenen Schutz der erzeugten Aufzeichnungen. Validierte Systeme können immer noch durch Unfälle oder böswillige Absichten verloren gehen oder verändert werden. Daher ist es von entscheidender Bedeutung, die Validierung durch administrative und physische Kontrollen sowie durch Benutzerschulungen zu ergänzen.

Der Eingabetext umreißt die wichtigsten Überlegungen und Anforderungen an regulierte Unternehmen hinsichtlich der Datenintegrität in computergestützten Systemen:

  • Einrichtung und Durchsetzung von Kontrollen: Regulierte Unternehmen müssen Kontrollen einführen, um die Datenintegrität während des gesamten Lebenszyklus von Systemen und Daten zu gewährleisten. Dazu gehört eine umfassende Berücksichtigung der Anforderungen an das Datenmanagement in den Funktions- und Benutzeranforderungsspezifikationen (FS/URS).
  • Beschaffung und Bewertung von Systemen: Bei der Beschaffung von GMP/GDP-kritischer Ausrüstung muss besonders darauf geachtet werden, dass angemessene Kontrollen der Datenintegrität vorhanden sind. Vorhandene Altsysteme sollten auf die Einhaltung guter Datenverwaltungspraktiken hin überprüft werden, und bei Bedarf sollten zusätzliche Kontrollen eingeführt werden.
  • Nachverfolgung und Dokumentation: Reglementierte Benutzer müssen Aufzeichnungen über ihre Computersysteme führen, einschließlich Systemnamen, Standorte, Zwecke, Bewertungen der Systemfunktion und -bedeutung, Validierungsstatus und Verweise auf Validierungsdokumente.
  • Validierungsanforderungen: Für neue Systeme ist ein zusammenfassender Validierungsbericht gemäß Anhang 15 erforderlich, in dem kritische Systemkonfigurationen, Zugangskontrollen, zugelassene Benutzer, die Häufigkeit von Prüfpfaden und Verfahren für die Benutzerverwaltung und den Umgang mit Daten aufgeführt sind. Bestehende Systeme sollten über einschlägige Dokumente verfügen, in denen diese Anforderungen dargelegt sind und aufrechterhalten werden.
  • Validierungsmasterplan und Tests: Unternehmen sollten über einen Validierungsmasterplan verfügen, der die Validierungsrichtlinien und -anforderungen für computergestützte Systeme festlegt. Das Ausmaß der Validierung sollte risikobasiert sein, mit definierten Tests zur Überprüfung der Konformität vor dem Routineeinsatz. Eine prospektive Validierung wird empfohlen, und die Tests sollten den Anforderungen von GMP Anhang 15 entsprechen.
  • Regelmäßige Bewertung und Aktualisierung: Um die Datenintegrität aufrechtzuerhalten, müssen computergestützte Systeme regelmäßig bewertet werden, wobei Abweichungen, Änderungen, Aktualisierungen, Leistung und Wartung zu berücksichtigen sind. Die Häufigkeit der Neubewertung sollte durch eine Risikobewertung bestimmt werden. Die rechtzeitige Aktualisierung von Betriebssystemen und Netzwerkkomponenten ist für die Wahrung der Datenintegrität unerlässlich, ebenso wie die rechtzeitige Anwendung von Sicherheits-Patches unter kontrollierten Bedingungen.
  • Migrationen auf neuere Plattformen Unternehmen sollten Anwendungsmigrationen auf neuere Plattformen planen und durchführen, bevor diese nicht mehr unterstützt werden, und nicht unterstützte Betriebssysteme so weit wie möglich vom Netzwerk isolieren, während sie die verbleibenden Schnittstellen und Datenübertragungsprozesse sorgfältig gestalten, um Schwachstellen zu vermeiden. Beim Fernzugriff auf nicht unterstützte Systeme ist wegen der damit verbundenen Sicherheitsrisiken Vorsicht geboten.

Datenübertragung : Bei der Validierung ist es von entscheidender Bedeutung, die Schnittstellen zu bewerten und zu behandeln, um eine genaue Datenübertragung zu gewährleisten. Diese Schnittstellen sollten integrierte Prüfungen für eine sichere Dateneingabe und -verarbeitung enthalten, um Integritätsrisiken zu minimieren. Zu den Überprüfungsmethoden können sichere Übertragung, Verschlüsselung und Prüfsummen gehören. Schnittstellen zwischen Systemen sollten für die automatische Übertragung von GMP/GDP-Daten konzipiert und qualifiziert sein.

Überprüfung der Kompatibilität: Bei der Aktualisierung von Systemsoftware müssen die Benutzer die Kompatibilität mit vorhandenen und archivierten Daten sicherstellen. Falls erforderlich, sollte die Datenkonvertierung in das neue Format erleichtert werden. Wenn eine Konvertierung nicht möglich ist, sollte die alte Software beibehalten werden und für den Zugriff auf archivierte Daten während der Untersuchungen zur Verfügung stehen.

Wenn ältere Software nicht mehr unterstützt wird, ist die Aufrechterhaltung des Datenzugriffs von entscheidender Bedeutung. Die Beibehaltung der alten Software in einer virtuellen Umgebung kann ihre Lebensdauer verlängern, aber wenn dies nicht möglich ist, kann eine Migration in ein kompatibles Dateiformat erforderlich sein. Bei diesem Format sollte die Integrität der ursprünglichen Daten so weit wie möglich erhalten bleiben. Wenn eine vollständige Migration nicht möglich ist, sollten Sie die Optionen anhand der Wichtigkeit der Daten und des Risikos bewerten. Wählen Sie ein Migrationsformat, das ein Gleichgewicht zwischen langfristiger Zugänglichkeit und möglichem Verlust dynamischer Funktionen herstellt. Bewerten Sie außerdem die Anfälligkeit des Systems für unbefugte Änderungen und dokumentieren Sie alle Kontrollen zur Risikominderung. Machen Sie sich bewusst, dass die Aufrechterhaltung der Zugänglichkeit bedeuten kann, einen gewissen Verlust von Attributen oder dynamischen Funktionen während der Migration in Kauf zu nehmen.

  • Benutzerzugriffskontrollen: Zugriffskontrollen müssen konfiguriert und durchgesetzt werden, um den unbefugten Zugriff, die Änderung oder das Löschen von Daten in computergestützten Systemen zu verhindern. Das Niveau der Sicherheitsmaßnahmen hängt von der Kritikalität des Systems ab.
  • Datenintegrität: Zur Wahrung der Datenintegrität sind Schutzmaßnahmen gegen versehentliche Änderungen oder absichtliche Manipulationen erforderlich. Dazu gehören die Bewertung des Systemdesigns, die Gewährleistung der physischen Sicherheit der Hardware und die Implementierung von Netzwerksicherheitsmaßnahmen gegen lokale und externe Bedrohungen.
  • Schutz des Netzes: Sicherheitsmaßnahmen wie Firewalls, Intrusion-Detection-Systeme und regelmäßige Schwachstellen-Scans sind unerlässlich, um potenzielle Bedrohungen zu erkennen und zu verhindern. Das Schutzniveau sollte auf das bewertete Risiko der Daten abgestimmt sein.
  • Elektronische Signaturen: Es sind robuste Kontrollen für die Authentizität und Rückverfolgbarkeit elektronischer Signaturen erforderlich, einschließlich einer permanenten Verknüpfung mit den zugehörigen Datensätzen, der Protokollierung von Zeitstempeln und der Anwendung fortschrittlicher Methoden wie der Biometrie.
  • Einschränkungen für USB-Geräte: Um die Systemsicherheit zu erhöhen, sollte die Verwendung von USB-Geräten auf kritischen Systemen mit GMP/GDP-Daten eingeschränkt werden. Die Anschlüsse sollten für genehmigte Zwecke konfiguriert werden, und alle USB-Geräte müssen vor der Verwendung ordnungsgemäß gescannt werden.
  • Unternehmen müssen der Datenintegrität Vorrang einräumen, indem sie computergestützte Systeme mit geeigneten elektronischen Prüfpfadfunktionen auswählen und ältere Systeme gegebenenfalls aufrüsten. Bei Systemen ohne Prüfpfade sollten alternative Überprüfungsmethoden eingesetzt werden, um die Einhaltung der Vorschriften während der Systemvalidierung sicherzustellen.
  • Audit-Trail-Funktionen sollten aktiviert und gesperrt werden, wobei Verfahren zur Bestimmung der Datenanforderungen und zur Durchführung unabhängiger Überprüfungen unter der Aufsicht der Qualitätsabteilung festgelegt werden sollten. Elektronisch gestützte Systeme müssen Audit-Trails konfigurieren, um kritische Aktivitäten zu erfassen und detaillierte Parameter für eine umfassende Verfolgung von Aktionen und Eingaben aufzuzeichnen.

Die Systeme sollten für die korrekte Erfassung von Daten ausgelegt sein, unabhängig davon, ob sie manuell oder automatisch erfasst werden. Manuelle Daten sollten bestimmten Formaten entsprechen, einer Validierung unterzogen und von einem zweiten Bediener oder einer validierten Software überprüft werden. Änderungen sollten in einem Prüfpfad dokumentiert und von autorisiertem Personal überprüft werden. Die automatisierte Datenerfassung erfordert validierte Schnittstellen, sichere Speicherformate und Softwareprüfungen, um die Vollständigkeit der Daten und die Richtigkeit der Metadaten zu gewährleisten.

Bei Datenänderungen müssen autorisierte Verfahren eingehalten werden, einschließlich manueller Integrationen und der Wiederaufbereitung von Laborergebnissen. Die Qualitätsstelle muss sicherstellen, dass Änderungen notwendig sind und von bestimmten Personen unter Beibehaltung der Originaldaten vorgenommen werden. Alle Änderungen an Rohdaten müssen vollständig dokumentiert und von qualifizierten Personen genehmigt werden.

Regulierte Nutzer müssen Risikobewertungen durchführen, um kritische GMP/GDP-relevante elektronische Daten zu identifizieren und sie auf Richtigkeit und Integrität zu prüfen, wobei alle Änderungen ordnungsgemäß genehmigt werden müssen. In den Standardarbeitsanweisungen (SOPs) sollten Überprüfungen durch den zweiten Bediener detailliert beschrieben werden, die Rohdaten, Zusammenfassungen und Protokolle umfassen. Audit-Trail-Überprüfungen sollten in die routinemäßigen Datenbewertungen integriert werden.

Die Häufigkeit und die Rollen für Audit-Trail-Prüfungen sollten sich an der Bedeutung der Daten orientieren, wobei signifikante Änderungen gründliche Untersuchungen und dokumentierte Maßnahmen zur Behebung von Qualitäts- oder Datenintegritätsproblemen auslösen.

Die Qualitätsabteilung des Unternehmens sollte ein Programm und einen Zeitplan für die Durchführung laufender Überprüfungen von Prüfpfaden auf der Grundlage ihrer Kritikalität und der Komplexität des Systems einrichten, um die wirksame Umsetzung aktueller Kontrollen zu überprüfen und potenzielle Probleme bei der Nichteinhaltung von Vorschriften aufzudecken. Diese Überprüfungen sollten in das Selbstinspektionsprogramm des Unternehmens aufgenommen werden.

  • Die Verfahren zur Datenspeicherung und -sicherung müssen Originaldaten, Metadaten und Prüfpfade sicher umfassen. Routine-Backups sollten per Fernzugriff gespeichert werden und auch nach Software-Updates in lesbaren Formaten zugänglich sein. Die Aufbewahrung von Metadaten ist entscheidend für die Rekonstruktion von Aktivitäten. Archivierte Daten müssen separat gesichert werden, zugänglich sein und regelmäßig auf Wiederherstellungsverfahren getestet werden. Das Drucken lesbarer Aufzeichnungen, einschließlich Metadaten, und die Festlegung von Entsorgungsverfahren für elektronisch gespeicherte Daten sind wesentliche Erwartungen

Hybride Systeme erfordern aufgrund ihrer Komplexität und Anfälligkeit für Datenmanipulationen besondere Kontrollen, so dass von ihrer Verwendung abzuraten und ein Ersatz zu befürworten ist, wo dies möglich ist. Jedes Element sollte sich an die Richtlinien für manuelle und computergestützte Systeme halten und die Grundsätze des Qualitätsrisikomanagements anwenden. Es ist eine umfassende Systembeschreibung erforderlich, in der die Komponenten, Funktionen, Datenkontrollen und Interaktionen beschrieben werden. Die Verfahren müssen manuelle und automatisierte Datenschnittstellen, Überprüfungsprozesse, Genehmigungskriterien für Datenausgaben und Risiken im Zusammenhang mit hybriden Systemen regeln, wobei der Schwerpunkt auf der Kontrollüberprüfung liegt.

Zusammenfassung

Wenn Unternehmen DI jetzt Priorität einräumen, können sie ihre Effizienz und Produktivität steigern und gleichzeitig qualitativ hochwertige Produkte liefern. Die Wahrung der Datenintegrität im Rahmen der cGMP-Konformität ist nicht nur eine behördliche Anforderung, sondern eine grundlegende Notwendigkeit für Arzneimittelhersteller. Verstöße gegen die Datenintegrität können schwerwiegende Folgen haben, sowohl im Hinblick auf behördliche Maßnahmen als auch auf die Patientensicherheit. Durch die Implementierung von Best Practices, Investitionen in Mitarbeiterschulungen und den Einsatz von Technologien können Pharmaunternehmen die Datenintegrität während des gesamten Herstellungsprozesses sicherstellen. Damit werden nicht nur die Erwartungen der Behörden erfüllt, sondern auch die höchsten Standards für die Produktqualität und das Wohlergehen der Patienten aufrechterhalten.

Nützliche Links:

Sagar Pawar

Sagar Pawar

Computer System Validation Specialist