Arcondis

Revision des Annex 11

Mit der im April 2008 veröffentlichten Überarbeitung des EG GMP-Leitfadens Annex 11 „Computerised Systems“ reagiert die Inspectors Working Group auf den steigenden Einsatz und die vielfältige Integration von computergestützten Systemen im regulierten Umfeld.
Eine Aktualisierung der regulatorischen Anforderungen ist notwendig geworden, um mit der steigenden Komplexität, sowie den fortlaufenden Weiterentwicklungen von computergestützten Systemen aus Behördensicht stand zu halten. Der jetzt vorliegende Entwurf des Annex 11 greift die Entwicklungen der letzten Jahre auf und orientiert sich insbesondere an PIC/S PI011-1 "Good practices for computerised systems in GxP regulated environments", ISO 17799 "A code of practice for information security management" und ISPE GAMP 5.
Mit dem Ziel, detaillierte und aktualisierte Anforderungen, bedingt durch regulatorische und technologische Entwicklungen zu beschreiben, gliedert sich der überarbeitete Entwurf des Annex 11 wie folgt:
  1. Risk Management
  2. Personnel
  3. Validation
  4. System
  5. Software
  6. Data
  7. User Testing and the system’s fitness for purpose
  8. Security
  9. Accuracy Checks
  10. Audit Trails
  11. Signature
  12. Change Control and configuration management
  13. Printouts
  14. Data Storage
  15. Back Up; Migration; Archiving; Retrieval
  16. Business Continuity
  17. Incident Management
  18. Suppliers
  19. Batch Release
Die Inhalte des bisherigen Annex 11 finden sich nach wie vor auch in der Neufassung wieder, teilweise aber inhaltlich erheblich erweitert und detaillierter.
Als Key Facts sind folgende inhaltlichen Aussagen hervorzuheben:
  • Systemspezifisches Risikomanagement in Bezug auf Produktqualität, Produktsicherheit, Datensicherheit sowie Datenintegrität (Kapitel 1)
  • Umfangreichere Beschreibung des Kapitels „Validation“ aufgrund der wachsenden spezifischen Anforderungen (Kapitel 3)
  • Direkter Hinweis auf das Führen eines Inventars aller computergestützten Systeme (Kapitel 3.1 und 4.1); Verwendung des Begriffs „Controls“ (wie in einem IKS)
  • Direkter Hinweis auf die Anpassung von Software und deren Kontrolle (Kapitel 3.2)
  • Aufbau und Pflege einer Traceability von Designdokumenten wird zu einem MUSS (Kapitel 3.3) im Rahmen der spezifischen Hinweise auf den notwendigen Dokumentationsumfang
  • Spezifischer Hinweis auf „Testing“ und auf die Art von Tests (Kapitel 3.5)
  • Klare Vorgabe für die Durchführung von Periodic Reviews (Kapitel 3.6)
  • Spezifische Vorgaben für vorhandenen Funktionalitäten und deren Validierung (Kapitel 3.7)
  • Hinweise auf das Handling von Spreadsheets in einem eigenen Paragraphen
    (Kapitel 3.8)
Die Paragraphen ab Kapitel 5 sind neu bzw. bringen eine neue Detailstruktur. Diese Kapitel folgen dem Ansatz einer Systembeschreibung eines computergestützten Systems. Dem Thema „Sicherheit“ wird darüber hinaus ein großer Stellenwert zugemessen:
  • Der Begriff für Standard Softwareprodukte „Commercial of the Shelf“ (COTS) wird direkt verwendet (Kapitel 5.2). Kapitel 5.3 ist neu hinzu gekommen.
  • Technische Benutzer-Accounts mit gemeinsam genutzten Passwörtern sind nicht erlaubt (Kapitel 6.1).
  • Nicht nur der Zugriff auf Applikationen und deren Daten, sondern auch der Zugriff auf Ordner und Dateien sollten in einem Information Security Management System (ISMS) kontrolliert und dokumentiert sein (Kapitel 8.2).
  • Abhängig von der Kritikalität der Daten, sollten Systeme gegen unberechtigten Zugriff oder unerlaubte Datenmodifikation durch geeignete Maßnahmen geschützt werden (time limited logging, encryption, re-entry of unique identifiers) (Kapitel 8.3).
  • Audit Trails müssen in einer menschlich lesbaren Form verfügbar sein (Kapitel 10.1).
  • Das Kapitel „Signatures“ ist neu hinzugekommen und kann als Angleichung an den 21 CFR Part 11 betrachtet werden.
  • Das Kapitel „Printouts“ ist neu hinzugekommen (Kapitel 13).
  • Backups sollten von allen relevanten Daten vorgehalten werden (Kapitel 15.1). Wiederherstellungsprozeduren müssen nachweislich zum gewünschten Ergebnis führen (Kapitel 15.3)
  • Das Thema Archivierung wird explizit aufgenommen (Kapitel 15.2).
  • Business Continuity Prozesse müssen adäquat dokumentiert und getestet werden (Kapitel 16.1)
  • Lieferantenaudits, basierend auf einem Risk Assessment, werden Pflicht (Kapitel 18.2).
Zusammenfassend lässt sich sagen, dass alle genannten Erweiterungen den Einsatz bekannter „State of the art“ Methoden (z.B. Traceability, Periodic Reviews) zur Vorgabe im europäischen Raum machen.
Dem „Risk Management“ wird in der Neufassung eine hohe Bedeutung zugemessen, indem Risiken über den gesamt System Life Cycle identifiziert, bewertet und nachverfolgt werden sollten. Zudem hat eine Risikoeinstufung für Systeme durch die geforderte Inventarisierung aller computergestützter Systeme zu erfolgen. Die Daten-/Systemintegrität von IT Systemen wird als Risikofaktor für die Produktqualität im Zusammenhang mit der IT Infrastruktur-Qualifizierung angesehen und sollte durch geeignete Change Control und Configuration Management Prozesse sichergestellt werden.
Das Thema Validierung wird umfassender beschrieben, explizit wird auf Spreadsheets, Datenbank-Systeme oder auch die Nachverfolgbarkeit von Design Dokumenten eingegangen. Das Thema „Sicherheit“ nimmt einen hohen Stellenwert ein, was auch durch die Forderung nach einem übergreifenden ISMS belegt wird. Zudem erfolgt mit der häufigen Benutzung des Begriffs „control“ eine Annäherung an IKS. Die auffällig häufige Benutzung von „manufacturing authorisation holder’s“ im Rahmen von Verantwortlichkeiten macht deutlich, wer die Erfüllung dieser regulatorischen Anforderungen sicherzustellen hat.
In der Revision des Annex 11 werden die Anforderungen an computergestütze Systeme ganzheitlicher und detaillierter beschrieben, ohne ein Gerüst mit allzu starren Vorgaben zu sein. Wie auch im bisherigen Annex 11, lässt auch die Neufassung Platz für Interpretationen und Spielraum für eine individuelle Umsetzungsstrategie. Heutige Vorgehensweisen, die als „State of the art“ bezeichnet werden können, werden durch die Regulation bindend. Systementwicklungsmethoden werden professioneller berücksichtigt, und Klammerfunktionen wie Risk Management und Inventarisierung unterstützen eine effektivere Umsetzung der Validierungsaktivitäten computergestützter Systeme.

zurück

NewsFlash April 2012

Top Links