Beispiele Datenintegritätsverletzungen in einem GxP-Labor

Leading Minds Network

Die MHRA-, WHO- und FDA-Richtlinien zur Datenintegrität aus dem Jahr 2015 sind keine bahnbrechende Neuheit. Tatsächlich ist die Datenintegrität für diese Regierungsstellen bereits seit Jahrzehnten ein wichtiges Thema.

Im Jahr 2016 gab das Pharmakooperationsprogramm Pharmaceutical Inspection Co-operation Scheme (PIC/S) den aktualisierten «Draft Guidance on Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments» (Entwurf eines Leitfadens für bewährte Praktiken im Bereich Datenverwaltung und -integrität in regulierten GMP/GDP-Umgebungen) heraus.

Ebenfalls im Jahr 2016 veröffentlichte die Europäische Arzneimittel-Agentur (European Medicines Agency, EMA) Richtlinien zur Datenintegrität mit dem Hinweis, dass ihre Richtlinien mit anderen nationalen Regierungsstellen, die dem PIC/S angehören, abgestimmt sind. Sie hielten ganz klar fest, dass für alle Daten, die sich beim Testen, bei der Herstellung, beim Verpacken, beim Vertrieb und bei der Überwachung von Medikamenten ergeben, die Richtlinien zur Datenintegrität gelten. Dies soll gewährleisten, dass die Auditoren die Qualität, Sicherheit und Wirksamkeit von Medikamenten effektiv überprüfen können.

Was bedeuten all diese neuen Vorschriften?

Mittlerweile sollte Ihre pharmazeutische F&E-Abteilung (Forschung und Entwicklung) die Erkennung von Datenintegritätsproblemen als Teil Ihrer Qualitätsrisikobeurteilung verstehen, und diese sollten mittels einer Fehlermöglichkeits- und -einflussanalyse (Failure Mode and Effects Analysis, FMEA) aufgedeckt werden.

Die folgenden Schlüsselfragen sollten Sie sich stellen:

Erzeugen Ihre Datensysteme konforme Ergebnisse, oder bringen manuelle Prozesse Probleme mit sich?
Bestehen bewährte Praktiken in Bezug auf die Dokumentation oder standardmässige Arbeitsanweisungen, nach denen sich die Mitarbeitenden richten können?
Liegt es an der (mangelnden) Ausbildung der Mitarbeitenden? Oder sind Prozesse unklar, unwirksam oder veraltet?

Interessant ist, dass 95 Prozent der Datenintegritätsverletzungen auf eine mangelhafte Datenverwaltung zurückzuführen sind. Diese Tatsache steht im Gegensatz zu den Schlagzeilen in den Medien, die betrügerische Aktivitäten für die Probleme mit der Datenintegrität verantwortlich machen.

Was ist Datenintegrität?

Die US-Bundesbehörde zur Lebens- und Arzneimittelüberwachung (Food and Drug Administration, FDA) definiert Datenintegrität als «... die Vollständigkeit, Kohärenz und Genauigkeit von Daten. Vollständige, kohärente und genaue Daten sollten zuordenbar, lesbar, zeitnah erfasst, original oder originalgetreu und genau sein.»

Was könnte eine Verletzung darstellen?

Datenintegrität beinhaltet alle Aspekte des Daten- und Dokumentenmanagements, einschliesslich der Erstellung, Verwendung, Manipulation, Speicherung, Zerstörung und Löschung.

Eine Verletzung aus regulatorischer Sicht kann sich ergeben, wenn:

Aktivitäten nicht dokumentiert und mit einem Zeitstempel versehen werden
Daten vernichtet werden oder nur Daten mit positivem Testergebnis gemeldet werden
Daten zurückdatiert werden
Daten gefälscht werden
fehlende, geänderte oder Rohdaten nicht erfasst werden
der Prüfpfad fehlt oder die Änderungskontrolle nicht dokumentiert ist

Weshalb sind Temperaturdaten in einem GxP-Labor so wichtig?

Es gibt sehr viele Systeme, Geräte und Anlagen, die D csm_Lab_1_web_282d431a07-1 aten generieren und die den regulatorischen Anforderungen an die Datenintegrität unterliegen. Ihre Umgebungsdaten sind da keine Ausnahme.

Umgebungsmonitoring spielt bei Ihren GxP-Aktivitäten eine entscheidende Rolle. Denn die Umgebung, in der Arzneimittel und Hygieneprodukte hergestellt, getestet und gelagert werden, kann sich auf die Zusammensetzung und die Wirksamkeit auswirken. Auch geringe Veränderungen der Temperatur, der Feuchtigkeit oder des CO2-Gehalts können Ergebnisse aus Experimenten, der Herstellung, dem Labor oder dem Vertrieb verfälschen. Kühlschränke, Tiefkühler, Stabilitätskammern, Lagerräume und Inkubatoren sind Beispiele einer kontrollierten Umgebung, die die Handhabung von empfindlichen Produkten unter spezifischen Bedingungen ermöglichen.

Die Auditoren verlangen, dass Sie Temperatur-/Umgebungsdaten erfassen, um zu dokumentieren, dass die Aktivitäten unter angemessenen Umgebungsbedingungen durchgeführt wurden. Dadurch kann auch gewährleistet werden, dass alle durchgeführten Tests zuverlässig und wiederholbar sind. Bei Abweichungen zeigen entsprechende Berichte die Korrekturmassnahmen auf, die getroffen wurden, um zu dokumentieren, ob das Produkt gefährdet war oder nicht.

Mangelhafte Verwaltung von Temperaturdaten

Es besteht die falsche Vorstellung, dass Anforderungen in Bezug auf die Datenintegrität mit papierbasierten Prozessen leichter erfüllt werden können und dass bei der papierbasierten Erfassung andere Datenintegritätsstandards gelten als bei der elektronischen Erfassung. Die Anforderungen in Bezug auf die Datenintegrität gelten jedoch für alle erhobenen Daten.

In Bezug auf Datenintegrität hält die Weltgesundheitsorganisation (World Health Organization, WHO) fest, dass bei den Risikomanagementverfahren modernere Technologie zum Einsatz kommen muss und dass die Datenintegritätsrisiken bei manuellen oder papierbasierten Prozessen höher sind.

Die britische Arzneimittelbehörde (Medicines and Healthcare products Regulatory Agency, MHRA) warnt in ihren Richtlinien zur Datenintegrität davor, von Computersystemen auf Papier zurückzukehren: «Mit einer Rückkehr von automatisierten und computergesteuerten zu manuellen, papierbasierten Systemen lässt sich die Notwendigkeit von Datenintegritätskontrollen nicht umgehen. Dies kann auch eine Nichteinhaltung von Artikel 23 der Richtlinie 2001/83/EG darstellen, wonach der Inhaber einer Zulassung den Stand von Wissenschaft und Technik berücksichtigen und die Herstellung und Überwachung des Arzneimittels gemäss den allgemein anerkannten wissenschaftlichen Methoden sicherstellen muss.»

Wie Temperaturen vorschriftsgemäss überwacht werden

Zur Erinnerung: Die FDA definiert Datenintegrität als «… die Vollständigkeit, Kohärenz und Genauigkeit von Daten. Vollständige, kohärente und genaue Daten sollten zuordenbar, lesbar, zeitnah erfasst, original oder originalgetreu und genau sein.»

Eine Datenausgabe gemäss den Anforderungen der FDA wird am besten auf elektronischem Weg erzielt, mit Prüfpfad, Zeitstempel und Punkt-für-Punkt-Daten. Mehr zu diesem Thema und darüber, wie die elektronische Temperaturüberwachung in Ihrem GxP-Labor oder Ihrer GxP-Anlage Ihre Compliance sicherstellen kann, erfahren Sie im Whitepaper Could Poor Temperature Data Management be Putting your GxP Facility at Risk for Data Integrity Violations? . Sie lernen den Unterschied zwischen Diagrammschreibern, handgeschriebenen Temperaturprotokollen, unabhängigen Datenloggern und vernetzten Datenloggern kennen.

Wenn Sie momentan Diagrammschreiber nutzen, sind Sie wahrscheinlich an diesem wissenschaftlich belegten Artikel, Losing Everything – Is a Chart Recorder Enough to Protect Critical Assets?, interessiert.

Wenn Sie mehr über die Funktionsweise von vernetzten Datenloggern erfahren möchten, besuchen Sie den Bereich F&E und Produktion in der Rubrik Applikationen.

Empfehlungen der Regulierungsbehörden

Im Mai 2015 organisierten ELPRO und Envirotainer ein Leading Minds Seminar in New Brunswick im US-Bundesstaat New Jersey. Ian Holloway von der MHRA legte dar, inwiefern die Arbeit von Fachleuten im Bereich Temperaturkontrolle von den neuen Datenintegritätsvorschriften betroffen ist.

Er forderte die Pharmahersteller auf, sich folgende Fragen zu stellen:

Sind unsere Rohdaten gesichert und vor unbefugten Änderungen geschützt?
Verfügen wir über angemessene Metadaten, also «Daten über Daten»?
Würden wir nicht genehmigte Änderungen bemerken?
Bestehen angemessene Zugangskontrollen und definierte Benutzerrechte für die Systembenutzer?
Sind die Daten zuordenbar, lesbar, zeitnah erfasst, original, genau, vollständig, kohärent und dauerhaft?
Welche Risiken bergen Cloud-Speicher und -Dienste?
Werden Arbeitsblätter vollständig validiert und gesichert?

Fazit

Die Vorschriften zur Integrität von pharmazeutischen Daten haben einen grossen Wirbel verursacht. Die FDA empfiehlt, dass Sie Ihre Aktivitäten regelmässig einer Risikobewertung unterziehen, damit Sie Ihre bestehenden Prozesse und Grundsätze besser beurteilen können. Versuchen Sie, Ihre spezifischen Arbeitsabläufe zur Temperaturüberwachung abzubilden, um Risikobereiche zu identifizieren.

Wichtig ist auch festzuhalten, dass Risiken sich mit der Zeit ändern. Risiken, mit denen Sie vor einigen Jahren konfrontiert waren, sind nicht unbedingt die gleichen wie heute, insbesondere angesichts der neuen Definitionen und Richtlinien zur Datenintegrität. Ganz zu schweigen von der Zunahme der Audits im Bereich Datenintegrität.

So hatten Sie vor fünf Jahren vielleicht nur einige wenige Geräte zu überwachen, und die Überwachung mittels Diagrammschreiber stellte kaum ein Risiko für Ihren Betrieb dar. Heute müssen Sie hingegen zwanzig Geräte überwachen. Die Wahrscheinlichkeit, dass bei der Bearbeitung dieser Diagramme ein menschlicher Fehler passiert, ist dementsprechend grösser. Wenn Sie immer noch papierbasierte oder manuelle Prozesse für Ihre Temperaturüberwachung anwenden, sollten Sie sich überlegen, wie ein automatisiertes, computergesteuertes System die Risiken minimieren und die Prozesse verbessern kann und somit auch das Risiko für die Daten verringert wird.

Referenzen: