Inspektionen zur Datenintegrität

Virtueller DHC Round Table –
Meet the Expert!

Virtueller DHC Round Table

Inspektionen zur Datenintegrität

7. Januar 2021

Die US FDA startete ihre Inspektionen mit dem Schwerpunkt Datenintegrität zunächst nach der Entdeckung von betrügerischen Datenfälschungen im asiatischen Raum etwa im Jahr 2012. Mittlerweile werden alle Unternehmen, auch in Europa, von den Inspektoren der FDA und der lokalen Behörden genau unter die Lupe genommen.

Datenintegritäts-Programm

Sehr viele Firmen haben ein Datenintegritäts-Programm etabliert, das eine Beteiligung des Managements vorsieht. Die Überzeugung der Unternehmensführung von der Notwendigkeit eines entsprechenden Konzepts ist allerdings oft schwierig, da die Implementierung der Datenintegrität im Unternehmen in keinem Fall kurzfristige Einsparungen bringen wird. Die Unternehmensleitung sollte daher über mögliche negative Folgen auf Umsatz und Ansehen der Firma hingewiesen werden, sofern Datenintegritätsprobleme offenkundig werden.

Risikoanalyse

Bei einer Inspektion müssen alle organisatorischen und technischen Maßnahmen demonstriert werden, die zur Sicherung der Datenintegrität im Unternehmen getroffen worden sind. Dabei ist es erforderlich, eine klare Struktur dieser Aktivitäten zusammen mit der internen Kontrolle nachzuweisen.

Es ist ratsam, alle computergestützten Systeme nach einer Reihe von Kriterien zu beurteilen. Damit wird das Gesamtrisiko der Datenintegrität und die Kritikalität des Audit Trails in recht kurzer Zeit ermittelt. Bei der Diskussion können die Teilnehmer der Risikoanalyse auch Sofortmaßnahmen für die einzelnen Systeme festlegen, um größere Compliance Lücken zeitnah zu schließen.

Mit dem Ergebnis dieser ersten, sehr zeitsparenden Risikoanalyse können die Priorität und Reihenfolge der weiteren Maßnahmen in einen – je nach Risiko – abgestuften Zeitplan eingetragen und die CAPAs entsprechend festgelegt werden.

Im nächsten Schritt erfolgt dann die detaillierte Analyse eines jeden einzelnen computergestützten Systems mithilfe einer Checkliste. Solche Checklisten sind alle sehr ähnlich aufgebaut und bestehen aus ca. 50-80 Fragen.

Sofortmaßnahmen

Sofern für eine Risikoanalyse weder Zeit noch Kapazität vorhanden sind, kommen in Vorbereitung einer Inspektion eine Reihe von Sofortmaßnahmen infrage, die zum Beispiel sinngemäß in der MHRA Guideline der britischen Behörde aufgeführt sind.

Datenlenkung

Über die erwähnten Risikoanalysen hinaus wird eine Data Integrity Policy (Statement der Unternehmensleitung zur Einhaltung der DI Prinzipien) benötigt. Eine ausführliche SOP ergänzt die Policy und lebt von den zahlreichen Referenzen zu den Anweisungen, die einen Einfluss auf die Datenintegrität im Unternehmen haben.

Audit Trail Review

Das wichtigste Thema im Zusammenhang mit der Datenintegrität ist die Überprüfung des Audit Trails. Basis dafür ist selbstverständlich wieder die oben erwähnte Risikoanalyse und eine genaue Kenntnis der Datenfelder, die gegebenenfalls geändert/manipuliert/gelöscht werden könnten.

Die generelle Praxis des Audit Trail Reviews wird in einer SOP festgelegt, die für den gesamten Review-Prozess Gültigkeit hat. Die Details des Reviews werden in Checklisten beschrieben, die spezifisch für jedes einzelne System ausgearbeitet sind. Der Reviewer wird bei der Überprüfung sein Ergebnis in die Checkliste eintragen und der Sachkundigen Person übermitteln. Die QP verwendet das Ergebnis des Audit Trail Reviews dann als Kriterium für die Chargenfreigabe.

Stand Alone Systeme

Bei einer Behördeninspektion werden häufig auch die Stand Alone Systeme unter die Lupe genommen. Wenn es sich dabei um sogenannte „Package Units“ handelt, die zum Beispiel einfachere Maschinen in der Produktion steuern und direkt mit dem Gerät verbunden sind, so ist ein Ersatz der Steuerung nur in Verbindung mit einer neuen Maschine möglich und damit sehr kostenintensiv. Die Firma sollte hier über pragmatische Lösungen nachdenken, die eine höhere Sicherheit der Datenintegrität gewährleisten und kostengünstig realisierbar sind, bis ausreichend Mittel zum Ersatz des Gesamtsystems verfügbar sind.

Zusammenfassung

Bei einer Behördeninspektion ist es sehr wichtig, einen Überblick über alle Maßnahmen zur Sicherstellung der Datenintegrität zu geben. Die Risikoanalyse unterstützt dabei eine sinnvolle Priorisierung der Aktivitäten über einen Zeitraum, der für das Unternehmen tragbar ist. Durch die Implementierung der Sofortmaßnahmen wird erkennbar, dass das Unternehmen bereits mit der Umsetzung begonnen hat.

DHC Round Table zum Thema „Inspektionen zur Datenintegrität“

Melden Sie sich jetzt zu unserem Round Table an und freuen Sie sich auf Dr. Wolfgang Schumacher, der uns aus der Perspektive eines Auditors berichten wird, welche Erfahrungen er bei Inspektionen zur Datenintegrität sammeln konnte. Diskutieren Sie mit uns, wie Sie sich optimal auf eine Inspektion vorbereiten können, auf welche Punkte Inspektoren besonders achten und welche besonderen Herausforderungen Sie für Ihr Unternehmen sehen.
Mehr unter: https://www.dhc-consulting.com/termin/virtueller-round-table-datenintegritaet/

Unsere DHC Beratungsleistungen zum Thema „Datenintegrität“ finden Sie unter: https://www.dhc-consulting.com/gxp-compliance/datenintegritaet/

Kostenfreie Webinare

Unsere Webinare sind ein kostenloser Service für Kunden und Interessenten der DHC.