Für schnelle, schlanke und flexible Betriebsprozesse wendet sich auch das GxP-Umfeld verstärkt dem Cloud Computing zu. Dabei entstehen neue Herausforderungen, die es bei der computergestützten Validierung zu beachten gilt.
In streng regulierten Bereichen wie Pharma, Biotechnologie, Medizinprodukte und verwandten Branchen müssen Computersysteme zuverlässig, robust und sicher funktionieren. Die Integrität der Daten, die hier erzeugt und verarbeitet werden, muss stets gewährleistet sein.
Daher kommt im GxP-Umfeld (Good Manufacturing Practice, Good Laboratory Practice, Good Clinical Practice) die computergestützte Validierung zum Einsatz, deren Methodik sich grundsätzlich auch auf cloudbasierte Systeme anwenden lässt.
Worauf es bei der Validierung im GxP-Umfeld ankommt:
- Computersysteme, die Einfluss auf die Patientensicherheit, Produktsicherheit und Datenintegrität haben, müssen im regulierten GxP-Umfeld validiert werden.
- Der validierte Zustand muss während des gesamten System-Lebenszyklus gemäß den gesetzlichen Anforderungen eingehalten werden.
- Die gesetzlichen Vorgaben für die Validierung von Computersystemen können nationale oder internationale Anforderungen sein.
GAMP5: Computer-System-Validierung via Industriestandard
GAMP5 (Good Automated Manufacturing Practice) ist der Industriestandard für die Validierung computergestützter Systeme. Er kommt in der Pharmaindustrie wie auch anderen regulierten Branchen wie der Lebensmittel-, Chemie- und Kosmetikindustrie zum Einsatz: Damit computergestützte Systeme hier die Anforderungen erfüllen und zuverlässig betrieben werden, legt er die Anforderungen an die Dokumentation, Überprüfung und Testaktivitäten detailliert fest. Dabei deckt der risikobasierte Ansatz den gesamten Lebenszyklus von der Entwicklung und Implementierung bis zur Wartung und Änderung ab.
Neben GAMP5 existieren noch weitere Regularien und Gesetze, die bei der CSV berücksichtigt und eingehalten werden sollten:
- Nationale und internationale Arzneimittelgesetze
- EU-Richtlinien sowie die Qualitätsmanagement Norm ISO 13485
- Anforderungen der FDA (Food and Drug Administration)
- Regularien aus 21 CFR Part 11 und EU AMP Annex 11
Wie läuft die CSV im Cloud-Umfeld ab?
Die gute Nachricht lautet, dass sich die Methoden der Computer-System-Validierung grundsätzlich auch bei cloudbasierten Systemen nutzen lassen. Dabei ist zu beachten, dass die IT-Infrastruktur qualifiziert und Software validiert sein muss. Da dabei das regulierte Unternehmen für die computergestützte Validierung verantwortlich ist, sollte es vorab die Fähigkeit seines Providers bei einem Lieferantenaudit bewerten.
Vor allem bei großen Providern ist das aber nicht immer möglich. Dazu können einige Provider nicht alle notwendigen Ressourcen anbieten und es sollte klar sein, dass ein Softwarehersteller nicht immer auch ein Cloud Provider ist. Im Vergleich zu On-Premise Systemen ist auch der Einfluss auf die Einstellungsmöglichkeiten kleiner und wegen der standardisierten Dienstleistung kann der Grad der Kontrollen geringer sein.
Daher sollten alle Aktivitäten und Verantwortlichkeiten vertraglich geregelt sein. Dazu ist auch das Monitoring der vereinbarten Dienstleistungen notwendig. Außerdem ist eine Exit-Strategie wichtig: Sie stellt sicher, dass die Daten bei einem Providerwechsel oder nach der Vertragslaufzeit gesichert und in die neue Umgebung migriert werden können.
Worauf kommt es bei den Cloud Updates an?
Zur Gewährleistung der Cloudsicherheit sind regelmäßige Updates die Regel, wobei die Intervalle vom jeweiligen Provider abhängig und nicht beeinflussbar sind. Meist finden jährlich zwei bis vier Release-Zyklen statt. Um das Risiko vor dem Update zu prüfen, sollten die Nutzer die Release-Änderungen vorab erhalten. Diese lassen sich dann bei einem Risikoworkshop analysieren und individuell bewerten.
Einige Änderungen erfordern möglicherweise nur Anpassungen der Dokumente, während für größere Änderungen eine Re-Validierung nötig ist. Um das Release auf sein potenzielles Risiko zu analysieren, sollte man die User Requirement Specification (URS) und Functional Requirements Specification (FRS) überprüfen. So kann auch eine neue Risikobewertung der FRS notwendig sein. Zudem können neue Test-Cases entstehen, die getestet werden müssen.
Computer-System-Validierung mit Experten meistern
Klar: Die computergestützte Validierung ist immer ein aufwendiger und zeitraubender Prozess, der entsprechende Ressourcen und Expertise erfordert. Sie umfasst verschiedene Schritte wie die Anforderungsdefinition, Installation, Konfiguration Funktionsprüfung, Performance-Tests und mehr.
Klar ist aber auch, dass die Validierung von Computersystemen im GxP-Umfeld ein wichtiger und vorgeschriebener Bestandteil der Qualitätskontrolle und Risikominimierung ist. Nur so können Sie sicher sein, dass die betreffenden Systeme den Anforderungen entsprechen und Datenintegrität gewährleistet ist.
Sie haben Fragen dazu oder möchten mehr über die Computer-System-Validierung im GxP-Umfeld erfahren? Hier erfahren Sie mehr!