Sie sind hier: Home » Fachartikel » Hintergrund

Bestimmungen der FDA und EMEA erfüllen


FDA- und EMEA-Compliance: Im Zentrum der Compliance steht primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen
Betroffen sind Hersteller von Medikamenten sowie deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) und Unternehmen aus dem Bereich klinischer und präklinischer Forschung


FDA-Compliance
FDA-Compliance Einhaltung von Leitlinien, Bild: Alegri

Von Dr. Andreas Jabs*

(19.11.07) - Pharmahersteller, deren Zulieferbetriebe, Biotechnologie-Firmen und Unternehmen aus dem Bereich klinischer und präklinischer Forschung unterliegen immer strengeren Vorschriften und Richtlinien, ohne deren Einhaltung die internationale Wettbewerbsfähigkeit der Unternehmen akut gefährdet ist: FDA, SOX, GMP, GLP, GCP, REACH, EMEA, GDPdU – immer mehr Compliance-Themen kommen auf die betroffenen Firmen auf dem US-amerikanischen und europäischen Markt zu und stellen hohe Anforderungen an die Validierung der IT-Systeme und -Prozesse. Wie können die Unternehmen diese Regelwerke und die damit verbundenen Risiken aber als Chance begreifen? Wie wird man zügig und kostengünstig compliant?

Was FDA-Compliance für Unternehmen bedeutet
Für die Zulassung pharmazeutischer Produkte auf dem amerikanischen Markt sind die strengen Bestimmungen der FDA (Food and Drug Administration) zu erfüllen. Daher müssen alle Systeme, die an der Produktion pharmazeutischer Produkte für die USA beteiligt sind, validiert und FDA-compliant sein. In Europa erteilt oder entzieht die EMEA (European Medicinal Evaluation Agency) die Zulassung für Arzneimittel oder gentechnisch hergestellte Präparate. Die Entscheidungen der EMEA sind für alle Mitgliedsstaaten der Europäischen Union bindend.

Betroffen sind dabei nicht nur die Hersteller von Medikamenten, sondern auch deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) sowie Unternehmen aus dem Bereich klinischer und präklinischer Forschung. Der von der FDA 1997 in Kraft gesetzte "21 CFR part 11, Electronic Records and Electronic Signatures, final rule" regelt den Umgang mit elektronisch erzeugten und gespeicherten Daten sowie mit elektronisch geleisteten Unterschriften verbindlich. Zusätzliche Qualitätsregelwerke wie GMP (Good Manufacturing Practice), GLP (Good Laboratory Practice) oder GCP (Good Clinical Practice) legen neben den von den Behörden FDA und EMEA formulierten Regelwerken allgemeine Validierungs-Richtlinien fest.

Die Einhaltung ergänzender Leitlinien und Qualitätsnormen (ISO) stellen zwar keine behördlichen Anforderungen dar, sind jedoch die Grundlage für Qualitätsverpflichtungen eines Anbieters gegenüber seinen Kunden.

Das bedeutet konkret, dass die IT-Systeme und -Prozesse der beteiligten Unternehmen ebenso wie die automatisierten Prozesse in Labor und Produktion FDA-compliant sein müssen. Für elektronisch erzeugte und gespeicherte Daten / elektronische Signaturen ist die 21 CFR part 11-Compliance notwendig. Dokumentation und Records Management im Mittelpunkt Die Computersysteme sind in den letzten Jahren immer mehr in die Sammlung, Prozessierung, Speicherung und Archivierung von Daten entlang der Wertschöpfungskette der Unternehmen eingebunden.

Zudem sind die IT-Systeme auch ein integraler Bestandteil von automatisierten Prozessen in Labor und Produktion. Die Bandbreite der vorhandenen Systeme ist groß: Arbeitsplatzrechner und rechnergesteuerte Instrumente sowie LIMS (Laboratory Information Management Systems) in regulierten Umgebungen, Datenarchivierung und -Speicherung bis hin zu Produktionssteuerungs- und Prozessleitsystemen. Und Billing- und Chargen-Informationen bilden die Grundlage des unternehmensweiten Controllings in der pharmazeutischen ebenso wie in der chemischen Industrie.

Allen Compliance-Themen - sei es für die pharmazeutische Industrie und deren Zulieferer (FDA, GMP etc.), die chemische Industrie entlang der gesamten Supply-Chain (REACH) oder von Finanzbehörden gefordert (SOX, GDPdU) - haben eine Verpflichtung gemeinsam: Daten und Dokumente in der IT-Infrastruktur müssen nach fest definierten Workflows sicher vor Manipulationen und nach festgelegten Kriterien langzeitarchivierbar verwaltet werden. Im Zentrum der Compliance steht also primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen.

Lösungsansatz FDA-Compliance
Es gibt Lösungen zur Erreichung eines FDA-konformen Daten- und Records Managements, die einfach, kostengünstig und schnell implementierbar sind. Diese zeichnen sich durch die problemlose Integration in die bestehende Office- Welt des Unternehmens und die Unterstützung aller Intranets, Extranets und Webanwendungen (Collaboration) aus. Backend-Systeme wie z.B. Laborgeräte, PLS, LIMS, SAP, Oracle, Daten aus Mailing-Systemen usw. lassen sich einfach einbeziehen. Für Projekte zur Erreichung einer Compliance – gleich ob FDA/GMP, REACH oder finanzgetriebene Themen – werden Projektfortschritt und -status übersichtlich in einem Management-Dashboard dargestellt, fehlende Dokumente und GAPs angezeigt.

Die Integration beliebiger Backend-Systeme sowie die Einbindung bereits vorhandener, auch heterogener Systeme ist möglich. Ebenso kann eine Compliance-Lösung auf weitere Records, künftige Regularien und andere Compliance-Bereiche erweitert werden.

Wesentliches Qualitätskriterium dabei ist die Projektdurchführung: Bei der Lösungsfindung und deren Implementierung gilt es zu beachten, dass in der Planungsphase Regelungsumfang und -inhalte sowie die Vorgehensweise unternehmensspezifisch geklärt werden. Die betroffenen Systeme müssen daraufhin inventarisiert, der erstellte Fragenkatalog samt Auswertungen abgearbeitet werden. Die Anforderungen sollten zusätzlich in Testszenarien überprüft und in einem Projektplan dargestellt sein. Bei der Umsetzung sind Risikoanalysen der einzelnen Infrastrukturbereiche unabdingbar. Die Herstellung der Compliance wird ergänzt durch die notwendigen Zertifizierungen, Mitarbeiterschulungen und ein begleitendes Qualitätsmanagement während der gesamten Projektlaufzeit.

Mit dieser Verbindung von System- und Prozessanalyse, Implementierung und Validierung lassen sich die unternehmensspezifischen Anforderungen bestimmungskonform realisieren: Risiken und Nebenwirkungen sind zum Wettbewerbsvorteil geworden.

Management Summary
Eine erfolgreiche FDA-Compliance-Lösung erfüllt die regulatorischen Anforderungen für ein audit- und revisionssicheres Daten- und Records Management, sollte zudem aber berücksichtigen:
>> schnelle und individuelle Anpassungsmöglichkeit an Unternehmens-Prozesse und -Ziele unter Compliance-Aspekten
>> Anbindung beliebiger Backend-Systeme
>> Bereitstellung von Tools und Werkzeugen für regularienkonforme Collaboration und Datenaustausch
>> modulare Erweiterungsmöglichkeit auf andere Compliance-Themen
(Alegri: ra)

* Dr. Andreas Jabs ist Senior Consultant bei der Alegri International Service GmbH. Seit vielen Jahren ist er tätig im IT-Consulting mit den Schwerpunkten Pharma und Chemie in Zusammenarbeit mit internationalen Großunternehmen.



Meldungen: Hintergrund

  • Entzug der Rechtsgrundlage

    Das vom Europäischen Gerichtshof (EuGH) gefällte Urteil "Schrems II" vom 16. Juli 2020 ist in aller Munde, da es nicht unerhebliche Auswirkungen auf denUmgang und den Schutz von Personendaten in international tätigen Unternehmen hat. Welche praktischen Folgen hat die Rechtsprechung des EuGH auf den internationalen Datentransferaber im Detail? Mit dem Urteil des Europäischen Gerichtshofes Mitte letzten Jahres wurde die als Privacy Shield bekannte Rahmenvereinbarung zwischen den USA und der EU für ungültig erklärt. Demnach dürfen personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches Schutzniveau verneint.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

  • Haftung für Behauptungen "ins Blaue hinein"

    Landauf Landab beklagen Versicherungsmakler, freie Finanzdienstleister und Bankberater, dass sie auf Vertriebsveranstaltungen von Schulungsleitern eigentlich nur positiv erscheinende Produkteigenschaften durch bunte Bilder, hübsche Flyer und nette Worte erfahren. Negative Produkteigenschaften, vor allem Risiken und Nebenwirkungen, erfährt man dort kaum. So ist es nicht verwunderlich, dass es Vertriebsleitern und -vorständen nur allzu gelegen kommt, wenn primär unkritische Finanzvermittler gesucht werden. Eine allzu gute Vorbildung könnte Skrupel bedeuten, und damit den schmerzfreien Produktverkauf behindern. Wer sich dann etwa die Mühe macht, auch noch das Kleingedruckte einmal selbst nachzulesen, wird am Ende kaum noch zum Vermitteln kommen, und nichts mehr verdienen? Denn wo der Trend zur sprichwörtlichen Blondine im Callcenter oder Vertrieb noch nicht durchgesetzt wurde, hilft Druck durch die Vertriebsführung nur beschränkt weiter.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen