Bestimmungen der FDA und EMEA erfüllen
FDA- und EMEA-Compliance: Im Zentrum der Compliance steht primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen
Betroffen sind Hersteller von Medikamenten sowie deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) und Unternehmen aus dem Bereich klinischer und präklinischer Forschung
Von Dr. Andreas Jabs*
(19.11.07) - Pharmahersteller, deren Zulieferbetriebe, Biotechnologie-Firmen und Unternehmen aus dem Bereich klinischer und präklinischer Forschung unterliegen immer strengeren Vorschriften und Richtlinien, ohne deren Einhaltung die internationale Wettbewerbsfähigkeit der Unternehmen akut gefährdet ist: FDA, SOX, GMP, GLP, GCP, REACH, EMEA, GDPdU – immer mehr Compliance-Themen kommen auf die betroffenen Firmen auf dem US-amerikanischen und europäischen Markt zu und stellen hohe Anforderungen an die Validierung der IT-Systeme und -Prozesse. Wie können die Unternehmen diese Regelwerke und die damit verbundenen Risiken aber als Chance begreifen? Wie wird man zügig und kostengünstig compliant?
Was FDA-Compliance für Unternehmen bedeutet
Für die Zulassung pharmazeutischer Produkte auf dem amerikanischen Markt sind die strengen Bestimmungen der FDA (Food and Drug Administration) zu erfüllen. Daher müssen alle Systeme, die an der Produktion pharmazeutischer Produkte für die USA beteiligt sind, validiert und FDA-compliant sein. In Europa erteilt oder entzieht die EMEA (European Medicinal Evaluation Agency) die Zulassung für Arzneimittel oder gentechnisch hergestellte Präparate. Die Entscheidungen der EMEA sind für alle Mitgliedsstaaten der Europäischen Union bindend.
Betroffen sind dabei nicht nur die Hersteller von Medikamenten, sondern auch deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) sowie Unternehmen aus dem Bereich klinischer und präklinischer Forschung. Der von der FDA 1997 in Kraft gesetzte "21 CFR part 11, Electronic Records and Electronic Signatures, final rule" regelt den Umgang mit elektronisch erzeugten und gespeicherten Daten sowie mit elektronisch geleisteten Unterschriften verbindlich. Zusätzliche Qualitätsregelwerke wie GMP (Good Manufacturing Practice), GLP (Good Laboratory Practice) oder GCP (Good Clinical Practice) legen neben den von den Behörden FDA und EMEA formulierten Regelwerken allgemeine Validierungs-Richtlinien fest.
Die Einhaltung ergänzender Leitlinien und Qualitätsnormen (ISO) stellen zwar keine behördlichen Anforderungen dar, sind jedoch die Grundlage für Qualitätsverpflichtungen eines Anbieters gegenüber seinen Kunden.
Das bedeutet konkret, dass die IT-Systeme und -Prozesse der beteiligten Unternehmen ebenso wie die automatisierten Prozesse in Labor und Produktion FDA-compliant sein müssen. Für elektronisch erzeugte und gespeicherte Daten / elektronische Signaturen ist die 21 CFR part 11-Compliance notwendig. Dokumentation und Records Management im Mittelpunkt Die Computersysteme sind in den letzten Jahren immer mehr in die Sammlung, Prozessierung, Speicherung und Archivierung von Daten entlang der Wertschöpfungskette der Unternehmen eingebunden.
Zudem sind die IT-Systeme auch ein integraler Bestandteil von automatisierten Prozessen in Labor und Produktion. Die Bandbreite der vorhandenen Systeme ist groß: Arbeitsplatzrechner und rechnergesteuerte Instrumente sowie LIMS (Laboratory Information Management Systems) in regulierten Umgebungen, Datenarchivierung und -Speicherung bis hin zu Produktionssteuerungs- und Prozessleitsystemen. Und Billing- und Chargen-Informationen bilden die Grundlage des unternehmensweiten Controllings in der pharmazeutischen ebenso wie in der chemischen Industrie.
Allen Compliance-Themen - sei es für die pharmazeutische Industrie und deren Zulieferer (FDA, GMP etc.), die chemische Industrie entlang der gesamten Supply-Chain (REACH) oder von Finanzbehörden gefordert (SOX, GDPdU) - haben eine Verpflichtung gemeinsam: Daten und Dokumente in der IT-Infrastruktur müssen nach fest definierten Workflows sicher vor Manipulationen und nach festgelegten Kriterien langzeitarchivierbar verwaltet werden. Im Zentrum der Compliance steht also primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen.
Lösungsansatz FDA-Compliance
Es gibt Lösungen zur Erreichung eines FDA-konformen Daten- und Records Managements, die einfach, kostengünstig und schnell implementierbar sind. Diese zeichnen sich durch die problemlose Integration in die bestehende Office- Welt des Unternehmens und die Unterstützung aller Intranets, Extranets und Webanwendungen (Collaboration) aus. Backend-Systeme wie z.B. Laborgeräte, PLS, LIMS, SAP, Oracle, Daten aus Mailing-Systemen usw. lassen sich einfach einbeziehen. Für Projekte zur Erreichung einer Compliance – gleich ob FDA/GMP, REACH oder finanzgetriebene Themen – werden Projektfortschritt und -status übersichtlich in einem Management-Dashboard dargestellt, fehlende Dokumente und GAPs angezeigt.
Die Integration beliebiger Backend-Systeme sowie die Einbindung bereits vorhandener, auch heterogener Systeme ist möglich. Ebenso kann eine Compliance-Lösung auf weitere Records, künftige Regularien und andere Compliance-Bereiche erweitert werden.
Wesentliches Qualitätskriterium dabei ist die Projektdurchführung: Bei der Lösungsfindung und deren Implementierung gilt es zu beachten, dass in der Planungsphase Regelungsumfang und -inhalte sowie die Vorgehensweise unternehmensspezifisch geklärt werden. Die betroffenen Systeme müssen daraufhin inventarisiert, der erstellte Fragenkatalog samt Auswertungen abgearbeitet werden. Die Anforderungen sollten zusätzlich in Testszenarien überprüft und in einem Projektplan dargestellt sein. Bei der Umsetzung sind Risikoanalysen der einzelnen Infrastrukturbereiche unabdingbar. Die Herstellung der Compliance wird ergänzt durch die notwendigen Zertifizierungen, Mitarbeiterschulungen und ein begleitendes Qualitätsmanagement während der gesamten Projektlaufzeit.
Mit dieser Verbindung von System- und Prozessanalyse, Implementierung und Validierung lassen sich die unternehmensspezifischen Anforderungen bestimmungskonform realisieren: Risiken und Nebenwirkungen sind zum Wettbewerbsvorteil geworden.
Management Summary
Eine erfolgreiche FDA-Compliance-Lösung erfüllt die regulatorischen Anforderungen für ein audit- und revisionssicheres Daten- und Records Management, sollte zudem aber berücksichtigen:
>> schnelle und individuelle Anpassungsmöglichkeit an Unternehmens-Prozesse und -Ziele unter Compliance-Aspekten
>> Anbindung beliebiger Backend-Systeme
>> Bereitstellung von Tools und Werkzeugen für regularienkonforme Collaboration und Datenaustausch
>> modulare Erweiterungsmöglichkeit auf andere Compliance-Themen
(Alegri: ra)
* Dr. Andreas Jabs ist Senior Consultant bei der Alegri International Service GmbH. Seit vielen Jahren ist er tätig im IT-Consulting mit den Schwerpunkten Pharma und Chemie in Zusammenarbeit mit internationalen Großunternehmen.