Sie sind hier: Home » Fachartikel » Hintergrund

Bestimmungen der FDA und EMEA erfüllen


FDA- und EMEA-Compliance: Im Zentrum der Compliance steht primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen
Betroffen sind Hersteller von Medikamenten sowie deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) und Unternehmen aus dem Bereich klinischer und präklinischer Forschung

FDA-Compliance
FDA-Compliance Einhaltung von Leitlinien, Bild: Alegri

Von Dr. Andreas Jabs*

(19.11.07) - Pharmahersteller, deren Zulieferbetriebe, Biotechnologie-Firmen und Unternehmen aus dem Bereich klinischer und präklinischer Forschung unterliegen immer strengeren Vorschriften und Richtlinien, ohne deren Einhaltung die internationale Wettbewerbsfähigkeit der Unternehmen akut gefährdet ist: FDA, SOX, GMP, GLP, GCP, REACH, EMEA, GDPdU – immer mehr Compliance-Themen kommen auf die betroffenen Firmen auf dem US-amerikanischen und europäischen Markt zu und stellen hohe Anforderungen an die Validierung der IT-Systeme und -Prozesse. Wie können die Unternehmen diese Regelwerke und die damit verbundenen Risiken aber als Chance begreifen? Wie wird man zügig und kostengünstig compliant?

Was FDA-Compliance für Unternehmen bedeutet
Für die Zulassung pharmazeutischer Produkte auf dem amerikanischen Markt sind die strengen Bestimmungen der FDA (Food and Drug Administration) zu erfüllen. Daher müssen alle Systeme, die an der Produktion pharmazeutischer Produkte für die USA beteiligt sind, validiert und FDA-compliant sein. In Europa erteilt oder entzieht die EMEA (European Medicinal Evaluation Agency) die Zulassung für Arzneimittel oder gentechnisch hergestellte Präparate. Die Entscheidungen der EMEA sind für alle Mitgliedsstaaten der Europäischen Union bindend.

Betroffen sind dabei nicht nur die Hersteller von Medikamenten, sondern auch deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) sowie Unternehmen aus dem Bereich klinischer und präklinischer Forschung. Der von der FDA 1997 in Kraft gesetzte "21 CFR part 11, Electronic Records and Electronic Signatures, final rule" regelt den Umgang mit elektronisch erzeugten und gespeicherten Daten sowie mit elektronisch geleisteten Unterschriften verbindlich. Zusätzliche Qualitätsregelwerke wie GMP (Good Manufacturing Practice), GLP (Good Laboratory Practice) oder GCP (Good Clinical Practice) legen neben den von den Behörden FDA und EMEA formulierten Regelwerken allgemeine Validierungs-Richtlinien fest.

Die Einhaltung ergänzender Leitlinien und Qualitätsnormen (ISO) stellen zwar keine behördlichen Anforderungen dar, sind jedoch die Grundlage für Qualitätsverpflichtungen eines Anbieters gegenüber seinen Kunden.

Das bedeutet konkret, dass die IT-Systeme und -Prozesse der beteiligten Unternehmen ebenso wie die automatisierten Prozesse in Labor und Produktion FDA-compliant sein müssen. Für elektronisch erzeugte und gespeicherte Daten / elektronische Signaturen ist die 21 CFR part 11-Compliance notwendig. Dokumentation und Records Management im Mittelpunkt Die Computersysteme sind in den letzten Jahren immer mehr in die Sammlung, Prozessierung, Speicherung und Archivierung von Daten entlang der Wertschöpfungskette der Unternehmen eingebunden.

Zudem sind die IT-Systeme auch ein integraler Bestandteil von automatisierten Prozessen in Labor und Produktion. Die Bandbreite der vorhandenen Systeme ist groß: Arbeitsplatzrechner und rechnergesteuerte Instrumente sowie LIMS (Laboratory Information Management Systems) in regulierten Umgebungen, Datenarchivierung und -Speicherung bis hin zu Produktionssteuerungs- und Prozessleitsystemen. Und Billing- und Chargen-Informationen bilden die Grundlage des unternehmensweiten Controllings in der pharmazeutischen ebenso wie in der chemischen Industrie.

Allen Compliance-Themen - sei es für die pharmazeutische Industrie und deren Zulieferer (FDA, GMP etc.), die chemische Industrie entlang der gesamten Supply-Chain (REACH) oder von Finanzbehörden gefordert (SOX, GDPdU) - haben eine Verpflichtung gemeinsam: Daten und Dokumente in der IT-Infrastruktur müssen nach fest definierten Workflows sicher vor Manipulationen und nach festgelegten Kriterien langzeitarchivierbar verwaltet werden. Im Zentrum der Compliance steht also primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen.

Lösungsansatz FDA-Compliance
Es gibt Lösungen zur Erreichung eines FDA-konformen Daten- und Records Managements, die einfach, kostengünstig und schnell implementierbar sind. Diese zeichnen sich durch die problemlose Integration in die bestehende Office- Welt des Unternehmens und die Unterstützung aller Intranets, Extranets und Webanwendungen (Collaboration) aus. Backend-Systeme wie z.B. Laborgeräte, PLS, LIMS, SAP, Oracle, Daten aus Mailing-Systemen usw. lassen sich einfach einbeziehen. Für Projekte zur Erreichung einer Compliance – gleich ob FDA/GMP, REACH oder finanzgetriebene Themen – werden Projektfortschritt und -status übersichtlich in einem Management-Dashboard dargestellt, fehlende Dokumente und GAPs angezeigt.

Die Integration beliebiger Backend-Systeme sowie die Einbindung bereits vorhandener, auch heterogener Systeme ist möglich. Ebenso kann eine Compliance-Lösung auf weitere Records, künftige Regularien und andere Compliance-Bereiche erweitert werden.

Wesentliches Qualitätskriterium dabei ist die Projektdurchführung: Bei der Lösungsfindung und deren Implementierung gilt es zu beachten, dass in der Planungsphase Regelungsumfang und -inhalte sowie die Vorgehensweise unternehmensspezifisch geklärt werden. Die betroffenen Systeme müssen daraufhin inventarisiert, der erstellte Fragenkatalog samt Auswertungen abgearbeitet werden. Die Anforderungen sollten zusätzlich in Testszenarien überprüft und in einem Projektplan dargestellt sein. Bei der Umsetzung sind Risikoanalysen der einzelnen Infrastrukturbereiche unabdingbar. Die Herstellung der Compliance wird ergänzt durch die notwendigen Zertifizierungen, Mitarbeiterschulungen und ein begleitendes Qualitätsmanagement während der gesamten Projektlaufzeit.

Mit dieser Verbindung von System- und Prozessanalyse, Implementierung und Validierung lassen sich die unternehmensspezifischen Anforderungen bestimmungskonform realisieren: Risiken und Nebenwirkungen sind zum Wettbewerbsvorteil geworden.

Management Summary
Eine erfolgreiche FDA-Compliance-Lösung erfüllt die regulatorischen Anforderungen für ein audit- und revisionssicheres Daten- und Records Management, sollte zudem aber berücksichtigen:
>> schnelle und individuelle Anpassungsmöglichkeit an Unternehmens-Prozesse und -Ziele unter Compliance-Aspekten
>> Anbindung beliebiger Backend-Systeme
>> Bereitstellung von Tools und Werkzeugen für regularienkonforme Collaboration und Datenaustausch
>> modulare Erweiterungsmöglichkeit auf andere Compliance-Themen
(Alegri: ra)

* Dr. Andreas Jabs ist Senior Consultant bei der Alegri International Service GmbH. Seit vielen Jahren ist er tätig im IT-Consulting mit den Schwerpunkten Pharma und Chemie in Zusammenarbeit mit internationalen Großunternehmen.



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Controlling und Compliance PCI-Compliance: Bei Nichtbeachtung droht Bußgeld

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen