Betrieb computergestützter Systeme – Implementierung und Inbetriebnahme

Anhang 11 des EU-GMP-Leitfadens formuliert spezifische Anforderungen an computergestützte Systeme, die im Rahmen der Guten Herstellungspraxis eingesetzt werden. Diese Anforderungen zielen darauf ab, die Qualität und Sicherheit hergestellter Produkte zu gewährleisten und gleichzeitig die Integrität aller prozessrelevanten Daten zu schützen. Darüber hinaus gewinnen allgemeine IT-Sicherheitsstandards, wie ISO 27001 und die Richtlinien des National Institute of Standards and Technology (NIST), zunehmend an Bedeutung. Diese Normen bieten ein strukturiertes Rahmenwerk für die Identifizierung, Bewertung und das Management von Risiken, die mit dem Betrieb computergestützter Systeme verbunden sind.

Abbildung 1 gibt einen Überblick über die wesentlichen Prozesselemente im Betrieb computergestützter Systeme. Die Darstellung soll aufzeigen, wie die Anforderungen des Anhangs 11 des EU-GMP-Leitfadens zusammen mit den Richtlinien des ISPE GAMP®5 2nd Edition in der Praxis umgesetzt werden können und welche Maßnahmen zur Erfüllung der IT-Sicherheitsstandards erforderlich sind.

Abbildung 1    Übersicht zum Betrieb computergestützter Systeme

Übergabe an den Betrieb: Implementierung und Inbetriebnahme

Die Implementierung und anschließende Inbetriebnahme computergestützter Systeme (siehe auch Abbildung 1) erfordern sorgfältige Planung und kontinuierliche Überwachung, um die Integrität, Sicherheit und Verfügbarkeit der Systeme zu gewährleisten. Die wesentlichen Aspekte der Implementierung und solche die vor einer Inbetriebnahme abgeschlossen sein müssen sind im Folgenden dargestellt.

Die Implementierung computergestützter Systeme umfasst mehrere Schritte, um sicherzustellen, dass die Systeme den Anforderungen entsprechen und betriebsbereit sind. Im Hinblick auf den Betrieb sollten bereits während der Implementierung im Projekt Maßnahmen zur Vorbereitung des Systembetriebs eingeplant werden.

• Planung, Spezifikation und Risikobewertung: Vor der Implementierung müssen die Anforderungen detailliert spezifiziert und dokumentiert werden. Dies umfasst funktionale und nicht-funktionale Anforderungen, Sicherheitsanforderungen sowie regulatorische Vorgaben gemäß des EU-GMP-Leitfadens. Eine kontinuierliche Risikobewertung bezogen auf die Anforderungen sollte in der Planung berücksichtig werden. Das zukünftige Supportteam sollte in die Planung einbezogen werden, um Anforderungen und Risiken für den Systembetrieb frühzeitig zu kommunizieren.
• Systemauswahl und -entwicklung: Basierend auf den Spezifikationen wird das geeignete System ausgewählt oder entwickelt. Dabei ist es wichtig einen qualifizierten Softwarehersteller und Dienstleister auszuwählen. Ebenso muss auf die Kompatibilität der im regulierten Unternehmen eingesetzten Infrastruktur (Hardware und Software) geachtet werden (Qualifizierung der Infrastruktur). Für den Systembetrieb sollte während der Systemauswahl die aktuelle Infrastruktur und vorhanden Systeme und Monitoring Dienste auf Kompatibilität geprüft werden und Änderungen bei Bedarf in die Planung der Implementierung aufgenommen werden.
• Installation und Konfiguration: Die Installation der Hardware und Software erfolgt gemäß den Herstelleranweisungen und den internen Richtlinien. Die Konfiguration (Baseline-Konfiguration) muss sorgfältig dokumentiert werden, um eine konsistente und nachvollziehbare Systemumgebung zu gewährleisten. Neben der technischen Umsetzung ist es für das Supportteam von Bedeutung auch die fachlichen Anforderungen im Kontext der Konfiguration einzuordnen. Daher sollten Mitglieder des Supportteams auch Teil des Projektteams sein.
• System- und Akzeptanztest: Vor der Inbetriebnahme müssen umfassende System- und Akzeptanztest abgearbeitet werden. Dieses schließt Funktionstests, Leistungstests, Sicherheitstests und die Validierung der Anforderungen gemäß Anhang 11 ein. Alle Testergebnisse und Validierungsdokumente sollten sorgfältig archiviert werden. Das Supportteam kann in der Test- und Validierungsphase bereits Aufgaben zur Einrichtung von Testbenutzern und Testvorbereitungen übernehmen. Auch kann das Supportteam funktionale Tests unterstützen und somit die Validierung unterstützen.
• Dokumentation: Die Dokumentation muss gemäß den regulatorischen Anforderungen aufbewahrt werden. Dies stellt sicher, dass bei Audits oder Inspektionen alle relevanten Informationen verfügbar sind. Die Dokumentation sollte vor Veränderungen geschützt, jedoch für alle am Betrieb Beteiligten zugänglich sein. Auffälligkeiten und Änderungen im Betrieb müssen dokumentiert werden. Das Supportteam muss Zugriff auf alle relevanten Dokumente der Validierung haben. Insbesondere zu Auffälligkeiten während der Projektphase und zum Rollout muss das Supportteam in Kenntnis gesetzt werden.
• Personalschulung und Verantwortlichkeiten: Die Anforderungen an die Schulung des Personals sowie die Festlegung klarer Verantwortlichkeiten für den Betrieb und die Wartung der Systeme müssen bereits während der Implementierung computergestützter Systeme geregelt werden. Ein Schulungskonzept sollte im Rahmen der Validierung erarbeitet werden und das Personal vor Inbetriebnahmen geschult werden.
• Bereits in der Projektphase sind die Prozesse für den Systembetrieb zu entwickeln und bei Updates sowie Änderungen zu prüfen und entsprechend anzupassen. Es ist von entscheidender Bedeutung, dass zur Übergabe an den Betrieb die wesentlichen Prozesse dokumentiert vorliegen und diese in der anschließenden Hypercare-Phase durch das Projektteam und den Lieferanten weiter optimiert werden.

Die Inbetriebnahme sollte geplant erfolgen. Wie bei allen Themen erfolgen die Maßnahmen zur Inbetriebnahme nach einem risikobasierten Ansatz und sind somit im Einzelfall zu bewerten.