• gmp-publishing.com
  • Login GMP-Datenbanken
  • Warenkorb
GMP-Newsletter: LOGFILE

Lesen Sie GMP-News und informative Beiträge zum Thema GMP in unserem kostenlosen GMP-Newsletter "LOGFILE".

 

>>> Mehr Infos & Anmeldung

PDE-Gutachten
Seit 1. Juni 2016 müssen für alle Human- und Tierarzneimittel, die in Mehrzweckanlagen hergestellt werden PDE-Werte für enthaltene Wirkstoffe ermittelt werden.

Image

Wir liefern zur Zeit PDE-Gutachten für über 1500 Wirkstoffe!

Sie erhalten Ihr Gutachten:
...gemäß EMA-Richtlinie
...auf Englisch
...ausgestellt auf Ihr Unternehmen
...erstellt durch europ. Toxikologen

>>> Mehr erfahren
GMP-Risikoanalysen

Image

Standardvorlagen für Räume und Ausrüstung im pharmazeutischen Umfeld

Einfach, schnell und günstig zur Risikoanalyse

>>> Jetzt informieren: GMP-Risikoanalysen

GMP LOGFILE: Leitartikel

17.10.2017

LOGFILE Nr. 39/2017 – Datenlebenszyklus

Der Datenlebenszyklus

Auszug aus dem GMP-Fachwissen Datenintegrität im Pharmaunternehmen

Lesezeit 5 min.

von David Stokes

 

Es ist praktisch unmöglich, Risiken in Bezug auf die Datenintegrität zu vermindern, ohne diese Risiken genau zu kennen. Risiken können sowohl aufgrund von technischen Unzulänglichkeiten oder Fehlern als auch aufgrund von vorsätzlichem Betrug oder menschlichem Versagen entstehen. Um diese Risiken erfolgreich vermindern zu können, muss man den Datenlebenszyklus verstehen, die Risiken bewerten und wirksame Kontrollen einführen.

Ein genaues Verständnis des Datenlebenszyklus ist der Schlüssel zum Verständnis dieser Prinzipien. Die folgenden Abschnitte gehen auf verschiedene Schritte innerhalb des Datenlebenszyklus und die Risiken, die es zu minimieren gilt, ein. Risiken können generell durch Folgendes verringert werden:

  • Verminderung der Risikoeintrittswahrscheinlichkeit. Dies lässt sich normalerweise mittels Standard Operating Procedures“ (Standardarbeitsanweisungen, SOP), Anwenderschulungen und anhand sicherer Designlösungen erreichen.
  • Eine verbesserte Risikoerkennung mithilfe von Audit-Trails und Protokolldateien oder mittels proaktiver Methoden zur Erkennung von betrügerischen Verhaltensweisen oder verdächtiger Daten.

Es gilt, die Tatsache zu akzeptieren, dass meist der Mensch Ursache für einen Mangel an Vertrauenswürdigkeit ist. Anderseits benötigt derselbe Mensch oftmals Zugriff auf das System. Die Risikowahrscheinlichkeit kann durch Schulungen, die Entwicklung von obligatorischen, prüfbaren Prozessen und Verfahren und durch Sanktionierung von betrügerischen Individuen verringert werden.
Zu wenige Firmen zeigen den Willen, mit Disziplinarmaßnahmen gegen Mitarbeiter vorzugehen, die nachweislich betrogen haben. In einigen Fällen war es so, dass die Geschäftsleitung mitschuldig (oder sogar die treibende Kraft) war.
Im Zuge der Bewertung der Datenintegritätsrisiken innerhalb des Datenlebenszyklus sollten regulierte Unternehmen alle Faktoren berücksichtigen, die eine Motivation für Betrug darstellen könnten.

Wie wahrscheinlich ist Folgendes?

  • Bediener begehen Betrug, um Probleme in der Herstellung oder beim Testprozess zu verbergen.
  • Bediener betrügen, um eigene Fehler zu verbergen oder ihre Arbeitsbelastung zu reduzieren.
  • Bediener begehen Betrug, weil sie entweder nicht die Zeit oder die Werkzeuge haben, Daten korrekt aufzuzeichnen (das ist ein Managementfehler).
  • Bediener begehen auf Anweisung der Geschäftsleitung Betrug.

Alle diese Faktoren müssen bei der Einschätzung der Risikowahrscheinlichkeit berücksichtigt werden: von den möglichen Ursachen bis hin zu den sich daraus ergebenden Risikoszenarien.
Datenintegrität (Informationssicherheit) sollte Bestandteil der Anforderungen für jede Software und jedes System sein. Die Risikowahrscheinlichkeit in Bezug auf die Datenintegrität kann signifikant gemindert werden, falls Risiken bereits während des Entwicklungsprozesses erkannt und eingedämmt werden.
Dies sollte nicht nur von den Entwicklern von Ausrüstung, Software und Systemen vermehrt ernst genommen werden, sondern auch von den regulierten Unternehmen selbst, sofern sie für die Entwicklung der eigenen „Software-Tools“ (Tabellen sind immer noch am beliebtesten), für die Implementierung von grundlegenden Informationstechnologien (z. B. Datenspeicherung im Netzwerk) oder die Integration von Schnittstellensystemen verantwortlich zeichnen.
Audit-Trails (Prüfpfade) und Protokolldateien können bei Untersuchungen zu verdächtigen Aktivitäten hilfreich sein. Wegen des großen Volumens der Audit-Trails und Protokolldateien ist deren regelmäßige Überprüfung normalerweise auf regulatorische Aufzeichnungen beschränkt; so sollten z. B. etwaige Änderungen von Daten in elektronischen Chargenprotokollen von einer zweiten Person geprüft werden. Die Überprüfung von Audit-Trails und Protokolldateien ist wirklich nur dann sinnvoll, falls es Zweifel an der Datenintegrität gibt, und eine solche Überprüfung dabei helfen kann, herauszufinden, was genau passiert ist.
Wohingegen es früher schwierig war, Audit-Trail-Daten zu überprüfen, gibt es heute neue Tools und Techniken, mit denen man Text und Zahlendaten suchen, filtern, vergleichen oder visualisieren kann. Das erleichtert es, ungewöhnliche Muster oder Ausreißer zu entdecken. Die Anwendung „forensischer“ Tools sollte bei großen Herstellern von Pharmazeutika oder Medizinprodukten zum Standardrepertoire gehören. Kleinere Unternehmen sollten einen Spezialisten zurate ziehen.
Es gibt weitere bewährte Techniken, die Alarm schlagen, falls nicht autorisierte Benutzer versuchen, Daten zu verändern oder zu löschen. Sind solche Tools vorhanden, sollten sie eingeschaltet sein, um die Entdeckungswahrscheinlichkeit potenzieller Datenintegritätsrisiken zu erhöhen. Während es verständlich ist, dass Benutzer gelegentlich auf das falsche Verzeichnis oder die falsche Datei klicken, erfordert ein Muster oder das wiederholte Zugreifen eines nicht autorisierten Benutzers eine Untersuchung, insbesondere, falls ein begründeter Betrugsverdacht vorliegt.

Es gibt ebenso bewährte Techniken, die potenziell betrügerische Daten erkennen können. Beispielsweise dann, wenn eine Datenanalyse Folgendes ergibt:

  • Die Daten weisen ein Muster auf, das darauf hindeutet, dass die Daten aus früheren Datensätzen kopiert worden sind.
  • „Fingierte“, von Bedienern eingegebene Daten zeigen eine leichte aber nachweisbare Abweichung gegenüber erwartbaren, „pseudozufälligen“ Daten (z. B. eine natürliche Variation innerhalb eines erwartbaren zulässigen Bereichs). Das kommt daher, dass Menschen normalerweise schlecht darin sind, zufällige Daten zu fingieren.

Diese Techniken werden in zunehmendem Maße von einigen Zulassungsbehörden eingesetzt, um Betrug aufzudecken. Freilich können regulierte Unternehmen solche Techniken selbst anwenden. Auch können Software- und Systementwickler solche Tools und Techniken in ihre Software einbauen.
Die unten aufgezeigte Datenmodellierungstechnik stellt selbstverständlich nicht den einzigen Weg dar, den Datenlebenszyklus zu bestimmen. Organisationen können ihre eigenen Modelle und eigene Software definieren, und Software- und Produktentwickler können (oder sollten) sich Datenmodellierungsstandards beim Softwaredesign und in der Systementwicklung zunutze machen. Zugleich sind die identifizierten Risiken möglicherweise nicht vollständig. Die Risikoanalyse muss ggf. ausgedehnt werden auf zusätzliche, spezifische Risiken, die aufgrund der eingesetzten Technik oder menschlicher Interaktion mit Daten entstehen.
Wie unten gezeigt, kann die Fähigkeit, die Datenmodellierung (unabhängig vom benutzten Modell) mit genau bekannten Risikomanagementtechniken zu verbinden, ein enormer Vorteil beim Sicherstellen der Datenintegrität und bei der Betrugsbekämpfung sein.
Während in der Gemeinde der Softwareentwickler bereits bestimmte DatenmodellierungstechnikenVerwendung finden, ist dieses spezielle Modell (wie im ursprünglichen „Modellierungsschlüssel” definiert) sehr gut für die regulierte Life-Sciences-Industrie geeignet. Es hat folgende Vorteile:

  • Es kann dazu verwendet werden, klar zwischen einzelnen und multiplen Datenelementen zu unterscheiden (werden multiple Datenelemente modelliert, sollten diese klar definiert sein).
  • Es kann dazu benutzt werden, Daten und Metadaten zu unterscheiden.
  • Es kann zwischen temporärer und permanenter Datenhaltung („Daten während der Übertragung“ vs. „Daten im Ruhezustand”) unterscheiden und damit helfen, spezifische Risiken zu identifizieren.
  • Es kann zwischen Daten und elektronischen Datensätzen unterscheiden. Dies ist wichtig, um herauszufinden, ob obligatorische (aber oftmals komplexere und teurere) Kontrollen elektronischer Datensätze durchzuführen sind.

Dieser Text ist ein Auszug aus dem GMP-Fachwissen Datenintegrität im Pharmaunternehmen

Image

Die Integrität von Daten steht immer häufiger im Fokus von Inspektionen und Audits. Denn die Datenintegrität ist die Grundlage für die Glaubwürdigkeit von Dokumenten und Aufzeichnungen. Sie rechtfertigt das Vertrauen in die Beteiligten bei der Herstellung von Arzneimitteln. Dabei treten Probleme nicht nur bei digitalen Daten, sondern auch vielfach bei papierbasierten Dokumentationen auf. Wie Sie Fehler in diesem Bereich vermeiden können, zeigen internationale Autoren in diesem Buch auf. Der Schwerpunkt liegt dabei auf den Aspekten der Qualitätssysteme.

Aus dem Inhalt:

  • Geschichte der Datenintegrität
  • Managementstrategien für die Datenintegrität
  • Risiken und Schadensbegrenzung im Lebenszyklus
  • Eingliederung der Datenintegrität in das Qualitätssystem
  • Big Data
  • Reproduzierbarkeit von Daten und Datenqualität


LOGFILE-39-Datenlebenszyklus.pdf


Autor:

David Stokes
Direktor und leitender Berater
Convalido Consulting

Kommentare
Es wurden bisher noch keine Kommentare zu dieser News geschrieben
 
 
Unsere News-Redaktion empfiehlt
GMP-BERATER Online Personenlizenz
Datenintegrität bei computergestützten Systemen
Papierbasierte und elektronische Dokumentation im Pharmaunternehmen