Aktuelle Warning Letter der FDA zu IT-Themen - Teil 2: Fertigarzneimittel und Wirkstoffe

In einer ersten Eskalationsstufe bei im Rahmen von Inspektionen festgestellten schwerwiegenden GMP-Verstößen - bzw. bei unzureichenden Ausführungen, wie diese Verstöße abgestellt werden sollen - erlässt die FDA an die betroffenen Unternehmen einen Warning Letter. Hier werden von den betroffenen Unternehmen innerhalb von 15 Arbeitstagen konkrete Maßnahmepläne zur Abstellung dieser Verstöße gefordert. Werden diese Maßnahmenpläne seitens der Behörde als unzureichend bewertet, können weitere Eskalationsstufen folgen.

In einigen Warning Lettern von 2014 sind auch GMP-Verstöße in Bezug auf IT-Themen aufgeführt. Keiner der Warning Letter ist ausschließlich wegen Problemen mit IT erstellt worden. Zusammen genommen waren alle GMP-Verstöße in einem Unternehmen aber so schwerwiegend, dass die Behörde einen Warning Letter ausstellte. Unter diesen Verstößen waren dann auch solche im Zusammenhang mit IT.

Insgesamt befinden sich 2014 bislang in 7 Warning Lettern Themen im Zusammenhang mit IT. 4 Warning Letter gingen an Hersteller von Medizinprodukten, 2 Warning Letter gingen an Hersteller von Arzneimitteln und 1 Warning Letter ging an einen Hersteller von Wirkstoffen.

IT-relevante Warning Letter zu Fertigarzneimitteln und Wirkstoffen 

Bei IT-relevanten Warning Lettern an Hersteller von Fertigarzneimitteln wird immer auf den 21 CFR 211.68 (b) Bezug genommen "Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records "21 CFR 211.68 (b)" .

In dem Warning Letter an die Firma USV Limited wurden im Bereich mehrere Dinge kritisiert und insgesamt festgehalten, dass angemessene Vorgaben an den Gebrauch von computergestützten Systemen fehlten. Im Einzelnen wurden dabei die folgenden Punkte erwähnt:

• die derzeitigen Computernutzer waren in der Lage, Analysendaten zu löschen
• die Audit Trail Funktion an 2 Analysengeräten war deaktiviert. Es fehlten deshalb Aufzeichnungen zu den Übernahmen bzw. den Modifikationen von Labordaten
• Labormitarbeiter teilten sich Login IDs für ein HPLC-System. Für ein anderes System wurde eine Login ID von den Mitarbeitern geteilt. Der Benutzername und das Password für das Windows-Betriebssystem einer GC-Workstation wurden geteilt und es wurde auch kein Mechanismus implementiert, um einen unautorisierten Zugang zu dem System zu vermeiden
• Für dieses System gab es auch keine Vorgaben zum Backup und zur Datensicherung
• Auf die Antwort der Firma, periodische Backups durchzuführen, konnte von dieser nicht nachgewissen werden, dass dies bei allen erzeugten Originaldaten geschieht
• Auch die Fragen zu den Audit Trails und den Zugangskontrollen wurden nicht oder nur unzureichend beantwortet. 

Auch in dem Warning Letter an die Firma Sun Pharmaceutical Industries wurden mehrere Dinge kritisiert:

• in dem Computer eines Gaschromatographen wurden mehrere Rohdaten-Dateien gelöscht. Die Software erlaubte dem Analysten, Daten von der Festplatte zu löschen, ohne dass über einen Audit Trail oder andere Formen der Rückverfolgbarkeit diese Löschung dokumentiert wurde
• Die Software vergibt im gleichen Ordner für die Dateien sequenzielle numerische Namen. Wurde eine Datei gelöscht ober aus dem Ordner verschoben, bekam die nächste aufgezeichnete Datei den Namen der gelöschten oder verschobenen Datei. Dies wurde als Möglichkeit der Datenmanipulation bemerkt
• Da weder Audit Trail- noch Sicherheitsfunktionalitäten vorhanden waren, konnte jeder Analyst Daten ohne Nachweis löschen. Ein für die FDA nicht akzeptable Praxis

In dem Warning Letter an den API-Hersteller Trifarma wird nicht auf entsprechende Stellen aus dem CFR referenziert.  Doch auch hier stand das Thema der unautorisierten Manipulationsmöglichkeit von Rohdaten im Labor im Mittelpunkt. Es fehlten entsprechende Vorgaben. Konkret wurden folgende Aspekte angesprochen:

• das Laborsystem hatten keine Zugangskontrolle um eine Löschung oder Fälschung von Rohdaten zu verhindern
• allen Labormitarbeitern wurden alle Rechte an den Computersystemen gewährt
• der Software des HPLC und des GC fehlte eine aktive Audit Trail Funktionalität, um Änderungen von Daten inkl. der Originalergebnisse, der Identität der Person welche die Änderungen durchführte und des Datums der Änderung festzustellen
• die Antwort, dass die Systeme jetzt eine Audit Trail Funktionalität hätten, wurde als unzureichend bewertet, weil die Beschreibung des Audit Trails bei der Bearbeitung der Daten in dem System fehlte.
• Der Hinweis in der Antwort, dass die Firma begonnen habe, elektronische Rohdaten auf einer lokalen Festplatte aufzubewahren, wurde mit dem Hinweis auf fehlende Sicherheitsmaßnahmen gegen vorzeitige Löschung der Daten bemängelt

Insgesamt liegt aktuell der Schwerpunkt der Betrachtung seitens der Behörde bei IT-Themen in der Problematik Daten- und Systemsicherheit und insbesondere in der Nachvollziehbarkeit von Änderungen mittels Audit Trails.

Quellen:

Warning Letter der FDA an USV Limited

Warning Letter der FDA an Sun Pharmaceutical Industries

Warning Letter der FDA an Trifarma

Übersicht über IT-relevante Warning Letter der FDA aus den letzten Jahren

Warning Letter Startseite der FDA