Fragen und Antworten zum EU-GMP-Leitfaden Annex 11 "Computerised Systems"; Kapitel 3
Ab dem 30. Juni 2011 müssen die Vorgaben des EU-GMP-Leitfaden Annex 11 "Computerised Systems" von der Industrie umgesetzt sein. Im Rahmen der am 8./9. Juni 2011 in Mannheim stattgefundenen Computervalidierungs-Konferenz wurden von Inspektoren und Industrievertretern Fragen zu den 17 Kapitel des Annex 11 beantwortet. Nachfolgend finden Sie die Fragen und Antworten von Klaus Eichmüller, Regierungspräsidium München, und Dr. Jörg Schwamberger, Merck KGaA, zum Kapitel 3 "Lieferanten und Dienstleister". Die Fragen und Antworten zu den Kapiteln 4-17 finden Sie in den Juli-, Oktober- und Januar-Ausgaben des GMP-Journals.
3. Lieferanten und Dienstleister
3.1 Werden Dritte (z.B. Lieferanten, Dienstleister) herangezogen, um z.B. ein computergestütztes System bereitzustellen, zu installieren, konfigurieren, integrieren, validieren, warten (z.B. Fernwartung), modifizieren oder zu erhalten, Daten zu verarbeiten oder im Zusammenhang stehende Serviceleistungen zu erbringen, müssen formale Vereinbarungen abgeschlossen sein, in denen die Verantwortlichkeiten des Dritten eindeutig beschrieben sind. IT-Abteilungen sollten analog zu Dritten behandelt werden.
3.2 Kompetenz und Zuverlässigkeit des Lieferanten sind Schlüsselfaktoren bei der Auswahl eines Produktes oder eines Dienstleisters. Die Notwendigkeit eines Audits sollte auf einer Risikobewertung basieren.
3.3 Die bei kommerziell erhältlichen Standardprodukten bereitgestellte Dokumentation sollte durch Nutzer im regulierten Umfeld dahingehend überprüft werden, ob die Benutzeranforderungen erfüllt sind.
3.4 Die Informationen zum Qualitätssystem und zu Audits, die Lieferanten oder Entwickler von Software und verwendeten Systemen betreffen, sollten Inspektoren auf Nachfrage zur Verfügung gestellt werden.
Frage 1: Warum wollen Inspektoren die Auditberichte von Lieferanten einsehen; widerspricht das nicht Geheimhaltungsabkommen mit den Lieferanten?
Antwort: Ohne die Möglichkeit zur Einsichtnahme in die Aktivitäten zur Lieferantenqualifizierung können Inspektoren u.U. nicht ausreichend beurteilen, ob die entsprechende Sorgfalt angewandt wurde. Geheimhaltungsvereinbarungen sind grundsätzlich rechtlich niedriger einzuordnen als die entsprechende Rechtsvorschrift, dennoch wird empfohlen die Geheimhaltungsvereinbarungen entsprechend anzupassen. Im Übrigen sind Inspektoren von Amts wegen zur Geheimhaltung verpflichtet.
Frage 2: Auf welche Punkte sollten aus Sicht der Inspektoren bei Lieferantenbewertungen geachtet werden?
Antwort: Bei der Lieferantenbewertung ist grundsätzlich darauf zu achten, dass bewertet wird, ob der Lieferant für die ihm zu übertragenden Aufgaben geeignet ist und dafür die Verantwortung übernehmen kann.
Frage 3: Gibt es Anforderungen an die Auditierung von Unterlieferanten?
Antwort: Unterlieferanten (= Zulieferer, Subunternehmer) müssen dann nicht vom Auftraggeber separat auditiert werden, wenn sichergestellt ist, dass der Hauptlieferant Regelungen zur Sicherstellung der Qualität seiner Zulieferer definiert hat und diese nachweislich - und dokumentiert überprüft - angewendet werden. Die Bewertung des Auftraggebers sollte dabei die Fähigkeit des Lieferanten zur seinerseitigen Lieferantenbewertung einschließen.
Frage 4: Welche Anforderungen an User requirements werden bei COTS (Commercial Off-The Shelf) Produkten gestellt?
Antwort: Sofern COTS-Produkte für GMP-regulierte Aufgaben eingesetzt werden, ist deren Eignung im Rahmen einer Validierung entsprechend nachzuweisen. Die Benutzeranforderung sollte dabei den vorgesehenen Einsatzzweck im Betrieb definieren.
Frage 5: Welche formalen Anforderungen bestehen für die Auswahl eines Lieferanten? Ist die Auswahl zu dokumentieren und zu begründen?
Antwort: Die Auswahl eines Lieferanten ist zu dokumentieren und seine Eignung anhand der Erfüllung der Vorgaben der Benutzeranforderung darzulegen.
Frage 6: Muss der externe Lieferant/Interne IT ein eigenes QMS haben? Wenn ja, welchen Anforderungen muss dieses QMS genügen?
Antwort: Wenn sichergestellt wird, dass der externe Lieferant/die interne IT gemäß den Regelungen des Kunden arbeitet, so benötigt der externe Lieferant kein eigenes QMS. Es wird empfohlen dies u.U. vertraglich zu regeln und u.a. durch entsprechende Schulungen zu belegen. Andernfalls muss der Lieferant nachweislich ein für seine Tätigkeiten geeignetes eigenes QMS unterhalten.
Zusammengestellt von:
Dr. Andreas Mangel
Literatur:
EU-GMP-Leitfaden Annex 11
EU-GMP-Leitfaden Annex 11 - deutsche Übersetzung
EMA Q+A zu Annex 11