Revision des EU GMP Leitfaden Annex 11 "Computerised Systems" - Vorstellung des Concept-Papers

Seit 2011 ist der aktuelle EU GMP Leitfaden Annex 11 "Computergestützte Systeme" in Kraft. Schon länger wird diskutiert, diesen Annex zu überarbeiten um aktuellen technologischen und regulatorischen Entwicklungen gerecht zu werden. Am 16. November 2022 veröffentlichte die EMA (European Medicines Agency) dazu ein 5-seitiges "Concept-Paper on the revision of Annex 11 of the guidelines on Good Manufacturing Practice for medicinal products - Computerised Systems". Die Kommentierung dieses Concept-Papers kann bis zum 16. Januar 2023 erfolgen.

Kooperation mit anderen Organisationen

Schon der bisherige Annex 11 wurde inhaltsgleich von der PIC/S (Pharmaceutical Co-Operation Scheme) mit seinen mehr als 50 weltweit verteilten Mitgliedern als PE 009-15: Annex 11 - Computerised Systems übernommen. Diese Zusammenarbeit wird auch bei der Revision des Annex 11 fortgesetzt.

Vorgeschlagene Zeitplan bis zur Veröffentlichung des neuen EU GMP Annex 11

• Frist zur Kommentierung des Concept-Papers: 16. November 2023.
• Veröffentlichung und Kommentierung eines Entwurfs zum neuen Annex 11: März 2025.
• Freigabe und Veröffentlichung durch die Europäische Kommission: Sommer 2026.

Wo besteht Änderungs- und Anpassungsbedarf?

In 33 Punkten, angelehnt an die Struktur und die Kapitel des bestehenden Annex 11, werden neu aufzunehmende Punkte und zu aktualisierende Themen vorgestellt. Welche Themen sollen in den neue Annex 11aufgenommen werden:

• Der EMA (European Medicines Agency) Fragenkatalog zu Annex 11 und Datenintegrität soll ersetzt werden.
• Anforderungen für 'data in motion' und 'data at rest'.
• Regulatorische Anforderungen zu aktuellen Themen wie "Digitale Transformation".
• Regulatorische Anforderungen an KI (Künstliche Intelligenz) und "machine learning" mit speziellem Fokus auf den in diesen Modellen  verwendeten Daten.
• Abgleich mit der FDA Computer Software Assurance Guidance for Industry (CSA).

Wo besteht Anpassungsbedarf in welchen Annex 11 Kapiteln? (Auswahl)

• (3) Suppliers and Service Providers: Hier soll insbesondere auf das Thema Cloud Service Provider eingegangen werden. Der regulierte Nutzer sollte Zugang zur Validierungsdokumentation und der Dokumentation für den sicheren Betrieb des Systems haben und diese auch bei Inspektionen zeigen können.
• (4) Validation: Hier soll das Thema "Agile Methoden" integriert werden in Hinblick auf Abweichungen von bisherigen klassischen Entwicklungsdokumenten.
• (9) Audit Trails: Zu diesem Punkt werden die meisten neuen Themen genannt. Bislang ein sehr kurzes Kapitel dürfte dieses Thema im neuen Annex 11 deutlich umfassender beschrieben werden. Welche Punkte sollen u.a. angepackt werden:
         - Audit Trails dürfen nicht editierbar sein
         - Audit Trails dürfen für den "normalen Nutzer" eines Systems nicht abschaltbar sein.
         - Über die Häufigkeit von Audit Trail Reviews sollen Aussagen getroffen werden.
         - Audit Trail-Daten als GMP-Vorgaben werden häufig zusammen mit Log-Daten erstellt. Hier soll die Möglichkeit bestehen, diese Daten zu sortieren.
• (12) (Security): Dieses Thema soll verstärkt auch unter dem Aspekt der externen Bedrohung integriert werden. Genannt wird hier dezidiert die ISO 27001 (Information technology - Security techniques - Information security management systems - Requirements). Bislang im Annex 11 werden "Physical and/or logical controls..." verlangt. Hier sollen die Kontrollen detaillierter beschrieben werden.

Bewertung

Dass der aktuelle Annex 11 teilweise von der technologischen und regulatorischen Entwicklung überholt ist und entsprechender Anpassungsbedarf besteht, ist klar. Wie detailliert letztlich die Ausführung in einem ersten Entwurf ausfallen, muss man abwarten. Je detaillierter und kleinteiliger die Vorgaben, desto weniger flexibel bleibt die Umsetzung.