Systembeschreibung im Rahmen von GMP-Inspektionen
Seminarempfehlung
21./22. Januar 2025
mit umfangreicher Dokumentation eines realisierten Projekts
Klaus Feuerhelm, ehemaliger GMP-Inspektor beim Regierungspräsidium Tübingen, hat eine TOP 3-Liste der Mängel von 2020 bei computergestützten Systemen erstellt. An Stelle 2 stehen Mängel bei Systembeschreibungen.
Was ist die regulatorische Basis?
(EU-GMP Annex 11 - 4.3): "Für kritische Systeme sollte eine aktuelle Systembeschreibung vorliegen, welche die technische und logische Anordnung, den Datenfluss sowie Schnittstellen zu anderen Systemen oder Prozessen, sämtliche Hard- und Softwarevoraussetzungen und die Sicherheitsmaßnahmen detailliert wiedergibt."
Der Hinweis auf die kritischen Systeme engt hier auf den ersten Blick die Auswahl etwas ein. Hier stellt sich das Problem "Welche GMP-Systeme sind nicht kritisch?". Es wird schwerfallen, GMP-Systeme als unkritisch zu bewerten. Aber es gibt natürlich Systeme, die kritischer als andere sind. Daher sollte man diese Vorgabe so interpretieren, dass wir in der Regel eine Systembeschreibung benötigen. Man kann hier sogar so weit gehen, dass die Systembeschreibung ein eigenes Dokument sein muss und nicht an anderer Stelle (z.B. Validierungsplan) integriert werden kann. Das ergibt sich allein schon durch die Forderung, dass die Systembeschreibung aktuell zu halten ist. Es sei noch angemerkt, dass in der AMWHV Hinweise zu finden sind, welche Systeme kritisch sind: AMWHV § 2 Begriffsbestimmungen - Im Sinne dieser Verordnung
19. sind kritische Ausrüstungsgegenstände oder Geräte solche, die mit den Produkten in Berührung kommen oder einen anderen Einfluss auf die Qualität oder Sicherheit der Produkte haben können.
Der erste Mangel wäre also, dass die Systembeschreibung als solche nicht vorhanden ist, was in der Tat nicht selten vorkommt.
Weitere Mängel ergeben sich dann aus dem Inhalt, der möglicherweise nicht den Anforderungen nach EU-GMP Annex 11 entspricht, dort aber klar benannt wird.
Die Inhalte der Systembeschreibung laut Annex 11:
- Technische und logische Anordnung der Systeme
- Datenfluss
- Schnittstellen zu anderen Systemen
- Schnittstellen zu anderen Prozessen
- Sämtliche Hard- und Softwarevoraussetzungen
- Sicherheitsmaßnahmen
Systembeschreibung in Inspektionen
Bei Inspektionen hat es sich immer wieder gezeigt, dass einzelne Punkte nicht genannt und beschrieben worden sind. Nicht selten fehlt hier eine ausführliche Beschreibung der Sicherheitsmaßnahmen. Was wäre hier wichtig?
- Definierte Verantwortlichkeiten für die Systemsicherheit.
- Benutzermanagement einschließlich Rollenkonzept
- Physische und logische Sicherheit
- Vergabe von Benutzerrechten und Verantwortlichkeiten entspricht der Organisationsstruktur
- Passwortkonzepte
- Schulung der User (Sicherheitskonzepte)
- Verschlüsselung
- Virenschutzkonzept
- u.a.
In diesem Zusammenhang kann unter Umständen auch auf einzelne SOPs verwiesen werden. Dabei kann es auch hilfreich sein, andere Regelwerke oder Guidelines zu Rate zu ziehen, die auch Hinweise zur Systembeschreibung enthalten. Zu nennen wären dafür die GAMP 5 ® Richtlinie und PIC/S PI 011. Beide Guidelines sind jedoch in dieser Beziehung nicht aktuell, da sie sich auf den alten Annex 11 (Version 1992) beziehen, wobei alter Annex 11 und aktueller Annex 11 (Version 2011) hier nicht so sehr voneinander abweichen:
EU-GMP Annex 11 (alt):
"Eine ausführliche Beschreibung des Systems sollte erstellt (gegebenenfalls mit Diagrammen) und ständig aktualisiert werden. Diese Beschreibung sollte Grundsätze, Zielsetzungen, Sicherheitsmaßnahmen und Einsatzbereich des Systems umfassen und aufzeigen, wie der Computer eingesetzt wird, und ob Wechselbeziehungen mit anderen Systemen und Verfahren bestehen."
EU-GMP Annex 11 -4.4 (aktuell):
"Für kritische Systeme sollte eine aktuelle Systembeschreibung vorliegen, welche die technische und logische Anordnung, den Datenfluss sowie Schnittstellen zu anderen Systemen oder Prozessen, sämtliche Hard- und Softwarevoraussetzungen und die Sicherheitsmaßnahmen detailliert wiedergibt.
Die alte Version nennt hier noch explizit die Einsatzbereiche, was eigentlich selbstverständlich dazu gehört.
Sehen wir uns einmal den Hinweis in PIC/S PI 011 zur Systembeschreibung an:
PIC/S PI 011
"10.4 The regulated user should be able to provide documentation describing the computer system(s) to include logic flow or block diagrams where practical, also giving an indication of hardware layout, networks and interaction. These basic schematics should align with the functional specification and be traceable to the URS."
Hier ist die Vorgabe des alten Annex 11 herauszulesen. Interessant aber der letzte Satz: "These basic schematics should align with the functional specification and be traceable to the URS." Hier bekommen wir einen Hinweis, wann die Systembeschreibung zu erstellen ist, nämlich unmittelbar nach der DQ.
Vergleichen wir zum Schluss noch die Inhalte von Annex 11 und GAMP 5 ® zur Systembeschreibung. Dabei ist zu berücksichtigen, dass die Hinweise in GAMP 5® noch auf dem alten Annex 11 beruhen:
Interessant ist der letzte Punkt (Elektronische Aufzeichnungen und Unterschriften); dies taucht so im Annex 11 nicht auf, was aber durchaus Sinn macht.