Warning Letters zur Datenintegrität: Was erwartet die FDA von Third Party Auditoren und Beratern?

Unter den Warning Letters des Fiskaljahres 2014 befinden sich einige, in denen gravierende Mängel beim Umgang mit elektronischen Daten (z.B. Datenmanipulation) aufgeführt sind. Typischerweise ist in diesen Warning Letters folgendes zu lesen:

• Your firm failed to ensure that laboratory records included complete data derived from all tests necessary to assure compliance with established specifications and standards (21 CFR 211.194(a)).
• Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records (21 CFR 211.68(b)).
• Your firm frequently performs “unofficial testing” of samples, disregards the results, and reports results from additional tests.
• The inspection revealed your firm’s use of scratch paper containing critical manufacturing data. The data on these scratch paper records did not always match the data on the corresponding official batch records...

Diese Zitate stammen aus 4 Warning Letters, die alle an indische Pharmabetriebe addressiert waren (Als Beispiel finden Sie hier einen Warning Letter vom Februar 2014). Die im Rahmen der Inspektionen aufgedeckten GMP-Verstöße in Bezug auf elektronische Daten sind derart elementar, dass die FDA den betroffenen Firmen dringend empfiehlt, zeitweise einen Third Party Auditor hinzuzuziehen, der zunächst ein gründliches GMP-Audit durchführen und dann die Firma darin unterstützen soll, die Defizite insbesondere im Bereich Datenintegrität zu beseitigen. Der Berater soll Experte auf diesem Gebiet sein.

In den erwähnten Warning Letters definiert nun die FDA, welche Leistungen der Consultant zu erbringen hat ("Your data integrity expert should..." ). Diese Forderungen gleichen sich in den 4 Warning Letters weitgehend und bestehen aus folgenden Maßnahmen:

• Lückenlose Erfassung aller Zeiträume, in denen in unkorrekter Weise elektronische Daten aufgezeichnet und dokumentiert wurden.
• Identifizierung und Befragung aller Angestellten, die vor oder während dieser Zeiträume oder kurz danach am Standort beschäftigt waren. Dabei sollen Aktivitäten im Zusammenhang mit Systemen, Verfahrensweisen und dem Verhalten des Managements aufgedeckt werden, die zu GMP-Verstößen im Umgang mit elektronischen Daten beigetragen oder diese verursacht haben.
• Entsprechend sollen auch die Angestellten in die Befragung einbezogen werden, die vor, während oder nach diesen Zeiträumen die Firma verlassen haben.
• Nach zusätzlichen unterstützenden Hinweisen auf nicht GMP-gerechten Umgang mit elektronischen Daten, soll nachgeforscht werden. Dabei ist die Verwicklung weiterer Standorte zu berücksichtigen.
• Anhand von Organigrammen und SOPs sind die in den fraglichen Zeiträumen verantwortlichen Manager zu identifizieren. Dabei ist aufzudecken, inwieweit höhere Managementebenen ("top and middle management") in die Datenmanipulation involviert waren oder davon gewusst haben.
• Es ist festzustellen, ob die so identifizierten Manager von ihrer Position her immer noch in der Lage sind, auf die Integrität GMP-relevanter Daten (auch im Hinblick auf Zulassungsanträge) Einfluss zu nehmen. Die betriebsinterne Überprüfung ist auch auf andere Standorte auszudehnen, von denen bekannt ist, dass sie in die Verstöße gegen den GMP-gerechten Umgang mit Daten verwickelt sind.

Die Aufgabe für einen Auditor, der diese Punkte bearbeiten muss, gleicht einer Detektivarbeit, die mit Sicherheit anspruchsvoll und nicht angenehm ist, da bezweifelt werden kann, dass er von der betreffenden Firma die vollste Unterstützung erhält. Sie ist jedoch im Sinne der Patientensicherheit notwendig und wird von der FDA sehr ernst genommen, vor allem bei indischen Firmen, denen die Behörde nicht zutraut, dass sie ihre Probleme mit der Datenintegrität alleine in den Griff bekommt.