Block 2
ERES / 21 CFR Part 11: Elektronische Aufzeichnungen
- Was sind elektronische Aufzeichnungen?
- 21 CFR Part 11 und der FDA Guidance for Industry „Scope and Applications“
- Welche Systeme fallen unter Part 11; welche nicht?
- Predicate Rules – was ist damit gemeint?
- Problemfeld Hybridsysteme
- Audit Trail
- Archivierung / Zugangsschutz
- Offene Systeme
ÜBUNGEN
Einstufung von Systemen aus Labor und Produktion hinsichtlich ihrer Part 11 Relevanz - Anwendung des Entscheidungsbaums der FDA aus „Scope and Application“.
ERES / 21 CFR Part 11: Elektronische Unterschriften
- Anforderungen bei Nutzung elektronischer Unterschriften
- Systemarten zur Erstellung einer elektronischen Unterschrift (Biometrie, Smartcards)
- Umsetzung der Part 11 Anforderungen durch technische und organisatorische Maßnahmen
- Vorgehensweise zur Erreichung der Part 11-Konformität
Audit Trail Review
- Anforderungen an den Audit Trail
- Integration in die Systemvalidierung
- Welche Audit Trails müssen überprüft werden und durch wen?
- Dokumentation des Reviews
KURZ-WORKSHOP / FALLSTUDIE
Teilnehmer bewerten Audit Trails für mehrere Systeme in QK/QS und Produktion.
Datenintegrität
- ALCOA-Ansatz
- Neue Richtlinien
- Elemente eines Data Integrity Compliance Programms
- Daten-Lebenszyklus
Besonderheiten der IT-Infrastruktur im Rahmen der Validierung computergestützter Systeme
- Qualitätsmanagement im Infrastruktur-Bereich
- Standards und Prozesse
- Risikoanalyse
- Qualifizierung der Infrastruktur als Basis der CSV
System- und Datensicherheit aus Inspektorensicht
- Datenintegrität / System- und Datensicherheit
- Benutzermanagement / Passwortkonzepte
- Audit Trail
IT Security und deren Auswirkung auf die Validierung
- IT Sicherheit als kritischer Beitrag zur Validierung und Grundpfeiler für Compliance
- Rechtliche und regulatorische Anforderungen an die IT Sicherheit
- IT Sicherheitsrisiken und deren Bewertung
- IT Sicherheitsmaßnahmen / Security Controls
- Die Bedeutung kontinuierlicher Verbesserungen
Patch Management aus Sicht der IT-Security und der Qualitätssicherung
- Was sind Patches? / Welche Gefahren gehen davon aus? / Umgang mit Patches
- Patch Management in der betrieblichen Praxis
- Risikobewertung von Patches
- Praxisbeispiel CVSS
- Patch Management bei Virtualisierung
Praktische Umsetzung der IT Security aus Sicht der Qualitätssicherung im pharmazeutischen Unternehmen
- Bewertung der firmeninternen Sicherheitsstandards
- Offshoring – Onshoring – Nearshoring
- Kategorisierung von Daten
- Personenbezogene Daten
- Vertrauliche Informationen
- Forced disclosure
- Erfahrungen aus Inspektionen
Validierung einer Cloud Applikation (SaaS)
- Wer ist zuständig – Service Provider oder Pharmazeutischer Unternehmer?
- Welche Optionen für die Validierung bestehen?
- Problemfelder
- Vorgehen bei der Validierung auf Basis der Auditergebnisse
Lieferantenbewertung und Outsourcing aus Inspektorensicht
- Regulatorische Anforderungen
- Inspektion der Lieferantenbewertung
- Auswahl des Dienstleistungsunternehmens
- Verträge
Lieferantenbewertung - Lieferantenaudit
- Welche Firmen sollten auditiert werden?
- Risikobasierter Auditansatz
- Bewertung / Audit / Assessment
- Rating der Findings / Auditbericht
- Abweichungen und Mängel beim Lieferanten
WORKSHOP / FALLSTUDIE: LIEFERANTENBEWERTUNG - LIEFERANTENAUDITIERUNG
Im Rahmen des Workshops werden Kriterien für die Planung, Durchführung und Bewertung von Audits erarbeitet.
Change Control / Periodic Evaluation / Back-up und Archivierung aus Inspektorensicht
- EU-GMP / PIC/S PI 011
- ISO / IEC 27002
- Back-up und Archivierung
Change Control bei der Validierung computergestützter Systeme
- Änderungskategorien (Projekt vs. Betrieb)
- Abgrenzung Änderung / Abweichung
- Organisatorische Einbindung in das Qualitätssystem
- Ablauf und Verantwortlichkeiten
Maßnahmen zur Aufrechterhaltung des validierten Zustands aus Industriesicht
- Übergabe an den Betrieb
- Behandlung von Fehlern und Patchen während des Betriebs
- Periodic Review
- Datenarchivierung / Datenmigration / Außerbetriebnahme (Stilllegung)
Besonderheiten von Automatisierungssystemen (z.B. PLS) im Rahmen der Validierung computergestützter Systeme
- Validierung der Steuerung im Rahmen der Anlagenqualifizierung oder als eigenes Projekt?
- Vom Konzept zum Parametrieren, Konfigurieren und Programmieren
- SPSen im Rahmen der GAMP-Kategorien
- Prozessleitsysteme und deren Validierung
Behördeninspektionen von computergestützten Systemen - Findings und Abweichungen
- Vorgehensweise bei Inspektionen
- Bedeutung der Validierung computergestützter Systeme im Rahmen von Behördenaudits
- Top Ten der Beanstandungen
- Was erwartet der Inspektor vom inspizierten Unternehmen
Regulatorische Grundlagen
- AMWHV und Computervalidierung
- Regulatorische Forderungen durch Annex 11
- PIC/S PI 011
Computer-Validierungs-Lebenszyklus
- GAMP 4 / GAMP 5 Second Edition
- V-Modell / Spoon-Modell
- GAMP-Kategorien und deren Bedeutung für den Validierungsaufwand
- Skalierbarkeit
- Lieferantenbeteiligung
Computer-Validierungs-Lebenszyklus aus Inspektorensicht
- Validierungskonzepte aus Sicht eines Inspektors
- Validierungs-Masterplan / Validierungsplan
- Anforderungen (URS), Risikomanagement und Testen
- als integrales Element der Validierung
- Rückverfolgbarkeit von Anforderungen
Einordnung von Systemen in die GAMP-Kategorien - Beispiele
Anforderungen und Lebenszyklus
- Grundsätzliches zu Anforderungen
- Benutzeranforderungen (URS)
- Funktionale Spezifikationen (FS)
- Problematische Anforderungen
Leitfaden zur Erarbeitung von Anforderungen und Spezifikationen
- Anforderungsfallen vermeiden
- Qualitätsmerkmale von Anforderungen
- Anforderungsmanagement
- Umfang und Detaillierungsgrad – Gefahr der „Überdetaillierung“
- Traceability von Anforderungen
Risikomanagement praktisch anhand des GAMP 5 Lifecycle inkl. Übungen
- Warum Risikomanagement und was versteht man darunter
- Risikobasierte Lifecycle-Aktivitäten:
Praxis der Risikoanalyse
- Tipps und Tricks zur praktischen Durchführung
- Erfahrungen aus der Risikoanalyse Praxis
- Vorstellung konkreter, durchgeführter Risikoanalysen für GxP-relevante Systeme
- Vor- und Nachteile der gewählten Methodik
- Vermeidbare Schwachstellen und Fehler
Regulatorische Anforderungen an Tests
Anforderungen internationaler GxP-Richtlinien
Inspektionspraxis und Erwartungshaltung der Behörden
Effiziente Umsetzung der Vorgaben
Nutzen von Tests/Aufbau einer Testorganisation
- Aufwand / Nutzen von Tests
- Gestaltung einer schlanken und effizienten
- Testorganisation
- Notwendige Rollen und Verantwortlichkeiten
Risikoanalyse als Basis für optimales Testen
- Optimale Einbindung in Testaktivitäten
- Einfluss auf Testinhalte
Praxisbeispiel: Regressionstests im ERP-Umfeld
- Projektplanung / Meilensteine / Teamstruktur
- Auswahlmethode für Testfälle
- Aufbau der Dokumentation / Personalaufwand
Behördenkonforme Testdokumentation
- Strukturierung
- Notwendiger Detaillierungsgrad / Erforderliche
- Unterschriften
- Benötigte Arbeitsanweisungen
- Beispiel