IT-Trends und cGxP-Compliance?

Big-Data, Cloud, ByoD, VM, Industrie4.0, SCRUM, WEB2.0,  – Aktuelle IT-Trends. Bringen sie den Validierungsbeauftragten ins Schwitzen?

Big-Data, Cloud, ByoD, Industrie 4.0, VM, SCRUM, WEB2.0 -- diese Technologien und Prinzipien wollen vor allem eines: die modernen IT-Infrastrukturen und Entwicklungsmethoden, die unendlichen Weiten des Internets schneller und zielsicher nutzbar machen. Aber: wie kann ein „cGxP-reguliertes“ Unternehmen das gesetzeskonform und pragmatisch gestalten?

 

Mit der New Economy Anfang dieses Jahrtausends, der einhergehenden Verbreitung von Mobile Devices und den zunehmend darauf installierten Unternehmens-Apps ist seit vielen Jahren die ehemals in sich geschlossene Unternehmens-IT geöffnet worden:

  • Manager wollen überall an ihre aufbereiteten Zahlen kommen.
  • Der Vertrieb will on-line Produkt- und Kontaktdaten, um sich im Termin über Produkt- und Qualitätsstatus sowie Verfügbarkeiten zu informieren oder Aufträge einzugeben.
  • Kunden wollen Auftragsstatus, Qualitätszeugnisse oder Produktinformationen on-line abrufen oder Fehlermeldungen und Reklamationen direkt absetzen.
  • Internet-Business und On-Line-Bezahlsysteme sind längst Routine.
  • Von überall wollen und sollen Mitarbeiter in ihrem eigenen Nutzerprofil Emails und Buchungssysteme der Unternehmen bedienen können.
  • Serviceteams rufen entfernte Service-Stellen ab oder liefern Fehler- und Status-Logs.
  • M2M – Machine-to-Machine Kommunikation steuert direkt die Service-Intervalle oder Fertigungsstufen.
  • Dazwischen schnell mal in XING, LinkedIn oder Facebook stöbern, twittern, WhatsApp oder News lesen oder beantworten, Theater-Tickets buchen u.v.a.

Diese Wünsche stellen Herausforderungen für die Unternehmens-IT im Hardware- und Softwarebereich dar, besonders aber an Sicherheit und Compliance.

 

BIG-DATA: Riesige Datenmengen werden im Unternehmen und im Internet täglich gespeichert – nicht nur von NSA & Co, sondern ganz legal und gewollt. Diese Datenberge zu analysieren und Beziehungen herzustellen, um z.B. Staus, mögliche Unfälle, Marktverhalten von Käufergruppen, Absatzmengen etc. vorherzusagen, ist eine ernstzunehmende Disziplin. Dazu muss eine Unternehmens-IT aber Datenquellen innerhalb und ausserhalb des Unternehmens anzapfen und dem Benutzer auf Endgeräten mit unterschiedlichsten Betriebssystemen und Apps aus vielen Quellen fertig aufbereitet zur Verfügung stellen. Sollten auf diesen Daten qualitätsrelevante Entscheidungen (z.B. Chargensperrungen, Rückrufe oder Freigaben) beruhen oder kritische Daten transportiert werden, dann beginnt für den „klassischen Validierer“ das Problem.

 

Cloud: Cloud-Services stellten anfangs nur Speicherkapazität zur Verfügung, damit große Datenmengen über verschiedene Zugänge erreichbar sind - ohne Cloud-Speicher und -Anwendungen kein Big-Data! Inzwischen stellen diese Dienste zunehmend auch Applikationsservices bereit. Der Nutzer mietet eine bestimmte Menge an Speicherplatz und die vereinbarten Services. Meistens weiss er aber nicht, wo die Speicher oder Applikationsserver physisch stehen. Für Business-Anwendungen sollten dazu in SLAs klare Regelungen getroffen werden, z.B. dürfen Personen-bezogene Daten in Deutschland nicht ausserhalb der EU gespeichert werden (BDSG). Bei der Nutzung von Cloud-Services gibt es also vieles neben der Sicherheit zu beachten.

 

ByoD – Bring your own Device: Smartphones und Tablet-PCs brachten ein neues Thema auf - wozu ein Gerät der Firma und eines für den privaten Gebrauch? Mitarbeiter wollen mithilfe von Mobile Devices überall auf Unternehmens- und private Daten Zugriff haben. Beispielsweise schnell mal die Tagesumsätze abrufen, eine Freigabe machen u.v.a.m. Email-Zugang ist natürlich Standard. Für die IT ergeben sich Fragen wie: welche Apps oder wie viele Betriebssystem-Varianten einsetzen? Was ist mit Sicherheit, Lizenzen, Haftungsfragen usw.? Neben der technischen Vielfalt ergeben sich Fragen im Steuerrecht (geldwerter Vorteil) falls das Gerät von der Firma gestellt wird und privat genutzt werden darf.

 

Industrie 4.0 / M2M (Machine-to-Machine): Maschinen und Laborgeräte werden seit Jahren mit Microchips oder Computern ausgestattet. So entstehen intelligente Maschinen, welche sich selbst überwachen und bei Abnutzung oder Erreichen des Service-Intervalls selbst den Service rufen. Denken Sie nur an Ihren neuen Drucker, welcher rechtzeitig meldet, dass der Toner bald aufgebraucht oder die Trommel abgenutzt ist. Intelligente Funktionen – doch wie sieht das in einem GMP-Umfeld aus, wenn Maschinen von sich aus Qualitätsmängel feststellen, entsprechend reagieren (z.B. die aktuelle Produktionscharge von sich aus sperren) und der Mensch sich darauf verlässt?

 

VM – Virtualisierung: Dass auf einem physikalischen Rechner oder Rechnerverbund mehrere Betriebssystem-Instanzen für dezidierte Applikationsumgebungen ablaufen, ist längst Stand der Technik. Lastverteilung und optimale Ausnutzung der Ressourcen waren Antreiber für diese Entwicklung. Ist das noch eine diskrete Infrastruktur-Umgebung welche gemäss einer Hardware-Spezifikation qualifiziert werden kann?

 

Agile Entwicklungsmethoden (z.B. SCRUM): Klassische Wasserfall- oder (extended) V-Modell Software-Entwicklungsmethoden erwiesen sich in diesen dynamischen Umfeldern als zu schwerfällig, weil sie ein striktes Phasenmodell mit Spezifikationsvorgaben und Testmodellen fordern. Agile Methoden wollen schneller mit kleinen, iterativen Entwicklungsschritten mit minimalen Spezifikationsphasen zum Ziel kommen. Entwickler und User sind in kleinen Gruppen in beständigem Kontakt, um sich der Zielapplikation, welche nur grob umrissen ist, zu nähern. Wie bringen wir das mit den Anforderungen einer qualitätsgesicherten, kontrollierten Software-Entwicklung nach GAMP5© zusammen?

 

WEB2.0 – Social Networking: Internet-Kommunikation mit den Zielmärkten funktioniert nicht mehr nur über statische Websites unter einer WWW-Adresse oder einfachen Webshops. Fast jede Firma im Endkundengeschäft hat eine eigene Xing-, Twitter- oder Facebook-Präsenz, Blogs oder Kommunikationsportale. Dort werden Produkt-Informationen, Service-Hinweise, Ersatzteillisten, wissenschaftliche Reports u.v.m. kommuniziert – eventuell nach speziellem Login, welcher vermitteln soll, diese Informationen sind aussagekräftig und verbindlich. Kunden dagegen äussern ihre Meinungen und Erfahrungen über Firmen und Produkte im Netz. Mitarbeiter nutzen im Firmenumfeld auch ihre privaten Accounts (speziell bei ByoD). Es gibt also auch hier Sicherheits- und rechtliche Aspekte. Vielfach ist die Firma schon heute Anbieter und Betreiber im Sinne des Telekommunikationsgesetzes; zukünftig wird das Standard sein. Was ist, wenn über die Firmeninfrastruktur plötzlich sensible Daten öffentlich werden oder verfälscht werden könnten?

 

Zwar wurde der Annex 11 des EU-GMP-Leitfadens erneuert, aber der rasanten technischen Entwicklung folgen Behördenanforderungen mit einer gewissen Trägheit und viel langsamer. D.h., dass für ein valides IT-Umfeld immer noch weitgehend dieselben Anforderungen gelten und dasselbe Handwerkszeug zur Verfügung steht wie seit Jahren. Der GAMP5©, auch schon ein paar Jahre alt, ist immer noch die methodische Grundlage zur Validierung/Qualifizierung im IT-Umfeld. Die GAMP-Organisation hat in einigen SIGs (Special Interest Groups) Vorschläge zum Umgang mit diesen Entwicklungen erarbeitet und als Best-Practice Guides veröffentlicht.

 

Die grundlegenden Anforderungen im GAMP5© bleiben für einen sicheren IT-Betrieb auch für neueste Technologien bestehen. Häufig sind es nun aber offene Systeme, für welche die Anforderungen an eindeutige Spezifikationen oder an ein Konfigurationsmanagement schwerer zu erfüllen sind. Mehr denn je müssen also die Risiken für Produkt- und Patientensicherheit in Erfüllung der regulatorischen Anforderungen betrachtet werden.

 

Die cGxP-Anforderungen stellen besondere Nachweispflichten (FDA: written evidence) an Realisierung und Betrieb eines Systems, unabhängig davon, ob eines der o.a. Systeme oder Verfahren angewendet werden soll. Diese Pflichten führen gemäss der GAMP5©-Ausführungen zur Forderung nach einer klaren Dokumentationsnachweiskette von der Anforderung bis zur getesteten Freigabe (release for intended use) und dem Änderungsmanagement über den gesamten Life-Cycle. Insbesondere Letzteres ist in den o.a. häufig nicht geschlossenen Umgebungen schwieriger zu erfüllen und erfordert eine Adaption der methodischen Ansätze im GAMP5©. Gerade die Forderung nach Dokumentation aller Validierungs-/Qualifizierungs- und Entwicklungs-/Betriebsaktivitäten ist in agilen und offenen Umgebungen dennoch durchzusetzen, um die unverzichtbaren Grundanforderungen zu erfüllen. Daher müssen adaptierte, iterative Verfahren auch hierfür entwickelt und in den entsprechenden Vorgabedokumenten (CSV-SOPs, VMPs oder VPs) verankert werden. Der GAMP5© bietet bereits Ansätze, dass auch die Nachweise iterativ im Projekt entstehen.

 

Fazit

Werden im Unternehmen Projekte für o.a. Themen geplant, dann müssen Projektmanagement, Entwicklungs-, Testverfahren und -reports, SOPs für den Betrieb, Change Control und die Dokumentationsstrukturen so angepasst werden, dass sie am Ende die Qualitätsanforderungen des QM-Systems und des für das Projekt definierten Validierungs-/Qualifizierungsplanes und der Risiko-Analyse erfüllen. Liegen in der Unternehmens-IT oder bei den Anwendern nicht genügend Erfahrungen vor, so bringen die seit vielen Jahren in IT-/Applikationsprojekten erfahrenen Chemgineering-Berater ihre Expertise gern in Ihre Projekte ein. 

 

Bei Interesse kontaktieren Sie bitte Dr. Thomas Karlewski

Chemgineering Holding AG | Binningerstrasse 2 | 4142 Münchenstein | T +41 61 467 54 00 | F +41 61 467 54 01 | www.chemgineering.com | info@chemgineering.com