Startseite / Fachartikel / Datenintegrität – war da noch was?

Datenintegrität – war da noch was?

Datenintegrität ist im Fokus der Behörden.
Datenintegrität ist im Fokus der Behörden.

Seit den jüngsten Veröffentlichungen mehrerer Warning Letters (1) betreffend  Themen der Datenintegrität ist diese gerade für die FDA wieder intensiv in den Fokus bei Inspektionen gerückt. Dieser Artikel beschreibt Hintergründe und praktische Erfahrungen damit.

 

Die Ausgangssituation
Datenintegrität ist natürlich keine neue Forderung der Regularien. Bereits im 21 CFR Part 11, im Jahre 1997 veröffentlicht, wird gefordert „…to ensure the authenticity, integrity, and, when appropriate, the confidentiality of electronic records, and to ensure that the signer cannot readily repudiate the signed record as not genuine” (2), detaillierter ist dies ausgeführt im Guidance Dokument „Scope and Applications“ (3).

Das EU GMP Kap 4 fordert Datenintegrität in Bezug auf Dokumentation (4).

Gemeinsam mit Patientensicherheit und Produktqualität bildet die Datenintegrität die zentrale Zielsetzung für den risikobasierten Validierungsansatz im EU GMP Annex 11 (5) und des GAMP 5® (6).

Alleine von Januar 2014 bis Januar 2016  gab es 71 Warning Letters der FDA mit Findings zu Themen der Datenintegrität (7). Dabei handelte es sich teilweise um eklatante Versäumnisse  aber auch um absichtliche Manipulationen.

Zu den Top Findings zählten zum Beispiel nicht dokumentierte Abweichungen, Rückdatierung von Dokumenten, keine zeitnahen Aufzeichnungen, „testing into compliance“, Vernichtung von Originaldaten.

 

Praktisches Vorgehen
Die Forderung nach Datenintegrität ist nicht auf elektronische Daten beschränkt. Überall wo (GxP)-relevante Daten erzeugt, gespeichert, elektronisch oder manuell übertragen und ausgewertet werden kann die Datenintegrität gefährdet sein.

 

Die Prinzipien für die Sicherstellung von Datenintegrität wurden im griffigen Kürzel ALCOA bzw. ALCOA+ (siehe Tabelle) zusammengefasst (8). Dieses kann für die Praxis nur ein Anfangspunkt sein. Erst durch die genaue  prozessorientierte Betrachtung der tatsächlichen Arbeitsweise ist man in der Lage, konkrete Gefährdungen der Datenintegrität aufzudecken.

Dabei ist auf Details zu achten:

  • Wie verlässlich sind manuelle Aufzeichnungen und Übertragungen?
  • Könnten Daten unbemerkt verändert oder gelöscht werden?
  • Ist das Berechtigungskonzept für die computerisierten Systeme noch aktuell, sicher und passt zur Organisation?
  • Ist eine eventuell vorhandene Audit Trail Funktionalität in Betrieb?

 

Speziell die Verwaltung von Rohdaten in Labor, Produktion und anderen Bereichen erfordert oft auch ein Überdenken des Speicherkonzeptes. Bisweilen finden sich gewachsene Strukturen, welche mit der Zeit für die Datenintegrität potentiell risikobehaftete Schwachstellen aufweisen (z.B. ungesicherte Zwischenspeicherung von Rohdaten).

  • Könnten papierbasierte Aufzeichnungen bzw. Dokumente unbemerkt ausgetauscht werden?
  • Könnte die Datenaufzeichnung unvollständig sein?

Dabei sollte auch die Möglichkeit absichtlicher Manipulationen mit in die Betrachtung einbezogen werden:

  • Könnten OOS-Ergebnisse einfach aussortiert werden, d.h. ohne Untersuchung?
  • Könnten Messungen einfach wiederholt werden?
  • Wenn ja, wäre das zumindest im Audit Trail erkennbar?

 

Ein Audit Trail wird generell als wichtiges Mittel angesehen, um eventuell unbefugte Aktionen und Unregelmäßigkeiten an einem computerisierten System zu erkennen.

Die speziellen Anforderungen an den Audit Trail sind im 21 CFR Part 11 dargelegt. Mit Hilfe eines Audit Trail Reviews, gefordert im EU GMP Annex 11, kann der Nachweis der Authentizität, z.B. ergänzend zur Chargenprüfung, erbracht werden.

 

Im Prinzip wird dabei die Betrachtung risikobasiert auf GxP kritische Datenobjekte der Audit Trail-Aufzeichnungen fokussiert. In der praktischen Umsetzung zeigen sich dabei oft Herausforderungen, wenn die gemeinsame Auswertung verschiedener Audit-Trail Aufzeichnungen aufgrund von unterschiedlichen Datenstrukturen und proprietären Dateiformaten erschwert wird.

Neben diesen rein technischen Erwägungen und Hilfsmitteln liegt ein wesentlicher Erfolgsfaktor in der Einstellung des Menschen selbst. Nähere Untersuchungen (9) zeigten, wie sich durch Faktoren wie Firmenkultur, Zeit- und Leistungsdruck Nachlässigkeiten und Fehler einschleichen können, die sich dann negativ auf die Datenintegrität auswirken. Entscheidend ist es, im Unternehmen durchgängig ein Bewusstsein für ethisches Verhalten, die Aufrechterhaltung von Qualität und ihrer Gefährdung fest zu verankern.

 

Es lohnt sich, die eigene Arbeitsweise unter dem Blickwinkel der Datenintegrität zu hinterfragen, sei es um die eigene Prozesssicherheit zu optimieren oder auch nur für die nächste Inspektion vorbereitet zu sein. Beugen Sie möglichen Fallstricken vor und nutzen Sie die Erfahrungen der Business Designer.

 
Dr. Peter Schober|Senior Consultant Efficient IT|The Business Designers

Kommentare

Zu diesem Artikel gibt es keine Kommentare

Chemgineering Holding AG | Binningerstrasse 2 | 4142 Münchenstein | T +41 61 467 54 00 | F +41 61 467 54 01 | www.chemgineering.com | info@chemgineering.com