Datenintegrität im Regelwerk | Reinhard Schnettler und Dr. Thomas Menne teilen ihre Expertise

Die Regulierung der Datenintegrität und Computer Systemvalidierung wird im Arzneimittelgesetz und der AMBV in Deutschland und im EU GMP-Leitfaden für den Pharmabereich behandelt. Die ZLG, Zentralstelle der Länder für Gesundheit und Arbeitsschutz, erteilt die Vorgaben für Deutschland. In den USA gilt der Code of Federal Regulations, Teil 21, der auch auf die Arzneimittelproduktion eingeht, sowie den Part 11 für elektronische Signaturen. Die Part-11-Compliance ist ein wichtiger Begriff, jedoch muss auch die Compliance zum EU-GMP-Anhang 11 beachtet werden.

Die 15. Podcast Folge des GMPodcasts greift die Regelwerke der Datenintegrität in der pharmazeutischen Industrie auf. Im Gespräch zwischen Dr. Thomas Menne (TM), Biologe mit Erfahrung in verschiedenen Positionen in der Herstellung, Qualitätskontrolle und Qualitätssicherung, und Reinhard Schnettler (RS), Apotheker und Gründer von PTS Training Service, erfahren Sie die neusten Updates.

Reinhard Schnettler: Herzlich Willkommen zum GMPodcast zum Thema Datenintegrität und Regelwerke. Wir sind hier im PTS-Studio in Arnsberg und heute ist unser Gast Thomas Menne.

Thomas Menne: Herzlich willkommen auch von mir. Mein Name ist Thomas Menne. Ich bin von Haus aus Biologe. Ich arbeite jetzt bei der Charles River in Erkrath und in Köln. Ich bin dort in der Abteilung Computer Systemvalidation tätig. Ich bin verantwortlich dafür, dass Systeme entsprechend valide sind in ihrer Erbringung von Daten, aber auch in der Funktionalität und später natürlich auch über den gesamten Computer Lifecycle, eben auch über „Change-Management“ bis hin zu dem „Commissioning“. Ich habe vorher in verschiedenen großen, kleinen oder mittleren Biotech-Unternehmen gearbeitet und habe in verschiedenen Positionen gearbeitet: in der Herstellung, der Qualitätskontrolle oder der Qualitätssicherung.

RS: Interessante Karriere Thomas. Es wird ja schon von englischen Fachausdrücken gesprochen. Das haben wir schon gemerkt und wir wollen heute in dieser Folge zum Thema Datenintegrität uns beschäftigen mit den Regelwerken. Also, wo kommt das Ganze her? Regulatorische Rahmenbedingungen nennen es ja auch viele. Wir fangen jetzt mal bei uns in unserem Land an, nämlich konkret in Deutschland. Und was sind denn die Regelwerke oder die Regelungen in Deutschland zu diesem Thema Datenintegrität, Computer System Validierung? 

TM: Wir haben in Deutschland die Umsetzung im Arzneimittelgesetz und der AMBV, die Verordnung zur Durchführung arzneimittelrechtlicher Vorschriften, wo natürlich auch Anforderungen an die Datenhaltung, die Datenintegrität und natürlich auch zeitliche Vorgaben gegeben werden und auch Verantwortlichkeiten festgelegt werden. Da wir ein föderales System sind, haben wir natürlich auch von der ZLG, der Zentralstelle der Länder für Gesundheit und Arbeitsschutz, Vorgaben. Es gibt die sogenannten „eight memoras“, die sich noch durchaus mit Computer-Validierung, natürlich auch mit Qualifizierung und Validierung von Prozessen oder Geräten auseinandersetzen. Darüber hinaus haben wir natürlich auch noch Industriestandards, aber da komme ich später darauf zu sprechen, wenn wir auf die internationalen Bereiche zu sprechen kommen.

RS: Also, Deutschland hat viele Regeln, auch sehr spezielle Regelungen, nämlich über die ZLG. Die Zentralstelle der Länder für Gesundheitsschutz bei Zahn- und Medizinprodukten. Das ist ein kompliziertes Wort, aber die haben ein Dokument herausgebracht, was eben zu diesem Thema ein so genanntes Votum ist und auch zum Beispiel zu verschiedenen Fragestellungen dazu und ist eine sehr, sehr interessante Zusammenstellung an Regelwerken. Die entsprechende Homepage heißt www.zlg.de.

Deutschland hatten wir gerade, jetzt kommen wir zur EU. Was gibt es denn für Regelwerke bezüglich Datenintegrität oder zum Thema Computer-System-Validierung, Thomas?

TM: Im Arzneimittelbereich haben wir den EU GMP-Leitfaden. Der Leitfaden teilt sich in mehrere Kapitel auf mit sogenannten Annexes oder Anhängen dazu. Für uns maßgeblich ist natürlich der Anhang 11 für computergestützte Systeme. Dieser befasst sich im Wesentlichen mit der Validierung und Qualifizierung von Infrastrukturen oder computergestützten Systemen. Darüber hinaus geht es darum, wie Daten gehalten werden und wie sie periodisch auf Integrität getestet werden und natürlich auch valide in einem Zustand erhalten werden.

Darüber hinaus gibt es verschiedene Kapitel für die Dokumentationspraxis, die Herstellung und die Qualitätskontrolle, die auch einzelne Aspekte regeln.

RS: Der EU-GMP-Leitfaden ist das wichtigste Regelwerk für den Pharmabereich mit den verschiedensten Anhängen. Der Leitfaden gliedert sich in Teile 1 bis 4. Wenn wir nun über den Teich hinweg auf die USA blicken, was haben wir denn da Thomas?

TM: Da haben wir den CFR, den Code of Federal Regulations. Hier geht es darum, dass es verschiedene Teile gibt, z. B. Teil 21, der sich mit Arzneimittel beschäftigt. Dazu gehört dann auch der Part 11, der sich um Dinge wie auditorische elektronische Signaturen kümmert. Hier ist das Stichwort Part-11-Compliance sehr hoch, wobei wir nicht vergessen dürfen, dass auch die Compliance zum EU-GMP-Anhang 11 immer noch aufrechterhalten werden muss und zum Teil andere Nuancen und Aspekte darstellt.

RS: Das waren dann die Regelwerke gesetzlicher Art. Die Industrie und die Hersteller von Computergestützten Systemen haben sich da bestimmt auch eigene Vorstellungen gemacht, was man da an Regelungen machen könnte. Könntest du jetzt diese Industriesicht auch noch vorstellen?

TM: Das stimmt, die Industrievertreter haben sich auch gefragt, wie sie die vom Regulator geforderten Dinge in der täglichen Praxis umsetzen können. International hat man die ISPE oder PDA. Hier geht es darum, dass diese auch eigene Guidance-Dokumente erstellt haben, wie zum Beispiel Computer-Systeme, die über den gesamten Lebenszyklus geprüft, in der Eignung erhalten und später archiviert werden können. Es gibt natürlich auch praktische Tricks, wie man Datenflussdiagramme herstellen kann, wie man die Daten entsprechend bewertet und die Datensicherheit gewährleistet. Es gibt auch Hinweise zur Datenintegrität von Records, also wie gut man Records oder sogenannte Nachweis-Dokumente erstellen und festhalten kann. Ist meine Unternehmung eigentlich in der Lage und auch reif genug, die ganzen Prinzipien der Datenhaltung und Datenintegrität aufrechtzuerhalten?

RS: Das Wichtigste scheint ja die ISPE zu sein, also eine Vereinigung von Pharma-Ingenieuren, welche den GAMP-Leitfaden herausgebracht haben. Kannst du kurz erklären, wie sich der GAMP-Leitfaden zusammensetzt?

TM: Für uns ist eben der GAMP5 ganz wichtig, dieser behandelt eben das, was ich schon sagte: Letztendlich die Validierung, aber auch natürlich die Inbetriebnahme. In der Inbetriebnahme Phase auch Änderungskontrollen oder eben, wenn ich zum Beispiel auch später in der Ruhephase gebe, wie ich Daten dann überführen und dann eben entsprechend auch nachweisen kann. Da kommen natürlich noch andere Aspekte hinzu, wie Auditierung und Validierung, Qualifizierung. Das sind Punkte, die am Rande sind. Das heißt zum Beispiel: Ist mein Software-Hersteller vertraubar? Ein sehr wichtiger Aspekt des GAMP5 ist allerdings auch die Kategorisierung, dass ich Hardware und Software in verschiedene Kategorien packe und nach Kritikalität natürlich dann auch entsprechend validieren oder zum Teil auch nur qualifizieren muss.

RS: Ja, wunderbar. So haben wir kurz auch diesen Leitfaden, Industrie-Leitfaden besprochen. Es ist also ein unverbindliches Regelwerk an sich, aber hat ganz große Relevanz in der Industrie und vor allem in der Pharmaindustrie und bei Zulieferern von dieser. Vielleicht noch ein Aspekt: Du bist ja beim Unternehmen beschäftigt, das ja Auftragsforschung betreibt. Und da gibt es ja einen eigenen Regelungsbereich, das ist ja die Gute Laborpraxis. Also die Regelwerke für Auftragsforschungsinstitute, die pharmakologisch-toxikologische Prüfungen durchführen. Was gibt es denn da für Regelungen?

TM: Gut, da haben wir natürlich auch wie immer europäische oder eben US-amerikanische, wie natürlich auch deutsche Gesetzgebung. Bei uns ist das, das Chemikaliengesetz. Ich bleibe jetzt mal in Europa, da ist die OECD, die letztendlich den GLP-Leitfaden veröffentlicht. Und darin sind natürlich kleinere, sozusagen, Unter-Teilbereiche, die sich zum Beispiel mit der Datenintegrität beschäftigen. Ist sehr gut lesbar, für eine Regulare, muss man sagen. Ich kann also hier auch nur auf die OECD-Seite verweisen. Und dann bitte da auch nach entweder „Data Integrity“ oder „Datenintegrität“ suchen. Da findet man natürlich auch Hinweise für die Archivierung von Papierdokumenten wie auch von elektronischen Dokumenten. Wirklich lesenswert.

RS: Das kann ich nur bestätigen, der Bereich der GLP hat auf viele sehr lesbare Dokumente, ja, oft auch, klar geschrieben, auch wenn man das so nicht sagen darf. Ja, aber das ist ein Spezialbereich. Gilt für Auftragsforschungsinstitute, die zum Beispiel eben pharmakologisch-toxikologisch oder ökotoxikologisch oder sonstige Prüfungen machen. Aber da, wo du beschäftigt bist, werden ja auch solche Prüfungen durchgeführt. Gut, jetzt haben wir den ganzen Strauß der Regelwerke, glaube ich, betrachtet. Ich weiß, wir haben noch etwas vergessen. Was würdest du sagen, Thomas?

TM: Gut, vergessen haben wir natürlich immer etwas. Es gibt natürlich noch viele andere Bereiche. Wir haben auch noch die britische Arzneibehörde, die im Hinblick auf Datenintegrität eigene Guides herausbringt. Aber ich würde auf eine einschlägige Google-Suche verweisen. Dabei findet man auch sehr gute kostenlose Elemente, wobei man sagen muss, dass die Guidance der ISPE oder PDA natürlich kostenpflichtig sind, aber dafür sind sie auch sehr gut.

RS: Die ISPE-Dokumente sind wirklich sehr umfangreich, oft mehrere hundert Seiten und enthalten umfangreiche Checklisten. Manche erschrecken sich beim Lesen auch angesichts des Umfangs. Aber es sind auf jeden Fall sehr hilfreiche Dokumente, um sich mit dieser Thematik zu beschäftigen. Somit haben wir in aller Kürze den Strauß an Regelwerken zur Datenintegrität/Computer-System-Validierung angesprochen. Weitere Themen zur Datenintegrität haben wir in unseren Podcasts zusammengestellt.

An dieser Stelle möchte ich mich bei Thomas Menne bedanken, dass er uns diesen Einblick in diese komplexe Thematik der Regelwerke gewährt hat. Ich freue mich auf das nächste Mal. Bis dann Thomas und alles Gute.

TM: Ja, vielen Dank und bis dann.

Dieses Interview zwischen Reinhard Schnettler und Thomas Menne finden Sie als Audio und Video auf den folgenden Podcast Plattformen: