Plötzlich GMP

Wenn die IT im Chemiebetrieb „compliant“ werden muss

22.12.2010 Die Ausweitung des Marktes vom reinen Chemiemarkt in die Pharmazie ist für viele Chemieunternehmen ein attraktives Ziel. Was dabei häufig unterschätzt wird: Die dafür geforderte Compliance der IT-Prozesse oder der produktionsnahen EDV-Systeme mit den besonderen Vorschriften der Pharmazie – zum Beispiel EU-GMP – ist alles andere als trivial. Wie es geht, wird anhand eines Beispiels deutlich.

Anzeige

Entscheider-Facts Für Betreiber

  • Chemieunternehmen, die den Anwendungsbereich eines Produktes auf pharmazeutische Anwendungen erweitern , müssen die Pharma-Regularien zwingend einhalten(Good Manufacturing Practice (GMP) Compliance herstellen) .
  • Viele Aspekte der Beschaffung und Produktion unterliegen dann den GMP-Bedingungen. Mit einem Satz: Alles ändert sich.
  • Zunächst ist es deshalb sinnvoll, eine Gap-Analyse zu erstellen und Arbeitsprozesse, QM-System und andere relevante Dokumente entsprechend der Regularien zu überprüfen.
  • Auch die Komponenten der IT-Infrastruktur müssen den anzuwendenden Regeln entsprechen.

Non-Compliance: Folgen
Was droht bei Verstoß?
  • Auflagen und Re-Audit nach einem Behördenaudit
  • Verlust der Marktzulassung - zum Beispiel in den USA nach einem FDA-Audit
  • Veröffentlichung eines „Warning-Letter" mit Nennung der Probleme sowie der Verantwortlichen im Internet - zum Beispiel in den USA veranlasst durch die FDA
Im Extremfall nach einem festgelegten Verfahren:
  • Entzug der Zulassung als Hersteller (nicht leicht durchsetzbar)
  • Betriebsschließung - in USA: möglich, veranlasst durch die FDA; in Deutschland: sehr schwer durchsetzbar;
  • Allgemein: Qualitätsprobleme können mit Rückruf-Aktionen, Schadenersatz, Produkthaftung und weiteren Maßnahmen sanktioniert werden.

Ein Modellfall: Die Unternehmensführung eines international agierenden Chemiekonzerns entscheidet, die Anwendung eines Produktes zu erweitern. Dieses ist bereits gut eingeführt, aber durch die neue Anwendung würde der Markt auf pharmazeutische und medizinische Anwendungen erweitert. Die Konsequenz hieraus – das Unternehmen wird den Regularien der FDA sowie der EU unterworfen, welche im Gamp 5-Guide der ISPE als Best-Practice Standards zusammengefasst sind.

Die Globalisierung sowie der nahezu allgegenwärtige Einsatz von IT – nicht nur im Bürobereich sondern auch in der Fertigung – haben dazu geführt, dass Unternehmen sich verstärkt mit ihren, teilweise sogar gesetzlich verordneten, Sorgfaltspflichten auseinandersetzen müssen. Dies gilt speziell auch für die Pharma-Industrie: FDA, MPG, GMP oder Gamp 5 – diese Acronyme stehen exemplarisch für eine ganze Fülle an Vorschriften und Standards. Die Einhaltung der Regularien – oder kurz Compliance – ist zwingend notwendig, denn ein Abweichen davon kann gravierende Auswirkungen nach sich ziehen. Somit ist hier eine besonders systematische Vorgehensweise seitens der Verantwortlichen unumgänglich.

Chemikalien können nicht mehr
„einfach so“ beschafft werden

In der Praxis zeigt sich, dass ein Unternehmen oftmals die technische und kaufmännische Expertise für die Einführung neuer Produkte verfügt, aber häufig nicht über das Wissen um die regulatorischen Anforderungen. Zumal, wenn es sich um neu erschlossene Märkte handelt, wie im vorliegenden Fall: Plötzlich können Chemikalien und Wirkstoffe nicht mehr „einfach so“ beschafft werden, die Produktentwicklung muss anders dokumentiert werden, Herstellanweisungen sind plötzlich GMP-Dokumente – mit einem Satz: alles ändert sich.

Zurück zu unserem Modellfall: Im Prinzip werden die grundlegenden Anforderungen seitens des Konzerns bereits erfüllt. Eine Zertifizierung nach DIN EN ISO-9001:2008 liegt vor, auch interne QS-Standards, Entwicklungs- und IT-Richtlinien (gemäß ITIL/CoBIT) sind im umfangreichen Maße vorhanden, da die Unternehmenstätigkeit bereits seit Langem auf internationale Märkte ausgerichtet ist. Ungeachtet dessen sind viele Fragen jedoch noch weitestgehend ungeklärt: Was gilt es für die neue Marktsituation zu beachten? Was verlangt etwa die EU-GMP-Richtlinie, das Arzneimittel- (AMG) oder Medizin-Produkte-Gesetz (MPG/FRG), die AMWHV oder die EU-Directiven 93/42/EEC und 98/79/EEC und nicht zuletzt eine „Computer-Validierung“ nach Gamp 5 oder eine Herstellprozess-Validierung? Welche Schritte und Anpassungen sind notwendig, um die FDA- oder BfArm-Zulassung für das Produkt zu erhalten? Was wird wohl geprüft werden? Und zuletzt – aber nicht unbedeutend: Wie sieht die richtige Vorgehensweise aus?

Am Anfang steht die Gap-Analyse

Zunächst ist es sinnvoll, eine Gap-Analyse zu erstellen. Hierbei werden unter an-
derem Arbeitsprozesse, das QM-System,
die Strukturen der Verfahrensanweisungen SOP (Standard Operation Proce-
dures) oder der Dokumentationsstatus gemäß der anzuwendenden Regularien detailliert überprüft. Im geschilderten Modellfall ergab sich als Ergebnis der
Analyse eine umfangreiche Liste von
Punkten, die nicht den Compliance-Vorgaben entsprachen.

Dies lässt nicht den Umkehrschluss zu, dass das Unternehmen unfähig ist qualitativ hochwertige Produkte zu fertigen, sondern lediglich, dass die Abläufe nicht dem entsprechen, was ein Auditor oder eine Zulassungsbehörde erwarten würden: eine vollständige und aktuelle Dokumentation, sichere Lieferantenqualifizierung, Einsatz validierter Computersysteme und Arbeits-/Herstellprozesse, konforme, sichere Freigabe-Verfahren und keine Medienbrüche mit möglicherweise „offenen, veränderbaren“ Daten.

IT-Schutz und Dokumentationspflicht

Die IT-Systeme sind in den letzten Jahren ein maßgeblicher Bestandteil sowohl in der Bearbeitung als auch in der Speicherung und Archivierung von Informationen entlang der Wertschöpfungskette im Unternehmen. Folglich müssen auch die Komponenten der IT-Infrastruktur, auf denen die Arbeitsprozesse basieren, zu den angeführten Regularien compliant sein. Dass bedeutet mit anderen Worten: Alle Compliance-Themen – sowohl die, die aus Sicht der FDA oder GMP speziell für die Hersteller im Pharma-Bereich oder deren Zulieferer bindend sind, als auch jene von den Finanzbehörden geforderten wie SOX oder GDPdU – haben eine Verpflichtung gemeinsam: Daten und Dokumente sowie die komplette IT-Infrastruktur müssen vor Manipulationen durch intern beherrschte Methoden und Prozesse geschützt sein.

Ein wesentlicher Baustein der Compliance ist daher ein zertifiziertes und somit auch revisionssicheres IT-Umfeld. Der Schutz der IT-Systeme vor externen und internen An- und Übergriffen ist unter verschiedenen Aspekten notwendig: Zum einen bieten sie ein Einfallstor, um an Informationen und Forschungsergebnisse aus der F&E-Abteilung zu gelangen, aber auch um Daten, etwa in Rezepturen, zu verändern. Zum anderen sind hierüber Fertigungsanlagen direkt angreifbar. So ergibt sich die Dringlichkeit, nicht nur die Effizienz und Wirksamkeit der durchgeführten Maßnahmen im Bereich IT festzuschreiben, sondern auch die notwendigen Rahmenbedingungen für den Prozessablauf. Folgerichtig muss jede noch so kleine Änderung an der Infrastruktur oder den Prozessen genehmigt, durchgeführt und dokumentiert werden, skaliert in der Dokumentationstiefe entlang des GxP-Risikos. Sinnvolle Werkzeuge und Methodiken, die die Veränderungsprozesse durch ein praktikables Change Management begleiten, können ITIL sowie die ISO-Normen 2700x sein, welche um GMP-Aspekte erweitert werden müssen.

Unternehmen haben des Weiteren die Verpflichtung nachzuweisen, dass die Mitarbeiter nicht nur entsprechend geschult wurden, sondern die Inhalte auch verstanden haben. Die geforderte Absicherung der IT-Systeme kann durch organisatorische und technische Maßnahmen unterstützt werden. So ist es unter anderem empfehlenswert, bereits in der IT-Infrastruktur mittels eines entsprechend ausgefeilten Verzeichnisdienstes, dem Active Directory (AD) über Berechtigungskonzepte festzulegen, welchem Mitarbeiter welche Zugriffsrechte auf welche Bereiche der IT zustehen. Denn die Festlegung, wer was nur in den Anwendungen darf, bietet keinen ausreichenden Schutz. Erst mit dem Aufsetzen einer integrierten Lösung lässt sich dann beispielsweise verhindern, dass ein Mitarbeiter aus der IT-Abteilung unbefugterweise auf Daten im Forschungslabor zugreifen beziehungsweise diese verändern oder entwenden kann.

Für alle Vorgänge, die bei der Umsetzung der Vorgaben durchgeführt werden, besteht – ebenso wie für die betroffenen Systeme selbst – eine Dokumentationspflicht. Dies belegt für den Auditor, dass das gesamte Projekt – also Regelungsumfang und -inhalte sowie die Vorgehensweise – unter Berücksichtigung der unternehmensspezifischen Bedingungen sowie der Regularien erfolgt ist.

Compli?ance sinnvoll umsetzen

Das oberste Ziel, das durch die Compliance-Vorgaben erreicht werden soll, ist der Patientenschutz. Zur Garantie, dass die medizinischen Produkte in gleich bleibender Qualität und Güte das Unternehmen verlassen, ist eine regelkonforme Durchführung aller Prozessschritte bei Einführung und Unterhalt von computergestützten Systemen und Anlagen wie auch in der Produktion selber notwendig. Um dies zu gewährleisten werden alle – im Rahmen des Projektes zur Erreichung eines behördenkonformen Produktionsablaufs notwendigen – Verfahrensanweisungen (SOP), also auch für die Validierung/Qualifizierung von IT-Systemen und Anlagen, definiert und mit Ausführungstemplates hinterlegt. Diese SOPs inklusive der entsprechenden Templates werden im Unternehmen im Rahmen des QM-Systems installiert. Somit ist verbürgt, dass alle hier anfallenden Einzelprojekte nach festgelegten Verfahren durchgeführt und revisionssicher dokumentiert sind.

Nach Abschluss des Projektes zur Herstellung der Compliance werden das inventarisierte System beziehungsweise die Produktionsanlage sowie die unternehmenskritischen Daten und Dokumente entsprechend weitergeführt und Änderungen gemäß eines definierten Change Control-Managements dokumentiert, getestet und freigegeben. So wird nicht nur das oberste Ziel erreicht, sondern gleichzeitig auch noch die Revisionssicherheit bei Behörden-, Kunden- und Lieferantenaudits.

Erläuterungen: R1 : Basis Risiko Analyse; R2: Risiko-basierte Entscheidung (Planung); R3: Funktionale Risiko Analyse;
R4: Risiko-basierte Entscheidung (Testplanung); R6: Funktionale Risiko-Analyse (Änderungsverfahren); R7: Risiko-
basierte Entscheidung (Stillegung); 1: Validierungsplan; 2: Anforderungsspezifikation (URS); 3: Funktionale Spezifikation;
4: Designspezifikation; 5: Realisation; 6: Installationstest Verifikation; 7: Funktionstests Verifikation; 8: Akzeptanztests
Verifikation; 9: Systemfreigabe Validierungsbericht

Heftausgabe: Produzieren im Kundenauftrag 2010

Über den Autor

Wolfgang Straßer, Geschäftsführer @-yet GmbH Dr. Thomas Karlewski, Managing Consultant, Chemgineerin
Loader-Icon