Bereiten Sie sich auf Datenintegritätsfragen von GCP-Inspektoren vor

Das Thema Datenintegrität rückt mehr und mehr in den Fokus von GCP-Inspektionen, auch auf Grund neuer Vorgaben der GCP Inspektionsverordnung und der Delegierten Verordnung 2017/1569, die die EU-GCP-Verordnung für klinische Prüfungen (Clinical Trials Regulation = CTR) 536/2014 ergänzen.

Die GCP-Inspektionsverordnung ("Implementing Regulation (EU) 2017/556" vom 24. März 2017 über Regelungen für GCP-Inspektionen) legt detaillierte Regelungen für Verfahren und Vorschriften bei GCP-Inspektionen fest. Die Einhaltung der GCP-Grundlagen, inklusive der Richtlinien bezüglich Datenintegrität, sollen durch Inspektionen verifiziert und Inspektoren sollen befähigt werden, Datenintegrität beurteilen zu können.

Kürzlich veröffentlichte ein GCP-Inspektor der MHRA einen Artikel im Blog der Behörde. Der Beitrag konzentriert sich auf die Validierung von Computersystemen (Computer System Validation = CSV) und ist eine Mischung aus Fallbeispiel aus einer einzelnen Organisation und einiger allgemeiner Funde, denen GCP-Inspektoren bei einer Reihe jüngerer Inspektionen begegnet sind. Gemäß dem Beitrag ist CSV ein wichtiger Bestandteil der Entwicklung und Nutzung von Computersystemen innerhalb klinischer Studien. Dies gilt nicht nur für Lieferanten elektronischer Systeme, sondern auch für "Clinical Trials Units" (CTUs) oder "Clinical Research Organizations" (CROs), die Randomisierung und "Interactive Response Technology" (IRT) anbieten. Darüber hinaus ist CSV verbindlich für Entwickler analytischer Systeme und Sponsorunternehmen, die ihre eigenen Softwarelösungen entwickeln. Der Beitrag soll Hinweise darauf geben, welche Validierungsaktivitäten in Betracht gezogen werden sollten, wenn

• ein Produkt, welches durch den Lieferanten des Systems validiert wurde,
• das Produkt eines Systemlieferanten, dessen Funktionstüchtigkeit validiert wurde,
• ein eigenes validiertes Produkt oder
• eine validierte spezifische Testeinstellung/ein validierter spezifischer Testaufbau

verwendet wird.

Laut dem Blog gehören zu den häufigsten Funden in Bezug auf den Anwenderaspekt der Validierung die folgenden Punkte:

• das Produkt wurde für den Anwender freigegeben, bevor das Schulungsmaterial (z.B. Benutzerhandbuch) entwickelt und herausgegeben wurde,
• Anwender erhalten ohne Schulung Zugriff auf das System,
• Anwender erhalten unangemessene (zu hohe) Zugriffsrechte wie beispielsweise die  Fähigkeit, Daten ändern zu können,
• Unterlagen für Anwender werden nach Veröffentlichung einer neuen Version mit neuen Funktionen nicht geprüft oder aktualisiert,
• Anwender werden nicht über Systemupdates informiert, welche die Funktionalität verändern,
• interne Prozesse und SOPs werden nicht befolgt und dadurch die formelle Überprüfung und Genehmigung von zentralen Dokumenten wie Validierungsplänen, Testskripten und Berichten nicht abgeschlossen.

In Hinblick auf Verträge erinnert der Beitrag daran, dass der Lieferant der Software diese zwar produziert, jedoch (meist) nicht derjenige ist, der sie in klinischen Studien anwendet. Die Verantwortung liegt letztendlich beim Sponsor. Wenn angenommen wird, dass ein System oder Teile einer Software validiert sind und die Nutzung des Systems bzw. der Software zu Datenintegritäts- oder Patientensicherheitsproblemen führt, so hat dies der Sponsor zu verantworten. Aus diesem Grund ist der Vertrag mit dem Anbieter entscheidend, denn wenn Aufgaben nicht vertraglich festgehalten sind, so ist die Gefahr groß, dass diese nicht erledigt werden.

Die folgenden Punkte sollten hinsichtlich eines Vertrags beachtet werden:

• der Lieferant eines elektronischen Systems mag zwar über Expertenwissen in Bezug auf IT-Systeme und manchmal - falls nötig - auch im Hinblick auf das Datenschutzgesetz verfügen, aber nicht zwangsläufig auch über die Anforderungen von GCP (siehe auch EMA Q&A zu GCP),
• der Vertrag sollte den Lieferanten des Systems dazu verpflichten, nach den GCP-Anforderungen zu arbeiten (z.B. ausreichende Daten / Dokumente zu archivieren, um wesentliche Studienaktivitäten rekonstruieren zu können),
• der Vertrag sollte dem Sponsor Zugang zu wesentlichen nicht studienbezogenen Dokumenten einräumen (oder deren Archivierung sicherstellen), wie zum Beispiel Software-/Systemvalidierungsdokumente, die SOPs des Anbieters, Schulungsberichte und Fehlerprotokolle/-lösungen in Helpdesk/IT-Ticket-Systemen,
• der Vertrag sollte den Lieferanten des Systems dazu verpflichten, schwerwiegende Verstöße entweder dem Sponsor oder der zuständigen Behörde mitzuteilen,
• der Vertrag sollte in Bezug auf Unteraufträge durch den Lieferanten des Systems klar geregelt sein, insbesondere, welche Aufgaben nicht über einen Unterauftrag weitervergeben werden dürfen und wie der Sponsor den Überblick über weitervergebene Aufträge behält.

Weitere Informationen finden Sie im Blog-Artikel "Computer System Validation - GCP" der MHRA und in den EMA Q&A zu GCP.