Computervalidierung: Fragen und Antworten eines Inspektors Teil 1
Seminarempfehlung
23-26 April 2024
Berlin, Germany
Learn How to Plan, Implement and Document Effectively Computer Validation Activities
Melden Sie sich jetzt an für
den kostenlosen GMP-Newsletter
Im Rahmen von Veranstaltungen beantworten Referenten immer wieder Fragen von Teilnehmern. Zu aktuellen Fragen aus dem Themenkreis IT / Computervalidierung nimmt Klaus Feuerhelm vom Regierungspräsidium Tübingen Stellung.
Anforderungen an einen Auditor: Welche Mindestanforderungen muss ein interner Auditor erfüllen, um Lieferantenaudits bei externen Softwareentwicklern (Herstellern), im Zuge der Computervalidierung, ausüben zu dürfen?
Vorgaben für die Qualifikation von Auditoren sind im GMP-Bereich nicht formuliert. Anders ist die Situation bei Autoren beim Qualitätsmanagement nach DIN EN ISO-Familie 9000. Hier ergibt sich Auditorenqualifikation gemäß den Vorgaben aus der ISO 19011 (Kapitel 7). Nach EU-GMP ist jedoch insbesondere folgender Hinweis zu beachten: EU-GMP Annex 11, 2 Personal: "Alle Beschäftigten sollten über eine geeignete Ausbildung und Zugriffsrechte sowie festgelegte Verantwortlichkeiten zur Wahrnehmung der ihnen übertragenen Aufgaben verfügen." Als Auditoren bei Softwarelieferanten können durchaus auch externe Berater eingesetzt werden.
Zip-Archive: Wenn bei der Verarbeitung kritischer elektronischer Daten diese gezippt und später entzippt werden, muss dieser Vorgang qualifiziert/validiert werden?
Entsprechend § 10 AMWHV gilt: "(2) Werden die Aufzeichnungen mit elektronischen, fotographischen oder anderen Datenverarbeitungssystemen gemacht, ist das System ausreichend zu validieren. Es muss mindestens sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und innerhalb einer angemessenen Frist lesbar gemacht werden können." Das bedeutet, dass die beschriebene Technik Zippen und Entzippen auch validiert werden muss, wobei diese Validierung allerdings nicht ganz trivial sein dürfte.
Darf man GMP-Systeme mittels Single-Sign-On bedienen (ohne separates Einloggen), z.B. SAP, Trackwise, MES, LIMS?
Nach den Vorgaben des EU-GMP Annex 11 gilt: "Es sollten physikalische und / oder logische Maßnahmen implementiert sein, um den Zugang zu computergestützten Systemen auf autorisierte Personen zu beschränken. Geeignete Maßnahmen zur Vermeidung unerlaubten Systemzugangs können die Verwendung von Schlüsseln, Kennkarten, persönlichen Codes mit Kennworten, biometrische Verfahren sowie den eingeschränkten Zugang zu Computern mit zugehöriger Ausrüstung und Datenspeicherungsbereichen einschließen."
Prinzipiell gilt also die Implementierung eines restriktiven Benutzermanagements. Das bedeutet, letztendlich muss der Betrieb selbst bewerten, ob ihm Single Sign-On ausreichend Sicherheit bietet. In den IT - Grundschutzkatalogen findet man keine eindeutige Aussage, das Single Sign-On kritiklos verwendet werden kann. Folgende Angaben in den IT-Grundschutzkatalogen 2013 sollten beachtet werden: "Single Sign-On sollte nur zwischen vertrauenswürdigen Systemen konfiguriert werden. Insbesondere Single Sign-On Szenarien über Unternehmens- oder Behördengrenzen hinweg sind unter Sicherheitsgesichtspunkten zu vermeiden."
Muss für die Chargenfreigabe im LIMS eine elektronische Unterschrift ausgeführt werden? Wenn ja, reicht dann eine Eingabe des Passwortes ohne nochmalige Eingabe der User-ID?
Die Freigabe einer Charge steht nicht in speziellem Zusammenhang mit einem bestimmten System (LIMS, ERP, MES, usw.). Wenn die Chargenfreigabe elektronisch durchgeführt wird, so sollte dies über eine elektronische Unterschrift erfolgen. Hierzu ist zunächst die ID und dann das Passwort einzugeben. Erfolgen mehrere aufeinander folgende Freigaben in einer Sitzung, so reicht für die folgenden Freigaben die erneute Eingabe des Passworts aus.
Weitere Quellen: EU-GMP-Leitfaden Annex 11 "computerised Systems"
