Datenintegritätsprobleme im Mittelpunkt eines FDA Warning Letters

Am 31. März 2022 erteilte die FDA dem amerikanischen Unternehmen Vi-Jon, LLC, einen Warning Letter basierend auf einer Inspektion im Oktober 2021. Die Antworten der Firma vom 3. November 2021 auf die im Formblatt 483 aufgeführten Beanstandungen waren aus Sicht der FDA unzureichend. Warning Letter der FDA referenzieren auf die im 21 CFR Part 211 festgelegten GMP-Vorgaben, in diesem Fall bei Datenintegritäts-Beanstandungen auf: 
Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records (21 CFR 211.68(a))

Beobachtung

  • Es fehlten angemessene Kontrollen zur Gewährleistung der Integrität elektronischer Daten. In diesem Zusammenhang war nicht sichergestellt, dass nur geeignetes Personal Administratorrechte besitzen. Beispielsweise gab es bei einem mikrobiologischem Testgerät mit einem Stand-Alone Computer keine geeigneten Kontrollen, die das Löschen von Rohdaten verhinderten. 
  • Für den Zugriff auf den Computer nutzten alle Labormitarbeiter einen gemeinsamen Account, welcher über Administratorrechte zum Löschen und Ändern der Daten verfügte. Im Rahmen der Inspektion fand man im elektronischen Papierkorb entsprechende Dateien.
  • Vor der Freigabe der Charge überprüfte die Laborleitung nicht den Audit Trail der Analysensoftware des HPLC für die Arzneimittelfreigabe. Dieses wurde auch schon bei einer Inspektion in 2017 beanstandet. 

Antwort der Firma

Die Firma gab an:

  • Das gemeinsame User-Login abzuschaffen und Administratorrechte nur an IT-Mitarbeiter außerhalb der Q-Einheit zu vergeben.
  • Die Software soll aktualisiert und ein neues Verfahren zum Benutzerzugang etabliert werden.
  • Die Analysensoftware bekommt ein Upgrade. Der Audit Trail soll damit bei jeder Probe ausgedruckt und an den Datensatz zu Review beigefügt werden.

Diese Antworten der Firma zu den Beobachtungen waren aus Sicht der FDA unzureichend. Warum?

  • Es gibt keine ausreichenden Abhilfemaßnahmen zur Sicherung der Analysesoftware und des zugehörigen Stand-Alone Computers.
  • Es fehlte die Beschreibung der Zugriffsebenen, der Zugriffsrechte und der autorisierten Nutzer.
  • Nur einem Mitarbeiter aus der Mikrobiologie Zugang zu dem System zu gewähren ist keine solide Strategie und ersetzt nicht ein System von Zugriffsebenen und -privilegien.
  • Es fehlte die Beschreibung der Speicherorte der Daten um unangemessenen Zugriff und Löschung zu verhindern. 
  • Es fehlte eine rückblickende Bewertung der Beanstandungen in Hinblick auf die bisherige Freigabe der Produkte. 
  • Das vorgeschlagene Datenüberprüfungsverfahren ist unzureichend. Die Verwendung statischer Kopien von Laboraufzeichnungen ist unzureichend, da diese nicht das dynamische Aufzeichnungsformat des vollständigen analytischen Testergebnisses bewahren, welches Teil der Überprüfung für die Freigabe sein soll. Es ist sicherzustellen, dass die Original-Laboraufzeichnungen, einschließlich der Aufzeichnungen auf Papier und in elektronischer Form, einer Überprüfung unterzogen werden, um zu gewährleisten, dass alle Testergebnisse und die zugehörigen Informationen ordnungsgemäß gemeldet werden.

Was erwartet die FDA bei der Beantwortung dieses Warning Letters?

Eine umfassende, unabhängige Bewertung und einen CAPA-Plan für die Sicherheit und Integrität der IT-Systeme. Dazu gehört ein Bericht, der die Schwachstellen im Design und in der Kontrolle sowie geeignete Abhilfemaßnahmen für jedes Computersystem des Labors aufgezeigt. Dieser Bericht sollte unter anderem Folgendes umfassen:

  • Eine Liste der gesamten Hardware im Labor (sowohl Stand-Alone-Systeme als auch Netzwerkgeräte).
  • Die Identifizierung von Schwachstellen in Hardware und Software, die sowohl vernetzte als auch nicht vernetzte Systeme umfassen. 
  • Eine Liste aller Softwarekonfigurationen (sowohl der Gerätesoftware- als auch der LIMS-Versionen), Einzelheiten zu allen Benutzerrechten und Aufsichtszuständigkeiten für jedes Laborsystem. Benutzerrollen und die damit verbundenen Benutzerrechte (einschließlich der spezifischen Berechtigungen für jeden, der über administrative Rechte verfügt) für alle Mitarbeiter, die Zugang zu den Computersystemen des Labors haben, sowie deren organisatorische Zugehörigkeit und Titel. 
  • Bestimmungen zur Systemsicherheit, einschließlich der Frage, ob immer eindeutige Benutzernamen/Passwörter verwendet werden und deren Vertraulichkeit gewährleistet ist. 
  • Detaillierte Verfahren für Audit Trails sowie der aktuelle Stand der Implementierung von Audit Trails in allen Systemen. 
  • Vorläufige Kontrollmaßnahmen und Verfahrensänderungen für die Kontrolle, Überprüfung und vollständige Aufbewahrung von Labordaten. 
  • Technologische Verbesserungen zur verstärkten Integration von Daten, die durch elektronische Systeme von Einzelgeräten (z. B. Waagen, pH-Meter, Wassergehaltstests) erzeugt werden, in das Netzwerk. 
  • Eine detaillierte Zusammenfassung der Verfahrensaktualisierungen und der damit verbundenen Schulungen, einschließlich, aber nicht beschränkt auf Systemsicherheitskontrollen zur Verhinderung von unbefugtem Zugriff, angemessene Zuweisung von Benutzerrollen, Zweitprüfung aller Analysen und andere Systemkontrollen. 
  • Ein verbessertes Programm zur Gewährleistung einer strengen laufenden Kontrolle über elektronische und papierbasierte Daten, um sicherzustellen, dass alle Hinzufügungen, Löschungen oder Änderungen von Informationen in den Aufzeichnungen autorisiert sind und alle Daten aufbewahrt werden. Es wird ein vollständiger CAPA-Plan mit allen bisher vorgenommenen Verbesserungen verlangt.

Quelle

Warning Letter an Vi.Jon, LLC, vom 31.3.2022

Zurück

GMP Seminare nach Thema