Datenintegritätsprobleme im Mittelpunkt eines Warning Letters an ein amerikanisches Unternehmen

Am 7. Juli 2020 erteilte die FDA der amerikanischen Firma Stason Pharmaceuticals, Inc. einen Warning Letter basierend auf einer Inspektion im Oktober 2019. Fehlende Kontrollen, um die Integrität der elektronischen Testdaten im Labor zu gewährleisten, und eine unzureichende Beantwortung der Beanstandungen führten zu diesem Warning Letter. Warning Letter der FDA referenzieren immer auf entsprechende Kapitel des 21 CFR Part 211.

Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records (21 CFR 211.68(a))

Beobachtung

Ein Spektralphotometer verwendete man zur Freigabe- und Stabilitätsprüfung von Fertigprodukten. Bei einer während der Inspektion durchgeführten Demonstration entdeckte der Inspektor die fehlende Absicherung des Steuerungscomputers. Dateien konnten ohne Kenntnis der Qualitätseinheit gelöscht werden.

Antwort der Firma

Die Antworten der Firma zu dieser Beobachtung waren unzureichend. Warum?

• Es fehlte die umfassende Überprüfung aller Laborinstrumente in Hinblick auf die Angemessenheit der Benutzerrollen
• Die Firma erkannte an, dass die Software nicht wie vorgesehen funktionierte und ihr das notwendige Wissen oder die Erfahrung fehlte, dies zu beheben. Man strebe aber Abhilfe an! Diese Antwort reichte der FDA nicht, weil eine rückblickende Bewertung der möglichen Auswirkungen von System-Schwachstellen auf die Datenintegrität fehlte

Was erwartet die FDA bei der Beantwortung dieses Warning Letters

Wie üblich in solchen Fällen, erwartet die FDA eine umfassende und unabhängige Bewertung und einen CAPA-Plan für die Sicherheit und die Integrität der Computersysteme. Man erwartet weiterhin einen außergewöhnlich umfangreichen Bericht, der die Schwachstellen im Design und in den Kontrollen sowie geeignete Abhilfemaßnahmen für jedes Computersystem im Labor aufzeigt. Enthalten soll der Bericht u.a.

• eine Liste der Hardware aus dem Labor, die alle Stand-Alone- als auch Netzwerkgeräte umfasst
• eine Identifizierung der Hard- und Software dieser Systeme
• eine Liste aller Softwarekonfigurationen /-versionen (Gerätesoftware und LIMS). Weiterhin verlangt werden:
  - für jedes Laborsystem Einzelheiten zu allen Benutzerrechten und den Leitungsverantwortlichkeiten
  - für alle Mitarbeiter, die Zugang zu den Laborsystemen haben, sollen die Benutzerrollen und die damit verbundenen Benutzerrechte angegeben werden
  - umfassen soll die Liste auch die spezifischen Befugnisse derjenigen mit Administratorenrechte 
• Systemsicherheitsbestimmungen; u.a. ob immer eindeutige Benutzernamen / Passwörter verwendet werden und wie deren Vertraulichkeit gewährleistet ist
• den aktuellen Stand der Audit-Trail Implementierung und detaillierte Verfahren zur robusten Verwendung und Überprüfung der Audit Trails
• vorläufige Kontrollmaßnahmen und Verfahrensänderungen für die Kontrolle, Überprüfung und Aufbewahrung von Labordaten
• technologische Verbesserungen, um die Integration der Daten von Stand-Alone Systemen in das LIMS zu verbessern
• Eine detaillierte Zusammenfassung der Verfahrensaktualisierungen und der damit verbundenen Schulungen. Dabei soll auch die Kontrolle der Systemsicherheit in Hinblick auf die Verhinderung unbefugten Zugriffs und eine angemessene Zuweisung von Benutzerrollen berücksichtigt werden 
• Vorkehrungen für die Beaufsichtigung durch QA-Manager, Führungskräfte und interne Auditoren mit entsprechenden IT-Fachkenntnissen (z. B. zur Bewertung von Infrastruktur, Konfiguration, Netzwerkanforderungen, Datenverwaltungspraktiken und Aufgabentrennung einschließlich Administratorrechten)
• ein verbessertes Programm zur Gewährleistung einer strengen laufenden Kontrolle über elektronische und papierbasierte Daten, um sicherzustellen, dass alle Hinzufügungen, Löschungen oder Änderungen von Informationen in den Unterlagen autorisiert sind und alle Daten aufbewahrt werden. Beigefügt werden soll ein vollständiger CAPA-Plans und eine Übersicht aller bisher vorgenommenen Verbesserungen
• Eine unabhängige, gründliche retrospektive Bewertung der Auswirkungen des Laborsystem-Designs, der Kontrolle und des Mitarbeiterverhaltens auf die Genauigkeit, Vollständigkeit und die Aufbewahrung der Daten seit dem 1. Januar 2017
• Eine vollständige Bewertung der Dokumentationssysteme, die im gesamten Fertigungs- und Laborbetrieb verwendet werden, um festzustellen, wo die Dokumentationspraktiken unzureichend sind. Enthalten sein soll ein detaillierter CAPA-Plan, der die Dokumentationspraktiken des Unternehmens umfassend verbessert, um sicherzustellen, dass während des gesamten Betriebs zurechenbare, lesbare, vollständige, originale, genaue und zeitgleiche Aufzeichnungen aufbewahrt werden (ALCOA+)

Quelle: FDA Warning Letter an Stason Phramaceuticals Inc. vom 8.7.2020