Wichtige Fragen und Antworten zum Audit Trail Review

Das Thema "Datenintegrität" ist aktuell in den Mittelpunkt zahlreicher nationaler und internationaler Inspektionen gerückt. In zahlreichen Warning Letters wurden seitens der amerikanischen FDA umfangreiche Abweichungen festgestellt. Zusätzlich zur Sicherung der Produktqualität fordern die Überwachungsbehörden daher von allen Unternehmen eine klare Strategie, wie die Integrität kritischer Daten über deren gesamten Lebenszyklus gesichert werden kann. Dabei spielt die Überprüfung der Audit Trails eine entscheidende Rolle. Trotz der zahlreichen Guidelines, die seit 2015 zu diesem Thema veröffentlicht wurden, bleibt es oft unklar, welche Anforderungen für einen Audit Trail Review bestehen und wie eine Umsetzung in der Praxis erfolgen kann.

Aus diesem Grund wurde im Februar 2017 das Webinar "Audit Trail Review" durchgeführt. Das Ziel des Webinars war es, auf die wichtigsten  Elemente der Datenintegrität und des Audit Trail Reviews einzugehen:

• Regulatorischer Überblick mit Schwerpunkt MHRA und Annex 11 Anforderungen
• Klassifizierung von Daten - was sind kritische Daten?
• Klassifizierung von Systemen - welche Systeme sind relevant?
• Welche Audit Trails sind wichtig?
• Was mache ich mit Altsystemen ohne Audit Trail?
• Wer reviewed Audit Trails?
• Wie wird der Review dokumentiert? 
• Vorgehen und Dokumentation bei Abweichungen?

Referent war Dr. Wolfgang Schumacher, der auf mehr als 30 Jahre Erfahrung in der Pharmazeutischen Industrie zurückblicken kann.
Zu diesem Webinar waren über 50 Fragen an Dr. Schumacher eingegangen, die er natürlich nicht alle direkt nach dem Webinar beantworten konnte. Dankenswerterweise hat Dr. Schumacher alle Fragen schriftlich beantwortet. Folgend finden Sie den ersten Teil der Fragen und Antworten, eine weitere Auswahl ist zu einem späteren Zeitpunkt geplant.

1. Zählen die analytischen Daten im Zuge von Validierungen analytischer Verfahren zu kritischen Daten?
Antwort: Nein, diese Daten werden ja mit dem Abschluss des Validierungsprozesses freigegeben und stellen nur die Grundlage späterer Analysen dar.
Daher liegt eine indirekte Kritikalität vor; kein Audit Trail Review erforderlich.

2. Kalibrierung von Geräten haben Einfluss auf die Richtigkeit der Daten. Ist Kalibrierung also kritisch?
Antwort: Die Kalibrierung hat ebenfalls nur indirekten Einfluss auf die Patientensicherheit, also kein Audit Trail Review nötig.

3a.: Praxisbeispiel: Wie ist mit einer Reaktorsteuerung aus der Produktion umzugehen, die weder über eine Benutzerverwaltung, noch ein Passwort, noch ein Audit Trail, etc. verfügt? Darf solch eine Steuerung weiterverwendet werden?
Antwort: Es ist definitiv zu empfehlen, einen Ersatz zu planen. Der Zeitpunkt des Ersatzes hängt davon ab, was mit dem Reaktor gefertigt wird, danach orientiert sich die Kritikalität.

3b Praxisbeispiel: Wie ist mit einer Reaktorsteuerung aus der Produktion umzugehen, die weder über eine Benutzerverwaltung, noch ein Passwort, noch ein Audit Trail, etc. verfügt? (Hierbei handelt es sich um eine Steuerung eines Reaktors, mit dem Zwischenprodukte und API's hergestellt werden, jedoch keine Endprodukte). Darf solch eine Steuerung weiterverwendet werden oder muss sie aus dem Verkehr gezogen werden?
Antwort: Danke für die Präzisierung der Frage. Für ein Zwischenprodukt halte ich einen sofortigen Ersatz nicht für erforderlich. Vorschlag: Bewerten Sie alle Systeme und Equipment und ordnen sie es in Prioritätsklassen ein (z.B. über eine recht einfache FMEA). Die Abarbeitung der Prio-Klassen wird danach definiert, z.B. Prio 1=bis Ende 2017, Prio 2= bis Ende 2018 etc…

4. Ist die Audittrail-Prüfung vor jeder Chargen-Freigabe schon behördlich vorgeschrieben oder wird nur empfohlen?
Antwort: Annex 11 schreibt den Audit Trail Review vor; für die Inspektoren ist die Freigabe von Chargen der kritischste Prozess überhaupt.

5. Hybridsysteme: Keine Audittrail-Nachrüstung möglich, was kann man machen??
Antwort: Zunächst würde ich alle anderen Kriterien (Zugriff, Benutzer-/Admin profile, Sicherheit) klären. Wie kritisch sind die Daten? Sofern kritisch einen Ersatz planen gemäss Einstufung der Kritikalität = Priorität.

6. Rollenkonzept: darf ein User Nachintegrationen durchführen? (GC-System)
Antwort: Aus meiner Sicht nein, das sollte zuvor vom Laborleiter genehmigt werden, mit Angabe des Grundes.

7. Trennung von Administrator und User in CDS personell schwierig umzusetzen. Einstieg mit Admin bzw. Mess-user der gleichen Person denkbar?
Antwort: ja, das ist denkbar, muss in einer SOP beschrieben werden.

8. Prozessvalidierungsdaten sind Daten der Kategorie 3 - hier also kein Audittrail Review notwendig. Muss aber ein Review für die Erzeugung von Validierungsmessdaten nicht erfolgen?
Antwort: Von der Kritikalität sind die Validierungsdaten - wie Sie richtig schreiben - in der Kat.3.
Dabei ist es sehr unwahrscheinlich, dass der User Änderungen vornimmt, da ja kein Anlass für eine Fälschung gegeben ist, im Gegensatz zur Chargenfreigabe.

9. Macht es Sinn "windows eventviewer" für GxP devices zu prüfen?
Antwort: Die Idee ist gut, dürfte aber nicht realistisch sein, da zu viele Events reported werden. Ein Einsatz käme sowieso nur für Systeme in Frage, die Daten lokal abspeichern und das sind - Gott sei Dank - nicht mehr viele moderne Systeme.

10a. Muss der Report für einen Review des Audit Trails aus dem System selbst heraus erzeugt werden? Oder kann dafür ein anderes System, welches für Analysen besser geeignet ist, genutzt werden?
Antwort: Der Audit Trail muss eigentlich aus dem System selbst kommen "system generated audit trail". An welches andere System denken Sie?

10b Ich habe mich wohl undeutlich ausgedrückt bei der Frage: Im Rahmen des Periodic Reviews wird also nur geprüft ob der Prozess noch funktioniert - also Audit-Trail Daten noch erfasst werden ? Gemeint ist: Funktionsfähigkeit wird durch IT mit wenigen Stichproben dokumentiert
Antwort: Sehr richtig!

11. Kann der Laborleiter über admin Rechte verfügen, z.B. um den Audit Trail Review durchzuführen?
Antwort: Ja, sofern er/sie nicht selbst operativ Analysen bearbeitet.

12. Ist es möglich, dass ein User zwei Systemaccounts hat? Einmal als Benutzer und einmal als Administrator oder Reviewer?
Antwort: Ja, bei kleinen Organisationseinheiten. Per SOP sicherstellen, dass nur operativ NICHT mit dem Admin Account gearbeitet wird.

13. Kennen Sie ein System, dass alle Anforderungen für die Audittrailfunktion beim CDS erfüllt?
Antwort: Es gibt bisher kaum Systeme auf dem Markt, mit denen Sie ohne viel Aufwand den Review machen können, das gilt leider auch für moderne Systeme wie Empower3.

14. File basierte Datenhaltung: Löschung ist außerhalb der Software möglich, wie kann man hier eine Sicherheit "einbauen"?
Antwort: Ja, bei Systemen, die lokal auf der HD des Users abspeichern könnten zwei lokale Benutzerprofile angelegt werden. Das System speichert dann z.B. nur auf das Profil Daten ab, auf das der User keinen Zugriff hat.

15. Was sind Metadaten?
Antwort: Daten zu Daten, z.B. der Zeitstempel

16. Was sind MES Systeme?
Antwort: Prozessleitsysteme

17. Wie geht man mit Altgeräten um? Falls kein Audit-Trail verfügbar ist bzw. ein "Benutzer-Login" nicht möglich ist?
Antwort: Die Systeme müssen über kurz oder lang - je nach Risiko - ersetzt werden.

18. Geräte/Ausrüstung haben oft Standardaudittrailfunktion. Es werden eine Menge Daten mitgeschrieben (on/off) nur ein Bruchteil sind kritisch und relevant für Review. Wie geht man hier beim Review am besten vor?
Antwort: Am besten einen Report konfigurieren, der die kritischen Daten zeigt, aber den ganzen Ballast (z.B. Login/Logout) weglässt. Das muss aber programmiert werden und ist teuer.

19. Wie ist die Vorgehensweise bei Anlagen im Bereich Produktion z.B. AP-Erzeugung, Mischer, Abfülllinien mit veränderbaren Parametern hinsichtl. Klassifizierung Daten/Systeme, Reviewumfang und -intervall?
Antwort: Am besten klassifiziert man die Systeme und Ausrüstung gemäss ISA95. Dabei wird man feststellen, dass die untersten (Feldebene, PLC, SCADA) Ebenen keine Interaktion des Users zulässt, also ist kein Audit Trail Review nötig. Die Basis ist die Risikoanalyse der Systeme und Daten.

20. Wer z.B. im Labor soll den ATR durchführen?
Antwort: Das kann ein Kollege sein, wobei die FDA in der Draft Guideline "Quality Unit" (=QA) vorschreibt. Alle anderen Draft Guidelines lassen einen Peer Review zu.

21. Müssen alle elektronische Daten bei einem Prozess im Sterilbereich aufbewahrt und archiviert werden oder reicht der Batch Record aus?
Antwort: Sie müssen definieren, welches die Rohdaten sind; diese sind aufzubewahren, zusätzlich zum Batch Record.

22. Würden Sie Parameter-/ Rezepturänderungen an Produktionsanlagen als dynamische Daten betrachten? Muss ich diese bei jeder Charge betrachten?
Antwort: Diese Daten unterliegen dem Change Control und gehören nicht zu den Daten für einen Review.

23. Viele unserer Produktionsprozesse werden mittels Herstellungsprotokolle auf Papier dokumentiert. Wie steht ein Review des Audit Trails dem gegenüber? Soll mittels Audit Trail Review die good documentation practice im HSP überprüft werden?
Antwort: Sofern Sie nur auf Papier dokumentieren, trifft der Audit Trail Review nicht für Sie zu, wohl aber das 4-Augen Prinzip für alle kritischen Schritte: "Critical process steps have to be verified by a second individual" heisst es sinngemäss in den FDA Richtlinien.

24 Dynamische Daten <-> statische Daten. Eine kleine Filtrationsanlage (Druckmessung/Durchflussmessung/Temp.) mit einem lokal installierten SCADA-System würde somit eher statische Daten liefern?
Antwort: Richtig, statische Daten, da der User die Daten gar nicht ändern kann

25. HSP werden als Träger von Rohdaten zur Dokumentation der Prozesse angesehen. Wie sieht es mit Trenddaten aus, welche ausgedruckt und dem HSP beigelegt werden?
Antwort: Ich sehe keine Notwendigkeit, Trenddaten immer zu reviewen.

26. Folie 9: Was zählen sie zu Systeme und Ausrüstung?
Antwort: Alles, was validiert und qualifiziert werden muss

27. Muss ein Audit Trail Review (ATR) im Labor an einem Gerät nach jeder Messung/Analyse durchgeführt werden? Wer macht den ATR - Labormitarbeiter (Durchführender) oder der Laborleiter?
Antwort: Man braucht eine SOP für den ATR für jedes System, bei dem die Details beschrieben werden. Wichtig ist der Review nach Abschluss der Analyse.

Wir danken Herrn Dr. Schumacher für die umfassende und kompetente Beantwortung aller Fragen unserer Webinar-Teilnehmer!

Lesen Sie außerdem auch Teil II der Fragen und Antworten bzgl. Audit Trail Review.