Der Computervalidierungs-Beauftragte Block I
Regulatorische Grundlagen
AMWHV und Computervalidierung, Regulatorische Forderungen durch Annex 11, PIC/S PI 011
Computer-Validierungs-Lebenszyklus
GAMP 4 / GAMP 5, V-Modell / Spoon-Modell, GAMP-Kategorien und deren Bedeutung für den Validierungsaufwand, Skalierbarkeit, Lieferantenbeteiligung
Workshop zur Einordnung von Systemen in die GAMP-Kategorien
Die Einordnung von Systemen in die GAMP-Kategorien steuert die Validierungsaktivitäten und den Validierungsaufwand. Die Teilnehmer ordnen unterschiedliche Systeme den GAMP-Kategorien zu und definieren die sich daraus ableitenden Maßnahmen
Computer-Validierungs-Lebenszyklus aus Inspektorensicht
Validierungskonzepte aus Sicht eines Inspektors
Validierungs-Masterplan / Validierungsplan
Anforderungen (URS), Risikomanagement und Testen als integrales Element der Validierung
Rückverfolgbarkeit von Anforderungen
Anforderungen und Lebenszyklus
Grundsätzliches zu Anforderungen
Benutzeranforderungen (URS)
Funktionale Spezifikationen (FS)
Problematische Anforderungen
Leitfaden zur Erarbeitung von Anforderungen und Spezifikationen
Anforderungsfallen vermeiden
Empfehlungen zu dem Projektteam
Qualitätsmerkmale von Anforderungen
Anforderungsmanagement
Umfang und Detaillierungsgrad - Gefahr der "Überdetaillierung"
Traceability von Anforderungen
Erarbeitungsprozess von Anforderungen
Das 7-Schritt-Vorgehen
Fallstudien zu Anforderungen:
Anhand von Fallstudien werden die Teilnehmer Übungen zu verschiedenen Anforderungsdetails durchführen und die Theorie in die Praxis umsetzen können.
Case study 1: Anforderungen erstellen
Anforderungen erfassen,
Anforderungen strukturieren,
Anforderungen entwerfen
Case study 2: Anforderungen überprüfenn
An Beispielen gute (und schlechte) Anforderungen erkennen
Erfassen von Bedürfnissen und Anforderungen
Risikomanagement praktisch anhand des GAMP® 5 Lifecycle
Warum Risikomanagement und was versteht man darunter
Risikobasierte Lifecycle-Aktivitäten: Basis-Risikobewertung, Validierungsplanung, Funktionale Risikobewertung, Testplanung, Validierungsabschluss und Systembetrieb,
Change Control, Stilllegungsplanung
Kurzworkshops
In kurzen Workshop-Sessions können die Teilnehmer in kleinen Gruppen die verschiedenen Risikobewertungen nach GAMP 5 selbständig anhand verschiedener Fallbeispiele praktisch umsetzen.
Basisrisikobewertung
Risikobasierte Entscheidungen während der Validierungsplanung
Funktionale Risikoanalyse
Risikobewertung beim Validierungsabschluss
Risikobasiertes Change Control
Risikobewertung bei der Stilllegung
Praxis der Risikoanalyse
Tipps und Tricks zur praktischen Durchführung
Erfahrungen aus der Risikoanalyse Praxis
Vorstellung konkreter, durchgeführter Risikoanalysen für GxP-relevante Systeme (Beispiele)
Vor- und Nachteile der gewählten Methodik
Vermeidbare Schwachstellen und Fehler
Regulatorische Anforderungen an Tests
Anforderungen internationaler GxP-Richtlinien
Inspektionspraxis und Erwartungshaltung der Behörden
Effiziente Umsetzung der Vorgaben
Nutzen von Tests/Aufbau einer Testorganisation
Aufwand / Nutzen von Tests
Gestaltung einer schlanken und effizienten Testorganisation
Notwendige Rollen und Verantwortlichkeiten
Risikoanalyse als Basis für optimales Testen
Optimale Einbindung in Testaktivitäten, Einfluss auf Testinhalte
Workshops: Testplanung / Testdurchführung
Anhand des typischen Szenarios ‚Einführung eines neuen validierungspflichtigen IT-Systems' sind die anwenderseitigen Testaktivitäten zu planen und umzusetzen.
Ziel: Die Teilnehmer verstehen, wie man Tests von GxP-relevanten IT-Systemen effizient und effektiv plant und durchführt.
Behördenkonforme Testdokumentation
Strukturierung, Notwendiger Detaillierungsgrad / Erforderliche Unterschriften, Benötigte Arbeitsanweisungen, Beispiele
Praxisbeispiel: Regressionstests im SAP R/3-Umfeld
Projektplanung / Meilensteine / Teamstruktur
Auswahlmethode für Testfälle
Aufbau der Dokumentation
Personalaufwand
Der Computervalidierungs-Beauftragte Block 2:
ERES / 21 CFR Part 11: Anforderungen an elektronische Aufzeichnungen
Was sind elektronische Aufzeichnungen?
Rechtliche Stellung des 21 CFR Part 11 und der FDA
Guidance for Industry „Scope and Applications“
Welche Systeme fallen unter Part 11; welche fallen nicht unter Part 11?
Predicate Rules – was ist damit gemeint?
Problemfeld Hybridsysteme
Audit Trail
Archivierung / Zugangsschutz
Offene Systeme
ERES / 21 CFR Part 11: Anforderungen an elektronische Unterschriften
Anforderungen bei Nutzung elektronischer Unterschriften
Systemarten zur Erstellung einer elektronischen Unterschrift (Biometrie, Smartcards)
Umsetzung der Part 11 Anforderungen durch technische und organisatorische Maßnahmen
Vorgehensweise zur Erreichung der Part 11-Konformität
Audit Trail Review<
Anforderungen an den Audit Trail
Integration in die Systemvalidierung
Welche Audit Trails müssen überprüft werden und durch wen?
Dokumentation des Reviews
Datenintegrität
ALCOA-Ansatz, Neue Richtlinien, Elemente eines Data Integrity Compliance Programms, Daten-Lebenszyklus
Besonderheiten der IT-Infrastruktur im Rahmen der Validierung computergestützter Systeme
Qualitätsmanagement im Infrastruktur-Bereich, Standards und Prozesse, Risikoanalyse, Qualifizierung der Infrastruktur als Basis der CSV
Elektronische Aufzeichnungen / Elektronische Unterschriften aus Sicht eines GMP-Inspektors
PIC/S PI 011 als Inspektionsleitfaden für ERES, Bedeutung des Benutzermanagements, Einfluss des Audit Trails bei ERES
Systemsicherheit aus Inspektorensi
Datenintegrität, System- und Datensicherheit, Benutzermanagement, Passwortkonzepte, Audit Trail
IT Security und deren Auswirkung auf die Validier
IT Sicherheit als kritischer Beitrag zur Validierung und Grundpfeiler für Compliance
Rechtliche und regulatorische Anforderungen an die IT Sicherheit
IT Sicherheitsrisiken und deren Bewertung
IT Sicherheitsmaßnahmen / Security Controls
Die Bedeutung kontinuierlicher Verbesserungen
Patch Management aus Sicht der IT-Security und der Qualitätssicherun
Was sind Patches? / Welche Gefahren gehen davon aus?
Umgang mit Patches
Patch Management in der betrieblichen Praxis
Risikobewertung von Patches
Praxisbeispiel CVSS
Patch Management bei Virtualisierung
Praktische Umsetzung der IT Security aus Sicht der Qualitätssicherung im pharmazeutischen Unternehmen
Bewertung der firmeninternen Sicherheitsstandards
Offshoring – Onshoring – Nearshoring
Kategorisierung von Daten
Personenbezogene Daten
Vertrauliche Informationen
Forced disclosure
Erfahrungen aus Inspektionen
Validierung einer Cloud Applikation (SaaS)
Wer ist zuständig – Service Provider oder Pharmazeutischer Unternehmer?
Welche Optionen für die Validierung bestehen?
Problemfelder
Vorgehen bei der Validierung auf Basis der Auditergebnisse
Lieferantenbewertung und Outsourcing aus Inspektorensi
Regulatorische Anforderungen, Inspektion der Lieferantenbewertung, Auswahl des Dienstleistungsunternehmens, Verträge
Lieferantenbewertung - Lieferantenaudit
Change Control / Periodic Evaluation / Back-up und Archivierung aus Inspektorensicht<
Maßnahmen zur Aufrechterhaltung des validierten Zustands aus Industriesicht
Besonderheiten von Automatisierungssystemen (z.B. PLS) im Rahmen der Validierung computergestützter Systeme
Behördeninspektionen von computergestützten Systemen - Findings und Abweichungen