Block 2
ERES / 21 CFR Part 11: Elektronische Aufzeichnungen
- Was sind elektronische Aufzeichnungen?
- 21 CFR Part 11 und der FDA Guidance for Industry „Scope and Applications“
- Welche Systeme fallen unter Part 11; welche nicht?
- Predicate Rules – was ist damit gemeint?
- Problemfeld Hybridsysteme
- Audit Trail
- Archivierung / Zugangsschutz
- Offene Systeme
ERES / 21 CFR Part 11: Elektronische Unterschriften
- Anforderungen bei Nutzung elektronischer Unterschriften
- Systemarten zur Erstellung einer elektronischen Unterschrift (Biometrie, Smartcards)
- Umsetzung der Part 11 Anforderungen durch technische und organisatorische Maßnahmen
- Vorgehensweise zur Erreichung der Part 11-Konformität
Audit Trail Review
- Anforderungen an den Audit Trail
- Integration in die Systemvalidierung
- Welche Audit Trails müssen überprüft werden und durch wen?
- Dokumentation des Reviews
Datenintegrität
- ALCOA-Ansatz
- Neue Richtlinien
- Elemente eines Data Integrity Compliance Programms
- Daten-Lebenszyklus
Besonderheiten der IT-Infrastruktur im Rahmen der Validierung computergestützter Systeme
- Qualitätsmanagement im Infrastruktur-Bereich
- Standards und Prozesse
- Risikoanalyse
- Qualifizierung der Infrastruktur als Basis der CSV
System- und Datensicherheit aus Inspektorensicht
- Datenintegrität / System- und Datensicherheit
- Benutzermanagement / Passwortkonzepte
- Audit Trail
IT Security und deren Auswirkung auf die Validierung
- IT Sicherheit als kritischer Beitrag zur Validierung und Grundpfeiler für Compliance
- Rechtliche und regulatorische Anforderungen an die IT Sicherheit
- IT Sicherheitsrisiken und deren Bewertung
- IT Sicherheitsmaßnahmen / Security Controls
- Die Bedeutung kontinuierlicher Verbesserungen
Patch Management aus Sicht der IT-Security und der Qualitätssicherung
- Was sind Patches? / Welche Gefahren gehen davon aus?
- Umgang mit Patches
- Patch Management in der betrieblichen Praxis
- Risikobewertung von Patches
- Praxisbeispiel CVSS
- Patch Management bei Virtualisierung
Praktische Umsetzung der IT Security aus Sicht der Qualitätssicherung im pharmazeutischen Unternehmen
- Bewertung der firmeninternen Sicherheitsstandards
- Offshoring – Onshoring – Nearshoring
- Kategorisierung von Daten
- Personenbezogene Daten
- Vertrauliche Informationen
- Forced disclosure
- Erfahrungen aus Inspektionen
Validierung einer Cloud Applikation (SaaS)
- Wer ist zuständig – Service Provider oder Pharmazeutischer Unternehmer?
- Welche Optionen für die Validierung bestehen?
- Problemfelder
- Vorgehen bei der Validierung auf Basis der Auditergebnisse
Lieferantenbewertung und Outsourcing aus Inspektorensicht
- Regulatorische Anforderungen
- Inspektion der Lieferantenbewertung
- Auswahl des Dienstleistungsunternehmens
- Verträge
Lieferantenbewertung - Lieferantenaudit
- Welche Firmen sollten auditiert werden?
- Risikobasierter Auditansatz
- Bewertung / Audit / Assessment
- Rating der Findings / Auditbericht
- Abweichungen und Mängel beim Lieferanten
Change Control / Periodic Evaluation / Back-up und Archivierung aus Inspektorensicht
- EU-GMP / PIC/S PI 011
- ISO / IEC 27002
- Back-up und Archivierung
Change Control bei der Validierung computergestützter Systeme
- Änderungskategorien (Projekt vs. Betrieb)
- Abgrenzung Änderung / Abweichung
- Organisatorische Einbindung in das Qualitätssystem
- Ablauf und Verantwortlichkeiten
Maßnahmen zur Aufrechterhaltung des validierten Zustands aus Industriesicht
- Übergabe an den Betrieb
- Behandlung von Fehlern und Patchen während des Betriebs
- Periodic Review
- Datenarchivierung und Datenmigration
- Außerbetriebnahme (Stilllegung)
Besonderheiten von Automatisierungssystemen (z.B. PLS) im Rahmen der Validierung computergestützter Systeme
- Validierung der Steuerung im Rahmen der Anlagenqualifizierung oder als eigenes Projekt?
- Vom Konzept zum Parametrieren, Konfigurieren und Programmieren
- SPSen im Rahmen der GAMP-Kategorien
- Prozessleitsysteme und deren Validierung
Behördeninspektionen von computergestützten Systemen - Findings und Abweichungen
- Vorgehensweise bei Inspektionen
- Bedeutung der Validierung computergestützter Systeme im Rahmen von Behördenaudits
- Top Ten der Beanstandungen
- Was erwartet der Inspektor vom inspizierten Unternehmen
Übungen
- Einstufung von Systemen aus Labor und Produktion hinsichtlich ihrer Part 11 Relevanz - Anwendung des Entscheidungsbaums der FDA aus „Scope and Application“.
Übungen
- Teilnehmer bewerten Audit Trails für mehrere Systeme in QK/QS und Produktion.
Übungen: Lieferantenbewertung - Lieferantenauditierung
Im Rahmen der Übung werden Kriterien für die Planung, Durchführung und Bewertung von Audits erarbeitet.
Block 1
Begrüßung / Einführung
Regulatorische Grundlagen
- AMWHV und Computervalidierung
- Regulatorische Forderungen durch Annex 11
- PIC/S PI 011
Computer-Validierungs-Lebenszyklus
- GAMP® 4 / GAMP® 5 / V-Modell / Spoon-Modell
- GAMP-Kategorien und deren Bedeutung für den Validierungsaufwand
- Skalierbarkeit
- Lieferantenbeteiligung
Computer-Validierungs-Lebenszyklus aus Inspektorensicht
- Validierungskonzepte aus Sicht eines Inspektors
- Validierungs-Masterplan / Validierungsplan
- Anforderungen (URS), Risikomanagement und Testen als integrales Element der Validierung
- Rückverfolgbarkeit von Anforderungen
Einordnung von Systemen in die GAMP-Kategorien - Beispiele
Anforderungen und Lebenszyklus
- Grundsätzliches zu Anforderungen
- Benutzeranforderungen (URS)
- Funktionale Spezifikationen (FS)
- Problematische Anforderungen
Leitfaden zur Erarbeitung von Anforderungen und Spezifikationen
- Anforderungsfalle vermeiden
- Qualitätsmerkmale von Anforderungen
- Anforderungsmanagement
- Umfang und Detaillierungsgrad – Gefahr der „Überdetaillierung“
- Traceability von Anforderungen
Risikomanagement praktisch anhand des GAMP® 5 Lifecycle inkl. Übungen
- Warum Risikomanagement und was versteht man darunter
- Risikobasierte Lifecycle-Aktivitäten
Risikomanagement praktisch anhand des GAMP 5 Lifecycle / Praxis der Risikoanalyse
- Tipps und Tricks zur praktischen Durchführung
- Erfahrungen aus der Risikoanalyse-Praxis
- Vorstellung konkreter, durchgeführter Risikoanalysen für GxP-relevante Systeme
- Vor- und Nachteile der gewählten Methodik
- Vermeidbare Schwachstellen und Fehler
Regulatorische Anforderungen an Tests
- Anforderungen internationaler GxP-Richtlinien
- Inspektionspraxis und Erwartungshaltung der Behörden
- Effiziente Umsetzung der Vorgaben
Aufwand und Nutzen von Tests
- Gestaltung einer schlanken und effizienten Testorganisation
- Notwendige Rollen und Verantwortlichkeiten
Risikoanalyse als Basis für optimales Testen
- Optimale Einbindung in Testaktivitäten
- Einfluss auf Testinhalte
Praxisbeispiel: Regressionstests im ERP-Umfeld
- Projektplanung / Meilensteine / Teamstruktur
- Auswahlmethode für Testfälle
- Aufbau der Dokumentation / Personalaufwand
Behördenkonforme Testdokumentation
- Strukturierung
- Notwendiger Detaillierungsgrad / Erforderliche Unterschriften
- Benötigte Arbeitsanweisungen
- Beispiele