Pharma IT-Konferenz 2018 & Pre-Konferenz Workshop

Programm

Workshop: Data Integrity – Risikobewertung der computergestützten Systeme
Dr. Wolfgang Schumacher / Stefan Schöttle
Zur Planung der erforderlichen Aktivitäten zur Erzielung einer Compliance mit den behördlichen Anforderungen ist eine Risikobewertung der computergestützten Systeme in Herstellung und Qualitätskontrolle unbedingt erforderlich (Risk-Based-Approach). Die Teilnehmer führen im Rahmen des Workshops unter Anleitung solche Assessments durch und diskutieren die Vor- und Nachteile der einzelnen Verfahren.

• Stand der betrieblichen Vorgaben zur Daten Integrität (Status-Quo der Vorgabedokumente)
• Scope und Strategie Definition (QC, Manufacturing, Logistics, CMO etc.)
• Risiko Definitionen für Systeme (z.B. Proximity to Product etc.) und Festlegung der Data Integrity Kritikalität bei Nichterfüllung der Anforderungen („Gap Criticality“):Grouping Strategie entwickeln (Quellen identifizieren, Inventar anlegen), Fragenkatalog entwickeln und festlegen
• Welche Rollen/Verantwortlichkeiten sind erforderlich?
• Festlegung der zu erstellenden Dokumentation (Spreadsheet vs. Assessment Tool)
• Follow-up Aktivitäten: Maßnahmen, Prioritäten, Inhalt, Form und Freigabeprocedere für Assessment Report und Remediation Plan, Überführung von definierten Maßnahmen in das PQS Monitoring System

Workshop: URS – e-Compliance Initiative
Yves Samson / Thorsten Weber
Über 25 Jahren nach der Publikation vom Annex 11 und über 20 Jahren nach der Inkraftsetzung von 21 CFR 11 sollte die Erfüllung der anwendbaren regulatorischen Anforderungen hinsichtlich der Datenintegrität sowie beim Betreiben von computergestützten Systemen eine Realität sein.
Mangelhafte e-Compliance Anforderungen seitens der Benutzer und unzureichender Verständnis der Regularien seitens der Systemlieferanten haben dazu geführt, dass viele heutige Systeme und Lösungen immer noch nicht die e-Compliance-Anforderungen lückenlos erfüllen.
In diesem Workshop werden die Teilnehmer die Gelegenheit haben, über die folgenden Punkte nachzudenken und beizutragen:

• Verbesserung der Effizienz und der Durchgängigkeit des Anforderungsmanagements
• e-Compliance-Anforderungen strukturieren, um die Standardisierung und die Wiederverwendung der Anforderungen sicherzustellen
• Klare und eindeutige e-Compliance-Anforderungen formulieren
• Systemfunktionalitäten anfordern, die die Betriebsaktivitäten effizient unterstützen können.

Workshop: Kompromittierung der GxP-Compliance durch fehlende IT-Security
Michael Wegmann
Sehr gute IT-Sicherheit ist eine Grundvoraussetzung für GxP Compliance. Die zunehmende Komplexität von IT-Lösungen (z.B. Cloud Computing) und zunehmende Vernetzung und Abhängigkeiten können die Verletzlichkeit kritischer Infrastrukturen, Anlagen und Dienste signifikant erhöhen. Hinzu kommen Veränderungen im Gefahrenspektrum, denen wirksam begegnet werden muss, sowie neue Gesetze und Vorschriften, die erfüllt werden müssen. Dieser Workshop gibt Anregungen zu praktikablen und bewährten Sicherheitsmaßnahmen. Die Teilnehmer sind eingeladen aktuelle Problemstellungen aus ihrer Tätigkeit vorzustellen, Optionen zur Lösung zu diskutieren und Erfahrungen auszutauschen.

• Aktuelle IT-Sicherheitsrisiken
• Beispiele von Zwischenfällen und wie man sie hätte vermeiden können.
• Strukturierter Ansatz zum Management von IT-Sicherheitsrisiken
• Risikobewertung
• Bewertung von Sicherheitsmaßnahmen
• Bewertung der verbleibenden Risiken.
• Akzeptanz von Risiken
• Schutz von kritischen Anlagen
• IT-Sicherheit und technischer Fortschritt (z.B. Cloud Computing)

Pharma IT Konferenz

PIC/S DI / GAMP DI

• PIC/S Good Data Management: Generelle Anforderungen, Betrachtungen für Papier, Betrachtungen für Computersysteme
• GAMP Leitfaden Datenintegrität: Struktur des Leitfadens, Beispiele für Anforderungen - die Sicht eines Inspektors

Datenmanagement in der GMP-Inspektion

• Mögliche Einordnung in der Inspektion
• Herangehensweisen in der Bewertung von Lieferanten
• Beispiele von Schwachstellen, die nicht in Warning Letters stehen

Supplier Audits

• Datenintegrität und Datenflüsse
• Schnittstellen
• IT-Infrastruktur-Sicherheit (Cybersicherheit, Update-Management, Disaster Recovery und Business Continuity Planning)
• Unterauftragnehmer
• Erhaltung des Compliance-Zustandes der Systeme

Probleme / Fragestellungen aus der Praxis

Risikomanagement – was passiert nach der Inbetriebnahme

• Incident Management
• Change Control
• Periodische Evaluierung
• Reflektion zur ersten Risikoanalyse

Ersetzendes Scannen

• Verfahren
• Qualitätskontrolle
• Qualitätssicherung
• Risikoanalyse
• Vernichtung der Originale
• True Copy

Inventarisierung von Systemen

• Welche Systeme werden wie von wem erfasst?
• Beschreibung der Systeme
• Kategorisierung nach GAMP5
• Bewertung der GMP-Relevanz
• Wie erfolgt die Inventarisierung: manuell oder elektronisch?

Medical Apps – Regularien für die Einführung und den Betrieb

• Wann ist eine App eine Medical App?
• Voraussetzungen für das Inverkehrbringen
• Validierung gem. DIN EN 62304
• Unterschiede AMG / MPG
• Blick in die Zukunft: welche Änderungen bringt die MDR (Medical Device Regulation)
• Anforderungen an den Anwender von Medical Apps
• Medical Apps auf einem mobile Device, Besonderheiten für Entwickler und Anwender
• Erfahrungen aus Inspektionen

Data Lake – Einsatz und Validierung im regulierten GMP-Umfeld

• Aufbau des Data Lake (Hybride Infrastruktur)
• Datenfluss (Kern, Quell- und Zielsysteme)
• Herausforderungen (Lieferanten, Cloud, Data Integrity, Scrum)
• Validierungsansatz („Core Validation“)

Neue Herausforderungen - IT-Infrastruktur?

• Neuer GAMP Good Practice Guide (Ver. 2)
• Infrastruktur Qualifizierung - Update 2018
• Outsourcing der Infrastruktur – Chancen und Risiken

Umgang mit IT-Altsystemen – sind diese überhaupt noch relevant?
Inspektorensicht:

• Systembeschreibung
• Bewertung der bisherigen Nutzung
• Welche Parameter sollten berücksichtigt werden?
• Risikoanalyse
• Art und Umfang der Testung

Industriesicht:

• Systembeschreibung / Anwendung des Systems (intended use)
• Vorgehen
• GxP Bewertung und Risikoanalyse
• Erfahrungsbericht und Qualifizierungstest/-reports