Pharmaunternehmen, deren Zulieferbetriebe, Biotechnologie-Firmen und Unternehmen aus dem Bereich klinischer und präklinischer Forschung unterliegen immer strengeren Vorschriften und Richtlinien. Die zunehmende Anzahl an Compliance-Themen, die auf die Unternehmen sowohl aus dem US-amerikanischen als auch europäischen Markt zukommen, stellen hohe Anforderungen an die Validierung der IT-Systeme und -Prozesse. Wie aber können die Unternehmen von diesen Regelwerken profitieren, wie die damit verbundenen Risiken aber als Chance begreifen? Vor allem aber: Wie kann die Einhaltung aller gesetzlichen Bestimmungen und damit die Compliance möglichst schnell und kostengünstig sichergestellt werden?

FDA-Compliance und ihre Bedeutung für Unternehmen

Geht es um die Zulassung pharmazeutischer Produkte auf dem amerikanischen Markt, sind die strengen Bestimmungen der FDA (Food and Drug Administration) zu erfüllen. Alle Systeme, die an der Produktion pharmazeutischer Produkte für die USA beteiligt sind, müssen daher validiert und FDA -compliant sein. In Europa wird die Zulassung für Arzneimittel oder gentechnisch hergestellte Präparate von der European Medicinal Evaluation Agency (EMEA) erteilt oder entzogen. Die Entscheidungen der EMEA sind für alle Mitgliedsstaaten der Europäischen Union bindend.

Betroffen davon sind dabei sowohl die Hersteller von Medikamenten und deren Zulieferer (Ausgangs- u. Hilfsstoffe, Geräte u. Medizinprodukte, Hard- u. Software) als auch Unternehmen aus dem Bereich der klinischen und präklinischen Forschung. Der von der FDA 1997 in Kraft gesetzte „21 CFR part 11, Electronic Records and Electronic Signatures, final rule“ regelt den Umgang mit elektronisch erzeugten und gespeicherten Daten sowie mit elektronisch geleisteten Unterschriften verbindlich. Zusätzliche Qualitätsregelwerke wie GMP (Good Manufacturing Practice), GLP (Good Laboratory Practice) oder GCP (Good Clinical Practice) legen neben den von den Behörden FDA und EMEA formulierten Regelwerken allgemeine Validierungs-Richtlinien fest.

Die Einhaltung ergänzender Leitlinien und Qualitätsnormen (ISO) stellen zwar keine behördlichen Anforderungen dar, sind jedoch die Grundlage für Qualitätsverpflichtungen eines Anbieters gegenüber seinen Kunden. Das bedeutet konkret, dass die IT-Systeme und –Prozesse der beteiligten Unternehmen ebenso wie die automatisierten Prozesse in Labor und Produktion FDA-compliant sein müssen. Für elektronisch erzeugte und gespeicherte Daten / elektronische Signaturen ist die 21 CFR part 11-Compliance notwendig.

Im Mittelpunkt: Dokumentation und Records Management

Die Computersysteme sind in den letzten Jahren immer stärker in die Sammlung, Prozessierung, Speicherung und Archivierung von Daten entlang der Wertschöpfungskette der Unternehmen eingebunden. Darüber hinaus sind die IT-Systeme auch ein integraler Bestandteil von automatisierten Prozessen in Labor und Produktion. Die Bandbreite der vorhandenen Systeme ist groß: Arbeitsplatzrechner und rechnergesteuerte Instrumente sowie LIMS (Laboratory Information Management Systems) in regulierten Umgebungen, Datenarchivierung und -Speicherung bis hin zu Produktionssteuerungs- und Prozessleitsystemen. Billing- und Chargen-Informationen bilden die Grundlage des unternehmensweiten Controllings in der pharmazeutischen ebenso wie in der chemischen Industrie.

Allen Compliance-Themen – ob nun für Pharma-Hersteller und deren Zulieferer (FDA, GMP etc.), die chemische Industrie entlang der gesamten Supply-Chain (REACH) oder den von Finanzbehörden geforderten (SOX, GDPdU) - ist eine Verpflichtung gemeinsam: Daten und Dokumente in der IT-Infrastruktur müssen nach fest definierten Workflows sicher vor Manipulationen und nach festgelegten Kriterien langzeitarchivierbar verwaltet werden. Im Zentrum der Compliance steht also primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen.

Lösungsansatz FDA-Compliance

Es gibt Lösungen zur Erreichung eines FDA-konformen Daten- und Records Managements, die einfach, kostengünstig und schnell implementierbar sind. Diese zeichnen sich durch die problemlose Integration in die bestehende Office-Welt des Unternehmens und die Unterstützung aller Intranets, Extranets und Webanwendungen (Collaboration) aus. Backend-Systeme wie z.B. Laborgeräte, PLS, LIMS, SAP, Oracle, Daten aus Mailingsystemen usw. lassen sich einfach einbeziehen. Für Projekte zur Erreichung einer Compliance – gleich ob FDA/GMP, REACH oder finanzgetriebene Themen – werden Projektfortschritt und –status übersichtlich in einem Management-Dashboard dargestellt, fehlende Dokumente und GAPs angezeigt. Die Integration beliebiger Backend-Systeme sowie die Einbindung bereits vorhandener, auch heterogener Systeme ist möglich. Ebenso kann eine Compliance-Lösung auf weitere Records, künftige Regularien und andere Compliance-Bereiche erweitert werden.

Wesentliches Qualitätskriterium dabei ist die Projektdurchführung: Bei der Lösungsfindung und deren Implementierung gilt es zu beachten, dass in der Planungsphase Regelungsumfang und -inhalte sowie die Vorgehensweise unternehmensspezifisch geklärt werden. Die betroffenen Systeme müssen daraufhin inventarisiert, der erstellte Fragenkatalog samt Auswertungen abgearbeitet werden. Die Anforderungen sollten zusätzlich in Testszenarien überprüft und in einem Projektplan dargestellt sein. Bei der Umsetzung sind Risikoanalysen der einzelnen Infrastrukturbereiche unabdingbar. Die Herstellung der Compliance wird ergänzt durch die notwendigen Zertifizierungen, Mitarbeiterschulungen und ein begleitendes Qualitätsmanagement während der gesamten Projektlaufzeit. Mit dieser Verbindung von System- und Prozessanalyse, Implementierung und Validierung lassen sich die unternehmensspezifischen Anforderungen bestimmungskonform realisieren: Risiken und Nebenwirkungen sind zum Wettbewerbsvorteil geworden.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Charakteristika einer erfolgreichen FDA-Compliance-Lösung
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

• Erfüllung der regulatorischen Anforderungen für ein audit- und revisionssicheres Daten- und Records Management,
• schnelle und individuelle Anpassungsmöglichkeit an Unternehmens-Prozesse und -Ziele unter Compliance-Aspekten
• Anbindung beliebiger Backendsysteme
• Bereitstellung von Tools und Werkzeugen für regularienkonforme Collaboration und Datenaustausch
• modulare Erweiterungsmöglichkeit auf andere Compliance-Themen