Speziell zum Thema Datenintegrität & Rohdatenmanagement wird am 12.05.2015 in Olten – CH eine 1-Tages Schulung stattfinden. Obwohl viele Systeme im Labor als validiert gelten, sind diese heutig im Inspektionsfokus nicht mehr als valide zu verteidigen.
Exemplarisch soll Bezug genommen werden auf den US-FDA Warning Letter vom 31.03.2015 – Hospira – Italien. Referenz: Warning Letter
Punkt 3 des Warning Letters:
3. Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records (21 CFR 211.68(b)).Specifically, your high performance liquid chromatography (HPLC) and gas chromatography (GC) data acquisition software, TotalChrom®, did not have sufficient controls to prevent the deletion or alteration of raw data files. During the inspection, the investigator observed that the server that maintains electronic raw data for HPLC and GC analyses (the J drive) contains a folder named “Test,” and that chromatographic methods, sequences, and injection data saved into this folder can be deleted by analysts. The investigator also found that data files initially created and stored in the “Test” folder had been deleted, and that back-up files are overwritten (b)(4).In addition, because no audit trail function was enabled for the “Test” folder, your firm was unable to verify what types of injections were made, who made them, or the date or time of deletion. The use of audit trails for computerized analytical instrumentation is essential to ensure the integrity and reliability of the electronic data generated.Your response indicates that you have added computer controls to prevent the deletion of folders and files in the J drive for electronic raw data. However, you provide no evidence demonstrating how your firm will prevent deletion of newly created folders and files in each of your computer systems. We acknowledge your commitment to hire a third party consultant to address the inadequacies of your data systems. However, your response is inadequate as it fails to address how you will enable and review audit trail functions for all of your analytical computer systems.In response to this letter, provide specific details about the comprehensive controls in place to ensure the integrity of electronic raw data generated by all computer systems used to support the manufacture and testing of drug products. Your response should demonstrate an understanding of your processes and the appropriate controls needed for each stage of manufacture that generates electronic raw data, as well as for your laboratories.We identified a similar inspectional finding during the December 2013 inspection of your Irugattukottai, Sriperumburdur, India, manufacturing facility and noted this finding in an Untitled Letter, issued April 16, 2014. Explain how your firm will implement global corrective actions and preventive actions concerning computer controls and provide a timeline for implementation.
Was war passiert?
Von der US FDA wird angemahnt, dass es keine ausreichende Kontrolle zur Vermeidung von Löschungen oder Änderungen von Rohdaten an den HPLC/GC Systemen gibt. Der FDA investigator hat dabei einen Blick bis auf Dateiebene bzw. Speicherort der Dateien genommen, und erkannt, dass dateibasierte Rohdaten in einem Ordner mit dem Namen “Test” gespeichert werden. Der Analytiker (Operator) hat volle Zugriffsrechte, d.h. lesende und schreibende Rechte, auf diesen Ordner (Speicherort). Erschwerend kam hinzu, dass der Investigator herausgefunden hat, dass auch Dateien (Rohdaten) gelöscht und dass dadurch Back-Up Dateien (Datensicherung) überschrieben wurden. Da die Funktion eines Audit Trails (elektronische Prüfspur für Änderungen) für den Ordner “Test” nicht aktiviert war (absichtlich oder nicht absichtlich), konnten die Änderungen bzw. Löschungen nicht nachvollzogen werden (berechtigt oder manipulativ). Dies ist natürlich ein grober GMP Verstoss.
Was wurde dann umgesetzt?
Leider wurde zwar dieser Misstand vorerst korrigiert, indem man das Laufwerk (J:) mit strikteren Zugriffskontrollen ausgestattet hat, aber es wurden neben dieser Korrektur keine Korrektur- oder Vorbeugemaßnahmen veranlasst (CAPA). Die US FDA mahnt zu Recht an, dass nun zwar die Dateien auf dem J-Laufwerk im Ordner TEST gesichert wurden, aber es keine Vermeidung für den Fall gibt, dass man einfach weitere Ordner (z.B. “Test_NEW”) anlegt und das System wieder umgehen kann. Der CAPA Prozess wurde hier komplett ausser Acht gelassen. Zudem wurde die Korrektur komplett undokumentiert (ohne Testnachweise) durchgeführt. Die Aussage der US FDA geht dadurch sogar noch ein wenig weiter: “demonstrate understanding of your processes”.
Es wäre sicherlich einfacher gewesen, grundsätzlich die Daten in einer rationalen Datenbank zu speichern, dies über einen Änderungsantrag sauber zu dokumentieren und zu testen – und nun auch präventiv dies für alle Labor-Systeme mit ählichen Strukturen zu überprüfen. Eine weitere Korrekturmaßnahme wäre zudem gewesen, bei Neuanschaffungen grundsätzlich die Speicherung auf Dateiebene zu vermeiden/verbieten. Die Antwort und Reaktion der Firma war in diesem Fall komplett ungenügend, so dass die US FDA natürlich hinterfragen muss, ob überhaupt Prozessverständnis vorhanden ist.
Systematik, Prozess im Griff, Zufall oder Pfusch?
Noch erschwerender kommt dann hinzu, dass die US FDA in der gleichen Firma ein sehr ähnliches Finding bereits in Indien im Dezember 2013 (also fast vor 16 Monaten) entdeckt hat.
Die US FDA fordert daher zu Recht – implement global corrective actions and preventive actions concerning computer controls and provide a timeline for implementation – d.h. es wird natürlich eine globale Umsetzung verlangt und dass dies mit konkreten Zeitlinien vorgegeben wird.