GxP in FDA-regulierten Branchen: Wie Sie komplexe „Good Practices“ umsetzen
Was versteht man unter GxP?
Der Schutz der digitalen Ressourcen eines Unternehmens vor lähmenden Cyberangriffen ist komplizierter denn je. Noch überwältigender ist die ständig wachsende Zahl von Compliance-Vorschriften und Standards, die Unternehmen einhalten müssen. Während Akronyme wie HIPAA, GDPR/DSGVO, GLBA, PCI DSS, NIST und SOX den Sicherheits- und Compliance-Experten leicht über die Lippen kommen, wird ein weiteres Akronym in Branchen wie der Pharma-, Kosmetik- und Lebensmittelindustrie immer wichtiger: GxP.
Das “x” in GxP ist ein Platzhalter, und die anderen Initialen stehen für „Good Practice”. Die Anforderungen dieser bewährten Methoden für verschiedene Aspekte der Entwicklung und des Vertriebs von Lebensmitteln und Gesundheitsprodukten werden von der U.S. Food and Drug Administration (FDA) mit dem Food, Drug, and Cosmetic Act und den Public Health Service Act festgelegt.
Da aber viele Hersteller in diesen Bereichen weltweit tätig sind, müssen sie sich an ein etwas breiteres Spektrum von Anforderungen halten, das auch Richtlinien der Europäischen Union, Japans und anderer Länder umfasst, in denen die Unternehmen möglicherweise geschäftlich tätig sind.
Zu den spezifischen GxP-Standards gehören:
- Current Good Manufacturing Practice (CGMP): Standards für “Methoden, Einrichtungen und Kontrollen, die bei der Herstellung, Verarbeitung und Verpackung” von FDA-regulierten Produkten verwendet werden. Diese Anforderungen gelten für Medikamente für Menschen und Tiere, medizinische Geräte, Blutprodukte, Lebensmittel und Nahrungsergänzungsmittel – und sogar für Tierfutter.
- Good Clinical Practice (GCP): Vorschriften für die Durchführung klinischer Prüfungen von Arzneimitteln, biologischen Produkten und Medizinprodukten.
- Good Laboratory Practice (GLP): Standards für nicht-klinische Laborstudien.
- Good Distribution Practice (GDP): Anforderungen an Großhändler zur Gewährleistung der Qualität und Integrität von Arzneimitteln in der gesamten Lieferkette.
- Good Quality Practice (GQP): Anwendung der CGMP im Rahmen eines pharmazeutischen Qualitätssystems (PQS). Das japanische Ministerium für Gesundheit, Arbeit und Soziales (MHLW) regelt die GQP in diesem Land mit seiner Ordinance No. 136, die zu einer Art weltweitem Standard geworden ist.
- Good Pharmacovigilance Practice (GVP): Bewährte Verfahren für eine kontinuierliche Sicherheitsüberwachung von Arzneimitteln.
Die entscheidenden inhaltlichen Anforderungen von GxP
Wie Sie sehen können, sind die GxP-Anforderungen umfangreich und gelegentlich verwirrend. Es gibt kein einheitliches Regelwerk, auf das man sich berufen kann, und die Unternehmen sind weitgehend auf sich allein gestellt, wenn es darum geht, die Anforderungen in den Vereinigten Staaten zusammenzutragen – ganz zu schweigen von den Anforderungen in anderen Ländern, in denen sie möglicherweise tätig sind. Im Gegensatz zu anderen Vorschriften und Standards gibt es keinen GxP-Auditor, und echte Experten für die Einhaltung der GxP-Richtlinien sind relativ selten.
Aber unabhängig davon, wofür das “x” in GxP steht, ist der Schutz sensibler Inhalte von größter Bedeutung für die Einhaltung der Vorgaben der GxP. Dies beinhaltet eine Reihe von Aspekten:
- Electronic Records Requirements: Controls for a Closed System (Anforderungen an elektronische Aufzeichnungen: Kontrollen für ein geschlossenes System). FDA CFR Part 11 legt Standards für elektronische Aufzeichnungen und elektronische Signaturen fest, die sich auf alle digitalen Daten und Inhalte auswirken, die mit GxP-Maßnahmen zu tun haben. Diese Vorschrift erfordert die folgenden Technologiekontrollen:
- Validierung von Systemen zur Gewährleistung von Genauigkeit, Zuverlässigkeit, konsistenter beabsichtigter Leistung und der Fähigkeit, ungültige oder geänderte Aufzeichnungen zu erkennen
- Die Fähigkeit, genaue und vollständige Kopien in menschenlesbarer und elektronischer Form zu erstellen
- Schutz der Aufzeichnungen, damit sie genau und schnell wiedergefunden werden können
- Beschränkung des Systemzugriffs auf autorisierte Personen
- Sichere, mit Zeitstempel versehene Audit-Trails für alle Versionen
Die Vorgabe verlangt auch die folgenden dokumentierten Prozesse:
- Betriebliche Systemprüfungen zur Durchsetzung von Richtlinien, soweit erforderlich
- Berechtigungsprüfungen, um sicherzustellen, dass nur autorisierte Personen ein Dokument einsehen, ändern oder unterschreiben können
- Geräteprüfungen zur Validierung der Quelle der eingegebenen Daten
- Überprüfung, ob die Personen, die elektronische Dokumentensysteme verwalten, angemessen geschult sind
- Schriftliche Richtlinien, die Einzelpersonen für Handlungen verantwortlich machen, die durch ihre elektronische Unterschrift ausgelöst wurden
- Kontrollen über die Verteilung von, den Zugang zu und die Verwendung von Dokumentation für den Betrieb und die Wartung des Systems
- Revisions- und Änderungskontrollverfahren zur Gewährleistung eines Audit-Trails, der die zeitliche Abfolge der Entwicklung und Änderung der Systemdokumentation festhält
Elektronische Signaturen müssen Folgendes enthalten:
- den gedruckten Namen des Unterzeichners
- das Datum und die Uhrzeit, zu der eine Unterschrift geleistet wurde
- die mit der Signatur verbundene Bedeutung (z. B. Überprüfung, Genehmigung, Verantwortung, Urheberschaft)
- Good Documentation Practices (GDocP) (Gute Dokumentationsmethoden) Wie bei anderen GxP-Anforderungen gibt es kein einziges, verbindliches Dokument, in dem die guten Dokumentationsmethoden (Good Documentation Practices, GDocP) aufgeführt sind.
Diese Anforderungen finden sich in der Dokumentation für andere GxP-Standards sowie in der Rechtsprechung in Bezug auf Unternehmen, die in der Vergangenheit wegen Verstößen angeklagt worden sind. Aber wie der Name schon sagt, sind allgemein anerkannte Best Practices erforderlich, wenn es um die Dokumentation geht – Dinge, die jedes Unternehmen im Rahmen des allgemeinen Risikomanagements tun sollte.
Ein Schlüsselelement von GDocP ist die Einführung von Standardarbeitsanweisungen (Standard Operating Procedures, SOPs) für die Aufbewahrung von Unterlagen. Dies ist für die Zertifizierung nach ISO 9001:2015 erforderlich und entscheidend für die Einhaltung von Gesetzen wie dem U.S. Prescription Drug Marketing Act (PDMA), der den Verkauf von manipulierten, abgelaufenen und gefälschten Medikamenten verbietet. Um dies zu vermeiden, sind natürlich detaillierte Aufzeichnungen erforderlich.
Die GDocP-Richtlinien für SOPs zur Aufbewahrung von Unterlagen umfassen:
- Die Erstellung der Dokumente muss zeitgleich mit dem Ereignis erfolgen, das sie beschreiben, sie dürfen nicht handschriftlich verfasst sein, abgesehen von lesbaren Randnotizen, sie müssen auf ihre Richtigkeit überprüft werden und sie dürfen keine Fehler enthalten.
- Die Genehmigung eines Dokuments darf nur von einer autorisierten Person mit physischer oder elektronischer Unterschrift und Datum ausgeführt werden.
- Handschriftliche Eintragungen müssen mit dokumentenechter Tinte vorgenommen werden. Es muss Platz für handschriftliche Eintragungen gelassen werden, wenn dies erwartet wird, und es dürfen keine Leerräume für handschriftliche Eintragungen gelassen werden (“N/A” sollte verwendet werden, wenn kein Eintrag erforderlich ist).
- Die Pflege der Dokumente erfolgt nach einem regelmäßigen Zeitplan, die Dokumente werden für die angegebene Dauer aufbewahrt, die Dokumentenverwaltungssysteme werden validiert und die elektronischen Unterlagen werden gesichert.
- Änderungen an Dokumenten müssen sorgfältig dokumentiert werden, ob handschriftlich oder elektronisch. Es sollten Verfahren vorhanden sein, die die Verwendung von überholten Dokumenten verhindern, und es sollte ein Audit-Trail für alle Versionen geführt werden.
- ALCOA+. Letzten Endes läuft das komplizierte Sammelsurium von GxP- und GDocP-Anforderungen auf das Prinzip von ALCOA+ Dieses Rahmenwerk wird in verschiedenen Branchen und bei vielen staatlichen und quasi-staatlichen Stellen immer bekannter und zunehmend angewandt.
Das ursprüngliche ALCOA-Akronym umfasste fünf grundlegende Aspekte der Datensicherheit, die sicherstellen, dass die folgenden Punkte eingehalten werden:
- Attributable (Zuschreibbar): Ersteller und Mitwirkende sollten eindeutig identifiziert werden, und Versionskontrollen sollten vor nicht autorisierten Änderungen schützen.
- Legible (Lesbar): Die Dokumente müssen visuell lesbar und sprachlich klar sein.
- Contemporaneous (Zeitnah): Es muss klar sein, wann ein Dokument erstellt wurde, und das System sollte die laufende zeitgleiche Aufzeichnung unterstützen.
- Original: Originale sollten eher aufbewahrt werden als spätere Kopien.
- Accurate (Akkurat): Die Dokumente müssen aktuell und sachlich korrekt sein.
Seitdem wurden weitere wichtige Merkmale hinzugefügt und das Framework wurde in ALCOA+ umbenannt. Die hinzugefügten Konzepte besagen, dass Inhalte den folgenden Anforderungen entsprechen sollen:
- Vollständig: Ein Audit-Trail muss belegen, dass keine Daten entfernt wurden.
- Konsistent: Zeit- und Datumsstempel sollten sicherstellen, dass der Inhalt ordnungsgemäß zusammengestellt wurde.
- Dauerhaft: Inhalte sollten mindestens so lange aufbewahrt werden, wie es die Vorschriften vorschreiben, und die Geräte, auf denen sie aufgezeichnet werden, müssen langlebig genug sein, um diesen Anforderungen zu genügen.
- Verfügbar: Die Daten müssen für autorisierte Parteien, die sie benötigen, zugänglich sein – Auditoren und interne Benutzer, die sie für ihre weitere Arbeit benötigen.
Wie Kiteworks Kunden dabei hilft, die kritischen inhaltlichen Anforderungen von GxP zu erfüllen
In den meisten Unternehmen werden vertrauliche Inhalte über verschiedene Kommunikationskanäle mit einer Vielzahl von externen Benutzern geteilt.
Beim Austausch vertraulicher Inhalte mit internen und externen Personen neigen Benutzer dazu, den Kommunikationskanal zu nutzen, der die geringsten Reibungsverluste verursacht – häufig E-Mail-Anhänge, aber auch File Sharing, Managed File Transfer (MFT) und Collaboration-Tools. Dies macht es sehr schwierig, den Austausch von Inhalten zu verfolgen, geschweige denn zu schützen, und öffnet eine eklatante Lücke im Sicherheitssystem eines Unternehmens – und in der GxP-Compliance.
Eine aktuelle Studie von Kiteworks unterstreicht dieses Problem. Der 2022 Sensitive Content Communications Privacy and Compliance Report zeigt, dass 62 % der Unternehmen vier oder mehr Systeme für die Nachverfolgung, Kontrolle und den Schutz der Kommunikation mit sensiblen Daten mit externen Parteien verwenden. Mehr als die Hälfte der Unternehmen (51 %) verfügt über keinerlei Technologien und Prozesse, um das mit einer solchen Kommunikation verbundene Risiko zu messen, geschweige denn, es zu minimieren.
Dieses Flickwerk an Kommunikationskanälen für vertrauliche Inhalte führt zu einer kaum zu bewältigenden Komplexität, wenn es um die Einhaltung vieler Standards, einschließlich GxP, geht. Unternehmen, die die GxP-Vorschriften einhalten wollen, müssen einen robusten Ansatz für das Cybersecurity-Risikomanagement sowie eine Strategie für das Risikomanagement von Lieferanten entwickeln, um Datenschutzverletzungen in der Lieferkette zu minimieren. Kiteworks ermöglicht es Kunden, Datenintegrität zu erreichen und die GxP-Anforderungen zu erfüllen, indem sie ein Private Content Network (PCN) einrichten.
Ein PCN vereinheitlicht den Austausch aller GxP-relevanten Inhalte auf einer Plattform. Das PCN vereint alle Kommunikationskanäle (E-Mail, File-Sharing-Plattformen, MFT, Web-Formulare, APIs) und Datensysteme (Recherche-Tools, CRM, ERP, EMR, Collaboration-Tools).
Es vereinheitlicht die Freigabe aller Arten von vertraulichen Inhalten für alle externen Benutzer (Zulieferer, Steuerberater, Aufsichtsbehörden, Investoren, Partner, Rechtsberater) und muss in die umfassendere Strategie für das Third-Party-Risk-Management (TPRM) eines Unternehmens integriert werden. Das PCN sollte mit einem lokalen Hosting, einem Hosting durch den Anbieter oder einem Hosting in einer Hybrid-Cloud kompatibel sein.
Mit einem Kiteworks PCN können Unternehmen nachweisen, dass sie die folgenden Elemente, die oben beschrieben wurden, einhalten:
- Electronic Records Requirements
- Validierung von Systemen
- Erstellung genauer und vollständiger Kopien
- Schutz der Aufzeichnungen
- Beschränkung des Systemzugriffs
- Sichere, mit Zeitstempel versehene Audit-Trails
- Good Documentation Practices (GDocP)
- Aufzeichnungen über die Erstellung von Dokumenten: Zeitplanung, Überprüfung der Richtigkeit und Fehlerbeseitigung
- Vermerk über die Genehmigung eines Dokuments
- Pflege von Dokumenten über den gesamten Lebenszyklus und Validierung von Dokumenten-Management-Systemen
- Audit-Trails für Dokumentenänderungen, Versionskontrolle und überholte Versionen
- ALCOA+
- Dokumentation aller Elemente von ALCOA+ in einem gemeinsamen PCN für jedweden Austausch von Inhalten
Integrität der Daten erreichen
Die Entwicklung und Herstellung von Lebensmitteln und Gesundheitsprodukten ist ein wichtiges Geschäftsfeld, und die Einhaltung all dieser “Good Practices” ist sowohl für die öffentliche Sicherheit als auch für die wirtschaftliche Rentabilität von entscheidender Bedeutung. Bei pharmazeutischen Unternehmen haben Cyberangriffe deutlich zugenommen.
Einer der Gründe dafür ist die Notwendigkeit signifikanter Verbesserungen bei der Steuerung und dem Risikomanagement der Kommunikation mit sensiblen Inhalten mit externen Parteien. So gaben 37 % der Pharmaunternehmen an, dass ein neuer Ansatz oder erhebliche Verbesserungsmaßnahmen erforderlich sind. Das Risiko ist zweifellos vorhanden. Eine kürzlich durchgeführte Untersuchung von Datenschutzverletzungen und Datenlecks in der Pharmabranche über einen Zeitraum von vier Jahren (2018-2021) ergab, dass 59 % der Datenschutzverletzungen und 76 % der gesamten Offenlegungen in den letzten beiden Jahren des Zeitraums stattfanden.
Wenn man bedenkt, dass ein typisches Medikament, das vielleicht 10 Jahre lang auf dem Markt ist, 2,6 Milliarden Dollar kostet, ist es inakzeptabel, diese Investition mit unsicheren Kommunikationsmethoden für vertrauliche Inhalte zu verschwenden.
Unternehmen müssen eine Vielzahl von Maßnahmen ergreifen, um alle Aspekte der GxP einzuhalten. Doch wenn es um Inhalte geht, kann Kiteworks Ihnen helfen, die GxP-Anforderungen sehr schnell umzusetzen. Auf diese Weise können Sie unzählige Risiken vermeiden, die von Ihren sensiblen Inhalten in Bezug auf jeden Schritt des Entwicklungs-, Herstellungs- und Vertriebsprozesses ausgehen.
Fordern Sie noch heute eine Kiteworks-Demo für Ihr Unternehmen an, indem Sie hier klicken.
Weitere Informationen