Landkarte

Einführung zur Serie Datenintegrität: In der Datenintegrität mit 9 Schritten sicher vom Chaos zum klaren Weg – So verzetteln Sie sich nicht!

von

Wie die FDA und andere Aufsichtsbehörden klar zum Ausdruck bringen, ist Datenintegrität für die Patientenqualität im GxP Umfeld ein kritischer Faktor. Auch wenn das Thema aktuell besonders im Fokus der FDA steht, sind auch wir auf diesem Kontinent nicht in „Sicherheit“ und müssen uns mit diesem neuen, prekären Thema oder besser gesagt, der neuen Sichtweise auf das bekannte Thema auseinandersetzen.

Dies ist jedoch keine neue Tatsache, vielmehr hat sich unsere Umgebung geändert. Alles ist komplexer, digitaler, computerisierter und es sind mehr Integrationen beteiligt. Heutzutage kommuniziert der Mastercycler im Labor direkt mit dem MES oder über das LIMS, um Daten für eine elektronische Chargenfreigabe abzurufen – von komplexen Systemen, wie Robotern und deren Schnittstellensystemen ganz zu schweigen. Hinzu kommt außerdem, dass Regelwerke oftmals nicht 100% eindeutig sind oder unterschiedlich ausgelegt werden können.

Das Ziel dieser Artikel-Serie, in der ich einen Ansatz beschreibe, den viele Unternehmen, die das Thema bereits adressiert ganz oder in Teilen befolgen, ist es daher, dass auch Sie diese neue Sichtweise auf die Datenintegrität entwickeln und auch anwenden können. In diesem Artikel werde ich Ihnen aufzeigen, wie Sie in nur neun Schritten mit 100-prozentiger Sicherheit zu Ihrer persönlichen Datenintegritätslösung finden.

Die 5 großen Herausforderungen

1. Unklare Rechtslage

Es gibt Regelwerke aus dem Bereich des EU GMP Leitfadens sowie von der WHO, natürlich das AMG, die Richtlinien von der FDA und MHRA, um nur einige wenige zu nennen. Ergänzt wird das Ganze dann noch durch eine Unzahl an aktuellen Entwurfsdokumenten von Behörden, Inspektoren und Arbeitsgruppen, die teilweise sogar widersprüchlich sind.

Es liegt also eine nicht ganz einfache Rechtslage, in einer neuen und sich immer schneller entwickelnden technischen Umgebung vor. Daher wird es immer schwieriger für die Verantwortlichen den Überblick zu behalten. Außerdem werden, um dieser Aufgabe gerecht zu werden, zunehmend Fertigkeiten und Wissen in den Bereichen Qualität und EDV notwendig. Mitarbeiter im Bereich der Qualität sind jedoch normalerweise keine EDV Spezialisten und die EDV Spezialisten legen üblicherweise keinen Fokus auf Qualitätsthemen. Was die Problematik zunehmend erschwert.

Wenn wir das ganze Thema jetzt noch mit den aktuellen Trends wie Pharma 4.0, Big Data oder Machine Learning kombinieren, wird es richtig spannend! 🙂

2. Mangelndes Wissen und Unsicherheit

In einer ersten Umfrage wurden 29 betroffenen Mitarbeitern aus den Bereichen Computer Systeme, QC, QA, und anderen kleineren Bereichen befragt. Diese habe sich selbst im Bereich Datenintegrität im Durchschnitt nur mit der Note 3,5 bewertet. Dies entspricht einer Note zwischen befriedigend und ausreichend und spiegelt die große Unsicherheit der Mitarbeiter, wenn es um Datenintegrität geht, wieder. Daher scheint es die große Herausforderung zu sein, dass eigene Wissen sowie das Wissen der Mitarbeiter auf diesem Gebiet zu schulen und auszubauen. Die Teilnehmer der Studie gaben außerdem an, dass sie sich klare Anforderungen und Anweisungen wünschen: „Klärung der Anforderungen, so dass bei internen und externen Inspektionen auf beiden Seiten Klarheit bezüglich der gegenseitigen Erwartungen herrscht.“

3. Mangelnde Abgrenzung

Die Studie deckte außerdem auf, dass eine mangelnde Abgrenzung herrscht, was für die befragten Mitarbeiter ein Problem darstellt. Ein Teilnehmer sagte zum Beispiel: „Globale Formulierungen in den Regelwerken lassen den Umfang nur schwer auf ein vernünftiges Maß eingrenzen.“ Ein anderer Teilnehmer führte mangelnden Realismus an: „Es müssen alle Eventualitäten berücksichtig werden, auch wenn sie unrealistisch sind.“

Die befragten Mitarbeiter hoffen, dass auch bei der Datenintegrität der Fokus zukünftig auf das wirklich Wichtige gelegt wird. Andere Teilnehmer wünschen sich pragmatische Lösungen, wie z.B. „Das die Einhaltung der Vorgaben in der Praxis nicht nur möglich sind, sondern auch Sinn machen.“ oder „Das sich pragmatischen Prozesse entwickeln, die sich auch für ein Umfeld mit unterschiedlich modernem Equipment eignen.“.

4. Mangelnde Informationen und Definitionen

Hinzu kommt, dass klare Definitionen fehlen. So ist aus meiner Sicht beispielweise der Begriff „Datenintegrität“ noch nicht klar definiert und es mangelt außerdem an genügend Informationen zu diesem Thema, was bspw. die Aussagen „Wo finde ich die Anforderungen zur Datenintegrität?“ und „Zu viele unterschiedliche Informationsquellen zu diesem Thema.“ belegen. Die Vorgaben sind also unklar und müssen im Unternehmen oft erst ausgearbeitet werden. Was Mitarbeiter sich also laut der Studie wünschen, sind ganz offensichtlich „Klare Regelung darüber, was führende Dokumente sind, über Datenredundanz“ und auch Informationen dazu, „was ist wie zulässig/ akzeptiert“.

5. Probleme mit Software und Hardware

Ein weiteres Problem ist, dass Gerätehersteller im Rahmen der Datenintegrität nicht immer mitziehen und auch Software und Hardware oft nicht darauf ausgelegt sind. So ist die Systemumgebung oft unklar und Studienteilnehmer beschweren sich über die mangelnde Funktionalität und veraltete Systeme: „Umgang mit alten Systemen, die noch gut funktionieren aber keine Funktionalitäten haben.“.

Was sich die Teilnehmer hier wünschen würden, ist zum Beispiel ein konfigurierbarer Audittrail („Anpassungen/Review und Benutzerrechteverwaltung“). Natürlich ist die Ursache für das Soft- und Hardwareproblem auch bei den Kosten angesiedelt. Ein Teilnehmer zum Beispiel sagte: „Der Großteil der verfügbaren Software passt nicht zu den aktuellen DI-Anforderungen (bzw. anders herum) und kann nur durch recht hohen administrativen und organisatorischen Aufwand gelöst werden. Die Zeiten/Kosten für Softwarevalidierung sind sprunghaft angestiegen.“.

Mein System: Die neun Schritte zur Datenintegrität!

Wie bereits erwähnt, sind die Anforderungen bei der Datenintegrität nicht neu und so habe ich im Laufe der letzten Jahre ein System für die Umsetzung von Datenintegrität in dynamischen Umgebungen entwickelt. Dabei wollte ich, ähnlich wie beim V-Modell, eine klare Struktur für das Vorgehen schaffen. Was dabei entstanden ist, möchte ich nun hier mit Ihnen teilen:

Das Ziel ist es, mit einem standardisierten Vorgehen einen individuellen Plan, zugeschnitten auf Ihre Anforderungen und Bedürfnisse, zu erarbeiten, der Ihnen hilft, sich während des Prozesses auf die wichtigen Aufgaben zu konzentrieren. So vermeiden Sie das Risiko, viel Energie und Zeit in die Bearbeitung von Aufgaben zu stecken, deren Priorität eigentlich untergeordnet ist.

Das Vorgehen habe ich zunächst, wie beim Erstellen einer Landkarte, in drei Blöcke unterteilt.

1. Das Festlegen der Legende

2. Das Zeichnen der Karte und

3. Das Festlegen des Weges

Jedem Block habe ich dann drei Unterschritte zugeordnet, wodurch sich die insgesamt neun Schritte ergeben. Jeder einzelne der neun Schritte soll zu einem vollständigen Arbeitsergebnis führen, so dass der Aufwand sehr gut segmentiert und eingeteilt werden kann.

Block 1 – Das Festlegen der Legende

In diesem Block legen Sie die Parameter und Eckdaten fest.

Schritt 1: Wie sind die regulatorischen Grundlagen?

Wie es schon bei Harry Potter heißt: Es wird vieles erzählt, ob auch die Wahrheit dabei ist, ist ungewiss.

Deshalb gilt es im ersten Schritt die zutreffenden gesetzlichen Grundlagen für den geplanten Einsatzbereich durchzuarbeiten. Grundlegend sind das die Anforderungen aus AMWHv, AMG, EU GMP Leitfaden und der WHO. Zusätzlich müssen oft noch die Anforderungen der FDA einbezogen werden. Um auch in Zukunft auf der sicheren Seite zu sein, empfiehlt es sich, zusätzlich aktuelle Entwurfsdokumente der einschlägigen Behörden zu sichten.

Schritt 2: Festlegen der Begriffe

Ein großer Teil der Verwirrung in Datenintegritäts- und anderen abteilungsübergreifenden Projekten resultiert aus unklaren Definitionen. Deswegen ist es extrem wichtig, Begriffe sauber abzugrenzen und deren Bedeutung festzulegen, was wir im 2. Schritt in die Hand nehmen.

  • Was sind unsere Rollen?
  • Was bezeichnen wir als Rohdaten?
  • Wie definieren wir ein System, Gerät?
  • etc.

Als sehr hilfreich hat sich hier ein Firmenglossar erwiesen, auf welches aus allen Teilbereichen heraus referenziert werden kann.

Schritt 3: Technischer Hintergrund, Rohdaten und Schnittstellen

Der Schritt 3 besteht aus 3 einzelnen Artikeln (Teil 1, Teil 2, Teil 3). In diesem Schritt sammeln Sie alle Informationen darüber, welche Systeme vorhanden sind und wo diese kritische Daten beinhalten könnten, welche Schnittstellen es tatsächlich gibt und wie diese funktionieren. Verschaffen Sie sich einen Überblick über Datenbanken und Dateischnittstellen und vergessen Sie dabei nicht die Mensch – Mensch- und die Mensch – Maschinenschnittstellen.


Block 2 – Das Zeichnen der Karte

In diesem Block erfassen Sie sinnbildlich Ihre Umgebung und tragen Sie in Ihre Karte ein. Das heißt übertragen: Sie beginnen die im Block 1 definierten Punkte in den Kontext Ihrer realen Systemumgebung zu bringen.

Schritt 4: Erfassen von Umgebung und Systemen

Im Schritt 4 machen Sie eine Bestandsaufnahme. Beachten Sie jedoch, dass an dieser Stelle noch keine Bewertung erforderlich ist. Arbeiten Sie sich Schritt für Schritt durch Ihre Systeme und erstellen Sie eine vollständige Liste mit allen wichtigen Parametern, wie Systemeigner, Abhängigkeiten, etc..

Schließlich werden in diesem Schritt die Systeme und Geräte den zuvor definierten Kategorien zugeordnet. Wichtig ist, wie bereits gesagt, dass an dieser Stelle noch nicht versucht werden soll, Umgebung und Systeme zu bewerten oder zu analysieren. Konzentrieren Sie sich rein auf die Erfassung.

Schritt 5: Finden Sie Ihre Roh- und kritischen Daten (wichtiger Schritt)

Nachdem Sie in den vorherigen Schritten definiert haben, welche Kategorien von Systemen es gibt und in Schritt 4 diese Kategorien mit Leben gefüllt haben, können Sie nun im Schritt 5 beginnen herauszuarbeiten, wo Ihre schützenswerte Daten liegen. Ich empfehle dabei immer einmal vorwärts und einmal rückwärts zu arbeiten.

Beginnen Sie also vorwärts an Geräten, Anlagen und Systemen zu prüfen, wie Daten weitergegeben und verwendet werden und wo diese in Qualitätsentscheidungen einfließen.

Dann gehen Sie rückwärts beginnend vor. Sie starten also bei der Chargenfreigabe und prüfen welche Daten in das Protokoll münden.

Theoretisch haben Sie jetzt ein vollständiges Mapping vom Gerät bis zur Freigabe und zurück.

Schritt 6: Der Datenfluss

In diesem 6. Schritt werden die zuvor gesammelten Informationen verfeinert. Bringen Sie Ihre Daten in den Kontext zu Ihrem Prozess. Wo und an welcher Stelle werden Daten vom System A zu Anlage B übertragen und warum. Mit Sicherheit werden Sie nach diesem Schritt für viele Daten das zuvor eingeschätzte Risiko korrigiert haben. Am effektivsten erledigen Sie diesen Schritt durch den Einsatz von Tools, die den Prozess unterstützen, wie bspw. SIPOC-D, BPMN oder ähnliche.


Block 3: Festlegen des Weges

In diesem Block werden nun die zuvor erfassten und definierten Informationen mit Maßnahmen angereichert. So erhalten Sie einen für Ihre Bedürfnisse zugeschnittenen Maßnahmenplan.

Dazu erstellen wir also zunächst einen Soll-Plan, der uns dann im letzten Schritt dazu dient, die Lücke zwischen Soll und Ist aufzuzeigen.

Schritt 7: Organisatorische Maßnahmen

Definieren Sie im Schritt 7 zunächst den Organisationsrahmen. Welche Maßnahmen müssen definiert werden, um konform zu sein und zu bleiben? Hier betrachten Sie Themen, wie z.B. den Audit Trail Review, Standards für die Geräte- und Systemsicherheit, Umgang mit Logbüchern und sogar bauliche Rahmenbedingungen.

Schritt 8: Maßnahmen auf Systemebene

Ordnen Sie jetzt, den in Block eins definierten Kategorien, Maßnahmen zu. Da Sie zuvor bereits Ihre Systeme zu diesen Kategorien zugeordnet haben, erhalten Sie nun in Schritt 8 eine klare Soll-Definition Ihrer Umgebung. Wichtig ist es in diesem Schritt, dass Sie das volle Bild erfassen und nicht nur die Lücken. So erhalten Sie eine klare Zieldefinition, sozusagen Ihren Masterplan.

Schritt 9: Feststellen der Lücken und Priorisieren der Maßnahmen

In diesem Schritt 9 laufen nun alle vorherigen Arbeiten zusammen. Setzen Sie die bereits erledigten Maßnahmen auf „erledigt“ und definieren Sie für die restlichen Aufgaben, wenn dies sinnvoll ist, ein Wiedervorlagedatum.

An dieser Stelle gibt es jetzt für viele bereits einen „kleinen“ Grund zu feiern. Denn Sie werden vermutlich feststellen, dass zwar noch Dinge offen sind, auf der anderen Seite allerdings auch sehr vieles bereits getan worden ist.

In der zweiten Hälfte dieses Schrittes werden nun noch die noch offenen Aufgaben mit Prioritäten versehen. Ich empfehle dazu ein einfach zu verwendendes Tool, mit dem Sie Ihre Entscheidung auch nachträglich in einem Audit untermauern können, wie z.B. CARVER, zu benutzen.

Als Abschluss der Serie werde ich noch einmal auf die errungenen Ergebnisse eingehen und Ihnen einen Praxisleitfaden für die Datenintegrität im GMP-Umfeld an die Hand geben.

Schauen Sie sich hier noch einmal alle Schritte im Überblick an:

Entsprechend der einzelnen Schritte, finden Sie alle Artikel der Serie hier auf einem Blick:

übersicht serie

Wie decken diese Schritte die Herausforderungen ab?

Sie erinnern sich sicher an die fünf großen Herausforderungen, welche ich weiter oben angeführt habe:

(1) Unklare Rechtslage,
(2) Mangelndes Wissen und Unsicherheit,
(3) Mangelnde Abgrenzung,
(4) Mangelnde Informationen und Definitionen, und
(5) Probleme mit Software und Hardware.

Mit meinen neun Schritten überkommen Sie diese Herausforderungen jedoch mit leichter Hand.

(1) Um die erste Herausforderung anzugehen, gehe ich im ersten Schritt detailliert auf die regulatorischen Grundlagen ein. Sobald Sie wissen, was auf Sie zutrifft und wo Sie die Details finden, wird Ihnen auch schnell klar sein, wie die zutreffende Rechtslage im Bereich Datenintegrität aussieht.

(2) Mangelndes Wissen und Unwissenheit sollten für Sie nach Block 1, dem Festlegen der Legende, auch kein Problem mehr darstellen.

(3) Die mangelnde Abgrenzung ist zumindest teilweise ein Problem, welches durch die regulatorischen Behörden hervorgerufen wird. Auch hier kann man sich selber helfen, indem man einfach besser informiert ist, was genau die Behörden wollen und indem man selber entscheidet, wo man bestimmte Bereiche für sich abgrenzt. Durch diese beiden Maßnahmen ist auch die mangelnde Abgrenzung keine ganz so große Herausforderung mehr. Besonders Schritte 1, 2, 4 und 5 sind hierbei sehr hilfreich.

(4) Um gegen mangelnden Informationen und Definitionen vorzugehen, sind hingegen Schritte 1 und 2 besonders förderlich.

(5) Probleme mit Hard- und Software können im dritten Block behoben werden. In den ersten zwei Blöcken finden Sie heraus, wo genau die wichtigsten Probleme mit Hard- und Software liegen und im dritten Block können Sie dann ganz gezielt auf die Probleme eingehen.

Fazit

Wie Sie sehen, müssen Sie nur meinen neun Schritten folgen, dann sollten Sie ohne Probleme schon bald Ihre Ziele, erreichen:

1. Bessere Einsicht und Verständnis für Ihre Landschaft

2. Klare Rationalen für Entscheidungen

3. Einen klaren Fahrplan und Weg in die Datenintegrität

Ausblick

In den kommenden Wochen werde ich noch detaillierter auf jeden dieser einzelnen Schritte in einem separaten Artikel eingehen. Deshalb widmet sich der nächste Artikel dieser Serie dem ersten Schritt: den regulatorischen Grundlagen der Datenintegrität.

Mit chaotischen Grüßen,
Christof Layher
Der Chaos Experte

Dies könnte ihnen auch gefallen

Datenschutz
Ich, Christof Layher (Wohnort: Deutschland), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.
Datenschutz
Ich, Christof Layher (Wohnort: Deutschland), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.