PlantVision Om oss Kontakt Karriär Helpdek

Dataintegritet – Hur hanterar du en av dagens 
stora utmaningar?

Dataintegritet – Hur hanterar du en av dagens
stora utmaningar?

De senaste åren har flera uppmärksammande inspektionsanmärkningar kring dataintegritet gjort att detta blivit en högaktuell fråga inom läkemedelsindustrin idag. Tony Forsberg, senior specialistkonsult på PlantVision, svarar på några frågor om dataintegritet och hur du kan hantera det på bästa sättet.

Uttrycket ’dataintegritet’ – vad betyder det egentligen?

I grunden handlar det om att ha kontroll på informationen i systemen. Huvudfokus just nu är på datoriserade system eller datorsystem, men det kan också vara manuell hantering av data – det du skriver på papper.

Det som är viktigt är att du ska kunna lita på informationen som finns. Den får inte vara förvanskad och det ska inte gå att förändra på något sätt utan att det syns vem som har gjort det. 

Är dataintegritet någonting nytt?

Nej, redan i slutet av 1990-talet kom regelverk om detta, FDA 21 CFR Part 11 och Eudralex Volume 4 Annex 11 som ställer krav på hur data ska hanteras. Här ställs bl.a. krav att informationen ska vara begränsad till vissa personer och behörigheter och att eventuella ändringar och borttag ska synas.

Om regelverken kom för 20 år sedan, varför är det så mycket fokus på
dataintegritet just nu?


Anledningen är att det blivit ett ökat intresse och fokusområde från myndigheterna. De har sett att allt fler och fler processer blir datoriserade, vilket ställer krav på att du verkligen har kontroll på dina data.

Under senare år har myndigheterna hittat stora brister – vissa företag har fuskat, även om det händer mer sällan. Över 90 procent av anmärkningarna är kopplade till brister i datahantering och arbetsprocesser.

Tidigare har du kunnat hantera dessa anmärkningar med förklaringar som ”Vi skriver ut allting på papper. Det är pappret som gäller.” Det håller inte i alla lägen längre eftersom du också går in i systemet och gör analyser (t.ex. trender). Du kan då inte bara hävda att det är pappret som är originalet. Du måste därför säkerställa den elektroniska informationen också.

Vilka regelverk är det som täcker dataintegritet?

Dels är det generellt GMP, Good Manufacturing Practice dokument och regelverk, men det finns fler: Good Distribution Practice ställer till exempel också väldigt tydliga krav på detta. 

Det finns ett antal guidelines från olika myndigheter. FDA har givit ut en guideline, likaså den europeiska myndigheten, EMA, den brittiska myndigheten, MHRA samt WHO och ISPE. Läser du dessa guidelines inser du att det inte är mycket som skiljer dem åt. De använder ungefär samma formuleringar och de är väldigt samstämmiga.

Vad anser du är de största utmaningarna med dataintegritet?

Tony Forsberg, utmaningarna med dataintegritet?En av de största utmaningarna, som myndigheterna också har anmärkt på, är att flera använder sig av gruppanvändare. Du behöver i stället se till att det finns individuella inloggningar för alla användare och en fungerande audit trail, dvs. att det går att se vem som har gjort vad.

Som administratör kan du göra vissa saker som att ta bort information och ändra inställningar utan att det syns. Det betyder i princip att du kan fuska. Du måste begränsa tillgången till system och data. För att utföra aktiviteter som administratör behöver du vara inloggad med en speciell inloggning som skiljer sig från den normala inloggningen. Du är då medveten om att du är inne och gör något som du inte bör kunna göra normalt sett.

Det finns en myndighetsanmärkning där ett företag hade missat att köra en stabilitetsstudie. De ställde tillbaka klockan sju månader och körde analysen så att det såg ut som att den kördes för sju månader sedan.

En annan utmaning, som jag nämnde förut, är att många hittills bara har arbetat med papper, dvs. skriver ut och signerar en batchrapport och säger ”Det här är mitt original. Det är det jag måste använda.” Dock blir det mer och mer tydligt uttryckt i guidelines att du kan inte bara lita på pappret utan du måste också säkerställa rådata och den ursprungliga informationen. Detta kan bli en stor omställning för många.


Hur ska man gå till väga med ett dataintegritetprojekt?
Finns det någon slags metod man kan använda?

Ja, det gäller att du tar det steg för steg. Först bör du säkerställa att alla förstår innebörden av dataintegritet, utbilda de som ska arbete med dataintegritet för att få en förståelse för vad detta innebär.

Nästa steg är att börja titta på vilka system du har. Det låter enkelt, men hos en del företag finns ingen klar bild av vilka system som faktiskt finns. Du behöver ta fram en lista på de system som kan vara berörda.

Nästa steg är att gå in och titta på respektive system. Du behöver strukturera och planera arbetet ordentligt. Gruppera systemen i olika grupperingar, till exempel labbsystem, styrsystem och administrativa system och bestämma i vilken ordning de ska gås igenom.

När du går igenom systemen kan du använda någon form av checklista. Det är viktigt att du inte gör det för komplicerat. Det finns exempel på företag som använder komplexa modeller med väldigt många frågor. Det blir nästan omöjligt att svara på allting och kan ta onödigt lång tid. Det går att förenkla ganska mycket. Vilka brister som finns brukar visa sig rätt snart.

Hur stor investering krävs för sådana projekt?

Det beror nog på. Allt hänger på hur många system och hur stort företaget är. Det kostar en del, det går inte att bortse ifrån.

En anledning är att det berör många olika människor. Förutom systemägare finns det ibland också en processägare – den som äger processen som de här systemen stöder. Det kan också finnas systemförvaltare samt systemadministratörer och du får inte glömma slutanvändarna.

Kvalitetsavdelningen måste också vara med förstås. Egentligen borde QA-avdelningen vara kravställare eftersom det är myndighetskrav som ska uppfyllas. Här ser vi en brist hos en del företag. De är väldigt vana med produktion och liknande, men när det kommer till datoriserade system hörs ibland ”Nja…, det här är nog inte mitt bord riktigt.” Utbildning behövs här också att QA är väl införstådda med vad det innebär att kvalitetssäkra datoriserade system och vilka krav som ”ställs".

Sedan behövs det någon som leder arbetet. Någon form av projektledare eller liknande som håller ihop allting.

Slutkostnader beror också på resultatet av systemundersökningen. Det kan vara att du behöver investera i nya system eller behöver uppgradera de befintliga systemen. I så fall är det viktigt att tänka lite bredare. Fokusera inte bara på att säkerställa dataintegritet utan fundera över ytterligare funktionalitet som kan stödja verksamheten.

Har du några råd till företag som vill börja ett dataintegritetsprojekt?

Framförallt vill jag säga att de inte ska överarbeta eller dramatisera för mycket utan ta det lugnt och metodiskt.
Många kommer nog ihåg hur det var när vi skulle anpassa systemen för FDA CFR Part 11 för många år sedan. Det blev onödigt stora och kostsamma projekt och överarbetades väldigt mycket. Efter något år kom en rekommendation från FDA. Vi fick då en bättre förståelse för de regelverk vi måste ha kontroll på och alla började backa tillbaka – men vi hade spenderat en hel del pengar, kanske i onödan.

Det gäller att inte göra samma misstag här. Vi måste nog sansa oss lite grann. Börja med att verkligen titta på regelverket. Vad säger regelverket egentligen? Få en förståelse själv kring vad du måste göra. Du måste verkligen veta vad du ska göra.

En annan viktig aspekt, om du kommer i ett läge där du ska uppgradera eller köpa ett nytt system, är att kravställa väldigt tydligt mot leverantören vad som gäller.

Ett krav i FDA CFR Part 11 är att informationen ska vara läsbar. Regeln har funnits i 20 år och du kan tycka att det är självklart att till exempel en audit trail ska vara läsbar. Jag har sett exempel på att det krävs en ”doktorsexamen” för att förstå informationen. Det är inte tänkt så. Du måste som användare kunna förstå vad som är ändrat, när det ändrades och vem gjorde det.

Det är samma sak med säkerhetskopiering. Det räcker inte att leverantören inkluderar sådan funktionalitet i lösningen. Du ska verkligen be att få titta på det och verifiera att det går att läsa tillbaka informationen – inte bara tro att det ska funka.

Sist men inte minst, du behöver skapa en förvaltningsorganisation för respektive system. Här är det viktigt att systemägaren vet att den är systemägaren! Det är inte alltid fallet. FDA till exempel lägger nästan allt ansvar på systemägaren.

Med en bra grundgenomgång, klara instruktioner om hur du ska hantera systemen och en förvaltningsgrupp som ansvarar för det dagliga arbetet borde du klara dig bra.

 

Dela:

Tony Forsberg

Tony Forsberg har arbetat med validering av datoriserade system och andra kvalitetssäkringsfrågor i över 25 år. Idag är han senior specialistkonsult på PlantVision AB med huvudfokus på GMP (Good Manufacturing Practice) och GAMP (Good Automated Manufacturing Practice). Tony är också en uppskattad seminarium- och utbildningsföreläsare på bl.a. Läkemedelsakademin och QA Forum.

Kontaktuppgifter:
Tel: +46 (0) 8 568 595 01 tony.forsberg@plantvision.se


Follow us LinkedIN