CSV in Pharmaunternehmen Die Hürden der Validierung

Computersystemvalidierung (CSV) kann für kleinere Pharmaunternehmen zu einer herausfordernden Aufgabe werden, die mehr Know-how erfordert, als intern verfügbar ist. Doch die Anforderungen sind zwingend – und ihre Einhaltung wird überwacht.

Für Pharmaunternehmen bringt die Digitalisierung eine zusätzliche Herausforderung mit sich – die Computersystemvalidierung (CSV): Es muss sichergestellt und auch dokumentiert sein, dass jegliche Software, die Einfluss auf Produktqualität, Produktdaten und insbesondere die Patientensicherheit hat, genau wie erwartet funktioniert. Dafür gibt es klare gesetzliche Regelungen, zusammengefasst im EU GMP Annex 11 und FDA CFR 21 Part 11. Mit dem Leitfaden GAMP 5 steht auch ein anerkannter Standard für die Umsetzung zur Verfügung.

Qualität

Prozesssicherung mit Hilfe von CSV

Hoher Aufwand für kleinere Hersteller

In der Praxis jedoch bereitet die korrekte und vollständige CSV gerade kleineren und mittleren Pharmaunternehmen einiges Kopfzerbrechen. Computersystemvalidierung sei eine herausfordernde Aufgabe, die zunächst Vorbereitung erfordere, sagt Alireza Zarei. Er ist Managing Director der Zamann Pharma Support, die Pharmahersteller bei der Planung und Durchführung solcher Validierungsprojekte unterstützt. Vor der eigentlichen CSV müssten zunächst die entsprechenden Prozesse implementiert und Arbeitsanweisungen (Standard Operating Procedures) erstellt werden. Oft seien auch strukturelle Anpassungen erforderlich: „Qualitätsabteilung, Produktionsabteilung, Labor und natürlich IT müssen involviert sein.“

Aufgrund der hohen Komplexität brauche man für die Computersystemvalidierung zudem ein sehr gut organisiertes Projektmanagement: Aufgaben werden fachgebietsübergreifend in Arbeitspakete aufgeteilt, ein Validierungsplan erstellt, Geschäfts- und Softwareprozesse analysiert, um anschließend die nötigen Maßnahmen zu definieren. „Im Ergebnis werden oft hunderte von Dokumenten generiert“, so Zarei.

Einmal validiert, befinde sich das System fortan im CSV Life Cycle Management, die Validierung umfasst also den kompletten Lebenszyklus bis zur Außerbetriebnahme. User- und Updatemanagement etwa müssten durch fortlaufende Kontrollen abgedeckt sein.

Besorgt zeigt sich Zarei über die Ausgangssituation in vielen kleineren und mittleren Pharmaunternehmen. Obwohl die Computersystemvalidierung zu den Bereichen gehört, die in der Pharmaindustrie auditiert werden, starte man bei den CSV-Projekten doch häufig „bei Null“, so Zarei.

Dabei können Gesetzesverstöße empfindliche Strafen bis hin zum Entzug der Lizenz nach sich ziehen, von möglichen Schäden für Patienten gar nicht zu reden. Die amerikanische Food and Drug Administration (FDA) gilt dabei als besonders streng und konsequent beim Versenden der „Warning Letters“.

In Deutschland ist die Inspektion der Pharmaunternehmen Ländersache. Doch es gibt bei der „Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten“ (ZLG) eine Expertenfachgruppe, die Landesbehörden berät, unterstützt und sogar bei den Inspektionen begleitet.

Deren Leiter, Dr. Arno Terhechte, erklärt, es liege auch im Ermessen der jeweiligen Inspekteure, wo er oder sie die Schwerpunkte bei den einzelnen Audits setzt, also auch in welchem Umfang die Computersystemvalidierung mit geprüft wird. Dabei ist die Risikobeurteilung ein ausschlaggebendes Kriterium: Je stärker ein Computersystem die Produktentwicklung und somit die Patientensicherheit beeinflusst, desto höher ist die Priorisierung bei der Validierungsprüfung. Somit würde beispielsweise ein Produktprüfungssystem stärker priorisiert und entsprechend geprüft als etwa ein Trainingssystem.

Die Expertengruppe hat außerdem ein spezielles "Aide-Mémoire" (AiM) für die Überwachung computergestützter Systeme erarbeitet – einen ausführlichen Leitfaden für Inspekteure, um zu einer "harmonisierten und qualitätsgesicherten Umsetzung der Anforderungen“ beizutragen, wie auf der Website erläutert wird. Das Dokument, das als AiM 07121203 auch im Qualitätssicherungssystem der ZLG hinterlegt ist, orientiert sich am Text des EU GMP Annex 11. Dessen einzelne Textstellen werden aufgeführt und kommentiert. Dazu sind Fragen zu den jeweiligen Abschnitten aufgelistet, die während einer Inspektion gestellt werden können, sowie Kommentare zur Einordnung möglicher Antworten.

CSV: Know-How fehlt in den Unternehmen

Alireza Zarei sieht in den Unternehmen selbst aber auch einen Fachkräftemangel im Bereich Computersystemvalidierung. Internes Know-how und entsprechende personelle Ressourcen wie bei den großen Unternehmen der Branchen fehlten in den kleineren Firmen zumeist.

Zwar gibt es spezielle Weiterbildungen, der Berater weist aber darauf hin, dass theoretisches Wissen allein nicht genügt, es brauche auch Erfahrung.

„Es gibt hier kein Schema F, das man einfach überall anwenden kann, sondern für jedes System muss eine individuelle Validierungsstrategie erarbeitet werden, damit man keine Extrarunden dreht und die Validierung zu einer effizienzsteigernden Maßnahme wird,“ so Zarei.

Ein Ausbau dieses Fachwissens könnte sich gleichwohl lohnen, denn leichter wird die Validierung der Computersysteme auch in Zukunft nicht. Im Gegenteil, es stehen Veränderungen und Anpassungen bei der Regulierung an, die dann auch von den Herstellern umgesetzt werden müssen. Wichtige Themen sind Cloudnutzung, der Einsatz von KI, agile Methoden, aber auch die Berücksichtigung externer Bedrohungen durch entsprechende Security-Maßnahmen.

Der grundlegende EU Leitfaden GMP Annex 11 „Computergestützte Systeme“ ist derzeit im Revisionsverfahren. Die ZLG-Expertengruppe hat ihren Leitfaden bereits im August dieses Jahres aktualisiert und darin neue Fragestellungen aufgegriffen.

(ID:48965673)