Sectorale wetgeving: regulering van farmaceutische IT

Transcriptie

1 Sectorale wetgeving: regulering van farmaceutische IT Auteur: J. Bistervels Samenvatting Diverse landen en/of handelsblokken hebben voor de regulering van elektronische gegevens en handtekeningen naast de financiële sector ook dit type regulering ingevoerd voor andere 'high impact'-sectoren. Zo ook voor de farmaceutische sector: specifiek voor de US en EU respectievelijk 21 Code of Federal Regulation (CFR) Part 11 (wetgeving) en Annex 11 (regelgeving) voor zowel administratieve, proces- als ook laboratorium IT. De Amerikaanse 21 CFR Part 11 is er hoofdzakelijk op gericht om het kader te verschaffen waaraan moet worden voldaan om elektronische records equivalent aan papieren records te kunnen stellen (bewijslast). De Europese Annex 11 is er weer op gericht om de betrouwbaarheid van een geautomatiseerd proces minimaal net zo hoog te krijgen, maar bij voorkeur hoger, dan een proces waarin menselijke interactie en controle nog mogelijk is. Daartoe zijn in deze wet & regelgeving diverse algemene 'controls' benoemd waaraan automatisering dient te voldoen. Een relatief recente ontwikkeling in dit kader is de risico gebaseerde aanpak die regelgevers en hun inspectoraten zijn toe gaan staan: dit maakt het voor bedrijven en instellingen mogelijk hun resources gerichter in te zetten op de relevante zaken, echter daar staat weer tegenover dat bedrijven en instellingen zelf goed moeten gaan onderbouwen waar ze deze recources wel en niet inzetten, en waarom bepaalde maatregelen wel of niet genomen worden. Amerikaanse en Europese wet en regelgeving toegelicht De farmaceutische industrie is een van de meest gereguleerde zakelijke sectoren naast bijvoorbeeld de 'medical devices'-markt, vliegtuigbouw, kernenergie, voeding en dergelijke. De sector kan ruwweg worden onderverdeeld in drie hoofdgroepen: productie van actieve farmaceutische ingrediënten (API), van farmaceutische eindproducten (voor humaan of dierlijke toepassing) en de biotechnologie. Na diverse incidenten met farmaceutische producten in het begin van de vorige eeuw hebben de regelgevers, met Amerika voorop, de diverse Good x Practices (GxP)-wet & regelgevingsstelsels ingevoerd. Daarbij staat de 'x' voor C, L, M of D zijnde respectievelijk klinische, laboratorium, productie en distributie. De klinische en laboratorium-regelgeving (GCP, GLP) is met name van belang in de ontwikkelingsfasen van een product en op de partijen die in deze fase bijdragen aan deze ontwikkeling. De productie en distributie-regelgeving (GMP, GDP) zijn met name gericht op de activiteiten als inkoop, productie, controle, opslag, kwaliteitssysteem en transport. Daar het risiconiveau tussen bijvoorbeeld API-productie en eindproduct-fabricage tevens verschilt zijn er ook een aantal verschillen tussen de GMP/GDP voor de respectievelijke branches. Tenslotte is van belang dat producenten dienen te voldoen aan de regelgeving van de specifieke (landen-)markt en het land van vestiging van de faciliteiten. Binnen het geschetste kader is specifiek voor de IT-auditor die werkzaam is in dit gebied is de volgende sectorale wet en regelgeving van belang: Voor Amerika (US): Artikel uit 21 CFR Part 210 & CFR Part 11, Electronic records and signatures; Voor de Europese Gemeenschap (EU): Annex 11 en Annex 15 uit de EUDRALEX Volume 4 Medicinal Products for Human and Veterinary Use : Good Manufacturing Practice. De EUDRALEX is regelgeving die afgeleid is van de overkoepelende 'Directives' van de Europese Commissie; Artikel 6-9 uit de GDP. NOREA,

2 Diverse andere landen - zoals Japan of Taiwan - hebben tevens hun specifieke voor IT relevante regelgeving, danwel erkent men regelgeving uit andere handelsblokken. De kans dat een IT-auditor daar hier mee te maken krijgt is echter beperkt. Om die reden zal dit artikel zich op bovenstaande regelgeving richten. Tevens zal ook GCP en GLP niet specifiek worden behandeld. 21 CFR - Part 210 & 211 en Part 11 Tot ongeveer halverwege 1997 was er in de US alleen de 21 CFR Part 210 & 211 die relevant was voor de farmaceutische (humane eindproducten) sector. Deze zogenaamde 'predicate rule'-regelgeving kende een aantal artikelen relevant voor automatisering, echter het Amerikaanse Congres en de Food and Drug Administration (FDA) waren in 1997 van mening dat deze te kort schoot om de juridische automatiseringsvraagstukken in de farmaceutische sector adequaat te kunnen beantwoorden. Door enkele frauduleuze incidenten in de farmaceutische sector, maar ook door diverse incidenten in bijvoorbeeld de financiële sector, was er meer aandacht ontstaan voor de betrouwbaarheid en authenticiteit van elektronisch gecreëerde en opgeslagen gegevens. Men wilde duidelijke eisen stellen waaraan moest worden voldaan om elektronische records equivalent aan papieren records te kunnen stellen. Maar ook het gebruik van een elektronische handtekening was een nieuwe ontwikkeling waarvoor de FDA kaders wilde aangeven. Tenslotte wilde het congres een tekortkoming repareren die bijvoorbeeld wel in de Europese wetgeving was opgenomen: de eis tot validatie van gecomputeriseerde systemen. De wetgeving die hiervoor werd ingevoerd was 21 CFR Part 11, Electronic records and signatures (ERES). Alle farmaceutische records zoals benoemd in 21 CFR Part 210 & 211 vallen onder de werking van Part 11 indien zij in elektronische vorm worden gebruikt. 21 CFR Part 11 valt, naast de algemene scope en toelichting, op te delen in twee hoofdstukken: A) Maatregelen gericht op de algemene betrouwbaarheid en authenticiteit van gegevens ('records') in 'gesloten' en 'open' gecomputeriseerde systemen. De Amerikaanse wetgever acht daarbij een systeem 'open' als de verantwoordelijke geen volledige controle heeft over de inhoud en de toegangsbeveiliging van de records. Denk hierbij aan systemen die gegevens naar derden sturen over internet. Enkele (vrij vertaalde) voorbeelden van maatregelen ('controls') zoals benoemd in deze wet zijn: Validatie van gecomputeriseerde systemen op de aspecten betrouwbaarheid, accuratesse en prestaties, en onderscheiden van ongeldige of gewijzigde records; Beschikbaarheid van nauwkeurige/authentieke records in leesbare elektronische en printbarevorm; Het gebruik van operationele systeem checks, autorisatie checks en checks van gekoppelde'devices'; Het gekwalificeerd zijn van medewerkers betrokken bij de ontwikkeling of het onderhoud; Adequate (beheersing van) systeemdocumentatie; B) Maatregelen gericht op de betrouwbaarheid van de elektronische handtekening, waarbij men enkele vormen erkende. Enkele (vrij vertaalde) voorbeelden: Het voorzien in een bedrijfsbeleid voor toepassing van een elektronische handtekening; Koppelen van handtekening en record; Beheersmaatregelen voor de identificatie-accounts/wachtwoorden en handtekeningen. Voor het complete overzicht wordt verwezen naar [2]. Van 1997 tot en met 2003 heeft er een zeer strikte interpretatie en handhaving via de FDA gegolden. Om de innovatie in het bedrijfsleven te vergroten heeft de FDA echter in 2003 een NOREA,

3 bijstelling van haar beleid gedaan in FDA Guidance for Industry Part 11, Electronic Records: Electronic Signatures Scope and Application (2003) [3]. Daarbij zijn een aantal beperkingen in de interpretatie en handhaving vastgesteld. Deze beperkingen betroffen: Het toestaan van een risk based approach door bedrijven bij hun validatie; Het gebruik van audit trails ; Het beschikbaar stellen van kopieën van gereguleerde records; De toepassing van de wetgeving bij zogenaamde Legacy Systemen (systemen in gebruik van voor 1997); Beheersmaatregelen met betrekking tot het beschikbaar houden van records gedurende hun bewaartermijn. Oorspronkelijk was een herziening van de wetgeving verwacht eind 2007, echter door vertragingen zal deze herziening naar verwachting in 2009 plaats gaan vinden. GMP Annex 11, Annex 15 en de GDP Het uitgangspunt van de Europese regelgever (EMEA) wijkt deels af van de Amerikaanse FDA. In de Europese Annex 11 [4] wordt met name gesteld dat door automatisering de menselijke mogelijkheid tot controle en bijsturing wordt beperkt, en dat daartoe adequate compenserende maatregelen dienen te worden getroffen om de betrouwbaarheid van het proces en de informatie te borgen. Annex 11 betreft een sectie uit de Europese GMP regelgeving die een aantal inhoudelijke 'controls' voorschrijft. Hierbij valt te denken aan: Het aanwezig zijn van een systeem van Quality Assurance; Het beschikbaar zijn van systeembeschrijvingen; Controls gericht op de: (blijvende) geschiktheid van de locatie voor de apparatuur; betrouwbaarheid van invoer, verwerking en uitvoer van records; diepgang van testen; wijziging van de software; backup en recovery; toegang tot systemen door geautoriseerde personen en registratie hiervan; beveiliging tegen opzettelijke en onopzettelijke beschadiging van records; continuïteit van de bedrijfsvoering volgens gevalideerde procedures; Formele contracten met derden die computerdiensten leveren; Borging van vrijgave van batches door slechts de Qualified Person. Voor een gedetailleerd overzicht wordt verwezen naar [4]. Het is de bedoeling van de EU om Annex 11 in 2009 bij te stellen. Annex 15 gaat in op de wijze hoe de bewijsvoering ('validatie') dient te worden opgezet en welke 'management controls', zoals bijvoorbeeld een Validatie Master Plan, nodig zijn om in compliance te blijven en de validatie van alle systemen in een bedrijf te managen. Tenslotte staan in de GDP nog een aantal generieke eisen met betrekking tot (opslag van) distributiespecifieke records. Aandachtspunten voor het management Het management dient bij voorkeur, in goed overleg met de Qualified Person indien van toepassing, een duidelijke identificatie van de gereguleerde records te (laten) opstellen. Meestal is deze wettelijk vereiste Qualified Person een eindverantwoordelijke apotheker of chemicus. Daarbij verdient het de aanbeveling om in het kader van een risk-based NOREA,

4 approach een duidelijk onderscheid te maken in direct aan productkwaliteit of patiëntveiligheid gerelateerde records en afgeleide, indirecte records. Deze laatste worden door de wetgever echter wel reguleerd. Daarbij kan worden gedacht aan onderhoudsrecords, audit trails, beheerprocedures, validatiedocumenten, systeemdocumentatie e.d. 'Risk based' houdt in dit verband in dat op basis van de van toepassing zijnde regelgeving inhoudelijk wordt gekeken waar meer of minder inspanning te verrichten, en dus 'controls' te implementeren en/of validatie-activiteiten te verrichten. Het is niet aan te bevelen om een risk based aanpak te volgen bij het wel of niet voldoen aan de GxP's, ondanks dat de handhavingniveau's nog als eens wil verschillen tussen de verschillende inspectoraten, danwel dat inspecteurs niet altijd voldoende kennis hebben van automatisering(smaatregelen). Tenslotte kan voor veel records via een proces- en informatieanalyse worden vastgesteld of de records wel of niet onder een GxP regulering vallen. Bij geïntegreerde systemen is dit vaak lastiger. Denk hierbij aan planningsgerelateerde records planning is een niet gereguleerde activiteit die echter vervolgens in het distributieproces door bijvoorbeeld een ERP systeem worden hergebruikt voor de distributiesturing. Het management kan hiervoor duidelijke richtlijnen neerleggen hoe met dit soort situaties om te gaan, daar vaak de relaties van records met diverse andere processen in de praktijk niet worden onderkend. Aandachtspunten voor de IT-auditor Het type audit dat in dit kader uitgevoerd zal worden is in veel gevallen de 'compliance audit'. Binnen de farmaceutische wereld is vooralsnog COBIT niet de standaard, maar wordt nog veel gebruik gemaakt van GAMP [5]: de Good Automated Manufacturing Practise. Dit is een sectorspecifieke standaard die is ontwikkeld door het Institute for Pharmaceutical Engineers (ISPE). Het betreft dus geen wet of regelgeving, maar de standaard wordt wel door veel overheidsinspecties inclusief de FDA erkend. Overigens doet COBIT hier wel steeds meer haar intrede in deze sector, daar bij veel omvangrijke informatiesystemen zoals ERP pakketten ook SOX een rol speelt. De IT-auditor zal vooraf goed moeten afstemmen welke standaard hij of zij hier gebruikt ten behoeve van de compliance-audit, en eventueel hoe hij of zij deze standaarden combineert. De onderliggende basis, de GxP regelgeving, is 'rule based' en behoorlijk gedetailleerd voor regelgeving, maar in veel gevallen toch nog niet specifiek genoeg om een inhoudelijk adequaat normenkader te vormen. Voor de GAMP geldt dat deze aanpak zich met name richt op het proces van valideren en de (vorm van) de documenten die nodig zijn, maar inhoudelijk minder normering geeft. (Nadeel hiervan is dan ook dat als men er 'onzin eisen' insteekt, er ook gevalideerde onzin uit kan komen.) Veel hangt dan ook af van het beschikbaar hebben van een kwalitatief goede requirements-specificatie. Daarnaast kan de opdrachtgever naast het management ook de verantwoordelijke apotheker of chemicus zijn. Specifiek voor de Europese Unie geldt dat niet het management maar de Qualified Person de inhoudelijke eindverantwoordelijkheid draagt. De auditor zal zich hier nadrukkelijk van dienen te overtuigen daar de belangen niet altijd gelijk zijn. Achtergrondinformatie [1] [2] [3] [4] [5] NOREA,

5 Over de auteur: Ir. J.E. Bistervels RE Jean-Jacques Bistervels (1974) is sinds eind 2008 werkzaam bij de interne accountantsdienst van CZ Groep als manager EDP-Audit. Voor die tijd heeft hij o.a. zes jaar gewerkt bij Schering-Plough, het voormalige Organon te Oss. Dit was voor de overname van Organon onderdeel van Akzo-Nobel. Hij heeft gedurende deze periode drie jaar in de rol van IT-auditor audit- en quality assurance-werkzaamheden verricht voor de farmaceutische eindproductie business unit van Schering-Plough/Organon. Daarna heeft hij respectievelijk een jaar in de rol van IT compliance officer en twee jaar als hoofd van de IT compliance unit gefunctioneerd voor dit organisatie-onderdeel. NOREA,