Sectorale wetgeving: regulering van farmaceutische IT



Vergelijkbare documenten
Verificatie van Onderzoeksgegevens. Een internationaal perspectief. Jean-Paul Eycken. FormaliS. EPD-Dag Amsterdam, NL 12 juni 2008

Het EPD, hoe deal ik ermee? NVFG - Nederlandse Vereniging voor Farmaceutische Geneeskunde. CRA dag 25 april 2013

Hoofdstuk 6 Gmp-z. PUOZ Labdag 22 november 2016 Gerhard Tijssen Ziekenhuisapotheker Albert Schweitzerziekenhuis

GAMP 5, wat is er nieuw?

Aan welke vereisten rond GMP dient een Medical Device Manufacturer te voldoen? Hoe gaan we te werk bij de certificatie?

Slide 1. De Koele Keten. Tijdens bereiding, transport & opslag

Governance, Risk and Compliance (GRC) tools

Test rapportage Waarom eigenlijk?

Beheer receptuurwegingen in een gevalideerde omgeving

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016

Medical device software

Commissioning én Kwalificatie? Geen dubbel werk!

Gedigitaliseerd onderzoek..

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Transparantie = Key!

RISICO MANAGEMENT, BASIS PRINCIPES

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Doxis Informatiemanagers

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Eindrapport van het GDP-API inspectiebezoek aan Alliance Healthcare Nederland B.V. te Veghel, op 28 juli Utrecht, 2017

De spreadsheet van het strafbankje

Berry Kok. Navara Risk Advisory

Enterprise Resource Planning. Hoofdstuk 7 ERP-systemen: human resources. Pearson Education, 2007; Enterprise Resource Planning door Mary Sumner

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Met vragen over de leverancier kwaliteitsbeoordelingvragenlijst kunt u contact opnemen met ondergetekende.

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Bedrijfscontinuïteit met behulp van een BCMS

GDP Richtsnoer 2013: Implementatie-aspecten

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Van principes naar normenkaders. Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Blackbox voor gevoelige vracht.

De controller met ICT competenties

Cold chain: bloed en bloedproducten Validatie

Inspectie. Producent. Toeleverancier

Verklaring van Toepasselijkheid

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).

FACTSHEET FARMACEUTISCHE INDUSTRIE SOFTWARE TOTAALOPLOSSINGEN. Supporting Pharma for Future Proof Productivity

SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Eindrapport van het inspectiebezoek in het kader van Geneesmiddelen zonder Handelsvergunning aan Medsen OOG-Apotheek te Rotterdam, op 23 maart 2017

Utrecht, september 2016

Maak van compliance een pro it center BSN. Compliance levert geld op, tevreden klanten en ef iciënte processen. excitingly different.

De effectieve directie

Derks & Derks Detachering Uw partner voor tijdelijke professionals in Life Sciences

MVIE Geluidssystemen B.V.

Hoe gaat dit er in de toekomst uitzien?

Validatie bij Terumo Europe NV

Van Riskmanagement naar Computervalidatie. Hanny Nelis

De blackbox voor kwetsbare transporten

LIMS strategie voor de toekomst

Use of Database Generator for Building Monitoring systems. FHI Leiden, 9 Oktober 2007

Data en Applicatie Migratie naar de Cloud

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Ziekenhuisapotheek vandaag en morgen: inzichten en uitdagingen voor directie en bestuur. 18 maart 2011

Privacy statement Apostle Apostle Wanneer verzamelen wij jouw persoonsgegevens?

I N T E R C O M M U N A L E L E I E D A L 1

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Eindrapport van het GMP/GDPinspectiebezoek aan Roche Nederland B.V. te Woerden, op 15 maart Utrecht, 2016

GETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE

e PHARMSUPPORT CONGRES

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015

Handboek Energiemanagementsysteem

NTA 8620 en de relatie met andere normen voor managementsystemen

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Grip op fiscale risico s

GDP: Good Distribution Practices

Elektronisch factureren De btw-regels: waar let u op?

Waarde creatie door Contract Management

Volwassen Informatiebeveiliging

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De maatregelen in de komende NEN Beer Franken

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING

Enterprise Resource Planning. Hoofdstuk 3 Planning, ontwerp en implementatie van Enterprise Resource Planning-systemen

IT Beleid Bijlage R bij ABTN

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Compliance risicoanalyse

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

Eindrapport van het GDP-API inspectiebezoek aan Euro-Chemicals B.V. te Denekamp, op 15 februari Utrecht, 2017

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

Eindrapport van het GDP inspectiebezoek aan Baxalta Netherlands B.V. te Utrecht, op 14 maart Utrecht, 2017

Zwaarbewolkt met kans op neerslag

ELEKTRONISCHE HANDTEKENINGEN IN CLIENT ONLINE

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Resultaten gesprekssessie 1 Elektronische Productinformatie

Handout. Pagina 1. SYSQA B.V. Almere. Capability Maturity Model Integration (CMMI) Technische Universiteit Eindhoven SYSQA SYSQA.

Wetgeving voor Medische hulpmiddelen en Kwaliteitsverbetering. Peter N. Ruys

Kwaliteitsmanagement: de verandering communiceren!

Beoordelingskader Informatiebeveiliging DNB

Standard Operating Procedure

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Transcriptie:

Sectorale wetgeving: regulering van farmaceutische IT Auteur: J. Bistervels Samenvatting Diverse landen en/of handelsblokken hebben voor de regulering van elektronische gegevens en handtekeningen naast de financiële sector ook dit type regulering ingevoerd voor andere 'high impact'-sectoren. Zo ook voor de farmaceutische sector: specifiek voor de US en EU respectievelijk 21 Code of Federal Regulation (CFR) Part 11 (wetgeving) en Annex 11 (regelgeving) voor zowel administratieve, proces- als ook laboratorium IT. De Amerikaanse 21 CFR Part 11 is er hoofdzakelijk op gericht om het kader te verschaffen waaraan moet worden voldaan om elektronische records equivalent aan papieren records te kunnen stellen (bewijslast). De Europese Annex 11 is er weer op gericht om de betrouwbaarheid van een geautomatiseerd proces minimaal net zo hoog te krijgen, maar bij voorkeur hoger, dan een proces waarin menselijke interactie en controle nog mogelijk is. Daartoe zijn in deze wet & regelgeving diverse algemene 'controls' benoemd waaraan automatisering dient te voldoen. Een relatief recente ontwikkeling in dit kader is de risico gebaseerde aanpak die regelgevers en hun inspectoraten zijn toe gaan staan: dit maakt het voor bedrijven en instellingen mogelijk hun resources gerichter in te zetten op de relevante zaken, echter daar staat weer tegenover dat bedrijven en instellingen zelf goed moeten gaan onderbouwen waar ze deze recources wel en niet inzetten, en waarom bepaalde maatregelen wel of niet genomen worden. Amerikaanse en Europese wet en regelgeving toegelicht De farmaceutische industrie is een van de meest gereguleerde zakelijke sectoren naast bijvoorbeeld de 'medical devices'-markt, vliegtuigbouw, kernenergie, voeding en dergelijke. De sector kan ruwweg worden onderverdeeld in drie hoofdgroepen: productie van actieve farmaceutische ingrediënten (API), van farmaceutische eindproducten (voor humaan of dierlijke toepassing) en de biotechnologie. Na diverse incidenten met farmaceutische producten in het begin van de vorige eeuw hebben de regelgevers, met Amerika voorop, de diverse Good x Practices (GxP)-wet & regelgevingsstelsels ingevoerd. Daarbij staat de 'x' voor C, L, M of D zijnde respectievelijk klinische, laboratorium, productie en distributie. De klinische en laboratorium-regelgeving (GCP, GLP) is met name van belang in de ontwikkelingsfasen van een product en op de partijen die in deze fase bijdragen aan deze ontwikkeling. De productie en distributie-regelgeving (GMP, GDP) zijn met name gericht op de activiteiten als inkoop, productie, controle, opslag, kwaliteitssysteem en transport. Daar het risiconiveau tussen bijvoorbeeld API-productie en eindproduct-fabricage tevens verschilt zijn er ook een aantal verschillen tussen de GMP/GDP voor de respectievelijke branches. Tenslotte is van belang dat producenten dienen te voldoen aan de regelgeving van de specifieke (landen-)markt en het land van vestiging van de faciliteiten. Binnen het geschetste kader is specifiek voor de IT-auditor die werkzaam is in dit gebied is de volgende sectorale wet en regelgeving van belang: Voor Amerika (US): Artikel 211.68 uit 21 CFR Part 210 & 211 21 CFR Part 11, Electronic records and signatures; Voor de Europese Gemeenschap (EU): Annex 11 en Annex 15 uit de EUDRALEX Volume 4 Medicinal Products for Human and Veterinary Use : Good Manufacturing Practice. De EUDRALEX is regelgeving die afgeleid is van de overkoepelende 'Directives' van de Europese Commissie; Artikel 6-9 uit de GDP. NOREA, 2010 1

Diverse andere landen - zoals Japan of Taiwan - hebben tevens hun specifieke voor IT relevante regelgeving, danwel erkent men regelgeving uit andere handelsblokken. De kans dat een IT-auditor daar hier mee te maken krijgt is echter beperkt. Om die reden zal dit artikel zich op bovenstaande regelgeving richten. Tevens zal ook GCP en GLP niet specifiek worden behandeld. 21 CFR - Part 210 & 211 en Part 11 Tot ongeveer halverwege 1997 was er in de US alleen de 21 CFR Part 210 & 211 die relevant was voor de farmaceutische (humane eindproducten) sector. Deze zogenaamde 'predicate rule'-regelgeving kende een aantal artikelen relevant voor automatisering, echter het Amerikaanse Congres en de Food and Drug Administration (FDA) waren in 1997 van mening dat deze te kort schoot om de juridische automatiseringsvraagstukken in de farmaceutische sector adequaat te kunnen beantwoorden. Door enkele frauduleuze incidenten in de farmaceutische sector, maar ook door diverse incidenten in bijvoorbeeld de financiële sector, was er meer aandacht ontstaan voor de betrouwbaarheid en authenticiteit van elektronisch gecreëerde en opgeslagen gegevens. Men wilde duidelijke eisen stellen waaraan moest worden voldaan om elektronische records equivalent aan papieren records te kunnen stellen. Maar ook het gebruik van een elektronische handtekening was een nieuwe ontwikkeling waarvoor de FDA kaders wilde aangeven. Tenslotte wilde het congres een tekortkoming repareren die bijvoorbeeld wel in de Europese wetgeving was opgenomen: de eis tot validatie van gecomputeriseerde systemen. De wetgeving die hiervoor werd ingevoerd was 21 CFR Part 11, Electronic records and signatures (ERES). Alle farmaceutische records zoals benoemd in 21 CFR Part 210 & 211 vallen onder de werking van Part 11 indien zij in elektronische vorm worden gebruikt. 21 CFR Part 11 valt, naast de algemene scope en toelichting, op te delen in twee hoofdstukken: A) Maatregelen gericht op de algemene betrouwbaarheid en authenticiteit van gegevens ('records') in 'gesloten' en 'open' gecomputeriseerde systemen. De Amerikaanse wetgever acht daarbij een systeem 'open' als de verantwoordelijke geen volledige controle heeft over de inhoud en de toegangsbeveiliging van de records. Denk hierbij aan systemen die gegevens naar derden sturen over internet. Enkele (vrij vertaalde) voorbeelden van maatregelen ('controls') zoals benoemd in deze wet zijn: Validatie van gecomputeriseerde systemen op de aspecten betrouwbaarheid, accuratesse en prestaties, en onderscheiden van ongeldige of gewijzigde records; Beschikbaarheid van nauwkeurige/authentieke records in leesbare elektronische en printbarevorm; Het gebruik van operationele systeem checks, autorisatie checks en checks van gekoppelde'devices'; Het gekwalificeerd zijn van medewerkers betrokken bij de ontwikkeling of het onderhoud; Adequate (beheersing van) systeemdocumentatie; B) Maatregelen gericht op de betrouwbaarheid van de elektronische handtekening, waarbij men enkele vormen erkende. Enkele (vrij vertaalde) voorbeelden: Het voorzien in een bedrijfsbeleid voor toepassing van een elektronische handtekening; Koppelen van handtekening en record; Beheersmaatregelen voor de identificatie-accounts/wachtwoorden en handtekeningen. Voor het complete overzicht wordt verwezen naar [2]. Van 1997 tot en met 2003 heeft er een zeer strikte interpretatie en handhaving via de FDA gegolden. Om de innovatie in het bedrijfsleven te vergroten heeft de FDA echter in 2003 een NOREA, 2010 2

bijstelling van haar beleid gedaan in FDA Guidance for Industry Part 11, Electronic Records: Electronic Signatures Scope and Application (2003) [3]. Daarbij zijn een aantal beperkingen in de interpretatie en handhaving vastgesteld. Deze beperkingen betroffen: Het toestaan van een risk based approach door bedrijven bij hun validatie; Het gebruik van audit trails ; Het beschikbaar stellen van kopieën van gereguleerde records; De toepassing van de wetgeving bij zogenaamde Legacy Systemen (systemen in gebruik van voor 1997); Beheersmaatregelen met betrekking tot het beschikbaar houden van records gedurende hun bewaartermijn. Oorspronkelijk was een herziening van de wetgeving verwacht eind 2007, echter door vertragingen zal deze herziening naar verwachting in 2009 plaats gaan vinden. GMP Annex 11, Annex 15 en de GDP Het uitgangspunt van de Europese regelgever (EMEA) wijkt deels af van de Amerikaanse FDA. In de Europese Annex 11 [4] wordt met name gesteld dat door automatisering de menselijke mogelijkheid tot controle en bijsturing wordt beperkt, en dat daartoe adequate compenserende maatregelen dienen te worden getroffen om de betrouwbaarheid van het proces en de informatie te borgen. Annex 11 betreft een sectie uit de Europese GMP regelgeving die een aantal inhoudelijke 'controls' voorschrijft. Hierbij valt te denken aan: Het aanwezig zijn van een systeem van Quality Assurance; Het beschikbaar zijn van systeembeschrijvingen; Controls gericht op de: (blijvende) geschiktheid van de locatie voor de apparatuur; betrouwbaarheid van invoer, verwerking en uitvoer van records; diepgang van testen; wijziging van de software; backup en recovery; toegang tot systemen door geautoriseerde personen en registratie hiervan; beveiliging tegen opzettelijke en onopzettelijke beschadiging van records; continuïteit van de bedrijfsvoering volgens gevalideerde procedures; Formele contracten met derden die computerdiensten leveren; Borging van vrijgave van batches door slechts de Qualified Person. Voor een gedetailleerd overzicht wordt verwezen naar [4]. Het is de bedoeling van de EU om Annex 11 in 2009 bij te stellen. Annex 15 gaat in op de wijze hoe de bewijsvoering ('validatie') dient te worden opgezet en welke 'management controls', zoals bijvoorbeeld een Validatie Master Plan, nodig zijn om in compliance te blijven en de validatie van alle systemen in een bedrijf te managen. Tenslotte staan in de GDP nog een aantal generieke eisen met betrekking tot (opslag van) distributiespecifieke records. Aandachtspunten voor het management Het management dient bij voorkeur, in goed overleg met de Qualified Person indien van toepassing, een duidelijke identificatie van de gereguleerde records te (laten) opstellen. Meestal is deze wettelijk vereiste Qualified Person een eindverantwoordelijke apotheker of chemicus. Daarbij verdient het de aanbeveling om in het kader van een risk-based NOREA, 2010 3

approach een duidelijk onderscheid te maken in direct aan productkwaliteit of patiëntveiligheid gerelateerde records en afgeleide, indirecte records. Deze laatste worden door de wetgever echter wel reguleerd. Daarbij kan worden gedacht aan onderhoudsrecords, audit trails, beheerprocedures, validatiedocumenten, systeemdocumentatie e.d. 'Risk based' houdt in dit verband in dat op basis van de van toepassing zijnde regelgeving inhoudelijk wordt gekeken waar meer of minder inspanning te verrichten, en dus 'controls' te implementeren en/of validatie-activiteiten te verrichten. Het is niet aan te bevelen om een risk based aanpak te volgen bij het wel of niet voldoen aan de GxP's, ondanks dat de handhavingniveau's nog als eens wil verschillen tussen de verschillende inspectoraten, danwel dat inspecteurs niet altijd voldoende kennis hebben van automatisering(smaatregelen). Tenslotte kan voor veel records via een proces- en informatieanalyse worden vastgesteld of de records wel of niet onder een GxP regulering vallen. Bij geïntegreerde systemen is dit vaak lastiger. Denk hierbij aan planningsgerelateerde records planning is een niet gereguleerde activiteit die echter vervolgens in het distributieproces door bijvoorbeeld een ERP systeem worden hergebruikt voor de distributiesturing. Het management kan hiervoor duidelijke richtlijnen neerleggen hoe met dit soort situaties om te gaan, daar vaak de relaties van records met diverse andere processen in de praktijk niet worden onderkend. Aandachtspunten voor de IT-auditor Het type audit dat in dit kader uitgevoerd zal worden is in veel gevallen de 'compliance audit'. Binnen de farmaceutische wereld is vooralsnog COBIT niet de standaard, maar wordt nog veel gebruik gemaakt van GAMP [5]: de Good Automated Manufacturing Practise. Dit is een sectorspecifieke standaard die is ontwikkeld door het Institute for Pharmaceutical Engineers (ISPE). Het betreft dus geen wet of regelgeving, maar de standaard wordt wel door veel overheidsinspecties inclusief de FDA erkend. Overigens doet COBIT hier wel steeds meer haar intrede in deze sector, daar bij veel omvangrijke informatiesystemen zoals ERP pakketten ook SOX een rol speelt. De IT-auditor zal vooraf goed moeten afstemmen welke standaard hij of zij hier gebruikt ten behoeve van de compliance-audit, en eventueel hoe hij of zij deze standaarden combineert. De onderliggende basis, de GxP regelgeving, is 'rule based' en behoorlijk gedetailleerd voor regelgeving, maar in veel gevallen toch nog niet specifiek genoeg om een inhoudelijk adequaat normenkader te vormen. Voor de GAMP geldt dat deze aanpak zich met name richt op het proces van valideren en de (vorm van) de documenten die nodig zijn, maar inhoudelijk minder normering geeft. (Nadeel hiervan is dan ook dat als men er 'onzin eisen' insteekt, er ook gevalideerde onzin uit kan komen.) Veel hangt dan ook af van het beschikbaar hebben van een kwalitatief goede requirements-specificatie. Daarnaast kan de opdrachtgever naast het management ook de verantwoordelijke apotheker of chemicus zijn. Specifiek voor de Europese Unie geldt dat niet het management maar de Qualified Person de inhoudelijke eindverantwoordelijkheid draagt. De auditor zal zich hier nadrukkelijk van dienen te overtuigen daar de belangen niet altijd gelijk zijn. Achtergrondinformatie [1] http://en.wikipedia.org/wiki/title_21_cfr_part_11 [2] www.fda.gov/ora/compliance_ref/part11/frs/background/pt11finr.pdf [3] www.fda.gov/cder/guidance/5667fnl.pdf [4] http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/homev4.htm [5] http://www.ispe.org/cs/gamp_publications NOREA, 2010 4

Over de auteur: Ir. J.E. Bistervels RE Jean-Jacques Bistervels (1974) is sinds eind 2008 werkzaam bij de interne accountantsdienst van CZ Groep als manager EDP-Audit. Voor die tijd heeft hij o.a. zes jaar gewerkt bij Schering-Plough, het voormalige Organon te Oss. Dit was voor de overname van Organon onderdeel van Akzo-Nobel. Hij heeft gedurende deze periode drie jaar in de rol van IT-auditor audit- en quality assurance-werkzaamheden verricht voor de farmaceutische eindproductie business unit van Schering-Plough/Organon. Daarna heeft hij respectievelijk een jaar in de rol van IT compliance officer en twee jaar als hoofd van de IT compliance unit gefunctioneerd voor dit organisatie-onderdeel. NOREA, 2010 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback