Periodic Review

In regulierten Industrien, wie z.B. Pharma und Medizintechnik legen Gesetze, Normen und Regularien fest, dass computergestützte Systeme im GxP Umfeld qualifiziert / validiert werden müssen. Ein einmal erreichter qualifizierter / validierter Zustand muss dauerhaft aufrechterhalten werden. Sowohl die FDA und auch die EMA fordern einen Nachweis darüber, dass ein computergestütztes System während seiner gesamten Betriebsdauer in einem validierten Zustand bleibt.

FDA 21 CFR 211.68

(a) “Automatic, mechanical, or electronic equipment or other types of equipment, including computers, or related systems that will perform a function satisfactorily, may be used in the manufacture, processing, packing, and holding of a drug product. If such equipment is so used, it shall be routinely calibrated, inspected, or checked according to a written program designed to assure proper performance. Written records of those calibration checks and inspections shall be maintained.”

(b)“[…] The degree and frequency of input/output verification shall be based on the complexity and reliability of the computer or related system. […].”

EudraLex Volume 4 Annex 11 Chapter 11

Computerised systems should be periodically evaluated to confirm that they remain in a valid state and are compliant with GMP. Such evaluations should include, where appropriate, the current range of functionality, deviation records, incidents, problems, upgrade history, performance, reliability, security and validation status reports.“

In allen Betrieben gibt es viele Prozesse und Tools, die dafür sorgen, dass die Systeme auch weiterhin in einem validierten Zustand sind und bleiben. Eines der wichtigsten Instrumente, um den validierten Zustand eines Systems zu prüfen, zu dokumentieren und entsprechende Maßnahmen einzuleiten, ist der Periodic Review.

Dieser Prozess wird verwendet, um den qualifizierten / validierten Zustand von Computer Systemen im GxP Umfeld mit direktem oder indirektem Einfluss auf Produkte / Qualitätsentscheid (Patientensicherheit, Produktqualität und Datenintegrität) zu erhalten. Somit wird auch der bestimmungsgemäße Einsatz sowie die Einhaltung der Unternehmensrichtlinien und -verfahren gewährleistet und entsprechend dokumentiert.
Die Periodic Review Planung beginnt idealerweise bereits mit Abschluss der Qualifizierung / Validierung.

Risikobasierte Frequenz und Planung:

Eine dokumentierte Risikobewertung soll vorgenommen werden, um die Frequenz des Periodic Reviews festzulegen. Bei der Risikobewertung sollten die Auswirkungen auf

  • die Patientensicherheit,
  • die Produktqualität und
  • die Datenintegrität

ebenso bewertet werden, wie auch die Systemkomplexität und die Systemstabilität.

Ein guter Periodic Review bietet eine Planbarkeit (durch Zeit- und Ablaufpläne) und Sicherheit, dass die computergestützten Systeme konform den regulatorischen Anforderungen bleiben. Die dabei festgestellten Mängel sind als Korrekturmaßnahmen nachzuverfolgen, die dann über entsprechende Prozesse abgearbeitet werden können.

Durchführung

Um den dokumentierten Nachweis zu erbringen, dass sich das computergestützte System weiterhin im qualifizierten / validierten Zustand befindet, sollte die Überprüfung folgende Bereiche umfassen:

  • Inventardaten,
  • System Dokumentation (inklusive Lifecycle Dokumentation),
  • Methoden- / Prozessbeschreibungen,
  • Standard-Arbeitsanweisungen,
  • Wartung und Kalibrierung
  • Änderungen, Abweichungen, CAPAs, Ereignisse,
  • Inspektionen und Audits,
  • Sicherheits- und Zugangskontrolle,
  • Backup und Wiedereinspielung von Daten,
  • Disaster Recovery, Audit Trail (Review) / Logbucheinträge,
  • Trainingsstatus,
  • externe Dienstleistungen (-verträge),
  • Archivierung.

Um den Prozess des Periodic Reviews transparent, objektiv und frei von Willkür durchzuführen, sind die o.g. Bereiche in einer Checkliste mit nachvollziehbaren Akzeptanzkriterien abzubilden.

Wer sollte den Periodic Review durchführen?
Die Überprüfung sollte unabhängig erfolgen, d.h. nicht von einer Person durchgeführt werden, die das entsprechende Gerät bzw. computergestützte System betreibt. Wenn eine Person, die das System gut kennt, den Periodic Review durchführt, besteht die Gefahr, dass sie etwas übersieht, das ein unabhängiger Prüfer finden könnte, gerade weil es ihr vertraut ist. Außerdem neigt eine Person, die in ein System eingebunden ist, dazu, sich auf das zu konzentrieren, was gut funktioniert. Eine unabhängige Person wird sich darauf konzentrieren Punkte zu identifizieren, die nicht konform sind oder effizienter durchgeführt werden können. Daher ist die Unabhängigkeit der Person, die einen Periodic Review durchführt, von großer Bedeutung.

Abschlussbericht und Nachverfolgung von Maßnahmen

Festgestellte Mängel sollten mit einem detaillierten Aktionsplan zur Risikominderung festgehalten werden. Die Ergebnisse des Periodic Review und die damit verbundenen Maßnahmen müssen von den Prozess-, den Daten-, den Systemeignern und der Qualitätsabteilung geprüft und freigegeben werden.

Die Durchführung der Maßnahmen sollte überwacht werden, um einen rechtzeitigen Abschluss zu gewährleisten. Der Abschluss dieser Maßnahmen ist im folgenden(!) Periodic Review zu prüfen und (spätestens dort) zu dokumentieren.

Die Ergebnisse des Periodic Review, sowie die Kritikalität des computergestützten Systems bilden die Grundlage für die Festlegung der Frequenz zukünftiger Periodic Reviews. Die Frequenz kann also z.B. bei stabilen / robusten Systemen angepasst werden, sollte 3 Jahre aber nicht überschreiten.

Unsere Empfehlung: Der initiale Periodic Review sollte 1 Jahr nach Abschluss der Qualifizierung / Validierung für computergestützte Systeme im GxP Umfeld abgeschlossen sein, um einen guten Überblick / Eindruck zu gewährleisten.

Autorin: Marlen Dalkowski