17 Aug Datenintegritäts – Assessments

Posted at 11:40h in Qualitätsmanagement by

In einer Branche, die von strengen Vorschriften, Anforderungen internationaler Gesundheitsbehörden und einem hohen Maß an Verantwortung geprägt ist, spielt Datenintegrität eine zentrale Rolle, um das Vertrauen von Patienten, Regulierungsbehörden und der Öffentlichkeit zu gewährleisten. Somit ist es für Unternehmen von großer Bedeutung, sicherzustellen, dass Daten vollständig sind und korrekt verarbeitet werden. Ein Instrument, das verwendet wird, um diese Bewertung vorzunehmen, ist das Datenintegritäts-Assessment. Aber was genau verbirgt sich hinter diesem Begriff, was ist dessen Ziel, wie wird es durchgeführt und aus welchen Bestandteilen setzt es sich zusammen?

Ziel

Das Hauptziel eines Datenintegritäts-Assessments besteht darin, die Einhaltung der Anforderungen der Arzneimittelbehörden hinsichtlich der Datenintegrität in einem bestimmten Bereich, anhand einer einheitlichen Methode (Skala), zu überprüfen und zu bewerten. Die zentrale Aufgabe des Assessments liegt in der Feststellung und Bewertung der Risiken, denen die erzeugten Daten und Aufzeichnungen im Verlauf ihres gesamten Lebenszyklus (von Erstellung über Verarbeitung, Überprüfung, Berichterstattung, Nutzung bis hin zur Aufbewahrung, Abruf und Vernichtung) in Bezug auf die ALCOA – Kriterien (Attributable, Legible, Contemporaneous, Original und Accurate) ausgesetzt sind.

Durchführung

Eine (einheitliche Methode / Skala zur) GxP-Klassifizierung stellt die Voraussetzung zur Durchführung eines Datenintegritäts-Assessments dar.

Der erste eigentliche Durchführungsschritt selbst ist die Erstellung von Datenflussdiagrammen. Diese Diagramme visualisieren die Datenbewegungen innerhalb bzw. zwischen den Systemen gemäß dem Eingabe-Verarbeitung-Ausgabe-Prinzip und zeigen den Verlauf im Prozessfluss, unabhängig von der Art der vorliegenden Daten.

Im zweiten Schritt werden die beteiligten Systeme im Prozess jeweils einer Systembetrachtung unterzogen, um festzustellen, ob sie den regulatorischen und unternehmensinternen Anforderungen hinsichtlich Datenintegrität entsprechen (Compliance-Status).

Diese beiden ersten Schritte dienen zur Identifikation potenzieller Schwachpunkte im Hinblick auf die Datenintegrität.

Anschließend werden diese Schwachpunkte, in einer Risikobewertung genauer untersucht. Danach erfolgt die Planung und Umsetzung von Maßnahmen zur Risikominderung. Die Bewertung der Prozesse, Systeme und erkannten Schwachpunkte sollte in enger Kooperation mit Fachexperten und der Qualitätsabteilung erfolgen, wobei besonderes Augenmerk auf die Verständlichkeit und Nachvollziehbarkeit der erstellten Unterlagen gelegt wird.

GxP Klassifizierung

Um effektive Datenintegritäts-Assessments durchzuführen, ist es entscheidend, dass Unternehmen eine einheitliche Methode (Skala) zur Einstufung der GxP-Klassifizierung von Prozessen und Systemen / Anlagen etablieren. Diese Klassifizierung hilft dabei, den Umfang und die Reihenfolge der zu untersuchenden Prozesse und Systeme / Anlagen festzulegen.

Prozessvisualisierung

Die Prozessvisualisierung ist eine grafische Darstellung der Daten entlang ihres gesamten Lebenszyklus während der einzelnen Prozessschritte. Sie enthält auch Informationen über die genutzten Systeme / Anlagen. Datenflussdiagramme ermöglichen es Schwachpunkte für die Datenintegrität im Prozessablauf zu erkennen und sicherzustellen, dass die Daten zurückverfolgt werden können. Durch visualisierte Prozessflüsse wird verständlich, wie die verschiedenen Systeme im Datenlebenszyklus interagieren. Dabei werden auch Schnittstellen identifiziert, über die Daten von einem System zum anderen übertragen werden. Die Art der Datenübertragung und -verarbeitung kann schon auf potenzielle Schwachpunkte hinweisen. Es ist dabei wichtig, sowohl den Grad der Automatisierung als auch den der menschlichen Interaktion zu berücksichtigen.

Mögliche Inhalte:

  • Quell- und Zielsysteme (elektronisch und / oder papierbasiert)
  • Eingabedaten
  • Ausgabedaten
  • Abgrenzung der einzelnen Prozessstufen
  • Schnittstellen zu Systemen
  • Übertragung und/oder Verarbeitung von Daten (automatisiert / manuell)

    Die Prozessvisualisierung deckt lediglich potenzielle Schwachpunkte in Bezug auf die Datenintegrität im Prozess auf, zum Beispiel manuelle Datenerstellung oder -übertragung. Diese Schwachstellen werden dann in der Risikobewertung analysiert.

Systembetrachtung

Die Systembetrachtung zeigt, ob ein System den aktuellen Vorgaben und Regeln für Datenintegrität entspricht – sowohl den gesetzlichen als auch den unternehmensinternen. Ihr Ziel ist es, potenzielle Schwachpunkte für die Datenintegrität innerhalb eines Systems aufzuspüren. Dies kann z.B. durch die Verwendung eines Fragenkatalogs mit gewichteten Antworten erfolgen. Die Differenz zwischen der tatsächlichen Situation und dem gewünschten Zustand ermöglicht eine Gesamtübersicht über das System.

Mögliche Inhalte:

  • Qualifizierungs- / Validierungsstatus
  • Schnittstellen
  • Zugriffsverwaltung auf System- und Softwareebene
  • Datenspeicherung (elektronische Aufzeichnungen / Ausdruck)
  • Elektronische Signatur
  • Audit Trail  und Überprüfung
  • Backup und Wiederherstellung
  • Archivierung

    Die Systembetrachtung deckt lediglich mögliche Schwachpunkte in Bezug auf die Anforderungen an die Datenintegrität im System auf. Diese Schwachpunkte werden in der Risikobewertung analysiert.

Risikobewertung

Die Risikobewertung hat das Ziel, die zuvor identifizierten möglichen Schwachpunkte für die Datenintegrität anhand von Datenflussdiagrammen und Systembetrachtungen zu analysieren und bei Bedarf Maßnahmen zur Risikoreduktion zu definieren. Dabei ist es wichtig, die Kritikalität der Daten zu berücksichtigen. Es sollte untersucht werden,

  • welche Kontrollen vorhanden sind, um mit diesen Risiken umzugehen, und
  • welche Methoden zur Erkennung genutzt werden können (wie beispielsweise Datenprüfungen oder Überwachungssysteme).

Das Risikomanagement für die Datenintegrität sollte als ein iterativer Prozess verstanden werden. Dabei wird regelmäßig überprüft, wie hoch das verbleibende Risiko für den Prozess sowie das System oder die Anlage ist und welche Gründe dahinterstecken.

Maßnahmenplan

Der Maßnahmenplan enthält die Schritte, die unternommen werden müssen, um Risiken zu verringern. Er enthält sowohl Verantwortlichkeiten als auch Fälligkeitsdaten. Zusätzlich wird der Stand der bereits ergriffenen Maßnahmen dokumentiert, um einen aktuellen Überblick zu ermöglichen, weitere Schritte entsprechend planen zu können und transparent zu berichten.

Autorin: Marlen Dalkowski und Autor: Dr. Sven-Hendrik Marx