10 NAJČEŠĆIH GMP ODSTUPANJA VEZANO ZA INTEGRITET PODATAKA

Tema integriteta podataka i dalje ne silazi s vrha ljestvica GMP aktualnosti, a razloga za to je više. Jedan je bez sumnje i taj da GMP inspekcije ili auditi i dalje prilično često završavaju s odstupanjima upravo u području integriteta podataka. Da ne duljimo, pripremili smo listu 10 najčešćih GMP odstupanja vezano za integritet podataka, a na temelju naših iskustava prikupljenih kroz brojne projekte u farmaceutskim kompanijama i provedene GMP audite. Listu možete koristiti kao dodatnu pripremu za predstojeće inspekcije i audite, ali i za brzu evaluaciju vlastitog okruženja s obzirom na integritet podataka. Pa pogledajmo o čemu se radi; lista donosi presjek odstupanja i nije složena po kritičnosti ili učestalosti; krenut ćemo stoga od teme koja je nekako zadnja „isplivala“ na površinu uzburkanog oceana integriteta podataka. Pregled sistemskog audit trail-a se ne provodi Ovo je relativno novo pitanje koje se počelo postavljati unatrag dvije godine. Dakle, potrebno je utvrditi koji elementi sistemskog audit trail-a se pregledavaju, periodički evaluirati sistemski audit trail (što znači zapise o svim „događanjima“ na sistemskoj razini računalne aplikacije) i takvu evaluaciju dokumentirati. Sama periodičnost pregleda utvrđuje se kroz evaluaciju rizika, a s obzirom na funkcionalnosti i ulogu u GMP procesima svake pojedine računalne aplikacije. Uz upravo navedeno, važno je i postaviti te dokumentirati mehanizme daljnje reakcije: kako se postupa ukoliko se tijekom pregleda sistemskog audit trail-a utvrde nepravilnosti. Zapisi rukom se ne vode na odgovarajući način Od same činjenice da se zapisi rukom ne vode ispravno, ovdje je puno važnije naglasiti moguće uzroke takvih situacija, a koji su najčešće skriveni u sustavu, organizaciji i nedovoljnim resursima. Kada govorimo o neodgovarajućem vođenju zapisa rukom, radi se o nizu različitih situacija: zapis uopće nije proveden, zapis nije proveden ispravno (npr. pogrešan format vremena i datuma), proveden je potpuno pogrešan zapis (npr. upisani su krivi podaci – ili su pogrešno prepisani, vidjeti kasnije), zapisi se ne kreiraju u trenutku provedbe aktivnosti nego (znatno) kasnije, umjesto potpisa koriste se inicijali iako to nije predviđeno procedurom i sl. Što se tiče uzroka ovakvih odstupanja, tu cijela priča postaje posebno zanimljiva. Naime, inzistiranje na disciplini i ispravnom vođenju zapisa nema puno efekta ukoliko operater u proizvodnji ili analitičar u laboratoriju imaju tri puta više posla za napraviti nego je realno moguće, ako su radni uvjeti neodgovarajući, kao i kada se inzistira na nelogično dizajniranim obrascima ili logbook-ovima ili kada se traži suvišno upisivanje istog podatka na tri ili pet različitih mjesta. No više o tome nekom drugom prilikom. Pregled audit trail-a se ne provodi uopće ili pregled nije dobro postavljen Pregled audit trail-a trebao bi biti sastavni dio pregleda elektroničkih zapisa, no i dalje nije baš uvijek tako. U praksi su najčešće dvije situacije (kao i dodatne kombinacije tih dviju situacija). Prva je da se audit trail uopće ne pregledava niti je to previđeno procedurom. Druga situacija obuhvaća više scenarija, npr. pregled audit trail-a nije jasno definiran, pregled se provodi, ali nije prikladno dokumentiran, pregled se provodi samo djelomično i sl. U svakom slučaju, potrebno je vrlo jasno procedurama definirati koji audit trail je potrebno pregledavati (u laboratoriju, u proizvodnji i sl.), kada, tko takav pregled provodi i na koji način te naravno osigurati da se sve to uvijek provodi kako je propisano. Dvostruka kontrola laboratorijskih zapisa nije odgovarauća Najčešća odstupanja vezano za dvostruku kontrolu laboratorijskih zapisa odnose se na nedovoljno definirana pravila – što dvostruka kontrola konkretno znači, što sve obuhvaća (Izračuni? Sljedivost? Audit trail?), kada se provodi, kako se provodi, tko ju može provesti i kako se dokumentira. Pa se tako dogodi da npr. jedna osoba u sklopu dvostruke kontrole stavlja zelene kvačice uz svaki analitički rezultat, a druga ne, što onda dalje vodi do mogućih nesporazuma i pogrešnih interpretacija u kasnijim fazama pregleda dokumentacije, npr. od strane QP-a. Vrlo kratka digresija: što se tiče dokumentiranja dvostruke kontrole, kroz nekoliko projekata GMP optimizacije uvođenjem jednostavne checklist-e smo postigli nekoliko značajnih efekata: gotovo preko noći potpuno je ujednačen pristup, značajno je smanjen broj pogrešnih pregleda laboratorijskih zapisa te su eliminirana odstupanja na GMP inspekcijama i auditima po ovoj temi. Uloga administratora GMP računalnih aplikacija nije dobro postavljena Ovdje ćemo izdvojiti dva ključna odstupanja. Prvo se odnosi na situacije u kojima je osoba odgovorna za neki proces ujedno i administrator aplikacije koja se koristi u tom procesu, što otvara mogućnosti manipulacije (npr. rukovoditelj Kontrole kvalitete je administrator za LIMS). Drugo odstupanje je ono kada postoji više administratora, ali svi koriste ista pristupna prava, pa tako kroz audit trail zapravo nije moguće vidjeti koja konkretno osoba je provela neku aktivnosti ili podešenje u računalnoj aplikaciji. Podaci se prepisuju nepotrebno ili bez kontrole Ova situacija sama po sebi ne predstavlja manipulaciju podacima, već lošu praksu; ali to i nije tako važno jer krajnji rezultat može biti jednak – kompromitiranje integriteta podataka. Prema našim iskustvima, prepisivanja su češća vezano za laboratorijske aktivnosti (npr. prvo u analitičku bilježnicu pa u log book, pa u LIMS; pa u certifikat analize), no događaju se i u proizvodnji. Svako prepisivanje direktno je u sukobu s Original elementom ALCOA koncepta (Attributable, Legible, Contemporaneous, Original, And Accurate), a posljedično može imati i utjecaj na Accurate element. Dakle, svaki put kada postanemo svjesni da se u nekom koraku pojedini GMP podatak prepisuje, potrebno je upitati se zašto je to tako i što se može promijeniti da se prepisivanje izbjegne ili gdje je ono nužno da se uvedu učinkoviti kontrolni mehanizmi. Propusti vezano za upravljanje pravima pristupa u GMP računalne sustave U ovoj grupi pojavljuje se više različitih odstupanja, npr. u GMP računalnu aplikaciju moguće je pristupiti bez upisa korisničkih podataka, role unutar pojedine računalne aplikacije nisu u skladu s organizacijom i organizacijskim odgovornostima (npr. osoba koja nije QP može promijeniti status serije u aplikaciji), korisnici imaju prava koja ne bi smjeli imati (npr. analitičar može mijenjati postavke unutar pojedinih metoda), ne postoji procedura dodjeljivanja prava pristupa ili se procedura ne slijedi (npr. prava pristupa se otvaraju na temelju telefonskog poziva, bez ikakvog pisanog traga), jedna licenca ili jedan set pristupnih prava koristi više korisnika. Manipulacija laboratorijskim podacima i zapisima I unutar ovog podnaslova moguće je pobrojati više različitih situacija: integracija kod metoda tekućinske kromatografije nije jasno definirana ili se čak slobodno provodi kako bi se izbjegla OOS istraga (rijetko, ali ipak da); događaju se „neslužbena“ injektiranja, analiza ili sekvenca su prekinuti bez obrazloženja (ili da se jasnije izrazimo: „with no justification“); zbrajanje OOS i ne-OOS rezultata. Validacija računalnih sustava nije prikladna Ovo je široka skupina vrlo različitih odstupanja, pa ćemo navesti ona koja nam se čine najkritičnijima, ali i najčešćima: za kritične transakcije (npr. promjena statusa serije lijeka) proveden je samo pozitivan test, a nije proveden i jednako važan negativan test; audit trail nije uključen u validaciju; validacija ne slijedi funkcijsku specifikaciju i URS; prilozi koji podupiru pojedine validacijske testove nisu vjerodostojni ili uopće ne postoje; nije utvrđeno tko treba provesti koji test, a s obzirom na odgovornosti i role u sustavu pa se tako događa da osoba iz IT-a provodi testove za transakcije koje će provoditi QP; nije razmotrena provedba validacije kod izmjena računalnog sustava ili odluke da validacija nije potrebna nisu utemeljene. Uz sve navedeno, dodajmo još jedno prilično često odstupanje, a to je da životni ciklus računalne aplikacije ne funkcionira u praksi, što znači da se npr. trenutno koristi verzija softvera 4.11, validirana je verzija 2.8, a nitko ne zna što se događalo između niti postoje relevantni zapisi o tome. Arhiviranje papirnatih zapisa nije dovoljno sigurno Ovo odstupanje pripada ALCOA+ segmentu integriteta podataka (Complete, Consistent, Enduring and Available) i radi se najčešće o dvije razine problema. Jedna razina predstavlja situacije u kojima se zapisi ne čuvaju na siguran i adekvatan način (zaštita od požara, vlage, poplave, glodavaca i sl.), a druga se odnosi na slobodan pristup dokumentima. Naime, kada se govori o pristupu dokumentima, u praksi su zaista vrlo rijetke situacije da će netko namjerno ukrasti neki zapis, no često se događa da se zapisi uzmu s određenom svrhom (npr. GMP inspekcija ili QP treba pogledati neki proizvodni kontrolnik od prošle godine), a zatim se takvi dokumenti ne vrati i na kraju se izgube. I dalje ostaje niz situacija koje nisu spomenute kao npr. nekontrolirano izdavanje logbook-a, ispis iz analitičke vage na kojem je kao korisnik naveden ANALITIČAR, korištenje Excel radnih knjiga za vođenje GMP kritičnih zapisa, i operateri i voditelji pristupaju u upravljački sustav uređaja za blistiranje koristeći isti set admin pristupnih prava… Popis je vjerojatno beskonačan, no rješenja postoje i jednostavnija su nego se to čini, a prvi korak je učinkovito prepoznati gdje se kriju stvarni uzroci odstupanja s integritetom podataka.

Više o tome uskoro!