OBJAVLJENI DRAFTOVI EU GMP CHAPTER 4, EU GMP ANNEX 11 I EU GMP ANNEX 22

Konačno su objavljeni završni draftovi EU GMP Chapter 4 DOCUMENTATION i EU GMP Annex 11 COMPUTERISED SYSTEMS, a uz to smo dobili i djelomično iznenađenje, s obzirom da se tako nešto ipak pomalo i očekivalo u nekom trenutku: draft potpuno novog EU GMP Annex 22 ARTIFICIAL INTELLIGENCE.

U nastavku donosimo preliminarni pregled dokumenata, primarno s fokusom na važnije/veće promjene i nove zahtjeve. Imajte na umu da su ovo još uvijek draft dokumenti te su moguće izmjene teksta u finalnim verzijama.

Za potpune informacije o svim promjenama i novim zahtjevima svakako pročitajte objavljene draftove dokumenata.

UVODNI OSVRT

Što se tiče EU GMP Chapter 4 DOCUMENTATION i EU GMP Annex 11 COMPUTERISED SYSTEMS, moramo odmah reći – predložene revizije ne donose niti jedan zahtjev koji bi u GMP okruženju bio potpuno nepoznat ili totalno iznenađenje. Dakle, uglavnom se radi o formalizaciji već dobro poznatih i prisutnih radnih praksi ili proširenju GMP „nadležnosti“ na neke druge procese, npr. IT procese.

S druge strane, sada mnoge „sive zone“ konačno postaju jasnije i konkretnije propisane, što će sigurno olakšati implementaciju niza GMP zahtjeva s obzirom na upravljanje dokumentacijom i zapisima, računalne sustave i integritet podataka općenito. No, ovo će naravno direktno utjecati i na provedbu GMP inspekcija i audita s obzirom da sada mnogi zahtjevi postaju eksplicitni te postoji jasna podloga za konkretne provjere po pojedinim elementima.

Sva tri dokumenta donose detaljan rječnik pojmova što bi također moglo pomoći u ujednačavanju i standardizaciji terminologije, pristupa i konkretnih procedura.

Trenutno su sva tri draft dokumenta u fazi javnih konzultacija koja će trajati do 07.10.2025.

Prema nekim ranijim najavama, finalne verzije se očekuju u Q1 2026, barem u slučaju EU GMP Chapter 4 i EU GMP Annex 11.

EU GMP Chapter 4 DOCUMENTATION draft

Koje su ključne promjene?

Značajno prošireni postojeći zahtjevi

Umjesto dosadašnjeg fokusa na dokumente, vidljiv je pomak težišta na podatke i upravljanje podacima (data governance)

Uveden je niz novih (iako poznatih) zahtjeva: integritet podataka, upravljanje podacima, upravljanje rizicima tijekom životnog ciklusa dokumentacije, potpisi i potpisivanje, hibridni sustavi

Prošireni su zahtjevi za kreiranje dokumenata i općenito za dobru dokumentacijsku praksu, iako je to još uvijek manje od onoga što je navedeno u sklopu PIC/S smjernice za integritet podataka

Po prvi put formalno uveden ALCOA++ koncept i u EU GMP regulativu (attributable, legible, contemporaneous, original, accurate, complete, consistent, enduring, available, traceable)

Što treba izdvojiti kao najbolje u novom dokumentu?

Detaljno opisane zahtjeve vezano za potpise i potpisivanje GMP zapisa

Razjašnjena očekivanja oko hibridnih sustava (iako ovo istovremeno predstavlja i značajan izazov)

Detaljno objašnjeno značenje svakog pojedinog ALCOA++ pojma

Što bi mogli biti najveći izazovi u implementaciji zahtjeva?

Formalno ispunjavanje i potvrđivanje da se provode svi zahtjevi s obzirom na DATA GOVERNANCE SYSTEM interno i prema ugovornim organizacijama, npr.: Regulated users should design and operate a data governance system which provides an acceptable state of control based on the risk assessment, which is documented with supporting rationale; Data governance systems should consider risk mitigation; The effectiveness of risk mitigation measures should be reviewed regularly, regardless of whether they are temporary or permanent. Residual risks should be reviewed periodically and communicated to management

Data governance systems should consider and ensure the periodic review of service provider’s data management policies and risk control strategies intended to minimise potential risks to data integrity. The frequency of such reviews should be based on the criticality of the services provided, using risk management principles

Formalno ispunjavanje i potvrđivanje da se provode zahtjevi s obzirom na RISK MANAGEMENT, npr.: Controls over the data lifecycle should be established which are commensurate with the principles of quality risk management; The depth of data governance and risk management activities should be justified and commensurate with the risks to product quality and patient safety; Decisions on the extent of measures to ensure data integrity should be based on a documented rationale and documented risk assessment taking into consideration data criticality and data risk.

Formalno ispunjavanje zahtjeva za HYBRID SYSTEMS, npr.: A detailed description of the entire system should be available. The description should outline all major components, their functions, and interactions with each other as well as control for data management and data integrity; Procedures and records should be available to manage and appropriately control the interface between manual and computerised systems.

Što još treba spomenuti?

Kako je već prije rečeno, niz je detaljnije razrađenih zahtjeva za koje će u mnogim kompanijama trebati provesti dodatnu formalizaciju već postojećih procesa i praksi rada s obzirom na upravljanje dokumentacijom i integritet podataka; evo još nekih primjera uz već ranije spomenuto:

It should be clearly defined which record is related to each activity and where this  record is located, regardless of the technology, hybrid solution or service used

Data or documents which are associated with the signature should be clearly identified. The meaning of the signature (such as review, approval, responsibility, or authorship) associated with the signature should be clear

If the regulated user relies on hosted services, it is the responsibility of the regulated user to understand, approve and justify the control measures of the hosted service provider based on a service level agreement

Koji je očekivani angažman u implementaciji novih zahtjeva?

Svaka farmaceutska kompanija koja je i do sada slijedila pravila dobre dokumentacijske prakse i principe integriteta podataka neće u novom EU GMP Chapter 4 pronaći posebno novih i nepoznatih zahtjeva

Međutim, ono što bi moglo zahtijevati određeni angažman u smislu ljudskih resursa i vremena je formalno uvođenje niza novih zahtjeva u postojeći sustav kvalitete i provedba prilagodbi novim i formalno postavljenim GMP zahtjevima (sve prije navedeno); ovo će posebno biti izazov u manjim GMP kompanijama koje već i sada funkcioniraju s vrlo ograničenim resursima u području upravljanja kvalitetom

EU GMP Annex 11 COMPUTERISED SYSTEMS draft

Koje su ključne promjene?

Obuhvaćen je cijeli životni ciklus GMP računalnih sustava, uz bolje, detaljnije i jasnije definiranje pojedinih pojmova i zahtjeva

Kroz cijeli dokument se kontinuirano provlače 3 pojma: product quality, patient safety, data integrity što znači da bi upravo na tim pojmovima trebalo temeljiti sve vezano za GMP računalne sustave (od URS-a, nabave, evaluacije rizika, validacije, izmjena, primjene…), ali i IT procese te druge povezane procese: postoji li bilo kakva prijetnja s obzirom na kvalitetu lijeka, sigurnost korisnika lijeka i integritet podataka

Na organizacijsku jedinicu IT-a počinje se gledati kao na vrstu dobavljača: When a regulated user is relying on a service provider’s or an internal IT department’s operation of a system used in GMP activities, the regulated user should exercise effective oversight of this according to (…) key performance indicators (KPI) agreed with the service provider or the internal IT department; ili ovo: Qualification and validation documentation may be provided by a service provider, a vendor or an internal IT department in parts or in whole

Značajno su prošireni i detaljnije opisani postojeći zahtjevi (npr. audit trail, elektronički potpis, back up, itd.) te je dodano niz novih zahtjeva (alarmi, sigurnost, hibridni sustavi); s dosadašnjih 5, EU GMP Annex 11 se proširio na čak 19 stranica

Odlična je nova struktura dokumenta na način da su zahtjevi za svaku pojedinu temu prikazani i objašnjeni kroz prizmu ključnih pojmova unutar te teme

Usklađivanje sa zahtjevima sada značajno nadilazi organizacijsku jedinicu Kvalitete i GMP procese te će zahtijevati intenzivno uključivanje IT resursa, a često i vanjsku podršku (dobavljači softverskih usluga, specijalizirane IT tvrtke i sl.); to je jasno navedeno i u samom dokumentu: When conducting the activities required in this document, there should be, where applicable, close cooperation between all relevant parties (…)process owner, system owner, users, subject matter experts (SME), QA, QP, the internal IT department, vendors, and service providers

Što treba izdvojiti kao najbolje u novom dokumentu?

Čini nam se da revidirani EU GMP Annex 11 donosi trenutno najbolju, najjasniju i najsveobuhvatniju definiciju audit trail-a: Manual user interactions - Systems which are used to control processes, capture, hold or report data, and where users can create, modify or delete data, settings or access privileges, acknowledge alarms or execute electronic signatures etc., should have an audit trail functionality which automatically logs all manual user interactions; međutim, otvara se pitanje hoće li uvijek biti moguće ispuniti „why“ zahtjev za audit trail: Where data is changed from an old value to a new value, systems should automatically prompt the user for, and register the reason, why the change was made

Kada spominjemo audit trail, odlična je i smjernica za planiranje i provedbu pregleda audit trail-a: Reviews should be targeted, based on risk and adapted to local manufacturing processes; Procedures for audit trail reviews should focus on detecting any deliberate or indeliberate changes to critical processes or data that indicate a violation of GMP principles, including, but not limited to, repetition of activities, errors, omissions, unauthorised process deviations and loss of data integrity

Uvedeno je potpuno novo poglavlje ALARMS koje donosi niz korisnih i vrlo detaljnih smjernica (no, drugo je pitanje koliko će usklađivanja biti potrebno kako bi se ispunili ti zahtjevi), npr.: Alarm limits, delays, and any early warnings or alerts, should be appropriately justified, and set within approved and validated process and product specifications; All alarms and acknowledgements should be automatically added to an alarm log; this should contain the name of the alarm, date and time of the alarm, date and time of the acknowledgement, username and role of the user acknowledging the alarm and any comment about why the alarm was acknowledged; Alarm logs should be subject to appropriate periodic reviews based on approved procedures, in which it should be evaluated whether they have been timely acknowledged by authorised users and whether appropriate action has been taken

Revizija EU GMP Annex 11 i dalje ne uvodi kategorije softvera prema GAMP 5 klasifikaciji niti upućuje na koji način provesti evaluaciju rizika pojedine aplikacije, za što smatramo da je ispravno; dokument jasno kaže: Computerised systems should be validated before use and maintained in a validated state throughout their lifecycle; s druge strane, u samom uvodnom dijelu stoji ovako: This annex applies to all types of computerised systems used in the manufacturing of medicinal products and active substances, a još dalje je navedeno i sljedeće: The validation strategy and effort should be determined based on the intended use of the system and potential risks to product quality, patient safety and data integrity; prema tome, ne treba se opterećivati tumačenjima kategorija softvera već primarno gledati samu prirodu, primjenu i moguće utjecaje pojedinog računalnog sustava; isto je i za URS – potreban je, neovisno o „kategoriji“ aplikacije, regardless of whether a system is developed inhouse, is a commercial off-the-shelf product, or is provided as-a-service

Što bi mogli biti najveći izazovi u implementaciji zahtjeva?

Tema SIGURNOSTI (Security) sada postaje GMP relevantna tema: Regulated users should ensure an effective information security management system is implemented and maintained, which safeguards authorised access to, and detects and prevents unauthorised access to GMP, systems and data; iako većina farmaceutskih kompanija danas ispunjava većinu, ako ne i sve navedene zahtjeve, vjerojatno će biti izazov primjenu tih zahtjeva, do sada provođenih na različite načine od strane IT-a, formalizirati u sklopu GMP procesa i upravljanja kvalitetom; to uključuje niz elemenata, npr.: recurrent security awareness training; a disaster recovery plan should be in place, tested and available during and after a disaster has affected a data centre, server, computer, infrastructure, or data; Operating systems and platforms for applications should be updated in a timely manner according to vendor recommendations; timely patching; penetration testing, kao i niz drugih vrlo konkretnih zahtjeva

Još jedan mogući izazove je ispunjavanje zahtjeva da u slučaju bilo kojeg ugovornog procesa, uključujući i SaaS modele, pružatelj usluge mora staviti na raspolaganje svu dokumentaciju o aplikaciji; pitanje je u kojoj mjeri su pružatelji usluga u ovom trenutku spremni i raspoloženi za tako nešto

Uz ova dva veća izazova, vidimo i niz dodatnih manjih izazova u smislu formalizacije provedbe nekih aktivnosti i općenito usklađivanja s novim zahtjevima EU GMP Annex 11 – neki primjeri takvih izazova su navedeni u nastavku

Što još treba spomenuti?

Tema računalnih sustava sada će biti još više integrirana u sustav kvalitete pri čemu će trebati paziti da se ne bi dogodila bilo kakva nekontrolirana promjena te da se uvijek ima na umu potreba re-kvalifikacija i/ili re-validacije: Any change to a computerised system including but not limited to its configuration, its hardware and software components, and its platform and operating system, are made in a controlled manner and in accordance with defined procedures. Any significant change which may impact product quality, patient safety or data integrity, should be subject to re-qualification and validation.

Bit će potrebna formalna analiza rizika s obzirom na primjenu računalnih sustava: Risks associated with the use of computerised systems in GMP activities should be identified and analysed according to an established procedure

Jasno je definirana svrha validacije i vjerojatno će se na budućim GMP inspekcijama i auditima provjeravati je li validacija računalnog sustava planirana i izvedena tako da odgovori na te zahtjeve: The validation strategy and effort should be determined based on the intended use of the system and potential risks to product quality, patient safety and data integrity

Pažnja i kod ovoga vezano za validacije računalnih sustava: ako pojedini test case nema referencu na specifične regulatorne ili funkcijske zahtjeve, takva validacija se ne smatra prihvatljivom: Test cases not referring (traceable) to requirements or applicable specifications do not meet the requirements to qualification and validation

Više nema isprike za nepostojanje URS-a: A regulated user should establish and approve a set of system requirements (e.g. URS)…This principle should be applied regardless of whether a system is developed inhouse, is a commercial off-the-shelf product, or is provided as-a-service and independently on whether it is developed following a linear or iterative software development process

Niz je novih i prilično konkretnih zahtjeva vezano za vanjske dobavljače i pružatelje softverskih usluga, uključujući provedbu audita, kontinuirani nadzore preko KPI-a koji moraju biti definirani; izdvajamo posebno jedan zahtjev: When a regulated user relies on a vendor’s, a service provider’s or an internal IT department’s qualification and/or operation of a system used in GMP activities, the regulated user should ensure that documentation for activities required in this document is accessible and can be explained from their facility

U čak 11 točaka su razrađeni zahtjevi za IDENTITY AND ACCESS MANAGEMENT; ovdje nema nekih iznenađenja, ali niz već postojećih praksi sada postaju i vrlo konkretna regulatorna GMP obaveza, npr.: Passwords should be of sufficient length to effectively prevent unauthorised access and contain a combination of uppercase, lowercase, numbers and symbols; A password should not contain e.g. words that can be found in a dictionary, the name of a person, a user id, product or organisation, and should be significantly different from a previous password

Tema audit traila je detaljno razrađena s nizom konkretnih uputa; neke smo već spomenuli ranije, a evo još jedne: Audit trail reviews with direct impact on the release of a product should be available to the QP at the time of batch release; otvara se pitanje treba li QP imati pristup u svaku aplikaciju koja upravlja npr. tekućinskom kromatografijom; također pitanje je i kako će se ovaj zahtjev interpretirati u slučaju certifikacije serije lijeka proizvedene u trećoj zemlji

Primjena ELEKTRONIČKIH POTPISA sada je puno detaljnije opisana, međutim, bit će nekih izazova, npr.: the manifestation should include the full name of the user, the username, where applicable the role of the signer and the meaning of the signature, the date and time, and where needed the time zone, when the signature was applied; trenutno ne podržavaju sve aplikacije koje se koriste u GMP okruženju navođenje korisničkog imena, svrhe potpisa ili vremenske zone u sklopu elektroničkog potpisa

Jedno cijelo poglavlje sada se zove PERIODIC REVIEWS i donosi konkretne upute što sve obuhvatiti tijekom redovitih periodičkih pregleda računalnih sustava

Zahtjevi za back up i arhiviranje su vrlo logično i jasno prikazani kroz 11 konkretnih točaka; neki od tih zahtjeva bi mogli predstavljati određene infrastrukturne ili proceduralne izazove, osobito u manjim okruženjima: Backups should not be stored at the same logical network as the original data to avoid simultaneous destruction or alteration; when moving GMP data and metadata from one location to another in a system, or to a dedicated archival system, the integrity of the data should be verified by a high degree of certainty before any data is deleted, e.g. by means of a checksum

Koji je očekivani angažman u implementaciji novih zahtjeva?

Većina farmaceutskih kompanija već sada provodi većinu toga što će vjerojatno biti sadržano u novom EU GMP Annex 11; međutim, ne provode se sve aktivnosti formalno ili u sklopu GMP reguliranih procesa – ovo se osobito odnosi na pojedine IT specifične aktivnosti

Također, značajan angažman će vjerojatno biti potreban u manjim farmaceutskim kompanijama s jednom ili dvije osobe u QA i bez vlastitog IT-a, kako bi odgovorile na nove zahtjeve kao što su penetracijsko testiranje i drugi zahtjevi oko IT sigurnosti, značajniji nadzor vanjskih izvođača te sveukupno usklađivanje s novim zahtjevima

EU GMP Annex 22 ARTIFICIAL INTELLIGENCE draft

Koje su ključne promjene?

Ovo je potpuno novi EU GMP dokument pa se ne može usporediti s postojećom verzijom, no možemo reći da s obzirom na trenutno stanje prepuno nepoznanica i velikih upitnika, s ovim dokumentnom konačno stižu koliko-toliko određena pravila za umjetnu inteligenciju koja će se odnositi na sve vrste računalnih sustava korištenih u proizvodnji lijekova i djelatnih tvari (API), a gdje se modeli umjetne inteligencije koriste u kritičnim primjenama s izravnim utjecajem na sigurnost pacijenata, kvalitetu proizvoda ili integritet podataka, npr. za predviđanje ili klasifikaciju podataka

Dokument se odnosi na modele strojnog učenja (AI/ML) koji su svoju funkcionalnost stekli obukom s podacima, a ne eksplicitnim programiranjem

Što treba izdvojiti kao najbolje u novom dokumentu?

EU GMP Annex 22, barem prema trenutnom draftu, vrlo jasno definira granice primjene umjetne inteligencije u GMP okruženju:

The document applies to static models, i.e. models that do not adapt their performance during use by incorporating new data. The use of dynamic models which continuously and automatically learn and adapt performance during use, is not covered by this document, and should not be used in critical GMP applications.

The document applies to models with a deterministic output which, when given identical inputs, provide identical outputs. Models with a probabilistic output which, when given identical inputs, might not provide identical outputs are not covered by this document and should not be used in critical GMP applications.

Following the above, the document does not apply to Generative AI and Large Language Models (LLM), and such models should not be used in critical GMP applications.

Što bi mogli biti najveći izazovi u implementaciji zahtjeva?

Testiranje postojećih sustava koji se već koriste i definiranje svih parametara u skladu s novim pravilima

Novi zahtjevi vjerojatno značajno nadilaze uobičajena znanja i iskustva osoblja koje se bavi sustavima kvalitete i GMP zahtjevima u mnogim farmaceutskim kompanijama što će zahtijevati uključivanje eksperata iz drugih područja interno (IT, inženjering, tehnička podrška, proizvodnja), a vrlo vjerojatno i vanjskih stručnjaka; sve to može značiti nove troškove

S obzirom da je ovo potpuno novo područje, i to ne samo u GMP okruženju, veliki izazov vidimo i u interpretaciji pojedinih zahtjeva te će sigurno proći neko vrijeme (moguće i nekoliko godina) dok novi zahtjevi ne postanu standard kao što su to danas integritet podataka, validacija procesa ili kvalifikacija opreme

Što još treba spomenuti?

Dokument donosi niz korisnih smjernica, od početne identifikacije namjene korištenja modela umjetne inteligencije, preko planiranja i provedbe testiranja pa do konačne primjene i nadzora primjene

Donosimo nekoliko primjera za ilustraciju: Test data should be representative of and expand the full sample space of the  intended use; It should be stratified, include all subgroups, and reflect the limitations, complexity and all common and rare variations within the intended use of the model; Effective measures consisting of technical and/or procedural controls should be implemented to ensure the independency of test data, i.e. that data which will be used to test a model, is not used during development, training or validation of the model; When test data originates from physical objects, it should be ensured, that the objects used for the final test of the model have not previously been used to train or validate the model, unless features are independent

EU GMP Annex 22 će pružati dodatne informacije uz EU GMP Annex 11 za računalne sustave u koje su ugrađeni modeli umjetne inteligencije

Koji je očekivani angažman u implementaciji novih zahtjeva?

Raspon očekivanog angažmana farmaceutskih kompanija je vrlo velik: od toga da neće biti potrebno bilo što poduzimati ako se ne koristi umjetna inteligencija, do iznimno visoke razine angažmana koji će uključivati postavljanje sustava, definiranje kriterija prihvatljivosti, razine pouzdanosti i praga prihvatljivosti, planiranje i izvedbu testiranja sustava

Moguće je da će biti i nekih odluka za odustajanje od razmatranja ili korištenja modela umjetne inteligencije ako se uvođenje, testiranje, GMP formalizacija i održavanje takvih sustava pokaže zahtjevnije i skuplje od očekivanih benefita