EudraLex Volume 4 Annex 11, který definuje požadavky na počítačové systémy (computerised systems) v prostředí SVP, pochází v současné verzi z roku 2011.
Od té doby došlo v oblasti IT, digitálních technologií, cloudových služeb, kyberbezpečnosti a obecně správy dat k výraznému vývoji, kterému stávající verzce Annex 11 již není plně přizpůsobena.
Poznámka: tento dokument je převzat Státním ústavem pro kontrolu léčiv a jeho překlad lze nalézt na stránkách úřadu pod názvem Doplněk 11 (k VYR-32).

Důvody revize Annex 11

Rostoucí složitost a využití digitálních technologií

V GMP prostředí dnes existují cloudové platformy, integrační služby (API, mikroservisy), IoT, analýzy dat v reálném čase, hybridní systémy (část dat či funkcí v papírové formě, část v elektronické) a další moderní prvky.
Annex 11 z roku 2011 tyto moderní konstrukce nedostatečně reflektuje.

Zaměření na integritu dat („data integrity“) v širším smyslu

Původní text Annex 11 už kladl důraz na auditní stopy apod., ale nová verze musí zahrnout i aspekty „data in motion“ (při přenosu) a „data at rest“ (uložená data), ochranu při zálohování, archivaci, šifrování, hardening systémů, technické kontroly (namísto pouze manuálních) apod.

Potřeba jasnějších, konkrétnějších požadavků

Současná verze má poměrně obecné formulace, které ponechávají velký prostor interpretaci. Regulátoři v novém návrhu směřují k tomu, aby byly některé aspekty popsány přísněji — ne jen co, ale i jak by měly být provedeny.

Lepší náváznost na jiné směry regulace, standardy a mezinárodní praktiky

Nová verze by měla lépe sladit požadavky s ICH Q9 (Risk Management), GAMP5 přístupy, s požadavky kyberbezpečnosti (např. ISO/IEC 27001) a také s očekáváními auditorů a inspektorů v digitálním věku.

Regulační harmonizace a reflektování zkušeností z inspekcí / auditů

Během posledních let byly během inspekcí identifikovány rizika a nedostatky zejména v oblastech správy přístupů, historie změn, služeb třetích stran, změn v systému, bezpečnostních incidentů apod. V návaznosti na tato inspekční zjištění je kladen absolutní důraz na aplikaci principů ALCOA+ (Attributable, Legible, Contemporaneous, Original, Accurate, a navíc Complete, Consistent, Enduring, Available) v průběhu celého životního cyklu dat.
Nový návrh reaguje na tyto zjištěné slabiny.

Řízení rizik v distribuovaném prostředí

S rostoucím outsourcingem IT služeb se zvyšuje riziko spojené se správou dodavatelů, ochranou dat a zajištěním kontinuity provozu.

Rozšíření dokumentace – kapitola 4 dokumentace také prochází revizí

K doplnění změn Annex 11 se zároveň reviduje kapitola 4 – dokumentace („Chapter 4 – Documentation“) EudraLex Volume 4, aby byly sladěny požadavky na dokumentaci v elektronické, hybridní i papírové podobě, aby byla zajištěna integrita, dostupnost a čitelnost po celý životní cyklus dokumentů.

Příprava půdy pro využití AI / strojového učení

Součástí revize je i nový Annex 22, který se zaměří speciálně na využití AI/Machine Learning v GMP prostředí (výběr modelu, testovací data, monitorování výkonu, změny) – aby se nové technologie mohly bezpečně integrovat do farmaceutické výroby a validace.

Hlavní změny v dokumentu

1. Rozšíření působnosti a definic

Dokument explicitně zahrnuje moderní infrastrukturu, včetně cloudových platforem, mobilních aplikací a systémů využívajících AI/ML. To odstraňuje nejednoznačnost a vyžaduje, aby byly tyto technologie podrobeny stejné úrovni kontroly a validace jako tradiční on-premise systémy.

2. Integrovaný přístup k životnímu cyklu

Revize klade důraz na holistický pohled na životní cyklus, kde životní cyklus systému (SDLC) a životní cyklus dat jsou neoddělitelně propojeny. Validace již není vnímána jako jednorázový projekt, ale jako kontinuální proces zajišťující, že systém zůstává ve validovaném stavu po celou dobu své existence, a to i přes veškeré změny a aktualizace. Princip řízení rizik (Quality Risk mangement – QRM) musí být systematicky aplikován ve všech fázích.

3. Řízení dodavatelů

Požadavky na dohled nad dodavateli jsou výrazně posíleny. Držitel povolení k výrobě nese plnou a nedělitelnou odpovědnost za GxP shodu, a to i při využití externích služeb. Je vyžadována formální kvalifikace dodavatelů, robustní smlouvy o úrovni služeb (Service Level Agreements, SLAs) s jasně definovanými odpovědnostmi a právo na audit.

4. Požadavky na integritu dat a audit trail

Nová verze specifikuje požadavky na auditní stopy (audit trails), které musí být komplexní, počítačově generované, časově značené a nezávislé na uživateli. Klíčovou novinkou je formalizace požadavku na pravidelné a zdokumentované přezkoumávání auditních stop za účelem detekce neoprávněných aktivit.

5. Kybernetická bezpečnost a kontinuita provozu

Poprvé je kybernetická bezpečnost explicitně definována jako součást GxP. Organizace musí implementovat adekvátní technická a organizační opatření k ochraně systémů a dat před neoprávněným přístupem, modifikací či zničením. Plány pro obnovu po havárii (Disaster Recovery) a zajištění kontinuity provozu (Business Continuity) se stávají povinnou součástí systémové dokumentace.

Toto je jen zjednodušený přehled hlavních důvodů vedoucích k aktualizaci Annex 11 a novinek. V dalším článku si podrobně rozebereme rozdíly mezi stávající a novou verzí dokumentu.

Odkazy:
Návrh Annex 11