Maas Peither AG - GMP-Verlag

Der Datenlebenszyklus
Auszug aus dem GMP-Fachwissen Datenintegrität im Pharmaunternehmen
von David Stokes

Es ist praktisch unmöglich, Risiken in Bezug auf die Datenintegrität zu vermindern, ohne diese Risiken genau zu kennen. Risiken können sowohl aufgrund von technischen Unzulänglichkeiten oder Fehlern als auch aufgrund von vorsätzlichem Betrug oder menschlichem Versagen entstehen. Um diese Risiken erfolgreich vermindern zu können, muss man den Datenlebenszyklus verstehen, die Risiken bewerten und wirksame Kontrollen einführen.
Ein genaues Verständnis des Datenlebenszyklus ist der Schlüssel zum Verständnis dieser Prinzipien. Die folgenden Abschnitte gehen auf verschiedene Schritte innerhalb des Datenlebenszyklus und die Risiken, die es zu minimieren gilt, ein. Risiken können generell durch Folgendes verringert werden:
* Verminderung der Risikoeintrittswahrscheinlichkeit. Dies lässt sich normalerweise mittels Standard Operating Procedures“ (Standardarbeitsanweisungen, SOP), Anwenderschulungen und anhand sicherer Designlösungen erreichen.
* Eine verbesserte Risikoerkennung mithilfe von Audit-Trails und Protokolldateien oder mittels proaktiver Methoden zur Erkennung von betrügerischen Verhaltensweisen oder verdächtiger Daten.
Es gilt, die Tatsache zu akzeptieren, dass meist der Mensch Ursache für einen Mangel an Vertrauenswürdigkeit ist. Anderseits benötigt derselbe Mensch oftmals Zugriff auf das System. Die Risikowahrscheinlichkeit kann durch Schulungen, die Entwicklung von obligatorischen, prüfbaren Prozessen und Verfahren und durch Sanktionierung von betrügerischen Individuen verringert werden.
Zu wenige Firmen zeigen den Willen, mit Disziplinarmaßnahmen gegen Mitarbeiter vorzugehen, die nachweislich betrogen haben. In einigen Fällen war es so, dass die Geschäftsleitung mitschuldig (oder sogar die treibende Kraft) war.
Im Zuge der Bewertung der Datenintegritätsrisiken innerhalb des Datenlebenszyklus sollten regulierte Unternehmen alle Faktoren berücksichtigen, die eine Motivation für Betrug darstellen könnten.
Wie wahrscheinlich ist Folgendes?
* Bediener begehen Betrug, um Probleme in der Herstellung oder beim Testprozess zu verbergen.
* Bediener betrügen, um eigene Fehler zu verbergen oder ihre Arbeitsbelastung zu reduzieren.
* Bediener begehen Betrug, weil sie entweder nicht die Zeit oder die Werkzeuge haben, Daten korrekt aufzuzeichnen (das ist ein Managementfehler).
* Bediener begehen auf Anweisung der Geschäftsleitung Betrug.
Alle diese Faktoren müssen bei der Einschätzung der Risikowahrscheinlichkeit berücksichtigt werden: von den möglichen Ursachen bis hin zu den sich daraus ergebenden Risikoszenarien.
Datenintegrität (Informationssicherheit) sollte Bestandteil der Anforderungen für jede Software und jedes System sein. Die Risikowahrscheinlichkeit in Bezug auf die Datenintegrität kann signifikant gemindert werden, falls Risiken bereits während des Entwicklungsprozesses erkannt und eingedämmt werden.
Dies sollte nicht nur von den Entwicklern von Ausrüstung, Software und Systemen vermehrt ernst genommen werden, sondern auch von den regulierten Unternehmen selbst, sofern sie für die Entwicklung der eigenen „Software-Tools“ (Tabellen sind immer noch am beliebtesten), für die Implementierung von grundlegenden Informationstechnologien (z.B. Datenspeicherung im Netzwerk) oder die Integration von Schnittstellensystemen verantwortlich zeichnen.
Audit-Trails (Prüfpfade) und Protokolldateien können bei Untersuchungen zu verdächtigen Aktivitäten hilfreich sein. Wegen des großen Volumens der Audit-Trails und Protokolldateien ist deren regelmäßige Überprüfung normalerweise auf regulatorische Aufzeichnungen beschränkt; so sollten z.B. etwaige Änderungen von Daten in elektronischen Chargenprotokollen von einer zweiten Person geprüft werden. Die Überprüfung von Audit-Trails und Protokolldateien ist wirklich nur dann sinnvoll, falls es Zweifel an der Datenintegrität gibt, und eine solche Überprüfung dabei helfen kann, herauszufinden, was genau passiert ist.
Wohingegen es früher schwierig war, Audit-Trail-Daten zu überprüfen, gibt es heute neue Tools und Techniken, mit denen man Text und Zahlendaten suchen, filtern, vergleichen oder visualisieren kann. Das erleichtert es, ungewöhnliche Muster oder Ausreißer zu entdecken. Die Anwendung „forensischer“ Tools sollte bei großen Herstellern von Pharmazeutika oder Medizinprodukten zum Standardrepertoire gehören. Kleinere Unternehmen sollten einen Spezialisten zurate ziehen.
Es gibt weitere bewährte Techniken, die Alarm schlagen, falls nicht autorisierte Benutzer versuchen, Daten zu verändern oder zu löschen. Sind solche Tools vorhanden, sollten sie eingeschaltet sein, um die Entdeckungswahrscheinlichkeit potenzieller Datenintegritätsrisiken zu erhöhen. Während es verständlich ist, dass Benutzer gelegentlich auf das falsche Verzeichnis oder die falsche Datei klicken, erfordert ein Muster oder das wiederholte Zugreifen eines nicht autorisierten Benutzers eine Untersuchung, insbesondere, falls ein begründeter Betrugsverdacht vorliegt.
Es gibt ebenso bewährte Techniken, die potenziell betrügerische Daten erkennen können. Beispielsweise dann, wenn eine Datenanalyse Folgendes ergibt:
* Die Daten weisen ein Muster auf, das darauf hindeutet, dass die Daten aus früheren Datensätzen kopiert worden sind.
* „Fingierte“, von Bedienern eingegebene Daten zeigen eine leichte aber nachweisbare Abweichung gegenüber erwartbaren, „pseudozufälligen“ Daten (z.B. eine natürliche Variation innerhalb eines erwartbaren zulässigen Bereichs). Das kommt daher, dass Menschen normalerweise schlecht darin sind, zufällige Daten zu fingieren.
Diese Techniken werden in zunehmendem Maße von einigen Zulassungsbehörden eingesetzt, um Betrug aufzudecken. Freilich können regulierte Unternehmen solche Techniken selbst anwenden. Auch können Software- und Systementwickler solche Tools und Techniken in ihre Software einbauen.



Come in for more
Unternehmen
Maas Peither AG - GMP-Verlag
Karlstraße 2
79650 Schopfheim
Deutschland