Računalne aplikacije i elektronički podaci u GDP okruženju

Iskustva "s terena" pokazuju kako su u GDP okruženju još uvijek prisutni određeni upitnici s obzirom na korištenje računalnih aplikacija, pristup elektroničkim podacima te općenito vođenje i čuvanje takvih podataka, stoga ćemo se u nastavku osvrnuti na najčešće situacije i pitanja koji se susreću u praksi.

EU GDP smjernice donose nekoliko općenitih zahtjeva vezano za primjenu računalnih sustava i pristup podacima, a svakako bi trebalo izdvojiti dva ključna zahtjeva navedena u EU GDP točka 3.3.1:

Before a computerised system is brought into use, it should be demonstrated, through appropriate validation or verification studies, that the system is capable of achieving the desired results accurately, consistently and reproducibly.
Data should be secured by physical or electronic means and protected against accidental or unauthorised modifications.

Vođenje različitih popisa, planova i zapisa u Word, Excel ili drugim sličnim aplikacijama

U GDP praksi još uvijek su česte situacije da se Word dokumenti ili Excel tabele koriste za evidentiranje različitih podataka, npr. popis provedenih edukacija za zaposlenike, godišnji plan umjeravanja, evidencija odstupanja ili reklamacija, zapisi o distribuciji kontroliranih kopija, popis odobrenih dobavljača i sl.

Ovakav pristup generalno nije najbolje rješenje iz više razloga:

  • Moguće je obrisati ili izmijeniti (slučajno ili namjerno) neki podatak bez ikakvog traga o tome

  • Moguće je obrisati cijelu datoteku

  • Tijekom rada slučajno se može izmijeniti naziv datoteke ili spremiti na neko drugo mjesto koje kasnije više nećemo pronaći

  • Ukoliko više osoba koristi istu datoteku, nije moguće ostvariti punu kontrolu pristupa

  • Nema mogućnosti formalnog odobrenja sadržaja dokumenta ili promjena u dokumentu

To naravno ne znači da se takvi dokumenti ne mogu kreirati u nekoj od navedenih softverskih aplikacija, ali da bi bili GDP vjerodostojni trebaju na kraju biti ispisani i gdje je potrebno potpisani.

No, moguće je koristiti npr. Excel tabele kao dodatnu pomoć u radu (popis zaprimljenih reklamacija bi bio jedan od mogućih primjera), no i u tom slučaju takva datoteka treba imati ograničeni pristup (npr. samo Odgovorna osoba za promet na veliko lijekovima može uređivati sadržaj, a svi ostali imaju read only pristup), a u GDP smislu i dalje vjerodostojnim izvorom bilo kojeg podatka smatraju se papirni zapisi (npr. ispunjen i tiskan obrazac evidencije reklamacije).

Dakle, zaključimo: vođenje bilo kakvih GDP ključnih podataka, popisa, evidencija i sl. isključivo u elektroničkom obliku moguće je u GDP smislu samo kroz za to namijenjene i validirane računalne aplikacije. Ako se takva aplikacija ne koristi, sustav treba biti "papirnati".


Distribucija kontroliranih kopija SOP-a emailom

Neovisno o tome u kojem formatu je distribuirani dokument (kontrolirana kopija), distribucija e-mailom općenito nije GDP prihvatljiva iz više razloga:

  • Distribuirani dokument moguće je neograničeno puta ispisati, pa nema evidencije koliko kontroliranih kopija je u opticaju (što postaje problem u trenutku dolaska nove verzije kada je potrebno povući sve kontrolirane kopije prethodne verzije)

  • Nema formalne potvrde o primitku poslanog dokumenta

  • Distribuirani dokument se dalje može neograničeno prosljeđivati bez kontrole

  • Elektronička distribucija kontroliranih kopija SOP-a, ali i svih drugih GDP reguliranih dokumenata, moguća je u GDP smislu samo kroz validiranu aplikaciju za upravljanje životnim ciklusom dokumentacije (DMS, Document Management System).


Praćenje temperature kroz aplikaciju koja nije GxP-sukladna

Na početku odmah treba jasno definirati što bi to značilo GxP-sukladna računalna aplikacija; sve ostale aplikacije koje ne zadovoljavaju najmanje jedan od navedenih kriterija ne bi se smjele koristiti u GDP okruženju za praćenje temperature, ali i za bilo koju drugu GDP relevantnu aktivnosti.

Dakle, u smislu konfiguracije i funkcionalnosti, to je svaka računalna aplikacija koja ispunjava najmanje sljedeće sistemske zahtjeve:

  • Osigurana je kontrola pristupa u aplikaciju

  • Omogućene su najmanje dvije razine pristupa: korisnik i administrator (ali obično u praksi postoji više razina koje su konfigurabilne)

  • Za svaku GDP-relevantno kreiranje, promjenu ili brisanje podataka generira se nebrisivi i nepromjenjivi audit-trail zapis koji sadrži sljedeće podatke: datum i vrijeme transakcije, oznaka korisnika koji je proveo transakciju, opis transakcije, prethodna vrijednost/status, nova vrijednost/status

  • Postoji mogućnost ispisa svih podataka u čitljivom obliku

  • Aplikacija i svi podaci uključeni su u redovitu back-up proceduru

No, neka računalna aplikacija ne može se smatrati GxP-sukladnom ukoliko prije navedene sistemske funkcionalnosti te sve druge operativne funkcionalnosti nisu provjerene i verificirane kroz validacijski postupak te ako svi aspekti aplikacije nisu ispravno dokumentirani (npr. funkcijska specifikacija, protokoli/izvješća validacije, matrica sljedivosti i sl.).

I treće, ne manje važno, da bi neku računalnu aplikaciju mogli zvati GxP-sukladnom, potrebno je primjenjivati učinkovitu proceduru upravljanja promjenama, što konkretno znači da svaka promjena, nadogradnja, ažuriranje, instalacija nove verzije i sl. mora biti kontrolirana, evaluirana, odobrena, testirana, verificirana i dokumentirana.


Čuvanje GDP podataka u vanjskom cloud-u ili korištenje SaaS softverskih rješenja

Primjena cloud-a ili SaaS rješenja (Software as a Service) sve su češći u GDP praksi (npr. vanjski servisi za praćenje i čuvanje temperaturnih podataka, korištenje vanjskih servera za podatkovni prostor – data centar, aplikacije za pripremu računa i sljedivost isporuke i sl.), a taj će se trend bez sumnje i dalje razvijati u budućnosti. Ovakvi pristupi su GDP prihvatljivi uz uvjet da su ispunjeni određeni preduvjeti:

  • Ugovorna organizacija koja isporučuje navedene usluge mora biti prethodno kvalificirana (uključujući najčešće i provedbu audita direktno ili od treće strane) i odobrena od strane veleprodaje kako bi se utvrdilo da takva ugovorna organizacija ima odgovarajuće kompetencije, status, infrastrukturu, resurse i sposobnosti

  • Ugovor o kvaliteti koji obuhvaća sve tehničke detalje (uključujući i primjenjive GDP zahtjeve) treba biti uspostavljen prije početka suradnje; ugovorom je potrebno utvrditi i pravo podugovaranja, npr. smije li, i ako da pod kojim uvjetima, ugovorna organizacija svoje poslove dalje prenijeti na treću stranu

  • Vrlo jasno trebaju biti utvrđena prava i odgovornosti s obzirom na pristup podacima, vlasništvo podataka, čuvanje podataka, postupanje u slučaju incidenta ili prekida veze, povrat podataka nakon eventualnog prestanka suradnje i sl.

  • Pružatelj usluge (ugovorna organizacija) treba interno imati odgovarajući sustav kvalitete, što uključuje pitanja sigurnosti, ali i sve promjene vezano za nadogradnje aplikacija, održavanje ili zamjene servera i sl.,

Također, od davatelja usluge cloud-a ili SaaS rješenja očekuje se provedba i dokumentiranje svih kvalifikacijskih i validacijskih aktivnosti za IT opremu i aplikacije koje koristi upravo onako kako se to radi u GxP okruženju (i baš zato je ovo najčešće izazov kod onih pružatelja usluga koji inače ne rade za GxP regulirane kompanije).

Čuvanje vanjskih GDP dokumenata samo u elektroničkoj formi

Sve češće postavlja se i pitanje zašto čuvati pojedine vanjske dokumente u papirnom formatu ako su već dostupni u elektroničkom obliku (npr. certifikati umjeravanja, različita vanjska izvješća, potvrde i sl.). Naravno da je moguće čuvati dokumente u elektroničkoj formi, međutim i tu je potrebno zadovoljiti neke osnovne kriterije:

  • Svi takvi dokumenti bi trebali biti u pdf obliku

  • Podatkovni prostor na kojima se dokumenti čuvaju mora biti uključen u redoviti back up; čuvanje dokumenata na različitim lokalnim računalima nije prihvatljivo u GDP kontekstu

  • Potrebno je na neki način ograničiti pristup dokumentima, kao ne bi došlo do slučajnog ili namjernog brisanja

  • Uz sve navedeno, važno je i na odgovarajući način riješiti verifikaciju takvih dokumenata (npr. Odgovorna osoba za promet na veliko lijekovima ili neka druga pozicija bi trebala pregledati i verificirati (npr. potpisati ili označiti žigom) svaki primljeni Certifikat umjeravanja prije skeniranja; ukoliko su certifikati primljeni putem email-a i spremaju se bez ispisa, potrebno je riješiti evidentiranje pregleda takvog certifikata, npr. kroz obrazac ili log book)


Validacija GDP računalnih sustava

Na kraju, naglasimo još jednom kako svaka računalna aplikacija koja ima neku GDP funkcionalnost treba biti validirana tj. potvrđena kao ispravna provedbom niza dokumentiranih testova.

Npr. ukoliko se koristi neka ERP aplikacija koja između ostalog bilježi i isporuke lijekova, tada je taj dio aplikacije o isporukama GDP kritičan jer će se koristiti za pripremu popisa kupaca u slučaju povlačenja serije lijeka iz prometa te taj dio ERP-a treba biti validiran. Validirane moraju biti i računalne aplikacije za praćenje temperature, kreiranje temperaturnih alarma, kontrolu pristupa, upravljanje dokumentacijom i bilo koja druga aplikacija koja se koristi u sklopu GDP reguliranih procesa.