Već se neko vrijeme najavljuje opsežna revizija EU GMP Annex 11 Computerised Systems, a sada konačno znamo i u kojem smjeru bi ta revizija trebla ići. Naime, nedavno je objavljen Concept Paper on the revision of Annex 11 of the guidelines on Good Manufacturing Practice for medicinal products – Computerised Systems. 

Tema GxP računalnih sustava iznimno je aktualna i važna, kako u svakodnevnom radu, tako i tijekom GMP (i GDP) inspekcija i audita, a postojeći EU GMP Annex 11 (još iz softverski jako daleke 2011. godine) značajno kasni za trendovima, promjenama u tehnologiji i trenutnom praksom. Zbog toga u nastavku donosimo kratki osvrt na spomenuti Concept Paper kako bismo svi dobili prvi dojam u kojem smjeru će ići promjene i novi zahtjevi.

• Prije svega, pogledajmo koja je uopće pozadina najavljene revizije: The current Annex 11 does not give sufficient guidance within a number of areas already covered, and other areas, which are becoming increasingly important to GMP, are not covered at all. The revised text will expand the guidance given in the document and embrace the application of new technologies which have gained momentum since the release of the existing version

• Čini se da treba očekivati različite i vjerojatno opsežne nadopune s obzirom na IT aspekte integriteta podataka, što uključuje i uvođenje dva nova pojma: data in motion i data at rest (backup, archive and disposal)

• Konačno bi trebao biti „prepoznat“ i cloud koncept koji je već značajno raširen u praktičnoj primjeni; s obzirom na to, korisnici cloud servisa (a to bi trebalo uključivati i sva SaaS rješenja) bi trebali dobiti veća prava, npr. pristup validacijskoj dokumentaciji za svoje potrebe, ali i za potrebe inspekcijskih nadzora, a u čemu im treba pomoći pružatelj usluge

• Očekuje se razrada pojmova validacija i kvalifikacija i to u kontekstu verifikacije zahtjeva koji su postavljeni u inicijalnom URS-u za pojedini računalni sustav

• URS (Korisnička specifikacija) bi trebao dobiti puno veći značaj: User requirements specifications should be kept updated and aligned with the implemented system throughout the system life-cycle and there should be a documented traceability between user requirements, any underlying functional specifications and test cases.

• Očekuju se i novi zahtjevi s obzirom na back-up i restore elektroničkih podataka; evo jednog primjera mogućeg novog zahtjeva: Long-term backup (or archival) to volatile media should be based on a validated procedure (e.g. through ‘accelerated testing’). In this case, testing should not focus on whether  a backup is still readable, but rather, validating that it will be readable for a given period

• Vezano za back-up, konačno je prepoznata potreba da i na regulatornoj razini treba jasno definirati što, kako, zašto, gdje i sl.: Important expectations to backup processes are missing (misli se na trenutnu verziju EU GMP Annex 11), e.g. to what is covered by a backup (e.g. data only or data and application), what types of backups are made (e.g. incremental or complete), how often backups are made (all types), how long backups are retained, which media is used for backups, and where backups are kept (e.g. physical separation)

• Očekuje se značajno proširenje zahtjeva za audit trail, međutim, sve što Concept Paper trenutno navodi kao zahtjeve za audit trail već je standardna praksa kod mnogih GMP računalnih sustava, npr. The audit trail should positively identify the user who made a change, it should give a full account of what was changed, i.e. both the new and all old values should be clearly visible, ili sljedeći zahtjev: It should not be possible to edit audit trail data or to deactivate the audit trail functionality for normal or privileged users working on the system

• Jedna od stavki u Concept Paper-u kaže ovako, a misli se na trenutni EU GMP Annex 11: The concept and purpose of audit trail review is inadequately described; možemo se nadati kako će pravila pregleda audit trail-a biti konačno konkretno postavljena i na regulatornoj EU GMP razini, bilo da se radi o operativnom (funkcionalnom) ili sistemskom audit trail-u

• Zanimljiva nadopuna se predlaže pod točkom 12.1 postojećeg EU GMP Annex 11, a vezano za upravljanje pravima pristupa: Two important expectations for allocation of system accesses should be added either here or elsewhere; i.e. ‘segregation of duties’, that day-to-day users of a system do not have admin rights, and the ‘least privilege principle’, that users of a system do not have higher access rights than what is necessary for their job function

• Novi EU GMP Annex 11 trebao bi ići u korak s novim i suvremenim tehnologijama, što možemo vidjeti iz sljedećeg zahtjeva: There is an urgent need for regulatory guidance and expectations to the use of artificial intelligence (AI) and machine learning (ML) models in critical GMP applications as industry is already implementing this technology

• Predlaže se i uvođenje pojma digitalna transformacija, a tek treba vidjeti na koji način će ova tema biti pokrivena

• Uz sve navedeno, predlažu se i neke dodatne tehničke nadopune, proširenja ili konkretnija razrada već postojećih zahtjeva u EU GMP Annex 11

Uz ovaj osvrt svakako preporučamo proučiti kompletan Concept Paper on the revision of Annex 11. Dokument nije opsežan, sadrži samo 5 stranica, a vrlo ga je lako čitati s obzirom da je uz svaki predloženi novi zahtjev ili nadopunu navedena i referenca na postojeći članak trenutno važećeg EU GMP Annex 11.

Što se tiče rokova, čini se da ćemo ipak još neko vrijeme pričekati na novi EU GMP Annex 11; naime objava završnog dokumenta očekuje se tek sredinom 2026. godine, dok bi draft smjernice trebao biti dostupan krajem 2024.