Datenintegrität & Data Governance - Wie sieht ein Data-Governance- System aus?
Der erste Teil dieser Serie1 befasste sich mit der Definition des Begriffes Datenlenkung (engl.: Data Governance) und warum ihr Kontrollziel die Datenqualität sein sollte. An anderer Stelle wurde bereits diskutiert2, dass die meisten Leitfäden in einigen Definitionen oder Passagen zwar eine Beschränkung der Datenlenkung auf die Datenintegrität suggerieren, an anderer Stelle aber klarstellen, dass die Datenlenkung über die Datenintegrität hinausgeht. Ein Datenlenkungssystem (Data- Governance-System) wurde wie folgt definiert:
"Ein Datenlenkungssystem ist ein voll dokumentiertes und risikobasiertes System, welches vollständig in einem pharmazeutischen Qualitätsmanagementsystem eingebettet ist und als Zielsetzung hat, jedem Geschäftszweck die notwendigen Daten in der erforderlichen Qualität bereitzustellen."1
Dieser zweite Teil der Serie zum Thema Datenintegrität und Datenlenkung befasst sich mit ebendiesem Datenlenkungssystem und dessen Aufbau. Zunächst ist festzuhalten, dass einige Leitfäden fordern, dass das Datenlenkungssystem integraler Bestandteil des pharmazeutischen Qualitätssystems sein soll3,4,5. Dies macht auch sehr viel Sinn, denn es ist ja der ureigene Zweck eines Qualitätssystems, ein System darzustellen, welches Qualität erzeugt. Dieses sollte auch die Datenqualität umfassen.
Qualität lässt sich aus der Perspektive verschiedener Objekte definieren. In den Anfangsstunden der GMPQualitätssysteme war die Hauptperspektive die aus Sicht der Produktqualität. Es wurde auf die Qualität der Eingangsstoffe und auf die Qualität der Produkte fokussiert. Im nächsten Evolutionsschritt wurde die Prozessperspektive eingeführt. Es wurde postuliert, dass eine hohe Prozessqualität quasi automatisch eine hohe Produktqualität liefert. Die Qualität der Daten wurde zwar bei beiden vorausgesetzt, aber nicht in den Fokus der Betrachtung gerückt.
In Analogie zu den Eingangsstoffen eines Prozesses, wird dieser auch von Eingangsdaten gefüttert, und so wie der Prozess Produkte erzeugt, erzeugt er auch Ausgabedaten. Es liegt also nahe, dass auch bei Daten gilt:
Hohe Prozessqualität (sichergestellt durch validierte Prozesse & Systeme) liefert eine hohe Datenqualität. Auch aufgrund dieser Analogie macht eine Integration des Datenlenkungssystems in das pharmazeutische Qualitätssystem absolut Sinn.
Wie ist nun aber ein Datenlenkungssystem aufgebaut?
Ein Datenlenkungssystem ist ein Managementsystem, wie auch das übergeordnete Qualitätsmanagementsystem. Beide Managementsysteme teilen sich allgemeine Managementprozesse (z. B.: Interne Auditierung, Kennzahlen und Monitoring) und andere Elemente eines Managementsystems (z. B.: Verantwortung der Führung) sowie auch eine Reihe grundsätzlicher Qualitätsmanagementprozesse (z. B.: CAPA, Änderungswesen und Abweichungswesen). Sie haben also eine große Schnittmenge, was große Synergien schafft bzw. bei der Einführung eines integrierten Datenlenkungssystems in ein bestehendes Qualitätssystem viel Aufwand erspart, da vieles einfach schon vorhanden ist.
Seminarempfehlung
28./29. Mai 2024
Lab Data Integrity (DI 2) - Live Online Seminar
Nachfolgende Abbildung zeigt ein einfaches Modell eines Datenlenkungssystems2. Die Datenqualität ist hierbei das übergeordnete Kontrollziel und als Dach dargestellt, welches auf drei Säulen ruht:
- Aufbauorganisation
- Ablauforganisation
- Hilfsmittel
Als Basis dienen externe Vorgaben, Standards sowie der aktuelle Stand der Technik.
Die Aufbauorganisation setzt sich aus den Akteuren, den Rollen und Verantwortlichkeitsstrukturen, Berichtslinien und Hierarchien, der Unternehmenskultur und ähnlichen Elementen zusammen. Die Ablauforganisation besteht im Wesentlichen aus Geschäftsprozessen und Verfahren. Hilfsmittel sind relevante Methoden, Werkzeuge, Technologien, Informations- und Kennzahlensysteme, etc.
Ein weiteres Modell, welches sich zur Beschreibung eines Datenlenkungssystems eignet, ist das nachfolgend übersetzt wiedergegebene Drei-Ebenen-Modell6 des NIST (U. S. National Institute of Standards and Technology). Vergleicht man das Drei-Ebenen-Modell mit dem oben dargestellten Modell, so spiegeln die drei Ebenen im Grunde die im obigen Modell dargestellten Säulen wider.
Das Drei-Ebenen-Modell ist für das Management von Informationssicherheitsrisiken konzipiert worden6, lässt sich aber gut auch auf die Datenlenkung anwenden.
Dass das Management von Informationssicherheitsrisiken im Grunde von der Datenlenkung nicht weit entfernt ist, überrascht bei näherer Betrachtung nicht. Genau genommen müsste die Datenlenkung Informationslenkung heißen, denn die in den letzten Jahren erschienenen Leitfäden behandeln die Termini Daten und Informationen synonym, was sie eigentlich aber nicht sind (eine vergleichende Diskussion dieser beiden Begriff e erfolgt in 7).
Seminarempfehlung
Vienna, Austria18-20 June 2024
Data Integrity and Good Documentation Practice
Die Informationssicherheit deckt wiederum einen großen Teil der Datenqualität ab (üblicherweise werden in Informationssicherheitssystemen die drei Kontrollgrößen Informationsverfügbarkeit, -integrität und -vertraulichkeit verwendet).
Das NIST-Modell ist auch deswegen interessant, da es ein Risikomanagementsystem für Informations-/Datensicherheit darstellt. Auch für ein Datenlenkungssystem wird gefordert, dass es risikobasiert ist1,3,5,8,9,10. Auch aus diesem Grund lässt sich das NIST-Modell gut auf dieses Thema übertragen, sollte aber nicht auf die Informationssicherheit, sondern eben auf die Informations-/Datenqualität insgesamt ausgerichtet sein.
Hinsichtlich der Implementierung eines Datenlenkungssystems ergibt sich aus dem geschriebenen, dass es weniger darum geht, viele neue Verfahrens- und Arbeitsanweisungen zu schreiben oder gar ein bestehendes Qualitätssystem völlig umzukrempeln. Es gilt eine weitere, zusätzliche Qualitätsperspektive einzunehmen, nämlich die aus Sicht der Daten.
Die EMA antwortet auf die Frage, ob eine Verfahrensanweisung zur Datenintegrität gefordert sei: "There is no requirement for a specific procedure, however it may be beneficial to provide a summary document which outlines the organisation's total approach to data governance." 4
Der Autor unterstützt diese Antwort uneingeschränkt. Dieses Dokument könnte ein Modell - wie z. B. eines der beiden vorgestellten - als Basis haben und die relevanten Prozesse, Elemente und Kontrollen des bestehenden Qualitätssystems den verschiedenen Bauteilen des Modells zuordnen. Zu einem überwiegenden Teil wäre dieses Dokument quasi nur ein alternatives "Inhaltsverzeichnis" des bestehenden Qualitätssystems, nach anderen Gesichtspunkten sortiert. Es sind nur diejenigen Lücken zu stopfen oder zu ergänzen, die im aktuellen Qualitätssystem noch nicht vorhanden waren. Dies lässt sich mit übersichtlichem Aufwand vollziehen und man hätte ein Dokument, welches das Datenlenkungssystem, also eine alternative Sicht auf einen Teil des Qualitätssystems, beschreibt.
Autor:
Dr. Thierry Dietrich
... ist seit über 20 Jahren in leitenden und beratenden Positionen der Arzneimittel- und Medizintechnik-Industrien tätig.
Fußnoten:
1 Dietrich, Thierry (2019). Datenintegrität und Data Governance - Teil 1: Was ist Data Governance? In: GMP-Journal, Ausgabe 52, Juli/August 2019. S.9-10.
2 Dietrich, Thierry (2019). Data Governance: Datenlenkungssysteme. In: Pharma Technologie Journal Datenintegrität in der pharmazeutischen Industrie. Aulendorf: Editio Cantor Verlag.
3 WHO (2016). Guidance Good Data and Record Management Practices.
4 EMA (2016). Guidance on good manufacturing practice and good distribution practice: Questions and answers. Data integrity.
5 PIC/S (2018). Draft PIC/S Guidance Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments. PI 041-1 (Draft 3).
6 NIST (2011). Managing Information Security Risk. NIST Special Publication 800-39.
7 Dietrich, Thierry (2019). Data Governance: Terminologie & Basiskonzepte. In: Pharma Technologie Journal Datenintegrität in der pharmazeutischen Industrie. Aulendorf: Editio Cantor Verlag.
8 ISO/IEC 38505-1:2017-04. Informationstechnik - IT-Betriebsführung - Teil 1: Die Anwendung von ISO/IEC 38500 zur Betriebsführung von Daten. Berlin: Beuth.
9 MHRA (2018). 'GXP' Data Integrity Guidance and Definitions.
10 FDA (2018). Guidance for Industry: Data Integrity and Compliance with Drug CGMP - Questions and Answers.
