La QP può lavorare da remoto? La consultazione di EMA

Dopo l’inizio della pandemia e il diffondersi della necessità del lavoro da remoto, EMA ha elaborato una linea guida sull’adattamento delle «aspettative regolatorie» in seguito al nuovo contesto creatosi. Di fronte all’impossibilità di richiedere che le attività della QP avvenissero solo in presenza, le Autorità Europee avevano ammesso la possibilità per la QP di lavorare da remoto, introducendo dei necessari cambiamenti.

Ora, il working group Europeo degli ispettori GMDP sta considerando l’opportunità di consentire il lavoro da remoto per le QP anche in circostanze ordinarie, e non più solo a causa dell’emergenza causata dalla pandemia.

Un nuovo testo, pubblicato in bozza l’11 Maggio, discute infatti i requisiti e le condizioni appropriate per permettere il lavoro della QP da remoto.
In riconoscimento dell’urgenza della questione, inoltre, EMA ha stabilito un periodo di tempo breve per l’invio di commenti: la pubblicazione della versione definitiva del documento è prevista per il 13 giugno.

NOTA: il testo specifica che, dal momento che l’interpretazione ultima delle leggi Europee spetta alla Corte di Giustizia dell’Unione Europea, il contenuto di questa linea guida è da considerarsi valido «fatta salva» una diversa interpretazione da parte della Corte.

Le 4 domande sul lavoro della QP da remoto

Procedendo dai requisiti contenuti nell’Annex 16 in merito ai lavori di convalida e certificazione da parte della QP, il testo articola quattro precisazioni, espresse in forma di domanda e risposta:

1. Si può ammettere la batch certification da remoto da parte della QP in maniera abituale?

«Ciò è ammesso solo se viene consentito dall’Autorità competente nel luogo dove si trova il sito autorizzato.»

2. Quando il lavoro da remoto della QP diventa di routine, esistono delle condizioni da applicare?

«Occorre porre attenzione su alcuni punti particolari:

  • il lavoro della QP deve avvenire in compliance con le GMP e le leggi Europee;
  • le attività devono riguardare siti che si trovano nell’Unione Europea o nell’EEA (lo Spazio economico Europeo);
  • le QP devono mantenere conoscenze adeguate riguardo al prodotto, ai processi di produzione e al Sistema Qualità farmaceutico. Dal momento che alcune di queste conoscenze sono accessibili solamente recandosi on site, il tempo speso in presenza dalla QP dev’essere commisurato ai rischi relativi a quei processi produttivi;
  • queste attività devono essere descritte e controllate all’interno del Sistema Qualità farmaceutico , e devono sussistere opportune procedure dettagliate. Nei Paesi che consentono l’uso di QP a contratto, il technical agreeement tra la QP e il Titolare AIC deve menzionare la batch certification da remoto e specificare le circostanze in cui invece si richiede che la QP agisca on site;
  • la QP deve avere accesso a tutte le informazioni indicate come necessarie nell’Annex 16. Laddove i «mezzi elettronici» non lo consentano, è necessario che la QP svolga le proprie mansioni in presenza;
  • la responsabilità di fornire alla QP tutti i mezzi perché essa possa svolgere le proprie mansioni da remoto appartiene al Titolare. I sistemi IT usati per la batch certification devono essere conformi ai requisiti descritti nell’Annex 11;
  • tutte le azioni della QP devono essere accessibili – in maniera contemporanea – ad eventuali ispettori dell’Autorità competente inviati on site;
  • la conformità a tutti questi punti dovrebbe far parte della self inspection del sito interessato.»
3. La QP deve risiedere nello stesso Paese in cui si trova il sito autorizzato?

«In generale, ciò non è necessario, ma alcuni Paesi potrebbero avere dei requisiti nazionali specifici.»

4. Quali sono i requisiti tecnici per l’accesso da remoto e la firma elettronica usati per la batch certification?
  • «Ogni hardware inviato off site dev’essere identificato e inventariato prima del trasferimento. Il disco rigido dev’essere criptato e ogni porta inutilizzata dev’essere disabilitata;
  • per le QP che usano una VPN, i parametri d’accesso devono essere configurati in modo da evitare accessi non autorizzati;
  • si devono usare «recognized industry standards» per l’autenticazione e l’autorizzazione (es. riconoscimento a due fattori). Non dovrebbero esserci credenziali d’accesso condivise e dovrebbe essere sempre previsto un tempo di scadenza delle credenziali;
  • i dati in transito devono essere protetti da sistemi di crittografia avanzati (es. TLS 1.2 o https);
  • la responsabilità di implementare tutti gli opportuni controlli sia organizzativi sia tecnici appartiene al Titolare.»

Fonte:

Periodic Review: quando, come e perchè

Articolo a cura di Ing. Laura Monti, Subject Matter Expert, Adeodata srl


La Periodic Review è di fondamentale importanza per confermare nel tempo lo stato di convalida dei sistemi computerizzati. Non a tutti è chiaro quando svolgerla, cosa verificare, come documentarla.
Facciamo un po’ di chiarezza insieme.

I sistemi computerizzati GxP critici devono essere convalidati per assicurare che “quando un’operazione manuale viene effettuata da un sistema computerizzato non venga ridotta la qualità del prodotto, il controllo del processo e l’assicurazione della qualità. Inoltre, non ci dovrebbe essere alcun incremento del rischio complessivo del processo” (EU GMP Annex 11). La convalida è necessaria, inoltre, per garantire “accuratezza, affidabilità, performance prevista e capacità di distinguere record non validi o alterati” (FDA 21 CFR part 11.10(a)).

A differenza degli equipment, non è necessario riqualificare periodicamente i sistemi computerizzati poiché non sono soggetti ad usura. Per confermare nel tempo lo stato di convalida dei sistemi computerizzati la Periodic Review è, quindi, di fondamentale importanza.

Inoltre, la Periodic Review è richiesta esplicitamente dell’EU GMP Annex 11 §11:

I sistemi computerizzati devono essere periodicamente valutati per verificare il mantenimento dello stato di convalida e la conformità alle normative GMP. Tali valutazioni dovrebbero includere, dove appropriato, funzionalità correnti, deviazioni, incidenti, problemi, aggiornamenti, prestazioni, affidabilità, sicurezza e relazioni sullo stato di convalida.

Indicazioni sulle modalità di esecuzione della Periodic Review sono riportate nell’Appendix O8 delle linee guida GAMP5.

QUANDO SVOLGERE LA PERIODIC REVIEW

La Periodic Review deve essere svolta periodicamente, secondo un criterio documentato che consideri:

  • il grado di criticità del sistema (impatto GxP)
  • la sua complessità
  • il suo grado di novità

Tipicamente la Periodic Review viene eseguita ogni uno o due anni, ma possono essere definite frequenze diverse in base alla categoria GAMP5 del sistema e/o del tempo intercorso dalla fine della sua convalida iniziale.

Inoltre, è possibile eseguire anche Periodic Review straordinarie (cioè prima della loro scadenza naturale) in caso di:

  • Problemi riscontrati nell’operatività del sistema
  • Significativi cambiamenti apportati al sistema o svariate modifiche minori
  • Significativi cambiamenti normativi che impattano sul sistema

RESPONSABILITÀ DELLA PERIODIC REVIEW

È responsabilità del Process Owner garantire che venga eseguita la Periodic Review del sistema e che le eventuali azioni correttive identificate siano implementate in modo appropriato.

È responsabilità della Quality Unit assicurare che le revisioni periodiche siano programmate, eseguite e documentate.

La Periodic Review deve essere condotta da una o più persone a seconda dell’ambito della revisione. Il Team di revisione può includere: Quality Unit, Subject Matter Expert (SME), Utenti, IT, Engineering, Compliance e/o Consulenti esterni.

COSA VERIFICARE

Oggetto di revisione sono:

  • Stato di aggiornamento delle procedure operative e di manutenzione
  • Stato di aggiornamento della documentazione (es. specifiche, elenchi di eventi e allarmi…)
  • Disponibilità delle registrazioni delle sessioni di istruzione in linea con i ruoli utente a sistema
  • Applicazione delle procedure di Change e Configuration Management e stato delle registrazioni
  • Disponibilità di contratti e licenze
  • Applicazione delle misure di sicurezza logica e fisica previste per il sistema
  • Prestazioni del sistema
  • Eventuali aggiornamenti normativi
  • Sostituzione del personale con ruoli e responsabilità sul sistema
  • Deviazioni, incident, problemi ed eventi legati all’uso del sistema e CAPA correlate

A queste verifiche si possono aggiungere tutte quelle attività che devono essere eseguite a cadenza regolare, come le prove periodiche di restore (EU GMP Annex11 §7.2) e alcune attività legate alla Audit Trail review (EU GMP Annex11 §9). In particolare, è necessario verificare che la funzionalità di Audit Trail sia mantenuta in stato di convalida, ossia che:

  • L’Audit Trail sia attivo
  • La data, l’ora e la time zone del sistema siano corrette e sicure
  • La funzionalità di Audit Trail, le policy di sistema, le configurazioni e i parametri che possono avere impatto sulla modificabilità dei dati (es. configurazione dei profili utenti e relativi privilegi) siano rimasti invariati rispetto a quanto registrato e verificato durante la convalida iniziale, a meno di eventuali modifiche correttamente gestite in accordo alle SOP di Change Control e Configuration Management

COME DOCUMENTARLA

Alla fine della revisione viene redatto un report, o una check list, che include l’elenco degli aspetti del sistema verificati, le risultanze ed eventuali azioni correttive o raccomandazioni.

Vuoi approfondire l’argomento?
Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR Part 11
16 Settembre 2021, 9:00 – 16:00

contatti

Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR parte 11

Sconto del 15% per iscrizioni anticipate
(entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato al personale QA, IT e a tutte le funzioni aziendali coinvolte nella gestione dei sistemi computerizzati ad impatto GxP in ambito farmaceutico, medicale, biotech e CRO, inclusi i fornitori di apparecchiature e servizi.
Il seminario risulterà sicuramente interessante anche a chi si avvicina per la prima volta alla convalida dei sistemi informatizzati.

Programma

L’aumento di strumenti ed applicazioni informatiche per la gestione e il controllo di processi GxP critici rende ogni giorno più di attualità il tema della Computer Systems Validation quale solida base per garantire il Data Integrity.
QS ripropone questo seminario interamente dedicato ai sistemi computerizzati che fanno da supporto alle attività dell’industria farmaceutica.

Durante la giornata la docente approfondirà i requisiti normativi e gli aspetti pratici legati alla convalida dei sistemi computerizzati, fornendo ai partecipanti tutti gli strumenti indispensabili per assicurare l’affidabilità dei sistemi e creare un sistema di qualità indispensabile alla loro continua gestione.

La docente analizzerà il quadro normativo prendendo in considerazione la nuova linea guida utilizzata dall’FDA durante le ispezioni e le linee guida GAMP5 e PCI/s 011 per la convalida delle diverse categorie di sistemi e il loro mantenimento.

Obiettivi

  • Familiarizzare con gli strumenti indispensabili per assicurare l’affidabilità dei sistemi computerizzati
  • Approfondire le linee guida GAMP5 e PCI/s 011 per la convalida delle diverse categorie dei sistemi IT e per il loro mantenimento.

Principali argomenti in agenda

  • Il nuovo EU GMP Annex 11 e il nuovo Cap. 4 delle EU GMP
  • Confronto con il 21 CFR Parte 11
  • I diversi approcci della convalida
  •  Analisi dei rischi
  • Categorie dei sistemi
  • La linea guida PIC/s 011 e le GAMP5
  • Pianificazione, convalida e gestione dei sistemi computerizzati
  • Come mantenere lo stato di convalida: manutenzione, change control, back-up, gestione degli accessi
  • Esempi applicativi: fogli elettronici, qualifica delle infrastrutture …
  • Domande e discussione

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.