Können GxP-Daten sicher kopiert werden?

Nach unserem englischsprachigen Webinar „GxP-Datenintegrität: Was Sie nicht wissen, kann zur Nichtkonformität führen“ haben wir eine interessante Frage zum Kopieren von Informationen und Datensätzen in GxP-Anwendungen erhalten. 

Lieber Paul, 

in einem Ihrer Webinare haben Sie erklärt, dass das Kopieren einer Standardarbeitsanweisung, um diese zu Hause durchzulesen, ein offensichtlicher Verstoß ist. 

Soweit ich weiß, bedeutet das Kopieren eines nicht kontrollierten GxP-Dokuments oder einer nicht kontrollierten Standardarbeitsanweisung, dass sie nicht aktualisiert wird. Daher besteht kein wirkliches Risiko. Das Kopieren der Daten würde also keine Gefahr für die Einhaltung gesetzlicher Vorschriften durch das Unternehmen darstellen. 

Angenommen, GxP-Daten werden in einem Laufwerk eines Computers gespeichert und nur einige Mitarbeitende können auf das Laufwerk zugreifen. Dies würde dazu dienen, den  Zugriff auf die Daten zu kontrollieren, diese in einem validierten Zustand zu halten und Datenintegrität sicherzustellen. 

Wenn eine der Personen mit Zugriff auf die Daten einen Teil dieser kopiert und an einem anderen Ort speichert, um anderen Mitarbeitenden die Nutzung der Daten zu ermöglichen, handelt es sich dann um einen Verstoß? 

Meiner Meinung nach werden Daten an einem bestimmten Ort zur Kontrolle gespeichert, damit sie einer Prüfungsfachkraft gezeigt werden können.  Das Kopieren von Daten zur Freigabe für andere Mitarbeitende stellt keine Bedrohung für das Unternehmen dar. Wenn sich die kopierten  Daten ändern, kommt es zu Abweichungen zu den  Quelldaten. Diese Abweichungen sind offensichtlich. Die Quelldaten sind die einzigen Daten, die als zuverlässig gelten. Welchen Schaden kann daher das Kopieren einiger Daten verursachen?

 Bitte lassen Sie mich wissen, wenn ich mit dieser Argumentation falsch liege.

Mit freundlichen Grüßen, S

Hallo S,

Sie haben völlig Recht, wenn Sie sagen, dass GxP-Informationen, ob in elektronischer oder Papierform, kontrolliert werden müssen, um sie vor Änderungen zu schützen.  Sie haben auch Recht:  Kopien müssen als solche gekennzeichnet sein.

Nehmen wir den Fall, dass Mitarbeitende mit ihrem Smartphone ein Foto machen. Das Problem, das Sie zu Recht ansprechen, besteht darin, dass, wenn Mitarbeitende oder eine andere Person das Foto als Referenz einsetzt, möglicherweise keine aktuellen Informationen verwendet werden.  

Die richtige Vorgehensweise wäre, sich an die Abteilung für Qualitätssicherungsdokumentation zu wenden, um eine offizielle Kopie zu erhalten, die als Kopie gekennzeichnet würde (sofern die Unternehmensrichtlinien dies überhaupt zulassen).  Es ist wahrscheinlich, dass Mitarbeitende bereits mit dem Fotografieren am Arbeitsplatz gegen die Unternehmensrichtlinien verstoßen haben.  

Mein Beispiel im Webinar war ein Lehrbeispiel, um zu zeigen, wie jemand, der mit GxP-Dokumentationsverwaltungsverfahren nicht vertraut ist, beim Verwenden neuer Technologien versehentlich GxP-Fehler machen kann.  Mitarbeitende dürfen keine Fotos von Dokumenten machen und auch keine Kopien von Dokumenten außer Haus nehmen. Das eigene Zuhause stellt hoffentlich einen sicheren Ort für einen selbst dar, jedoch nicht für ein kontrolliertes GxP-Dokument. 

Was Speicherorte betrifft, stimme ich Ihnen zu, dass der Zweck eines Speicherorts darin besteht, Daten auf kontrollierte Weise zu speichern, sodass sie nicht geändert, gelöscht, modifiziert usw. werden können.  Ich gehe auch davon aus, dass gespeicherte Daten möglicherweise geschützt werden müssen, weil sie einen GxP-Wert aufweisen (deshalb werden sie überhaupt gespeichert). Die Daten könnten in manchen Fällen geistiges Eigentum darstellen.  Wahrscheinlich nicht für Temperaturüberwachungsdaten, aber ein gespeicherter Chargendatensatz oder gespeicherte Labortestergebnisse könnten genügend Informationen enthalten, um geistiges Eigentum zu repräsentieren.  

Es gibt also geschäftliche Gründe, gespeicherte Daten vor dem Kopieren zu schützen.  Die einzige Person, die Zugriff auf die gespeicherten Daten haben sollte, ist die Person, die die Daten speichert oder eine für die Speicherverwaltung zuständige Person. Diese muss in der Lage sein, von Fall zu Fall zu entscheiden, ob die gespeicherten Daten sicher kopiert und freigegeben werden können und ob etwaige Einschränkungen bei der Freigabe gelten.  

Deshalb suchen wir nach Lösungen, nicht nach Problemumgehungen. 

•    Wenn Daten kopiert werden, müssen die Kopien als Kopien gekennzeichnet sein, um eine Verwechslung mit den Originalen zu vermeiden. 
•    Kopien müssen (dennoch) gemäß den Unternehmensrichtlinien geschützt oder verwaltet werden.  
•    Das für den Schutz und die Kontrolle von Informationen zuständige Personal (QA-Dokumentation, eine für die Speicherverwaltung zuständige Person) muss Richtlinien befolgen.
•    Die Richtlinien können die von Ihnen vorgeschlagenen Aktivitäten zulassen oder nicht (z. B. die Mitnahme der Daten nach Hause oder an einen anderen Ort zur Analyse).
•    Diese Richtlinien basieren wahrscheinlich auf den Risiken, die mit den Daten verbunden sind, die Sie kopieren möchten.

In einer funktionierenden GxP-Anwendung kann sich die Qualitätskulturdenkweise übertrieben oder bestenfalls als ineffizientes Gatekeeping anfühlen.  Der Schutz der Quelldaten muss zum Standard werden. Die Suche nach Schlupflöchern oder Abkürzungen ist nur der Einstieg in eine Schieflage. 