article

GxP-Compliance – ein kurzer Überblick

GxP bedeutet „Good x Practice“ und fasst als Oberbegriff sämtliche Richtlinien für eine „gute Arbeitspraxis" zusammen. Das „x“ in der Mitte wird dabei durch die jeweilige Abkürzung für den spezifischen Anwendungsbereich ersetzt, wie z. B. bei GMP (Good Manufacturing Practice), GDP (Good Distribution Practice), GLP (Good Laboratory Practice) sowie zahlreichen weitere Disziplinen.

GxP bezieht sich auf die „Good Practice“-Richtlinien und Vorschriften, die etabliert wurden, um die Sicherheit, Wirksamkeit und Verwendbarkeit von Lebensmitteln, Medizinprodukten, Arzneimitteln und anderen biowissenschaftlichen Produkten zu gewährleisten. Einen besonders hohen Stellenwert hat GxP-Compliance in Pharma und der Medizin.

Kurz gesagt: GxP definiert die verschiedenen Methoden, mit denen Unternehmen in regulierten Branchen ihre Prozesse, Verfahren, Mitarbeiter und Räumlichkeiten kontrollieren müssen, um die Konsistenz und Qualität ihrer Produkte sicherzustellen. Ohne GxP-Compliance ist es in diversen Märkten nicht möglich, reglementierte Produkte zu entwickeln, in den Markt zu bringen und zu vertreiben bzw. pharmazeutische und medizinische Forschungsaktivitäten, Tests oder Zulassungsverfahren für Medikamente, medizinische Geräte etc. durchzuführen.

Immer mehr Unternehmen sind von der GxP betroffen

Zwar sind die GxP-Richtlinien zunächst für Sektoren wie die Medizin, Pharmazie und die pharmazeutische Chemie von Bedeutung, gelten aber auch für verwandte Branchen und deren Zulieferer sowie entsprechende Vertriebsunternehmen. Immer mehr Branchen und Unternehmen sind direkt bzw. indirekt von GxP betroffen, z B.:

- Hersteller medizinischer Geräte

- In-vitro-Medizinprodukte (IVD)

- Pharmazeutische Industrie

- Biowissenschaften/Life Sciences

In diesen Branchen in anderen Funktionen tätige Unternehmen wie:
- Lieferanten von Unteraufträgen

- Importeure und Distributoren

Auch für weitere Sektoren können die GxP-Disziplinen von Bedeutung sein, z. B. in folgenden Bereichen:

- Agrartechnik

- Lebensmittelproduktion

- Herstellung neuartiger Lebensmittel

- Hersteller von medizinischem Cannabis

- Kosmetika

Warum ist GxP-Compliance so wichtig?

Die Befugnisse von Regulierungsbehörden in den genannten Sektoren sowie verwandten Bereichen sind weitreichend. Das liegt an dem potenziellen Risiko der von ihnen überwachten Produkte für die menschliche Gesundheit. Die Einhaltung der GxP-Richtlinien wird von Behörden und Regierungsstellen durch Zertifizierungs-anforderungen, regelmäßige Inspektionen und unangekündigte Audits überwacht und durchgesetzt.

Richtlinien im GxP-Umfeld werden beispielsweise von der Europäischen Arzneimittelagentur, der FDA (Food and Drug Administration) in den USA, der TGA in Australien oder HS-SC in Kanada festgelegt. Die Einhaltung der entsprechenden Richtlinien wird durch die Überwachungsbehörden der jeweiligen Länder regelmäßig überprüft.

In vielen Fällen wird der Zuständigkeitsbereich der Aufsichtsbehörden immer weiter ausgedehnt, denn neue Sektoren und Produktkategorien werden einbezogen. Dies spiegelt das Ausmaß der Innovation in diesen Branchen sowie die branchen-übergreifenden Abhängigkeiten bei den verwendeten Produktionstechniken wider. Aus diesem Grund verlangen die Aufsichtsbehörden häufig von den Unternehmen, dass sie die GxP-Konformität ihrer Partner in der gesamten Lieferkette überprüfen und diese sicherstellen müssen.

Infolgedessen stellen immer mehr Unternehmen fest, dass sie GxP einführen UND die GxP-Compliance nachweisen müssen, um ihre Märkte, ihren Lieferantenstatus und ihr Business zu schützen und für die Zukunft abzusichern.

GxP – „Good Practice“ in vielen Bereichen

GxP definiert die Best Practices, die jeden Teil der betroffenen Sektoren und die gesamte Wertschöpfungskette abdecken. Die gängigsten GxP-Regelwerke sind zwar GMP, GCP und GLP, aber GxP umfasst viele Regelwerke, z. B.:

GMP – Good Manufacturing Practice

GAMP – Good Automated Manufacturing Practice

GCP – Good Clinical Practice

GLP – Good Laboratory Practice

GPvP – Good Pharmacoviligance Practice

GDP – Good Distribution Practice

GACP – Good Agricultural and Collection Practice

GdocP – Good Documentation Practice

Alle GxP-Regelwerke können jedoch als Untergruppen der Good Manufacturing Practice (GMP) betrachtet werden, da sie alle in die sichere Herstellung und Lieferung von regulierten Produkten einfließen und diese unterstützen. Zu den gängigsten GMP-Regelwerken gehören die EU Good Manufacturing Practice (GMP) Guidelines, die US FDA Current Good Manufacturing Practice (cGMP) Guidelines sowie die WHO Good Manufacturing Practices for Pharmaceutical Products.

GxP-Zertifizierung – welche Regeln gelten?

Verschiedene Aufsichtsbehörden, verschiedene Regeln: Die amerikanische Food and Drug Administration (FDA), die Europäische Arzneimittelagentur (EMA), die britische Medicines and Healthcare Products Regulatory Agency (MHRA), die International Organization for Standardization (ISO) sowie weitere Behörden in den unterschiedlichen Ländern definieren die jeweils gültigen Richtlinien zur GxP-Compliance. Diese und andere Organisationen fördern, beaufsichtigen und setzen die Einhaltung von GxP weltweit durch – je nachdem, wo Ihr Unternehmen produziert, in welcher der davon erfassten Branchen Sie tätig sind und wohin Sie liefern. GxP-Richtlinien sind in der Regel nicht international standardisiert, daher gibt es keine international gültige GxP-Zertifizierung, die alles umfasst.

Unabhängig davon, in welchem der betroffenen Sektoren Sie tätig sind und welche spezifischen GxP-Standards für Ihr Unternehmen gelten, die entsprechenden Instrumente und Systeme für das GxP-Qualitätsmanagement benötigen Sie in jedem Fall. Dabei geht es um praktisch alle Bereiche und Aktivitäten Ihres Unternehmens, die ja letztlich ineinandergreifen:

Risikomanagement

Bewertung des Schweregrads, Dokumentation und Minderung des Risikos von Produktausfällen

Dokumentation

Veröffentlichung und regelmäßige Überprüfung Ihrer GxP-Compliance (d.h. Standard Operating Procedures)

Kontrolle und Steuerung

Etablierte Prozesse zur Erfüllung der erforderlichen Standards für die Endprodukte

Nachweis

Aufzeichnungen, die konsistent nachweisen, dass diese Aufgaben durchgeführt wurden

Die zentralen Säulen der GxP: Dokumentation, Kommunikation, Rückverfolgbarkeit und Rechenschaftspflicht

Um nachzuweisen, dass die vorgeschriebenen Kontrollen eingehalten wurden, und um sicherzustellen, dass potenzielle Abweichungen bei den Endprodukten identifiziert und korrigiert werden können, müssen die Daten und die Dokumentation während des gesamten Produktlebenszyklus nachvollziehbar sein.


Datenintegrität ist der Schlüssel

Die Grundlage der GxP-Compliance ist die Erfüllung der Aufzeichnungs- und Dokumentationsanforderungen, die dafür sorgen, dass Prozesse nachvollziehbar bleiben und Unternehmen für die Integrität ihrer Daten und die Qualität ihrer Endprodukte voll verantwortlich sind. Um GxP-konform zu sein, müssen Unternehmen jede kritische Handlung, die von jedem Mitarbeiter bei der Entwicklung, Herstellung und Lieferung eines Produkts oder Projekts vorgenommen wird, spezifizieren, dokumentieren und protokollieren – und zwar auf eine Weise, die letztlich überprüfbar ist.

Dies wird von der FDA und anderen als GDocP (Good Documentation Practice) bezeichnet. Dabei stellt GDocP keinen eigenständigen Standard dar, ist aber ein wesentlicher Bestandteil aller oben beschriebenen Praktiken.

GxP ist sozusagen ein Pendant zu ITIL, der IT Infrastructure Library, in der ebenfalls Best Practices definiert werden – aber eben für die effektive und effiziente Bereitstellung von IT-Services. ITIL hat sich zu einem weltweit akzeptierten De-facto-Standard für das IT-Servicemanagement entwickelt. Entspricht Ihr IT-System den ITIL-Vorgaben, kann dies einen Schritt in Richtung GxP-Compliance bedeuten.

„Good Practice“ für Ihre IT

Die Gewissheit, dass Daten und Dokumentation korrekt, aktuell und zugänglich sind und dass sie nicht verändert oder manipuliert werden können, schafft bei Unternehmen und Aufsichtsbehörden ein hohes Maß an Vertrauen. Für die Aufsichtsbehörden bedeutet dies, dass die vorgeschriebenen Aktivitäten von den richtigen Personen zur richtigen Zeit durchgeführt und getreu aufgezeichnet wurden.


Dazu gehören natürlich auch das Login und die Log-Überwachung, denn die Begrenzung und Identifizierung von Risiken durch nicht autorisierte Systemzugriffe sind wichtige Faktoren im Rahmen der GxP-Compliance. Definiert wird das unter anderem von der FDA in den USA (FDA-21 CFR Part 11.10(g)).

Identity und Access Management als wirksame Unterstützung der GxP-Compliance

Viele Teams, Partner, Zulieferer sind daran beteiligt, Produkte auf den Markt zu bringen – von der Forschung und Entwicklung über die Herstellung und Vermarktung bis hin zu Distribution und Lieferung. Alle diese Beteiligten müssen zusammen arbeiten und dabei Daten und Ressourcen übergreifend und vor allem sicher nutzen können.

Sicherheit und damit Compliance beginnt auf der Benutzerebene, und zwar schon bei den Zugriffsrechten. Denn nur mit angemessenen Berechtigungen, Freigaben und Zugriffsrechten für JEDEN all dieser Benutzer vermeiden Sie, dass ein Eindringling in ein Benutzerkonto übergreifende Daten und Informationen erhält. Aber wie können Sie von Anfang an sicherstellen, dass jeder Benutzer nur über die Berechtigungen verfügt, die für seine Arbeit wirklich erforderlich sind? Und wie sorgen Sie dabei für Revisionssicherheit und erfüllen die Erwartungen von Aufsichtsbehörden und anderen Prüfern?

IAM ist die Antwort


Kontrollieren und steuern Sie Zugriffsberechtigungen ab sofort automatisch über alle Beteiligten, Systeme, Anwendungen und Daten hinweg – mit der SailPoint IAM-Plattform, die das Identity Management und Access Management für Sie übernimmt! Unsere Cloud-Lösung ist schnell implementiert und bezieht das in Ihrem Unternehmen Vorhandene ein, ob On Premise oder in der Cloud. Auch das Onboarding und das Ausscheiden von Mitarbeitern wird schneller und sicherer, denn unsere intelligente IAM-Plattform wendet die von Ihnen individuell definierbaren Zugriffskriterien und Ebenen automatisch auf jeden bestehenden und neuen Benutzer an – Compliance leicht gemacht!

Date: 22. März 2022Reading time: 9 minutes
Compliance