Een data governance framework implementeren: de praktijk

Hoe ga je van een strategie naar een geïmplementeerd data governance framework?

Nathalie: De eerste stap heb je normaal gezien al genomen tijdens het opstellen van jouw strategie. Het onderzoeken van alle aanwezige SOP’s en huidige praktijken binnen jouw bedrijf. Deze kan je benchmarken tegen de industry best practices en de regelgeving waaraan je moet voldoen. Dit is het startpunt van waaruit je kan verderwerken.

Onderzoek alle huidige procedures en praktijken

Ga het gesprek aan met uw medewerkers: hoe werken de systemen, apparaten of applicaties, welke data genereren ze, wat is de input, wat is de output, vraag naar handleidingen, wat zijn de huidige procedures en processen, pols naar de kennis van jouw medewerkers omtrent data integrity, bekijk of er datarisico’s zijn, enz. Alle operationele collega’s betrekken vanaf het begin leidt tot een groter engagement.

Bepaal de datadomeinen

De volgende stap is het vaststellen van datadomeinen van toepassing binnen uw branche. Dit kan verschillen van sector tot sector bv. klant- of productdatadomeinen. Binnen deze datadomeinen vallen data-elementen zoals systemen en applicaties die belangrijke rapporten en essentiële data genereren of bedrijfsmethodes beschrijven. Hierbij ga je op zoek naar wat kritiek en belangrijk is voor jouw bedrijf.

Maak een overzicht van alle systemen & apparaten

Inventariseer alle apparaten en systemen die data genereren, wijs een datadomein toe en categoriseer volgens de GAMP-classificatie of een gelijkaardige indeling (die volstaat voor een audit!) en beschrijf waarom je die categorie kiest.

Wat is de GAMP-classificatie?

Nathalie: De GAMP-guidelines (ISPE, good automated manufacturing practices) zijn richtlijnen voor het valideren van automatiseringssystemen. Ze helpen jou bij het opstellen van documenten die nodig zijn om de systemen te valideren en om de kwaliteit van de systemen te garanderen. De recentste versie is de GAMP-5 die zich focust op het controleren van risico’s en beter kwaliteitsmanagement. Deze GAMP 5-richtlijnen beschrijven de grenzen van de categorieën waarin alle systemen kunnen ingedeeld worden.

1. 1. Categorie 1: Infrastructuursoftware: dit zijn doorgaans besturingssystemen waar applicaties op geïnstalleerd worden (Windows, Linux, custom,…). Deze besturingssystemen worden gekwalificeerd maar niet gevalideerd, het zijn de applicaties die gevalideerd worden.
   2. Categorie 2: Standaard software die niet configureerbaar is, ook wel ‘off-the-shelf-software’ genoemd. Deze software kan makkelijk geïnstalleerd worden en hoeft niet aangepast te worden aan jouw bedrijfsnoden. Deze categorie bevat ook software die geconfigureerd kan worden maar in jouw bedrijf de standaardconfiguratie heeft.
   3. Categorie 3: Configureerbare software: dit zijn software-applicaties die geconfigureerd zijn volgens jouw specifieke bedrijfsnoden. Dit is de grootste en meest complexe categorie om te valideren.
   4. Categorie 4: Software op maat geschreven: dit zijn softwarepakketten die van scratch geschreven zijn speciaal voor jouw bedrijf.

De keuze voor een GAMP-classificatie of gelijkaardige categorieën, hangt af van de industrie en de toestellen & systemen in jouw bedrijf. De GAMP-guidelines zijn van toepassing voor de farmaceutische sector. Als je binnen een niet-farmaceutische sector werkt, is het niet verplicht de GAMP-categorieën te gebruiken. Dan kan je jou ook beroepen op de USP-indeling:

1. Standaardapparatuur zonder meetcapaciteit of gebruikelijke eis voor kalibratie, waarbij de specificatie van de basisfunctionaliteit van de fabrikant als gebruikersvereisten wordt geaccepteerd. De conformiteit van de apparatuur van groep A met de gebruikerseisen kan worden geverifieerd en gedocumenteerd door visuele observatie van de werking ervan. Bv. een simpel pipet.
2. Standaardapparatuur en -instrumenten die meetwaarden leveren, alsook apparatuur die fysieke parameters (zoals temperatuur, druk of debiet) regelt die gekalibreerd moeten worden, waarbij de gebruikerseisen doorgaans dezelfde zijn als de specificatie van de fabrikant van de functionaliteit en de operationele limieten. De conformiteit van instrumenten of apparatuur van groep B met de gebruikerseisen wordt bepaald volgens de standaardbedieningsprocedures voor het instrument of de apparatuur, en wordt gedocumenteerd tijdens IQ en OQ. Bv. een thermometer.
3. Groep C omvat instrumenten en geautomatiseerde analytische systemen, waarbij de gebruikerseisen voor functionaliteit, operationele en prestatielimieten specifiek zijn voor de analytische toepassing. De conformiteit van instrumenten van Groep C met de gebruikerseisen wordt bepaald door specifieke functie- en prestatietesten bv. een PLC.

Breng data proces flow in kaart

De data process flow in kaart brengen, maakt deel uit van een goed data lifecycle management. Alle fasen (5) van de levenscyclus van de gegevens, van de eerste aanmaak van de gegevens (creation), de vastlegging en de registratie tot de verwerking met inbegrip van de transformatie of de migratie (processing), de herziening, de rapportering (reporting, review & use), de bewaring, het terughalen (retention & retrieval) en de vernietiging ervan (destruction), moeten worden gecontroleerd en beheerd om te zorgen voor nauwkeurige, betrouwbare en conforme registraties en gegevens.

De data proces flow is een visuele representatie van hoe die data doorheen de processen en systemen van het bedrijf stroomt (input, output, opslagpunten en routes tussen twee ‘bestemmingen’). Deze flow moet gedocumenteerd worden in een ‘data audit trail’, een logfile van alles wat gebeurt en van invloed kan zijn op het finale product (zoals bepaald door de risicobeoordeling).

Stel een data integrity vragenlijst op

Een vragenlijst kan variëren tussen de 50 à 100-tal vragen. Houd rekening met het engagement van jouw bedrijf en het soort toestellen bij het opstellen van de vragenlijst bv. je kan niet dezelfde eisen stellen aan een computer zoals aan een thermometer. De beveiliging van de computer moet veel beter zijn en de data-output is anders. Zorg ervoor dat jouw vragen de volledige scope dekken.

De FDA maakt jaarlijks een paper op met de minimumeisen die gevolgd moeten worden. Daarenboven moet jouw vragenlijst voldoen aan het ALCOA(+)-principe en kan het handig zijn om rekening te houden met de interpretatie of focus van de auditeurs. Leg de focus waar zij dat ook doen. Het is niet zo erg als de vragenlijst niet perfect is om te beginnen, gaandeweg kan je nog aanpassingen maken.

Voorbeelden van vragen:

• • Attributable: wordt de bron van de data gedefinieerd? Wordt beschreven wie de data owner is?
  • Legible: is de data altijd toegankelijk voor de geautoriseerde personen? Wordt de data centraal opgeslaan & beheerd?
  • Contemporaneous: wordt er een timestamp geregistreerd?
  • Original: wordt de originele data bewaard? Worden aanpassingen gelogd in de data audit trail?
  • Accurate: is dit de juiste data (foutloos)?

Voer de GAP-assessment uit 

Toets elk toestel, systeem of applicatie af aan de vragenlijst. Aan de hand van de antwoorden kan je bepalen waar de GAP’s liggen tussen de huidige status en de gewenste status. De hiaten in de data integriteit van jouw data.

Voer een risicoanalyse uit 

Wijs een risicograad toe aan de GAP’s op basis van deze risicofactoren. Niet elke GAP is een actie- of pijnpunt. Op basis van de risicoanalyse bepaal je prioriteiten voor de remediatiefase. Normaal gesproken zijn risico’s met de laagste risicograad aanvaardbaar, daar ben je niet verplicht verdere actie op te nemen. Het is aan jouw bedrijf om te bepalen hoe streng je met data integriteit omgaat.

Hanteer een risicoschaal van 1-10 of 0-100 en houd rekening met 3 factoren:

• • Ernstgraad: Beschouwt het slechtst mogelijke gevolg van een mislukking die door de mate van letsel, schade aan eigendommen, systeemschade en missieverlies dat zich zou kunnen voordoen Bv. 1 (laag) – 5 (heel hoog).
  • Voorkomen: hoeveel keer kwam de GAP voor en wat is de ‘waarschijnlijkheid’ dat de GAP zal voorkomen, bv. 0 (technisch niet mogelijk dat het voorvalt) – 4 (zeker mogelijk).
  • Detecteerbaarheid: ook wel ‘effectiviteit’ genoemd, is een numerieke subjectieve schatting van de doeltreffendheid van de controles om de oorzaak of de storing te voorkomen of op te sporen vóór de storing de klant bereikt. Bv. 1 (zal gedetecteerd worden tijdens productie) of 4 (er is geen detectiemechanisme).

De remediatiefase

Werk technische oplossingen uit om de risico’s op te lossen, wijs resources toe, stuur het data ownership bij waar nodig en herschrijf SOP’s om de GAP’s weg te werken. Er zijn drie types van controles: technische, procedurele & gedragscontroles. We starten steeds met de technische controles tijdens de remediatiefase. Bepaal korte, mid-lange en langetermijnacties. Deze aanpassingen moeten leiden tot een betere controle over het proces, de GxP-gegevens of systemen.

Tussentijdse controles voor hoge risico’s op de gegevensintegriteit kunnen zijn:

• Extra gegevensoverzicht
• Tweede getuige bij dataregistratie
• Controle van het controlespoor
• Beperkt beheer van de gebruikerstoegang
• Operationele procedures aanpassen

Voer procedurele controles in om de algemene vereisten inzake gegevensintegriteit vast te stellen omtrent:

• Archief
• GdocP
• Back-up/herstelprocessen

Technische controles om de beveiliging van de data te verzekeren

• Badge beperkte toegang
• Unieke ID/wachtwoord
• Controlespoor
• Beheer van de gebruikerstoegang

Daarenboven is het zeker zo dat elektronische gegevens betrouwbaarder zijn en makkelijker te controleren dan gegevens op papier. Probeer ook een hybride systeem van elektronische data & papieren documenten te vermijden. Schakel zo veel mogelijk over op de digitalisering van data.

De remediatie-acties moeten worden gedefinieerd, gedocumenteerd en opgevolgd in overeenstemming met de CAPA- en risicobeheerprocedures van het bedrijf.

Vervolgfase

Als alle oplossingen geïmplementeerd zijn, volgt er een nieuwe risicobeoordeling om zeker te zijn dat de verwachte restrisico’s aanvaardbaar zijn. Deze risicobeoordeling voer je regelmatig uit om zeker te zijn dat de data integriteit gegarandeerd kan worden en je voorbereid bent op data integrity audits.

Een risicogebaseerde & pragmatische aanpak

Om tegemoet te komen aan de groeiende behoefte van de industrie om data integriteit op een slimme en efficiënte manier te implementeren, heeft Pauwels Consulting een uniek data governance programma ontwikkeld. Het programma combineert een grondige pre-assessment met een daaropvolgende transitie volgens de bekende PDCA-cyclus. GAP-evaluaties en bijbehorende acties worden in elke afdeling parallel uitgevoerd met continue feedbacklussen en omvatten het op elkaar afstemmen van alle DI-gerelateerde documentatie (bijv. URS, dataverwerkingsprocedures, enz…).

Onze op risico gebaseerde en pragmatische aanpak omvat sterk leiderschap en goed gedragsmanagement. Het is ontworpen om DI culturele uitmuntendheid te bereiken en te behouden in de hele organisatie. Een goede training is cruciaal, dus ons Data Integrity team heeft een verscheidenheid aan trainingsmodules samengesteld die op maat gemaakt kunnen worden om deze doelen samen te bereiken!