lundi 27 août 2012

Change Control & Enregistrements

Deux mises en demeures récentes de la FDA à l'encontre de deux sociétés réglementées montrent la pertinence et la précision des inspections récentes en matière de systèmes informatisés.

La première porte sur la gestion du changement appliqué à un logiciel utilisé dans un dispositif médical :


6.   Failure to establish and maintain adequate procedures for the identification, documentation, validation, or where appropriate, verification, review, and approval of design changes before their implementation, as required by 21 CFR 820.30(i). For example:

a.   SOP-(b)(4) “Design and Engineering Changes” Rev (b)(4) states if a “software change affects the safety or effectiveness of the device, it must go through a full Software Verification and Validation prior to release to production. Otherwise, a limited Verification and Validation may be determined by the Engineering Manager and Regulatory Affairs Manager to be adequate.” Engineering Change Order (ECO) (b)(4), dated January 6, 2011, involves a change to the (b)(4) software, but your firm does not have any documentation of any software verification or validation activities associated with the change.

b.   SOP-(b)(4) “Design and Engineering Changes” Rev (b)(4) indicates the Production Software List should include the most current version of the software approved for use and the revision date of approval, but the Production Software List does not include the revision dates of approval.

La deuxième sur l'absence d'investigation sur des erreurs d'interface logicielle et sur l'horodatage erroné des enregistrements :


c) Your firm's quality control unit failed to conduct a complete investigation of issues related to the interface between your Regulated Software Collections Application (RSA) and BioMerieux Clinical Diagnostics BAC-T Alert computer systems. You therefore failed to ensure the satisfactory transfer of bacterial testing results of platelet products.

6) Failure to maintain records concurrently with the performance of each significant step in the collection, processing, compatibility testing, storage and distribution of each unit of blood and blood components so that all steps can be clearly traced [21 CFR 606.160 (a)(1)]. Failure of your distribution records to contain information to readily facilitate the identification of the name and address of the consignee, the date and quantity delivered, the lot number of the unit(s) the date of expiration or the date of collection, whichever is applicable, or for crossmatched blood and blood components, the name of the recipient [21 CFR 606.165(b)]...

b) The information in your irradiation logs does not match the processing records in your RAS computer system. For example:

i) The irradiation log shows unit # (b)(6) was irradiated from 13:36 to 3:40 but RAS indicates the unit was labeled as an irradiated product at 13:34....

Ces exemples montrent clairement l'importance que l'agence américaine accorde à l'exactitude, à la précision des enregistrements et au respect des bonnes pratiques applicables aux systèmes informatisés.

Pour en savoir plus:


http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2011/ucm315833.htm
http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2012/ucm313460.htm

Sur nos actions préventives sur ces sujets :


https://docs.google.com/a/coetic.com/spreadsheet/viewform?fromEmail=true&formkey=dEV6Xy1zaUFOVno2SnJSRzF2Mzd0MEE6MQ

Notre site internet change de look, visitez-le à http://www.coetic.com/

vendredi 3 août 2012

Les enregistrements de laboratoire au coeur d'une Warning Letter récente de la FDA.

Une Warning Letter récente met en évidence deux points clés de la gestion des enregistrements de laboratoire (probablement généralisable à tout enregistrement de lot ou "batch record") :
  • L'intégrité et l'auditabilité de l'édition des enregistrements papiers à partir d'un système informatisé (qui n'est pas sans rappeler le "Barr Case" du début des années 1990) :
1. Your firm has not established appropriate controls designed to assure that laboratory records include all data secured in the course of each test, including graphs, charts, and spectra from laboratory instrumentation, properly identified to show the specific component, drug product container, closure, in-process material, or drug product, and lot tested [21 CFR 211.194 (a)(4)].
Specifically, the inspection revealed that your firm has not established written procedures to control and account for electronically generated worksheets used by analysts to record analytical test results. Analysts in your QC laboratory print an uncontrolled number of worksheets from computers throughout the QC laboratory without supervision.  
  • La nécessité de maîtriser l'utilisation des feuilles MS Excel au laboratoire: 
5. Your firm has not established and documented the accuracy, reliability and performance of your computer systems employed in the release of drug products [21 C.F.R.  211.68 (a)]

For example, your firm did not verify the accuracy of Excel spreadsheets used to calculate product assay analytical results, for all products manufactured for the US market, in order to verify the accuracy of the results obtained. 

Pour en savoir plus:
http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2012/ucm311326.htm

Nos prestations en matière de conformité réglementaire des enregistrements électroniques (EU, FDA).

Batch records are critical records

Une Warning Letter récente met l'accent sur les caractéristiques attendues des Batch records du point de vue de la FDA:
2. Your quality control unit (QCU) failed to review and approve all production and control records to determine compliance with all established, approved written procedures before releasing and distributing a batch [21 C.F.R. § 211.192].

Batch records are critical records and it is your responsibility to ensure that all production and control records are accurate, complete, authentic, and produced concurrently with the documented activity, and that employees are appropriately trained.
Pour en savoir plus:
http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2012/ucm309971.htm

Nos prestations en matière de conformité réglementaire des enregistrements électroniques (EU, FDA).

Deux Warning Letters récentes ont attirées notre attention

La première porte sur une entreprise dans le secteur des dispositifs médicaux et sur la gestion du changement :

4. Failure to establish and maintain adequate procedures for the identification, documentation, validation or, where appropriate, verification, review, and approval of design changes before their implementation, as required by 21 CFR 820.30(i)
Your “Engineering Change Order” procedure 5.1, Rev 0, dated 7-25-09, does not address verifying and/or validating design changes.  In addition, four of the design changes and four of the corrective action design changes reviewed have not been verified and/or validated. 

La deuxième sur la gestion des étiquettes "Master Records" gérées par un système informatisé :

1. Your firm has failed to exercise appropriate controls over computer or related systems to assure that changes in master production and control records, or other records, are instituted only by authorized personnel [21 C.F.R § 211.68(b)].
For example, repackaging technicians changed master labels of repackaged products, which resulted in product packages labeled with incorrect strength or incorrect spelling of the drug name. You then released these mislabeled drug products for distribution. Examples of incorrect labeling that resulted from technicians changing the master label include...

Il s'agit là de deux points sensibles pour la plupart des industriels et qui démontrent (si cela était nécessaire) la pertinence des inspections récentes de la FDA sur ces sujets. 
Pour en savoir plus sur :
http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2012/ucm309060.htm

http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2012/ucm309300.htm

Nos prestations en matière de conformité réglementaire des enregistrements électroniques (EU, FDA).

La guideline EMA sur la validation des process est en consultation publique...


Cette ligne directrice est mise à niveau pour tenir compte des guides ICH Q8, Q9 et Q10 et la possibilité d'utiliser la vérification continue des process en plus ou en remplacement des vérifications traditionnelles en usage actuellement.
Les commentaires sont possibles jusqu'au 31 octobre 2012.

Plus d'informations sur :

http://gallery.mailchimp.com/0764ba592dd24442a6fdb1a95/files/WC500125399.pdf

Plus d'informations sur :
http://gallery.mailchimp.com/0764ba592dd24442a6fdb1a95/files/WC500125399.pdf
Ou le site de l'EMA :
http://www.ema.europa.eu/ema/doc_index.jsp?curl=pages/includes/document/document_detail.jsp?webContentId=WC500125399&murl=menus/document_library/document_library.jsp&mid=0b01ac058009a3dc

Une nouvelle mise en demeure FDA sur des défaillances dans la gestion des enregistrements électroniques de laboratoire


Gulf Pharmaceutical Industries 2/23/12


4. Your firm has not established appropriate controls over computer or related systems to assure that changes in master production and control records or other records are instituted only by authorized personnel.  Your firm also fails to maintain a backup file of data entered into the computer or related system [21 CFR § 211.68(b)].
For example,
a) There is no system in place to ensure that all electronic raw data from the laboratory is backed up and/or retained.
During the inspection, you informed our investigators that electronic raw data would not exist for most HPLC assays over two years old because data is not backed up and storage space is limited. 
Data is deleted to make space for the most recent test results.  You also informed our investigators that printed copies of HPLC test results are treated as raw data.
Printed copies of HPLC test results from your firm’s systems do not contain all of the analytical metadata (for example: instrument conditions, integration parameters) that is considered part of the raw data.  We acknowledge that your response indicates that you have created a procedure in order to implement the back-up and retention of HPLC data.  This electronic HPLC data supports testing, disposition, and other significant quality control decisions, and it is essential that you maintain this information for each batch.  In your response, please provide a detailed update on your firm’s implementation of this correction.  Also describe your firm’s policy for retaining HPLC raw electronic data associated with pending applications. 
b) You have not implemented security control of laboratory electronic data.  All laboratory analysts share the same password for the HPLCs in the QC analytical chemistry lab and Omnilog in the microbiology lab.  In addition, analysts have access to the HPLCs which allow them to create and/or modify validated methods.
Your response indicates that SOP EDS-084:  Procedure to Assign User Access Levels and Privileges for Computerized Analytical System has been issued and training has been provided.  Please clarify in the response to this letter how you define the levels of authorization or the user access and privileges for analysts.  Your response also explains that analysts now have their own passwords and that changes will be captured by audit trail.  We also note that your SOP does not have provisions for any audit trail reviews to ensure that deletions and/or modifications do not occur.  Please provide an explanation of your firm’s procedures regarding audit trails.
We recommend that you conduct a complete and extensive evaluation of your overall quality and manufacturing controls to ensure that all finished dosage drugs manufactured at your facility meet the quality and purity characteristics they purport to possess.  We highly recommend that you hire a third party auditor, with experience in detecting data integrity problems, who may assist you in evaluating your overall compliance with CGMP.
Pour en savoir plus sur :

La warning letter en question

Nos prestations en matière de conformité réglementaire des enregistrements électroniques (EU, FDA).

Une nouvelle mise en demeure FDA met en évidence des défaillances dans la sécurité des enregistrements électroniques de laboratoire


Biochem Laboratories Inc. 2/17/12

4. Your firm has failed to exercise appropriate controls over computer or related systems to assure that changes in master production and control records, or other records, are instituted only by authorized personnel [21 CFR 211.68(b)].
For example:
a. Your firm did not put in place requirements for appropriate usemames and passwords to allow appropriate control over data collected by your firm's computerized systems including UV, IR, HPLC, and GC instruments. All employees in your firm used the same usemame and password. In addition, you did not document the changes made to the software or data stored by the instrument systems. Without proper documentation, you have no assurance of the integrity of the data or the functionality of the software used to determine test results.
b. Your firm had no system in place to ensure appropriate backup of electronic raw data and no standard procedure for naming and saving data for retrieval at a later date.
In your response, you state that you will maintain backup of electronic raw data and all technicians will have their own user identification (ID) and password. Your response, however, is inadequate because you do not describe how your firm intends to save and back-up the electronic raw data, nor whether your firm will implement audit trails on your computerized systems. Further, you do not provide a timeframe for accomplishing the intended corrective actions or describe the changes you have made to relevant SOP(s).

La FDA précise ainsi que les modalités d'identification du personnel, de sauvegarde, d'audit trail doivent être précisés pour chaque système.

Pour en savoir plus sur :

La warning letter en question

Nos prestations en matière de conformité réglementaire des enregistrements électroniques (EU, FDA).

Ranbaxy et la FDA se mettent d'accord sur un "Consent Decree"


Cet accord met ainsi fin à plusieurs mises en demeure de l'agence américaine sur des insuffisances répétées en matière de "data integrity" et de "compliance".


Par exemple, sur un site indien en 2006 :
"1. Laboratory records do not include a complete record of all data secured in the course of each test, including all graphs, charts, and spectra from laboratory instrumentation, properly identified to show the specific drug product and lot tested [21 CFR 211.194(a)(4)].
Review of stability data by our investigative team disclosed that prior to November 2004, your firm did not maintain documentation of [redacted] operating conditions and settings used for [redacted] analysis nor the complete raw data. After November 2004, the operating parameters were maintained with the relevant [redacted]. However, the[redacted] electronic raw data was not saved. According to the Director of Quality Assurance, Ranbaxy began saving[redacted] electronic raw data just recently at the beginning of February 2006. However, that was not observed during the inspection."

Dans un courrier de 2009, le Dr. Janet Woodcock reproche à Ranbaxy d'avoir fourni des enregistrements erronés dans des dossiers d'enregistrements à la FDA : "The Center for Drug Evaluation and Research has determined that Ranbaxy Laboratories Limited (Ranbaxy) submitted untrue statements of material fact in abbreviated and new drug applications filed with the Agency."

Ranbaxy a annoncé la provision de 500 M$ pour couvrir sa responsabilité civile et pénale découlant d'actions potentielles menées par le département américain de la Justice.

Pour en savoir plus

Le Cloud Computing défini par le National Institute of Standards & Technology (NIST)


Le NIST est un organisme qui élabore des standards et lignes directrices pour les organismes fédéraux et ses fournisseurs ; son activité est régulée par le Federal Information Security Management Act (FISMA) de 2002.

Cette définition donne une vision globale de ce nouveau paradigme toujours en évolution.

Il est intéressant de noter que des applications de type SaaS comme Google Apps ont obtenu la certification FISMA et sont donc aptes à être utilisées par des agences américaines comme la FDA.

Pour en savoir plus

La FDA et l'EMA se rapprochent et coopèrent sur les inspections


A compter de janvier 2012, la FDA et l'EMA vont partager un certain nombre d'informations sur les inspections et celles-ci seront mutualisées c'est à dire qu'une inspection de la FDA pourra être "différée ou abandonnée" sur la base des rapports d'inspections communiquées par l'EMA et réciproquement.

Ceci est une avancée majeure dans la coopération au niveau de ces deux grandes autorités réglementaires ; toutefois, elle ne sera appliquée qu'aux sites déjà connus et qui ont un historique de conformité satisfaisant. Cela ne concerne donc pas les PAI.

Faut-il y voir un des premiers effets positifs de l'adhésion de l'US FDA au PIC/S ?

Pour en savoir plus

La FDA clarifie sa position sur les chromatogrammes et considère que l'enregistrement papier n'est pas suffisant


La raison invoquée par l'agence est que l'enregistrement papier n'est pas une copie "exact et compléte" et que l'inspecteur doit avoir accès à l'enregistrement électronique initial à des fins d'investigation.

Cette posiion a le mérite de clore un débat et d'en ouvrir un autre sur l'archivage électronique de ces enregistrements.

On peut légitimement estimer que cette position est valable pour tout type d'enregistrement (production, laboratoire...) car les "predicates rules" invoquées (211.68 et 211.180(d)) ne sont pas spécifiques aux enregistrements chromatographiques.

Pour en savoir plus

1% des écarts signalés par l'AFSSAPS porte sur les systèmes informatisés


Ce bilan a été réalisé sur les rapports d'inspections réalisés de janvier 2010 à juin 2011 sur les établissements pharmaceutiques "fabricant". 

1% des écarts, cela peut sembler peu mais il faut tenir compte de l'aspect technique du sujet et de la faible durée passée aujourd'hui sur ce sujet par les inspecteurs (environ deux heures en fin d'inspection).

Néanmoins ces 1% représentent 4% des écarts majeurs ce qui tend à prouver que les inspecteurs signalent principalement des manquements flagrants à la réglementation :
  • la gestion de données (56%) : sécurité, double vérification...),
  • la validation (ou son absence) pour 22%,
  • la documentation (système, validation...) pour 22%

Pour en savoir plus, cliquer ici.

Un point de situation sur le Part 11 est fait dans un article intéressant de John Avellanet


Dans cet article publié sur le site de Contract Pharma, l'auteur fait le point sur les Warning letters publiées depuis la déclaration d'intention de la FDA du 8 juillet 2008 dont le but était d'évaluer la façon dont le 21 CFR Part 11 avait été mis en oeuvre chez différents utilisateurs réglementés.

Après un rappel utile du contexte de ces inspections, l'auteur mentionne les citations existantes sur le site de la FDA en mettant l'accent sur l'approche "Validate smart" par opposition à celle du "Validate everything" pratiquée encore dans de nombreuses entreprises.

Nous retiendrons la remarque de la FDA dans une entreprise de sous-traitance (février 2011) : "We highly recommend that you hire a third party auditor, with experience in detecting data integrity problems, who may assist you in evaluating your overall compliance with CGMP".

Pour en savoir plus