Hvor hulen blev den fil nu af

Af Christian Stage, Stage One Computing A/S

Kender I det når man ikke lige kan finde det vigtige dokument man skrev forleden, og det er i dag det SKAL afleveres …? Situationen er måske ikke helt ukendt, og det sker vel lejlighedsvis at man har forlagt, om ikke andet, en version af et dokument, hvor man helt sikkert havde indsat rettelser der var væsentlige, men man kan ikke lige huske hvilke.

Denne situation kan blive meget forværret når man står ved en inspektion, og der bliver spurgt til hvor de sande data befinder sig. Mange systemer omkring os generer data, som vi efterfølgende kopierer og flytter i ét væk.

I gamle dage opsamlede vi alle relevante data, og lagde dem i en fin veldefineret filstruktur – På en server hvis det skulle være meget fint.

Sådan er det ikke længere. Nu udveksler vi data via særegne kombinationer af filsharingtjenester (f.eks. WeShare, TransferNow, DropBox, Dracoon, Box etc.) SharePoint, Cloud fildrev, OneDrive, Teams, samt en blanding af diverse CMS’er (CMS = Content Management Systems, eller det vi kort og præcist kalder dokument­styrings­systemer på godt Dansk).

Brugen af alle disse forskellige platforme og systemer gør jo livet en anelse mere besværligt, hvis man lejlighedsvis skulle forsøge at beholde et overblik. Nogle af de udfordringer der følger med dette sammensurium af forskellige systemer, er strømlining af retentionstider, adgangs­kontrol, overførsel mellem de forskellige systemer, metadata, og arkivering. Jeg vil lige forsøge at give et overblik over de forskellige udfordringer der findes, samt lidt inspiration til krav man kan (eller bør) sætte.

Baggrunden for at tage dette emne op var egentligt at jeg for nyligt bemærkede at en de virksomheder jeg arbejder for, var begyndt at benytte Teams filhåndteringsfunktion til at udveksle projekt­- og kvalitetsrelaterede filer, i forventning om at de blev liggende dér. Filerne ligger jo i virkeligheden ikke i Teams, men i den tilknyttede SharePoint installation eller overføres til OneDrive afhængigt af hvordan man benytter Teams, eller har sat Teams op – Den kvikke QA bemærkede nok de 2 gange ”eller” i denne sætning?

< Hvor længe er egentlig min dataretention >

Forskellige systemer har forskellige standarder med hensyn til retentionstider. De fleste CMS systemer er opbygget således at man enten skal rydde op manuelt, eller at man skal ind og definere for en organisation, dokumenttype eller lignende hvordan retention skal opføre sig.

Sådan er Teams f.eks. også, lidt afhængigt af hvor filerne placeres, men Teams har en default opbevaringstid (jeg tro faktisk den default er så lav som 3 måneder). Der er også mulighed for at styre det via de såkaldte ”policies” (en policy er en slags standardkonfiguration man kan sætte for et defineret område på ens netværk) man kan påtrykke via et Microsoft domæne på de pågældende OneDrive’s eller SharePoint installationen der ligger nedenunder Teams

I fildelingstjenester kan man som hovedregel beholde sine data indtil man sletter dem, eller indtil man stopper med at betale for dem. Det er også muligt at sætte regler op for opbevaringstider i de fleste fildelingstjenester. Her skal jeg lige erindre om vigtigheden af en serviceaftale med den pågældende leverandør, samt en vurdering af leverandørens soliditet …

Egne CMS-systemer er jo lettere at styre, så det kan vi godt lide.

< Er adgangskontrol = kontrol af at alle har adgang >

Nogle af de omtalte systemer er designet til benhårdt at styre adgangskontrol, herunder især at styre adgangsbegrænsninger. Andre systemer er bygget til netop det modsatte!

De fleste CMS systemer er bygget til at styre adgange, ud fra projektorganisation, roller o.s.v.. Andre systemer, herunder f.eks. SharePoint er bygget netop til at give flest muligt adgang til data, ud fra et ønske om at fremme samarbejde på tværs af en organisation. Dette betyder i praksis at man proaktivt skal ind og beskytte sin information, frem for at give adgang til sin information ud fra et behovsmæssigt standpunkt.

En af de normale arbejdsmetoder indenfor medicinalbranchen, er netop at sige at noget som udgangspunkt er ”formodet dårligt”, indtil det er kontrolleret ”godt” (sådan fungerer de fleste kontrolfunktioner i maskiner i hvert fald). Hvis man overfører denne strategi på sine dokumentadgange, siger logikken os at ingen skal have adgang til information, med mindre de specifikt har et behov, og har fået tildelt adgangen (via en styret proces).

Hvis man styrer sine adgange via organisationen, skal man være opmærksom på at alle i en organisatorisk enhed typisk kan få adgang til de samme informationer, og det kan således være ganske svært at differentiere sin adgangskontrol.

Det sidste nye i denne Coronatid er, at mange benytter f.eks. Teams til samarbejde på tværs af organisationer (samarbejder med leverandører, kunder, konsulenter etc.). Teams er smart fordi det er hurtigt og let at dele information. Ulempen er at alle i et Team som udgangspunkt har adgang til de samme informationer, hvorved begrænsninger kræver en særdeles hård styring.

Når et ”projekt” slutter, meldes brugerne ud af teamet, efterhånden som de ikke længere arbejder på projektet. Når den sidste i teamet er meldt ud kan teamet nedlægges. Hvis man nedlægger teamet, bliver mange overraskede over at adgang til informationen også forsvinder (der er jo ingen ”ejer” længere). For visse (især cloudbaserede) systemer sletter man samtidig de data der var tilknyttet arbejdsteamet, når teamet nedlægges, idet der ikke længere er nogen til at betale for opbevaringen af data.

Hvis man forestiller sig at man er en virksomhed der laver innovation og produktudvikling, vil man typisk gerne kunne dokumentere de adgange der har været til data, f.eks. med henblik senere patenter, og derfor er åbne teams eller organisationer med fri adgang til så mange data som muligt ikke en brugbar option.

Husk også lige at adgangs også giver adgang til at slette data!

< Taber vi data ved overførsel mellem systemer >

Brugen af mange systemer giver mange filoverførsler. Kravet er jo stadigvæk at dataoverførsel mellem systemer skal være valideret. Valideringen består af en dokumenteret kontrol af at data er korrekt overført. Det betyder at valideringen af en dataoverførsel pludselig kan være en udfordring, da de fleste moderne systemer er baseret på databaser, hvor interne filformater ikke nødvendigvis er ens. Man kan således ikke blot kopiere filer fra et system til et andet bare med brugen af en Explorer, men skal i stedet dokumentere/validere den proces man benytter.

Ved overførsel af data mellem systemer skal man især være opmærksom på metadata (dvs. de informative data der beskriver de data man overfører), også overføres på en valideret måde.

Metadata er basis for at man kan genfinde og behandle sine data på en struktureret måde, og kan desuden udgøres af f.eks. signaturer, tagnumre, gamle dokumentnumre (hvis data f.eks. kommer fra et gammelt udgående system) ændringslog o.l.. Dette burde give en forståelse af hvor vigtige disse metadata er, og ligeledes hvor vigtigt det er at overføre dem på en dokumenteret og struktureret måde.

Man skal i særdeles høj grad være varsom hvis man laver overførsel af signaturer. Signaturer skal entydigt være knyttet til de data de dækker over.

Det er normalt (bl.a. fordi det er et regulatorisk krav) at en signatur ikke må kunne overføres mellem data, da man i givet fald kan drage en signatur i tvivl. Hvis man overfører signerede dokumenter, eller værre endnu signerede data, så SKAL der være en meget nøje plan for valideringen af denne overførsel, for at sikre signaturernes fremtidige gyldighed.

< Vil du vise mig vejen til arkivet >

En mere banal udfordring er arkivering. Eftersom ikke alle data har samme retentionstid, og ikke alle data er driftsaktive i lige lang tid, skal man hhv. have en veldefineret strategi for arkivering, samt en mekanisme der sikrer overførsel af data til arkiv jf. den definerede strategi.

Husk også at for mange produktionssystemer bevarer man dele af rå-data i produktions­systemets database (dette kunne f.eks. være audit trails, eller opsamlede rå-data der benyttes til beregninger samt afrapportering). Disse rå-data skal opbevares lige så længe som de batchrapporter de har ligget til grund for.

Det kan således betale sig sammen med de øvrige batchdata at overføre rå-data på en valideret måde, til et system egnet til formålet. I forbindelse med overførslen, fjernes både batchdata og de underliggende rå-data helt fra oprindelsessystemet. På den måde har man ikke en udfordring ved at udpege sine ”true data”, og IT-vedligehold har ikke en udfordring med at skulle slette data/rydde op fra tid til anden.

< Findes der faktisk rimelige krav >

Hermed et par tips til krav man kunne sætte til systemer hvori man opbevarer data:

#Krav
 
88Der skal som default ikke være adgang til data, medmindre denne adgang er specifikt tildelt
89Tildeling af adgange til data skal køres via en formel godkendelsesproces
90Der skal identificeres en formel dataejer for alle kritiske data
91Dataejer skal være en funktion i virksomheden, ikke en fysisk person
92For data der opbevares i skyen, skal der defineres en formel exitstrategi
93Der skal defineres en specifik retentionsperiode for ALLE data i virksomheden
94Der skal defineres en teknisk arkiveringsstrategi for data der er underlagt arkivregler
95Det skal til enhver tid være muligt at dokumentere hvem der har haft adgang til data
96Data må kun ligge ét sted
 

< Er gratis nu egentligt lige billigt nok >

Når vi nu er i gang, har jeg lige et par ord om ubetalte tjenester: I denne nymodens cloud-orienterede verden, findes der mængder af muligheder for at dele og opbevare data ganske gratis.

Microsoft, Apple, Google og mange flere giver mange gigabyte opbevaringsplads til os brugere ganske gratis, og det er kun hvis man overskrider dette pladsbehov at man skal betale. 5 Gb er f.eks. nok til mange tusinde Word dokumenter, så hvorfor betale for opbevaring af data?

I gamle dage havde alting en pris – Det har det stadigvæk. Hvis man ikke betaler for sin serviceydelse i rede penge, kan man betale med lav hastighed, reklamer eller via lav sikkerhed. Det er også rigtigt svært at komme og stille krav til noget man ikke betaler for, og hvis en leverandør pludselig dropper sin tjeneste, eller ændrer på systemet, er det rigtigt svært at komme efter dem med et rimeligt juridisk grundlag.

Derfor: Vælg ALTID betalte løsninger eller betalte versioner af løsninger.

Refleksioner over “Brexit” og fremtiden for Life Science Industrien

Så er den gennemførte “Brexit” en realitet for EU fra 1st. januar 2021, og Storbritannien har nu helt forladt EU og er blevet et ”3-verdens land” i handelssammenhæng set fra et EU-perspektiv, selvom der en lille aftale på plads mellem parterne.

Konsekvenserne af bruddet er store for begge parter og for de farmaceutiske virksomheder er der fortsat et krav om at sikre forsyningerne af API eller lægemidler både i EU og I Storbritannien uanset hvor de er fremstillet, kontrolleret eller pakket.

Forsinkelser i levering, udfordring med forsyningskæden foranlediget af ekstra mange papirer og evt. mangel på enkelte lægemidler er scenarier som kun vil blive tydeligere, når landene lukker op igen efter Covid19 pandemien og begynder at fungere mere normalt.

Lige for øjeblikket er der ikke nogen aftale mellem EU (EMA) og Storbritannien (MHRA) om MRA (Mutual Recognition Agreement) – dvs. gensidig anerkendelse af hinandens set up eller anden aftale, der regulerer godkendelser, certifikater mv. for vores industri – men man kan finde

nogle af svarene her på EMA` hjemmeside (se https://www.ema.europa.eu/en/about-us/brexit-uk-withdrawal-eu/brexit-related-guidance-companies)

Ifølge den såkaldte ”Northern Ireland Protocol” – vil Nord Irland fortsætte med at sikre EU’s toldregler og sikre produkt standarder som vi kender det. Heraf følger at varer der transporteres fra Nord Irland (Ikke-EU-medlem, men fortsat i det indre marked) og ind i republikken Irland (EU-medlem) og vice versa ikke skal igennem samme check som varer produceret i England, Wales og Skotland – dvs. Nord Irland er et smuthul – meeen lad nu være med at glæde jer for tidligt!

Lige nu overvejer man i Nord Irland om man skal søge om at blive lagt sammen med republikken Irland fremfor fortsat at være under Storbritannien, fordi hylderne i supermarkederne er ved at være tomme og samarbejdet med resten af Storbritannien er besværligt, ikke mindst pga. kravene til kontrol – så hvad religion har splittet mellem protestanter og katolikker i næsten 500 år siden oprettelsen af den Anglikanske kirke under Henrik d. Ottende, kan blive historisk ændret som følge af nordirlændernes ønske om at forblive i EU.

Hvilken virkelighed står man så overfor i dag som farmaceutisk virksomhed, der får fremstillet, testet og/eller pakket i Storbritannien (ikke-EU-land) under den nuværende aftale og varen er bestemt for EU?

Processen er som følger:  Enhver batch, der importeres fra et af de 3 lande England, Skotland og Wales ind i et EU/EEA-land skal ved import gennemgå fuld kvalitativ analyse samt en kvantitativ analyse af som minimum alle de aktive substanser samt gennemgå alle andre analyser og checks, der skønnes nødvendigt for at sikre lægemidlets kvalitet – dvs. testmæssigt reelt en fuld re-frigivelses proces baseret på nye data jfr. kravene i markedsføringstilladelsen.

Den såkaldte ”Northern Ireland Protocol” giver Nord Irland en særstatus og betyder at batch frigivelse, der er foretaget af en importør/fremstiller og ligeledes test analyser udført af QC laboratorier etableret i Nord Irland vil blive anerkendt i EU/EEA. Modsat vil lægemidler, der sendes fra Storbritannien til Nord Irland (Ikke EU-medlem, men i det indre marked) blive anset for import til EU/EEA og skal igennem de ovenfor anførte processer for en EU/EEA batch for at kunne frigives til markedet.

Endvidere hvis lægemidler sendes fra et andet EU-medlemsland på kontinentet til republikken Irland – via f.eks. færge eller landevej i England som transit varer via gældende aftaler for varer i transit, så er det fra EU-land til EU-land og lægemidlerne bliver dermed ikke importeret og skal ikke genfrigives. Samme procedure gælder for lægemidler sendt fra EU/EEA til Nord Irland eftersom North Irland i denne sammenhæng ikke anses for at være et marked i Storbritannien.

Alt det oven nævnte gælder bare for en lille del af vores industri – men der er tusindvis af lignende udfordringer hele vejen rundt i andre erhverv med told, skat, moms og regler af alle mulige andre karakterer, der er dyre for firmaerne, giver manglende fleksibilitet/levering og besværliggør handel.

Jeg bliver slet ikke forbavset, hvis Storbritannien om 5 -15 år kun består af Wales og England, hvis Skotland vil tage den kolde tyrker som det kræver at blive gen-indmeldt som et selvstændigt land på de normale vilkår af EU – og det er oplagt for at sikre freden mellem Nord Irland og Republikken Irland i Syd ved at Nord Irland lægges sammen med republikken, og dermed genindtræder som fuldgyldigt medlem af EU.

Jeg bliver heller ikke forundret hvis England ude i fremtiden om 10-20 år vil ansøge om genoptagelse, når de økonomiske konsekvenser rigtig går op for englænderne i form af flyttede fabrikker, investeringer inkl. jobs forsvinder eller rykker til Irland for at have direkte adgang til EU’s indre marked. Dermed bliver væksten væsentlig lavere og indbyggerne i Storbritannien fattigere og firmaerne skal operere med mindst 2 standarder (hjemmemarked og EU med flere) med større omkostninger til følge.

Der er bare ingen eksempler i historien på at isolationisme dvs. det set-up at et land undgår at blande sig i andres sager samtidig med at landet fører protektionistisk politik har ført til velstand og rigdom – og det er forsøgt mange gange. Selv Norge med en stor pengetank i undergrunden i form af olie og Schweiz med deres bankvæsen følger EU standarder og regler, og de har reelt ingen indflydelse og må bare æde reglerne og standarderne, hvis de vil handle med EU. Norges velstand kan sagtens blive truet efterhånden som verdenens energi forbrugende lande omstiller sig til en verden uden brug af fossile brændstoffer.

England skal bare ikke være sikker på at en evt. genoptagelse vil ske, da man altid har haft problemer med englænderne og deres særheder i EU. England skal ikke tage et positivt udfald af en genansøgning for givet og i hvert fald ikke forvente at få de favorable vilkår som de havde før 1.2.2020. Der vil højst sandsynlig komme helt andre boller på suppen inkl. krav om at de tilpasser sig samme standarder som EU kører i dag (metriksystemet, VVS, samme standard på el og elektronik mv) – for at sikre at andre lande inkl. Polen, Ungarn og Danmark ikke skal få for gode ideer og ønske f.eks en ”Danxit” som visse dele af de Konservative og især Dansk Folkeparti taler om.

Det eneste gode ved den nuværende situation med Brexit og problemerne med de tomme hylder i Nordirland er at den danske befolknings tilslutning til fortsat medlemskab af EU for Danmarks vedkommende aldrig har været større.

Alt dette er kun mine tanker og står for egen regning – og kun fremtiden kan vise hvor det bærer hen.

Vh Inger Drengsgaard, Riga, Letland

Pas på ikke at blive fanget i skyen

Jeg arbejder som konsulent for en række medicinalvirksomheder, så det er på denne baggrund jeg her udtaler mig her.

Ud med data (i cloud)

Det virker som om trenden er, at store dele af virksomhedernes IT-systemer er ved at blive flyttet ud i skyen. Fordelene er mange, og heldigvis er langt de fleste virksomheder også opmærksomme på de udfordringer, der er i forhold til at lægge ting i skyen: Dataintegritet, procedurer for systemets brug, non-disclosure, backup, valideret status (eller ’validerbarhed’), Service Level Agreements, o.s.v..

Indrømmet, så er mange af opgaverne med at lægge ting ud i skyerne komplicerede, fordi udbuddet af de enkelte cloudydelser er stort og servicen og leverandørernes troværdighed er generelt lige så usammenlignelig som to mobilabonnementer. Samtidig er det at sætte krav til en cloud service et nyt område for mange medicinalvirksomheder, og man misser derfor let et krav eller to. Det kan endda være nogle af de vigtige krav, som enten går ud over compliance, eller ud over driften.

Jeg vil lige slå et slag for et par af de krav som ofte overses i forbindelse med cloudydelser.

Livscyklus

En af de emner der ofte omtales i nye guidelines, er livscyklus. Ethvert system fødes, valideres, gennemgår en lang række af vedligeholdende aktioner for at bibeholde den validerede status, hvorefter de til sidst nedlægges efter mange års tro tjeneste.

Denne livscyklus skal jo nødvendigvis også være gældende selvom et givent system befinder sig i skyen.

Etableringen af et system i skyen er typisk ret let, idet systemet som oftest eksisterer på forhånd. Leverandørerne har også typisk en brugermanual, eller vejledninger så det er let at etablere en procedure for systemet (tænk f.eks. på Microsoft, Google og Amazon). Fakta er at man – selv som stor medicinalvirksomhed – kan have svært ved at få indflydelse på leverandørens serviceaftale med deres underleverandører

Det bliver lidt mere kompliceret når man skal sikre dataintegriteten, og bl.a. diskutere backupløsning med leverandøren (vi har jo f.eks. Recovery Point Objective, Recovery Time Objective samt kravet om en dokumenteret test af re-store at skulle bede om). Leverandøren har som oftest enten en (typisk temmelig non-GxP) IT-afdeling der leverer denne service, eller IT-delen er måske baseret på ydelser de køber hos en underleverandør (f.eks. hosting, dataopbevaring, backup o.l.). Man ender under alle omstændigheder hurtigt ud i en diskussion om hvor ens data ligger, eller hvem der har adgang til dem, og om adgangen til systemer og data er dokumenteret på alle niveauer (både til systemet og i den applikation man benytter).

Det kan også være at man er nødsaget til selv at udføre en validering af systemet, eller at systemet (for at dække mere alment brugbare funktioner dedikeret andre brancher end netop medicinalvirksomhed) i praksis ikke helt kan opfylde en medicinalvirksomheds forventninger til dataintegritet.

Alle disse udfordringer er jo til at komme ud over, via velformulerede kravsspecifikationer, gode velskrevne procedurer, lidt manuelt valideringsarbejde og en god aftale om de serviceydelser der er inkluderet i leverancen.

Hvis ens cloud leverandør benytter en underleverandør til nogle af delydelserne, skal man lige være opmærksom på at nogle af disse underleverandører kan være ganske store. Det kan være særdeles svært at få lov til at udføre en audit hos en gigantvirksomhed af en underleverandør  desuden være yderst sjældent at man kan få mulighed for at kontrollere om leverandørens hhv. om underleverandørens interne procedurer overholdes. Nogle gange er der mange niveauer af serviceaftaler ovenpå hinanden, og disse er endvidere skrevet i et juristsprog ingen forstår, så det kan være ganske komplekst. Denne risiko er stor, og derfor også værd at tage stilling til.

Leverandørerne har også gerne en stor opfindsomhed når det kommer til nye funktioner, som lægges på systemet uden at man ved det, og uden der er alt for skarp ændringskontrol. Dette gør vedligehold af det validerede stade, og her under ændringsstyring noget besværligt, men man kan dog som regel aktivt overvåge de versioner systemet har, og lure når der sker ændringer.

Så kommer vi til det sidste element i livscyklus, nemlig nedlæggelsen af systemet. Et cloudsystem ”nedlægges” måske ikke i praksis, fordi leverandøren havde tænkt sig at fortsætte med at levere systemet til andre virksomheder, men for den virksomhed som køber ydelsen, er behovet måske forsvundet, og man ønsker at ”nedlægge systemet” ved at stoppe samarbejdet.

Huskede vi det hele?

MEN så er det her man for alvor skal stå sin prøve. Jeg har netop været udsat for et cloudbaseret dokumentstyringssystem, hvor man godt kunne downloade sine dokumenter enkeltvis, men det var ikke muligt på en struktureret måde at downloade alle dokumenter med tilhørende metadata. Ydermere ville leverandøren med henvisning til at det kørte systemet som et GxP system ikke slette data, metadata og audit trail fra systemet, og give os dokumentation herfor. Leverandøren kunne tilbyde at data blev obsoleted (markeret som slettede) med tiden, men sletning kunne de ikke garantere.

Jeg gætter på at data i leverandørens database ikke var struktureret på en måde så man kunne relatere alle sine data til en specifik kunde. Dette vil gøre at hvis man sletter en specifik kundes data, risikerer man også at slette/påvirke andre kunders data.

Enden på historien blev i dette tilfælde at man skal bibeholde leverandøren og betale for et fortsat samarbejde, backup og service for sine data indtil dommedag, eller i det mindste det tidspunkt hvor man finder det sikkert at blot ignorere de findes. Man indgik en betalingsmæssig kompromisløsning med leverandøren, men kommer trods alt over de næste mange år til at betale et substantielt beløb.

Req. #Cloud requirements
 
63It must be possible in the system unambiguously to distinguish my data from other companies’ data.
64It must be possible to bulk extract all my data in a validated manner, including metadata and audit trail, into a reusable structure.
65The data format must be readable by commercially available application, or a reader must be delivered along with extract data.
66It must be possible to delete my data entirely from the system, including a documented audit trail for the deletion of the data.
 

Figur Eksempel på krav til et cloudsystem

Hvis vi lige holder fast i den ovenfor beskrevne situation, er det ikke kun ved nedlæggelse af data at sletning/udlevering kan have relevans. Det kunne være at man en dag ønskede at skifte til en anden cloudleverandør, at den cloudleverandør man benytter pludselig besluttede at ændre forretningsområde og derved nedlægge systemet, eller at ens cloudleverandør blev ramt af opkøb, konkurs eller lignende. I alle disse situationer ønsker man faktisk at få sine data udleveret på en struktureret måde, incl. metadata, samt dokumentation for den validerede dataoverførsel, til en server efter eget valg.

Mange af de data der bliver produceret indenfor medicinalbranchen, har en levetid på +10 år. En væsentlig del af de laboratoriedata der produceres, har en levetid på +20 år.

Prøv at huske 20 år tilbage, og tænk på de IT-systemer man brugte dengang – Windows 98 på en DOS platform eller Windows NT, WordPerfect, SAP i et grønt monokromt interface der emulerede de gamle amberskærme fra de første PC’eres tid, og IBM Dokumentum i sin mest rå form. Hvordan ser verdenen ud om 20 år, og kan man til den tid få udleveret sine 20 år gamle data, i et læsbart format?  

Summa summarum! Man skal tænke hele livscyklus ind i sine krav, og ligesom med det meste andet i livet, sørge for at der er en ordentlig og pæn exitstrategi – Det gælder også for cloudsystemer.

OH NO!! Grumpy cat in Covid Mask

Karen Ginsbury’s Quality Blog #3

This is 2020 Blog #3.  I made it my business to reread the previous one (ok the truth – I am overwriting – the mother of all bad practices) #2.  Written in June, I suppose I was Covid punch drunk and focused on business continuity / disaster recovery plans and shortages.  By now we have sort of settled into life with Covid – I don’t leave the house without a face mask… unless I forget.  I have a CAPA on that too – masks in every bag, briefcase, pocket…

In earlier blogs I had said we need to define the purpose of a quality system.  GMPs are NOT a quality system and never were intended to be one.  They are a series of requirements.  If quality is “Meeting all the requirements all the time” we need to do a better job of defining requirements.

I have done a little better on defining what a foundational quality system is – with the help of ISO9001:2015…another of my grumpy cats.

The ISO standard makes the crucial point under the section Risk Based Thinking:
“One of the key purposes of a quality management system is to act as a preventive tool”

and this is where the GMPs, industry and regulators have colluded over the years to ensure failure.
What is this collusion?  It is that nasty little part of the GMPS which accepts deviations as an essential part of what we do.

It is true the EU GMPs advise us to avoid deviations as much as possible, unlike 21CFR part 100 which with no such qualifying statement says “Any deviation from the written procedures shall be recorded and justified” or in other words “there will always be deviations, let’s accept that as an unavoidable fact of life and just document them and JUSTIFY them!!!!

The GMPs MUST be revised and must remove / replace this statement.  #PREVENT is my new movement to switch pharma from reactive to proactive mode.  Deviations should not be accepted as an unavoidable fact of life.  Risk based thinking and control strategies are about analyzing and MANAGING PROCESSES.  Any process is amenable to this – as long as we map it out and spend time on # PLAN – developing a robust process where we didn’t say “ah it’ll be ok – and if there are deviations – well the GMP allow us to mop up.”  Then with the wisdom of King Solomon, those incredibly smart QA Directors write a “risk assessment” and release the DEVIATING product.  Human error, so let it happen again… and again… and again…

Once a deviation has happened and you are trying to justify releasing NON-CONFORMING product, this is NOT RISK BASED THINKING.  It is RISK-TAKING which is a completely different kettle of fish (in this case stinking fish)!  At the very least can regulators (calling out PIC/s here as I believe it started with them) STOP asking for a risk assessment which should be proactive and #PREVENT and call it what it is – a product impact assessment.  Gosh – even for me… what a RANT!  (Karen stop shouting – all those capital letters).  Of course that’s the beauty of a blog – you can run with it and let it do whatever it wants.

Some conclusions then:

One of the primary purposes of a QMS is to #PREVENT bad things from happening, by using risk based thinking, by #PLAN, DO, CHECK, ACT = control strategy per process.

A MATURE quality system #PREVENTs!

GMP conformance CAN be integrated and the system still be effective but we should be aware that releasing ANY batch with an associated deviation is a sad and essentially bad thing to do.  Sometimes, in order to avoid a genuine shortage which is a greater evil for the patient, we may HAVE to release a non-conforming batch.  That may on rare occasions be the right thing to do (they are not currently rare).  NEVER should we deceive ourselves into believing that this is the preferred or default state.  We do it only after the system failed to #PREVENT.

What other stumbling blocks have industry AND regulator placed in the way of an effective and foundational quality system?

In the previous blog I included two updates:

  • ICH Q12: Technical and Regulatory Considerations for Pharmaceutical Product Lifecycle Management
  • PIC/s draft guidance: How to Evaluate / Demonstrate the Effectiveness of a Pharmaceutical Quality System in relation to Risk-based Change Management

These documents, which apparently are much needed, are nevertheless new and additional hurdles and therefore stumbling blocks for industry.  FDA has been talking of a vision of an agile manufacturing organization – can we ever be agile if implementing changes requires ICHQ12 and the PIC/s draft guidance?  I mean how many changes have you had to make in your QMS as a result of Covid.  Plexiglass barriers to enforce distancing in offices and manufacturing and laboratory areas is just one part of it?  Masks, staggered working hours, other?  Did that go through the change control process and how long did it take and how well was it documented and controlled?  I hope it was fast!

My vision for 2020 was to implement P-D-C-A for myself.

Every action that is taken during 2020 and thereafter, will be considered and planned.  (P-D-C-A) Implementation will be according to what was planned OR, if what was planned turns out not to be the requirements, then the requirements will be officially changed, people who need to know will be notified and the action will be planned all over again prior to implementation.

As of August, we (my husband and I and my mother) had to move out of our homes (Plan: we sold them and bought in another city), and as our new places weren’t ready, we had to rent a furnished place.  We are all together for now, because we are a “Covid Bubble group” – so all the careful planning which left several spare months for completion of our project – failed!  We did move, but are rather stuck living out of suitcases with 95% of our belongings in storage.  But we are ok and well as I hope all of you reading this are too.  I couldn’t come to Denmark now, when I was supposed to be there – more Covid fallout.  I pray that by March this will be behind us – I suspect it won’t be totally.  I also pray that the people I know and those each of you know who are currently battling Covid, will make it through.  Those of us who are healthy are blessed – whatever the restrictions.  Let us acknowledge it and in appreciation do a kind deed for a neighbour or friend, or phone someone who lives alone.  People are soooo lonely.

I hope to see you all very soon and send you my very best wishes.

# PREVENT – WEAR YOUR MASK WHENEVER YOU GO OUT – please… and stay safe.

Karen

Gentænkning af drug development – hvor og hvornår kan Big Data, AI og real world evidence disrupte drug development.

Af Tove Holm-Larsen, MSc, PhD, CEO Pharma Evidence & Silvi.ai

Pharma har længe arbejde ud fra den klassiske drug development proces, hvor et spændende molekyle bliver præ-kliniske undersøgt, hvorefter det bliver testet i fase 1 til fase 3, for endeligt at blive sendt til vurdering hos de regulatoriske myndigheder (se figur 1). Processen har i mange år resulteret i lancering af omkring 30-50 nye medicintyper i USA per år.1

Figur 1: Den klassiske drug development proces

I et nyt review2 af pris og tid for drug development fandt Wouters og Luyten, 2020, at der er 3-32% chance, for at et molekyle går hele vejen fra Phase 1 til accept hos FDA. Den helt store forskel ligger i de terapeutiske områder, hvor onkologi ligger helt i bund (3,4%), mens kliniske studier indenfor ophthalmologi (32,6%) har langt større chance for at blive til et reelt lægemiddel (se figur 2).

Figur 2.  Procent chance for at udvikle et lægemiddel per finaliseret drug development fase.

Der er altså forbundet med en kæmpe økonomisk risiko at udvikle medicin. Ifølge Wouters og Luyten, 2020 så kostede det i gennemsnit 319 millioner US$ at udvikle et molekyle til et lægemiddel fra 2003 til 2020, hvis man ikke indregnede mislykkedes studies. Hvis risikoen for mislykkedes studier derimod blev indregnet, så lå prisen helt oppe på 985 US$ millioner per molekyle (median pris).

Der er derfor i høj grad brug for at disrupte drug development processen og forsøge et mere proaktivt datadrevent udviklingsdesign, for at minimere antallet af mislykkedes studies.

Både FDA og EMA har erkendt, at der er brug for at tænke kreativt, og begge institutioner har derfor udsendt en lind strøm af frameworks og guidelines indenfor brugen af real world data og kunstig intelligens i de senere år. En række af disse kan findes i figur 3.

Figur 3.  Frameworks, visioner og guidelines fra FDA og EMA ang. brugen af AI, Big Data og Real world data.

  FDA   EMA
AI & Big data Artificial Intelligence and Machine Learning in Software as a Medical Device: https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-and-machine-learning-software-medical-device   EMA’s overall vision on use of Big Data, Real World data and AI:   https://www.ema.europa.eu/en/documents/other/hma-ema-joint-big-data-taskforce-phase-ii-report-evolving-data-driven-regulation_en.pdf   https://www.ema.europa.eu/en/documents/regulatory-procedural-guideline/ema-regulatory-science-2025-strategic-reflection_en.pdf    
Real world data Overall framework for FDA’s real-world evidence program https://www.fda.gov/media/120060/download   Description of document submission: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/submitting-documents-using-real-world-data-and-real-world-evidence-fda-drugs-and-biologics-guidance    

 

Åbningerne fra EMA og FDA giver en lang række muligheder for at øge farten på drug development. Figur 4 giver et overblik over nogle af de nye muligheder.

Figur 4. Big data og AI muligheder for at øge sandynligheden for at et klinisk studie lykkes.

Nogle af de mest interessant og lovende Big Data/Real World Data-ideer er efter min mening muligheden for at lave ’dry run’ eller i single arm studier en reel ’kunstig arm’. Ideen er at trække data på den nuværende standardbehandling direkte fra patient-journalerne. Derved får man overblik over nuværende effekt og bivirkninger, men man får samtidig også mulighed for at undersøge om alder, følgesygdomme, køn etc giver forskelle i effekt og bivirkninger.

Et ’dry run’ kan bruges til at informere designet af det kliniske studie fx med hensyn til, om der skal ændres på inklusion eller eksklusions kriterier – eller om der er specifikke grupper med add-on medicin eller add-on symptomer, som lader til at opføre sig overraskende, og som derfor måske bør ekskluderes fra studiet.

På samme måde er målinger direkte på patienterne via apps og sensorer en super spændende mulighed for at følge patienterne i tiden efter behandling og for alvor lave datadrevne værdibaseret betalingsaftaler, hvor myndighederne udelukkende betaler for reel effekt.

Vi har kun lige set starten på de ændringer Big Data, Real World Data og AI vil medføre indenfor drug development. De høje medicinpriser har skabt et maksimalt pres på en ellers konservativ medicinalbranche for at tænke nyt. Hurtigt.

Referencer:

  1. https://www.fda.gov/drugs/new-drugs-fda-cders-new-molecular-entities-and-new-therapeutic-biological-products/novel-drug-approvals-2019.
  2. Wouters and Luyten, Estimated Research and Development Investment Needed to Bring a New Medicine to Market, JAMA. 2020;323(9):844-853. doi:10.1001/jama.2020.1166

Valideret dataoverførsel

Inspireret af den nye EMA ”Notice to sponsors on validation and qualification of computerized systems used in clinical trials” udgivet april 2020, vil jeg gerne give et kort indblik i en af de mere oversete detaljer indenfor laboratorie- eller produktionsmiljøer: Valideret overførsel af data mellem systemer. I denne artikel vil jeg forsøge at dække det regulatoriske grundlag for valideret dataoverførsel, beskrive hvilke problematikker og udfordringer man kan komme ud for, samt lidt om hvordan man kan inspicere overførsel af data mellem systemer.

Hele pointen ved en valideret dataoverførsel er naturligvis at man skal kunne stole på sine data. Data man ikke stoler på, har ingen værdi. I tillæg hertil er det et af myndighedernes nyeste fokusområder, både fordi der er kommet mange nyere guidelines på området og fordi det er et noget forsømt emne i industrien.

Udfordringerne ligger typisk i, at man skal vide noget om hvordan data bevæger sig rundt mellem forskellige systemer, samtidig med man skal have en forståelse for IT og datasikkerhed. Det betyder i realiteten at det skal være en QA-person med indgående kendskab til datamønstre i virksomheden, og IT-forståelse, for at man kan gennemskue hvilke udfordringer man har i virksomheden.

Men hvad er det nu egentlig myndighederne kræver? Her er et par eksempler:

Regulatory reference Regulatory requirement text
EudraLex, vol. 4, annex 11 European Good Manufacturing Practice (GMP) guidelines, IT Version 2011.06.30 Section 4.8 If data are transferred to another data format or system, validation should include checks that data are not altered in value and/or meaning during this migration process.
PIC/S GUIDANCE PI 011-3 GOOD PRACTICES FOR COMPUTERISED SYSTEMS IN REGULATED “GXP” ENVIRONMENTS Version 2007.09.25 Section 19.3 The examination of the procedures and records should assure that the following basic requirements are satisfied: Measures are needed to ensure the validated recovery of original information and data following back up, media transfer, transcription, archiving, or system failure.
PIC/S PI 041 1 Draft 3 Good practices for data management and integrity in regulated GMP/GDP environments Version 2018.11.30 Section 5.5.1 Data risk assessment should consider the vulnerability of data to involuntary alteration, deletion, loss or re-creation or deliberate falsification, and the likelihood of detection of such actions. … Control measures which prevent unauthorised activity, and increase visibility / detectability can be used as risk mitigating actions.
PIC/S PI 041 1 Draft 3 Good practices for data management and integrity in regulated GMP/GDP environments Version 2018.11.30 Page 32, Item 1 Interfaces should be assessed and addressed during validation to ensure the correct and complete transfer of data. Interfaces should include appropriate built-in checks for the correct and secure entry and processing of data, in order to minimise data integrity risks. Verification methods may include the use of: Secure transferEncryptionCheck sums Where applicable, interfaces between systems should be designed and qualified to include an automated transfer of GxP data.
Medicines & Healthcare products Regulatory Agency (MHRA)  ‘GXP’ Data Integrity Guidance and Definitions Version 2018.03 Section 6.8 Data transfer should be validated. The data should not be altered during or after it is transferred to the worksheet or other application. There should be an audit trail for this process. Appropriate Quality procedures should be followed if the data transfer during the operation has not occurred correctly.

Som det fremgår af ovenstående myndighedskrav, er det som altid en forventning at man sikrer dataintegritet, herunder at dataoverførsler er valide.

Den store udfordring er så at der findes ufatteligt mange dataoverførsler i et moderne system. Mange af overførslerne er automatiserede, men udfordringerne med at implementere en validerbar overførsel er store. Bl.a, er etablering af en fuldstændig og tilstrækkelig audit trail på filoverførsler

Eksempel

En virksomhed ønsker at flytte sine data fra en maskine (det være sig et stykke laboratorieudstyr eller en produktionsmaskine) der befinder sig på et dedikeret netværk (der hvor laboratorie eller produktionsudstyr er tilknyttet), op til et ERP-system der befinder sig på det korporale netværk (der hvor alle kontor PC’erne med Word og Excel befinder sig).

Dataoverførslen består af flere operationer. Først og fremmest skal data overføres fra det dedikerede netværk over på det korporale netværk. I reglen har der været IT folk inde over sammenhængen imellem de 2 netværk, og de har for at beskytte det dedikerede netværk mod hackere, virus og andre ondsindede sager, sørget for et teknologiskift mellem de 2 netværk. Det betyder de 2 netværk ikke hænger sammen på en måde så man kan kopiere en fil direkte, men skal typisk skrive filen til en server der har 2 netværkskort, som ikke kan snakke sammen (dette kaldes en DMZ). Herfra skal så en anden mekanisme kopiere filen videre over på et passende sted hvor ERP-systemet kan læse den.

Det kan være vores fil hedder log20200412143503. Da man gerne vil have filen liggende på et bestemt sted i ERP-systemet, skal man nu omdøbe filen til noget mere passende for at ERP-systemet kan ”gætte” hvor filen skal placeres. Nu omdøber vi derfor filen til et mere passende filnavn, som f.eks. TAG510A_LOG_20200412_143503. Herefter griber et program filen og lægger den ind i ERP-systemet under logfiler tilknyttet tag nummer 510A.

Hvis man ser på den moderne tids cloudløsninger, kan man hurtigt tænke sig denne situation garneret med en ekstern ERP-leverandør der ligger i skyen, en ekstern IT virksomhed til at levere netværksydelsen samt et antal eksterne leverandører af IT/automatikløsningen til at starte dataover­førs­len, ændre filnavn, flytte data videre i systemet osv…

ret så kompliceret at implementere.

Som det fremgår af dette eksempel, findes der både flere dataoverførsler og endda en omdøbning af data. Først og fremmest er det værd at overveje følgende paradigme: Hvis man omdøber en fil uden at kontrollere om indholdet er det samme, er det så en valid dataoverførsel?

Et af de vigtigste formål med myndighedernes krav til dataintegritet er at man ikke u-opdaget kan manipulere data. Et indlysende sted at manipulere data (f.eks. ved at udskifte en fil med en anden) ville være under en omdøbning. Det giver således særdeles god mening at kontrollere at dataoverførslen fra log20200412143503 til TAG510A_LOG_20200412_143503 er sket korrekt, og at indholdet er kontrolleret til at være identisk. Denne kontrol skal naturligvis også ende i en valideret audit trail.

Dataoverførsel

Et andet ”smart sted” at ændre i sine data ville være i teknologiskiftet mellem det dedikerede netværk og det korporale netværk, og eftersom denne dataoverførsel typisk består af mere end én kopimekanisme, hvilket betyder at audit trail for denne dataoverførsel også er særdeles vigtig.

Det er naturligvis ikke alene frygt for manipulation af data der driver dette. Det er i realiteten mere væsentligt at man kan stole på sine data, og at man ved at data er læsbare. Selv med en marginal risiko for at data ikke kan læses, mister data en væsentlig andel af sin brugsværdi.

Man skal ligeledes huske at en dataoverførsel betyder at ”originalen” fjernes fra der hvor den lå tidligere. Hvis man laver en dataoverførsel, er det derfor vigtigt at kontrollere filen på den nye placering, op imod den originale fil, før man sletter den originale fil.

Backup

Genetablering af data er et andet sted hvor snyd vil være indlysende, og derfor under myndighedernes lup. Hvis man forestiller sig at man gerne ville have nogle data til at ”gå væk” og erstatte dem med andre data, vil en backup man manipulerer være næsten ”usynlig”, hvis man ikke har en metode til at validere overførslen fra maskine til backup og fra backup til maskine. Vigtigst er dog nok sammenligningen mellem den backup der er de oprindelige data, og de data man vil genetablere fra sin backup. Dette kan gøres f.eks. via audit trail dokumentation af at indholdet på backupmediet/drevet ikke er ændret, eller ved sammenligning af de 2 datasæt med et entydigt positivt resultat.

Cloud

”Cloud løsninger” betyder i realiteten blot at det ikke er ens egen organisations server dataserver, men en anden organisations. Både egne servere og ”cloud servere” kan stå i Indien eller Kina, og i princippet drives af de samme folk. Men taler man pludselig om eksterne leverandører, kommer der et nyt lag af kompleksitet ovenpå.

Hvis man forestiller sig at ens labdata stilles til rådighed fra et kontraktlaboratorie via en filoverførsels service (f.eks. en gammel svend af slagsen ”FTP” – som i øvrigt findes i en anbefalelsesværdig version af slagsen, kaldet SFTP – S som i ”Safe”), er det måske en god idé at undersøge hvem der kan læse data og at der er audit trail på hvem der tilgår disse (så der ikke er falske og manipulerbare data i omløb), samt at der ikke er mulighed for at lægge data tilbage.

Data ligger hos et kontaktlaboratorie. De vigtige resultater af de udførte klinikforsøg der afgør virksomhedens fremtid, ligger i disse data. Data bliver hentet fra laboratoriet, og er resultaterne rigtigt gode, på nær et enkelt sæt forsøgs data, der potentielt kunne så tvivl om ens produkt.

”Heldigvis” har ingen undersøgt den dataoverførsels service der bliver benyttet, hvorved data kan ”forbedres” og uploades til kontraktlaboratoriets server igen.

En ny download af de forbedrede data kan nu downloades dagen efter, endda med audit trail for den udførte download, og investor kan nu gøres glad (i det mindste til den rette sammenhæng bliver afsløret).

Her kan jeg lige give et ”real life” eksempel på risikoen man skal forholde sig til:

Konklusion

Implementering af valid dataoverførsel er ikke svært, blot man tænker sig om, og overvejer hvor risikoen (eller muligheden) for manipulation er til stede. Det vil være disse steder myndighederne interesserer sig for, og det bør vi som ansvarlige virksomheder også gøre. Dokumenterbar valid dataoverførsel øger desuden sandsynlig­heden for at data er læsbare betragteligt.

Utroværdige, ulæselige eller blot usikre data er værdiløse !

Corona dagbog fra Riga

For en masse mennesker i hele verdenen har de senere måneder medført massive forandringer i deres hverdag pga. COVID-19 Lock Down.
Vi endte alle på forskellig vis i COVID-19 sumpen og hverdagen blev forandret, men hvad skete der så egentlig for den enkelte, hvad virkede og hvad virkede ikke …? 

Med udgangspunkt i hvordan COVID-19 ramte mig og min, dagligdag,  vil jeg opfordre jer til at skrive et par ord om hvordan jeres liv blev påvirket/er påvirket.

Lidt om min situation: 
Jeg er ny startet, selvstændig konsulent fra 2019 med flere års erfaring som ansat i og konsulent fra Life science industrien og har i dag firma i Danmark. Jeg bor til daglig i den centrale del af Riga, Letland, sammen med min mand og en perserkat i en stor lejlighed, fordi min mand er expatrieret til Letland for Forsvaret i de næste 3-4 år. 
Jeg er således afhængig af åbne grænser for at kunne arbejde i mit firma og rejse ud I verdenen til mine kunder.

Da Lock Down ramte, var jeg i Danmark for at arbejde og have møder med kunder. Midt på motorvejen d. 12./3-.2020 fik jeg besked om fra Riga at Letland nu så hele verdenen som “rød” – DK inklusive – så hvis jeg tog tilbage fredag morgen d. 13/3 som planlagt, hvor det d. 11/3 om aftenen blev proklameret at DK skulle lukke ned fra 13/3 kl. 12….ja, så skulle jeg gå direkte i karantæne på et hospital i 14 dage ved ankomsten. 
Not funny, da mit lettiske ikke er værd at skrive hjem om, og mit russiske sprog er yderst fragmenteret, så jeg besluttede meget hurtigt at forblive i Danmark og undgå den oplevelse. ”Det hele virker lidt over reageret”, tænkte jeg, “men situationen er vel forbedret om 4 uger”, og jeg havde alligevel planlagt at tage retur til DK i påskeferien. De kontrakter, som jeg havde forhandlet om i ugens løb, var nu en saga blot, og audits og inspektioner ville ikke lige blive gennemført – nå ,pyt med det!

Hvad så efterfølgende? Jo, jeg måtte lige få flyttet min flyrejse – og det tog kun 1-2 timer i telefonen, da en masse AirBaltic kunder havde samme dagsorden. Derpå skulle der handles ind. Der manglede bare toiletpapir, køkkenruller, friske varer, fryse varer, dåsemad samt gær på hylderne i Supermarkedet… så det mindede ret så meget om butikkerne i øst Europa før murens fald i 80`rne, men jeg fik dog de fleste ting jkøbt ind og beredte mig så på Lock Down.

Lørdag frokost d. 14/3 begyndte jeg at blive små skidt. Jeg frøs, følte mig slatten og træt/ slap og der voksede ligesom en stor klump i halsen. Jeg blev hæs, men jeg havde ikke ondt nogen steder og var ikke snottet. Jeg var træt, og benene var gummiagtige så jeg endte med at sove på sofaen om eftermiddagen.
Lørdag aften fik jeg feber – omkring 38,5 – begyndte at hoste lidt og gik til sengs. Søndag morgen var temperaturen steget til 39,3 og nu hostede jeg ret så meget. Sådan fortsatte det hele dagen søndag. Mandag hostede jeg mere, blev nemt stakåndet og temperaturen var uændret 39,3…av, kan det mon være Corona`n? Der havde været mange, som hostede på færgen fra Klaipeda til Karlshamn og inkubationstiden kunne godt passe. Jeg ringede sidst på dagen til vagtlægen, efter kraftig opfordring fra manden, som fortsat sad i Riga, men jeg kunne ikke blive Corona testet, da jeg langtfra var syg nok til det. Jeg fik at vide af vagtlægen at det enten ville blive bedre torsdag- fredag (6.-7. døgn efter de første symptomer) eller så ville jeg blive mere syg og gå i fase II, og så skulle jeg kontakte dem igen. …nå, tak for kaffe – men skidt …der er en god grund til at jeg sjældent bruge tid på at gå til læge! 
Jeg blev heldigvis bedre i løbet af fredag d. 20/3 og mandag var jeg klar til at gå lidt udenfor i haven igen, selvom der gik et par uger inden jeg blev klar til andet end at hænge ud i solen- og jeg ved fortsat ikke om det var Corona’ n, der ramte.

I forbindelse med alt dette I DK,  besluttede manden sig nu for at tage katten under armen og drage til DK i bil for at arbejde derfra stedet. Jeg var syg i DK og Forsvaret skulle alligevel i Lock Down i Letland, og grænserne over hele Europa var ved at lukke, så det virkede fornuftigt. Han fik en billet via Ventspils til Sverige tirsdag aften, men den blev aflyst næsten inden den var fremsendt, da Letland endte med at stoppe ALT trafik inkl. færger, busser, fly, toge etc.  Han fik så en billet fra Klaipeda i Litauen onsdag aften kl 21, men var grænsen åben? Han rejste på en NATO travel order, og måtte køre 120 km’s omvej for at nå frem til færgen udover de sædvanlige 310 km, da den normale motorvejs overgang var lukket, men kom dog igennem og nåede færgen til Sverige….så langt så godt efter nogle dages uvished.

Efter d. 20/3 havde vi næsten 2 måneder i Danmark – mere eller mindre som alle andre. 
Vi arbejdede som alle andre hjemmefra i det omfang, hvor arbejde var muligt og ikke krævede tilstedeværelse. Alt arbejde kørte via en solid fiberforbindelse. Vi anvendte flere telefoner på samme tid, da der blev talt meget med kollegaer/ kunder, venner og familie rundt omkring i verdenen. Arbejdsmæssigt afholdte jeg Skype møder, underviste som klasse eller direkte skærm undervisning i MS Teams, i andre tilfælde som PowerPoint undervisning i Skype. Begge dele fungerede fint og trænings certifikater blev underskrevet via DocuSign eller Acrobat eller blev ændret til screen dump fra MS Teams/Skype med præsentationen vedlagt, og den enkelte deltager fik det i sin træningsmappe.

Hjemmearbejde var for mig effektivt, da der ikke var distraktioner i form af folk, der ønskede sparring, små forstyrrelser eller sociale behov, der skulle dækkes.

Socialt havde vi drinks aftener via Facetime/Skype med venner i andre dele af DK, i Riga og i Beirut, der osse var i Lock Down og for sidstnævnte by´ vedkommende var situationen langt værre end hos os, fordi der var/er regulært udgangsforbud visse dele af døgnet i Beirut.

Hvad virkede/ virkede ikke? 
Undervejs virkede det rigtig godt at vi havde mere tid i daglig dagen og fik sovet bedre og mere, ligesom vi havde bedre tid til at cykle 25-40 km 3-4 gange om ugen over et par timer. Vi talte faktisk osse mere sammen. uha da da ..og lavede mere varieret mad. Jeg havde en generel følelse af at være mere effektiv på alle måder, fordi der ikke var så meget transport.

De mindre positive konsekvenser var manglen på fysisk samvær med folk udenfor husstanden, herunder aflysning af planlagte fester, spontaniteten i tage ud og spise frokost, køre et sted hen og spise en is, eller have middage med vennerne, samt afstanden til alt og alle. Især det faktum, at det simpelthen ikke gik at se en del af familien i Jylland pga. høj risiko for alvorlig følgesygdom ved evt. COVID-19 infektion, har været og er forsat træls, så også i den sammenhæng var face time flittigt i brug.

Lige nu er vi i karantæne i 14 dage her i Riga efter at have rejst retur til Letland – og det er kedeligere her, fordi vi slet ikke må gå ud eller have fysisk kontakt til omverdenen. Indkøb klares som i Danmark via nettet med levering dagen efter.

Det står dog klart for mig at den daglige transport ind til et arbejdssted er massivt spild af både arbejds- og fritid, generelle ressourcer i form af lokaler/ faciliteter/ veje- og transport ressourcer, og alt dette har faktisk en stor og uhensigtsmæssig miljøpåvirkning.

Det faktiske og fysiske arbejdssted vil nok fortsat være her en tid endnu, fordi mange vil savne at se kollegaerne, holde møder ansigt til ansigt, det sociale islæt m.m, men fravær af et fastlagt fysisk arbejdssted er helt sikkert en god måde at reducere omkostningerne på.
Den største forhindring for forsat mere hjemmearbejde ligger i vanetænkning, IT infra struktur problemer i form af dårlig hastighed og sikkerhed, manglende selvledelse, og stive hjemmearbejdsmiljø regler i bredeste forstand. Hos såvel firmaerne som fagforeningerne. Som selvstændig er det heldigvis noget, som jeg kan påvirke i positiv retning – og især i disse tider er jeg utrolig glad for at jeg ikke er underlagt nogle firma bestemmelser om at skulle være et bestemt sted,


Lad os vide hvordan du oplevede det.…?   

Hilsener fra Riga  – vh Inger Drengsgaard, Ejer og Konsulent – Ways2Compliance

Karen Ginsbury’s Quality Blog #2

Well, Well, (not so) Well!

Welcome to 2020 Blog #2.  I just reread #1.  Written at the beginning of January it talked about visual acuity… and mature quality management systems, using technology, statistical process control and planning to ensure a reliable supply of drugs manufactured at each facility.  How certain I was that 2020 would carry on just like 2019… more of the same sprinkled with a  little improvement here and there…

Who had heard of Covid-19 in early January.  Like so many others, I had trips scheduled around the world for the rest of the year, and was busy doing what I do.  We heard of drug shortages and yet, even with the congressional report identifying logistical and regulatory challenges as making it difficult to recover after a supply chain disruption… were any of your company’s Covid ready?
Any of you got business continuity / disaster recovery plans which address pandemics? (I wonder how many of you have such plans in place at all – never mind addressing pandemics…).  As we gradually emerge from lockdown what kind of shortages are we likely to encounter?  Starting materials, components, or down to the basics… toilet paper for employees, eggs and flour for the canteen? Over 60’s not allowed out and our workforce doing the shopping for them? Social distancing thinning out the production lines?  SHORTAGES of FACEMASKs and cleanroom clothing because you and I know that the Covid 19 suits are Tyvek™ and if the world is short on those for ICU staff… pharma will be rather low on the list of those who can purchase them.

Oh where to start? Risk mitigation – will regulators allow relaxing of some accepted industry practice in lower grade areas?  Will those of us who routinely used face masks in grade D or C areas reconsider at least as a temporary measure?  Can we rethink “over-design” of clothing.  What about gloving practices?  Double gloving?  TRIPLE gloving?  We may find ourselves lucky to be able to allow one pair per entry for sterile gloves and may need to consider using non-sterile under gloves…IF, we can purchase those at all.  I may just add, that for the past month, no (non sterile) latex gloves, powdered or not, have been available in the stores in Israel where they were a standard item.  I understand there is a global shortage.

Remember Question #2 in the first blog of the year? How close is your Quality System to perfection?  No quality system is perfect – pharmaceutical or other.  Nor is this the desired state since it hinders continuous improvement and progress.  What we need is to define the PURPOSE of a quality system. 

GMPs are NOT a quality system and never were intended to be one.  They are a series of requirements.  If quality is “Meeting all the requirements all the time” we need to do a better job of defining requirements.

I had promised in blog #1 to investigate what a foundational quality system is and if CGMP conformance can be integrated and the system still be effective?  I said I would consider the stumbling blocks which industry AND regulator have, and continue to place in the way of just such a system and ask why other industries, of no less criticality than pharma manage to implement foundational quality systems.

I included two teasers and updates:

  • ICH Q12: Technical and Regulatory Considerations for Pharmaceutical Product Lifecycle Management
  • PIC/s draft guidance: How to Evaluate / Demonstrate the Effectiveness of a Pharmaceutical Quality System in relation to Risk-based Change Management

The teaser was why these documents are both grumpy and happy cats.

I wonder if you came up with your own answers? If so, please write in to IFF and share.

My answer: particularly the PIC/s document – very detailed, micro guidance that will require almost every pharma company to revisit and rewrite their change control policies as well as confusing change control with change management (a different blog topic).  There’s the grump!  On the other hand, the points raised make a GREAT checklist for helping to avoid disasters associated with change.  ICH Q12 – another document another guidance another distraction from the overall picture, another add-on to the existing system rather than an integrated and PROCESS-driven system.  There’s the grump.  BUT, the happy cat: enough of the prayer model – validation, three batches, filed in the archive for the mice to gnaw for 30 years and OOS batches are ok because the process is validated.  NO! the process must work – and lifecycle management acknowledges and plans and integrates changes over the lifecycle constantly checking – remember Plan -Do – Check- Act.

I will end by reminding myself and you of my vision for 2020

Every action that is taken during 2020 and thereafter, will be considered and planned.  (P-D-C-A) Implementation will be according to what was planned OR, if what was planned turns out not to be the requirements, then the requirements will be officially changed, people who need to know will be notified and the action will be planned all over again prior to implementation.

Covid has given us all a bit of a laugh at that – considered and planned?  We didn’t plan a pandemic, we didn’t plan lockdown and I hope and pray that you and your loved ones are safe.  Right now, the only considerations and planning we can do are in line with the instructions we get from our governments.  Many of us are working remotely, doing what we were doing before and with a little more (or strangely without flights and car / bicycle trips) or less time on our hands.  We will need to put recovery plans in place, address lapses in the quality system through massive, government -mandated absenteeism and do the very best we can to ensure uninterrupted supply of life-saving therapies to patients.  May we succeed.

Karen

Reflektioner over “Brexit” og fremtiden for Life Science idustrien

Så er “Brexit” en realitet og Storbritannien har officielt forladt EU efter 47 års medlemsskab.

En overgangsperiode der forpligter briterne til at følge EU-regler uden at de har indflydelse på beslutninger og politiske processer i EU, er nu indledt. I løbet af den kommende periode, der oprindeligt var fastsat til 2 år, men nu er svundet ind til 11 måneder, skal der forhandles. Perioden skal give ro til, at parterne kan indgå en aftale om det fremtidige forhold, så et kaotisk, reelt Brexit undgås med udgangen af 2020, og forhandlingsperioden kan forlænges inden 1. juli 2020. Det har den britiske premierminister, Boris Johnson, dog flere gange afvist, og aftale forlængelse blev da også forbudt i lovgivningen efter valget i december 2019. 

Nu skal der så bl. a. forhandles en handelsaftale på plads. Handelsaftaler er komplicerede, hvor detaljerne er afgørende og intet er på plads, før alt er på plads. Den britiske regering har som ambition at forlade EU’s indre marked og toldunion fra 1. januar 2021. Uanset om der foreligger en aftale eller ej.

Hvad er der så i vente for pharma og life science industrien – udover usikkerheden det næste år? 

Ja, det afhænger i høj grad af hvilket exit scenarie, der bliver realiteten – dvs om de bliver EEA medlem, får en Fri handels aftale, en bilateral aftale eller om forhandlingerne ender i en “ingen aftale” scenarie dvs en WTO aftale.

Hvis de bliver EEA medlemmer svarer det til den aftale som Norge har, men det betyder at Storbritannien fortsat skal bidrage til EU budgettet og efterleve de 4 punkter, som de netop har meldt sig ud for at undgå – nemlig fri bevægelighed af mennesker, kapital, varer og services. Hvis EEA aftalen blev implementeret, vil EU frigivne lægemidler og medicinsk udstyr antagelig skulle gen-frigives i Storbritannien, ligesom kliniske forsøg skal godkendes nationalt.

Hvis parterne får forhandlet en Frihandels aftale, vil Storbritanien have adgang til hele eller dele af det indre markedet, men prisen, herunder antallet af indrømmelser forlangt af EU vil sandsynligvis blive for høj for Storbritannien. For medicinal produkter vil det fortsat betyde at de har fri bevægelighed uden ekstra afgifter mellem Storbritannien og EU i de aftalte områder, som traktaten gælder.

Hvis de får forhandlet en bilateral aftale på linie med Schweiz, vil de få adgang til dele af EU markedet med den forudsætning at Storbritannien skal efterleve de relevante love og retningslinier – og EU frigivne produkter skal gen-frigives i Storbritanien, ligesom de britiske myndigheder skal give lov til kliniske forsøg. Det kunne også være muligt at give specielle adgange for hurtig passage over grænserne,  men det er er et scenarie, der ikke ligefrem rimer på ønsket om at slippe for EU lovgivning og Bruxelles´ indblanding i Storbritanien’ affærer.

Hvis det ender i WTO scenariet – dvs “ingen handels aftale” ..så gælder at alle varer fra Storbritannien og – alle varer ind i Storbritannien sandsynligvis – vil blive håndteret som alle andre 3. verdens lande  med alt hvad det medfører. Det forudsætter en total adskillelse af EU og Storbritanniens systemer, herunder ikke mindst på alle regulatoriske dele af Life Science området. Hvis Storbritannien får MFN status/ “Most favoured Nation” status, vil der antagelig ikke kommer ekstra afgifter på Life Science produkter produceret i Storbritanien, men der kan sagtens forventes øgede afgifter på komponenter og service ydelser – og man kan forestille sige at Mutual Recognition samarbejde inkl. anerkendelser af frigivelser og GMP inspektioner kan være til forhandling, men det afhænger af om EU vil være villige dertil.

Hvis vi skal dømme efter Boris Johnsons udtalelser, er det nok klogt her tidligt i 2020 at se sig om efter nye kontrakt pakkerier, – laboratorier og -sterilisations udbydere på kontinentet, da det under alle omstændigheder vil tage tid at køre dem igennem en ordentlig suplier kvalificeringsproces.

EU er kendt for at være hårde forhandlere og det er svært at forestille sig at EU skulle have den store interesse i at give Storbritanien en god aftale indenfor et år, da det kunne give andre lande “gode ideer – så ingen aftale er bestemt en realistisk mulighed….men vi må vente at se.

Inger Drengsgaard

Inger Drengsgaard er ejer og konsulent I Ways2compliance