Pas på ikke at blive fanget i skyen

Jeg arbejder som konsulent for en række medicinalvirksomheder, så det er på denne baggrund jeg her udtaler mig her.

Ud med data (i cloud)

Det virker som om trenden er, at store dele af virksomhedernes IT-systemer er ved at blive flyttet ud i skyen. Fordelene er mange, og heldigvis er langt de fleste virksomheder også opmærksomme på de udfordringer, der er i forhold til at lægge ting i skyen: Dataintegritet, procedurer for systemets brug, non-disclosure, backup, valideret status (eller ’validerbarhed’), Service Level Agreements, o.s.v..

Indrømmet, så er mange af opgaverne med at lægge ting ud i skyerne komplicerede, fordi udbuddet af de enkelte cloudydelser er stort og servicen og leverandørernes troværdighed er generelt lige så usammenlignelig som to mobilabonnementer. Samtidig er det at sætte krav til en cloud service et nyt område for mange medicinalvirksomheder, og man misser derfor let et krav eller to. Det kan endda være nogle af de vigtige krav, som enten går ud over compliance, eller ud over driften.

Jeg vil lige slå et slag for et par af de krav som ofte overses i forbindelse med cloudydelser.

Livscyklus

En af de emner der ofte omtales i nye guidelines, er livscyklus. Ethvert system fødes, valideres, gennemgår en lang række af vedligeholdende aktioner for at bibeholde den validerede status, hvorefter de til sidst nedlægges efter mange års tro tjeneste.

Denne livscyklus skal jo nødvendigvis også være gældende selvom et givent system befinder sig i skyen.

Etableringen af et system i skyen er typisk ret let, idet systemet som oftest eksisterer på forhånd. Leverandørerne har også typisk en brugermanual, eller vejledninger så det er let at etablere en procedure for (tænk f.eks. på Microsoft, Google og Amazon). Fakta er at man – selv som stor medicinalvirksomhed – kan have svært ved at få indflydelse på leverandørens serviceaftale med deres underleverandører. Det vilbrugen af systemet.

Det bliver lidt mere kompliceret når man skal sikre dataintegriteten, og bl.a. diskutere backupløsning med leverandøren (vi har jo f.eks. Recovery Point Objective, Recovery Time Objective samt kravet om en dokumenteret test af re-store at skulle bede om). Leverandøren har som oftest enten en (typisk temmelig non-GxP) IT-afdeling der leverer denne service, eller IT-delen er måske baseret på ydelser de køber hos en underleverandør (f.eks. hosting, dataopbevaring, backup o.l.). Man ender under alle omstændigheder hurtigt ud i en diskussion om hvor ens data ligger, eller hvem der har adgang til dem, og om adgangen til systemer og data er dokumenteret på alle niveauer (både til systemet og i den applikation man benytter).

Det kan også være at man er nødsaget til selv at udføre en validering af systemet, eller at systemet (for at dække mere alment brugbare funktioner dedikeret andre brancher end netop medicinalvirksomhed) i praksis ikke helt kan opfylde en medicinalvirksomheds forventninger til dataintegritet.

Alle disse udfordringer er jo til at komme ud over, via velformulerede kravsspecifikationer, gode velskrevne procedurer, lidt manuelt valideringsarbejde og en god aftale om de serviceydelser der er inkluderet i leverancen.

Hvis ens cloud leverandør benytter en underleverandør til nogle af delydelserne, skal man lige være opmærksom på at nogle af disse underleverandører kan være ganske store. Det kan være særdeles svært at få lov til at udføre en audit hos en gigantvirksomhed af en underleverandør  desuden være yderst sjældent at man kan få mulighed for at kontrollere om leverandørens hhv. om underleverandørens interne procedurer overholdes. Nogle gange er der mange niveauer af serviceaftaler ovenpå hinanden, og disse er endvidere skrevet i et juristsprog ingen forstår, så det kan være ganske komplekst. Denne risiko er stor, og derfor også værd at tage stilling til.

Leverandørerne har også gerne en stor opfindsomhed når det kommer til nye funktioner, som lægges på systemet uden at man ved det, og uden der er alt for skarp ændringskontrol. Dette gør vedligehold af det validerede stade, og her under ændringsstyring noget besværligt, men man kan dog som regel aktivt overvåge de versioner systemet har, og lure når der sker ændringer.

Så kommer vi til det sidste element i livscyklus, nemlig nedlæggelsen af systemet. Et cloudsystem ”nedlægges” måske ikke i praksis, fordi leverandøren havde tænkt sig at fortsætte med at levere systemet til andre virksomheder, men for den virksomhed som køber ydelsen, er behovet måske forsvundet, og man ønsker at ”nedlægge systemet” ved at stoppe samarbejdet.

Huskede vi det hele?

MEN så er det her man for alvor skal stå sin prøve. Jeg har netop været udsat for et cloudbaseret dokumentstyringssystem, hvor man godt kunne downloade sine dokumenter enkeltvis, men det var ikke muligt på en struktureret måde at downloade alle dokumenter med tilhørende metadata. Ydermere ville leverandøren med henvisning til at det kørte systemet som et GxP system ikke slette data, metadata og audit trail fra systemet, og give os dokumentation herfor. Leverandøren kunne tilbyde at data blev obsoleted (markeret som slettede) med tiden, men sletning kunne de ikke garantere.

Jeg gætter på at data i leverandørens database ikke var struktureret på en måde så man kunne relatere alle sine data til en specifik kunde. Dette vil gøre at hvis man sletter en specifik kundes data, risikerer man også at slette/påvirke andre kunders data.

Enden på historien blev i dette tilfælde at man skal bibeholde leverandøren og betale for et fortsat samarbejde, backup og service for sine data indtil dommedag, eller i det mindste det tidspunkt hvor man finder det sikkert at blot ignorere de findes. Man indgik en betalingsmæssig kompromisløsning med leverandøren, men kommer trods alt over de næste mange år til at betale et substantielt beløb.

Req. #Cloud requirements
 
63It must be possible in the system unambiguously to distinguish my data from other companies’ data.
64It must be possible to bulk extract all my data in a validated manner, including metadata and audit trail, into a reusable structure.
65The data format must be readable by commercially available application, or a reader must be delivered along with extract data.
66It must be possible to delete my data entirely from the system, including a documented audit trail for the deletion of the data.
 

Figur Eksempel på krav til et cloudsystem

Hvis vi lige holder fast i den ovenfor beskrevne situation, er det ikke kun ved nedlæggelse af data at sletning/udlevering kan have relevans. Det kunne være at man en dag ønskede at skifte til en anden cloudleverandør, at den cloudleverandør man benytter pludselig besluttede at ændre forretningsområde og derved nedlægge systemet, eller at ens cloudleverandør blev ramt af opkøb, konkurs eller lignende. I alle disse situationer ønsker man faktisk at få sine data udleveret på en struktureret måde, incl. metadata, samt dokumentation for den validerede dataoverførsel, til en server efter eget valg.

Mange af de data der bliver produceret indenfor medicinalbranchen, har en levetid på +10 år. En væsentlig del af de laboratoriedata der produceres, har en levetid på +20 år.

Prøv at huske 20 år tilbage, og tænk på de IT-systemer man brugte dengang – Windows 98 på en DOS platform eller Windows NT, WordPerfect, SAP i et grønt monokromt interface der emulerede de gamle amberskærme fra de første PC’eres tid, og IBM Dokumentum i sin mest rå form. Hvordan ser verdenen ud om 20 år, og kan man til den tid få udleveret sine 20 år gamle data, i et læsbart format?  

Summa summarum! Man skal tænke hele livscyklus ind i sine krav, og ligesom med det meste andet i livet, sørge for at der er en ordentlig og pæn exitstrategi – Det gælder også for cloudsystemer.

OH NO!! Grumpy cat in Covid Mask

Karen Ginsbury’s Quality Blog #3

This is 2020 Blog #3.  I made it my business to reread the previous one (ok the truth – I am overwriting – the mother of all bad practices) #2.  Written in June, I suppose I was Covid punch drunk and focused on business continuity / disaster recovery plans and shortages.  By now we have sort of settled into life with Covid – I don’t leave the house without a face mask… unless I forget.  I have a CAPA on that too – masks in every bag, briefcase, pocket…

In earlier blogs I had said we need to define the purpose of a quality system.  GMPs are NOT a quality system and never were intended to be one.  They are a series of requirements.  If quality is “Meeting all the requirements all the time” we need to do a better job of defining requirements.

I have done a little better on defining what a foundational quality system is – with the help of ISO9001:2015…another of my grumpy cats.

The ISO standard makes the crucial point under the section Risk Based Thinking:
“One of the key purposes of a quality management system is to act as a preventive tool”

and this is where the GMPs, industry and regulators have colluded over the years to ensure failure.
What is this collusion?  It is that nasty little part of the GMPS which accepts deviations as an essential part of what we do.

It is true the EU GMPs advise us to avoid deviations as much as possible, unlike 21CFR part 100 which with no such qualifying statement says “Any deviation from the written procedures shall be recorded and justified” or in other words “there will always be deviations, let’s accept that as an unavoidable fact of life and just document them and JUSTIFY them!!!!

The GMPs MUST be revised and must remove / replace this statement.  #PREVENT is my new movement to switch pharma from reactive to proactive mode.  Deviations should not be accepted as an unavoidable fact of life.  Risk based thinking and control strategies are about analyzing and MANAGING PROCESSES.  Any process is amenable to this – as long as we map it out and spend time on # PLAN – developing a robust process where we didn’t say “ah it’ll be ok – and if there are deviations – well the GMP allow us to mop up.”  Then with the wisdom of King Solomon, those incredibly smart QA Directors write a “risk assessment” and release the DEVIATING product.  Human error, so let it happen again… and again… and again…

Once a deviation has happened and you are trying to justify releasing NON-CONFORMING product, this is NOT RISK BASED THINKING.  It is RISK-TAKING which is a completely different kettle of fish (in this case stinking fish)!  At the very least can regulators (calling out PIC/s here as I believe it started with them) STOP asking for a risk assessment which should be proactive and #PREVENT and call it what it is – a product impact assessment.  Gosh – even for me… what a RANT!  (Karen stop shouting – all those capital letters).  Of course that’s the beauty of a blog – you can run with it and let it do whatever it wants.

Some conclusions then:

One of the primary purposes of a QMS is to #PREVENT bad things from happening, by using risk based thinking, by #PLAN, DO, CHECK, ACT = control strategy per process.

A MATURE quality system #PREVENTs!

GMP conformance CAN be integrated and the system still be effective but we should be aware that releasing ANY batch with an associated deviation is a sad and essentially bad thing to do.  Sometimes, in order to avoid a genuine shortage which is a greater evil for the patient, we may HAVE to release a non-conforming batch.  That may on rare occasions be the right thing to do (they are not currently rare).  NEVER should we deceive ourselves into believing that this is the preferred or default state.  We do it only after the system failed to #PREVENT.

What other stumbling blocks have industry AND regulator placed in the way of an effective and foundational quality system?

In the previous blog I included two updates:

  • ICH Q12: Technical and Regulatory Considerations for Pharmaceutical Product Lifecycle Management
  • PIC/s draft guidance: How to Evaluate / Demonstrate the Effectiveness of a Pharmaceutical Quality System in relation to Risk-based Change Management

These documents, which apparently are much needed, are nevertheless new and additional hurdles and therefore stumbling blocks for industry.  FDA has been talking of a vision of an agile manufacturing organization – can we ever be agile if implementing changes requires ICHQ12 and the PIC/s draft guidance?  I mean how many changes have you had to make in your QMS as a result of Covid.  Plexiglass barriers to enforce distancing in offices and manufacturing and laboratory areas is just one part of it?  Masks, staggered working hours, other?  Did that go through the change control process and how long did it take and how well was it documented and controlled?  I hope it was fast!

My vision for 2020 was to implement P-D-C-A for myself.

Every action that is taken during 2020 and thereafter, will be considered and planned.  (P-D-C-A) Implementation will be according to what was planned OR, if what was planned turns out not to be the requirements, then the requirements will be officially changed, people who need to know will be notified and the action will be planned all over again prior to implementation.

As of August, we (my husband and I and my mother) had to move out of our homes (Plan: we sold them and bought in another city), and as our new places weren’t ready, we had to rent a furnished place.  We are all together for now, because we are a “Covid Bubble group” – so all the careful planning which left several spare months for completion of our project – failed!  We did move, but are rather stuck living out of suitcases with 95% of our belongings in storage.  But we are ok and well as I hope all of you reading this are too.  I couldn’t come to Denmark now, when I was supposed to be there – more Covid fallout.  I pray that by March this will be behind us – I suspect it won’t be totally.  I also pray that the people I know and those each of you know who are currently battling Covid, will make it through.  Those of us who are healthy are blessed – whatever the restrictions.  Let us acknowledge it and in appreciation do a kind deed for a neighbour or friend, or phone someone who lives alone.  People are soooo lonely.

I hope to see you all very soon and send you my very best wishes.

# PREVENT – WEAR YOUR MASK WHENEVER YOU GO OUT – please… and stay safe.

Karen

Gentænkning af drug development – hvor og hvornår kan Big Data, AI og real world evidence disrupte drug development.

Af Tove Holm-Larsen, MSc, PhD, CEO Pharma Evidence & Silvi.ai

Pharma har længe arbejde ud fra den klassiske drug development proces, hvor et spændende molekyle bliver præ-kliniske undersøgt, hvorefter det bliver testet i fase 1 til fase 3, for endeligt at blive sendt til vurdering hos de regulatoriske myndigheder (se figur 1). Processen har i mange år resulteret i lancering af omkring 30-50 nye medicintyper i USA per år.1

Figur 1: Den klassiske drug development proces

I et nyt review2 af pris og tid for drug development fandt Wouters og Luyten, 2020, at der er 3-32% chance, for at et molekyle går hele vejen fra Phase 1 til accept hos FDA. Den helt store forskel ligger i de terapeutiske områder, hvor onkologi ligger helt i bund (3,4%), mens kliniske studier indenfor ophthalmologi (32,6%) har langt større chance for at blive til et reelt lægemiddel (se figur 2).

Figur 2.  Procent chance for at udvikle et lægemiddel per finaliseret drug development fase.

Der er altså forbundet med en kæmpe økonomisk risiko at udvikle medicin. Ifølge Wouters og Luyten, 2020 så kostede det i gennemsnit 319 millioner US$ at udvikle et molekyle til et lægemiddel fra 2003 til 2020, hvis man ikke indregnede mislykkedes studies. Hvis risikoen for mislykkedes studier derimod blev indregnet, så lå prisen helt oppe på 985 US$ millioner per molekyle (median pris).

Der er derfor i høj grad brug for at disrupte drug development processen og forsøge et mere proaktivt datadrevent udviklingsdesign, for at minimere antallet af mislykkedes studies.

Både FDA og EMA har erkendt, at der er brug for at tænke kreativt, og begge institutioner har derfor udsendt en lind strøm af frameworks og guidelines indenfor brugen af real world data og kunstig intelligens i de senere år. En række af disse kan findes i figur 3.

Figur 3.  Frameworks, visioner og guidelines fra FDA og EMA ang. brugen af AI, Big Data og Real world data.

  FDA   EMA
AI & Big data Artificial Intelligence and Machine Learning in Software as a Medical Device: https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-and-machine-learning-software-medical-device   EMA’s overall vision on use of Big Data, Real World data and AI:   https://www.ema.europa.eu/en/documents/other/hma-ema-joint-big-data-taskforce-phase-ii-report-evolving-data-driven-regulation_en.pdf   https://www.ema.europa.eu/en/documents/regulatory-procedural-guideline/ema-regulatory-science-2025-strategic-reflection_en.pdf    
Real world data Overall framework for FDA’s real-world evidence program https://www.fda.gov/media/120060/download   Description of document submission: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/submitting-documents-using-real-world-data-and-real-world-evidence-fda-drugs-and-biologics-guidance    

 

Åbningerne fra EMA og FDA giver en lang række muligheder for at øge farten på drug development. Figur 4 giver et overblik over nogle af de nye muligheder.

Figur 4. Big data og AI muligheder for at øge sandynligheden for at et klinisk studie lykkes.

Nogle af de mest interessant og lovende Big Data/Real World Data-ideer er efter min mening muligheden for at lave ’dry run’ eller i single arm studier en reel ’kunstig arm’. Ideen er at trække data på den nuværende standardbehandling direkte fra patient-journalerne. Derved får man overblik over nuværende effekt og bivirkninger, men man får samtidig også mulighed for at undersøge om alder, følgesygdomme, køn etc giver forskelle i effekt og bivirkninger.

Et ’dry run’ kan bruges til at informere designet af det kliniske studie fx med hensyn til, om der skal ændres på inklusion eller eksklusions kriterier – eller om der er specifikke grupper med add-on medicin eller add-on symptomer, som lader til at opføre sig overraskende, og som derfor måske bør ekskluderes fra studiet.

På samme måde er målinger direkte på patienterne via apps og sensorer en super spændende mulighed for at følge patienterne i tiden efter behandling og for alvor lave datadrevne værdibaseret betalingsaftaler, hvor myndighederne udelukkende betaler for reel effekt.

Vi har kun lige set starten på de ændringer Big Data, Real World Data og AI vil medføre indenfor drug development. De høje medicinpriser har skabt et maksimalt pres på en ellers konservativ medicinalbranche for at tænke nyt. Hurtigt.

Referencer:

  1. https://www.fda.gov/drugs/new-drugs-fda-cders-new-molecular-entities-and-new-therapeutic-biological-products/novel-drug-approvals-2019.
  2. Wouters and Luyten, Estimated Research and Development Investment Needed to Bring a New Medicine to Market, JAMA. 2020;323(9):844-853. doi:10.1001/jama.2020.1166

Valideret dataoverførsel

Inspireret af den nye EMA ”Notice to sponsors on validation and qualification of computerized systems used in clinical trials” udgivet april 2020, vil jeg gerne give et kort indblik i en af de mere oversete detaljer indenfor laboratorie- eller produktionsmiljøer: Valideret overførsel af data mellem systemer. I denne artikel vil jeg forsøge at dække det regulatoriske grundlag for valideret dataoverførsel, beskrive hvilke problematikker og udfordringer man kan komme ud for, samt lidt om hvordan man kan inspicere overførsel af data mellem systemer.

Hele pointen ved en valideret dataoverførsel er naturligvis at man skal kunne stole på sine data. Data man ikke stoler på, har ingen værdi. I tillæg hertil er det et af myndighedernes nyeste fokusområder, både fordi der er kommet mange nyere guidelines på området og fordi det er et noget forsømt emne i industrien.

Udfordringerne ligger typisk i, at man skal vide noget om hvordan data bevæger sig rundt mellem forskellige systemer, samtidig med man skal have en forståelse for IT og datasikkerhed. Det betyder i realiteten at det skal være en QA-person med indgående kendskab til datamønstre i virksomheden, og IT-forståelse, for at man kan gennemskue hvilke udfordringer man har i virksomheden.

Men hvad er det nu egentlig myndighederne kræver? Her er et par eksempler:

Regulatory reference Regulatory requirement text
EudraLex, vol. 4, annex 11 European Good Manufacturing Practice (GMP) guidelines, IT Version 2011.06.30 Section 4.8 If data are transferred to another data format or system, validation should include checks that data are not altered in value and/or meaning during this migration process.
PIC/S GUIDANCE PI 011-3 GOOD PRACTICES FOR COMPUTERISED SYSTEMS IN REGULATED “GXP” ENVIRONMENTS Version 2007.09.25 Section 19.3 The examination of the procedures and records should assure that the following basic requirements are satisfied: Measures are needed to ensure the validated recovery of original information and data following back up, media transfer, transcription, archiving, or system failure.
PIC/S PI 041 1 Draft 3 Good practices for data management and integrity in regulated GMP/GDP environments Version 2018.11.30 Section 5.5.1 Data risk assessment should consider the vulnerability of data to involuntary alteration, deletion, loss or re-creation or deliberate falsification, and the likelihood of detection of such actions. … Control measures which prevent unauthorised activity, and increase visibility / detectability can be used as risk mitigating actions.
PIC/S PI 041 1 Draft 3 Good practices for data management and integrity in regulated GMP/GDP environments Version 2018.11.30 Page 32, Item 1 Interfaces should be assessed and addressed during validation to ensure the correct and complete transfer of data. Interfaces should include appropriate built-in checks for the correct and secure entry and processing of data, in order to minimise data integrity risks. Verification methods may include the use of: Secure transferEncryptionCheck sums Where applicable, interfaces between systems should be designed and qualified to include an automated transfer of GxP data.
Medicines & Healthcare products Regulatory Agency (MHRA)  ‘GXP’ Data Integrity Guidance and Definitions Version 2018.03 Section 6.8 Data transfer should be validated. The data should not be altered during or after it is transferred to the worksheet or other application. There should be an audit trail for this process. Appropriate Quality procedures should be followed if the data transfer during the operation has not occurred correctly.

Som det fremgår af ovenstående myndighedskrav, er det som altid en forventning at man sikrer dataintegritet, herunder at dataoverførsler er valide.

Den store udfordring er så at der findes ufatteligt mange dataoverførsler i et moderne system. Mange af overførslerne er automatiserede, men udfordringerne med at implementere en validerbar overførsel er store. Bl.a, er etablering af en fuldstændig og tilstrækkelig audit trail på filoverførsler

Eksempel

En virksomhed ønsker at flytte sine data fra en maskine (det være sig et stykke laboratorieudstyr eller en produktionsmaskine) der befinder sig på et dedikeret netværk (der hvor laboratorie eller produktionsudstyr er tilknyttet), op til et ERP-system der befinder sig på det korporale netværk (der hvor alle kontor PC’erne med Word og Excel befinder sig).

Dataoverførslen består af flere operationer. Først og fremmest skal data overføres fra det dedikerede netværk over på det korporale netværk. I reglen har der været IT folk inde over sammenhængen imellem de 2 netværk, og de har for at beskytte det dedikerede netværk mod hackere, virus og andre ondsindede sager, sørget for et teknologiskift mellem de 2 netværk. Det betyder de 2 netværk ikke hænger sammen på en måde så man kan kopiere en fil direkte, men skal typisk skrive filen til en server der har 2 netværkskort, som ikke kan snakke sammen (dette kaldes en DMZ). Herfra skal så en anden mekanisme kopiere filen videre over på et passende sted hvor ERP-systemet kan læse den.

Det kan være vores fil hedder log20200412143503. Da man gerne vil have filen liggende på et bestemt sted i ERP-systemet, skal man nu omdøbe filen til noget mere passende for at ERP-systemet kan ”gætte” hvor filen skal placeres. Nu omdøber vi derfor filen til et mere passende filnavn, som f.eks. TAG510A_LOG_20200412_143503. Herefter griber et program filen og lægger den ind i ERP-systemet under logfiler tilknyttet tag nummer 510A.

Hvis man ser på den moderne tids cloudløsninger, kan man hurtigt tænke sig denne situation garneret med en ekstern ERP-leverandør der ligger i skyen, en ekstern IT virksomhed til at levere netværksydelsen samt et antal eksterne leverandører af IT/automatikløsningen til at starte dataover­førs­len, ændre filnavn, flytte data videre i systemet osv…

ret så kompliceret at implementere.

Som det fremgår af dette eksempel, findes der både flere dataoverførsler og endda en omdøbning af data. Først og fremmest er det værd at overveje følgende paradigme: Hvis man omdøber en fil uden at kontrollere om indholdet er det samme, er det så en valid dataoverførsel?

Et af de vigtigste formål med myndighedernes krav til dataintegritet er at man ikke u-opdaget kan manipulere data. Et indlysende sted at manipulere data (f.eks. ved at udskifte en fil med en anden) ville være under en omdøbning. Det giver således særdeles god mening at kontrollere at dataoverførslen fra log20200412143503 til TAG510A_LOG_20200412_143503 er sket korrekt, og at indholdet er kontrolleret til at være identisk. Denne kontrol skal naturligvis også ende i en valideret audit trail.

Dataoverførsel

Et andet ”smart sted” at ændre i sine data ville være i teknologiskiftet mellem det dedikerede netværk og det korporale netværk, og eftersom denne dataoverførsel typisk består af mere end én kopimekanisme, hvilket betyder at audit trail for denne dataoverførsel også er særdeles vigtig.

Det er naturligvis ikke alene frygt for manipulation af data der driver dette. Det er i realiteten mere væsentligt at man kan stole på sine data, og at man ved at data er læsbare. Selv med en marginal risiko for at data ikke kan læses, mister data en væsentlig andel af sin brugsværdi.

Man skal ligeledes huske at en dataoverførsel betyder at ”originalen” fjernes fra der hvor den lå tidligere. Hvis man laver en dataoverførsel, er det derfor vigtigt at kontrollere filen på den nye placering, op imod den originale fil, før man sletter den originale fil.

Backup

Genetablering af data er et andet sted hvor snyd vil være indlysende, og derfor under myndighedernes lup. Hvis man forestiller sig at man gerne ville have nogle data til at ”gå væk” og erstatte dem med andre data, vil en backup man manipulerer være næsten ”usynlig”, hvis man ikke har en metode til at validere overførslen fra maskine til backup og fra backup til maskine. Vigtigst er dog nok sammenligningen mellem den backup der er de oprindelige data, og de data man vil genetablere fra sin backup. Dette kan gøres f.eks. via audit trail dokumentation af at indholdet på backupmediet/drevet ikke er ændret, eller ved sammenligning af de 2 datasæt med et entydigt positivt resultat.

Cloud

”Cloud løsninger” betyder i realiteten blot at det ikke er ens egen organisations server dataserver, men en anden organisations. Både egne servere og ”cloud servere” kan stå i Indien eller Kina, og i princippet drives af de samme folk. Men taler man pludselig om eksterne leverandører, kommer der et nyt lag af kompleksitet ovenpå.

Hvis man forestiller sig at ens labdata stilles til rådighed fra et kontraktlaboratorie via en filoverførsels service (f.eks. en gammel svend af slagsen ”FTP” – som i øvrigt findes i en anbefalelsesværdig version af slagsen, kaldet SFTP – S som i ”Safe”), er det måske en god idé at undersøge hvem der kan læse data og at der er audit trail på hvem der tilgår disse (så der ikke er falske og manipulerbare data i omløb), samt at der ikke er mulighed for at lægge data tilbage.

Data ligger hos et kontaktlaboratorie. De vigtige resultater af de udførte klinikforsøg der afgør virksomhedens fremtid, ligger i disse data. Data bliver hentet fra laboratoriet, og er resultaterne rigtigt gode, på nær et enkelt sæt forsøgs data, der potentielt kunne så tvivl om ens produkt.

”Heldigvis” har ingen undersøgt den dataoverførsels service der bliver benyttet, hvorved data kan ”forbedres” og uploades til kontraktlaboratoriets server igen.

En ny download af de forbedrede data kan nu downloades dagen efter, endda med audit trail for den udførte download, og investor kan nu gøres glad (i det mindste til den rette sammenhæng bliver afsløret).

Her kan jeg lige give et ”real life” eksempel på risikoen man skal forholde sig til:

Konklusion

Implementering af valid dataoverførsel er ikke svært, blot man tænker sig om, og overvejer hvor risikoen (eller muligheden) for manipulation er til stede. Det vil være disse steder myndighederne interesserer sig for, og det bør vi som ansvarlige virksomheder også gøre. Dokumenterbar valid dataoverførsel øger desuden sandsynlig­heden for at data er læsbare betragteligt.

Utroværdige, ulæselige eller blot usikre data er værdiløse !

Corona dagbog fra Riga

For en masse mennesker i hele verdenen har de senere måneder medført massive forandringer i deres hverdag pga. COVID-19 Lock Down.
Vi endte alle på forskellig vis i COVID-19 sumpen og hverdagen blev forandret, men hvad skete der så egentlig for den enkelte, hvad virkede og hvad virkede ikke …? 

Med udgangspunkt i hvordan COVID-19 ramte mig og min, dagligdag,  vil jeg opfordre jer til at skrive et par ord om hvordan jeres liv blev påvirket/er påvirket.

Lidt om min situation: 
Jeg er ny startet, selvstændig konsulent fra 2019 med flere års erfaring som ansat i og konsulent fra Life science industrien og har i dag firma i Danmark. Jeg bor til daglig i den centrale del af Riga, Letland, sammen med min mand og en perserkat i en stor lejlighed, fordi min mand er expatrieret til Letland for Forsvaret i de næste 3-4 år. 
Jeg er således afhængig af åbne grænser for at kunne arbejde i mit firma og rejse ud I verdenen til mine kunder.

Da Lock Down ramte, var jeg i Danmark for at arbejde og have møder med kunder. Midt på motorvejen d. 12./3-.2020 fik jeg besked om fra Riga at Letland nu så hele verdenen som “rød” – DK inklusive – så hvis jeg tog tilbage fredag morgen d. 13/3 som planlagt, hvor det d. 11/3 om aftenen blev proklameret at DK skulle lukke ned fra 13/3 kl. 12….ja, så skulle jeg gå direkte i karantæne på et hospital i 14 dage ved ankomsten. 
Not funny, da mit lettiske ikke er værd at skrive hjem om, og mit russiske sprog er yderst fragmenteret, så jeg besluttede meget hurtigt at forblive i Danmark og undgå den oplevelse. ”Det hele virker lidt over reageret”, tænkte jeg, “men situationen er vel forbedret om 4 uger”, og jeg havde alligevel planlagt at tage retur til DK i påskeferien. De kontrakter, som jeg havde forhandlet om i ugens løb, var nu en saga blot, og audits og inspektioner ville ikke lige blive gennemført – nå ,pyt med det!

Hvad så efterfølgende? Jo, jeg måtte lige få flyttet min flyrejse – og det tog kun 1-2 timer i telefonen, da en masse AirBaltic kunder havde samme dagsorden. Derpå skulle der handles ind. Der manglede bare toiletpapir, køkkenruller, friske varer, fryse varer, dåsemad samt gær på hylderne i Supermarkedet… så det mindede ret så meget om butikkerne i øst Europa før murens fald i 80`rne, men jeg fik dog de fleste ting jkøbt ind og beredte mig så på Lock Down.

Lørdag frokost d. 14/3 begyndte jeg at blive små skidt. Jeg frøs, følte mig slatten og træt/ slap og der voksede ligesom en stor klump i halsen. Jeg blev hæs, men jeg havde ikke ondt nogen steder og var ikke snottet. Jeg var træt, og benene var gummiagtige så jeg endte med at sove på sofaen om eftermiddagen.
Lørdag aften fik jeg feber – omkring 38,5 – begyndte at hoste lidt og gik til sengs. Søndag morgen var temperaturen steget til 39,3 og nu hostede jeg ret så meget. Sådan fortsatte det hele dagen søndag. Mandag hostede jeg mere, blev nemt stakåndet og temperaturen var uændret 39,3…av, kan det mon være Corona`n? Der havde været mange, som hostede på færgen fra Klaipeda til Karlshamn og inkubationstiden kunne godt passe. Jeg ringede sidst på dagen til vagtlægen, efter kraftig opfordring fra manden, som fortsat sad i Riga, men jeg kunne ikke blive Corona testet, da jeg langtfra var syg nok til det. Jeg fik at vide af vagtlægen at det enten ville blive bedre torsdag- fredag (6.-7. døgn efter de første symptomer) eller så ville jeg blive mere syg og gå i fase II, og så skulle jeg kontakte dem igen. …nå, tak for kaffe – men skidt …der er en god grund til at jeg sjældent bruge tid på at gå til læge! 
Jeg blev heldigvis bedre i løbet af fredag d. 20/3 og mandag var jeg klar til at gå lidt udenfor i haven igen, selvom der gik et par uger inden jeg blev klar til andet end at hænge ud i solen- og jeg ved fortsat ikke om det var Corona’ n, der ramte.

I forbindelse med alt dette I DK,  besluttede manden sig nu for at tage katten under armen og drage til DK i bil for at arbejde derfra stedet. Jeg var syg i DK og Forsvaret skulle alligevel i Lock Down i Letland, og grænserne over hele Europa var ved at lukke, så det virkede fornuftigt. Han fik en billet via Ventspils til Sverige tirsdag aften, men den blev aflyst næsten inden den var fremsendt, da Letland endte med at stoppe ALT trafik inkl. færger, busser, fly, toge etc.  Han fik så en billet fra Klaipeda i Litauen onsdag aften kl 21, men var grænsen åben? Han rejste på en NATO travel order, og måtte køre 120 km’s omvej for at nå frem til færgen udover de sædvanlige 310 km, da den normale motorvejs overgang var lukket, men kom dog igennem og nåede færgen til Sverige….så langt så godt efter nogle dages uvished.

Efter d. 20/3 havde vi næsten 2 måneder i Danmark – mere eller mindre som alle andre. 
Vi arbejdede som alle andre hjemmefra i det omfang, hvor arbejde var muligt og ikke krævede tilstedeværelse. Alt arbejde kørte via en solid fiberforbindelse. Vi anvendte flere telefoner på samme tid, da der blev talt meget med kollegaer/ kunder, venner og familie rundt omkring i verdenen. Arbejdsmæssigt afholdte jeg Skype møder, underviste som klasse eller direkte skærm undervisning i MS Teams, i andre tilfælde som PowerPoint undervisning i Skype. Begge dele fungerede fint og trænings certifikater blev underskrevet via DocuSign eller Acrobat eller blev ændret til screen dump fra MS Teams/Skype med præsentationen vedlagt, og den enkelte deltager fik det i sin træningsmappe.

Hjemmearbejde var for mig effektivt, da der ikke var distraktioner i form af folk, der ønskede sparring, små forstyrrelser eller sociale behov, der skulle dækkes.

Socialt havde vi drinks aftener via Facetime/Skype med venner i andre dele af DK, i Riga og i Beirut, der osse var i Lock Down og for sidstnævnte by´ vedkommende var situationen langt værre end hos os, fordi der var/er regulært udgangsforbud visse dele af døgnet i Beirut.

Hvad virkede/ virkede ikke? 
Undervejs virkede det rigtig godt at vi havde mere tid i daglig dagen og fik sovet bedre og mere, ligesom vi havde bedre tid til at cykle 25-40 km 3-4 gange om ugen over et par timer. Vi talte faktisk osse mere sammen. uha da da ..og lavede mere varieret mad. Jeg havde en generel følelse af at være mere effektiv på alle måder, fordi der ikke var så meget transport.

De mindre positive konsekvenser var manglen på fysisk samvær med folk udenfor husstanden, herunder aflysning af planlagte fester, spontaniteten i tage ud og spise frokost, køre et sted hen og spise en is, eller have middage med vennerne, samt afstanden til alt og alle. Især det faktum, at det simpelthen ikke gik at se en del af familien i Jylland pga. høj risiko for alvorlig følgesygdom ved evt. COVID-19 infektion, har været og er forsat træls, så også i den sammenhæng var face time flittigt i brug.

Lige nu er vi i karantæne i 14 dage her i Riga efter at have rejst retur til Letland – og det er kedeligere her, fordi vi slet ikke må gå ud eller have fysisk kontakt til omverdenen. Indkøb klares som i Danmark via nettet med levering dagen efter.

Det står dog klart for mig at den daglige transport ind til et arbejdssted er massivt spild af både arbejds- og fritid, generelle ressourcer i form af lokaler/ faciliteter/ veje- og transport ressourcer, og alt dette har faktisk en stor og uhensigtsmæssig miljøpåvirkning.

Det faktiske og fysiske arbejdssted vil nok fortsat være her en tid endnu, fordi mange vil savne at se kollegaerne, holde møder ansigt til ansigt, det sociale islæt m.m, men fravær af et fastlagt fysisk arbejdssted er helt sikkert en god måde at reducere omkostningerne på.
Den største forhindring for forsat mere hjemmearbejde ligger i vanetænkning, IT infra struktur problemer i form af dårlig hastighed og sikkerhed, manglende selvledelse, og stive hjemmearbejdsmiljø regler i bredeste forstand. Hos såvel firmaerne som fagforeningerne. Som selvstændig er det heldigvis noget, som jeg kan påvirke i positiv retning – og især i disse tider er jeg utrolig glad for at jeg ikke er underlagt nogle firma bestemmelser om at skulle være et bestemt sted,


Lad os vide hvordan du oplevede det.…?   

Hilsener fra Riga  – vh Inger Drengsgaard, Ejer og Konsulent – Ways2Compliance

Karen Ginsbury’s Quality Blog #2

Well, Well, (not so) Well!

Welcome to 2020 Blog #2.  I just reread #1.  Written at the beginning of January it talked about visual acuity… and mature quality management systems, using technology, statistical process control and planning to ensure a reliable supply of drugs manufactured at each facility.  How certain I was that 2020 would carry on just like 2019… more of the same sprinkled with a  little improvement here and there…

Who had heard of Covid-19 in early January.  Like so many others, I had trips scheduled around the world for the rest of the year, and was busy doing what I do.  We heard of drug shortages and yet, even with the congressional report identifying logistical and regulatory challenges as making it difficult to recover after a supply chain disruption… were any of your company’s Covid ready?
Any of you got business continuity / disaster recovery plans which address pandemics? (I wonder how many of you have such plans in place at all – never mind addressing pandemics…).  As we gradually emerge from lockdown what kind of shortages are we likely to encounter?  Starting materials, components, or down to the basics… toilet paper for employees, eggs and flour for the canteen? Over 60’s not allowed out and our workforce doing the shopping for them? Social distancing thinning out the production lines?  SHORTAGES of FACEMASKs and cleanroom clothing because you and I know that the Covid 19 suits are Tyvek™ and if the world is short on those for ICU staff… pharma will be rather low on the list of those who can purchase them.

Oh where to start? Risk mitigation – will regulators allow relaxing of some accepted industry practice in lower grade areas?  Will those of us who routinely used face masks in grade D or C areas reconsider at least as a temporary measure?  Can we rethink “over-design” of clothing.  What about gloving practices?  Double gloving?  TRIPLE gloving?  We may find ourselves lucky to be able to allow one pair per entry for sterile gloves and may need to consider using non-sterile under gloves…IF, we can purchase those at all.  I may just add, that for the past month, no (non sterile) latex gloves, powdered or not, have been available in the stores in Israel where they were a standard item.  I understand there is a global shortage.

Remember Question #2 in the first blog of the year? How close is your Quality System to perfection?  No quality system is perfect – pharmaceutical or other.  Nor is this the desired state since it hinders continuous improvement and progress.  What we need is to define the PURPOSE of a quality system. 

GMPs are NOT a quality system and never were intended to be one.  They are a series of requirements.  If quality is “Meeting all the requirements all the time” we need to do a better job of defining requirements.

I had promised in blog #1 to investigate what a foundational quality system is and if CGMP conformance can be integrated and the system still be effective?  I said I would consider the stumbling blocks which industry AND regulator have, and continue to place in the way of just such a system and ask why other industries, of no less criticality than pharma manage to implement foundational quality systems.

I included two teasers and updates:

  • ICH Q12: Technical and Regulatory Considerations for Pharmaceutical Product Lifecycle Management
  • PIC/s draft guidance: How to Evaluate / Demonstrate the Effectiveness of a Pharmaceutical Quality System in relation to Risk-based Change Management

The teaser was why these documents are both grumpy and happy cats.

I wonder if you came up with your own answers? If so, please write in to IFF and share.

My answer: particularly the PIC/s document – very detailed, micro guidance that will require almost every pharma company to revisit and rewrite their change control policies as well as confusing change control with change management (a different blog topic).  There’s the grump!  On the other hand, the points raised make a GREAT checklist for helping to avoid disasters associated with change.  ICH Q12 – another document another guidance another distraction from the overall picture, another add-on to the existing system rather than an integrated and PROCESS-driven system.  There’s the grump.  BUT, the happy cat: enough of the prayer model – validation, three batches, filed in the archive for the mice to gnaw for 30 years and OOS batches are ok because the process is validated.  NO! the process must work – and lifecycle management acknowledges and plans and integrates changes over the lifecycle constantly checking – remember Plan -Do – Check- Act.

I will end by reminding myself and you of my vision for 2020

Every action that is taken during 2020 and thereafter, will be considered and planned.  (P-D-C-A) Implementation will be according to what was planned OR, if what was planned turns out not to be the requirements, then the requirements will be officially changed, people who need to know will be notified and the action will be planned all over again prior to implementation.

Covid has given us all a bit of a laugh at that – considered and planned?  We didn’t plan a pandemic, we didn’t plan lockdown and I hope and pray that you and your loved ones are safe.  Right now, the only considerations and planning we can do are in line with the instructions we get from our governments.  Many of us are working remotely, doing what we were doing before and with a little more (or strangely without flights and car / bicycle trips) or less time on our hands.  We will need to put recovery plans in place, address lapses in the quality system through massive, government -mandated absenteeism and do the very best we can to ensure uninterrupted supply of life-saving therapies to patients.  May we succeed.

Karen

Reflektioner over “Brexit” og fremtiden for Life Science idustrien

Så er “Brexit” en realitet og Storbritannien har officielt forladt EU efter 47 års medlemsskab.

En overgangsperiode der forpligter briterne til at følge EU-regler uden at de har indflydelse på beslutninger og politiske processer i EU, er nu indledt. I løbet af den kommende periode, der oprindeligt var fastsat til 2 år, men nu er svundet ind til 11 måneder, skal der forhandles. Perioden skal give ro til, at parterne kan indgå en aftale om det fremtidige forhold, så et kaotisk, reelt Brexit undgås med udgangen af 2020, og forhandlingsperioden kan forlænges inden 1. juli 2020. Det har den britiske premierminister, Boris Johnson, dog flere gange afvist, og aftale forlængelse blev da også forbudt i lovgivningen efter valget i december 2019. 

Nu skal der så bl. a. forhandles en handelsaftale på plads. Handelsaftaler er komplicerede, hvor detaljerne er afgørende og intet er på plads, før alt er på plads. Den britiske regering har som ambition at forlade EU’s indre marked og toldunion fra 1. januar 2021. Uanset om der foreligger en aftale eller ej.

Hvad er der så i vente for pharma og life science industrien – udover usikkerheden det næste år? 

Ja, det afhænger i høj grad af hvilket exit scenarie, der bliver realiteten – dvs om de bliver EEA medlem, får en Fri handels aftale, en bilateral aftale eller om forhandlingerne ender i en “ingen aftale” scenarie dvs en WTO aftale.

Hvis de bliver EEA medlemmer svarer det til den aftale som Norge har, men det betyder at Storbritannien fortsat skal bidrage til EU budgettet og efterleve de 4 punkter, som de netop har meldt sig ud for at undgå – nemlig fri bevægelighed af mennesker, kapital, varer og services. Hvis EEA aftalen blev implementeret, vil EU frigivne lægemidler og medicinsk udstyr antagelig skulle gen-frigives i Storbritannien, ligesom kliniske forsøg skal godkendes nationalt.

Hvis parterne får forhandlet en Frihandels aftale, vil Storbritanien have adgang til hele eller dele af det indre markedet, men prisen, herunder antallet af indrømmelser forlangt af EU vil sandsynligvis blive for høj for Storbritannien. For medicinal produkter vil det fortsat betyde at de har fri bevægelighed uden ekstra afgifter mellem Storbritannien og EU i de aftalte områder, som traktaten gælder.

Hvis de får forhandlet en bilateral aftale på linie med Schweiz, vil de få adgang til dele af EU markedet med den forudsætning at Storbritannien skal efterleve de relevante love og retningslinier – og EU frigivne produkter skal gen-frigives i Storbritanien, ligesom de britiske myndigheder skal give lov til kliniske forsøg. Det kunne også være muligt at give specielle adgange for hurtig passage over grænserne,  men det er er et scenarie, der ikke ligefrem rimer på ønsket om at slippe for EU lovgivning og Bruxelles´ indblanding i Storbritanien’ affærer.

Hvis det ender i WTO scenariet – dvs “ingen handels aftale” ..så gælder at alle varer fra Storbritannien og – alle varer ind i Storbritannien sandsynligvis – vil blive håndteret som alle andre 3. verdens lande  med alt hvad det medfører. Det forudsætter en total adskillelse af EU og Storbritanniens systemer, herunder ikke mindst på alle regulatoriske dele af Life Science området. Hvis Storbritannien får MFN status/ “Most favoured Nation” status, vil der antagelig ikke kommer ekstra afgifter på Life Science produkter produceret i Storbritanien, men der kan sagtens forventes øgede afgifter på komponenter og service ydelser – og man kan forestille sige at Mutual Recognition samarbejde inkl. anerkendelser af frigivelser og GMP inspektioner kan være til forhandling, men det afhænger af om EU vil være villige dertil.

Hvis vi skal dømme efter Boris Johnsons udtalelser, er det nok klogt her tidligt i 2020 at se sig om efter nye kontrakt pakkerier, – laboratorier og -sterilisations udbydere på kontinentet, da det under alle omstændigheder vil tage tid at køre dem igennem en ordentlig suplier kvalificeringsproces.

EU er kendt for at være hårde forhandlere og det er svært at forestille sig at EU skulle have den store interesse i at give Storbritanien en god aftale indenfor et år, da det kunne give andre lande “gode ideer – så ingen aftale er bestemt en realistisk mulighed….men vi må vente at se.

Inger Drengsgaard

Inger Drengsgaard er ejer og konsulent I Ways2compliance

Forskerne har fået et fantastisk genetisk værktøj i form af CRISPR

Forskere fra hele verden har kastet sig over en relativ ny genteknologisk metode, den såkaldte CRISPR, som gør det nemt og billigt at klippe og klistre i gener.

Redigering af gener har altid fascineret forskere og aldrig har det været så billigt og nemt at redigere gensekvenser. Udvikling af redigering i gener startede i 1970’erne, hvor det blev muligt at manipulere DNA med enzymer. Styrede ændringer i DNA er bl.a. medvirkende til, at der er blevet udviklet ny medicin (1,2). I årtier har forskere indført ændringer i DNA’et i modelorganismer for at forstå funktionen af bestemte gener og f.eks finde ud af, hvilken rolle specifikke gener spiller for en specifik sygdom.

En organismes genom består af mil- liarder af fire DNA-baser, hvor rækkefølgen af disse baser bestemmer det genetiske udtryk. Stedsspecifikke ændringer i base- sekvensen giver enorme muligheder inden for molekylær biologi, medicin og bioteknologi. Forskerne kan simpelthen klippe og klistre i de humane gener efter forgodtbefindende. Alle kan være med.

Det er nemt og billigt. Fagre nye verden. Denne forskning er noget af det hotteste i øjeblikket (1,2,3).

I de seneste årtier er det gået utrolig hurtigt med redigering i gener. En af de nyeste metoder er CRISPR (udtales crisper), der er en forkortelse for Clustered Regularly Interspersed Short Palindromic Repeats (1).

I et palindrom er DNA-base-sekvensen den samme, hvad enten man læser sekvensen fra den ene eller anden ende. Dette muliggør binding til begge DNA- strenge i mål-DNAét. Sammen med disse palindromiske repeats (gentagne sekvenser) anvendes et DNA-klippeenzym, en såkaldt endonuklease, som kan spalte DNA specifikke steder inde i DNA’et. Ofte anvendes Cas9, men der findes også andre egnede endonukleaser.

Små skridt ad gangen

Som så ofte før ligger der en masse forsøg og iagttagelser bag en ny teknik, inden forskerne får en idé om, hvordan tingene hænger sammen. Allerede i 1987 blev gentagne sekvenser, de såkaldte repeats, observeret i bakterier, men forskerne havde ingen idé om, hvilken rolle disse gentagne sekvenser spiller i bakterierne. I 2006 foreslog forskere, at disse repeats i bakterier havde noget at gøre med bakteriens forsvarssystem mod virus. I 2007 fandt man ud af, at en bakteries resistens over for specifikke virus skyldtes tilstedeværelse af særlige sekvenser mellem repeats i specifikke virus og bakteriens eget DNA , de såkaldte spacersekvenser (2).
I 2010 blev CRISPR/Cas9-systemet identificeret som værende et bakterielt immunsystem, hvormed bakterien kan angribe et virus og spalte dets DNA. For at dette kan fungere skulle der i bakterien være spacersekvenser mellem CRISPR- sekvenserne og bakteriens eget DNA, og man opdagede at disse spacersekvenser skulle matche DNA’et i virusset. Det blev også fundet, at man ved indsættelse af nye sekvenser i bakteriekromosomet, kunne få CRISPR/Cas9-systemet til at fungere som et adaptivt immunsystem (2). Dette var vigtig grundforskning på vejen til at udvikle CRISPR-teknikken.
I 2012 udkom en epokegørende artikel med Jennifer Doudna fra University of California, Berkley og Emmanuelle Charpentier fra Umeå University i Sverige som medforfattere (4). Forskerne påviste, at Cas9 er en endonuklease, der er i stand til at spalte begge DNA-strenge inde i en sekvens (derfor navnet endonuklease), og at specificiteten af denne proces er afhængig af komplementær binding af CRISPR-RNA/DNA til mål-DNA’et. Cas9 udviser 2 endonukleaseaktiviteter, som spalter hver deres komplementære DNA- streng. Princippet i CRISPR/Cas9 blev således påvist i 2012, men der var stadig mange trin før CRISPR-metoden var funktionsdygtig i levende celler.
Især Jennifer Doudna og Emmanuelle Charpentier blev meget berømte for deres forskning. Men forsøgene var udført i reagensglas og ikke i celler.
Næste skridt var selvfølgelig at påvise, at CRISPR/Cas9 kunne fungere i levende celler. Zang og et forskerhold fra Broad Institute, MIT, publicerede i 2013, at de havde fået CRISPR til at virke ved redigering af genomet i dyrkede museceller og humane celler (5). En forskergruppe med deltagelse af ovennævnte Jennifer Doudna publicerede også i 2013, at CRISPR kunne bruges til at redigere DNA i humane celler (6). Der var kamp om at komme først med at få CRISPR til at virke i levende celler. Der var meget på spil ikke mindst økonomisk. CRISPR/Cas9- teknologien har gjort det billigt at ændre i gener. Førhen kostede det 100.000 kr at designe et protein, som kan klippe i DNA på en specifik måde. Med CRISPR/ Cas9 koster det kun 100 kr. Alle kan være med i CRISPR-kapløbet. Man behøver stort set kun almindeligt laboratorieudstyr og en RNA/DNA-sekvens, der kan guide endonukleasen til den ønskede position i mål-DNAét. Sådanne guidesekvenser kan findes i databaser over det humane genom. Det humane genom er klarlagt i alle detaljer i løbet af de seneste 10 år.
Men problemet er, at der klippes i mange andre gener end i det gen, man har til hensigt at ramme. Endonukleasen klipper, hvor sekvensen passer, uanset om det er et forkert sted. Herved opstår de såkaldte utilsigtede mutationer. Hvis man ikke kan lokalisere disse mutationer, kan det betyde, at sekvenserne der fører til mutationer, ikke kan korrigeres. Korrektion af forkerte sekvenser i DNA er ellers en procedure, som forskere i dag er rigtig gode til. Det virker både i enkeltceller i kultur og i organismer. Dette er således ikke problemet. Problemet er, at forskerne i dag ikke kan styre CRISPR-proceduren, hvorved der opstår rigtig mange celler, som ikke kan overleve. Denne celledød er i øjeblikket prisen for den manglende styring af CRISPR-proceduren. Nogle forskere har mere eller mindre opgivet at finde ud af, hvordan CRISPR virker (14). Vi bliver nødt til at leve med denne usikkerhed siger professor Luo og afprøve CRISPR i kliniske forsøg, hvor det afprøves på mennesker med en bestemt sygdom (14). Virker det, så er det godt for disse patienter, men det er ikke sikkert,1⁄2 at det virker på andre patienter med samme sygdom. Vi er nødt til at afprøve ny medicin på denne måde,
siger professor Luo (14). Mennesket er reduceret til at være et forsøgsdyr. Her står diskussionen i øjeblikket. Der er nu taget initiativ til at involvere alle, der har en mening om anvendelsen af CRISPR på mennesker (13). Denne artikel er mit bidrag til en diskussion i Danmark.

Forskere fra hele verden har kastet sig over en relativ ny genteknologisk metode, den såkaldte CRISPR, som gør det nemt og billigt at klippe og klistre i gener.

Hvordan virker CRISPR/ Cas9-systemet?

I laboratorieforsøg med CRISPR/Cas9 anvendes en RNA-guide eller DNA-guide til at genkende og binde til specifikke steder i et mål-gen, hvor der er et match mellem RNA-guiden og mål-DNA’et. I den oprindelige CRISPR-procedure blev RNA/ DNA-guiden udvalgt til at binde til begge strenge i den palindromiske sekvens i mål- DNAét. RNA/DNA-guidemolekylet kan udskiftes med en hvilken som helst RNA/
DNA-sekvens til påvisning af DNA, der kan bindes til dette RNA/DNA. Ved hjælp af oplysninger fra databaser over organismers genom, kan den ønskede sekvens findes, og der kan derefter foretages meget specifikke bindinger af RNA/DNA-guiden til mål-DNA’et, og dermed kan der udføres specifikke klip i DNA’et. Når DNA’et er klippet over med en endonuklease, som f.eks. Cas9, kan der tilføjes eller fjernes stykker af DNA’et, hvorved der sker en ændring af DNA-molekylet. Her kommer det store problem. Cellen har en mekanisme, der hurtigt lukker hullet. Dette sker ikke særlig præcist og der opstår hyppigt fejl.
CRISPR/Cas9-teknikken kan lyde avanceret, men metoden er faktisk langt nemmere og mere effektiv at anvende end tidligere gen-redigeringsteknikker. Desværre opstår der ofte utilsigtede mutationer.
Der har været ufattelig stor interesse for CRISPR/Cas9. Selv om teknikken kun er 6-7 år gammel, er der publiceret utallige videnskabelige artikler med relation til CRISPR.
De meget ansete tidsskrifter Nature og Science kårede i 2013 CRISPR/ Cas9-teknologien til at være blandt de mest betydningsfulde videnskabelige fremskridt i verden. Den bliver anset for at være det vigtigste genetiske værktøj siden opdagelsen af PCR-teknikken, som revolutionerede opformering af DNA-stykker. Dette førte til en hel ny verden af genteknologiske opdagelser (grundforskning) og opfindelser (anvendt forskning).
Men ligesom ved de tidligere genterapi- forsøg, kan der ske uventede genetiske ændringer ved CRISPR/Cas9. Man taler især om ”off-target” effekter, hvor den ønskede ændring f.eks. sker andre steder end der, hvor man havde planlagt det, og hvorved der kan opstå utilsigtede mutationer. I et omfattende studie fra 2017 var ”off-target”-effekter hovedformålet for studiet, for at kunne karakterisere utilsigtede mutationer (7). I studiet opstillede forskerne ved hjælp af gen-databaser en liste over 7444 publicerede hel-genom- sekvenser. Ud fra 30 sygdomsrelaterede DNA-sekvenser lavede man en liste med næsten 3000 sekvenser, som var kendte og havde været udvalgt som guide-RNA i CRISPR/Cas9 til styring af redigering i én af de 30 sygdomme. Herefter undersøgte forskerne, om nogle af de 7444 udvalgte ”normale” sekvenser havde en sekvens,
der afveg fra de forventede sekvenser kendt fra sygdomsrelaterede sekvenser. Forskerne fandt en række varianter, som i levende celler ville påvirke resultatet af et CRISPR/Cas9 relateret forsøg. Hvis disse varianter ligger i gener, der er vigtige for cellefunktioner, f.eks. tumorundertrykkende-gener, kan dette føre til kræft (7). Sådan kan forholdsvis simple metoder medvirke til kræftsygdom.

Mange forskere arbejder på at finde metoder til at løse problemet med utilsigtede mutationer. Sådanne løsninger vil antagelig kunne patenteres og være udgangspunkt for anvendt forskning.

Værktøjer til at undgå ”off- target”-effekter

Cas9-enzymet introducerer som sagt et brud i begge DNA-strenge. Dobbeltbrud i arvemassen er farligt for en celle, og cellen vil straks forsøge at reparere dobbeltbruddet. Ved denne proces kan der opstå mutationer, f.eks indsættelse eller fjernelse af DNA-baser i mål-DNA’et (8,10). En del af disse mutationer kan være fatale for cellen.
Japanske forskere har udviklet en modificeret Cas9, som kun laver brud i én af DNA-strengene. Med den modificerede Cas9 fremkaldte forskerne ét brud i mål- genet og ét i donor-DNA og kunne på denne måde styre ændringer i mål-genet på mere sikker måde (9). Med det modificerede Cas-enzym blev antallet af ”off-target”- hændelser i et forsøg nedsat fra 90% til 5% (9). Denne metode er nu meget udbredt. Der er også udviklet andre metoder, hvormed antallet af ”off-target”-hændelser kan nedsættes. Angrebsvinklerne er ret forskellige i et kapløb om at komme først med en sikker metode. Den første der indleverer en patentansøgning på opdagelsen, ville have de bedste kort på hånden, når patentrettigheder skal afklares om en del år senere. Det er
kendt, at patentbehandlingen bliver meget kompliceret, når opfindelser ligger tæt på hinanden.

En metode, der lokaliserer en utilsigtet mutation i humane gener vil være guld værd

Den 27. juli 2018 publicerede Richardsens forskningsgruppe ved University of California, Berkely, USA en metode til at lokalisere CRISPR-indsættelse af nye DNA-sekvenser i bestemte gener (3). Dette er en epokegørende opdagelse, da kendskabet til dette gør det muligt at lokalisere indsatte sekvenser i genomet. Når mutationen er fundet, har forskerne i mange år haft værktøjer til at rette sådanne mutationer. Men det forudsætter som sagt at man kan lokalisere mutationerne. Problemet med CRISPR opstår, fordi der ved den oprindelige CRISPR-metode kun lokaliseres et meget lille antal af de opståede mutationer, hvis man ikke lige forsker i et gen, hvis ukorrekte udtryk giver ophav til en bestemt sygdom.

I artiklen fra 27. juli 2018 beskriver Richardsen og kollegaer, hvordan det er lykkedes dem at afklare samspillet mellem CRISPR og en bestemt alvorlig og arvelig sygdom, nemlig ”Fanconi anæmi” (3). Fanconi anæmi-pathway involverer 21 gener, som alle er vigtige for at sygdommen kommer til udtryk (3). Opstår der en mutation i blot ét af disse gener, kan knoglemarven ikke danne nye blodlegemer. Med udnyttelse af beskrevne opdagelse kan mutationer i Fanconi anæmi korrigeres og sygdom undgås (3). Her bliver en opdagelse transformeret til anvendt forskning. CRISPR muliggør efter forskergruppens mening korrektion af uønskede mutationer i specifikke gener, der fører til sygdom, f. eks. kræft.

Anvendelser af CRISPR/Cas9- teknologien

Anvendelsesmulighederne af CRISPR/ Cas9 er mange, idet metoden er økonomisk favorabel, og metoden er nem og hurtig. Før anvendte forskerne relativt få typer af modelorganismer, såsom mus og bananfluer. Der har i lang tid været detaljerede procedurer til rådighed til udførelse af genetiske manipulationer i disse modeldyr.
I 2015 skete der noget, der skabte enorm debat. Her annoncerede kinesiske forskere, at de for første gang nogensinde havde modificeret gener i befrugtede humane æg (11). Når genmodifikation udføres på et befrugtet æg, medens det stadig er i enkeltcellestadiet, vil alle celler i det voksne individ have det modificerede arveanlæg, og ændringen vil nedarves. Utilsigtede bivirkninger vil dermed også nedarves.

Kinesernes forsøg med humane befrugtede æg påviste, at det hastede med regulativer på området. Der blev i medierne skrevet om, at designerbabyer snart var på vej. I december 2015 blev der afholdt et vigtigt regulatorisk møde i Washington D.C. med deltagelse af forskere og myndighedsrepræsentanter fra bl.a. USA, Kina og England for at diskutere etiske og videnskabelige problemer og muligheder for regulatoriske tiltag i relation til CRISPR-baseret genom-redigering i det humane genom.

Forskning i udnyttelse af CRISPR fortsatte, men kun på befrugtede æg/ fostre, der ikke var beregnet til implantering i en livmoder. Men blev denne grænse overholdt?

Perspektivering

Med CRISPR/Cas9-teknologien er det som sagt let at redigere gener i celler i kultur. Men metoder til gen-redigering af organismer er stadig under udvikling. Her er et af de store problemer at få det store Cas9-kompleks ind i kropsceller. CRISPR/ Cas9-komponenterne kan injiceres i celler i kultur eller der kan bruges andre kunstige metoder til at få CRISPR/Cas9- komponenterne ind i levende celler. Det siger sig selv, at sådanne metoder ikke kan anvendes til at ændre celler i organer. Der arbejdes også på at nedsætte størrelsen af Cas9-komplekset, så det er lettere at få dette kompleks transporteret ind i levende celler (10).

Det haster med en videnskabelig debat

De mange muligheder og den nemme adgang til ”opskrifter” på CRISPR- procedurer, er alt for farlig for os alle. Selv specialestuderende kan få vejledning (12). Kyndige personer må på en debatside, der netop er oprettet, deltage i alle aspekter af anvendelsen af CRISPR til redigering i det humane genom (13). Det kan ikke overlades til forskere og dem, der anvender forskningsresultaterne kommercielt, at diskutere, hvor grænserne er.

Kilder

  1. Roy, R.R. m.fl. (2018), Nature Biotechnology, ”Multiplexed precision genome editing with trackable genomic barcodes in yeast”, doi:10.1038/nbt.4137, omtalt i https://www.sciencedaily.com/ releases/2018/05/180508102209.htm
  2. Adli, M., (2018), Nature Communications, bd. 9, art.nr.: 1911, “The CRISPR tool kit for genome editing and beyond”, doi:10.1038/ s41467-018-04252-2
  3. Richardson, C.D. m.fl. (2018) Nature Genetics, 50 (8), 1132–1139, “ CRISPR-Cas9 genome editing in human cells occurs via the Fanconi anæmi pathway”, doi:10.1038/s41588-018-0174-0
  4. Jinek, M. m.fl. (2012), Science, 337(6096), 816-21, “A programmable dual-RNA-guided DNA endonuclease in adaptive bacterial immunity”, doi:10.1126/science.1225829
  5. Ran F.A., m.fl., (2013) Nature Protoc, 8(11),2281-2308. “Genome engineering using the CRISPR-Cas9 system”, doi: 10.1038/nprot.2013.143
    6.Jinek,M.,m.fl.(2013),eLife2013;2:e00471, “RNA-programmed genome editing in human cells”, doi:10.7554/eLife.00471
  6. Lessard, S., m.fl. (2017), Proc.Nat.Sci., 201714640, “Human genetic variation alters CRISPR-Cas9 on- and off-targeting specificity at therapeutically implicated loci”, doi:10.1073/pnas.1714640114
  7. Kosiski, M., m.fl. (2018), Nature Biotechnology, advance online publication, “Repair of double-strand breaks induced by CRISPR-Cas9 leads to large deletions and complex rearrangement”, doi:10.1038/ nbt.4192
  8. Nakajima,K., m.fl. (2018), Genome Res., 28(2), 223-230, ”Precise and efficient nucleotide substitution near genomic nick via noncanonical homology-directed repair”, doi:10.1101/gr.226027.117
  9. Alejandro, C. m.fl. (2018), Proc Nat Acad Sci, 201718148, ”Precise Cas9 targeting enables genomic mutation prevention”, doi: 10.1073/pnas.1718148115
  10. Liang, P., m.fl., (2015), Protein and Cell 5 (6), 363-372, “CRISPR/Cas9-mediated gene editing in human tripronuclear zygotes”, doi:10.1007/s13238-015-0153-5
    12).Thurttle-Schmidt, D.M. & Lo, Te-Wen (2018), Topical Review 46(2), 195-205, “Molecular Biology at the Cutting Edge: A review on CRISPR/Cas9 Gene Editing for Undergraduates”, doi:10.1002/bmb.21108
  11. Willis, T. (2018):” CRISPR – A New Era in Genome Editing”, The Science Advisory Board, https://www.scienceboard.net/index. aspx?sec=log&itemID=9
  12. Luo, J. (2018), “Here’s what we know about CRISPR safety – and reports of
    ”genome vandalism”, artiklen blev oprindelig publiceret på http://theconversation.com/ heres-what-we-know-about-crispr-safety- and-reports-of-genome-vandalism-100231; original artikel: https//livescience. com/63260-crispr-safety.html