In deze webinar legde Hans de Raad, eigenaar van OpenNovations en bestuurslid van DARQA, wat de nieuwe Medical Device Regulation (MDR) inhoudt en welk verbanden er tussen de MDR en de Cybersecurity Act (CSA) zijn. Zo hebben beide richtlijnen hetzelfde doel: generieke beschrijvingen voor software en hardware bieden (software requirements) zodat bedrijven aan de hand daarvan producten kunnen creëren zonder zelf het wiel opnieuw te hoeven uitvinden.

Dit is een vervolg van de webinar gehouden op 29 oktober 2021 en we nemen dan ook weer dezelfde ENISA en ETSI richtlijnen als uitgangspunt. Ook de ISPE heeft een aantal richtlijnen uitgegeven naast GAMP. Echter de richtlijen van ENISA en ETSI zijn beter bruikbaar.

De MDD, de voorganger van de MDR, was destijds nog relatief simpel en bestond vooral voor plastic producten met een CE markering. De MDR richt zich meer op “state of the art”: meer ingewikkelde producten met of zonder software of software als een medical device (SAMD); alle software waarmee een (medische) diagnose kan worden gesteld en/of een behandelplan kan worden opgesteld. Bij grensgevallen wordt aangeraden om toch maar alle maatregelen volgens de MDR uit te voeren want het kost vaak meer moeite om te beargumenteren waarom je dit niet hebt gedaan.  

Waar de MDD alleen op het product focuste, focust de MDR op het product in zijn functionele en operationele context, dus meer op interfaces tussen softwaresystemen en interacties met mensen. Life cycle management is daardoor belangrijker geworden waardoor er binnen een leverancier of organisatie ook een qualified person moet zijn die verantwoordelijk is voor de kwaliteit gedurende de hele levensloop van het product. De aangestelde qualified person kan niet zomaar de eerste de beste zijn maar moet hiervoor echt wel de benodigde achtergrond en kennis hebben.

Nieuw in de MDR is de Unique Device Identification (UDI) voor elk individueel device waardoor je de hele levensloop van een device, dus ook een software systeem, kunt volgen.

De in de MDR genoemde Notified Bodies zullen een grote rol gaan spelen en actief gaan inspecteren waarbij de prioriteit vooralsnog zal liggen bij systemen die direct met de patient en zijn veiligheid te maken hebben. Deze inspecties vinden al plaats sinds 2017.  

Lees meer: DARQA webinar “Medical Device Regulation en Cybersecurity Act”, 10 december 2021

Introductie

Aan de hand van diverse slides hebben de GLP-commissieleden zich voorgesteld. Het blijkt dat meerdere leden al geruime tijd lid zijn van de commissie maar dat er zeker ruimte is voor jong en nieuw talent. Dus als je belangstelling hebt, meld je aan!

GLP Working Party en Discussion group

Chris Mitchell gaf een heldere presentatie over de OECD, de GLP Working Party en Discussion Group. Een duidelijke boodschap is dat er mogelijkheid is om commentaar te leveren op draft guidelines. Een kans die we zeker moeten aangrijpen om te voorkomen dat er guidelines komen die wellicht elkaar tegenspreken, of dermate rigide zijn dat ze in de praktijk bijna niet te volgen zijn.

Vanuit IGJ is DARQA een van de aanspreekpunten in de OECD GLP discussiegroep en is er een oproep gedaan aan alle leden om commentaar te geven op het draft OECD document QA and GLP dat nu ruim 30 pagina’s telt.

Als eenling is een dergelijk document moeilijk van commentaar te voorzien, dus wellicht is het een optie om een brainstormsessie te organiseren vanuit de GLP-commissie bij nieuwe OECD GLP draft documenten in de toekomst.

Er waren diverse onderwerpen/vragen aangeleverd die door de verschillende commissieleden werden beantwoord.

OECD Document 22 Data Integrity

Almira meldde dat de GLP-commissie bezig is om een themadag te organiseren over OECD Doc 22 in Q1 2022. Ze deed een oproep om eventuele ervaringen te delen en aan te geven welke onderwerpen besproken zouden moeten worden.

Proces mapping

Dit onderwerp kwam even ter sprake. Aan dit thema wortd in het middagprogramma van de ALV aandacht gegeven.

Training GLP archivaris

Frans gaf een reactie op de mate waarin een GLP-archivaris getraind moet zijn. Er ontstond een leuke discussie met betrekking tot e-archiving en hoe te zorgen dat e-data in een leesbaar format beschikbaar is en blijft. Termen als gestandaardiseerd format, datamigratie en verified copies kwamen voorbij. Ook een EDMS werd genoemd (electronic data management system).

Lees meer: DARQA webinar "Ontmoet de GLP-commissieleden, anders nog iets?", 12 nov 2021

Op vrijdag 29 oktober jl. vond als onderdeel van de Europese maand van de Cybersecurity een webinar plaats met als onderwerp “Cybersecurity in pharma”.

In deze webinar legde Hans de Raad, eigenaar van OpenNovations en bestuurslid van DARQA, uit wat cybersecurity is.

Aan de hand van enkele ENISA en ETSI richtlijnen neemt Hans ons mee in de wereld van cybersecurity, die niet alleen draait om de fysieke, logische en operationele veiligheid van IT maar waarin je ook zoiets als de plaatsing van een raam in een ruimte moet meenemen om te zorgen dat je niet onverwacht informatie deelt doordat je projectiescherm de verkeerde kant op staat.

Toegang en authorisatie voor het eigen personeel regelen op IT-gebied is niet zo moeilijk maar op het moment dat informatie in de Cloud komt, zal je daarover ook afspraken moeten maken waarbij je er voor moet zorgen dat informatie wel gedeeld kan worden zonder de vertrouwelijkheid daarvan te schenden.

Beveiliging van gegevens die worden genereerd is zoiets waarvan je je van begin af aan moet afvragen hoe je dat gaat inrichten, zeker als die gegevens via een netwerk worden gedeeld met anderen. Om dat goed te doen zal je moeten werken met een minimale set aan beveiligingen en afhankelijk van de relevantheid van de gegevens het beveiligingsniveau aanpassen. Het goed in kaart brengen van je gegevens en systemen is hierbij essentieel: weet wat je meet (of deelt) en zorg er voor dat het daarbij blijft. Recentelijk zijn er voorbeelden te over waar per ongeluk meer gegevens tussen systemen zijn gedeeld dan wenselijk is, bijvoorbeeld medische gegevens van mensen die bij de GGD geregistreerd staan als coronagevaccineerden. En zelfs als je denkt dat je alles goed hebt dichtgetimmerd, kan het nog zo zijn dat je bedrijf van buitenaf wordt aangevallen. Dan moet je alle zeilen bijzetten om geen datalek te krijgen of zodat je geen zogenaamd losgeld hoeft te betalen om je eigen systemen en gegevens terug te krijgen. Dit “nieuwe normaal” kost helaas een hoop tijd, geld en moeite, zelfs als je denkt dat je het goed geregeld hebt. Het vervelende van dit soort aanvallen is, is dat ze niet zozeer gericht zijn op bepaalde bedrijven maar dat ze automatisch plaatsvinden: het wereldwijde web wordt systematisch afgezocht op zwakke plekken en als die gevonden worden, wordt er een virus geïnstalleerd dat systemen lamlegt en gegevens lekt.

Lees meer: DARQA webinar “Cybersecurity in pharma”, 29 oktober 2021

Op vrijdag 8 oktober jl. vond een webinar plaats met als onderwerp “PASS”. Beide presentaties werden gegeven in het engels.

The first presenter is Stuart Harris, Astellas.

Stuart explains to us why PASS studies are being done and what types of PASS studies there are. In addition he explains the applicable (PV) requirements, whether they should be included in the Pharmacovigilance System Master File (PSMF) and how to approach PASS study audits.

PASS studies are being conducted after marketing authorization has been obtained and it can be a condition imposed by a regulator as part of a Risk Minimization Plan (RMP) or be conducted voluntarily by the Marketing Authorisation Holder. Based on these criteria the product is divided into 1 of 4 categories, which determines whether the study should be approved by the PRAC and/or national competent authority, are subject to GVP inspection and/or shall or should be entered into EU PAS register. PASS studies can be Interventional or Non-interventional (NI, e.g. data collection), which further define which regulation(s) should be followed and audited against during study conduct.   

The MHRA has begun a NI-PASS inspection programme, based on certain risk factors, in which they basically check all relevant items similarly with phase 1-3 studies.

PASS should be conducted in line with GCP in case they are interventional. In case of a non-interventional study, the protocol will define the standard with a recommendation for PASS to consider relevant scientific guidance, e.g.  Good Pharmacoepidemiology Practices, GPP.

In case the study is developed to obtain further information on a medicine’s safety, or to measure the effectiveness of risk management measures after marketing authorization it’s a PASS study.

• GCP
• Webinar

Lees meer: DARQA webinar Post-Authorization (Safety) (PASS) Studies, 8 oktober 2021