Op vrijdag 14 oktober jl. vond een GxP themadag plaats over “Cybersecurity en data integrity” aan de hand van GAMP5 2nd edition. Deze themadag vond tegelijkertijd op lokatie plaats in het Bioscience Park in Leiden en online.

De themadag werd op lokatie gepresenteerd door Hans de Raad, OpenNovations en voorzitter van de ICT commissie en Rinse de Boer van ResCop met online ondersteuning van twee andere medewerkers van ResCop. Dankzij de moderne technologie konden zowel de 20 deelnemers op lokatie als de 12 deelnemers online de presentaties goed volgen.

De geboden informatie was opgedeeld in blokken met elk hun eigen thema.
De eerste twee blokken gingen voornamelijk over de inhoud van GAMP5 2nd edition en gaven een globaal overzicht over de vernieuwingen in de richtlijn. Duidelijk werd dat in de nieuwe richtlijn de focus is verlegd van een statisch instrument dat op redelijk dwingende wijze aangeeft wat je wanneer moet doen, bijvoorbeeld het V-model of de waterval volgen wanneer je een (nieuw) software systeem aanschaft en implementeert, naar een veel vloeiender en in stukjes opgedeeld proces. Vergelijkbaar met een traditionele Rijn-cruise (“Reisje langs de Rijn, Rijn, Rijn ...” voor de oudere jongeren onder ons) waarbij iemand anders bepaalt hoe hard je gaat en waar je aanlegt, tegenover een reis in een motorbootje dat je zelf bestuurt en waarin je zelf bepaalt waar je aanlegt. Dit hele proces opdelen in hapklare brokken is ook heel herkenbaar als Agile-methode. Het linkt ook aan Deming, waar elk deelproces wordt gemonitord en de uitkomst/het product ervan wordt onderworpen aan een gedegen kwaliteitscontrole zodat het eindproduct ook zal voldoen aan de gestelde kwaliteitseisen en geschikt zal zijn voor het beoogde gebruik.

Op vrijdag 16 september jl. vond een webinar plaats over “Auditing van IT systemen”. 

Het webinar bestond uit een presentatie over IT-Auditing of GxP Systems gevolgd door een Q&A sessie. De presentatie werd gegeven door Bas Michielsen, Senior GxP Consultant and Computer Software Assurance (CSA) specialist bij ResCop. Hans de Raad, voorzitter van de ICT commissie van DARQA sloot aan bij de Q&A sessie.

Uitgangspunt voor dit webinar was een basis kennis van Computer System Validation (CSV) en Computer Software Assurance (CSA) en ervaring met GxP auditing.

De presentatie van Bas bestond uit meerdere modules, samengevat in 1 slide deck dat op het ledengedeelte van de DARQA website te vinden is bij de downloads. De samenvatting volgt hieronder.

Module 1 ging over IT-Audits in GxP environments: Wat zijn security risico’s en wat is de functie van een IT audit.

Module 2 ging over Risk-based IT Auditing: wat is een risk-based IT Audit en wat is hier voor nodig.

Module 3 ging over GxP IT-Audit focus areas: waarnaar dient te worden gekeken tijdens een IT audit, IT organisatie, IT policies, standards en procedures, validated system(s) en interview met personeel/ subject matter experts.

Module 4 ging over GxP IT-Audit deliverables: de uitkomst van de audit. En dan niet alleen de bevindingen, maar ook inzicht in het functioneren van een systeem, reduceren van mogelijke risico’s en verbeteren van security en integriteit van systemen en data.

Module 5 ging over IT-Audit Check-lists.

De presentatie werd afgesloten met lessons learned en best practices.

Hierna volgde de Q&A sessie nav vragen die vooraf en tijdens de presentatie gesteld waren.

Mensen die nog vragen hebben of feedback willen leveren op dit webinar of die ideeën hebben voor volgende webinars kunnen dat laten weten via een email naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

De video gemaakt tijdens deze webinar is op het ledengedeelte van deze website te bekijken.

Na de webinars van de afgelopen tijd was deze themadag over “process mapping” op 8 april 2022 in Amersfoort, na de ALV, een goede gelegenheid om weer eens in workshopverband te werken.

Er waren drie rondes met theorie over verschillende methoden van process mapping. Na elke ronde konden de deelnemers zelf aan de slag om een opdracht uit te werken op een flip-over.

De eerste presentatie werd gegeven door Coree Forman, Q-star Consulting. Zij legde de basis uit: waar moet een goed geschreven standard operating procedure (SOP) aan voldoen? Daarna ging ze verder in op het SIPOC-model: supplier, input, process, outputs, customer. Hierbij maak je vijf kolommen en werk je van buiten naar binnen. Als voorbeeld gebruikte ze haar hobby: cakes bakken.

Daarna konden de groepjes werken aan een praktijkvoorbeeld: een pizzarestaurant. Bij de nabespreking van de verschillende groepen viel op dat je - afhankelijk van de aannames die je doet - verschillende modellen krijgt.

Het tweede model, het RACI-model, werd toegelicht door Hellen Boering, director of operations bij Seuss+. Na de uitleg van het model werd gevraagd om te kijken naar de volgende verantwoordelijkheden: responsible, accountable, consulted en informed bij het ontwerpen en maken van een trouwjurk voor Diana, voor het huwelijk met Charles.

Basisvoorwaarden: de verantwoordelijke persoon moet ook de bevoegdheid hebben om beslissingen te nemen. Er is maar één persoon verantwoordelijk en één persoon accountable. Hierbij was een nog grotere diversiteit tussen de modellen van de groepjes dan bij de vorige opdracht.

Bij het nabespreken werd stilgestaan bij: wie is er verantwoordelijk voor dat Diana tevreden is?

Het hoofdproces is het maken van de jurk, daaronder zitten subprocessen. Bij te kleine subprocessen heb je geen aparte accountable-persoon; je moet op een niveau kijken dat hoog genoeg is.