Deel 1: omgaan met compliance
Uitdagingen op het gebied van regelgeving
1. Toenemende druk op naleving
Elke organisatie moet voldoen aan zowel lokale als wereldwijde wet- en regelgeving. De farmaceutische en life sciences industrie is misschien wel een van de meest gereguleerde. Wat ook niet meer dan logisch is; de kwaliteit en veiligheid van medische producten of medische diensten kan het leven van patiënten sterk beïnvloeden.
Naleving van de regelgeving is praktisch een vereiste om zaken te doen. Maar alles wat daarbij komt kijken zoals beleid, processen en procedures zorgen voor grote uitdagingen voor veel farmaceutische organisaties.
Voorbeelden van wettelijke vereisten
Organisaties op verschillende niveaus kunnen standaarden voor naleving bepalen: lokale overheden, wereldwijde instituten (zoals de WHO) en branchespecifieke organisaties. Voor farma en life sciences zijn dit enkele voorbeelden:
FDA Code of Federal Regulations (CFR) Title 21
In Title 21 staat alle regelgeving rondom voedingsmiddelen en medicijnen die in de Verenigde Staten worden geproduceerd en geconsumeerd. Deel 11 gaat specifiek over de regels en voorschriften voor het gebruik van digitale documenten en handtekeningen in organisaties.
Good Clinical, Laboratory, and Manufacturing Practices (GxP)
GxP is een overkoepelende term voor verschillende methodes, waarbij de ‘x’ vervangen wordt door een specifiek domein. Het bevat, onder andere, de domeinen klinisch (GCP), productie (GMP), distributie (GDP) en laboratorium (GLP).
Quality Management System (ISO-normen)
Een Quality Management System (QMS) is een set van procedures en methodes die bijdragen aan productkwaliteit. De ISO is een internationale instantie die betrokken is bij het ontwikkelen van standaarden in verschillende industrieën, zo ook voor farma en life sciences. De huidige standaard voor Quality Management System is ISO 9001:2015 (voorheen ISO 9001:2005 en ISO 13485:2016). ISO-certificering is in Europa niet verplicht, QMS is dat wel.
General Data Protection (GDPR / AVG)
Alle bedrijven die gegevens van inwoners van de EU verzamelen of verwerken moeten voldoen aan de normen van de GDPR, in het Nederlands ook wel bekend als de AVG.
Software Lifecycle Processes (IEC-normen)
Dit omvat een veilig gebruik en onderhoud van alle software die gebruikt wordt in een organisatie.
Conformité Européenne (CE)
Wanneer een organisatie producten (zoals medische hulpmiddelen) produceert en/of verhandelt in de Europese Economische Ruimte (EER) is CE de algemene markering om ervoor te zorgen dat elk product voldoet aan de Algemene Veiligheids- en Prestatievereisten (GSPR).
IT security Management (ISO / IEC 27001)
Certificatie voor ISO/IEC 27001 is niet verplicht. Er is geen wettelijke verplichting om een Information Security Management Systeem (ISMS) te hebben, maar organisaties moeten wel ervoor zorgen dat hun software geen malware bevat.
2. Balanceren tussen resources en vereisten
Voor kleine en middelgrote organisaties in de farma en life sciences vraagt compliance om het vinden van de juiste balans tussen de hoeveelheid beschikbare resources, het verbeteren van processen en tegelijkertijd het behalen van de bedrijfsdoelen.
Bij Sterima, een organisatie gevestigd in België dat producten en diensten voor sterilisatie levert, hebben ze het team wat verantwoordelijk is voor kwaliteitscontrole uitgebreid van 1 naar 4 FTE, in slechts een paar jaar.
Het is duidelijk dat er een groot verschil is tussen de basisvereisten van regelgeving en de kosten voor het MKB, zegt Henrik Walther Madsen, directeur bij Epista Life Science. “Dit zorgt ervoor dat het naleven van regelgeving een risicobeoordeling wordt. Het risico van niet voldoen aan de regelgeving versus de kosten voor de organisatie. Deze risicobeoordeling is belangrijk, omdat het je helpt bij het bepalen van prioriteiten in het complexe landschap van wet- en regelgeving.”
3. Compliance in een veranderende wereld
In een omgeving die snel verandert, betekent dit ook regelmatig een ‘upgrade’ van de compliance. Bovendien is regelgeving iets wat altijd in beweging is. Doordat het aantal en de complexiteit van regelgeving constant toeneemt, wordt het steeds lastiger voor organisaties om bij te blijven. De digitale wereld zorgt hierbij voor nieuwe uitdagingen. Organisaties hebben te maken met de druk om transparantie te tonen en moeten hun processen nog beter en efficiënter inrichten.
Cedric Soubry: “Het zijn niet alleen de wettelijke vereisten die veranderen. Audits van bestuursorganen worden ook uitgebreider, en klanten verwachten ook dat we volledig compliant zijn. Simpel gezegd, er wordt meer samenwerking en compliance verwacht in de gehele supply chain.”
De gouden standaard: altijd compliant
Vanuit een silo-benadering …
Compliance in farma en life sciences beperkt zich niet tot de kwaliteitscontrole van het eindproduct. De impact is zichtbaar over verschillende niveaus: producten (bv. kwaliteitscontrole), processen (bv. computer systeem validatie) en mensen (vaardigheden, certificeringen). Alle bedrijfsonderdelen zijn direct betrokken bij de naleving van regelgeving: van R&D tot HR en van IT tot productie.
Hierdoor zijn er wel specifieke vaardigheden en expertises nodig, om in al deze gebieden te voldoen aan de vereiste compliance. Deze complexiteit zorgt ervoor dat veel organisaties een overschot hebben aan manuele processen en vele documenten, met een hogere kans op fouten. Kortom, een silo-benadering voor compliance is tijdrovend, inefficiënt en inflexibel.
Klavs Esbjerg, CEO van Epista: “Hoe farmaceutische bedrijven efficiënter kunnen worden? Kijk gewoon eens naar je eigen interne processen en procedures. Ik weet zeker dat je vele mappen vol documentatie tegenkomt. Vraag jezelf nu het volgende af: waarom doe je dit? Veel organisaties maken zaken te complex. Er is nog veel efficiëntie te winnen op dat gebied.”
… naar compliance op bedrijfsniveau
In plaats van het beheren van compliance in elk afzonderlijk team, moeten organisaties streven naar een alomvattende kijk op regelgeving, door het op bedrijfsniveau aan te pakken. Met compliance als een strategisch bedrijfsdoel maak je van een uitdaging een onderscheidende factor die extra bedrijfswaarde creëert.
Dit betekent natuurlijk wel dat je als bedrijf bereid moet zijn om de manier van werken drastisch aan te passen. Handmatige en specifieke processen moeten vervangen worden door uniforme en gecentraliseerde processen, gericht op het inbouwen van compliance in elk aspect van de organisatie.
Aanpassen van het proces: terug naar de standaard
Wanneer het gaat om compliance op procesniveau, is CSV (Computer System Validation) een belangrijk aspect. CSV, of software validatie, bevestigt dat een computersysteem voldoet aan de behoeften van de gebruiker en dat het gebruik in een consistente en accurate manier plaatsvindt. Dit moet daarnaast veilig, betrouwbaar en traceerbaar zijn.
Elke verandering aan de software vraagt om een nieuwe validatie. Vaak hebben organisaties de neiging om upgrades te vermijden, wat zorgt voor verouderde systemen. En wanneer deze systemen niet meer voldoen aan de vereisten van de organisatie, is het inmiddels een hele onderneming geworden om het hele systeem te vervangen.
Organisatorische veranderingen
Wanneer het proces wordt aangepast naar de standaard, impliceert dit dat de organisatie zichzelf ook moet aanpassen. In andere woorden, verandermanagement voor organisaties is cruciaal om deze veranderingen succesvol door te voeren.
We geven je hiervoor graag een voorbeeld uit de praktijk. Het bedrijf Inovet produceert geneesmiddelen en gezondheidsproducten voor dieren. Op dit moment maken ze de overstap van twee legacy ERP-systemen naar een cloudgebaseerd gevalideerd systeem.
Lara Moons (Strategy and Digitalization Manager bij Inovet): “Een gevalideerd systeem was voor ons een must, waarbij we zo dicht mogelijk bij het systeem moesten blijven. Bij elke afwijking van de standaard kregen we met een flinke mate van weerstand te maken en hadden we de goedkeuring van de Change Advisory Board nodig. Dit vroeg om een hoge mate van ondersteuning en flexibiliteit binnen de organisatie, om de manier van werken te veranderen.”
Continue compliance in de cloud
Computer System Validation (CSV) is van toepassingen op vele soorten bedrijfssoftware zoals MES, LIMS en nog veel meer. Een essentieel onderdeel van de IT-infrastructuur rondom compliance is het ERP, dit kan je ook wel het hart van de operatie noemen. De transitie van on-premise ERP-systemen naar cloudgebaseerde oplossingen zorgt voor verandering in het landschap van systeemvalidatie.
Bij on-premise is de validatie meestal om de paar jaar, omdat er veel resources voor nodig zijn. Cloud oplossingen bieden meer frequente, maar kleinere upgrades. Deze agile benadering zorgt ervoor dat het systeem in lijn blijft met veranderende bedrijfsbehoeften.
Dit maakt het natuurlijk ook moeilijker om een gevalideerde staat te behouden, maar met de juiste methodiek is continue validatie mogelijk. We vertellen je meer over dit onderwerp later in deze 3-delige blogreeks.
Wil je meer te weten te komen over onze gevalideerde Microsoft Dynamics 365 oplossing voor farma/life sciences?
Neem dan contact met ons op