Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > GxP in door de FDA gereguleerde sectoren: Voldoe aan complexe Good Practices
GxP in door de FDA gereguleerde sectoren: Voldoe aan complexe Good Practices

GxP in door de FDA gereguleerde sectoren: Voldoe aan complexe Good Practices

by Tim Freestone updated november 8, 2024 Wettelijke naleving
Reading Time: 9 minutes

Wat is GxP?

Het beschermen van de digitale activa van een organisatie tegen verlammende cyberaanvallen is complexer dan ooit. Nog overweldigender is het steeds groeiende aantal nalevingsregels en -normen waaraan organisaties moeten voldoen. Terwijl afkortingen als HIPAA, GDPR, GLBA, PCI DSS, NIST en SOX gemakkelijk over de tong gaan bij beveiligings- en complianceprofessionals, wordt een andere afkorting steeds belangrijker in sectoren als farmaceutica, cosmetica en voedselverwerking: GxP.

De “x” in GxP is een aanduiding voor een variabel onderdeel, en de andere initialen staan voor “Good Practice” (goede praktijken). Good Practice-vereisten voor diverse aspecten van de ontwikkeling en distributie van voedsel- en gezondheidsproducten worden beheerd door de Amerikaanse Food and Drug Administration (FDA) via de Food, Drug, and Cosmetic Act en de Public Health Service Act.

Maar omdat veel producenten in deze sectoren wereldwijd actief zijn, moeten zij zich houden aan een breder scala aan vereisten, waaronder richtlijnen van de Europese Unie, Japan en andere landen waar bedrijven actief kunnen zijn.

Waarom is GxP-naleving belangrijk?

GxP-naleving is een cruciale praktijk om de kwaliteit, veiligheid en werkzaamheid van bepaalde producten, zoals geneesmiddelen en medische hulpmiddelen, te waarborgen. Het biedt de zekerheid dat de producten op de juiste manier worden ontwikkeld, getest en geproduceerd volgens de relevante regelgeving en normen. GxP-naleving helpt uiteindelijk het publiek te beschermen door de kwaliteit en veiligheid van producten te garanderen die direct invloed kunnen hebben op de gezondheid en het leven van mensen, evenals het milieu. GxP-naleving helpt organisaties ook om kostbare en gênante terugroepacties, reputatieschade en mogelijke strafrechtelijke en civielrechtelijke sancties te voorkomen, naast andere gevolgen van slechte productproductie. Door zich aan GxP-naleving te houden, kunnen bedrijven hun consumenten, medewerkers en hun eigen onderneming beschermen.

Wie wordt beïnvloed door GxP?

GxP heeft invloed op zowel producenten van farmaceutische en medische producten als hun klanten. GxP schrijft voor dat producenten verantwoordelijk zijn voor het waarborgen dat alle activiteiten met betrekking tot de productie, controle, opslag en distributie van medische producten voldoen aan de GxP-regelgeving. Dit omvat het testen van grondstoffen, het documenteren van processen en het uitvoeren van kwaliteitscontroles, evenals het opleiden van personeel dat betrokken is bij het productieproces. Klanten, zoals ziekenhuizen en apotheken, worden ook beïnvloed door GxP, aangezien zij moeten garanderen dat de medische producten die zij van producenten kopen voldoen aan de GxP-kwaliteitsnormen.

Bovendien zijn de GxP-richtlijnen en -regelgeving van toepassing op al het personeel in de farmaceutische, biotechnologische en medische hulpmiddelensector. Dit omvat kwaliteitsborgingspersoneel, wetenschappers, ingenieurs en technici, die verantwoordelijk zijn voor het waarborgen dat alle fasen van productontwikkeling voldoen aan de GxP-regelgeving en aan de FDA-regels.

Tot slot geldt GxP ook voor contractonderzoeksorganisaties (CRO’s), die door farmaceutische en medische hulpmiddelenbedrijven worden ingehuurd om veiligheids- en werkzaamheidsstudies uit te voeren. CRO’s moeten voldoen aan de GxP-richtlijnen en -regelgeving om te waarborgen dat alle gegevens die aan toezichthouders worden aangeleverd van hoge kwaliteit en nauwkeurig zijn.

Specifieke GxP-normen zijn onder andere:

  • Current Good Manufacturing Practice (CGMP): Normen voor “methoden, faciliteiten en controles die worden gebruikt bij de productie, verwerking en verpakking” van door de FDA gereguleerde producten. Deze vereisten gelden voor geneesmiddelen voor mensen en dieren, medische hulpmiddelen, bloedproducten, voedsel en voedingssupplementen—en zelfs diervoeder.
  • Good Clinical Practice (GCP): Regels voor klinische proeven met geneesmiddelen, biologische producten en medische hulpmiddelen.
  • Good Laboratory Practice (GLP): Normen voor niet-klinische laboratoriumstudies.
  • Good Distribution Practice (GDP): Vereisten voor groothandelaren om de kwaliteit en integriteit van geneesmiddelen in de hele toeleveringsketen te waarborgen.
  • Good Quality Practice (GQP): Toepassing van CGMP binnen het kader van een farmaceutisch kwaliteitssysteem (PQS). Het Japanse ministerie van Volksgezondheid, Arbeid en Welzijn (MHLW) reguleert GQP in dat land met Ordinance No. 136, die wereldwijd als standaard wordt gezien.
  • Good Pharmacovigilance Practice (GVP): Beste practices voor het voortdurend monitoren van de veiligheid van geneesmiddelen.

GxP-naleving voor opkomende biotechnologie

GxP-naleving voor opkomende biotechnologie omvat een reeks internationaal erkende principes en normen die het onderzoek, de ontwikkeling, productie en het testen van nieuwe biotechnologieën reguleren. Het is bedoeld om te waarborgen dat producten op een veilige en ethische manier worden geproduceerd, getest en gedistribueerd. Dit omvat strikte controles rond productie, kwaliteitscontrole en distributie van producten, evenals juiste documentatie en controles rond personeelstraining, kwaliteitsmanagement en archivering. GxP-naleving is essentieel voor het waarborgen van de veiligheid en werkzaamheid van nieuwe biotechnologieën en het beschermen van de volksgezondheid.

De kritieke inhoudsvereisten van GxP

Zoals je ziet, zijn de GxP-vereisten omvangrijk en verwarrend. Er is geen enkele set regels waarnaar verwezen kan worden, en organisaties staan grotendeels op zichzelf bij het verzamelen van de vereisten in de Verenigde Staten—laat staan dat ze ook nog de vereisten van andere rechtsbevoegdheden moeten toevoegen waar ze actief zijn. In tegenstelling tot andere regelgeving en normen bestaat er niet zoiets als een GxP-auditor, en echte experts in GxP-naleving zijn relatief zeldzaam.

Maar ongeacht waar de “x” in GxP voor staat, is het beschermen van gevoelige inhoud van het grootste belang om te voldoen aan de letter en geest van GxP. Dit omvat verschillende invalshoeken:

  1. Vereisten voor elektronische dossiers: controles voor een gesloten systeem. FDA CFR Part 11 stelt normen voor elektronische dossiers en elektronische handtekeningen, die van invloed zijn op alle digitale gegevens en inhoud die betrokken zijn bij GxP-praktijken. Deze regelgeving vereist de volgende technologische controles:
  • Validatie van systemen om nauwkeurigheid, betrouwbaarheid, consistente beoogde prestaties en het vermogen om ongeldige of gewijzigde dossiers te herkennen te waarborgen
  • De mogelijkheid om nauwkeurige en volledige kopieën te genereren in zowel leesbare als elektronische vorm
  • Bescherming van dossiers om hun nauwkeurige en directe terugvindbaarheid mogelijk te maken
  • Beperking van systeemtoegang tot geautoriseerde personen
  • Beveiligde, tijdgestempelde audittrails voor alle versies

Compliance and Certification Table

Kiteworks heeft een lange lijst van behaalde compliance- en certificeringsprestaties.

De regelgeving vereist ook de volgende gedocumenteerde processen:

  • Operationele systeemcontroles om beleid waar nodig af te dwingen
  • Bevoegdheidscontroles om te waarborgen dat alleen geautoriseerde personen een document kunnen inzien, wijzigen of ondertekenen
  • Apparaatcontroles om de geldigheid van de gegevensbron te bepalen
  • Validatie dat beheerders van elektronische documentatiesystemen voldoende training hebben gehad
  • Schriftelijk beleid dat personen verantwoordelijk houdt voor acties die onder hun elektronische handtekening worden uitgevoerd
  • Controles over de distributie van, toegang tot en het gebruik van documentatie voor systeemwerking en -onderhoud
  • Procedures voor revisie- en wijzigingsbeheer om een audittrail te behouden die de tijdsvolgorde van ontwikkeling en wijziging van systeemdocumentatie vastlegt

Elektronische handtekeningen moeten bevatten:

  • De gedrukte naam van de ondertekenaar
  • De datum en tijd waarop een handtekening is gezet
  • De betekenis die aan de handtekening is verbonden (bijv. beoordeling, goedkeuring, verantwoordelijkheid, auteurschap)
  1. Good Documentation Practices (GDocP). Net als bij andere GxP-vereisten is er geen enkel, gezaghebbend document dat Good Documentation Practices (GDocP) opsomt.

    Deze vereisten zijn verspreid over de documentatie van andere GxP-normen, evenals jurisprudentie van entiteiten die in het verleden zijn geciteerd voor overtredingen. Maar zoals de naam al aangeeft, zijn algemeen geaccepteerde beste practices vereist als het gaat om documentatie—zaken die elk bedrijf zou moeten doen als onderdeel van algemeen risicobeheer.

    Een belangrijk onderdeel van GDocP is het opstellen van standaardprocedures (SOP’s) voor archivering. Dit is vereist voor certificering in ISO 9001:2015 en is essentieel voor naleving van wetten zoals de Amerikaanse Prescription Drug Marketing Act (PDMA), die de verkoop van gecompromitteerde, verlopen en vervalste geneesmiddelen verbiedt. Dit vereist uiteraard gedetailleerde archivering.

    GDocP-richtlijnen voor SOP’s rond archivering omvatten:

    • Documentcreatie moet gelijktijdig met het beschreven evenement plaatsvinden, niet met de hand geschreven behalve voor leesbare kanttekeningen, gecontroleerd op nauwkeurigheid en vrij van fouten.
    • Documentgoedkeuring mag alleen worden uitgevoerd door de bevoegde persoon, met fysieke of elektronische handtekening en datum.
    • Handgeschreven aantekeningen moeten met onuitwisbare inkt worden gemaakt. Er moet ruimte worden gelaten voor handgeschreven aantekeningen waar verwacht, en geen ruimte voor handgeschreven aantekeningen mag leeg blijven (“N.v.t.” moet worden gebruikt als er geen aantekening nodig is).
    • Documentonderhoud gebeurt volgens een vast schema, documenten worden gedurende de gespecificeerde periode bewaard, documentbeheersystemen zijn gevalideerd en elektronische dossiers worden geback-upt.
    • Documentwijziging moet zorgvuldig worden bijgehouden, zowel handgeschreven als elektronisch. Procedures moeten voorkomen dat verouderde documenten worden gebruikt, en een audittrail moet worden bijgehouden voor alle versies.
  1. ALCOA+. Uiteindelijk komt het ingewikkelde lappendeken van GxP- en GDocP-vereisten neer op het principe van ALCOA+. Dit framework krijgt steeds meer aandacht en wordt breed toegepast in diverse sectoren en bij vele overheids- en semioverheidsinstanties.

    De oorspronkelijke ALCOA-afkorting omvatte vijf basisprincipes voor het veilig houden van gegevens, zodat deze:

    • Toewijsbaar (Attributable): Makers en bijdragers moeten duidelijk worden geïdentificeerd, en versiebeheer moet beschermen tegen ongeautoriseerde wijzigingen.
    • Leesbaar (Legible): Documenten moeten visueel leesbaar zijn en taalkundige duidelijkheid hebben.
    • Gelijktijdig (Contemporaneous): Het moet duidelijk zijn wanneer een document is aangemaakt, en het systeem moet doorlopende gelijktijdige archivering ondersteunen.
    • Origineel (Original): Originele kopieën moeten worden bewaard in plaats van latere kopieën.
    • Nauwkeurig (Accurate): Documenten moeten actueel en feitelijk correct zijn.

    Sindsdien zijn andere belangrijke kenmerken toegevoegd en is het framework hernoemd tot ALCOA+. De toegevoegde concepten zijn dat inhoud:

    • Volledig (Complete): Een audittrail moet aantonen dat er geen gegevens zijn verwijderd.
    • Consistent: Tijd- en datumstempels moeten verifiëren dat de inhoud op de juiste wijze is samengesteld.
    • Duurzaam (Enduring): Inhoud moet worden bewaard voor ten minste de wettelijk vereiste periode, en de apparatuur waarop het is opgeslagen moet duurzaam genoeg zijn voor die levenscyclus.
    • Beschikbaar (Available): Gegevens moeten toegankelijk zijn voor geautoriseerde partijen die ze nodig hebben—auditors en interne gebruikers die ze nodig hebben voor vervolgwerkzaamheden.

Wat is een GxP-risicobeoordeling?

De GxP-risicobeoordeling is een proces dat organisaties gebruiken om potentiële risico’s te identificeren en te monitoren die samenhangen met Good Manufacturing Practice (GMP), Good Distribution Practice (GDP) en Good Clinical Practice (GCP). Deze beoordeling helpt organisaties te waarborgen dat hun processen en praktijken voldoen aan GxP-nalevingsregels en -normen. De beoordeling analyseert diverse aspecten van de bedrijfsvoering en processen, zoals training, apparatuur, materialen en dossiers, en bepaalt of deze voldoen aan de GxP-regelgeving.

Ook worden de potentiële risico’s van de dagelijkse bedrijfsvoering onderzocht en wordt eventuele niet-naleving geïdentificeerd. De beoordeling is een allesomvattende en systematische aanpak om potentiële risico’s te identificeren en te beperken, zodat bedrijfsverstoringen worden geminimaliseerd, financiële verliezen worden beperkt en de productkwaliteit en -veiligheid behouden blijven.

Hoe helpt Kiteworks klanten om te voldoen aan de kritieke inhoudsvereisten van GxP?

Bij de meeste organisaties wordt vertrouwelijke inhoud gedeeld met een breed scala aan externe gebruikers via meerdere communicatiekanalen.

Wanneer vertrouwelijke inhoud wordt gedeeld met interne en externe personen, kiezen gebruikers vaak het communicatiekanaal dat het minste weerstand biedt—vaak e-mailbijlagen, maar ook bestandsoverdracht, beheerde bestandsoverdracht (MFT) en samenwerkingstools. Dit maakt het delen van inhoud erg lastig om te volgen, laat staan te beveiligen, en creëert een ernstig gat in de beveiliging van een organisatie—en in de GxP-naleving.

Recent onderzoek van Kiteworks benadrukt dit probleem. Het Sensitive Content Communications Privacy and Compliance Report 2022 wees uit dat 62% van de organisaties vier of meer systemen gebruikt voor het volgen, controleren en beveiligen van gevoelige gegevenscommunicatie met derden. En meer dan de helft van de organisaties (51%) mist technologieën en processen om risico’s bij dergelijke communicatie te meten—laat staan deze risico’s te beperken.

Dit lappendeken van communicatiekanalen voor vertrouwelijke inhoud zorgt voor onbeheersbare complexiteit als het gaat om naleving van vele normen, waaronder GxP. Organisaties die willen voldoen aan GxP moeten een robuuste aanpak voor risicobeheer cyberbeveiliging ontwikkelen, evenals een strategie voor risicobeheer voor verkopers om datalekken in de toeleveringsketen te beperken. Kiteworks stelt klanten in staat om gegevensintegriteit te waarborgen en te voldoen aan GxP-vereisten door het creëren van een Private Content Network (PCN).

Een PCN verenigt het delen van alle GxP-relevante inhoud op één platform. Het PCN verenigt alle communicatiekanalen (e-mail, platforms voor bestandsoverdracht, MFT, webformulieren, API’s) en systemen van registratie (onderzoekstools, CRM, ERP, EMR’s, samenwerkingstools).

Het verenigt het delen van alle typen vertrouwelijke inhoud met alle externe gebruikers (leveranciers, accountants, toezichthouders, investeerders, partners, juridisch adviseurs) en moet worden geïntegreerd met de bredere strategie voor risicobeheer door derden (TPRM) van een organisatie. Het PCN moet compatibel zijn met hosting on-premises, door de leverancier of in een hybride cloud.

Een Kiteworks PCN stelt organisaties in staat om naleving aan te tonen met de volgende hierboven beschreven elementen:

  1. Vereisten voor elektronische dossiers
    • Validatie van systemen
    • Genereren van nauwkeurige en volledige kopieën
    • Bescherming van dossiers
    • Beperking van systeemtoegang
    • Beveiligde, tijdgestempelde audittrails
  1. Good Documentation Practices (GDocP)
    • Archivering over documentcreatie: timing, verificatie van nauwkeurigheid en fouteliminatie
    • Vastlegging van documentgoedkeuring
    • Documentonderhoud gedurende de volledige levenscyclus en validatie van documentbeheersystemen
    • Audittrails voor documentwijzigingen, versiebeheer en verouderde versies
  1. ALCOA+
    • Documentatie van elk element van ALCOA+ in een gemeenschappelijk PCN voor alle inhoudsdeling

Gegevensintegriteit bereiken

Het ontwikkelen en produceren van voedsel- en gezondheidsproducten is serieuze business en het behalen van al deze “good practices” is essentieel voor zowel publieke veiligheid als commerciële levensvatbaarheid. In het geval van farmaceutische bedrijven is het aantal cyberaanvallen aanzienlijk gestegen.

Een van de redenen is de noodzaak tot aanzienlijke verbeteringen in governance en risicobeheer van gevoelige communicatie met derden; zo gaf 37% van de farmaceutische bedrijven aan dat een nieuwe aanpak of significante verbetering nodig is. Het risico is zeker aanwezig. Een recent onderzoek naar datalekken en lekken in de farmaceutische sector over een periode van vier jaar (2018–2021) toonde aan dat 59% van de datalekken en 76% van de totale blootstellingen plaatsvonden in de laatste twee jaar van die periode.

Gezien het feit dat een typisch geneesmiddel dat tien jaar op de markt is $2,6 miljard kost om te ontwikkelen, is het onacceptabel om die investering te verspelen door onveilige communicatiepraktijken met vertrouwelijke inhoud.

Organisaties moeten diverse acties ondernemen om aan alle aspecten van GxP te voldoen. Maar als het om inhoud gaat, kan Kiteworks je helpen om snel te voldoen aan GxP-vereisten. Zo kun je de talloze risico’s vermijden die samenhangen met je gevoelige inhoud in elke stap van het ontwikkelings-, productie- en distributieproces.

Vraag vandaag nog een Kiteworks-demo aan voor jouw organisatie door hier te klikken.

Veelgestelde vragen

Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Naleving is cruciaal voor het behouden van de reputatie van het bedrijf, het voorkomen van juridische sancties en het waarborgen van de veiligheid en beveiliging van de bedrijfsvoering.

Naleving van regelgeving beïnvloedt diverse sectoren op verschillende manieren, afhankelijk van de specifieke regelgeving die op elke sector van toepassing is. Zo moeten zorgorganisaties voldoen aan regels als HIPAA die patiëntgegevens beschermen, terwijl financiële instellingen zich moeten houden aan regels als PCI DSS die financiële crises moeten voorkomen. Defensie-aannemers moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.

Enkele veelvoorkomende uitdagingen zijn het bijhouden van veranderende regelgeving, het beheren en beveiligen van data, het trainen van medewerkers op nalevingsvereisten en het toewijzen van voldoende middelen voor compliance-activiteiten. Daarnaast kunnen wereldwijde organisaties te maken krijgen met de extra complexiteit van naleving in meerdere rechtsbevoegdheden.

Organisaties kunnen hun naleving aantonen via diverse middelen, zoals het bijhouden van uitgebreide documentatie van hun compliance-activiteiten, het uitvoeren van regelmatige audits en het bewaren van opleidingsregistraties. Daarnaast kunnen sommige regels vereisen dat organisaties regelmatig rapportages indienen of externe audits ondergaan om hun naleving aan te tonen.

Gegevensencryptie speelt een cruciale rol in naleving van regelgeving, omdat het helpt gevoelige gegevens te beschermen tegen ongeautoriseerde toegang. Veel regels vereisen dat organisaties passende beveiligingsmaatregelen nemen, waaronder encryptie, om data te beschermen. Door gegevens te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo bijdragen aan naleving.

Aanvullende bronnen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks