Sempre più aziende farmaceutiche e chimico-farmaceutiche si orientano verso l’esternalizzazione completa o parziale delle attività, tra cui l’amministrazione dell’infrastruttura IT e la gestione dei sistemi GxP critici (es. soluzioni SaaS). L’azienda regolata rimane comunque la responsabile ultima della compliance ai requisiti regolatori e alla data integrity dei propri sistemi e processi. L’audit al fornitore e il contratto sono i due strumenti che un’azienda regolata ha a disposizione per valutare e controllare l’operato dei propri fornitori e per rispondere in sede di ispezione e di audit.
La stipula di contratti che regolamentano i rapporti tra aziende farmaceutiche e provider di servizi è anche un requisito regolatorio. Secondo l’Annex 11 alle EU GMP, infatti, quando si ricorre a dei fornitori per svolgere qualsiasi attività legata ai sistemi computerizzati (installazione, configurazione, integrazione, convalida, mantenimento, modifica o conservazione di un sistema computerizzato, o elaborazione dati) l’azienda deve stipulare accordi formali (contratti) con il fornitore che riportino chiaramente le reciproche responsabilità. I dipartimenti IT aziendali devono essere considerati analoghi a un fornitore esterno.
3.1 When third parties (e.g. suppliers, service providers) are used e.g. to provide, install, configure, integrate, validate, maintain (e.g. via remote access), modify or retain a computerised system or related service or for data processing, formal agreements must exist between the manufacturer and any third parties, and these agreements should include clear statements of the responsibilities of the third party.
IT-departments should be considered analogous.
(EU GMP Annex 11)
Questo approfondimento è dedicato nello specifico ai contratti tra aziende regolate e provider di servizi IT.
IL CONTRATTO
- È un documento vincolante: elenca le azioni e gli impegni che il provider accetta per soddisfare gli standard e i requisiti di qualità rilevanti per l’azienda regolata.
- Definisce e documenta le responsabilità del provider e dell’azienda regolata: conferma l’intended use di un’applicazione, la sua adeguatezza e i servizi correlati, incluso il mantenimento della data integrity.
- Ha l’obiettivo di mantenere e migliorare la qualità dei servizi IT: attraverso accordi, monitoraggio, reporting e revisione degli accordi e attraverso l'implementazione di azioni per eliminare livelli di servizio inaccettabili.
Il contratto non trasferisce la responsabilità di conformità GxP al provider di servizi.
Per quanto riguarda la parte di contratto relativa alla definizione dei requisiti di qualità, il Quality Agreement, questa può essere sfruttata dall’azienda regolata anche per mitigare i rischi legati a:
- Change fatti a un sistema e non controllati dall’azienda regolata
- Mancanza di visibilità sulla tecnologia utilizzata e su eventuali sub-fornitori
- Mantenimento dello stato di controllo sul sistema GxP critico
RESPONSABILITÀ
All’interno dell'azienda regolata, il system owner ha la responsabilità di:
- Identificare le necessità per il servizio in oggetto
- Definire, seguire, monitorare e notificare lo SLA (Service Level Agreement)
- Effettuare l’assessment del fornitore (audit iniziale e periodici)
Il rappresentante del service provider ha, invece, la responsabilità di:
- Assicurare la competenza e l’opportuno addestramento del proprio staff
- Mantenere opportune procedure per supportare il servizio fornito
- Assicurare che lo staff operi in conformità alle procedure e allo SLA concordati
- Assicurare che i controlli di qualità e le best practice di settore siano integrati nei processi di sviluppo e operativi
GLI ARGOMENTI DEI CONTRATTI
Nelle diverse linee guida troviamo indicazioni sulla struttura e i contenuti che dovrebbero avere i contratti con i fornitori di servizi IT per soddisfare i requisiti GxP.
L’ultima linea guida emessa è la seconda edizione delle GAMP5 (luglio 2022). Questa suggerisce che i contratti verso fornitori di servizi IT includano almeno i seguenti argomenti:
- Ambito
- Descrizione dei servizi forniti
- Tool di supporto (es. service desk, monitoraggio, …)
- Ruoli e responsabilità delle parti coinvolte
- Tempistiche per il reporting, la prioritizzazione e il processamento di richieste e anomalie
- Processo di escalation
- Contatti
- Contract exit (trasferimento di know-how, documentazione/record, codice software, dati)
Secondo le Good Practice Guide (GPG) Infrastructure Control and Compliance - Appendix 7 altri argomenti da includere nei contratti sono:
- Durata e circostanze che determinano la revisione del contratto
- Prerequisiti e coinvolgimento del cliente
- Metriche in forma di KPI
- Registrazioni dimostranti il soddisfacimento e i livelli di servizio specificati, inclusa ownership e modalità di accesso da parte dell’azienda regolata
- Prezzi e penali
- Disponibilità a audit e ispezioni
- Processi da gestire tra le due parti e livelli di servizio
Per le GPG Enabling Innovation, i contratti si distinguono in Service Level Agreement (SLA) e Quality Agreement.
La differenza tra i due documenti è che lo SLA si concentra su processi e relativi KPI (es. upgrade, patch, cicli di rilascio del software, livelli e tempi di risposta del supporto, comunicazione/gestione dei problemi); mentre il Quality Agreement definisce i requisiti per il QMS del provider e le interfacce tra Sistema Qualità del cliente e del fornitore.
Stando alle GPG A risk-based approach to operation of GxP Computerized Systems, il contratto con un provider IT dovrebbe stabilire anche tools, risorse, processi di escalation e reclami, SOP e training richiesti al fornitore.
Ulteriori indicazioni, infine, relative però ai soli contratti in ambito GCP possono essere reperite nella Q&A nr. 8 delle Good Clinical Practice (GCP).
DATA INTEGRITY NEI CONTRATTI
Anche le linee guida di data integrity danno indicazioni sul contenuto dei contratti con i fornitori. In questi dovrebbero essere definiti:
- Le aspettative per la governance dei dati
- Le aspettative per la segnalazione trasparente di errori/deviazioni da parte del contraente al committente
- L’obbligo del service provider di notificare al committente eventuali problemi di integrità dei dati individuati presso la sede del contraente
- Misure di contract exit
I PILASTRI DI UN QUALITY AGREEMENT PER SaaS
In accordo all'articolo "Quality Agreements for SaaS solutions intended for GxP use” pubblicato sulla rivista Pharmaceutical Engineering di Marzo/Aprile 2022, il Quality Agreement per un sistema SaaS dovrebbe essere strutturato in tre macroaree, che corrispondono anche ai tre macro argomenti da prevedere durante un audit a un provider SaaS.
- Infrastructure Quality: include il datacenter, l’hardware delle macchine e la sicurezza ambientale
- Software Quality: è il grado con cui un software soddisfa le specifiche, i requisiti e le aspettative degli utenti. La Software Quality, quindi, implica che il software sia disegnato secondo le best practice per l’ingegneria del software, assicurando sia la qualità funzionale che quella strutturale. La Software Quality è difficile da misurare perché è valutata in modo diverso da utenti, sviluppatori e altri stakeholders.
- Service Quality: deve garantire l’utilizzo di processi e tool di sicurezza adeguati allo scopo, dati accessibili al personale autorizzato, accuratezza, tempestività e completezza nel trasferimento di informazioni e, infine, accuratezza e completezza dei dati dei clienti e accessibilità delle applicazioni.
COSA POSSIAMO FARE PER VOI
Sia che siate un’azienda regolata che deve valutare i propri fornitori, sia che siate un provider IT che ha la necessità di prepararsi al meglio a un audit, Adeodata vi può supportare per:
- Effettuazione di audit ai servizi IT (interni o esterni)
- Redazione e valutazione dei contratti con i vostri fornitori, inclusi i provider di servizi IT
Adeodata mette inoltre a disposizione un ricco catalogo di corsi in house e seminari che comprende anche la formazione sulle tematiche della redazione di contratti e sulla valutazione dei fornitori.
Cover designed by @Freepik
Articolo a cura di
Laura Monti, GxP Compliance Expert di Adeodata