„IT-Vali­die­rung ist kein Selbst­zweck“

Herr Speer, was wird unter der Validierung von IT-Systemen in der klinischen Forschung verstanden? Welche IT-Systeme müssen validiert werden?

Der Begriff der Validierung kommt ursprünglich aus der Softwarequalitätssicherung und man versteht darunter die Prüfung der Eignung einer Software für ihren Einsatzzweck. Nach ISO 9000 versteht man unter Validierung die „Bestätigung durch Bereitstellung eines objektiven Nachweises, dass die Anforderung für einen spezifischen beabsichtigten Gebrauch oder eine spezifisch beabsichtigte Anwendung erfüllt worden ist.“ Dies kann anhand von Konformitätsbewertungen durch Beobachten und Beurteilen begleitet, soweit zutreffend, durch Messen, Testen und Vergleichen erreicht werden. Einfach formuliert, möchte man mit der Validierung eines IT-Systems den Nachweis führen, dass das System das leistet, was es leisten soll. Oder anders, ob man das Nutzungsziel mit dem verwendeten IT-System erreichen kann. 

Damit ist auch klar, welche IT-Systeme validiert werden müssen. Und zwar alle Systeme die für die Erreichung des Zieles eingesetzt werden.

  
Welchen regulatorischen Anforderungen muss eine IT-Validierung in der klinischen Forschung folgen? Wo ist sie vorgeschrieben?

Die Validierung selbst ist in den gesetzlichen Normen und Richtlinien oft nicht explizit erwähnt und vorgeschrieben. Jedoch geben die Regularien wie die ICH GCP-Guideline, der Annex 11 der EU oder eben die 21 CFR Part 11 der FDA sehr konkrete Anforderungen an die eingesetzten IT-Systeme vor. Und für den dokumentierten Nachweis dass die IT-Systeme diesen Anforderungen genügen, ist eben eine Validierung hilfreich und sogar notwendig.

  
Warum ist eine Systemvalidierung in der klinischen Forschung wichtig?

Zum einen ist es ja der Nachweis, dass die IT-Systeme die Anforderungen der obigen Regularien erfüllen. Das ist aber nur eine Seite. Vielmehr sollte man Validierung nicht nur als notwendiges Übel sehen. Die Validierung ist ein wichtiger Schritt beim Verständnis und der Dokumentation der eigenen Prozesse. Sie macht die Prozesse nachvollziehbar und ermöglicht ein kritisches Hinterfragen möglicher Fehlerquellen. Insofern ist Validierung nicht nur ein Selbstzweck.
 

Wie wird IT validiert? Wer nimmt die Validierung vor?  

Für die Validierung gibt es keine spezifische Norm oder ein fest definiertes Vorgehen. Gerade das macht ja die Sache so kompliziert. Oft kommt es zudem auch noch zu einem Missverständnis zwischen der Verifizierung und der Validierung. Während man Systemanforderungen in einem Systemtest verifizieren kann, muss man Nutzeranforderungen validieren.

Eine allgemein akzeptierte Vorgehensweise für die Validierung ist die Good Automated Manufacturing Practice (GAMP)-Leitlinie. Diese Leitlinie und ihre begleitenden Regelwerke definieren quasi den Industriestandard, wie in klinischen Studien (GxP-Umfeld) IT-Systeme zu betreiben und zu qualitätssichern sind. Sie stellen zwar keine gesetzliche Richtlinie dar, sondern sind eher unverbindlich, werden aber dennoch als Referenz betrachtet.

Für die Validierung ist immer der Betreiber des IT-Systems verantwortlich. Dieser wird oft auch als Systemeigner bezeichnet. In die Validierung selbst sind dann entsprechend der Prozesse die verschiedensten Funktionsrollen involviert.  
 

Auf welchem Stand sind die IT-Systeme, die Forschungsverbünde in klinischen Studien anwenden, heute?

Die Qualität der in den Forschungsverbünden eingesetzten IT-Systeme haben in den letzten Jahren einen immer besseren Stand erreicht. Die selbst programmierten Softwarelösungen auf der Basis von Office-Lösungen wie Excel oder Access wurden immer mehr von professionellen Softwareprodukten abgelöst. Parallel dazu wurden durch die Koordinierungszentren für Klinische Studien (KKS) auch die Gesamtprozesse immer weiter professionalisiert. Auf der anderen Seite aber fehlen aber durch knappe Budgets die Ressourcen für eine entsprechende Validierung. Sehr oft kommt die Frage nach der Validierung erst sehr spät, nicht selten wenn das Projekt schon längst begonnen hat und die ersten Inspektionen vor der Tür stehen.
 

Sie führen eine Fortsetzung von vorangegangenen TMF-Projekten zur Systemvalidierung durch. Warum ist eine Überarbeitung notwendig? Welche Herausforderungen sehen Sie für Forschungsstandorte und Auditierungsverantwortliche? Wie kann das TMF-Projekt dabei helfen, diese Herausforderungen zu bewältigen?

In der TMF wurde schon sehr früh der Bedarf an einer Unterstützung der Validierung in den Forschungsverbünden erkannt. Es wurden in mehreren Projekten entsprechende Dokumente und Konzepte erarbeitet. Es gab Schulungen und es wurde Validierungskompetenz in den Verbünden geschaffen. Die Schaffung von Validierungskompetenz ist jedoch kein einmaliges Vorhaben, sondern erfordert ein kontinuierliches Vorgehen. Parallel dazu kommen auch immer neue Forschungsverbünde dazu. Diese müssen schon frühzeitig entsprechend beraten werden. Das Ziel des jetzigen Projektes ist es somit nicht nur die Dokumente zu überarbeiten und zu aktualisieren, sondern auch ein Vorgehen zu entwickeln, wie die Forschungsverbünde bei ihrer Validierung kontinuierlich begleitet werden können.
 

Herr Speer, wir danken für das Gespräch! 

Das Interview führte Inger Neick.

Ronald Speer ist Mitarbeiter am Institut für Medizinische Informatik, Statistik und Epidemiologie (IMISE) der Universität Leipzig sowie am ZKS Leipzig.

Das Interview erscheint auch in der Zeitschrift E-Health-COM 2/3 | 2016.