创业公司、云存储和数据完整性:不要让这种事情发生在你身上!
数据完整性对于确保患者健康和安全以及提高股东价值至关重要,
特别是对于那些依赖于他们自己与合作伙伴和供应商之间的合同协议的虚拟公司。创业公司发现自己在管理复杂的药物开发项目的阵痛中意识到,如果他们不以最终为目标,并在早期整合数据完整性实践,他们可能面临巨大的风险。无论是计划成功的申报、上市和可持续运营,还是在成功的二期临床试验结果后努力制定出售新资产的退出策略,了解健壮的数据完整性意味着什么并及早进行规划,都可以防止产品开发生命周期中的严重失败。下面是一些现实生活中的失败例子。
失败# 1:一家虚拟公司正在准备向保健当局提交新药申请。在准备备案的过程中,对数据完整性和文件一致性进行了检查,发现报告数据(如分析证书、批记录)存在差异。发起人、多个合同开发和制造组织(cdmo)以及许多合同测试实验室都在使用各种云存储和协作解决方案来存储和共享数据。由于没有明确的定义、程序或关于来源/原始数据的识别和控制的协议,需要加强审查和数据分析,并与卫生当局进行额外的后续行动。这使得申请提交和所有相关的下游活动推迟了好几个月。
失败# 2:出于项目协作的目的,来自组织外部的项目团队成员可以访问云中的企业数据。项目结束多年后,团队成员与组织不再有任何关系,但他仍然可以访问云中与项目相关的企业数据。在项目完成后,组织中没有人审计用户帐户访问或禁用云数据的共享和协作。
失败# 3:一家完全依赖合作伙伴关系(如临床研究人员、合同制造商/实验室)取得成功的初创虚拟公司,收到了卫生当局关于其新药申请的负面回应。为支持该申请而提交的临床试验数据被发现不可靠并被排除在外。临床试验点未能在GCP下完成研究。多个临床研究地点的研究人员(至少)在与发起人分享研究数据之前粗心大意或故意伪造研究数据。
内容协作是成功的关键因素
在当今时代,如果没有云存储和协作空间,初创公司就无法管理开发项目。大多数初创公司严重依赖合作伙伴和外包模式,而其他公司则完全是虚拟公司,如果没有适当和安全的云存储和协作空间,这些公司特别容易效率低下。(“适当”在这里定义为既符合战略业务目标又符合法规遵从性需求。)初创公司面临这一挑战的原因之一是,这些非常小的公司的创始人、执行领导层和/或高级管理人员通常来自大型或中型公司,这些公司的存储和协作空间很常见,由其他人管理(可能是一个大型而有能力的信息技术部门)。我们发现,在新成立的公司里,许多心怀善意的高管和高层领导只能自己照顾自己,他们默认使用自己熟悉的云存储和协作空间,通常使用他们的个人账户凭证和免费的云协作服务(例如谷歌Drive、iCloud)。
虽然这些免费服务的特点很好,可用于与家庭成员合作制作家庭相册中的照片,但这些供个人使用的免费服务并没有得到适当的提供、访问或保护,以确保药物开发数据的适当管理。这些供个人使用的免费解决方案通常需要免责声明或条款和条件的认可,很少包括与“正常运行时间”或防止数据丢失有关的承诺。然而,对于商业用途的付费产品(例如Dropbox business,谷歌Drive for Work, Microsoft OneDrive for business, Box for business),许多这些熟悉的解决方案将协商服务水平协议,包括“正常运行时间”承诺(在某些情况下,高达99.9%),数据备份,恢复服务和商业用户的技术支持(举几个例子)。在与服务提供商协商时,询问一些明确的问题也很重要,这些问题可能有助于解释风险状况,以帮助做出最适合初创公司需求的有效决策:
- 数据将存储在什么位置(例如,一个或多个站点,在哪些大陆上)?
- 文件将如何被查看/共享以及由谁(例如,仅由具有访问凭据的用户查看/共享,或者是否会“开放”共享公共信息和谁访问了什么内容的记录)?
- 允许哪些类型的文件(即,对特定的文件类型有限制吗)?
- 如何保护文件(例如,什么级别的加密、文件分割和哈希)?
- 如何扩展数据存储(例如,为更多的空间提供和支付)或为数据迁移(例如,转移到不同的提供商或转移到收购公司)提取数据存储?
在当今的商业世界中,计算机化系统的使用实际上是不可避免的。除了数据完整性责任,初创公司的领导层和管理层必须记住,21 CFR第11部分中列出的原则适用于临床研究数据,也适用于后来的商业制造数据。这可能包括但不限于支持监管文件的源数据(例如,临床前或临床研究数据)、机构审查委员会(IRB)材料(例如,会议记录、程序)和正式的机构通信。
特别是在开发阶段,内容的协作和数据的可访问性至关重要。开发团队之间的协作以及团队与其他关键利益相关者(如业务管理、投资者、审查委员会等等)之间的协作对于开发计划的成功非常重要。由于缺乏可见性而导致的沟通中断或延迟会对开发计划的时间线产生显著的负面影响。
“恰到好处”文件控制和记录管理
我们经常发现,创业公司对文档控制和记录管理的严格程度不是过低就是过高。例如,不建议等到开发后期才考虑正式的文档控制或记录管理(太不严谨了)。也不建议在早期开发阶段实现完全健壮的技术解决方案(如中型到大型制药公司的解决方案)(过于严格)。
对于虚拟创业公司来说,有效的方法是应用适当规模的文档控制和记录管理解决方案,这些解决方案将随着药物开发生命周期的发展而发展。这包括对内部文件和记录的控制,以及确保对任何合作伙伴、调查人员、服务提供商等的控制到位。
建议在药物开发生命周期的早期就确定内部文件控制的基本程序(例如,修订历史、文件召回/取代、如何防止删除和未经授权的编辑)。例如,我们发现在基本文档控制框架内创建内部文档要比稍后修改遗留文档并重新培训人员和支持资源更高效和有效。根据21 CFR 56.108的GCP,每个IRB“必须遵循书面程序,进行初步和持续的研究审查,并向研究者和机构报告IRB的发现和行动。”cro和irb必须遵循有效的标准操作程序,其中包括必须由发起人验证的文件控制要求,因为他们对研究负有最终责任。
对于虚拟创业公司来说,对记录管理有基本的了解也是必要的。虽然大多数技术记录确实可能驻留在外部(例如)研究人员站点、合同实验室或cdmo,但发起者有责任确保记录管理和保留政策有效并可操作地执行。建议尽早建立记录管理的基本程序,包括确定所有记录类型的源数据/原始数据的位置。记录内部(如政策、程序、与卫生当局的互动)和外部(如供应商、CDMO、第三方物流)记录地点的记录管理细节。在初创制药公司或其合作伙伴或供应商合并或收购时,由谁在何处存储哪些记录的矩阵对于运营完整性、检查准备和数据迁移具有重要价值。
正如21 CFR 58.195中所述,非临床实验室研究的记录必须保留至少“自非临床实验室研究结果作为申请的一部分提交给FDA之日起5年”,对于没有导致提交支持向FDA申请的研究数据结果,必须保留“自研究完成、终止或中止之日起至少2年”。调查人员的其他记录保留要求(21 CFR 312.62)要求保留“上市申请批准后两年”或“调查停止并通知FDA后两年”。
当组织合并或被收购时,记录的存续期有时比创建它们的公司还长。记录必须受到保护,这既是出于正常业务的考虑,也是出于监管要求。然而,这些记录和数据的可访问性对合作伙伴、供应商和潜在投资者也很重要。不仅必须以确保数据完整性的方式维护这些记录,而且在大多数情况下,还必须应卫生当局的要求,在合理的时间内访问、复制和/或验证这些记录。
作者简介:
基普·沃尔夫(Kip Wolf)是Tunnell咨询公司的负责人,负责数据完整性实践。Wolf拥有超过25年的管理顾问经验,在此期间,他还在一些世界顶级生命科学公司临时担任过各种领导职务。沃尔夫曾在辉瑞合并前的惠氏公司和先灵合并后的默克公司工作过。在这两个案例中,他都领导着业务流程管理(BPM)团队——在惠氏(Wyeth)的制造部门和默克(Merck)的研发部门。在Tunnell,他利用自己的产品开发项目管理经验来提高成功的监管备案和产品发布的概率。他还就数据完整性和质量系统的主题进行咨询、教学、演讲和出版。狼在哪里可以找到Kip.Wolf@tunnellconsulting.com.