De Drug Supply Chain and Security Act (DSCSA) bevat een drietal modewoorden die netjes beschrijven hoe naleving moet worden bereikt: veilig, elektronisch en interoperabel. De eerste twee lijken vrij voor de hand liggende en gemakkelijk na te leven normen. Onze wereld is elektronisch, en hoewel niets ooit 100% perfect is, is veiligheid altijd een belangrijk punt van zorg geweest in ons digitale leven. Interoperabiliteit daarentegen is waar velen in de farmaceutische industrie zich zorgen over maken. En terwijl de meeste aandacht voor dit onderwerp is gericht op het waarborgen dat handelspartners in de toeleveringsketen met elkaar kunnen communiceren - veilig en elektronisch, natuurlijk - is er een stukje van deze puzzel dat grotendeels wordt genegeerd: de kwaliteit van de gegevens.
Met het doel van de DSCSA om de farmaceutische distributie veiliger en beter traceerbaar te maken, zal elke entiteit in de toeleveringsketen verantwoordelijk zijn voor het genereren, ontvangen, opslaan en delen van ladingen informatie. Met het oog op de deadline voor naleving in 2023 moeten deze entiteiten ervoor zorgen dat zij aan de technische eisen voldoen. De vraag of hun huidige systemen en software de vereisten aankunnen, is een belangrijk punt van zorg geworden. Op de tweede plaats komt de vraag of hun handelspartners ook klaar en in staat zijn om zaken te blijven doen binnen dit nieuwe paradigma. Toch mag deze bezorgdheid over een compliant backend niet ten koste gaan van de validering van alle stamgegevens die zij al hebben.
Wat we bedoelen als we het over farmaceutische gegevens hebben
Voor bedrijven die onder de DSCSA vallen, is het soort gegevens waar u mee te maken krijgt, zo ongeveer alles. Het gaat niet alleen om de serienummers van partijen of eenheden, die cruciaal zijn voor de traceerbaarheid, of om de vervaldatum van de licenties van uw partners. Alles moet schoon en accuraat zijn. De contactgegevens van uw klanten en leveranciers zijn belangrijk. Dat geldt ook voor productcodes, financiële informatie, verslagen van verkopen en aankopen, inventaris ... de lijst gaat maar door. Elke byte aan informatie die u opslaat en die relevant is voor uw bedrijf - en dat zou elke byte aan informatie moeten zijn die u opslaat - moet worden behandeld als vitale informatie.
Dit betekent dat al deze gegevens toegankelijk, georganiseerd en nauwkeurig moeten zijn. En elke poging om met de gegevens te werken - of je nu nieuwe informatie invoert, oude informatie oproept of bewerkt, of transacties registreert - moet controleerbaar en rapporteerbaar zijn. Het probleem is dat, terwijl iedereen zich richt op de toekomst en ervoor zorgt dat zijn infrastructuur voldoet aan de eisen van de DSCSA, veel van deze gegevens buiten de kernsystemen van het bedrijf bestaan en niet met dezelfde zorg worden behandeld als zou moeten. Gegevens bestaan in spreadsheets, e-mails en Word-documenten, in communicatiekanalen zoals Teams-chat, of opgeslagen op gedeelde schijven in de cloud. Ondertussen zijn de processen om de gegevens te valideren en/of back-ups te maken onderhevig aan menselijke fouten: iemand verwisselt bijvoorbeeld twee karakters in een serienummer, of slaat kritieke of actieve gegevens op een gedeelde schijf met lage prioriteit op wanneer elk uur snapshots moeten worden gemaakt.
Dit zijn maar een paar voorbeelden van hoe het mis kan gaan, en zelfs als elk van deze potentiële problemen 100% oplosbaar zou zijn, dan nog kost het tijd en geld om die op te lossen. Maar dat is niet alles. Vanwege de interoperabiliteitseisen van de DSCSA hebben onjuiste gegevens niet alleen negatieve gevolgen voor uw eigen interne activiteiten. Uw handelspartners vertrouwen erop dat u hen consistente en nauwkeurige gegevens verstrekt, en één menselijke fout aan uw kant kan zich verspreiden naar verschillende andere schakels in de toeleveringsketen.
Bereid jezelf voor op succes
Met nog iets minder dan twee jaar te gaan voor de definitieve deadline van de DSCSA, is dit het moment om naar al uw gegevens te kijken en een strategie uit te stippelen om alles op orde te houden. Alles wat u hebt geïmplementeerd, of nog gaat implementeren, met het oog op naleving mag niet in een vacuüm bestaan. Als u investeert in nieuwe technologie, houd dan uw bestaande gegevens en processen in gedachten en vraag hoe die allemaal deel kunnen uitmaken van een meer uniforme oplossing. Houd bij uw race naar de DSCSA-finish deze aanwijzingen in gedachten:
- Consolideer zoveel mogelijk op één platform.
Voor de meeste ondernemingen is een Enterprise Resource Planning-platform, of ERP, de plaats waar het grootste deel van de bedrijfskritische informatica plaatsvindt. Dit geldt met name voor elk bedrijf dat deel uitmaakt van een toeleveringsketen, en ERP's zijn de focus van farmaceutische bedrijven die proberen hun weg naar compliance te upgraden. Deze software is de ruggengraat van de activiteiten, en dus is het zinvol om zoveel mogelijk gegevens in het systeem te krijgen. Er was een tijd dat een dergelijke consolidatie als gevaarlijk werd beschouwd, dat een dergelijke opzet niets anders was dan een Single Point of Failure. In de moderne computeromgevingen van vandaag, met virtuele servers die toegankelijk zijn in de cloud en een groot aantal back-upopties, zijn dit verouderde zorgen. Vandaag de dag is het consolideren van gegevens op uw ERP-software meer een Single Point of Truth. - Wil een Single Point of Truth deze naam eer aan doen, dan zijn controle- en rapportagemogelijkheden een must.
Fouten komen voor. Het staat vast dat mensen van tijd tot tijd fouten maken, en dat hoeft niet het einde van de wereld te betekenen. Goede software laat digitale broodkruimels achter wanneer acties worden ondernomen, en laat een controlespoor achter waarmee mensen snel en nauwkeurig kunnen vaststellen hoe, wanneer en door wie gegevens foutief zijn ingevoerd of gewijzigd. - Voorkom fouten voordat ze gebeuren door de toegang tot gegevens te controleren in overeenstemming met de rollen en verantwoordelijkheden van mensen.
Zorg ervoor dat elk systeem waarin u investeert robuuste functies heeft voor het definiëren van gebruikersrollen en de gegevens waartoe zij toegang hebben. Voorbeeld: uw financieel team heeft niet dezelfde informatie nodig als uw magazijnteam; er is geen reden voor hen om toegang te hebben tot zaken als voorraadtellingen en picklijsten. Ze kunnen niet per ongeluk gegevens wijzigen waartoe ze geen toegang hebben. - Voor alle gegevens of taken die niet door een ERP kunnen worden aangepakt, moet u ervoor zorgen dat het systeem dat u gebruikt ermee kan integreren.
Hoewel consolidatie het doel is, is het onrealistisch te denken dat u al uw IT-behoeften met één enkel platform kunt aanpakken. In dat geval is interne interoperabiliteit van cruciaal belang. Wanneer u potentiële nieuwe oplossingen voor uw technische behoeften bekijkt, wilt u er zeker van zijn dat de ontwikkelaars kant-en-klare integraties bieden met uw andere platforms of dat de software op zijn minst een open Application Programming Interface (API) heeft om een integratie op maat mogelijk te maken. - Beleid voor het bewaren van gegevens moet meer omvatten dan alleen wat op een harde schijf is opgeslagen.
Of u het nu leuk vindt of niet, we gebruiken nog steeds in verbazingwekkende mate papier, terwijl elektronische documenten buiten EDI- en EPCIS-software nog steeds de norm zijn. Regelgeving rond retentie geldt niet alleen voor de afzonderlijke stukjes informatie in uw ERP- en andere systemen, zelfs als die gegevens zijn geïmporteerd uit deze meer ouderwetse documenten. Al deze documenten - en ook e-mails - moeten worden bewaard in overeenstemming met de voorwaarden van de regelgeving die de bewaring ervan regelt. - Toegang tot en bescherming van gegevens is een cruciaal onderdeel van uw algemene strategie.
Zoals vermeld in de eerste tip, leeft de meeste bedrijfssoftware in de cloud in een virtuele computerlaag die, door het ontwerp, resulteert in een systeembeschikbaarheid en gegevensbescherming die lichtjaren vooruit is op wat zelfs 5 jaar geleden realistisch was. Dit betekent niet dat u zelfgenoegzaam kunt worden en ervan kunt uitgaan dat de softwareontwikkelaars of serverhosts hetzelfde niveau nastreven als u nodig hebt. Gegevens moeten overal veilig toegankelijk zijn, op elk moment van de dag. Ondertussen moeten gegevensback-ups worden gepland alsof al die cruciale gegevens plotseling ongemerkt kunnen verdwijnen en u niets bent kwijtgeraakt.
Hoewel al deze tips in het algemeen best practices voor computergebruik zijn en niet noodzakelijkerwijs specifiek voor de farmaceutische industrie, betekent dat niet dat ze minder relevant zijn. De goedkeuring van de DSCSA heeft velen in de industrie gefocust op de vereisten van de wet, maar het is belangrijk om te onthouden dat naleving nog steeds slechts een onderdeel is van uw algemene IT-strategie. Het negeren van al deze aspecten ten gunste van het halen van de deadline van 2023 kan uw inspanningen op korte termijn versnellen. Maar de wet is bedoeld als een langetermijnoplossing, en een goede planning ervan moet al deze andere overwegingen omvatten.
