DIRA Data Integrity Risk Assessment: wie man sie Schritt für Schritt durchführt

DIRA Data Integrity Risk Assessment: vollständige operative Methode

Das DIRA – Data Integrity Risk Assessment ist ein zentrales operatives Instrument, um Risiken für GxP-Daten zu bewerten und zu minimieren. Im Folgenden findest du eine praxisorientierte Anleitung für eine methodische Umsetzung, basierend auf den Best Practices aus dem Leitfaden ALCOA+ & Data Governance.

1. Definition des Umfangs

Lege fest, was du analysierst:

  • ein System (z. B. LIMS, HPLC)
  • einen Prozess (Batch Record Review, Wägeprozesse, Abweichungsmanagement)
  • einen Bereich (QC, Produktion)

Eine wirksame DIRA setzt einen klar definierten Umfang voraus.

2. Bildung des Teams

Das Team sollte immer folgende Rollen enthalten:

  • QA (Gewährleistung der Compliance)
  • IT/CSV (bei IT-/Computersystemen)
  • Fachexperten (Analysten, Operatoren)
  • Data Owner
  • Bereichsverantwortliche/r

3. Abbildung des Datenflusses

Dies ist eine der kritischsten Phasen.
Mappe alle Phasen des Data Lifecycle:
Generierung → Aufzeichnung → Verarbeitung → Review → Archivierung → Wiederherstellung → Vernichtung

Erfasse für jeden Punkt:

  • beteiligte Personen
  • eingesetzte Instrumente und Systeme
  • Datenträger (papierbasiert/elektronisch)
  • potenzielle Risiken

4. Identifizierung der Risiken

Für jeden Punkt analysierst du die 9 ALCOA+-Attribute:

  • Attributable: geteilte Accounts, fehlende Unterschriften
  • Legible: unleserliche Formulare, veraltete Formate
  • Contemporaneous: Backdating, verspätete Einträge
  • Original: Veränderbarkeit von Rohdaten, unkontrollierte Kopien
  • Accurate: Rechenfehler, nicht nachverfolgbare Re-Integrationen
  • Complete: fehlende Daten, unvollständige Speicherungen
  • Consistent: inkonsistente Zeitstempel
  • Enduring: leicht verderbliche oder instabile Datenträger
  • Available: nicht wiederauffindbare Daten oder ungetestete Backups

5. Bewertung von Schweregrad × Wahrscheinlichkeit × Entdeckbarkeit

Nutze eine qualitative Skala (hoch/mittel/niedrig) oder ein numerisches Punktesystem.
Identifiziere dabei inakzeptable Risiken.

6. Ermittlung bestehender Kontrollen + Gaps

Beispiele für Kontrollen:

  • aktivierter Audit Trail
  • Vier-Augen-Prinzip / Doppelsignatur
  • kontrollierte Formulare
  • automatische Backups
  • validierte Berechnungen
  • individuelle Benutzerzugänge

Identifiziere, welche Kontrollen fehlen bzw. unzureichend sind.

7. Minderungsmaßnahmen (Mitigation Actions)

Konkrete Beispiele aus dem Leitfaden:

  • Audit Trail aktivieren und wöchentlich überprüfen
  • SOP für manuelle Integration von Chromatogrammen einführen
  • gemeinsame Benutzerkonten abschaffen
  • zentrale Backups mit regelmäßigen Restore-Tests implementieren
  • Pflichtbegründung für HPLC-Reinjektionen einführen

⚠️ Achtung auf …

  • zu allgemeine Analysen (von Inspektoren nicht akzeptiert)
  • fehlende Dokumentation von Kriterien und Bewertung
  • ausschließliche Fokussierung auf organisatorische Maßnahmen ohne technische Kontrollen
  • pauschale Einstufung aller Risiken als „mittel/niedrig“ ohne Begründung

🔧 Umgang mit einer Nichtkonformität

Wenn eine DIRA schwerwiegende Risiken aufdeckt (z. B. nicht wiederherstellbare Daten, deaktivierter Audit Trail):

  • eine Abweichung eröffnen
  • Root Cause Analysis durchführen
  • technische und organisatorische CAPA-Maßnahmen umsetzen
  • die DIRA nach Implementierung der Maßnahmen aktualisieren

🧰 GMP Best Practices

  • Methoden, Annahmen und Bewertungskriterien stets dokumentieren
  • Anwender einbeziehen, die den realen Prozess tatsächlich kennen
  • DIRA-Maßnahmen mit dem CAPA-System verknüpfen
  • die DIRA jährlich oder nach Prozessänderungen überprüfen

Zusammengefasste operative Checkliste

  • Umfang klar definiert
  • vollständige Datenflusskarte erstellt
  • ALCOA+-Analyse für jeden Schritt durchgeführt
  • Risikobewertung mit klaren Kriterien
  • Gaps identifiziert
  • Minderungsmaßnahmen mit Verantwortlichen zugeordnet
  • Maßnahmen in CAPA integriert
  • Review-Termin geplant

Realistischer Use Case

QC-HPLC-System:

  • Risiko: manuelle Re-Integration ohne Audit Trail → hoch
  • Maßnahme: Audit Trail aktivieren + SOP für Begründung der Integration + stichprobenartige QA-Überprüfung

Schlussfolgerung

Eine gut durchgeführte DIRA reduziert Risiken und Abweichungen, erhöht die Datenqualität und stellt die Audit-Readiness sicher. Mehr dazu findest du im vollständigen Leitfaden auf GuideGxP.com.

Zurück zum Blog

Suchst du etwas Bestimmtes?

ENTDECKE DEN GESAMTEN GXP-KATALOG