Regulatory Life Cycle
In regulierten Sektoren erfahren sowohl Unternehmensprozesse als auch Produkte eine fortschreitende Digitalisierung. Der Einsatz von künstlicher Intelligenz (KI) ist hierbei ebenso auf dem Vormarsch. KI spielt eine entscheidende Rolle in jedem Abschnitt des regulatorischen Lebenszyklus. Angefangen bei der Konzeptionsphase bis hin zur Überwachung nach Markteinführung eröffnen Lösungen, die auf KI basieren, Möglichkeiten zur Steigerung der Effizienz und zur Reduzierung regulatorischer Komplexität. Dies bringt zwar neue Herausforderungen im Bereich der Regulierung und Compliance mit sich, bietet jedoch gleichzeitig bedeutende Chancen. Doch wie funktioniert das genau?
Regulierung und Compliance – Anforderungen und Entwicklungen
Unternehmen im pharmazeutischen und medizintechnischen Umfeld bewegen sich in einer hohen regulatorischen Dichte. Gesetzliche Vorgaben, Standards und Normen sowie Guidelines von Regulierungsbehörden definieren einen strikten Rahmen für die Entwicklung, Zulassung, Vermarktung („Inverkehrbringung“) und Marktbeobachtung von medizinischen bzw. pharmazeutischen Produkten. Die Vorgaben definieren die Standards für „Gute Arbeitspraxis“ (GxP); übergeordnetes Ziel und Anliegen ist die Sicherheit von Produkten und der Schutz von Patienten.
Regulierte Prozesse finden sich auf allen GxP-Stufen im Regulatory Life Cycle – von der Entwicklung neuer Produkte, Methoden, Verfahren, Wirkstoffen etc. (Innovation) über ihre Zulassung, die Herstellung und Distribution bis hin zur Beobachtung der Produkte auf dem Markt. Hersteller, Zulieferer und „Inverkehrbringer“ sind verpflichtet, unternehmensinterne Prozesse so zu definieren und implementieren, dass sie den regulatorischen Vorgaben entsprechen. Die unternehmensinterne Prozesswelt muss nach den regulatorischen Vorgaben gestaltet sein; dies ist die Voraussetzung für die Annahme, dass „richtige“ und wirksame Vorkehrungen für Produkt- und Patientensicherheit getroffen wurden. Auf dieser Grundlage erfolgt denn auch die Zulassung bzw. (Re-)Zertifizierung von Unternehmen im Rahmen von Audits; Abweichungen oder Unzulänglichkeiten bei unternehmensinternen Prozessen – gemessen an den regulatorischen Vorgaben – ziehen negative Konsequenzen nach sich, von Auflagen über Verpflichtungen zu Nacharbeiten, zu Abmahnungen („warning letters“) und zur vollständigen Einstellung des Geschäftsbetriebs.
Digitalisierung in regulierten Branchen
Auch in regulierten Branchen nimmt der Grad an Digitalisierung zu. Dies gilt sowohl für Unternehmensprozesse als auch für Produkte; in beiden Bereichen ist die Entwicklung sehr dynamisch: Die Zahl integrierter, vernetzter oder eingebetteter Software-Systeme in Unternehmen wächst; immer mehr digital unterstützte Produkte kommen zum Einsatz. Software-Systeme und -Komponenten, die Methoden und Technologien der Künstlichen Intelligenz (KI) nutzen, sind auf dem Vormarsch.
Computer System Validation (CSV)
Für Software-Systeme in regulierten Branchen – Medizintechnik, Pharma, Biotechnologie etc. – muss der dokumentierte Nachweis erbracht werden, dass sie vordefinierten Spezifikationen entsprechen und das Anforderungsprofil im Betrieb erfüllen; zu jedem Zeitpunkt muss die IT-Compliance gewährleistet sein: Software muss im Einsatzkontext getestet und dokumentiert sein; sie muss nachweislich die spezifizierten Funktionalitäten vorweisen; (Konfigurations-)Änderungen müssen innerhalb formalisierter und nachvollziehbarer Change-Prozesse ablaufen; die „Traceability“, also die Nachvollziehbarkeit von Änderungen durch Dokumentation und Verweis auf betroffene Prozesse ist zu gewährleisten. Dieser Nachweis wird durch Computer System Validation (CSV) nach vorgegebenen Industriestandards – FDA-Guidelines, GxP-Richtlinien, IEC 62304 – erbracht. CSV ist immer dann gefordert, wenn Compliance-kritische Prozesse betroffen sind; CSV findet auf allen GxP-relevanten Stufen statt.
Künstliche Intelligenz in regulierten Branchen
Das Europäische Parlament definiert „Künstliche Intelligenz“ als „die Fähigkeit einer Maschine, menschliche Eigenschaften wie logisches Denken, Lernen, Planen und Kreativität zu imitieren“. Und weiter: „KI ermöglicht es technischen Systemen, ihre Umwelt wahrzunehmen, mit dem Wahrgenommenen umzugehen und Probleme zu lösen, um ein bestimmtes Ziel zu erreichen. Der Computer empfängt Daten (die bereits über eigene Sensoren, zum Beispiel eine Kamera, vorbereitet oder gesammelt wurden), verarbeitet sie und reagiert. KI-Systeme sind in der Lage, ihr Handeln anzupassen, indem sie die Folgen früherer Aktionen analysieren und autonom arbeiten.“
Beim Einsatz von KI sind aktuell noch regulatorische Lücken erkennbar. Den übergreifenden Rahmen dafür stecken u.a. aktuelle EU-Regulierungen zum Umgang mit Daten ab: Der Data Act (DA) wurde im Juni 2023 verabschiedet; der Data Governance Act (DGA) wurde im September in Kraft gesetzt; mit dem EU AI Act liegt die weltweit erste Regulierung von KI vor; ein risikobasierter Ansatz wird verfolgt. In diese Rahmenbedingungen muss auch die Anwendung von KI in regulierten Branchen eingebettet sein. Von Relevanz sind zudem internationale Bemühungen zu branchenspezifischen Regulierungen zu KI. Aktuell sind noch keine verbindlichen Vorgaben formuliert, sondern eher Leitlinien für die – ethisch und technologisch – korrekte Entwicklung von KI-basierten Systemen; für den Betrieb und die Anwendung geben diese Leitlinien noch keine ausreichende Antwort. Die Interessensgemeinschaft der „Benannten Stellen“ für Medizinprodukte stellt zwar einen High-Level Questionnaire „Artificial Intelligence in medical devices“ zur Verfügung, der allerdings nicht auf die konkreten Anforderungen unterschiedlicher Arten von KI, zu deren Anwendung und Validierung eingeht.
Künstliche Intelligenz für Regulatorische Aufgaben
KI im Regulatory Life Cycle
Der Regulatory Life Cycle umfasst unterschiedliche Phasen und Stadien. Vereinfacht gesprochen, erstreckt sich die Aufbauphase („build“) vom Entwurf und der Entwicklung innovativer Lösungen über ihre klinische Prüfung und Dokumentation bis hin zur Zulassung von Medizinprodukten. In der Betriebsphase („run“) geht es insbes. um Herstellung und Distribution von zugelassenen Produkten, einschließlich geeigneter Prozesse zum Qualitätsmanagement; und es geht um die Marktbeobachtung, also die kontinuierliche Risikobewertung durch Nachverfolgung von Medizinprodukten in der Anwendung.

Software-Systeme zur Unterstützung von GxP-relevanten Prozessen kommen in allen Stadien zum Einsatz; es stellt sich die Frage, welchen Beitrag KI-basierte Lösungen zur Bewältigung von GxP-relevanten Aufgaben leisten können.
Digitalisierung findet also durchgängig statt. Folglich ist die regulatorische Anforderung, dass Software-Systeme validiert werden müssen und ihr ordnungsgemäßes Funktionieren dokumentiert sein muss, für den gesamten Lebenszyklus von Bedeutung. Auch hier stellt sich die Frage, welche Bedeutung KI haben kann, um Aktivitäten im Rahmen der Validierung zu unterstützen; im Gegenzug ist zu klären, wie KI-basierte Systeme selbst validiert werden können, also wie die regulatorische Forderung speziell für KI eingelöst werden kann. Generell liegt das Potenzial von KI für die regulatorische Praxis und für CSV in ihrem möglichen Beitrag zur Automatisierung von Prozessen, zur Reduktion von Komplexität und zur Verbesserung der regulatorischen Zuverlässigkeit.

Dokumentenmanagement mit KI
Man muss nicht mit Papier arbeiten und alles per Hand machen – digital gelingt Compliance besser!

Compliance-Management und Prozessunterstützung mit KI
Komplexität bekommt man mit automatisierten Prozessen gut in den Griff!

KI für die Marktbeobachtung: Eine Chance für PMS und PV
Wer seine Produkte auf dem Markt beobachten muss, braucht gute Tools. KI nimmt einem viel Arbeit ab!

Automatisierung von CSV mit Künstlicher Intelligenz
Selbst validieren müssen oder validieren lassen? CSV-Automatisierung ist der nächste Schritt.

Wie KI validieren?
Wer KI nutzt, muss KI auch validieren. Nur wie?
Wissenswertes | News | Aktuelles
Digitale Transformation des Qualitätsmanagement beim Blutspendedienst des Bayerischen Roten Kreuzes mit DHC VISION
Der Blutspendedienst des Bayerischen Roten Kreuzes (BSD) hat 2023 erfolgreich die Softwarelösung DHC VISION eingeführt, um seine...
RegTech Insights: DHC VISION eTMF: Mit dem digitalen Prüfarztordner (eISF) Patientendaten sicher verwalten
Das Managementsystem DHC VISION unterstützt klinische Studien mit einem digitalen Trial Master File (eTMF). Jetzt wurde die Lösung um den...
Die Kliniken Maria Hilf setzen für die Informationssicherheit und den Datenschutz auf die Branchen- und Lösungskompetenz der DHC
Die Kliniken Maria Hilf setzen für die Informationssicherheit und den Datenschutz auf die Branchen- und Lösungskompetenz der DHC Business...