Behöver du oroa dig för uppdateringen av Annex 11 Computerised Systems?
Vi frågade Jenny och Jonas, 2 av våra experter inom datoriserade system. Så de har dykt ner i draft-versionen av EU GMP Annex 11 Computerised Systems och i den gällande versionen samt de inkomna remisskommentarerna för att hitta svaret.
De konstaterar:
Kort svar: Nej – du behöver inte oroa dig.
Men: du bör vara förberedd.
Dom är lite hemlighetsfulla när ”Jokern” kommer på tal.
🔍 Varför uppdateras Annex 11?
Jenny:
”Sedan den nuvarande versionen publicerades 2011 har det ju hänt en hel del. Vi jobbar idag med molnbaserade system, agila utvecklingsmetoder och till och med AI i GxP-processer. Därför är det helt enkelt dags att regelverket kommer ikapp verkligheten.
Jonas:
”Precis. Det handlar inte bara om helt nya krav, utan också om en hel del förtydliganden av befintliga krav. Myndigheten vill säkerställa att digitalisering och automatisering hanteras med samma riskbaserade synsätt som allt annat inom GxP.”
📘 Vad är nytt?
Jenny:
”Om vi börjar med det uppenbara – dokumentet har vuxit. Från fyra till fjorton sidor med kravtext och ytterligare några sidor med information. ”
Jonas:
”Men låt dig inte luras av det. Mycket är sådant som redan finns i andra guidelines. Det som tillkommit handlar däremot främst om hur saker ska göras – inte bara vad som ska göras. Lite konstigt egentligen – utveckling och ny teknik gör ju att vi måste ändra sättet hur vi gör saker på för att visa att vad är uppfyllt.
Jenny:
”Flera negativa remisskommentarer rör faktiskt den ökade definieringen av hur.” Men nu tillbaka till frågan.
⚙️ Vad innebär uppdateringen för din organisation?
För de flesta organisationer som redan arbetar enligt GxP-principer är det här ingen revolution – snarare en evolution.
Samtidigt finns det några områden kräver extra fokus:
🧭 Riskbaserad livscykelstyrning
Valideringsomfattning, designval och kontroller ska nu styras tydligare av Quality Risk Management (QRM) t ex enligt ICH Q9(R1).
Fokus flyttas dessutom mot dokumenterade riskbedömningar per krav/funktion och mot att motivera varför ett visst test eller kontroll räcker. Vilket således leder oss in på nästa område.
🧾 Kravhantering och spårbarhet
”URS ska vara ett levande dokument”, som Jenny uttrycker det.
Alla krav ska uppdateras löpande vid varje ändring och vara spårbara till design och testfall. I praktiken krävs mer disciplin i kravhantering och spårbarhetsmatriser – särskilt vid konfigurationsändringar. Konsekvensen av detta blir också att ha bättre koll på leverantören.
☁️ Leverantörs- och tjänstestyrning
Du behöver kunna visa att du har kontroll – även över dina leverantörer.
Formalisera därför leverantörsavtalen (SLA), systemets nyckeltal (KPI) , kontrakt, audits, exit-strategier och stöd vid inspektioner.
Det handlar om att gå från “vi litar på leverantören” till “vi övervakar aktivt och dokumenterar det”. Detsamma gäller också behörighetshanteringen.
🔐 Identitet och behörigheter (IAM)
- Unika konton och förbud mot delade inloggningar (utom read-only).
- Striktare lösenordspolicyer och automatisk utloggning vid inaktivitet.
- Utför regelbundna och dokumenterade granskningar av roller och behörigheter.
📋 Audit trail-granskning
Audit trails ska alltid vara aktiva, låsta och tydligt visa who/what/when/why.
Granskning ska dessutom ske oberoende, sökbart och helst före batch release. Detta leder oss vidare till larmen – speciellt bacthrelaterade.
🚨 Larmhantering
Alla larm – särskilt kritiska – måste granskas regelbundet, loggas och bekräftas med kommentar.
Det innebär att ni behöver tydliga roller, rutiner och periodiska genomgångar av larm-loggar.
🧱 IT-säkerhet
Här skärps tonen mest: patchning i tid, segmentering, brandväggsregler, antivirus, USB-kontroller, penetrationstester och krypterad fjärraccess blir centrala krav.
IT och QA behöver därför samarbeta ännu tätare – säkerhetsarbetet blir en del av GMP-efterlevnaden. Således leder detta också till fokus på hantering av data.
💾 Backup och arkivering
Båda processerna ska vara separata, validerade processer med tydliga krav på frekvens, retention, fysisk/logisk separation och dokumenterade restore-tester. Således en naturlig del systemöversynen.
🔁 Periodiska granskningar
Systemöversyner ska nu inkludera checklistor över ändringar, konfigurationer, audit trails, åtkomster, incidenter, SLA/KPI, backup och nya regulatoriska krav.
I praktiken blir det att ni behöver införa ett planerat, tvärfunktionellt forum med uppföljning och åtgärder.
💡 Vad kan du göra redan nu?
Jonas:
”Det bästa du kan göra är att börja tidigt – utan att överarbeta. Kartlägg, ifrågasätt, och dokumentera det du redan gör.”
Jenny:
”Precis. Förberedelser handlar inte om att skriva mer – utan om att veta vad du har, hur det fungerar och hur du kan visa det. Sunt förnuft helt enkelt. ”
Tre saker att börja med redan idag:
- Kartlägg dina datoriserade system – särskilt spårbarhet från krav till testfall.
- Granska audit trails och backuper – är de tillgängliga, testade och riskbaserade?
- Se över leverantörsavtal – finns tillgång till rätt dokumentation och uppföljning av SLA:er?
🧩 Jenny och Jonas slutsats
Du behöver inte oroa dig – men du behöver vara proaktiv.
Den här uppdateringen handlar mer om att skapa robusthet och transparens än om nya regler.
Jenny:
”Jag ser det här som ett bra tillfälle att stärka samarbetet mellan QA och IT. Många företag behöver just det.”
Jonas:
”Håller helt med. Det här är en chans att gå från efterlevnad till faktisk förståelse – att kvalitet och säkerhet hänger ihop även i den digitala miljön.”
Summa summarum, mycket har ni säkert redan på plats och det finns tid att förbereda dig.
🧭 Vill du veta hur du kan förbereda din organisation?
Kontakta oss på SallyQ – vi hjälper dig att navigera förändringen på ett sätt som stärker både kvalitet och kultur.
Framöver kommer vi djupdyka i fler delar av Annex 11, bland annat:
”Jokern i draften” – kommer den få vara kvar, och hur kan den spelas?
Så håll utkik!
SV_SE 
EN