Datoriserade system används idag i nästan alla delar av GxP-verksamheten. De är avgörande för: produktion, kvalitet, analys, dokumentation, spårbarhet och beslutsfattande.
Inledningsvis myndigheterna – EMA, FDA och andra globala regulatorer – har på senare år blivit betydligt tydligare med vad de förväntar sig. Kraven har inte bara ökat i omfattning, utan också i detaljnivå.

Det centrala budskapet är gemensamt i alla guidelines:
➡️ Systemets livscykel ska vara vara en integrerad och aktiv del av företagets kvalitetsledningssystem (QMS).

---

Har förväntningarna ökat?

De senaste årens uppdatering av regulatoriska- och guidelines-dokument visar framför allt tre klara trender och en bubblare:

1. Ökad fokus på dataintegritet och spårbarhet

Inspektioner fokuserar nu på hur organisationer kontrollerar sina system – inte bara på om systemen var validerade vid go-live.
Granskning av Audit trail, rollstyrning, övervakning och ändringshantering har således blivit betydligt hårdare än för 5–10 år sedan.

2. Livscykelstyrning, inte punktinsatser

GAMP 5 (2nd Edition) och draft Annex 11 betonar livscykeln som ett helhetskoncept där ”hela resan” måste vara dokumenterad och riskbaserad:

• planering
• anskaffning
• införande
• drift och förändring
• avveckling

Validering behöver alltså gå från ”testning av ett system” till kontinuerlig livscykelvalidering.

3. Större ansvar för leverantörer och molntjänster

Annex 11 och FDA är tydliga:
Den som använder systemet har alltid det regulatoriska ansvaret, även när en molnleverantör levererar det.

Leverantörsbedömning, Service level agreement (SLA:er), dataskydd och modelltransparens (för algoritm eller AI-modell) är nu självklara inspektionspunkter.

Bubblare: AI-system driver ytterligare förväntningar

EMA:s nya Annex 22 Artificial Intelligence (draft) och FDA:s PCCP-guidance för Medical device (Marketing Submission Recommendations for a Predetermined Change Control Plan for Artificial Intelligence-Enabled Device Software Functions) är en viktig markör:
Myndigheter förväntar sig att organisationer styr även AI-system genom hela livscykeln – med fördefinierade gränser, mätbara kriterier och tydligt ansvar för framtida ändringar.

➡️ Detta driver också upp förväntningarna på traditionella IT-system: kontroller ska vara robusta, spårbara och datadrivna.

---

Vad säger myndigheterna?

Nedan följer en sammanställning av centrala regulatoriska krav rörande systemlivscykel:

GAMP 5 (2nd Edition) – branschstandarden för livscykelarbete

GAMP 5 är tydlig:
Datoriserade system ska styras genom hela sin livscykel med en riskbaserad strategi.
Nytt i 2nd Edition är ett ännu större fokus på:

• Proportionalitet och skalbarhet
• Dataintegritet och governance (Governance = strukturerad styrning och ansvar för system och processer – från strategi till drift och förbättring. Det handlar således inte bara om att ha en process, utan om hur processen kontrolleras, ägs, efterlevs och förbättras).
• Molnbaserade lösningar och delat ansvar
• Kontinuerlig övervakning och förbättring
• AI/ML och adaptiva system

Sammanfattningsvis livscykeln är inte något man ”gör en gång” – den är en del av företagets dagliga QMS.

---

EU Annex 11 draft – krav på kontroll, ansvar och dokumentation

Annex 11 draft ställer ytterligare krav på:

• dokumentation genom hela livscykeln
• riskbedömningar för både system och processer
• ändringshantering
• leverantörsbedömning
• säker drift, audit trail och åtkomstkontroll
• avveckling och arkivering

Annex 11 pekar också ut att organisationen aldrig får förlora kontrollen över sitt system, även när det är externt utvecklat eller molnbaserat.

FDA – Part 11, CSA och PCCP

FDA fokuserar huvudsakligen på tre centrala teman:

1. Part 11
Elektroniska data och signaturer måste vara:

• spårbara
• korrekta
• skyddade
• granskningsbara

2. CSA (Computer Software Assurance)
FDA uppmuntrar riskbaserad validering men förväntar sig samtidigt tydlig styrning, dokumentation och verifierbara kontroller.

3. PCCP för AI/ML-system Medical device
FDA:s -guidance ”Marketing Submission Recommendations for a Predetermined Change Control Plan for Artificial Intelligence-Enabled Device Software Functions. Guidance for Industry and Food and Drug Administration Staff (August 2025)” gäller för Medical device men kan antas bli motsvarande för läkemedel då likheter finns i EMAs draft av Annex 22: Artificial Intelligence (nytt annex).

FDA:s -guidance beskriver särskilt:

• hur framtida ändringar ska styras
• vilka modeller som får uppdateras
• vilka parametrar som är kritiska
• hur prestanda ska övervakas och verifieras
• vilka guardrails^* som måste vara på plats
• hur versioner och träningsdata ska spåras

Sammantaget är detta tydligt högre krav än för traditionell mjukvara – och speglar en generell regulatorisk rörelse mot starkare livscykelkontroll.

* Guardrails är de ”skyddsräcken” som håller ett system eller en modell inom säkra och regulatoriskt kontrollerade gränser.

• definierar vad som får ändras
• stoppar det som inte får ändras
• säkerställer att ändringar fortsätter vara validerade
• är centrala i både GAMP 5 och FDA:s PCCP-tänk

🧭 Sammanfattning: Myndigheterna förväntar sig mer – och tydligare – livscykelhantering än någonsin

Internationella myndigheter och standardiseringsorgan är följaktligen helt eniga:
Företag måste visa kontroll, ansvar och spårbarhet genom hela systemets livscykel.

Allt som allt – förväntningarna har ökat.
Drivkrafterna är:

• ökade datamängder
• fler integrerade och molnbaserade system
• högre regulatoriskt fokus på dataintegritet
• större beroende av digitala processer
• utvecklingen av AI-baserade system

Mot den bakgrunden så är systemets livscykel inte längre ett ”bra att ha” – den är en förutsättning för compliance, robust verksamhet och patientsäkerhet.

---

💡 SallyQ – vi gör det enkelt att göra rätt

Vi stöttar företag genom alla delar av systemlivscykeln:

Oavsett om det gäller ett lokalt labbsystem, ett globalt molnsystem eller ett AI-drivet beslutsstöd. Vill du veta hur vi kan stärka era system och ert QMS?

 👉 Kontakta oss här Kontakt