VERİ YÖNETİŞİM SİSTEMİ (DATA GOVERNANCE SYSTEM)

Veri yönetişimi, PIC/S otoritesi tarafından, “Veri kalitesinin güvencesini sağlayan

düzenlemelerin toplamı“ olarak tanımlanmaktadır.

Bu düzenlemeler; verinin üretildiği, kaydedildiği, işlendiği, saklandığı, alındığı ve kullanıldığı

süreç, format veya teknolojiden bağımsız olarak özgün, doğru, eksiksiz, tutarlı, kalıcı ve
kullanılabilir olmasını sağlamaya yardımcı olmaktadır. Ayrıca verinin yaşam döngüsü boyunca
kayıt altına alınabilmesini de sağlamaktadır.

Veri yönetişimi, MHRA tarafından ise, “Verilerin, üretildikleri formattan bağımsız olarak
kaydedilmesi, işlenmesi, saklanması ve veri yaşam döngüsü boyunca kayıt edilmesini sağlamak
için kullanılmasıyla ilgili düzenlemeler.” şeklinde tanımlanmaktadır. [MHRA Guidance:
‘GXP’ Data Integrity Guidance and Definitions, Revision 1, March 2018, Medicines &
Healthcare products Regulatory Agency (MHRA),
www.gov.uk/government/organisations/medicines-andhealthcare-products-regulatory-agency.
]

Veri yönetişim sistemi, kalite risk yönetimi ilkeleri ile uyumlu olan veri yaşam döngüsü
kapsamındaki kontrolleri sağlamalıdır. Bu kontroller ise özetle aşağıdaki gibi ele alınabilir:

 Organizasyonel
o Prosedürler: Kayıtların tamamlanması ve saklanması (record retention),
o Personelin eğitimi ve veri oluşturma ile onay için dokümante edilmiş yetki
belgesi,
o Verini nasıl oluşturulduğu, kayıt altına alındığı, işlendiği, saklandığı, ve
kullanıldığı bilgisi ile aynı zamanda risk ve fırsatların etkin bir şekilde kontrol
edildiği bir veri yönetim sistemi tasarımı,
o Rutin veri doğrulaması,
o Periyodik gözetimler, örneğin, veri yönetim sisteminin etkinliğinin
doğrulanmasını amaçlayan bir iç denetim mekanizması.
 Teknik
o Bilgisayarlı sistem validasyonu, kalifikasyonu ve kontrolü,
o Otomasyon,

Veri yönetişimin önemli bir diğer unsuru ise “insan” dır.

Veri yönetişim sisteminin insan- süreç ve teknoloji kapsamında ele alınması özetle aşağıdaki
gibi açıklanabilir [ISPE- GAMP sy 31]:

Anahtar İnsan Süreç Teknoloji

Kavram
Veri Güçlü çalışan bağlılığı Veri bütünlüğü ve bilgisayar Sistemin
Yönetişimi ile liderlik ve vizyonda sistemi validasyonu ile fonksiyonelliğine
var olan kültürel paydaş eğitim kayıtlarını erişimi sorumluluk
mükemmellik içeren sistem eğitimi. ve yetkinliğe göre
sınırlandıran
ayrıntılı erişim
kontrolü

Etkili bir veri yönetişim sistemi, üst yönetimin kurumsal kültür ve davranış kombinasyonu için
mevcut ihtiyaçları ile veri kritikliği, riski ve yaşam döngüsünü içeren etkin bir veri yönetişim
sistemi anlayışının varlığını ve bu sisteme bağlılığını ortaya koymaktadır.

Kuruluşun veri yönetişimi ile ilgili düzenlemeleri farmasötik kalite sistemlerinde dokümante
edilmeli ve düzenli olarak gözden geçirilmelidir. ICH Q9 prensiplerini kullanarak, veri
bütünlüğü üzerindeki olası riski en aza indirmek için sistemlerin ve prosedürlerin
uygulanmasından ve kalan riskin belirlenmesinden üst yönetim sorumludur. Kontratlı iş
yapılması durumunda ise, kontratlı tarafın veri yönetim politikaları ve kontrol stratejileri
tedarikçi güvence programlarının bir parçası olarak gözden geçirilmelidir.

Veri Yönetişimi için Risk Yönetimi Yaklaşımı

Veri yönetişimine ayrılan çaba ve kaynak, ürün kalitesi riskiyle orantılı olmalı ve diğer kalite
kaynak talepleriyle de dengelenmelidir. Beklenen kontrol durumuna ulaşmak için uzun vadeli
önlemlerin tanımlandığı durumlarda, riski azaltmak için ara önlemler alınmalı ve etkinlik
açısından izlenmelidir. Ara önlemlerin veya risk önceliklendirmenin gerekli olduğu
durumlarda, kalan veri bütünlüğü riski üst yönetime iletilmeli ve gözden geçirilmelidir.

Her veri/işlem adımının önemini belirlemek için risk yönetimi kullanılmalıdır. Veri
yönetişiminde etkili bir risk yönetimi yaklaşımı şunları göz önünde bulundurur:

 Veri kritikliği (karar verme ve ürün kalitesine etkisi),

  Veri riski (verilerin değiştirilmesi ve silinmesi olasılığı ve üreticinin rutin inceleme
süreçlerinde değişikliklerin tespiti).

 Veri kritikliği

Bir verinin sistemdeki kararlar üzerindeki etkisi önemine göre değişmektedir.

Veriler hangi kararları, ne oranda etkileyebilir?

 Örneğin: bir seri serbest bırakma kararı verilirken, kritik kalite özelliklerine
uygunluğu belirleyen veriler genellikle depo temizleme kayıtlarından daha fazla
öneme sahiptir.

Verilerin ürün kalitesi ve güvenliğine etkisi nedir?

 Örneğin: bir oral tablet için, etken madde miktar tayini verisi ürün kalite ve güvenliği
için genellikle tablet friabilite verisinden daha fazla öneme sahiptir.

 Veri riski

Veri riski değerlendirmesi, verilerin istem dışı değişiklik, silme, kayıp, yeniden oluşturma veya
kasıtlı sahteciliğe karşı hassasiyetini ve bu tür işlemlerin tespit edilme olasılığını dikkate
almalıdır. Bu değerlendirme aynı zamanda bir doğal afet durumunda tam veri kurtarma
hususunu da içermelidir. Tüm bu içerikler göz önünde bulundurulduğunda, yetkisiz faaliyetleri
önleyen ve görünürlük/saptanabilirliği artıran kontrol önlemleri, risk azaltıcı faaliyetler olarak
kullanılabilmektedir.

Risk değerlendirmeleri yalnızca bilgi teknolojisi sisteminin fonksiyonelliği veya karışıklığı

üzerine odaklanmamalı, belirli bir iş prosesi (örneğin: üretim, kalite kontrol vb.) üzerinde
odaklanmalı, veri akışlarını, veri oluşturma ve işleme prosesini ele almalıdır. Değerlendirmede
ele alınabilecek hususlar belirtilenler ile sınırlı olmamak üzere aşağıdaki gibi özetlenebilir:

 Veri karışıklığı (örneğin: çok aşamalı prosesler, proses ve sistemler arası veri transferi,
karışık veri işleme),
 Verinin oluşturma, işleme, depolama ve saklama yöntemleri, veri kalitesi ve
bütünlüğünden emin olma,
 Proses kararlılığı (örneğin: biyolojik üretim prosesleri, küçük molekül kimyasına
kıyasla daha yüksek derecede değişkenlik gösterebilen analitik testler,
  Otomasyon derecesi/ insan etkileşimi,
 Çıktının subjektifliği,
 Elektronik sistem verileri ile manuel olarak kaydedilen verilerin karşılaştırma sonucu,
yanlış uygulamalar için gösterge olabilir (örneğin: analitik raporlar ve ham veriler
arasındaki açık farklılıklar.)

Denetçiler, istenen çıktıların elde edilmesi hususunda prosedürlerin verimli bir şekilde kontrol
edilip gözden geçirildiğinin tespiti amacıyla kritik düşünme becerilerini değerlendirmelidir.

Veri yönetişiminin etkin şekilde uygulandığının bir göstergesi de, faaliyetleri önceliklendiren
kurumsal anlayış ve artık riskin kabulüdür. Veri bütünlüğündeki başarısızlıkları “risk yok”
şeklinde değerlendiren bir kuruluşun, veri yaşam döngüsünde mevcut olan risklerin yeterli bir
değerlendirmesini yapmış olması muhtemel değildir. Veri yaşam döngüsünün
değerlendirilmesi yaklaşımında kritiklik ve risk detaylı olarak ele alınmalıdır. Böylece, denetim
esnasında, potansiyel başarısızlık kaynaklarının tespiti nispeten daha kolay olacaktır.

Veri yönetişim sisteminin gözden geçirilmesi:

Rutin veri doğrulama kontrollerine ek olarak iç denetim faaliyetleri de kontrol parametrelerini

gözden geçirmek üzere genişletilmelidir. Gözden geçirme işlemi sınırlı olmamak kaydıyla
aşağıdaki unsurları içerebilir:

 İyi veri yönetim ilkeleri ve beklentilerini içeren eğitim kayıtlarının incelenmesi,

 Raporlanan verilerin/sonuçların ham veri girişleri ile tutarlılığının incelenmesi,
 Rutin bilgisayarlı sistem verilerinin valide edilmiş bir "sapma raporu" ile ortaya
konulduğu durumlarda, GMP faaliyetiyle ilgili bilgilerin doğru bir şekilde
raporlanmasını sağlamak için risk bazlı bir bilgisayarlı sistem kaydı/işlem geçmişi
kaydının incelenmesi [PIC/S 3. Draft, 2018].