Op vrijdag 14 oktober jl. vond een GxP themadag plaats over “Cybersecurity en data integrity” aan de hand van GAMP5 2nd edition. Deze themadag vond tegelijkertijd op lokatie plaats in het Bioscience Park in Leiden en online.
De themadag werd op lokatie gepresenteerd door Hans de Raad, OpenNovations en voorzitter van de ICT commissie en Rinse de Boer van ResCop met online ondersteuning van twee andere medewerkers van ResCop. Dankzij de moderne technologie konden zowel de 20 deelnemers op lokatie als de 12 deelnemers online de presentaties goed volgen.
De geboden informatie was opgedeeld in blokken met elk hun eigen thema.
De eerste twee blokken gingen voornamelijk over de inhoud van GAMP5 2nd edition en gaven een globaal overzicht over de vernieuwingen in de richtlijn. Duidelijk werd dat in de nieuwe richtlijn de focus is verlegd van een statisch instrument dat op redelijk dwingende wijze aangeeft wat je wanneer moet doen, bijvoorbeeld het V-model of de waterval volgen wanneer je een (nieuw) software systeem aanschaft en implementeert, naar een veel vloeiender en in stukjes opgedeeld proces. Vergelijkbaar met een traditionele Rijn-cruise (“Reisje langs de Rijn, Rijn, Rijn ...” voor de oudere jongeren onder ons) waarbij iemand anders bepaalt hoe hard je gaat en waar je aanlegt, tegenover een reis in een motorbootje dat je zelf bestuurt en waarin je zelf bepaalt waar je aanlegt. Dit hele proces opdelen in hapklare brokken is ook heel herkenbaar als Agile-methode. Het linkt ook aan Deming, waar elk deelproces wordt gemonitord en de uitkomst/het product ervan wordt onderworpen aan een gedegen kwaliteitscontrole zodat het eindproduct ook zal voldoen aan de gestelde kwaliteitseisen en geschikt zal zijn voor het beoogde gebruik.
In het derde blok kwamen vooral risk management en de daarbij behorende risk assessments aan bod en was er uitgebreid aandacht voor het maken van een FMEA (Failure Mode and Effects Analysis). FMEA is een onderzoeksmethode die aan de hand van gradaties in criteria als de ernst (severity (S)) van de fout, hoe vaak (occurance (O)) de fout voorkomt en of de fout makkelijk op te merken (detection (D)). Als de 3 getallen van de gradaties van de criteria met elkaar vermenigvuldigd worden komt hier een Risk Priority Number (RPN) uit, wat de mate van risico aangeeft: S x O x D = RPN. Op grond van dit RPN kan besloten worden welke mogelijke risico’s voorkomen moeten en kunnen worden door het nemen van adequate acties vooraf.
Het vierde blok ging uiteindelijk na een publieke stemronde over data integrity, vermengd met cybersecurity en sommige basisprincipes van audit trails, op basis van de functionaliteiten die een software systeem zou moeten hebben zoals genoemd in ALCOA+.
In dit blok kwam ook aan de orde dat van de gebruiker van een software systeem een meer actieve rol wordt verwacht doordat nu de verantwoordelijkheid voor het borgen van kwaliteit van de leverancier verschoven is naar de gebruiker waar die eerder bij de leverancier lag. Dit vraagt van de gebruiker meer kennis van het aanbestedingstraject en meer inzet bij het waarborgen van de kwaliteit van de leverancier en het aan te schaffen software systeem.
Aangezien tijdens deze themadag niet alle onderwerpen aan bod zijn gekomen waar de aanwezigen graag meer kennis over wilden vergaren, zullen er volgend jaar nog diverse webinars worden gehouden over:
• Specifieke thematische Appendices van de GAMP5 Second Edition met in detail aandacht voor de wijzigingen en de relatie tussen GAMP5 2nd Edition en reguliere IT normen zoals ISO 27001/25010 familie over information security en software quality.
• Reviewing van audit trails, niet enkel op de inhoud van een audit trail maar ook op de functionaliteit die daarvoor binnen en buiten applicaties wordt geboden.
• Data migraties en data conversies met aandacht voor data integrity verification na migraties.
• Er zal een demonstratie worden georganiseerd die laat zien hoe veranderingsmanagement en geautomatiseerde testen in een software systeem zelf kunnen worden bijgehouden en opgeslagen.
Deze themadag werd door 32 mensen bijgewoond en uit de feedback na afloop bleek dat zij de dag en de manier waarop de onderwerpen werden gepresenteerd zeer waardeerden.
De tijdens deze themadag gebruikte slides en video's zijn op de website voor leden beschikbaar (Login)