Be­nut­zer­zu­griffs­ma­nage­ment für va­li­dier­te An­wen­dun­gen

Zurück

Die Nutzung automatisierter computergestützter Anwendungen, die strengen nationalen und internationalen gesetzlichen Auflagen unterliegen, ist ein integraler Bestandteil des operativen Geschäfts eines Unternehmens wie Fresenius Kabi, die in der Pharma- und Medizintechnik-Branche tätig ist. In einem mehrstufigen Projekt hat Fresenius Digital Technology begonnen, die Zugriffsverwaltungsprozesse mehrerer solcher Anwendungen erfolgreich in die eigene IT Service Management Plattform ServiceNow abzubilden.

Fresenius Digital Technology im Auftrag der Fresenius Kabi AG

Die weltweit tätige Fresenius Digital Technology bietet mit rund 1.000 Mitarbeitern der gesamten FreseniusGruppe effiziente IT-Lösungen in den Bereichen Gesundheitswesen und Pharma. Fresenius Kabi ist ein weltweit tätiges Pharmaunternehmen, welches auf lebensrettende Arzneimittel und Technologien für Infusionen, Transfusionen und klinische Ernährung spezialisiert ist.

Herausforderung

  • Integration der „GxP“-Anforderungen in die agile Entwicklungsmethodik, wo „funktionierende Software Vorrang vor umfassende Dokumentation“ hat.
  • Konzeption eines geeigneten Basisframeworks, das einerseits ermöglicht, weitere Applikationen ohne größeren Mehraufwand in die Systemlandschaft einzubinden, andererseits flexibel genug ist, um applikationsspezifische Anforderungen abzubilden.

Lösung

  • frühzeitige und umfassende Abstimmung des Anforderungskatalogs gemeinsam mit dem Kunden
  • Einbinden der Test- und Dokumentationspflichten aus dem Validierungsprozess in die agile Vorgehensweise
  • Verwendung von Workflows mit eigenentwickelten konfigurierbaren Komponenten, um die Teilprozesse der Antragsgenehmigung und Berechtigungsvergabe abzubilden
  • Konzipieren von bedienungsfreundlichen Datenmodellen

Ausgangssituation

Als Konzern in den Medizin- und PharmaBranchen, verfügt Fresenius Kabi über eine breite Landschaft an eigenentwickelten computerbasierten Anwendungen, die sensible Daten verarbeiten, der Produktqualitätssicherung dienen, oder gesetzlich streng regulierte Prozesse steuern und dokumentieren; unter anderem beinhaltet diese Landschaft auch diverse Dokumentmanagementsysteme.

Dementsprechend unterliegen die Zugriffsverwaltungsprozesse für solche Applikationen regulatorischen Anforderungen, die unter dem Stichwort „GxP Compliance“ zusammengefasst werden können. Um die „GxP Compliance“ sicherzustellen, werden diese Prozesse einem sogenannten Validierungsprozess unterzogen.

Bei vielen Anwendungen werden aktuell Papierformulare für die Berechtigungsvergabe benutzt, oder Software-Tools, deren Ausmusterung unmittelbar bevorsteht. Dies erzeugt hohe Kosten, sorgt für langsame Bearbeitungszeiten der Anträge, mit vielen manuellen Tätigkeiten, und ist mit einem erhöhten Supportaufwand verbunden.

Mit dem Abschluss der zweiten Projektphase in der ersten Hälfte von 2022 wurden die Prozesse für zwei weitere Anwendungen in Betrieb genommen, die zu den bereits in der ersten Phase integrierten vier Anwendungen dazukommen. Weitere Phasen sind geplant oder in Umsetzung und folgen dem Anfangs erarbeiteten Template Konzept, das nun Schritt für Schritt auf weitere Systeme ausgerollt wird.

Projektziele

Das Hauptziel des Projektes ist es, das Benutzerzugriffsmanagement für eine Vielzahl validierter Applikationen von Fresenius Kabi in die IT Service Management Plattform von Fresenius Digital Technology zu integrieren, um Effizienzgewinne zu erzielen und den Anwendern eine moderne Oberfläche zur Verwaltung Ihrer Zugriffsberechtgungen zu bieten. Um die GxP Compliance der implementierten Lösung nachzuweisen, müssen die so abgebildeten Prozesse validiert werden. Dabei müssen einige Anforderungen beachtet werden:

  • Formularbasierte Bestellung von Benutzerzugriffsrechten
  • Verwaltung der gesamten Prozesskette, inklusive Antragsgenehmigung und Benutzerrechtevergabe
  • Erstellen von Abrechnungsdaten, bei kostenpflichtigen Anwendungen
  • Audit-sichere Aufzeichnung von „GxP“- relevanten Änderungen im System
  • Bereitstellen von Validierungsdokumentation, als Nachweis der Anforderungskonformität der implementierten Funktionalität
  • toolgestützte Reporterstellung
  • erleichterte Konfigurierbarkeit und Pflege der Systemdaten von Seiten der Applikationsverantwortlichen

Umsetzung

Zunächst wurden die Anforderungen und die praktische Realisierbarkeit mit den Projektbeteiligten in Workshops diskutiert, und ein gemeinsames Vorgehen erarbeitet. Danach wurden einzelne Arbeitspakete (sog. „Stories“) identifiziert, die über mehrere agile Entwicklungszyklen („Sprints“) realisiert wurden. Wesentliche Elemente der Umsetzung sind unter anderem:

  • Abbildung des erarbeiteten Datenmodells in ServiceNow
  • Erstellung der Formulare zur Berechtigungsverwaltung
  • Implementieren der automatisierten Workflows, mit eigens konzipierten konfigurierbaren Elementen für die Teilprozesse der Antragsgenehmigung und Berechtigungsvergabe
  • Einbinden eines auf die speziellen Sicherheitsbedürfnisse angepassten Frameworks zur Identitätsfeststellung mittels elektronischer Signatur in das Antragsgenehmigungsverfahren
  • Implementieren einer Schnittstelle zur Teilautomatisierung der Benutzerrechtevergabe
  • Konfiguration von Benachrichtigungen
  • Funktionale Anpassungen der Standard-Bestellprozesse zur Sicherung der Datenintegrität
  • Erstellen der für die Validierung benötigten Dokumentation, sowie Durchführung von Teilen des validierten Testens

Success Story Benutzerzugriffsmanagement für validierte Anwendungen (498,3 KiB)

Zurück zur Übersicht