22. jun. 2025

Peter Busk

Når legacy-systemer udfordrer compliance

Hvorfor ældre systemer skaber problemer

Mange pharma-virksomheder bruger stadig ældre IT-systemer i deres produktion og kvalitetssikring. De fungerer ofte fint til dagligt, men når man ser nærmere på dem i et compliance-perspektiv, opstår der hurtigt problemer. Systemerne er sjældent opdateret til at håndtere nutidens krav til dataintegritet, sporbarhed og validering, og det gør dem sårbare i audits.

Det er ikke unormalt, at legacy-systemer mangler grundlæggende funktioner som audit trails, elektroniske signaturer eller sikker brugeradministration. I mange tilfælde er det svært eller umuligt at dokumentere, at data ikke er blevet ændret eller slettet. Det strider direkte imod GxP-kravene og kan føre til alvorlige compliance-konsekvenser, hvis myndighederne stiller spørgsmål.

Hvad er risikoen ved at beholde dem?

Når virksomheder vælger at beholde deres gamle systemer, sker det ofte fordi de er stabile og integreret i kerneprocesser. Men stabilitet er ikke det samme som compliance. Det største problem er, at legacy-systemer ofte ikke kan valideres efter moderne standarder, og det kan være svært at gennemføre ændringer uden at påvirke hele driften.

Derudover kan det være en udfordring at finde dokumentation for de oprindelige implementeringer og ændringer, især hvis systemerne er mange år gamle eller udviklet internt. Det gør det vanskeligt at vise myndighederne, at systemet stadig lever op til kravene. Samtidig er det svært at oplære nye medarbejdere i ældre systemer, som ikke længere er intuitive eller godt dokumenteret.

Sådan minimerer du risikoen

Den bedste måde at håndtere legacy-systemer på, er at lave en risikobaseret gennemgang af dem. Det betyder, at man vurderer, hvilke systemer der stadig er nødvendige, hvilke der kan udfases, og hvilke der kræver ekstra kontrol. For de systemer, man vælger at beholde, skal man etablere en plan for, hvordan man dokumenterer deres compliance.

Det kan for eksempel være ved at indføre kompenserende kontroller. Hvis et system ikke har automatisk audit trail, kan man indføre manuelle logbøger og regelmæssige revisioner. Hvis adgangsstyring er svag, kan man indføre fysiske kontroller eller begrænse adgangen gennem organisatoriske processer.

Derudover er det vigtigt at dokumentere alt, hvad man gør. Hvis man vælger at beholde et legacy-system, skal man kunne vise, at man har tænkt over risikoen, har implementeret foranstaltninger, og at systemet løbende bliver overvåget og evalueret. Det viser både ansvarlighed og modenhed i compliance-arbejdet.

Hvis du vil vide mere om, hvordan du håndterer compliance-risici fra ældre IT-systemer i pharma, er du velkommen til at række ud til os, så vi kan tage en uforpligtende snak.

Af

Peter Busk

CEO & Partner