Ist Business Central GxP-konform?
Von Thomas Brünger, Managing Partner
Nein — Microsoft Dynamics 365 Business Central ist out of the box nicht GxP-konform. Kein ERP-System ist das. GxP-Konformität ist eine Eigenschaft des implementierten und validierten Systems, nicht der Softwarelizenz: Sie entsteht durch risikobasierte Konfiguration, geeignete Kontrollen und Computer System Validation (CSV) gegen dokumentierte Anforderungen.
Was GxP-Konformität tatsächlich verlangt
Für ein ERP-System in einer GxP-Umgebung bedeutet „konform", dass das System die anwendbaren Regularien nachweislich erfüllt — EU GMP Annex 11, 21 CFR Part 11 und GAMP 5 für den Validierungsansatz. In der Praxis heißt das: Datenintegrität über den Datensatz-Lebenszyklus (ALCOA+), ein manipulationssicherer Audit Trail, Zugriffskontrolle nach Least Privilege mit Funktionstrennung, elektronische Signaturen wo der Prozess sie erfordert, Change Control und ein dokumentiertes Validierungspaket (URS, IQ/OQ/PQ, Validation Summary Report).
Wie Konformität entsteht
Business Central liefert die Plattformfähigkeiten; die Konformität entsteht daraus, wie sie für Ihren Intended Use konfiguriert und validiert werden. Ein risikobasierter Ansatz (CSA nach GAMP 5) lenkt den Aufwand auf die Funktionen mit regulatorischem und Patientenrisiko. Die GxP-Validierung für Business Central richtig gemacht, ist das System im Audit belastbar.
Eine unabhängige Architektur-Governance kann Design und Dokumentation vor einem Audit gegen den Standard bestätigen — unabhängig davon, wer implementiert.
Häufig gestellte Fragen
- Was verlangt GxP-Konformität von einem ERP-System?
- Datenintegrität (ALCOA+), einen manipulationssicheren Audit Trail, Zugriffskontrolle mit Funktionstrennung, elektronische Signaturen wo erforderlich, Change Control und eine dokumentierte Validierung (IQ/OQ/PQ) gegen freigegebene Anforderungen.
- Kann Business Central online (SaaS) GxP-konform sein?
- Ja. Derselbe Validierungslebenszyklus gilt; die Lieferantenqualifizierung verschiebt sich auf die Bewertung der dokumentierten Kontrollen von Microsoft, und SaaS-Updates werden unter Change Control behandelt.