Modell und Baustein für ein europäisches Schutzschild gegen Arzneimittelfälschungen

Eine Systembeschreibung

I. Einleitung | 4

II. „Stakeholder-Governance“ des securPharm-Verifikationssystems | 6

a Serialisierungs- und Kennzeichnungsprozess extrem komplex | 7b Entwicklung, Aufbau und Betrieb äußerst komplexer Datenbanken – zentrales EU-weites Modell nicht möglich | 8c Unmittelbare Finanzierung der Datenbanken durch die Stakeholder | 10d Gute Tradition/Erfahrung mit Stakeholder/Selbstverwaltungs- Modellen in Deutschland – Zugänglichkeit und Überwachung durch zuständige Behörden gegeben | 10Fazit zu II | 11

III. Codierung per Data Matrix Code | 12Fazit zu III | 13

IV. „end to end“-Verifikation | 13Fazit zu IV | 14

V. Markt- und Systemoffenheit | 14

Fazit zu V | 15

VI. Datenschutz und größtmögliche Datensicherheit | 15Fazit zu VI | 16

VII. Gebührenmodell | 17Fazit zu VII | 18

VIII. securPharm als Blaupause für nationale Verifikationssysteme | 18

IX. Nachwort | 19

Diese Systembeschreibung ist auch in englischer Sprache verfügbar und kann über info@securPharm.de angefordert werden.

5

Gemäß Art. 54a Abs. 1 der durch die sog. EU-Fäl-schungsschutzrichtlinie geän-derten Richtlinie 2001/83/EG sind verschreibungspflichtige Arzneimittel grundsätzlich mit Sicherheitsmerkmalen zu kennzeichnen, die insbeson-dere eine Überprüfung ihrer Echtheit und die Identifizie-rung von Einzelpackungen ermöglichen. Die Einzelheiten hinsichtlich der Eigenschaf-ten und technischen Spezi-fikationen des individuellen Erkennungsmerkmals für die Sicherheitsmerkmale sowie die Modalitäten der Verifi-zierung wird die Europäische Kommission in delegierten Rechtsakten festlegen. Die Mitgliedstaaten müssen ge-

mäß Art. 2 Abs. 2 lit. b) der Fäl-schungsschutzrichtlinie diese Vorschriften zur Kennzeich-nung mit den Sicherheits-merkmalen drei Jahre nach Veröffentlichung der dele-gierten Rechtsakte – nach jet-zigem Erkenntnisstand damit voraussichtlich Ende 2017 – anwenden.

Der organisatorische, logisti-sche und technische Prozess des gesamten Arzneimittel-Verifikationssystems von der Aufbringung der Sicherheits-merkmale auf den Arznei-mittelpackungen bis hin zur Überprüfung und Identifi-zierung der Echtheit der ein-zelnen Arzneimittelpackun-gen in der Apotheke ist sehr

aufwändig. Deshalb haben in Deutschland die Verbände der Marktbeteiligten, näm-lich die Bundesvereinigung Deutscher Apothekerverbän-de (ABDA), der Bundesver-band des pharmazeutischen Großhandels (PHAGRO) so-wie der Bundesverband der Arzneimittel-Hersteller (BAH), der Bundesverband der phar-mazeutischen Industrie (BPI) und der Verband Forschen-der Arzneimittelhersteller (vfa) bereits Mitte 2011 ver-einbart, zur Umsetzung der Fälschungsschutzrichtlinie ein Arzneimittel-Verifikationssys-tem unter Verwendung des Data-Matrix-Code nach dem „end to end“-Ansatz zu ent-wickeln und zu betreiben.

In diesem von den „Stake-holdern“ getragenen se-curPharm-Projekt wird die Echtheit der von den phar-mazeutischen Unternehmern mit den Sicherheitsmerkma-len gekennzeichneten Arz-neimittelpackungen vor de-ren Abgabe an den Patienten gegen die in einer Datenbank hinterlegten Packungsdaten online verifiziert. Unabhängig davon kann auch der Groß-handel Verifizierungen auslö-sen. Verifikationsanfragen der Apotheken bzw. der Groß-händler werden über den von der ABDATA Pharma-Daten-Service entwickelten und betriebenen zentralen Apo-thekenserver anonymisiert an die Datenbank der phar-

mazeutischen Unternehmer (pU-Datenbank) gerichtet, die von den Herstellerverbänden BAH, BPI und vfa im Rah-men der ACS PharmaProtect GmbH entwickelt worden ist und betrieben wird.

Das securPharm-Verifikati-onssystem wird seit Januar 2013 unter den realen Bedin-gungen des deutschen Arz-neimittelmarktes, d.h. ohne gezielte Lieferung der secur-Pharm-Arzneimittel an die am Projekt teilnehmenden Apo-theken, erfolgreich getestet und ständig weiterentwickelt. Das securPharm-Verifikati-onssystem wird spätestens 2016 voll „marktfähig“, d.h. technisch und organisatorisch

Einleitung

so weit ausgereift sein, um alle verifizierungspflichtigen Arzneimittel in Deutschland (dies werden je nach Ausge-staltung der Ausnahmelisten in den delegierten Rechtsak-ten 600 bis 700 Millionen Arz-neimittelpackungen pro Jahr sein) zu verifizieren.

I.

7

Ê das Verfahren für die Onlinebedru-ckung festlegen

Ê notwendige Packmitteländerungen durchführen

Ê Systeme und Prozesse im Verpa-ckungsbetrieb integrieren

Ê einen Vertrag zur Nutzung der pU-Datenbank mit ACS PharmaProtect schließen

Ê die zu verifizierenden Arzneimittel bei der IFA melden

Ê die Kommunikationswege zur pU-Datenbank einrichten

Ê ein XML-File erstellen und in der pU-Datenbank hochladen

Ê Beachtung von Besonderheiten z.B. für sog. multi-country-packs oder Krankenhauspackungen etc.

Schon diese Aufgabenliste zeigt, wie komplex der Serialisierungs- und Kenn-zeichnungsvorgang für die pharmazeu-tischen Unternehmer ist. Die Anforde-rungen, Voraussetzungen und Abläufe für den Serialisierungs- und Kennzeich-nungsvorgang haben die Stakeholder in umfangreichen Codierregeln, Leitfäden und Spezifikationen seit Mitte 2011 ge-meinsam erarbeitet und für den Pro-jektstart Anfang 2013 definiert und fest-gelegt. Für die zuständigen Behörden (competent authorities, also im Regelfall die nationalen Zulassungsbehörden) ist es auch mit Unterstützung der Unterneh-men schwierig bis nahezu unmöglich, diesen komplexen Prozess vollumfäng-lich zu erfassen und spezifiziert festzu-legen. Schon aus diesem Grunde ist die Organisation, Durchführung, Festlegung und Überwachung dieses Gesamtpro-zesses durch die Stakeholder angezeigt.

In Deutschland haben sich die Verbände der Marktbeteiligten, also die Stakehol-der, darauf verständigt, die Umsetzung der Fälschungsschutzrichtlinie durch die Entwicklung, den Test und den Betrieb des securPharm-Verifikationsprojektes vorzubereiten und vorzunehmen. Die Fälschungsschutzrichtlinie ist hinsicht-lich der „Governance“, also der Ent-wicklung, Einrichtung, Verwaltung und Zugänglichkeit des Datenspeicher- und -abrufsystems (vgl. Art. 54a Abs. 2 lit. e), offen, sie gibt keine Governance vor. Im Rahmen des Stakeholder-Workshops am 6. Dezember 2013 hat die EU-Kommis-sion drei Governance-Optionen, nämlich

Ê ein (nationales) Stakeholder- Modell mit Überwachung durch

(nationale) zuständige Behörden Ê ein zentrales Behördenmodell auf

EU-Ebene Ê ein nationales Behördenmodell

vorgestellt. Im Nachgang dazu und als Ergebnis der sog. Folgenabschätzung (impact assessment) hat die Kommissi-on den Stakeholdern am 31. Januar 2014 schriftlich mitgeteilt, dass sie auch unter Berücksichtigung der Kostenwirksamkeit in den delegierten Rechtsakten und da-mit für die Mitgliedstaaten verbindlich ein Stakeholder-Modell festschreiben werde. Wörtliches Zitat: „The repository containing the unique identifiers will be set up and managed by stakeholders. National competent authorities will be able to access and supervise the data-base”.

Das Stakeholder-Verifikationssystem von securPharm entspricht damit allen Be-stimmungen der Fälschungsschutzricht-linie und den europaweit verbindlichen Vorgaben der delegierten Rechtsakte. Für ein von den Marktbeteiligten ent-wickeltes und betriebenes Verifikations-system, sprechen im Übrigen die in den folgenden Unterkapiteln aufgeführten Gründe.

a) Serialisierungs- und Kennzeich-nungsprozess extrem komplex

Zwar sind die Kennzeichnung mit den Si-cherheitsmerkmalen und deren Verifizie-rung durch die Fälschungsschutzrichtli-nie arzneimittelrechtlich vorgegeben. Die Verifizierung, insbesondere aber die vorherige Aufbringung der Sicher-heitsmerkmale auf den einzelnen Arz-neimittelpackungen erfordern einen er-heblichen technischen und logistischen Aufwand, der nur von den Beteiligten nach zuvor einheitlich festgelegten Spe-zifikationen geleistet und realisiert wer-den kann. Der pharmazeutische Unter-nehmer muss

Ê nach spezifizierten Codierregeln die Seriennummern generieren

Ê die Auftragsdaten einschließlich der Seriennummern für die Onlinebe-druckung bereitstellen

Ê die Daten an der Verpackungslinie erfassen

„Stakeholder-Governance“ des securPharm-VerifikationssystemsII.

9

b) Entwicklung, Aufbau und Betrieb äußerst kom-plexer Datenbanken – zen-trales EU-weites Modell nicht möglich

In Deutschland werden jähr-lich ca. 700 Millionen Packun-gen verschreibungspflichtiger Arzneimittel in Apotheken an Patienten abgegeben. Vorbehaltlich der endgülti-gen Festlegung der verifizie-rungspflichtigen Arzneimittel in den delegierten Rechtsak-ten der Kommission müssen damit die Daten für etwa 700 Millionen Packungen für den Verifizierungsprozess in ei-ner Datenbank jährlich erfasst werden. Neben den sog. Pro-duktstammdaten wie z.B. An-gabe des pharmazeutischen Unternehmers, Arzneimittel-bezeichnung, Darreichungs-form etc. müssen insbeson-dere die für die Verifizierung zwingend notwendigen Ver-packungsdaten, nämlich Pro-duktnummer und Serien-nummer (securPharm erfasst zudem die Chargenbezeich-nung und das Verfalldatum), in einer Datenbank hochgela-den, gespeichert und für die

Verifikation durch autorisierte Personen bereitgehalten wer-den. Außerdem muss diese pU-Datenbank Ausnahmen, also als nicht abgabebereit verifizierte Packungen erken-nen und melden.

Umfang der hochzuladenden Daten und die Funktionali-täten dieser pU-Datenbank sind immens und komplex. Die Herstellerverbände BAH, BPI und vfa verfügen im Be-reich der Informationstech-nologie intern nicht über das erforderliche know-how für die Entwicklung, den Test und den Betrieb einer derart kom-plexen Datenbank. Deshalb haben sie über ihre eigens zu diesem Zweck gegründe-te gemeinsame Tochterge-sellschaft ACS PharmaProtect GmbH ein weltweit führendes IT-Unternehmen im August 2012 beauftragt, die pU-Da-tenbank zu entwickeln, zu testen, zu betreiben und zu hosten.

Zwar ist es nicht zwingend, dass nur die Marktbeteilig-ten diese komplexen Daten-bankstrukturen entwickeln, betreiben und auch finanzie-

ren (können). Aufgrund der besonderen Expertise und der Sachnähe der pharma-zeutischen Unternehmer zum gesamten Datenprozess von der Generierung, Aufbrin-gung und dem Hochladen bis hin zum Verifikationsab-ruf ist es sachlich geboten, dass die Beteiligten diesen Gesamtprozess organisieren, steuern, durchführen und auch finanzieren. Die so ge-meinsam definierten Regeln und Strukturen sind „markt-nah“, d.h. sie spiegeln die Er-fahrungen und Bedürfnisse des echten und realen Arz-neimittelmarktes wider. Es ist nicht wahrscheinlich, dass ein behördlich initiierter und ge-steuerter Prozess schneller, kostengünstiger und besser gelingt. Der unmittelbar von Stakeholdern verantwortete Prozess ist bestens geeignet, die Fälschungsschutzrichtlinie umzusetzen – was das secur-Pharm-Projekt eindrucksvoll belegt.

Aus Vorgesagtem folgt auch, dass ein zentrales, EU-weit vorgegebenes Behörden-modell (möglicherweise bei der Europäischen Arzneimit-

telagentur EMA angesiedelt) allein schon wegen der Men-ge der jährlich zu verarbei-tenden Daten von europaweit bis zu zehn Milliarden Pa-ckungen extrem aufwändig, komplex und nur sehr schwer umsetzbar ist. Überdies sind bis jetzt die von der EMA zu erstellenden Datenbanken insbesondere im Bereich der Pharmakovigilanz allesamt verspätet bzw. gar nicht um-gesetzt worden – die Erfah-rungen mit großen, komple-xen Zentraldatenbanken sind nicht gut. Auch das spricht für dezentrale, also nationa-le Datenbank- und Verifikati-onssysteme.Schließlich zeigt die Erfah-rung, dass derart komple-xe IT-Systeme einer langen Test- und Optimierungsphase bedürfen. Das securPharm–System ist seit Januar 2013 operativ. Dieser Zeitraum wird genutzt, um das System auf Grundlage der konkreten Betriebserfahrungen konti-nuierlich zu verbessern und weiterzuentwickeln. Diese kontinuierliche Verbesserung dauert an und wird auch noch über längere Zeit erforderlich sein. In diesem Rahmen wur-

den und werden Fehler in der Software eliminiert, insbeson-dere aber werden Anpassun-gen vorgenommen, die sich durch Betriebserfahrungen und konkrete Anwendungs-fälle als notwendig erweisen.

Die bisherigen Betriebser-fahrungen belegen, dass die größten Herausforderungen nicht auf der technischen Ebene der Datenbanksyste-me liegen: Vielmehr sind sie in der Anpassung betriebli-cher Abläufe bei Herstellern, Großhändlern und Apothe-kern zu sehen, die längeren Vorlauf erfordern. Jeder neu hinzukommende Teilneh-mer – egal ob auf Ebene der Hersteller, Großhändler oder Apotheker – durchläuft seine eigene individuelle Lernkurve hinsichtlich der technischen Anforderungen und der in-nerbetrieblichen Abläufe, die anzupassen sind.

Auch diese langen Vorlauf-phasen, die nach den Erfah-rungen des securPharm-Pro-jektes bei deutlich über zwei Jahren anzusetzen sind, spre-chen für Stakeholder-Modelle analog dem securPharm-Pro-

jekt. Wenn die Fälschungs-richtlinie 2017 in vollem Um-fang wirksam wird, müssten Verifizierungssysteme im Laufe des Jahres 2014 online gehen, um die notwendigen Vorlaufzeiten zu realisieren. Nach unserem Kenntnisstand existieren europaweit derzeit keine Projekte in einem der-artig fortgeschrittenen Stadi-um.

11

c) Unmittelbare Finanzierung der Daten-banken durch die Stakeholder

Die Finanzierung der von den Stakeholder entwickelten und betriebenen Datenbank erfolgt ausschließlich durch die Stakeholder. Zwar sieht die Richtlinie 2001/83/EG in Art. 54a Abs. 2 lit. e) vor, dass die Kosten des Da-tenspeicher- und -abrufsystems von den In-habern von Herstellungserlaubnissen (bes-ser und richtiger von den pharmazeutischen Unternehmern) getragen werden müssen. Es ist somit nicht ausgeschlossen, dass eine zu-ständige Behörde das Datenbanksystem zu-nächst vorfinanziert und durch Gebühren der pharmazeutischen Unternehmer refinanziert. Neben haushaltstechnischen Problemen der Etatfinanzierung muss dann die zuständige Behörde die Kosten über eine noch zu erar-beitende Kosten- und Gebührenordnung auf die Unternehmen umlegen. Diese Umlage ist ein nicht notwendiger Umweg und damit komplizierter als das von securPharm finan-zierte, entwickelte, getestete und funktionie-rende Gesamtverifikationssystem.

d) Gute Tradition/Erfahrung mit Stake-holder/Selbstverwaltungs-Modellen in Deutschland – Zugänglichkeit und Über-wachung durch zuständige Behörden ge-geben

In Deutschland gibt es nicht nur im Gesund-heitsbereich gute Erfahrungen mit Modellen

der Selbstverwaltung und von Stakeholdern. Das System der Gesetzlichen Kranken-

versicherung wird vom Gemeinsamen Bundesausschuss selbst verwaltet.

Im Arzneimittelmarkt erfolgt seit Jahrzehnten die gesamte

Warenwirtschaft, die Logistik und die Abrech-nung der Arzneimittel mit den gesetzlichen Krankenkassen auf der Basis von wirtschaft-lichen und rechtlichen Informationen, die die von der Apothekerschaft, dem pharmazeu-tischen Großhandel und der Arzneimittelin-dustrie getragene Informationsstelle für Arz-neispezialitäten IFA GmbH liefert. Die IFA hat in der Vergangenheit maßgeblich zur Umset-zung aller Gesetzesänderungen beigetragen und ist damit als Stakeholder-Modell bestätigt worden. Sie ist zudem als zentraler Informa-tionsdienstleister auch durch entsprechende Verträge mit dem Spitzenverband Bund der Krankenkassen ausdrücklich anerkannt.

Basierend auf diesen guten Erfahrungen ha-ben sich die Stakeholder Mitte 2011 frühzei-tig entschlossen, in eigener Verantwortung und Finanzierung das securPharm-Projekt zur Abwehr von Arzneimittelfälschungen zu entwickeln, zu testen und zu betreiben und damit einen Beitrag zur fristgerechten Um-setzung der Fälschungsschutrichtlinie zu leisten. Soweit ersichtlich, gibt es derzeit in der Europäischen Union keine anderen nati-onalen Stakeholder-Modelle, erst recht noch keine Behördenmodelle zur Umsetzung der Fälschungsschutzrichtlinie, obwohl die Fäl-schungsschutzrichtlinie schon Mitte 2011 ver-abschiedet worden ist und die Vorbereitung und ausreichende Testung von Verifikations-systemen – wie auch securPharm zeigt – einen erheblichen Zeitaufwand erfordert.

securPharm und die einzelnen Stakeholder haben von Beginn an die Bundesregierung, aber auch die Europäische Kommission über den Stand der Entwicklung des Projektes stets informiert, Meinungen und Erfahrungen aus-getauscht und insbesondere Vorschläge und Ideen des Bundesministeriums für Gesundheit berücksichtigt. securPharm hat seit jeher dem

Bundesministerium für Gesundheit ange-boten, dass Vertreter des Ministeriums oder nachgelagerter Behörden im Beirat oder Füh-rungsgremien von securPharm vertreten sein sollten. Eine derartige Behördenbeteiligung ermöglicht die von der Richtlinie geforderte Zugänglichkeit und Überwachung des Daten-speicher- und -abrufsystems – diese Beteili-gung muss nur noch institutionalisiert werden. Überdies unterliegen sowohl die kennzeich-nungsrechtliche Verpflichtung zur Aufbrin-gung der Sicherheitsmerkmale als auch die apothekerliche Verpflichtung zur Verifizierung nach den §§ 64 ff. AMG der Überwachung durch die zuständigen Landesbehörden. Die-

se Überwachung entspricht den Richtlini-envorgaben und ermöglicht den Behörden jederzeitige Zugänglichkeit zum Datenspei-cher- und –abrufsystem.

Fazit zu II:

Das securPharm-Verifikationssystem ermög-licht die jederzeitige Zugänglichkeit und Überwachung durch die zuständigen Behör-den und ist damit in jeder Hinsicht richtlini-enkonform.

13

Die Kommission hat nach Art. 54a Abs. 2 lit. a) in den delegierten Rechtsakten die Eigen-schaften und technischen Spezifikationen des individuellen Erkennungsmerkmals, das die Überprüfung der Echtheit von Arzneimitteln und die Identität von Einzelpackungen ermög-licht, festzulegen. Dabei ist das Kosten-Nut-zen-Verhältnis gebührend zu berücksichtigen. Im Stakeholder-Workshop am 6. Dezember 2013 hat die Kommission hierzu zwei Optio-nen vorgestellt, nämlich

Ê eine teilweise Harmonisierung und Liefe-rung/Verschlüsselung der Daten nur zur Bekämpfung der Arzneimittelfälschung

Ê eine vollständige Harmonisierung und Lieferung/Verschlüsselung weiterer Da-ten auch zu anderen Zwecken.

Gleichfalls in der Mitteilung vom 31. Januar 2014 hat die Kom-

mission sich für die zweite Alternative, also für die

vollständige Harmoni-

sierung entschieden. Außerdem hat die Kom-mission entschieden, dass die Symbologie des Data Matrix Code maßgeblich ist: „The unique identifier will be placed in a 2D barcode.“

Auch securPharm hat in seinem Verifikations-system die zweite Option umgesetzt. secur-Pharm verschlüsselt also neben den für die Bekämpfung von Arzneimittelfälschungen zwingend notwendigen Daten weitere Daten. Neben den Produktstammdaten, die den Pro-dukttyp charakterisieren (vgl. dazu bereits II. b), übermittelt der pharmazeutische Unter-nehmer die für die Verifizierung zwingend notwendigen packungsspezifischen Verpa-ckungsdaten, nämlich

Ê die randomisierte Seriennummer Ê die Produktnummer (in Form einer PPN

oder NTIN, die eine nationale Abrech-nungsnummer enthalten kann, vgl. dazu später unter V.)

sowie ergänzend

Ê die Chargen-Bezeichnung und Ê das Verfalldatum.

Die Codierung dieser Schlüsseldaten erfolgt in der Symbologie des Data Matrix Code nach ISO/IEC 16022. Damit sind die weltweit ein-deutige Maschinenlesbarkeit dieser Datenele-mente und die Verifizierung jeder gelieferten Arzneimittelpackung in der Apotheke gege-ben. Außerdem ermöglichen die zusätzlichen Informationen zur Chargenbezeichnung und zum Verfalldatum jederzeit den schnellen, un-komplizierten Rückruf der betreffenden Arz-neimittel. Zudem bieten diese Informationen eine Optimierung der Lagerhaltung und der Warenbewirtschaftung des Arzneimittelhan-dels.

Fazit zu III:

Das securPharm-Verifikationssystem entspricht den Vorgaben der Fälschungsschutzrichtlinie und der delegierten Rechtsakte: securPharm verschlüsselt auf der Basis der sog. Vollharmo-nisierung Daten im Data Matrix Code.

Gemäß Art. 54a Abs. 2 lit. d) hat die Kommissi-on in den delegierten Rechtsakten die Moda-litäten der Überprüfung der Sicherheitsmerk-male durch die Hersteller, die Großhändler, die Apotheker und Personen, die zur Abgabe von Arzneimitteln an die Öffentlichkeit ermächtigt oder befugt sind, festzulegen. Bei der Festle-gung dieser Modalitäten sind die besonderen Merkmale der Lieferketten in den Mitglied-staaten zu berücksichtigen sowie die Notwen-digkeit sicherzustellen, dass die Auswirkung der Überprüfungsmaßnahmen auf bestimmte Akteure der Lieferketten verhältnismäßig ist.

Im Workshop am 6. Dezember 2013 hat die Kommission optional erstens die systemati-sche „end to end“-Verifikation sowie zweitens die systematische Verifikation am Abgabe-punkt sowie eine risikobasierte Verifikatio-nen durch den Großhandel vorgestellt. In der Mitteilung vom 31. Januar 2014 hat die Kom-mission sich auf die end-to-end-verification festgelegt: „Medicine authenticity will be gua-ranteed by an end-to-end verification system supplemented by risk-based verifications by wholesale distributors.“

securPharm hat sich für die systematische „end to end“-Verifikation entschieden. Danach werden die Packungen der verifizierungs-pflichtigen Arzneimittel im Verpackungs- und Herstellungsprozess maschinenlesbar ge-kennzeichnet; die Packungen erhalten dabei eine randomisierte Seriennummer, die sie in-dividuell identifizierbar macht. Die unter III. genannten Packungsdaten werden vom phar-mazeutischen Unternehmer an das pU-Daten-system übertragen, bevor die Arzneimittel in den Markt gebracht werden. Dort werden die Daten gespeichert und zur Verifikation durch autorisierte Personen und Stellen herange-

„end to end“-VerifikationIV.

Kosten-Nutzen-adäquate Datenlieferung und Codierung der Sicherheitsmerkmale im Data Matrix CodeIII.

15

zogen. Die Apothekensoftware weist auf die Verifizierungspflicht hin. Zur Verifikation einer Packung scannt der Apotheker vor der Abga-be an den Patienten den mit einem Emblem „PPN“ versehenen Data Matrix Code der Pa-ckung. Innerhalb von Millisekunden (mittlere Antwortzeit im securPharm-System bisher 103 ms) findet die Überprüfung der Seriennum-mer und der Produktnummer gegenüber der pU-Datenbank statt. Ist der an die Apotheke zurückgemeldete Status der Packung korrekt, kann die Packung abgegeben und der Status dieser Packung als „abgegeben“ im System registriert werden. Ausnahmen, also als nicht abgabefähig verifizierte Packungen, werden identifiziert, ausgesondert, von securPharm bewertet und nachfolgend die notwendigen Maßnahmen eingeleitet.

Dieser „end to end“-Ansatz erfüllt vollständig die Richtlinienanforderungen in Art. 54a, ins-besondere Abs. 2 lit. d), wonach die Überprü-fung der Echtheit jeder gelieferten Packung verifizierungspflichtiger Arzneimittel erfolgen muss. Der „end to end“-Ansatz stellt sicher, dass verschreibungs- und verifizierungs-pflichtige Arzneimittel nur nach vorheriger Verifizierung der Packung als echt in Apothe-ken abgegeben werden. Außerdem kann der Großhandel im Rahmen des risikobasierten Ansatzes dann, wenn Arzneimittelpackungen beispielsweise von Apotheken zurückgegeben oder nicht direkt vom Arzneimittel-Hersteller geliefert werden, eine Überprüfung über den zentralen Apothekenserver auslösen. Eine zu-sätzliche Überprüfung durch den Patienten ist nicht notwendig.

Fazit zu IV:

Das securPharm-Verifikationssystem ent-spricht dem von der Richtlinie und der

Kommission geforderten Grundsatz der Echtheitsüberprüfung nach

dem „end to end“ und dem risikobasierten Ansatz.

Neben der randomisierten Seriennummer ist eine weltweit eindeutige Produktnummer zentrales Element der Verifizierung, ohne eine eindeutige Produktnummer ist eine Ve-rifizierung einzelner Arzneimittelpackungen nicht möglich. Dreh- und Angelpunkt für die-se weltweit eindeutige Produktnummer ist in Deutschland die dort seit langem verwendete und in § 300 Abs. 3 Satz 1 Nr. 1 SGB V vor-gesehene Pharmazentralnummer (PZN) als bundeseinheitliches Kennzeichen für das Fer-tigarzneimittel als Schlüssel zu Handelsname, Hersteller, Darreichungsform, Wirkstoffstärke und Packungsgröße des Arzneimittels. Aus dieser achtstelligen PZN werden jeweils die Pharmacy-Product-Number (PPN) oder die National Trade Item Number (NTIN) generiert. Die PPN wird aus der achtstelligen PZN, einem Präfix für den Product Registration Agency Code (dieser PRA-Code ist letztlich ein Sym-bol für das Abgabeland) sowie zwei Prüfziffern gebildet. Dadurch ist die globale Eindeutigkeit der PPN sichergestellt. Ebenso wird aus der PZN mit einem Länderpräfix sowie der Prüfzif-fer die NTIN erzeugt. securPharm hat zur Er-mittlung der PPN und der NTIN umfangreiche Codierregeln erstellt, die auch die Einbettung in einen Data Matrix Code regeln.

Der pharmazeutische Unternehmer kann sich zwischen den beiden genannten Produktnum-mern unter Berücksichtigung der jeweiligen

Lizenzbedingungen entscheiden und jederzeit zwischen den beiden Varianten wechseln, da die Systeme beides unterstützen und konflikt-frei arbeiten. Existierende Datenbanken und Softwaresysteme können algorithmisch aus der PPN oder der NTIN eine PZN generieren und umgekehrt aus der PZN eine PPN oder NTIN erzeugen. Die bereits existierenden Da-tenbanken und Anwendungen können somit unverändert mit der PZN weiterarbeiten. Die Interoperabilität mit anderen Nummernsyste-men, z.B. GTIN (GS1 als Issuing Agency) oder HIBC (EHIBCC als zuständige Issuing Agency) ist durch die gemeinsame Basis der internati-onalen ISO-Normen gewährleistet. Die Daten-inhalte für Chargenbezeichnung, Verfalldatum und Seriennummer sind bei beiden Varianten identisch.

Die von securPharm erstellten und im secur-Pharm-Verifikationssystem angewandten Co-dierregeln erzeugen über die PPN bzw. NTIN eine global eindeutige Produktnummer und gewährleisten damit eine Marktoffenheit bei gleichzeitiger Berücksichtigung natio-naler Anforderungen. Aufgrund der globa-len Eindeutigkeit der im securPharm-System verwendeten Produktnummer könnte das securPharm-Gesamtsystem ein Modell für Ve-rifikationssysteme in anderen Mitgliedstaaten der Europäischen Union sein.

Fazit zu V:

securPharm ist ein richtlinienkonformes Verifi-kationssystem zur Umsetzung der Fälschungs-schutzrichtlinie und damit eine Blaupause für andere EU-Mitgliedstaaten.

Markt- und Systemoffenheit: PPN oder NTIN als weltweit ein-deutige Produktnummern – securPharm ist als richtlinien-konformes Verifikationssystem Blaupause für andere EU-Mit-gliedstaaten

Gemäß Art. 54a Abs. 3 der RL 2001/83/EG hat die Kommission bei den Festlegungen in den delegierten Rechtsakten und damit auch bei den Bestimmungen über die Einrichtung, die Verwaltung und die Zugänglichkeit des Da-tenspeicher- und -abrufsystems

Ê den im Unionsrecht vorgesehenen Schutz personenbezogener Daten,

Ê das legitime Interesse, vertrauliche An-gaben kommerzieller Art zu schützen,

Ê das Eigentum an den durch Verwendung der Sicherheitsmerkmale erzeugten Da-ten und deren Vertraulichkeit und

Ê die Kostenwirksamkeit der Maßnahmen

zu berücksichtigen. Erwägungsgrund 11 der Fälschungsschutzrichtlinie ergänzt insofern, dass das individuelle Erkennungsmerkmal und das entsprechende Datenspeicher- und -abrufsystem zum Schutz personenbezoge-ner Daten und sensibler Geschäftsinformatio-nen klare und wirksame Sicherheitsschranken haben müssen.

securPharm basiert auf einem Konzept der getrennten Datensysteme. Die pharmazeuti-schen Unternehmer laden ihre packungsbe-zogenen Daten in die von ACS PharmaProtect GmbH betriebene und finanzierte pU-Daten-

V.Technisch und organisatorisch getrennte Datenspeicher- und -abrufsysteme gewährleisten größtmöglichen Datenschutz und größtmögliche Datensi-cherheit

VI.

17

bank hoch. Verifikationsanfragen der Apothe-ker (und auch der Großhändler) werden über den zentralen Apothekenserver gebündelt und anonymisiert an die pU-Datenbank ge-richtet (siehe zum Verifizierungsprozess im Einzelnen unter IV.). Konzeption, Finanzierung und Umsetzung des zentralen Apothekensys-tems ist durch ABDATA Pharma-Daten-Ser-vice erfolgt, einem Unternehmensbereich der Werbe- und Vertriebsgesellschaft Deutscher Apotheker mbH.

Das securPharm-System als verteiltes System mit getrennten Datensystemen für Apotheker und pharmazeutische Unternehmer basiert auf dem Grundsatz, dass die (Bewegungs-) Daten für Arzneimittel im Eigentum und Besitz des jeweiligen Subsystembetreibers bleiben. Die Subsystembetreiber errichten, verwalten und finanzieren ihre eigenen Datensysteme selbst und behalten alle Rechte und Pflichten an den durch Verwendung der Sicherheits-merkmale erzeugten Daten. Aufgrund der getrennten Datenspeicher und -abrufsysteme ist es im securPharm-Projekt ausgeschlossen, dass pharmazeutische Unternehmer nachvoll-ziehen können, aus welcher Apotheke die An-fragen zur Verifizierung kommen. Pharmazeu-tische Unternehmer können daher auch keine Kenntnis über die Bezugs- und Abverkaufs-zahlen einzelner Apotheken erlangen. Umge-kehrt können auch die Apotheken nicht die Daten der pharmazeutischen Unternehmer einsehen. Dritte haben keinen Zugriff auf die Datensysteme. Die Datentrennung und -ano-nymität werden durch entsprechende techni-sche Maßnahmen sichergestellt.

Innerhalb der pU-Datenbank bleiben die Produktdaten der pharmazeutischen

Unternehmer im Eigentum des je-weiligen Unternehmers. Die ACS

PharmaProtect GmbH ver-

Nach dem in mehreren Bestimmungen der Fälschungsschutzrichtlinie beschriebenen Grundprinzip stehen alle Regelungen und Festlegungen der delegierten Rechtsakte unter der Anordnung, dass die Kommissi-on zuvor alle Maßnahmen und Optionen auf Nutzen, Kosten und die Kostenwirksamkeit untersucht hat. Alle Festlegungen der dele-gierten Rechtsakte müssen in einem ange-messenen Kosten-Nutzen-Verhältnis stehen, die Maßnahmen müssen kostenwirksam sein. Hinsichtlich des Anwendungsbereiches der Sicherheitsmerkmale führt Erwägungsgrund 11 ergänzend aus, dass dabei auch die Beson-derheiten bestimmter Arzneimittel oder Kate-gorien von Arzneimitteln, wie etwa Generika, angemessen berücksichtigt werden müssen.

Generika haben in den meisten Mitglied-staaten der Europäischen Union bezogen auf Packungseinheiten einen sehr hohen Anteil am jeweiligen Arzneimittelmarkt. Von den in Deutschland z.B. in 2012 in Apotheken abge-geben Packungen verschreibungspflichtiger Arzneimittel (insgesamt ca. 700 Millionen Pa-ckungen) entfallen etwa ¾, also weit über 500 Millionen Packungen auf Generika. Vorbehalt-lich der endgültigen Festlegung des Anwen-dungsbereiches durch die Kommission in den delegierten Rechtsakten ist zu erwarten, dass der weitaus größte Teil der verifizierungs-pflichtigen Arzneimittelpackungen Generika sind, die Generika-Hersteller mithin auch fi-nanziell durch die Aufbringung und Verifizie-rung der Sicherheitsmerkmale am stärksten betroffen sein werden.

Unter Berücksichtigung dieser Fakten hat ACS PharmaProtect GmbH ab Januar 2014 für die Nutzung der ACS-Datenbank zum secur-Pharm-Verifikationssystem ein Gebührenmo-dell eingeführt, das den Besonderheiten des (deutschen) Arzneimittelmarktes und insbe-sondere der Generika Rechnung trägt. Das Gebührenmodell der ACS-Herstellerdaten-bank basiert auf drei Gebührenkomponenten, nämlich

Ê einer einmaligen Gebühr für die Einrich-tung des Nutzers in der Datenbank (Erst-einrichtungsgebühr)

Ê eine monatliche Betriebspauschale für die Systemvorhaltung und den Basissup-port (Betriebsgebühr) und

Ê einer Gebühr pro Datensatz (Packung), die über das Datenbanksystem bereitge-stellt wird (Datensatzgebühr).

Die Betriebsgebühr und die Datensatzgebühr sind degressiv gestaffelt, d.h. mit steigernder Nutzer- und Packungszahl reduzieren sich die Kosten für den Nutzer. Pharmazeutische Un-ternehmer mit geringen Packungszahlen zah-len einen höheren Preis als Unternehmer mit großen Packungszahlen, also beispielsweise Generika-Hersteller.

Auf der Basis dieses Gebührenmodells und der bisherigen praktischen Erfahrungen schätzt ACS PharmaProtect GmbH die Kosten für den laufenden Betrieb der ACS-Datenbank

waltet treuhänderisch die Daten der jeweiligen pharmazeutischen Unternehmer. Sie stellt für je-den pharmazeutischen Unternehmer einen ge-schützten Datenbereich bereit, so dass ein phar-mazeutischer Unternehmer auch nur Einsicht und Zugriff auf seinen eigenen Datenbestand hat.

securPharm selbst ist in diesem Modell ledig-lich als Aufsicht zu verstehen. securPharm gibt die „Spielregeln“ des Gesamtsystems vor und agiert bei Auffälligkeiten, die einen Fälschungs-verdacht nahelegen. Diese auch Ausnahmen genannten Auffälligkeiten können technisch be-dingt sein, wie z.B. bei Nicht-Erreichbarkeit eines Servers oder Nichtlesbarkeit des Data Matrix Code, können aber auch Angriffe von außen auf das System oder eben auch gefälschte Arznei-mittel sein. securPharm wird diese Ausnahme- und Konfliktfälle identifizieren, auflösen und die Maßnahmen einleiten, die zur Lösung des Aus-nahmefalles notwendig sind.

Datenschutz und Datensicherheit haben im se-curPharm-System höchste Priorität bei der tech-nischen und organisatorischen Realisierung der Arzneimittelverifizierung und werden von den Datenbankbetreibern jeweils in ihren Verant-wortungsbereichen sichergestellt. Alle Daten sind vor Angriffen durch Fälscher und Hacker dem Stand der Technik entsprechend geschützt.

Fazit zu VI:

Das securPharm-System gewährleistet durch ein verteiltes System mit getrennten Datenspeicher- und -abrufsystemen der pharmazeutischen Unternehmer und der Apotheken den von der Fälschungsschutzrichtlinie geforderten größt-möglichen Schutz der personenbezogenen Da-ten und sensibler Geschäftsinformationen.

Gebührenmodell ist Kosten-Nutzen-adäquat und berück-sichtigt angemessen die Besonderheiten bestimmter Arz-neimittel, insbesondere die der Generika

VII.

19

bei etwa 600 Millionen Packungen pro Jahr (Annahme auf der Basis von 700 Millionen Packungen unter Berücksichtigung potenti-eller Ausnahmelisten, black list/white list) auf derzeit unter einem Cent/Packung. Das ist ein mittlerer Preis – aufgrund der degressiv ge-staffelten Betriebs- und Datensatzgebühren zahlen Unternehmer mit hohen Packungs-zahlen einen degressiv niedrigeren Packungs-preis.

Nach Berechnungen von ACS bewirkt das Gebührenmodell eine jährliche Gesamtbe-lastung der ca. 500 pharmazeutischen Unter-nehmer für den Betrieb der ACS-Datenbank in Deutschland unter fünf Millionen Euro. Diese Angaben beinhalten keine Aussagen zu den Kosten des Apothekensystems, des konflikt-lösenden securPharm-Systems, eines mögli-chen EU-Hub sowie der internen Kosten der pharmazeutischen Unternehmer für die Seria-lisierung und Kennzeichnung der Packungen.

Das derzeitige Gebührenmodell ist nicht für alle Zeiten gesetzt; vielmehr ist es erforder-lich, in Abhängigkeit der Entwicklung und der Erfahrungen das Gebührenmodell entspre-chend anzupassen.

Fazit zu VII:

Das ACS-Gebührenmodell ist Kosten-Nutzen-adäquat und berücksichtigt insbesondere über die degressiv gestaffelte Datensatzge-bühr die Besonderheiten von pharmazeuti-schen Unternehmern mit hohen Packungs-zahlen (Generika-Hersteller). Die mittleren Kosten liegen deutlich unter einem Cent/Pa-

ckung. Wenn gegenwärtig noch nicht die Kosten für das Apothekensystem und das

konfliktlösende System bestimmt wer-den können, kann jetzt schon fest-

gestellt werden, dass die Verifi-zierungskosten pro Packung

im securPharm-System deutlich unter den An-

Aufgrund der globalen Eindeutigkeit der im securPharm-Gesamtsystem verwendeten Pro-duktnummer (in Form einer PPN oder NTIN) und der weltweit einsetzbaren securPharm-Codier,- Verifikations- und Organisationsre-geln ist securPharm ein Modell für Verifika-tionssysteme in anderen Mitgliedstaaten in der Europäischen Union, die die Fälschungs-schutzrichtlinie richtlinienkonform umset-zen wollen/müssen. Die Länderpräfixe in der PPN-Produktnummer bzw. der NTIN-Produkt-nummer weisen die zu verifizierende Arznei-mittelpackung eindeutig einem bestimmten PRA-Code bzw. einem bestimmten Land zu. Über ein zentrales EU-Routing-System könn-ten auch länderübergreifend eingesetzte sog. multi-country-packs und auch Importarznei-mittel europaweit identifiziert und verifiziert werden.

securPharm ist damit nicht nur eine Blaupau-se für Verifikationssysteme in anderen EU-Mitgliedstaaten, sondern unter Nutzung eines zentralen Routingsystems auch ein Baustein in einem europäischen Schutzschild gegen Arz-neimittelfälschungen.

securPharm als Blaupause für nationale Verifikationssysteme in ein europäisches Schutzschild gegen Arzneimittelfälschungen integrierbar

NachwortVIII. IX.

Ê Die vorstehende Beschreibung zeigt auf, dass nur Stakeholder die nötigen Kennt-nisse besitzen, die für die Errichtung des Systems erforderlich sind.

Ê Daraus folgert, dass diese Stakeholder einen ausreichenden Organisationsgrad aufweisen müssen, um die erforderlichen Geschäfte führen zu können. Darüber müssen die Stakeholder alle Handelsstu-fen (Hersteller, Großhändler und Apothe-ken) umfassen und zur Zusammenarbeit willens sein.

Ê Schließlich setzt die „end to end“-Verifi-kation – die Nutzung gemeinsamer Da-tenbanken – logisch voraus, dass eine nationale Artikelnummer für Arzneimittel existiert und von allen Handelsstufen zur Identifikation genutzt wird. Anders lässt sich die Datenbank zur Verifikation nicht von allen Handelsstufen adressieren. Ide-alerweise sollte dies diejenige (zwingend

eineindeutige*) Nummer sein, die der Kostenerstattung durch die / den Ver-sicherungsträger dient. Anderenfalls müsste die Codierung aus 5 Elementen (Artikelnummer und Erstattungsnum-mer, Seriennummer, Charge, Verfall) be-stehen, was Redundanzen, überhöhten Verwaltungsaufwand und Fehlerquel-len schafft.

*Die Forderung nach der Eineindeutig-keit der Erstattungsnummer ergibt sich aus den Aspekten der Arzneimittelsi-cherheit bei Abgabe an den Patienten und der korrekten Abrechnung mit dem Kostenträger. Von Herstellern vergebe-ne Artikelnummern erfüllen diese For-derung üblicherweise nicht, weil die Nummernvergabe nicht gemeinsamen Regeln folgt und auch nicht kontrolliert wird.

Die Erfahrungen aus dem securPharm-Projekt haben aufgezeigt, dass ein derart komplexes System nur dann zu errichten ist, wenn verschiedene Voraussetzungen hinsichtlich der (nationalen) Infrastruktur erfüllt sind.

nahmen und Voraussagen von anderen Orga-nisationen, die Packungskosten von mehr als fünf Cent prognostizierten, liegen.

www.securpharm.de

securPharm e.V. | Hamburger Allee 26-28 | 60486 Frankfurt am Main | Registernummer VR 14900 Vereinsregister des Amtsgerichts Frankfurt am Main | Tel. 069 / 979 919 14 | info@securpharm.de