Einhaltung von 21 CFR Part 11: Was tatsächlich erforderlich ist

Wichtigste Erkenntnisse

• Die Einhaltung von 21 CFR Part 11 ergibt sich aus den Kontrollmechanismen eines Systems (Validierung, Zugriffskontrollen und Prüfprotokolle), nicht aus der Technologie selbst. Kein Produkt ist von Natur aus konform.
• Die Regel lässt sich auf eine einzige Idee reduzieren: Jede Aktion in einem Datensatz hat einen Namen, einen Zeitstempel und einen Grund, auch wenn kein Papierdokument vorhanden ist.
• Teil 11 ist nicht HIPAA. HIPAA regelt den Schutz und die Sicherheit von Gesundheitsdaten, während Teil 11 die Integrität und Nachverfolgbarkeit von FDA-regulierten Aufzeichnungen und Signaturen regelt. Ein Unternehmen kann die Anforderungen des einen Teils erfüllen, ohne die des anderen zu erfüllen.
• Teil 11 ist seit 1997 in Kraft und bleibt eine zentrale Anforderung für Pharma-, Biotech-, Medizinprodukte- und klinische Organisationen.

‍

Die Einhaltung von 21 CFR Part 11 ist keine Eigenschaft einer einzelnen Technologie. Sie beschreibt vielmehr die Kontrollmechanismen, die die Vertrauenswürdigkeit elektronischer Datensätze gewährleisten: ein validiertes System, Zugriffskontrollen und ein Prüfprotokoll, das jede Aktion mit einer benannten Person, einem Zeitstempel und einem Grund verknüpft. Die FDA (die US-amerikanische Lebensmittel- und Arzneimittelbehörde) zertifiziert keine Produkte als Part-11-konform . Die Organisation, die ein System nutzt, ist für die zugehörigen Sicherheitsvorkehrungen verantwortlich. Daher kann es vorkommen, dass zwei Unternehmen dieselbe Software verwenden, aber nur eines davon die Anforderungen erfüllt.

‍

Was ist 21 CFR Part 11?

21 CFR Part 11 ist die FDA-Verordnung, die die Verwaltung elektronischer Datensätze und elektronischer Signaturen in FDA-regulierten Branchen wie Pharma, Biotechnologie, Medizintechnik und klinischer Forschung regelt . Ein elektronischer Datensatz umfasst alle Daten, die elektronisch erstellt, geändert, verwaltet, archiviert, abgerufen oder übertragen werden. Eine elektronische Signatur ist das elektronische Äquivalent einer handschriftlichen Unterschrift. Das Ziel ist einfach: Elektronische Datensätze und Signaturen sollen genauso vertrauenswürdig und nachvollziehbar sein wie handschriftliche. Die Verordnung wurde am 20. März 1997 veröffentlicht und trat am 20. August 1997 in Kraft. Fast drei Jahrzehnte später ist sie immer noch gültig. Den vollständigen Text von 21 CFR Part 11 finden Sie im eCFR.

‍

Was genau erfordert die Einhaltung von 21 CFR Part 11?

Die Regelung besteht aus drei Unterabschnitten, doch die praktischen Anforderungen von 21 CFR Part 11 lassen sich auf eine kurze Checkliste reduzieren. Am einfachsten merkt man sich Folgendes: Jede Aktion hat einen Namen, einen Zeitstempel und einen Grund, auch wenn kein Papierdokument vorliegt. Ein Prüfpfad ist der mit Zeitstempel versehene, dem Benutzer zugeordnete Datensatz jeder Erstellung, Bearbeitung oder Löschung, der dies ermöglicht.

‍

‍

Für wen gilt 21 CFR Part 11?

Teil 11 gilt für FDA-regulierte Organisationen, die vorgeschriebene Aufzeichnungen elektronisch führen oder elektronische Signaturen anstelle handschriftlicher verwenden. Der Anwendungsbereich richtet sich nach dem Dokument, nicht nach der Behörde: Sobald eine regulierte Organisation ein FDA-reguliertes elektronisches Dokument erstellt, speichert oder übermittelt, fällt das System, das dieses Dokument verarbeitet, in den Anwendungsbereich. Dies schließt Übertragungssysteme ein, also beispielsweise einen sicheren Online-Faxdienst. Fax.Plus Das System müsste mit Prüfprotokollen und Zugriffskontrollen ausgestattet sein, wenn es regulierte Dokumente verarbeitet. Die FDA beschreibt den weiten Geltungsbereich der Regelung in ihren Anwendungs- und Schutzhinweisen .

‍

21 CFR Part 11 vs HIPAA: Worin besteht der Unterschied?

Diese beiden Begriffe werden oft verwechselt, und die Unterscheidung ist wichtig. HIPAA (Health Insurance Portability and Accountability Act) schützt die Vertraulichkeit und Sicherheit von geschützten Gesundheitsdaten (Protected Health Information, PHI) , also personenbezogenen Gesundheitsdaten, die von einer Einrichtung im Rahmen des HIPAA-Gesetzes verarbeitet werden. 21 CFR Part 11 schützt die Integrität und Nachverfolgbarkeit von FDA-regulierten elektronischen Aufzeichnungen und Signaturen. Ein gängiges Instrument im Rahmen von HIPAA ist die Vereinbarung mit Geschäftspartnern ( Business Associate Agreement, BAA) , der Vertrag, der es einem Dienstleister erlaubt, PHI in Ihrem Auftrag zu verarbeiten. Sie lösen unterschiedliche Probleme, und ein System kann die Anforderungen nur teilweise erfüllen.

‍

‍

Wie man die Anforderungen von 21 CFR Part 11 erfüllt

Behandeln Sie Compliance als nachweisbare Kontrollmechanismen, nicht als ein Label, das Sie erwerben. In der Praxis bedeutet das ein validiertes System mit Herstellerdokumentation, Zugriffskontrollen und eindeutigen Benutzerkonten, vollständigen Prüfprotokollen, eindeutigen und verifizierten elektronischen Signaturen sowie definierten Aufbewahrungsfristen. Wenn sich eine Behauptung nicht belegen lässt, schwächen Sie sie ab, anstatt sie zu übertreiben , denn die Aufsichtsbehörden bewerten, was Sie zeigen können, nicht, was Sie behaupten.

‍

Häufig gestellte Fragen

‍

Wann trat 21 CFR Part 11 in Kraft?

Die endgültige Regelung wurde 1997 erlassen und trat am 20. August 1997 in Kraft. Sie ist bis heute gültig und gilt weiterhin für von der FDA regulierte elektronische Aufzeichnungen und Signaturen.

‍

Für wen gilt 21 CFR Part 11?

Dies gilt für FDA-regulierte Organisationen (wie z. B. Pharma-, Biotech-, Medizinprodukte- und klinische Studien), die erforderliche Aufzeichnungen elektronisch erstellen, ändern, pflegen, archivieren, abrufen oder übermitteln oder die elektronische Signaturen anstelle von handschriftlichen verwenden.

‍

Welchen Zweck hat 21 CFR Part 11?

Ziel ist es, elektronische Aufzeichnungen und Signaturen genauso vertrauenswürdig zu machen wie Papieraufzeichnungen, sodass auf eine FDA-regulierte Aufzeichnung als genau, nachvollziehbar und manipulationssicher vertraut werden kann.

‍

Ist irgendein Produkt von Haus aus „21 CFR Part 11-konform“?

Nein. Die Einhaltung der Vorschriften ergibt sich aus den Kontrollmechanismen und der Validierung und dem Betrieb eines Systems, nicht allein aus dem Produkt. Ein Anbieter kann die Einhaltung von Teil 11 unterstützen, die Verantwortung für den Nachweis der Konformität liegt jedoch beim Anwender.

‍

Kann eine elektronische Signatur den Anforderungen von 21 CFR Part 11 entsprechen?

Eine elektronische Signatur erfüllt die Anforderungen von Teil 11, wenn jede Signatur eindeutig einer Person zugeordnet ist, die Identität verifiziert wird (häufig mit zwei Faktoren) und die Signatur den Namen des Unterzeichners, Datum und Uhrzeit sowie den Grund der Unterzeichnung enthält. Ob ein bestimmtes Tool diese Anforderungen erfüllt, hängt von seiner Konfiguration und Validierung ab.

‍

Kann man Cloud-Software gemäß 21 CFR Part 11 verwenden?

Ja. Cloud-Software kann gemäß Teil 11 verwendet werden, wenn das System validiert ist, der Zugriff kontrolliert wird, die Prüfprotokolle vollständig sind und der Anbieter eine Dokumentation bereitstellt, die Ihre eigenen Validierungsbemühungen unterstützt.