Naleving van 21 CFR Part 11: wat er daadwerkelijk van wordt verwacht

Belangrijkste punten

• Naleving van 21 CFR Part 11 vloeit voort uit de beheersmaatregelen rondom een systeem (validatie, toegangsbeheer en audittrajecten), niet uit de technologie zelf. Geen enkel product is „van nature“ conform.
• De regel komt neer op één principe: elke handeling met betrekking tot een dossier heeft een naam, een tijdstempel en een reden, zelfs als er geen papieren document is.
• Deel 11 valt niet onder de HIPAA. De HIPAA regelt de privacy en beveiliging van gezondheidsgegevens, terwijl Deel 11 betrekking heeft op de integriteit en traceerbaarheid van door de FDA gereguleerde documenten en handtekeningen. Een bedrijf kan aan de ene eis voldoen en aan de andere niet.
• Deel 11 is sinds 1997 van kracht en blijft een essentiële vereiste voor bedrijven in de farmaceutische sector, de biotechnologie, de sector voor medische hulpmiddelen en klinische instellingen.

‍

Naleving van 21 CFR Part 11 is geen eigenschap van één bepaalde technologie. Het is het geheel van controlemaatregelen waarmee wordt aangetoond dat een elektronisch dossier betrouwbaar is: een gevalideerd systeem, toegangscontroles en een audittrail die elke handeling koppelt aan een met naam genoemde persoon, een tijdstempel en een reden. De FDA (de Amerikaanse Food and Drug Administration) certificeert geen producten als Part 11-conform. De organisatie die een systeem gebruikt, is verantwoordelijk voor de beveiligingsmaatregelen eromheen. Daarom kan het voorkomen dat twee bedrijven dezelfde software gebruiken, maar slechts één daarvan aan de voorschriften voldoet.

‍

Wat is 21 CFR Part 11?

21 CFR Part 11 is de FDA-regelgeving die bepaalt hoe elektronische documenten en elektronische handtekeningen moeten worden beheerd in sectoren die onder het toezicht van de FDA vallen, zoals de farmaceutische industrie, de biotechnologie, medische hulpmiddelen en klinisch onderzoek. Een elektronisch document is elke gegevensset die in elektronische vorm wordt aangemaakt, gewijzigd, bijgehouden, gearchiveerd, opgehaald of verzonden, en een elektronische handtekening is het elektronische equivalent van een handgeschreven handtekening. Het doel is eenvoudig te omschrijven: elektronische documenten en handtekeningen even betrouwbaar en traceerbaar maken als papier en inkt. De regel werd op 20 maart 1997 gepubliceerd en trad op 20 augustus 1997 in werking; bijna drie decennia later is deze nog steeds van kracht. U kunt de tekst van 21 CFR Part 11 raadplegen in de eCFR.

‍

Wat houdt naleving van 21 CFR Part 11 eigenlijk in?

De regel bestaat uit drie onderdelen, maar de praktische vereisten van 21 CFR Part 11 komen neer op een korte checklist. De duidelijkste manier om dit te onthouden: elke handeling heeft een naam, een tijdstempel en een reden, zelfs als er geen papieren documenten zijn. Een audittrail is het met een tijdstempel en een gebruiker gekoppelde verslag van elke aanmaak, bewerking of verwijdering die dit mogelijk maakt.

‍

‍

Op wie is 21 CFR Part 11 van toepassing?

Deel 11 is van toepassing op door de FDA gereguleerde organisaties die de vereiste documenten elektronisch bewaren of elektronische handtekeningen gebruiken in plaats van handgeschreven handtekeningen. Het toepassingsgebied volgt het document, niet de afdeling: zodra een gereguleerde organisatie een door de FDA gereguleerd elektronisch document aanmaakt, opslaat of verzendt, valt het systeem dat dit verwerkt onder het toepassingsgebied. Dat omvat ook verzendsystemen, dus een beveiligde online faxdienst zoals Fax.Plus moeten worden beheerd met audittrails en toegangscontroles wanneer deze gereguleerde documenten vervoert. De FDA beschrijft hoe breed de regel reikt in haar richtlijnen inzake toepassingsgebied en toepassing.

‍

21 CFR Part 11 versus HIPAA: wat is het verschil?

Deze twee worden vaak door elkaar gehaald, maar het onderscheid is belangrijk. De HIPAA (de Health Insurance Portability and Accountability Act) beschermt de privacy en veiligheid van beschermde gezondheidsinformatie (PHI), de individueel identificeerbare gezondheidsgegevens die een onder de wet vallende entiteit verwerkt. 21 CFR Part 11 beschermt de integriteit en traceerbaarheid van door de FDA gereguleerde elektronische documenten en handtekeningen. Een veelgebruikt HIPAA-instrument is de Business Agreement (BAA), de overeenkomst die een leverancier toestaat om namens u PHI te verwerken. Ze pakken verschillende problemen aan, en een systeem kan aan de ene eis voldoen zonder aan de andere te voldoen.

‍

‍

Hoe je de naleving van 21 CFR Part 11 kunt aanpakken

Beschouw naleving als een reeks controlemaatregelen die u kunt aantonen, niet als een keurmerk dat u koopt. In de praktijk betekent dit een gevalideerd systeem met documentatie van leveranciers, toegangscontroles en unieke gebruikersaccounts, volledige audittrajecten, unieke en geverifieerde elektronische handtekeningen, en vastgestelde bewaartermijnen voor documenten. Wanneer een bewering niet kan worden onderbouwd, moet u deze liever afzwakken dan overdrijven, want toezichthouders beoordelen wat u kunt aantonen, niet wat u beweert.

‍

Veelgestelde vragen

‍

Wanneer is 21 CFR Part 11 van kracht geworden?

De definitieve verordening werd in 1997 vastgesteld en trad op 20 augustus 1997 in werking. Ze is nog steeds van kracht en blijft van toepassing op elektronische documenten en handtekeningen die onder het toezicht van de FDA vallen.

‍

Op wie is 21 CFR Part 11 van toepassing?

Dit geldt voor organisaties die onder het toezicht van de FDA vallen (zoals farmaceutische bedrijven, biotechbedrijven, fabrikanten van medische hulpmiddelen en klinische instellingen) die vereiste documenten elektronisch aanmaken, wijzigen, bijhouden, archiveren, opvragen of verzenden, of die elektronische handtekeningen gebruiken in plaats van handgeschreven handtekeningen.

‍

Wat is het doel van 21 CFR Part 11?

Het doel hiervan is om elektronische documenten en handtekeningen even betrouwbaar te maken als papieren documenten, zodat een door de FDA gereguleerd document kan worden beschouwd als nauwkeurig, herleidbaar en fraudebestendig.

‍

Is er wel een product dat direct uit de verpakking al „voldoet aan 21 CFR Part 11“?

Nee. Naleving vloeit voort uit controlemaatregelen en de manier waarop een systeem wordt gevalideerd en geëxploiteerd, niet uit het product op zich. Een leverancier kan Part 11 ondersteunen, maar de gebruiker is verantwoordelijk voor het aantonen van naleving.

‍

Kan een elektronische handtekening voldoen aan 21 CFR Part 11?

Een elektronische handtekening kan voldoen aan Deel 11 wanneer elke handtekening uniek is voor één persoon, de identiteit wordt geverifieerd (vaak met twee factoren) en de handtekening de naam van de ondertekenaar, de datum en het tijdstip, en de reden voor ondertekening vastlegt. Of een bepaald hulpmiddel hieraan voldoet, hangt af van de manier waarop het is geconfigureerd en gevalideerd.

‍

Mag je cloudsoftware gebruiken in het kader van 21 CFR Part 11?

Ja. Cloudsoftware kan worden gebruikt in het kader van Deel 11, mits het systeem is gevalideerd, de toegang wordt gecontroleerd, er volledige audittrails zijn en de leverancier documentatie verstrekt die uw eigen validatie-inspanningen ondersteunt.