Zgodność z przepisami 21 CFR część 11: czego faktycznie wymaga

Najważniejsze wnioski

• Zgodność z przepisami 21 CFR część 11 wynika z mechanizmów kontroli stosowanych w systemie (walidacja, kontrola dostępu i ścieżki audytu), a nie z samej technologii. Żaden produkt nie jest „z natury” zgodny z tymi przepisami.
• Zasada ta sprowadza się do jednej idei: każda operacja na rekordzie ma swoją nazwę, sygnaturę czasową i uzasadnienie, nawet jeśli nie ma dokumentacji papierowej.
• Część 11 nie jest HIPAA. HIPAA reguluje kwestie prywatności i bezpieczeństwa danych dotyczących zdrowia, natomiast część 11 dotyczy integralności i identyfikowalności dokumentacji oraz podpisów podlegających regulacjom FDA. Firma może spełniać wymogi jednej z tych norm, a nie drugiej.
• Część 11 obowiązuje od 1997 roku i nadal stanowi podstawowy wymóg dla przedsiębiorstw farmaceutycznych, biotechnologicznych, producentów wyrobów medycznych oraz placówek klinicznych.

‍

Zgodność z 21 CFR część 11 nie jest cechą charakterystyczną żadnej pojedynczej technologii. Jest to zbiór środków kontroli, które potwierdzają wiarygodność dokumentacji elektronicznej: walidowany system, mechanizmy kontroli dostępu oraz ścieżka audytu, która powiązuje każdą czynność z konkretną osobą, sygnaturą czasową i uzasadnieniem. FDA (Amerykańska Agencja ds. Żywności i Leków) nie certyfikuje produktów pod kątem zgodności z częścią 11. Organizacja korzystająca z systemu jest odpowiedzialna za zabezpieczenia z nim związane, dlatego dwie firmy mogą korzystać z tego samego oprogramowania, a tylko jedna z nich jest zgodna z przepisami.

‍

Czym jest 21 CFR część 11?

21 CFR część 11 to rozporządzenie FDA określające zasady zarządzania dokumentacją elektroniczną i podpisami elektronicznymi w branżach podlegających regulacjom FDA, takich jak przemysł farmaceutyczny, biotechnologiczny, wyrobów medycznych oraz badań klinicznych. Dokumentacja elektroniczna to wszelkie dane tworzone, modyfikowane, przechowywane, archiwizowane, odzyskiwane lub przesyłane w formie elektronicznej, natomiast podpis elektroniczny stanowi elektroniczny odpowiednik podpisu odręcznego. Cel można sformułować w prosty sposób: sprawić, by dokumentacja elektroniczna i podpisy elektroniczne były tak samo wiarygodne i identyfikowalne jak dokumenty papierowe i podpisy odręczne. Przepis ten został opublikowany 20 marca 1997 r. i wszedł w życie 20 sierpnia 1997 r., a prawie trzy dekady później nadal obowiązuje. Tekst 21 CFR część 11 można przeczytać w eCFR.

‍

Czego właściwie wymaga zgodność z przepisami 21 CFR część 11?

Przepis ten składa się z trzech części, ale praktyczne wymagania określone w 21 CFR część 11 sprowadzają się do krótkiej listy kontrolnej. Najprostszym sposobem, by o tym pamiętać, jest zasada: każda czynność ma nazwę, znacznik czasu i powód, nawet jeśli nie ma dokumentacji papierowej. Ścieżka audytu to opatrzony znacznikiem czasu i przypisany do konkretnego użytkownika zapis każdej czynności tworzenia, edycji lub usuwania, który to umożliwia.

‍

‍

Kogo dotyczy przepis 21 CFR część 11?

Część 11 ma zastosowanie do organizacji podlegających regulacjom FDA, które prowadzą wymaganą dokumentację w formie elektronicznej lub stosują podpisy elektroniczne zamiast podpisów odręcznych. Zakres regulacji dotyczy dokumentacji, a nie konkretnego działu: w momencie, gdy organizacja podlegająca regulacjom tworzy, przechowuje lub przesyła dokument elektroniczny podlegający regulacjom FDA, system obsługujący ten dokument wchodzi w zakres regulacji. Obejmuje to systemy transmisji, więc bezpieczna usługa faksu online, taka jak Fax.Plus być obsługiwana z wykorzystaniem ścieżek audytu i kontroli dostępu, gdy przesyła dokumenty podlegające regulacjom. FDA opisuje, jak szeroki jest zakres tej zasady, w swoich wytycznych dotyczących zakresu i stosowania.

‍

21 CFR część 11 a HIPAA: na czym polega różnica?

Te dwa pojęcia są często mylone, a rozróżnienie między nimi ma znaczenie. HIPAA (ustawa o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych) chroni prywatność i bezpieczeństwo chronionych informacji zdrowotnych (PHI), czyli danych zdrowotnych umożliwiających identyfikację konkretnej osoby, którymi zajmuje się podmiot objęty przepisami. Przepisy 21 CFR część 11 chronią integralność i identyfikowalność dokumentacji elektronicznej oraz podpisów elektronicznych podlegających regulacjom FDA. Typowym instrumentem HIPAA jest umowaBusiness (BAA) – umowa, która pozwala dostawcy przetwarzać dane PHI w imieniu klienta. Rozwiązują one różne problemy, a system może spełniać wymagania jednej z nich bez konieczności spełniania wymagań drugiej.

‍

‍

Jak podejść do kwestii zgodności z przepisami 21 CFR część 11

Traktuj zgodność z przepisami jako zestaw środków kontroli, które można wykazać, a nie jako etykietę, którą się kupuje. W praktyce oznacza to sprawdzony system wraz z dokumentacją dostawcy, mechanizmami kontroli dostępu i unikalnymi kontami użytkowników, kompletnymi ścieżkami audytu, unikalnymi i zweryfikowanymi podpisami elektronicznymi oraz określonymi zasadami przechowywania dokumentacji. Jeśli nie da się poprzeć danego twierdzenia dowodami, lepiej je złagodzić, zamiast wyolbrzymiać, ponieważ organy regulacyjne oceniają to, co można wykazać, a nie to, co się twierdzi.

‍

Najczęściej zadawane pytania

‍

Kiedy weszła w życie część 11 tytułu 21 CFR?

Ostateczna wersja rozporządzenia została wydana w 1997 roku i weszła w życie 20 sierpnia 1997 roku. Obowiązuje ono do dziś i nadal ma zastosowanie do dokumentacji elektronicznej oraz podpisów elektronicznych podlegających regulacjom FDA.

‍

Kogo dotyczy przepis 21 CFR część 11?

Dotyczy to organizacji podlegających regulacjom FDA (takich jak firmy farmaceutyczne, biotechnologiczne, producenci wyrobów medycznych oraz podmioty prowadzące działalność kliniczną), które tworzą, modyfikują, przechowują, archiwizują, pobierają lub przekazują wymagane dokumenty w formie elektronicznej albo stosują podpisy elektroniczne zamiast podpisów odręcznych.

‍

Jaki jest cel części 11 tytułu 21 CFR?

Jego celem jest zapewnienie, by dokumentacja elektroniczna i podpisy elektroniczne były równie wiarygodne jak dokumenty papierowe, tak aby dokumentacja podlegająca regulacjom FDA mogła być uznawana za dokładną, możliwą do przypisania konkretnej osobie oraz zabezpieczoną przed fałszerstwem.

‍

Czy któryś z produktów jest „zgodny z 21 CFR część 11” już po wyjęciu z opakowania?

Nie. Zgodność wynika z mechanizmów kontroli oraz sposobu walidacji i eksploatacji systemu, a nie wyłącznie z samego produktu. Dostawca może zapewnić zgodność z częścią 11, ale to organizacja korzystająca z systemu jest odpowiedzialna za wykazanie tej zgodności.

‍

Czy podpis elektroniczny może być zgodny z przepisami 21 CFR część 11?

Podpis elektroniczny może spełniać wymogi części 11, o ile każdy podpis jest unikalny dla jednej osoby, tożsamość jest weryfikowana (często za pomocą dwóch czynników), a podpis zawiera imię i nazwisko osoby podpisującej, datę i godzinę oraz powód złożenia podpisu. To, czy dane narzędzie spełnia te wymogi, zależy od sposobu jego konfiguracji i walidacji.

‍

Czy można korzystać z oprogramowania w chmurze zgodnie z przepisami 21 CFR część 11?

Tak. Oprogramowanie w chmurze może być wykorzystywane zgodnie z częścią 11, o ile system został poddany walidacji, dostęp do niego jest kontrolowany, ścieżki audytu są kompletne, a dostawca dostarcza dokumentację potwierdzającą przeprowadzoną przez użytkownika walidację.