Соответствие требованиям части 11 раздела 21 Свода федеральных правил: что это на самом деле требует.

Основные выводы

• Соответствие требованиям 21 CFR Part 11 обеспечивается средствами контроля, окружающими систему (проверка, контроль доступа и журналы аудита), а не самой технологией. Ни один продукт не соответствует требованиям «по своей природе».
• Правило сводится к одной идее: каждое действие в записи имеет имя, метку времени и причину, даже если нет бумажного документа.
• Часть 11 — это не HIPAA. HIPAA регулирует конфиденциальность и безопасность медицинских данных, в то время как Часть 11 регулирует целостность и отслеживаемость записей и подписей, регулируемых FDA. Компания может соответствовать одному закону, но не другому.
• Часть 11 действует с 1997 года и остается основным требованием для фармацевтических, биотехнологических, медицинских и клинических организаций.

‍

Соответствие требованиям 21 CFR Part 11 не является свойством какой-либо одной технологии. Это набор мер контроля, подтверждающих надежность электронной записи: проверенная система, контроль доступа и журнал аудита, связывающий каждое действие с конкретным лицом, временной меткой и причиной. FDA (Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США) не сертифицирует продукцию на соответствие требованиям Part 11. Организация, использующая систему, несет ответственность за меры безопасности, поэтому две компании могут использовать одно и то же программное обеспечение, и только одна из них будет соответствовать требованиям.

‍

Что такое 21 CFR Часть 11?

21 CFR Часть 11 — это регламент FDA, определяющий порядок управления электронными записями и электронными подписями в отраслях, регулируемых FDA, таких как фармацевтика, биотехнологии, медицинские изделия и клинические исследования. Электронная запись — это любые данные, созданные, измененные, поддерживаемые, архивированные, извлеченные или переданные в электронной форме, а электронная подпись — это электронный эквивалент рукописной подписи. Цель проста: сделать электронные записи и подписи такими же надежными и отслеживаемыми, как бумага и чернила. Регламент был опубликован 20 марта 1997 года и вступил в силу 20 августа 1997 года, и спустя почти три десятилетия он по-прежнему действует. Вы можете ознакомиться с текстом 21 CFR Часть 11 в eCFR.

‍

Что именно требуется для соблюдения требований части 11 раздела 21 Свода федеральных правил США?

Правило состоит из трех подразделов, но практические требования части 11 раздела 21 Свода федеральных правил сводятся к короткому контрольному списку. Самый наглядный способ запомнить это: каждое действие имеет название, отметку времени и причину, даже если нет бумажного документа. Журнал аудита — это запись с отметкой времени и указанием пользователя о каждом создании, редактировании или удалении, которая делает это возможным.

‍

‍

На кого распространяется действие части 11 раздела 21 Свода федеральных правил?

Часть 11 применяется к организациям, регулируемым FDA, которые хранят необходимые записи в электронном виде или используют электронные подписи вместо рукописных. Область действия определяется самой записью, а не ведомством: как только регулируемая организация создает, хранит или передает электронный документ, регулируемый FDA, система, обрабатывающая его, попадает под действие правил. Это включает в себя системы передачи, поэтому защищенная онлайн-служба факсимильной связи, такая как... Fax.Plus При работе с регулируемыми документами потребуется использовать системы аудита и контроля доступа. FDA описывает сферу действия и руководство по применению данного правила.

‍

21 CFR Часть 11 против HIPAA: в чем разница?

Эти два понятия часто путают, и различие между ними имеет значение. HIPAA (Закон о переносимости и подотчетности медицинского страхования) защищает конфиденциальность и безопасность защищенной медицинской информации (PHI) , то есть индивидуальных медицинских данных, обрабатываемых организацией, подпадающей под действие закона. 21 CFR Часть 11 защищает целостность и отслеживаемость электронных записей и подписей, регулируемых FDA. Распространенным инструментом HIPAA является Соглашение о Business партнерстве (BAA) , договор, который позволяет поставщику обрабатывать PHI от вашего имени. Они решают разные проблемы, и система может удовлетворять одной из них без другой.

‍

‍

Как обеспечить соответствие требованиям части 11 раздела 21 Свода федеральных правил США

Рассматривайте соответствие требованиям как набор демонстрируемых мер контроля, а не как купленную этикетку. На практике это означает проверенную систему с документацией от поставщика, контролем доступа и уникальными учетными записями пользователей, полными журналами аудита, уникальными и проверенными электронными подписями и определенным сроком хранения записей. Если какое-либо утверждение не может быть подтверждено доказательствами, смягчите его, а не преувеличивайте , поскольку регулирующие органы оценивают то, что вы можете показать, а не то, что вы утверждаете.

‍

Часто задаваемые вопросы

‍

Когда вступила в силу часть 11 раздела 21 Свода федеральных правил США?

Окончательная версия правил была опубликована в 1997 году и вступила в силу 20 августа 1997 года. Она остается в силе и по сей день и продолжает применяться к электронным записям и подписям, регулируемым FDA.

‍

На кого распространяется действие части 11 раздела 21 Свода федеральных правил?

Это относится к организациям, регулируемым FDA (таким как фармацевтические, биотехнологические, медицинские и клинические компании), которые создают, изменяют, поддерживают, архивируют, извлекают или передают необходимые записи в электронном виде, или которые используют электронные подписи вместо рукописных.

‍

Какова цель раздела 11 Свода федеральных правил США (21 CFR Part 11)?

Его цель — сделать электронные записи и подписи такими же надежными, как бумажные, чтобы на записи, регулируемые FDA, можно было полагаться как на точные, достоверные и защищенные от подделки.

‍

Соответствует ли какой-либо продукт требованиям «21 CFR Part 11» сразу после распаковки?

Нет. Соответствие требованиям обеспечивается средствами контроля и тем, как система проверяется и эксплуатируется, а не только самим продуктом. Поставщик может поддерживать Часть 11, но ответственность за демонстрацию соответствия лежит на организации-пользователе.

‍

Может ли электронная подпись соответствовать требованиям части 11 раздела 21 Свода федеральных правил США?

Электронная подпись может соответствовать требованиям Части 11, если каждая подпись уникальна для одного человека, личность подтверждена (часто с использованием двух факторов), а подпись содержит имя подписавшего, дату и время, а также причину подписания. Соответствие конкретного инструмента требованиям зависит от его конфигурации и проверки.

‍

Можно ли использовать облачное программное обеспечение в соответствии с частью 11 раздела 21 Свода федеральных правил США?

Да. Облачное программное обеспечение может использоваться в соответствии с Частью 11, если система прошла валидацию, доступ контролируется, журналы аудита полны, а поставщик предоставляет документацию, подтверждающую ваши собственные усилия по валидации.