Embed Size (px)
Citation preview
15.1.2018
1
Data Integrity pro
počítačové systémy –
požadavky a praxe
CONFORUM
Validace počítačových systémů v praxi
24.01.2018
Vítězslav Kment
Obsah
• Přehled požadavků EMA Guidance pro Data Integrity
• Přehled požadavků FDA Guidance pro Data Integrity
• QA činnosti související s integritou dat (analýza rizik, školení, SOPy, interní audity)
• Práce s revizní stopou a její periodické posouzení (Audit Trail)
• Posouzení stavu implementace Data Integrity, zjištění nedostatků a realizace nápravných opatření
• Praktické zkušenosti s audity FDA a nálezy SÚKL
15.1.2018
2
Přehled požadavků
• Existující předpisy GMP a jejich doplňky EU a US, zejména:
• EU GMP Guide a Annex 11 to EU GMP Guide Computerised Systems (VYR-32 a doplněk 11)
• 21 CFR Part 210 a 211 cGMP a Part 11 Electronic Records; Electronic Signatures
• EMA Data Integrity Q and A, August 2016
• Data Integrity and Compliance With CGMP, Guidance for Industry, Draft, FDA April 2016
• WHO Technical Report Series 996, 2016, Annex 5
• MHRA GMP Data Integrity Definitions and Guidance for Industry, March 2015; Draft version from July 2016
Koho se data integrity týká
• Výrobce léčivých přípravků
• Laboratoře/výrobci produkující registrační data
• Výrobci API/pomocných látek
• Smluvní výrobci a kontrolní laboratoře
• Smluvní dodavatelé IT/kalibrace/kvalifikace
15.1.2018
3
EMA – Data Integrity
• Požaduje zásady ALCOA pro data integrity a odvolává se na dokument WHO
• Týká se záznamů na papíře i elektronických
• Vedení zajistí řízení rizik souvisejících s integritou dat včetně efektivních CAPA
• Jsou detailně popsány zásady hodnocení rizik u CS v rámci životního cyklu dat
• Je požadováno školení personálu v Data Integrity a provádění auditů DI
• Zahrnuje i vyhodnocování DI u smluvních partnerů
EMA – Kritická data
• Údaje, které ovlivní rozhodování o propuštění šarže (např. QC údaje versus záznam o sanitaci skladu)
• Údaje, které ovlivní hodnocení jakosti a bezpečnosti produktu (např. jiná závažnost obsahu účinné látky než rozměru tablet)
15.1.2018
4
FDA – draft Guidance
• Draft vydán v dubnu 2016 formou Q and A
• Platí pro záznamy na papíře i elektronické
• Požaduje zásady ALCOA pro data integrity
• Zdůrazňuje důležitost revizní stopy a její kontroly při data review
• Zdůrazňuje zásady zacházení se SW a jejich daty
• Pracovníci mají být školení v data integrity
• FDA se při inspekcích soustředí na data integrity témata
• Předpokládá aktivní komunikaci při porušení DI
FDA kritická data
• Statický formát dat:
je to nezměnitelný záznam dat např. na papíře nebo i elektronicky, bez možnosti změny ve výtisku (i čas)
• Dynamický formát dat :
záznam dat který umožňuje uživateli průběžně ovlivňovat záznam (např. změny integrace u HPLC)
15.1.2018
5
Data integrity definice FDA
• Data integrity je úplnost , konzistence a správnost dat – splnění ALCOA
• Metadata jsou údaje doplňující primární data tak, aby byla srozumitelná a dohledatelná
• Audit trail je zabezpečený, časově určený, softwarem generovaný záznam o vytvoření/změně/smazání údajů
Uchovávání dat • Statické záznamy – data zachycená na papíře
nebo v elektronické podobě (např.pdf formát)
• Dynamické záznamy – elektronické záznamy, které lze dále upravovat
• Elektronická data jsou uchovávána elektronicky
• Pouze elektronická data, kde výtisk dostatečně reprezentuje originální data mohou být uchovávána v papírové nebo „pdf“ podobě (např. pH metry, váhy)
15.1.2018
6
ALCOA
text
ALCOA++++ Popis
A Attributable (PŘISOUDITELNÁ)
Data je možno přiřadit osobě, která provedla činnost/záznam
L Legible (ČITELNÁ)
Data lze přečíst vizuálně nebo elektronickým systémem a uchovávat v trvalém formátu
C Contemporaneous (URČENÁ V ČASE)
Data musí být zaznamenána v okamžiku provedení zaznamenávané činnosti
O Original (ZDROJOVÁ)
Data zůstávají ve formátu ve kterém byla pořízena (originál) nebo jako věrná kopie se zachováním původního obsahu a významu
A Accurate (SPRÁVNÁ)
Data pravdivě odrážejí prováděnou činnost nebo měření
+ Complete Všechna data související s daným vzorkem
+ Consistent Časová stopa dat odpovídá sekvenci měření
+ Enduring Data zaznamenána a uložena jako řízený záznam
+ Available Dostupná pro review/audit po celou dobu cyklu
QA pro integritu dat
• Vytvoření SOP a další dokumentace
• Školení pracovníků
• Analýza rizik souvisejících s integritou dat
• Přijímání CAPA v souvislosti s výsledky analýzy rizik pro DI
• Přezkoumání audit trailu
• Interní audity zaměřené na integritu dat
15.1.2018
7
SOP a dokumentace
• SOP na „správné vedení záznamů“ (data governance)
• SOPy nebo WI na obsluhu jednotlivých systémů/software včetně přehledných zásad DI s ohledem na konkrétní systém
• Matice přístupových práv
SOP – správné vedení záznamů • Zásady vedení záznamů
• Zásady ALCOA
• Zásady ALCOA +
• Řízení rizik pro integritu dat
• Hodnocení a řízení rizik
• Pravidelné přezkoumání rizik
• Integrita dat vedení záznamů na papíře
• Integrita dat u počítačových systémů
• Validace a kvalifikace
• Zabezpečení systému
• Využití revizní stopy (audit trail)
• Přezkoumání elektronických dat a audit trail
• Uchování, archivace a likvidace elektronických dat
• Integrita dat při smluvních činnostech
15.1.2018
8
Matice přístupových práv
EMA hodnocení rizik • Má hodnotit:
• Zranitelnost dat k nechtěnému nebo záměrnému doplnění, vymazání, změnám
• Existující opatření bránící neautorizovaným činnostem a zvyšující možnost odhalení takové činnosti – risk mitigation
• Zahrnovat rizikovost procesů a né pouze IT funkce systému a jeho komplexitu
• Zahrnovat existenci „manuálních“ vstupů nebo výstupů systému
• Rizika pro celý životní cyklus dat
• Má být prováděna společně QC, QA, IT
15.1.2018
9
Analýza rizik I
• Příklad CaryWin UV 5.0 Pharma
Analýza rizik II
15.1.2018
10
Analýza rizik III
Analýza rizik IV
15.1.2018
11
Analýza rizik V
Analýza rizik VI
15.1.2018
12
Analýza rizik VII
CAPA pro DI
• Vedení zajistí, že rizika související s integritou dat jsou hodnocena, zmírňována a komunikována v rámci QRM
• Pokud jsou třeba dlouhodobá opatření, mají být zavedena a vyhodnocována střednědobá opatření ke zmírnění rizik
• QA provádí kontrolu plnění CAPA
• Je zaveden systém pro pravidelné přezkoumání rizik pro DI
15.1.2018
13
CAPA pro DI II
• Pro Risk Class 1 - opatření, které pokud možno vyloučí pravděpodobnost vzniku rizika, opatření mohou být softwarová nebo organizační
• Pro Risk Class 2 - opatření, které sníží pravděpodobnost vzniku rizika, opatření mohou být softwarová, organizační nebo zavedení kontroly druhou osobou
Požadavky na SW I
• Každý pracovník má svoje jedinečné přihlašovací údaje do SW včetně hesla
• Pro každého pracovníka jsou definována přístupová práva podle přidělené role
• Mazat soubory/data smí pouze administrátor systému – postupuje podle SOP a vše dokumentuje
• Všechny operace v SW jsou chráněny revizní stopou (audit trail)
15.1.2018
14
Požadavky na SW II
• Původní data v původním formátu mají být dostupná ke kontrole, elektronická-elektronicky (včetně přístupu k audit trailu)
• Pokud je možné zacházení s daty mimo „dosah“ audit trailu (např. při přenosu do lokálního dočasného úložiště), musí být zavedena doplňující kontrolní opatření (např. výtisk dat před přenosem a po přenosu a kontrola jejich shody)
• Zajištěn přístup ke všem pořízeným datům při review (včetně dat z nedokončených činností, nebo dat, která nebyla dále zpracována nebo reportována – ochrana před výběrem dat k reportování)
• Zajištěn přístup ke všem zprocesovaným datům při review (ochrana před výběrem dat k reportování)
Požadavky na SW III
• Pokud jsou primární data pořizována elektronicky musí být tak i zkontrolována před rozhodnutím vyhovuje/nevyhovuje
• Kontrola výtisku na papíře je možná tam kde původní data nelze systémem reprocesovat a kde výtisk vždy představuje původní elektronicky získaná data (např. váhy, pH metry - ?záznam času)
• Pokud jsou elektronická data kontrolována jenom podle výtisků mohou tak být přehlédnuty manipulace s daty nebo přehlédnuté výsledky OOS
15.1.2018
15
Audit Trail - kontrola
• Kontrola revizní stopy:
• U SW pro QC zkoušení při review každého testu/každé šarže
• U SW pro výrobní kroky při review každé šarže
• U ostatních SW v pravidelných intervalech definovaných v SOP
• Kontrola revizní stopy se provádí elektronicky a má být opatřena el.podpisem
Rozsah kontroly AT pro QC
• Přezkoumání audit trailu má zahrnovat nejméně:
• změny výsledků
• změny sekvence měřených vzorků (zejména přidání, ubrání a přejmenování položky po zastavení a znovu spuštění sekvence)
• změny identifikace (označení) vzorků v systému
• změny kritických parametrů - změna nastavení pro měření, pro integraci a pro následné vyhodnocení (výpočet výsledku)
• Přezkoumání audit trailu má provádět ten kdo provádí celé test/data/record review
15.1.2018
16
Rozsah kontroly AT pro výrobu
• Změny receptur nebo postupů
• Změny nastavení procesních parametrů
• Změny údajů zadávaných pomocí klávesnice (např. obsah léčivé látky)
• Změny v přihlášení
• Chronologie činností
• Podpisy a případné změny úrovně podpisu
Systémový audit trail
• Mazání a další operace se soubory a jednotlivými daty
• Změny data a času
• Změny oprávnění přístupu i rozsah oprávnění jednotlivých uživatelů
• Zálohování dat
• Archivace dat
15.1.2018
17
Požadavky na SW II
• Elektronická primární data, metadata a odvozená data zálohována
• Zálohování a obnova dat mají být validovány, ověřovány a dokumenotvány
• Elektronická data mají být uchovávána po stejnou dobu jako „papírová“
Audit na DI (FDA) I
• Ověř předpokládané sestavy činností: časy, množství, identifikátory (č.š., č.vzorků, kódy zařízení) a podpisy
• Pokládej stejné otázky víckrát nebo různým lidem
• Ověř podpisy podle vzorů/ matice přístupových práv
• Ověř docházku pracovníků
• Hledej neoficiální a osobní záznamy
• Porovnávej skutečnost se seznamy (zařízení, vzorky, vyrobené šarže, atd.)
15.1.2018
18
Audit na DI (FDA) II
• Kontroluj výchozí materiály podle seznamů a CoA
• Srovnej datum/čas IPC a QC s BMR
• Srovnej záznamy s primárními daty
• Hledej nesrovnalosti v BMR
• Srovnej distribuovaná množství s výtěžkem šarže, kapacitou linky, násadou
• Ověř správné provedení kontrol BMR a záznamů QC – odchylky a OOS
Audit na DI (FDA) III
• Použij záznamy z deníků zařízení a dalších ke kontrole vyrobených a kontrolovaných šarží
• Používej křížové kontroly BMR a záznamů QC s deníky zařízení a dalšími podpůrnými záznamy
• Ptej se operátorů raději než vedoucích
15.1.2018
19
Audit na DI (FDA) IV Ověř že je/není možné:
• najít vše nutné v matici přístupových práv
• uložení dat na USB
• uložení dat do dočasných úložišť bez AT
• smazat nebo přepsat data operátorem v SW
• obnovit zálohy dat
• změnit datum a čas (není synchronizace)
• pořizovat elektronické záznamy mimo systém
• mazat soubory ve Windows (koš)
Audit na DI (FDA) V • Je zapnut audit trail u systému
• Je audit trail pravidelně kontrolován
• Nejsou data uložena jinde než v příslušné databázi – hledání souborů označených „test“, „trial“, atd.
Prohřešky, po kterých se pátrá:
• Mazání a přepisování dat
• Prozkoušení se k vyhovujícímu výsledku
• Změny integračních parametrů/manuální integrace bez schválení
• Hodnocení a reportování dat získaných z neoficiálních sekvencí nebo runs
• Změny dat s pomocí administrátorů SW
15.1.2018
20
DĚKUJI ZA POZORNOST
