Tatjana Nemet Pliva d.d. tanja.nemet@pliva.hr
IMPLEMENTACIJA REGULATIVE ZA ELEKTRONIČI ZAPIS I POTPIS U PLIVI Sažetak FDA je u kolovozu 1997. izdao dokument «21 CFR Part 11» u kojem su opisana pravila (kriteriji) za elektronički zapis i elektronički potpis. Pravila se odnose na računalne sustave (HW i SW) koji kreiraju, modificiraju, održavaju , pohranjuju, pretražuju ili prenose podatke u elektroničkom obliku, a vezani su za DPP (dobra proizvođačka praksa) područja. Primjenom PartA 11 miminalizira se mogućnost falsificiranja i znatno se povećava mogućnost otkrivanja bila kakvog falsificiranja podataka, a sa svrhom zaštite lijeka i medicinskih proizvoda, odnosno krajnjeg korisnika, pacijenta. Ključne riječi-definicije Elektronički zapis - cjelovit skup podataka koji su elektronički generirani (kreirani i mijenjani), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor, računalne baze podataka Elektronički potpis - skup podataka u elektroničkom obliku koji su pridruženi ili logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnost potpisanog elektroničkog dokumenta Digitalni potpis - elektronički potpis koji se zasniva na vlastitim kriptografskim (ključevima) metodama, pravilima i parametrima na osnovi kojih se mogu pouzdano utvrditi identitet potpisnika i cjelovitost podataka Biometrijski potpis – identifikacija osobe koja se zasniva na mjerenju individualnih fizičkih osobina i ponavljajučim aktivnostima koje jednoznačno identificiraju potpisnika Računalni sustav – funkcijska jedinica koja se sastoji od jednog ili više računala s pripadajućim ulaznim i izlaznim uređajima, pripadajućim softverom i dokumentacijom u cilju izvršavanja programa tj. obrade podataka. Hibridni sustav - sustav koji koristiti kombinaciju elektroničkog zapisa i zapisa na papiru (dokumenata) ručno potpisanih. Otvoreni sustav – sustav u kojem odgovorna osoba za elektroničke zapise ne kontrolira pristup podacima Zatvoreni sustav - sustav u kojem odgovorna osoba za elektročke zapise kontrolira pristup podacima
1. UVOD Kompanije koje izvoze svoje proizvode na US tržište dužne su implementirati pravila opisane u 21 CFR Part 11 i to za: - Nove računalne sustave koji su u primjeni od 1997. (moraju se uskladiti sa Part 11 zahtjevima) - Postojeće računalne sustave koji su u primjeni i prije 1997. (moraju se procjueniti te definirati aktivnosti u cilju postizanja njihove usklađenosti) Aktivnosti na usklađivanju poslovanja sa pravilima iz Parta 11 provode se u sljedećim koracima: 1. Popis računalnih sustava 2. Upitnik za DPP procjenu kritičnosti računalnih sustava 3. Edukacija-Part 11 4. Procijena po upitniku za DPP procjnenu kiritičnosti 5. Ažuriranje popisa 6. Definiranje prioriteta 7. Definiranje Politike kvalitete Plive za elektronički potpis 8. Upitnik za procijenu usklađenosti računalnih sustava sa zahtjevima iz Parta 11-detaljna procijena 9. Edukacija –detaljna procijena 10. Procijena usklađenosti računalnih sustava sa zahtjevima iz Parta 11 11. Evaluacija neusklađenosti računalnih sustava 12. Prijedlog plana usklađivanja računalnih sustava sa zahtjevima Parta 11 2. ELEKTRONIČKI ZAPIS I POTPIS U FARMACEUTSKOJ INDUSTRIJI CFR 21 Part 11 je dokument koji je izdan od FDA (Food and Drug Administration) u 8. mjesecu 1997. , a propisuje pravila za elektronički zapis i elektronički potpis u farmaceutskoj industriji. Razvoj tok dokumenta je išao preko zahtjeva industrije (1991.) , izrade prijedloga pravila (1994.) do konačne verzije dokumenta (1997.). Dokument vrijedi za sve proizvođače farmaceutskih sirovina, lijekova i medicinskih uređaja koji izvoze svoje proizvode na US tržište, a koriste računalne sustave u DPP područjima. U zadnje 2 godine FDA je osposobio, na posebnim tečajevima, inspektore koji su počeli intenzivno inspicirati računalne sustave što je prouzrokovalo porast odstupanja u tom području. Konferencije, seminari i radionice na temu “Kako uskladiti računalne sustave sa zahtjevima 21CFR Part 11” se održavaju po cijelom svijetu , a konzultanske kuće nude svoju pomoć. Posao na usklađivanju računalnih sustava je dugotrajan (nekoliko godina) i traži investicije, stoga je FDA dozvolio kompanijma određeni period za usklađivanje. Pri tome su očikavanja FDA različita za nove i postojeće računalne sustave i to na sljedeći način: - novi sustavi (u primjeni od 20.08.1997.) moraju biti usklađeni sa zahtjevima - postojeći sustavi (u primjeni i prije 20.08.1997) moraju biti procijenjeni te napravljen plan za uklanjanje nedostataka Prije same procijene važno je identificirati sustave koji se koriste u DPP područjima, a da se podaci čuvaju u elektroničkom obliku. Takvi sustavi moraju biti usklađeni sa zahtjevima iz Parta 11.
21 CFR part 11 sadrži sljedeća poglavlja: 11.1 i 2 Svrha i dodručje primjene Odnosi se na zapise u elektroničkom obliku i definira kriterije pod kojima se elektronički zapisani i potpisani podaci mogu tretirati isto kao ručno zapisani i potpisani podaci 11.3 Definicije 11.10 Pravila za zatvorene sustave A) Računalni sustav mora biti validiran B) Mogućnost generiranja kompletne kopije elektronički zapisanih podataka u ljudski čitljivom obliku tijekom čitavog perioda čuvanja podataka C) Zaštita od gubitka podataka tijekom perioda čuvanja D) Zaštita od pristupa neovlaštenih osoba E) Siguran, sustavom generiran”audit trail” F) Sustavom omogućeno izvršavanje sekvencijskih akcija po unaprijed određenom redosljedu G) Onemogućeno izvođenje pojedinih akcija neovlaštenim osobama H) Redovita kontrola svih uređaja na sustavu I) Edukacija osoba koje rade na sustavu J) Odgovornost osoba koje rade na sustavu za njihove akcije K) Nadzor nad čuvanjem i distribucijom dokumentacije elektroničkog sustava kontrola izmjene dokumentacije sustava 11.30 Pravila za otvorene sustave Vrijede ista pravila kao za zatvoreni sustav te dodatno u otvorenom sustavu podaci moraju biti u kriptiranom obliku. 11.50 Elektronički potpis Uz elektonički potpis mora biti ispis imena potpisnika dokumenta, datum i vrijeme potpisa te svrha potpisa 11.70 Veza elektroničkog potpisa i zapisa Mora postojati neraskidiva veza između elektroničkog potpisa s pridruženim elektroničkim zapisom. 11.100 Eektonički potpis-opći zahtjevi Mora biti jedinstven i nedjeljiv između više osoba te mora biti verificiran identitet potpisnika u organizaciji prije primjene elektroničkog potpisa 11.200 Kontrola elektroničkog potpisa Moraju postojati najmanje 2 identifikacijske komponente i spriječena mogućnost zloupotrebe od strane drugih osoba 11.300 Kontrola identifikacijskih oznaka i lozinki Moraju se provoditoi periodičke provjere lozinki i identifikacijskih oznaka 3. IMPLEMENTACIJA ELEKTRONIČKOG ZAPISA U PLIVI Budući Pliva dosta svojih proizvoda (posebno farmacutskih sirovina) izvozi na US tržište bilo je nužno započeti aktivnosti na procjeni i usklađivanju računalnih sustava sa zahtjevima 21 CFR Part 11. U tu svrhu je imenovan tim od predstavnika Osiguranja kvalitete, korisnika računalnih sustava , Informatike i Inženjering. Zadatak tima je : - izrada plana za implementaciju Prata 11 - edukacija korisnika
-
izrda politike kvalitete za elektronički potpis kordiniranje procjene pregled rezultta procjne izrada plana uklanjanja nedostataka
Ključni dokument je Plan za implementaciju Parta 11 u kojme je opisan postupak za svaku aktivnost koju treba provesti u svrhu usklađivanja sa zahtjevima Part 11. U Plivi postoji popis sustava koji je izrađen u sklopu aktivnosti za Y2K isti je poslužio kao baza za definiranje popisa sustava koji se koriste u DPP područjima . Budući se radi o relativno velikom broju računalnih sustava potrebno je jasno definirati prioritete . Pri procjeni se koriste upitnici na osnovu kojih se zaključuje da li sustav radi u DPP području i da li spada u zahtjeve Part 11. 4. ZAKLJUČAK Svaka procjena mora završiti sa zaključkom odnosnom planom aktivnosti za usklađivanje sustava sa Part 11 zahtjevima. Moguća riješenja su: - zaustavljanje daljnih aktivnosti na sustavu - isključivanje sustava iz daljnje upotrebe - implementacija uputa za rad s kojima se uvodi veća kontrola nad sustavom - zamjne postojećeg sa novim sustavom - nadogradnja postojećeg sustava Prilikom procjene bitno je kontaktirati i proizvođače SW kako bi se vidjele njihovi planovi vezani za razvoj SW koji trebaju biti usklađeni sa Part 11 zahtjevima. 5. LITERATURA 1. 21 CFR Part 11- Elektronic Records; Elektronic Signature 2. GAMP; Complaying with 21 CFR Part 11 - Elektronic Records; Elektronic Signature