Rosamil Rey, Ph.D. CHEM 4850 / INEN 4530

Transcripción

1 Rosamil Rey, Ph.D. CHEM 4850 / INEN 4530

2 Asegurar que el record electrónico es: Confiable Seguro Igual a papel y firmas manuscritas FDA: 21CFR 11 summary: these regulations, which apply to all FDA program areas, are intended to permit the widest possible use of electronic technology, compatible with FDA s responsibility to promote and protect public health.

3 Estas regulaciones aplican a todos los programas del FDA. Aplican a todas las operaciones de cualquier laboratorio regulado por el FDA. A cualquiera que aplica las reglas de GLP, GMP, cgmp, GxP, etc.

4 Records en serie, Procedimientos (SOP s), métodos, especificaciones y políticas. Sistemas de manejo de datos en Laboratorios Analíticos. Sistemas automáticos de manejo de documentos. Records de inventario. Sistemas para procesos de manufactura. Records de calibraciones y mantenimientos preventivos. Protocolos de Validación y Reportes. Records de entrenamiento. Archivos de quejas de clientes. Sistemas de reportes de alertas.

5 Proliferación de sistemas computadorizados en el proceso de manufactura y control de calidad. Peticiones de la industria de que se permitan documentos electrónicos al someter nuevos productos. Existen estándares similares de organizaciones globales.

6 21 CFR Parte Subpart A, Sección 11.3(6) Definición: Registro electronico significa cualquier combinación de texto, gráficas, datos, audio, ilustración u otra información representada en forma digital que es creada, modificada, mantenida, archivada, recuperada o distribuida por un sistema computarizado

7 Si usted tiene un sistema que produce records electrónicos y la información es sometida por este medio al FDA, la copia impresa NO ES ACEPTABLE. En términos prácticos esto significa Cualquier información computarizada que comienza su vida siendo escrita a un medio electrónico durable, que se someta a el FDA o que el FDA requiera que se mantenga ES UN RECORD ELECTRONICO!

8 Mas velocidad en el intercambio de data Reducción de costos de almacenaje y administración Integración y centralización de datos Reducción de errores Reducción de riesgos de fraude Búsquedas complejas con facilidad Múltiples vistas de una misma data Evita errores de almacenamiento manual

9 Closed if: an environment in which system access is controlled by persons who are responsible for the content of electronic records that are on the system. Su data se encuentra internamente y usted entrega la data según autorice su sistema. Open if: an environment in which system access is not controlled by persons who are responsible for the content of electronic records that are on the system. Su data se encuentra en un lugar externo, manejado por otra empresa, para luego ser utilizada por otros recursos.

10 Validación: Para asegurar exactitud, confiabilidad, funcionamiento consistente y la habilidad para distinguir los registros inválidos o alterados. Habilidad de generar copia de registros exactos y completos en forma humanamente legible y en forma electrónica adecuada para su inspección, revisión y copia por la agencia. Protección de los registros para permitir su exactitud y su rápida recuperación durante todo el período de conservación de estos. Permitir el acceso al sistema únicamente a personas autorizadas. Archivo histórico audit trails que sean: independientes del operador, generado automáticamente por la computadora y seguro.

11 Implementar procedimientos y controles para asegurar: Autenticidad Integridad Confidencialidad (Cuando sea apropiado) Incluye los procedimientos y controles de la sección y medidas adicionales tales como: Codificación electrónica de documentos Utilización de estándares apropiados de firmas digitales para asegurar, autenticidad, integridad y confidencialidad de los registros.

12 La implantación de un sistema cerrado reduce los requisitos de implementación en general.

13 Independiente del operador El operador no podrá cambiar, firmar, escribir o modificar de forma alguna. Generado automáticamente por la computadora, incluyendo fecha y hora local en forma no ambigua Seguro Las estampas de tiempo deben ser generadas por el reloj interno de la computadora con seguridad razonable para prevenir el manejo del mismo.

14 Firma Electrónica (Electronic Signature) significa: Recopilación de datos de computadora de cualquier símbolo o serie de símbolos ejecutados, adoptados o autorizados por una persona para que sean legalmente equivalente a su firma de manuscrito. 21 CFR Parte 11 Sub parte B, Sección Los registros electrónicos firmados incluye información asociada con la firma que indique: Nombre en letra de molde La fecha y hora cuando la firma fue ejecutada Propósito asociado con la firma

15 Biométrica (Biometrics) significa: Un método de verificar la identidad de una persona basado en una medida de sus características físicas o en las acciones repetitivas en las cuales sus características y/o acciones son ambas únicas de esa persona y se pueden medir. Huellas dactilares Rastreos de retina Huellas de voz Diseñado para ser utilizado por el dueño genuino

16 21 CFR Parte 11 Sub parte B, Sección Las firmas electrónicas y las firmas manuscrito ejecutadas en registros electrónicos serán vinculadas a sus respectivos registros electrónicos para asegurar que las firmas no puedan ser eliminadas, copiadas o de otro modo transferidas para falsificar un registro electrónico por medio ordinario.

17 21 CFR Parte 11 Sub parte C, Sección Emplear al menos dos diferentes componentes de identificación, tal como código de identificación y contraseña si no es biométrico. Ser utilizadas solamente por sus dueños Estar administradas y ejecutadas para asegurar que el propósito y uso de la firma electrónica de una persona por cualquier otra distinta a su dueño genuino requiera la colaboración de dos o mas personas. Las firmas electrónicas basadas en biométricas estarán designadas para asegurar que estas no puedan ser utilizadas por cualquier otra persona que no sea su dueño genuino.

18 21 CFR Parte 11 Sub parte C, Sección Las firmas electrónicas basadas en códigos de ID y contraseña deben emplear controles para asegurar su seguridad e integridad. La combinación de ID y contraseña no se debe repetir entre usuarios Los ID/passwords deben verificarse, revisarse y retirarse periódicamente. Deben de haber pasos para prevenir el uso no autorizado y para detectar y reportar atentados de uso no autorizado.

19 Record Retention Antes.. Si se colectaba o generaba un archivo electrónico como primer repositorio de cualquier tipo de información, ese archivo se consideraba el record primario. Ahora.. Si tu eliges imprimir la información, tu puedes considerar esto como tu record primario y no tiene que guardar el record electrónico original. Validación Antes.. Todo sistema computarizado usado para generar y mantener archivos electrónicos tenía que ser validado. Ahora.. La decisión de validar el sistema esta basado en justificar y documentar la evaluación del riesgo y una determinación potencial si el sistema afecta la calidad, integridad y seguridad del producto.

20 Audit Trail Antes.. Todo los archivos requería Audit Trail para identificar cuando se creo, donde fue creado y por quien. Si se modificaba, cuando se modificó, como y por quien. Ahora.. No todos los archivos necesitan verificación de rastro se debe de evaluar la necesidad basado en justificar y documentar la evaluación del riesgo y una determinación potencial si el sistema afecta la calidad, integridad y seguridad del producto. Legacy System Antes.. Si tenias sistemas viejos operando que no cumplieran con la regulación 21 CFR Parte 11, tenias que cambiarlos por equipos nuevos o un plan para reemplazar los sistemas existentes. Ahora.. Los Legacy System no necesitan cumplir con la regulación (Update).

21 Copia de Archivos Antes.. Tenias que ser capaz de probar que el archivo era copiado correctamente. Si usted daba o mostraba una copia de un archivo regulado, usted tendría que probar que era una copia correcta. Ahora.. Puedes cambiar el formato para que se haga mas fácil el mostrar los archivos a un inspector o para proveer el archivo a la agencia de regulación (FDA).

22 Categoría 1 (Operating Systems) Sistemas operativos disponibles en el comercio que son usados en la industria farmacéutica son considerado validado como parte de cualquier proyecto en el que aplicaciones que opera en tales plataformas forma parte del proceso de la validación Categoría 2 (Standard Instruments, Micro Controllers, Smart Instrumentation) Estos son manejados por firmware no manejados por el usuario. Ejemplo de esto son: balanzas, escaner de codigo de barra, etc. Estos son configurable y la misma debe ser registrada en el IQ del equipo.

23 Categoría 3 (Standard Software Packages) COTS (Commercial Off-The Shelf) Paquetes configurables de los EU Lotus 123, Microsoft Excel, etc. Los esfuerzos de validación deben estar concentrados en: Requerimientos del sistema y funcionalidad Alto nivel de lenguaje o utilización de macros para construir aplicaciones Algoritmos críticos y parámetros Integridad de datos, seguridad y certeza Procedimientos operacionales

24 Categoría 4 (Configurable Software Packages) Se llaman paquetes configurables basado en las necesidades del cliente Ejemplos: Distributed Control System (DCS), Supervisory Control and Data Acquisition packages (SCADA), manufacturing execution systems y Laboratory Information Management System (LIMS) Las característica básica de estos sistemas son: Desarrollo de la propia aplicación por configuración y módulos predefinidos Una auditoria de los suplidores es requerida para determinar el nivel de calidad y desarrollo de pruebas estructurales Un Plan de Validación debe ser preparado para documentar precisamente que actividades son necesarias para validar una aplicación, basado en los resultados de la auditoria y en la complejidad de la aplicación

25 Categoría 5 (Custom Built) Para estos sistemas todo el ciclo de validación debe ser ejecutado por todas las partes del sistema. Una auditoria de los suplidores es requerida para examinar la existencia del sistema de calidad y un plan de validaciones debe ser preparado para precisar la documentación de que actividades son necesarias, basado en los resultados de la auditoria y en la complejidad del propósito del sistema.