APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

Transcripción

1 MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre AGENCIA ESPAÑOLA DEL MEDICAMENTO

2 SUMARIO 1.- Introducción. 2.- Ambito de aplicación. 3.- Aplicación de los principios de BPL a los sistemas informáticos Responsabilidades Instalaciones y equipos Instalaciones Equipo Mantenimiento y recuperación Mantenimiento Recuperación Datos Seguridad Seguridad física Seguridad lógica Copia de seguridad Validación de los sistemas informáticos Recepción Validación retrospectiva Control de cambios Entorno operativo Documentación Descripción de las aplicaciones Procedimientos normalizados de trabajo Archivo. 2/15

3 1.- INTRODUCCIÓN. Se ha observado que la utilización de los sistemas informatizados se ha desarrollado en los laboratorios que llevan a cabo estudios no clínicos de seguridad sanitaria y medioambiental. Estos sistemas informatizados pueden permitir, directa o indirectamente, la obtención, el procesamiento, la presentación y almacenamiento de datos, y se encuentran, cada vez, más integrados, en los equipos automatizados. La validación de los sistemas informatizados de un laboratorio es un tema novedoso tanto para los suministradores como para los usuarios de los mismos. Por ello dicha validación debería abordarse priorizando en el tiempo aquellos sistemas en los cuales hay mayor riesgo de que no funcionen según lo previsto (p. ej. programas a medida, programas configurables). Este principio debería tenerse en cuenta por parte de los laboratorios y de las autoridades. 2.- AMBITO DE APLICACIÓN. Todos los sistemas informatizados utilizados para obtener, cuantificar o evaluar datos con fines de registro o autorización deberán estar diseñados, validados, utilizados y mantenidos de acuerdo con los principios de Buenas Prácticas de Laboratorio (BPL). Para la planificación, la ejecución y la presentación de los resultados de los estudios se pueden utilizar diversos sistemas informatizados. Estos sistemas se pueden aplicar para adquirir, directa o indirectamente, los datos registrados por medio de los equipos automatizados, operar/controlar los equipos automatizados y finalmente, procesar, presentar y almacenar los datos. Los sistemas informatizados utilizados para tales actividades pueden ser de diversa índole y pueden incluir desde los instrumentos de análisis programables o un ordenador personal, hasta un sistema de gestión de la información del laboratorio (LIMS) de funciones múltiples. Los sistemas informatizados, asociados a la ejecución de los estudios llevados a cabo con fines de registro o autorización, deberán tener un diseño adecuado, disponer de una capacidad suficiente y ser apropiados para las tareas a las que 3/15

4 están destinados, es decir deben estar validados. Se deberán redactar procedimientos normalizados de trabajo para controlar y administrar estos sistemas. La validación ofrece las suficientes garantías para poder asegurar que un sistema informatizado responde a las especificaciones previamente definidas. La validación debe efectuarse siguiendo un plan de validación establecido y realizarse antes de la puesta en servicio de un nuevo sistema. 3.- APLICACIÓN DE LOS PRINCIPIOS DE BPL A LOS SISTEMAS INFORMATIZADOS. Las consideraciones que figuran a continuación tienen como objetivo facilitar que los sistemas informatizados cumplan los principios de BPL: 3.1. Responsabilidades. La dirección del laboratorio tiene la responsabilidad de establecer procedimientos que aseguren que los sistemas informatizados son los adecuados para el propósito previsto y están validados, se utilizan y mantienen de conformidad con los principios de BPL. El director de estudio tiene la responsabilidad de asegurar que se hayan validado los sistemas informatizados utilizados en el estudio. El personal involucrado en la realización de estudios deberá utilizar los sistemas informatizados de acuerdo con los principios de BPL y deberá recibir la formación técnica necesaria para ello. El personal de garantía de calidad deberá verificar si los sistemas informatizados son conformes con los principios de BPL y deberá recibir la formación técnica necesaria para ello. El personal de garantía de calidad deberá tener acceso de lectura a los datos almacenados en los sistemas informatizados. 4/15

5 3.2. Instalaciones y equipos. Al tratarse de los sistemas informatizados, se deberán tener en cuenta algunas consideraciones en relación con el cumplimiento de los principios BPL: Instalaciones. Se deberá tener en cuenta el emplazamiento de los equipos, de los elementos periféricos, de los equipos de comunicación y de los sistemas electrónicos de almacenamiento. Se deberán evitar las fuertes variaciones de temperatura y de humedad, el polvo, las interferencias electromagnéticas y la proximidad de cables de alta tensión, salvo si el equipo está especialmente diseñado para funcionar en tales condiciones. Deberá disponerse de sistemas de copia de seguridad o alimentación eléctrica de emergencia de los sistemas informatizados cuya interrupción repentina pueda provocar alteración o perdida los datos de un estudio. El laboratorio deberá disponer de instalaciones en condiciones de seguridad adecuadas para archivo y conservación de los soportes electrónicos Equipo Hardware y software. Un sistema informatizado está constituido por un grupo de elementos materiales (hardware) y logísticos (software), diseñado y ensamblado para llevar a cabo una función o un grupo de funciones determinadas. El hardware constituye la parte física del sistema informatizado y está formado por la unidad central del ordenador y sus periféricos. El software son los programas que controlan el funcionamiento del sistema informático. 5/15

6 Comunicaciones. Las comunicaciones asociadas a los sistemas informatizados corresponden, en su sentido más amplio, a dos categorías: entre ordenadores, o bien entre los ordenadores y sus periféricos. Los enlaces de comunicación pueden constituir fuentes potenciales de errores y pueden acarrear la pérdida o la alteración de los datos. Se deberán aplicar las medidas de control adecuadas para garantizar la seguridad y la integridad de los datos Mantenimiento y recuperación Mantenimiento. Se deberá disponer de procedimientos establecidos por escrito que describan el mantenimiento preventivo y la reparación de averías. Estos procedimientos deberán definir claramente las funciones y las responsabilidades del personal correspondiente. Cuando estas actividades de mantenimiento conlleven una modificación del hardware y/o del software, puede ser necesario validar de nuevo el sistema. Deberá mantenerse un registro de todas las incidencias detectadas y de las medidas correctoras aplicadas Recuperación. Se debe disponer de procedimientos que describan las medidas a tomar en caso de fallo parcial o total de un sistema informatizado. Estas medidas pueden variar desde la duplicidad de ciertos equipos hasta el uso provisional de soporte papel. Los planes de emergencia deberán estar documentados y validados, garantizar la integridad permanente de los datos y no comprometer la realización del estudio. El personal que participa en los estudios deberá estar debidamente informado de estos planes de emergencia. Los procedimientos de recuperación de un sistema informatizado dependerán siempre de la criticidad del sistema, pero es indispensable conservar copias de 6/15

7 seguridad del software Datos. Para cada sistema informatizado se deben definir los datos primarios. Estos sistemas pueden estar asociados con datos primarios de varias formas, por ejemplo soportes de almacenamiento electrónico, registros impresos de ordenadores o de equipos, y microfilms/fichas. Los datos obtenidos como entradas directas de ordenador deberán ser identificados en tiempo y fecha de su introducción por la persona responsable de la entrada. Los sistemas informatizados deberán diseñarse para poder posibilitar en todo momento la conservación de datos que permitan realizar auditorías retrospectivas que muestren todos los cambios de los datos sin ocultar los datos originales. Debe ser posible asociar todos los cambios de datos con las personas que los han realizado; por ejemplo, por medio de firmas electrónicas con hora y fecha. Las modificaciones deberán justificarse en todos los casos. Cuando los datos primarios se conserven electrónicamente, será preciso establecer las condiciones necesarias para su conservación y recuperación a largo plazo, teniendo en cuenta la vida útil de los equipos informáticos. En caso de modificación de hardware o de software, deberá existir la posibilidad de acceder y conservar los datos primarios sin correr el riesgo de comprometer su integridad. Los procedimientos de un sistema informatizado deberán también describir mecanismos alternativos de obtención de datos en caso de fallo del sistema. En este caso los datos primarios registrados manualmente, y posteriormente informatizados, deben identificarse y archivarse como tales. Cuando el sistema informatizado sea obsoleto y se precise transferir los datos primarios hacia otro sistema por vía electrónica, se utilizará un procedimiento bien documentado y cuya integridad se habrá verificado previamente. Si no se puede proceder a esta operación, los datos serán transferidos hacia otro soporte y se verificará la exactitud de la copia antes de destruir los archivos electrónicos originales. 7/15

8 3.5. Seguridad. Se deberá disponer de procedimientos de seguridad documentados para proteger el hardware, el software y los datos contra cualquier alteración, modificación no autorizada o pérdida. En ese contexto, la seguridad abarca también la prevención del acceso no autorizado o las modificaciones del sistema informático y de los datos contenidos en el sistema. Deberá tenerse en cuenta los riesgos de alteración de los datos por virus u otros agentes y se deberá tomar las medidas de seguridad necesarias para garantizar la integridad de los datos en caso de fallo del sistema a corto y largo plazo Seguridad física. Se deberá disponer de medidas físicas de seguridad para restringir únicamente al personal autorizado el acceso a los equipos informáticos, a los equipos de comunicación, a los periféricos y a los soportes de datos electrónicos Seguridad lógica. Para cada sistema o aplicación informática, se deberán establecer medidas de seguridad lógica para impedir el acceso no autorizado a los sistemas, aplicaciones y datos. Es indispensable garantizar que únicamente se utilizan las versiones aprobadas y el software validado. La seguridad lógica puede incluir la necesidad de que cada persona introduzca un código único de usuario con una contraseña asociada, o identificación biométrica. Cualquier introducción de datos o de software procedentes de fuentes externas deberá estar debidamente controlada Copia de seguridad. Cuando se utilizan sistemas informatizados, deberán realizarse copias de seguridad de todos los programas y datos, para poder recuperar el sistema tras fallo susceptible de comprometer la integridad de los datos, por ejemplo deterioro del disco duro. Por consiguiente, los datos de la copia de seguridad pueden convertirse en datos primarios y deben ser tratados como tales. 8/15

9 3.6. Validación de los sistemas informáticos. Los sistemas informatizados deberán ser adecuados para las tareas a las cuales están destinados. Será conveniente tener en cuenta los siguientes aspectos: Recepción. Los sistemas informatizados deben estar diseñados de conformidad con los principios de BPL y su introducción en el laboratorio se deberá planificar previamente en todos los casos. Debe disponerse de documentación adecuada que permita demostrar que cada sistema se ha desarrollado bajo control y, con preferencia, de conformidad con las normas de calidad y con las normas técnicas reconocidas (por ejemplo ISO e ISO 9126). Además, es importante disponer de documentación que demuestre se ha verificado la conformidad del sistema antes de su puesta en servicio. Los requisitos de aceptación deben incluir pruebas según un plan de validación previamente determinado. Deben conservarse y archivarse los protocolos de ensayo, los documentos relativos a todas las pruebas realizadas y los resultados obtenidos. Debe existir un informe final del proceso de validación en el que se acepte el sistema para su uso. Los sistemas informatizados se pueden clasificar en base al riesgo de fallo del sistema. Existen varias guías (GAMP, PIC/S) que establecen distintas categorías de software clasificadas en base a este criterio. De forma orientativa se incluyen las cinco categorías establecidas por GAMP, clasificadas de menor a mayor riesgo de fallo: Categoría 1: sistemas operativos. Categoría 2: programas monitores (firmware). Categoría 3: programas estándares. Categoría 4: programas configurables. Categoría 5: programas a medida. Para cada tipo de software se incluyen las actividades de validación a realizar: 9/15

10 - Categoría 1: Registrar la versión. El sistema operativo se probará indirectamente mediante el funcionamiento de la aplicación. - Categoría 2: Sistemas no configurables: registrar la versión. Calibrar el instrumento según proceda y verificar el funcionamiento según los requisitos de usuario. Sistemas configurables: registrar la versión y la configuración. Calibrar el instrumento según proceda y verificar el funcionamiento según los requisitos de usuario. Sistemas hechos a medida: validar como categoría 5. - Categoría 3: Registrar la versión y configuración del entorno, y verificar el funcionamiento según los requisitos de usuario. Para aplicaciones críticas y complejas, considerar auditar al proveedor. - Categoría 4: Registrar la versión y configuración, y verificar el funcionamiento según los requisitos de usuario. Para aplicaciones críticas y complejas, considerar auditar al proveedor. Programas a medida: validar como categoría 5. - Categoría 5: Auditar el suministrador y validar todo el sistema. A menudo, los sistemas informatizados están formados por varios componentes de software que pueden pertenecer a distintas categorías. En estos casos, las actividades de validación de cada componente deben corresponder a las establecidas para la categoría a que pertenece. 10/15

11 Validación retrospectiva. En los sistemas informatizados para los que no se haya previsto, con anterioridad, la necesidad de cumplimiento de los principios de BPL en lo relativo a validación, se deberá justificar su utilización a través de una validación retrospectiva. Una evaluación retrospectiva da comienzo por la recopilación de toda la documentación y registros históricos relacionados con el sistema informatizado, redactándose un informe. Este indicará los elementos disponibles que puedan justificar o no la validación del sistema y, en su caso, cómo se debe proceder en el futuro para que el sistema informatizado sea validado Control de cambios. El control de cambios es la aprobación formal y documentada de cualquier modificación en el sistema informatizado durante su vida operativa. El control de cambios será necesario cuando una modificación pueda afectar el estado de validación del sistema informatizado. Los procedimientos de control de cambios deberán estar aprobados antes de que el sistema sea operativo. El procedimiento deberá describir el método de evaluación para determinar las pruebas necesarias para mantener el estado de validación del sistema. El procedimiento de control de cambios deberá identificar a los responsables de valorar y aprobar los cambios necesarios. Sea cual fuere el origen del cambio, proveedor o desarrollo interno, deberá disponerse de la información apropiada dentro del proceso de control de cambios. Los procedimientos de control de cambios deberán garantizar la integridad de los datos Entorno operativo. Para tener la seguridad de que un sistema informatizado sigue siendo adecuado al uso previsto, se deberá tener en cuenta su entorno operativo para garantizar que se utiliza y funciona correctamente. Esto puede incluir la gestión del sistema, la 11/15

12 formación, el mantenimiento, la asistencia técnica, la auditoría y/o la evaluación de su funcionamiento. Periódicamente debe realizarse una revisión del funcionamiento del sistema para garantizar que se cumplen los criterios establecidos Documentación. Los elementos que se enumeran a continuación tienen por objeto describir, a título informativo, la documentación mínima necesaria para el desarrollo, validación, funcionamiento y mantenimiento de los sistemas informatizados Descripción de las aplicaciones. Para cada aplicación, según proceda, se deberá disponer de una documentación completa relativa a: La denominación del software de aplicación o el código de identificación, así como una descripción clara y detallada de la finalidad de la aplicación. El hardware, con los números de serie, sobre el cual opera el programa. El sistema operativo y demás programas utilizados en relación con la aplicación, identificando el número de versión. Los lenguajes de programación de la aplicación y/o las herramientas de bases de datos que se utilizan. Las principales funciones llevadas a cabo por la aplicación. Una descripción general de los tipos y flujos de datos de las bases de datos asociadas a la aplicación. Las estructuras de los archivos, los mensajes de error y alarma y los algoritmos asociados a la aplicación. La configuración y las interfaces entre los módulos de aplicación y entre los equipos y otros sistemas Procedimientos normalizados de trabajo. Una gran parte de la documentación relativa a la utilización de los sistemas informatizados, se habrá de presentar en forma de procedimientos normalizados de trabajo. Entre otros, se deberán incluir: 12/15

13 Procedimientos relativos al uso de los sistemas informatizados y las responsabilidades del personal implicado. Procedimientos relativos a las medidas de seguridad utilizadas para prevenir y detectar accesos no autorizados y modificaciones de los programas. Procedimientos de control de cambios de hardware y software. Procedimientos relativos a revisión periódica del sistema. Procedimientos de mantenimiento de los sistemas informatizados. Procedimientos de validación de los sistemas informatizados. Procedimientos de copia de seguridad, recuperación de datos y planes de emergencia. Procedimientos de archivo y recuperación de documentos, programas y datos informáticos. Procedimientos de monitorización y auditoría de sistemas informatizados Archivo. Los principios de BPL sobre archivo de datos son de aplicación a todos los datos, incluidos los electrónicos, por lo que deben aplicarse los mismos controles de acceso, indexado y recuperación. 13/15

14 GLOSARIO DE TÉRMINOS Código o programa fuente: Programa informático original expresado en un lenguaje legible por el hombre (lenguaje de programación) que debe traducirse a un lenguaje comprensible por el ordenador (lenguaje máquina) antes de ejecutarse. Control de cambios: Evaluación continua y documentada del funcionamiento y modificaciones de un sistema informatizado para determinar si es necesario revalidar el sistema tras un cambio. Copia de seguridad: Mecanismo para recuperar los archivos de datos o programas, para restaurar el sistema, o para utilizar equipos informáticos alternativos tras un fallo parcial o completo del sistema informatizado. Criterios de aceptación: Criterios documentados que deben cumplirse para superar una fase de pruebas o los requisitos de entrega de un sistema informatizado. Test de aceptación: Prueba formal de un sistema informatizado en el entorno operativo previsto para verificar si se cumplen los criterios de aceptación del laboratorio y si el sistema es apto para su utilización. Hardware: Conjunto de elementos físicos de un sistema informatizado que incluye la unidad central del ordenador y sus periféricos. Periférico: Cualquier equipo conectado o componente remoto o auxiliar, como por ejemplo impresoras, módems, terminales, etc Seguridad: Protección del hardware y de los programas contra el acceso, la utilización, modificación, destrucción o divulgación accidentales o intencionadas. La seguridad también incluye el personal, los datos, las comunicaciones y la protección física y lógica de los sistemas informatizados. Sistema informatizado: Conjunto de elementos físicos (hardware) y programas asociados (software) diseñados y ensamblados para realizar una función o un grupo de funciones determinadas. 14/15

15 Software (aplicación): Programa informático adquirido o desarrollado, adaptado o personalizado a los requerimientos del laboratorio, para llevar a cabo procesos de control, obtención, procesamiento, presentación y archivo de datos. Software (sistema operativo): Programa o conjunto de programas, rutinas y subrutinas que controlan el funcionamiento del ordenador. El sistema operativo puede realizar tareas de asignación de recursos, planificación, control de entradas/salidas y gestión de datos. Validación de un sistema informatizado: Demostración que un sistema informatizado es apropiado para el uso previsto. 15/15