Cuando se trata del cumplimiento normativo para las empresas de dispositivos médicos, Puede haber cierta confusión en torno a FDA 21 CFR Part 11. Un gran error que hemos encontrado es que muchas empresas piensan que están cumpliendo (a menudo debido a una mala comprensión de los requisitos), pero, en realidad, no lo están.
Si le han hecho creer que se trata solo de su validación, seguimiento de auditoría, registros y retención, y que está «seguro» debido a su archivo «maestro» en papel, debe comprender La parte 11 es mucho más compleja que eso.
Las empresas de dispositivos médicos pueden utilizar estos consejos para garantizar el cumplimiento de 21 CFR Parte 11:
- Determine si 21 CFR Parte 11 se aplica a su empresa.
- Siga las mejores prácticas en protección de datos y seguridad de contraseñas.
- Establezca pistas de auditoría claras para la trazabilidad.
- Siga las pautas sobre firmas electrónicas.
- No subcontrate la responsabilidad: usted está a cargo del cumplimiento de 21 CFR Parte 11.
- Valide para IQ, OQ y PQ.
- Considere el cumplimiento de 21 CFR Parte 11 al elegir su SGC.
Esta guía ampliará estos consejos y proporcionará información útil para aclarar los puntos comunes de confusión en torno a esta regulación. Esto es lo que las empresas de dispositivos médicos necesitan saber para familiarizarse con la regulación y cumplir con el 21 CFR Parte 11 de la FDA:
¿QUÉ ES 21 CFR PARTE 11?
21 CFR Parte 11 es la normativa de la FDA para la documentación electrónica y las firmas electrónicas. administración de registros electrónicos en el sistema de gestión de calidad de una empresa de dispositivos médicos.
Desde que se publicó por primera vez 21 CFR Parte 11 en 1997, nuestros sistemas electrónicos y sus capacidades han avanzado enormemente. Sin embargo, el propósito de 21 CFR Parte 11 sigue siendo aplicable más de dos décadas después.
La Parte 11 se diseñó para satisfacer las necesidades cambiantes de la industria de dispositivos médicos, con el propósito de ayudar a las empresas a:
- Saber cómo utilizar sistemas informáticos y software, especialmente cuando no funciona correctamente.
- Mantenga los datos de forma segura y d de forma segura y asegúrese de que los datos no se corrompan o se pierdan.
- Asegúrese de que las firmas de aprobación y revisión no se puedan disputar.
- Rastree los cambios en los datos
- Prevenga y o detectar registros falsificados
También hemos tenido que ser más prácticos sobre cómo se gestiona el papeleo en organizaciones que pueden tener varias oficinas o varias personas que necesitan acceder y actualizar los registros. Usar un sistema basado en papel en una sola oficina es un desafío, y con oficinas en todo el mundo, simplemente no es práctico.
Dado que los registros electrónicos se utilizan ampliamente en la industria, la gran mayoría de las empresas encontrarán que la FDA 21 CFR Parte 11 les aplica. Como ocurre con muchas regulaciones, esto no siempre se recibe bien.
Muchas empresas encuentran abrumadora la posibilidad de validar para 21 CFR Parte 11. Es necesario demostrar a los reguladores que su sistema es lo suficientemente robusto para cumplir con sus estándares, y esto puede ser un desafío.
Por ejemplo, hay varias empresas que están algo aprensivas con 21 CFR Parte 11 porque de las cosas necesarias para demostrar que un sistema es lo suficientemente robusto para cumplir con sus estándares.
# 1. DETERMINE SI EL 21 CFR PARTE 11 SE APLICA A SU EMPRESA
Las empresas que no están dispuestas a adoptar el 21 CFR Parte 11 a menudo dicen que sus «registros maestros» se basan en papel, aunque cargan documentos en un archivo compartido o en algún lugar accesible Piensan que los registros «en papel» significan que no es necesario tratar con la Parte 11, pero este no es el caso.
Para empezar, «registros maestros» es un mal uso del término. La gente dirá que la hoja de papel es su «registro maestro» y pensará que lo que hacen después (como escanear y cargar) no No importa, siempre y cuando la pieza maestra de papel permanezca intacta. La verdad es que, en el momento en que el documento se carga en un servidor, la empresa está sujeta al cumplimiento de 21 CFR Parte 11.
En la sección 11.3, la FDA define «registro electrónico» como «cualquier combinación» de texto, gráficos, datos, audio, imágenes u otra representación de información en forma digital que se crea, modifica, mantiene, archiva, recupera o distribuye mediante un sistema informático «. Como puede ver, esto hace que la definición cubierta por 21 CFR Parte 11 sea bastante amplia, y la mayoría de las empresas se verán afectadas.
Por lo tanto, aunque las empresas puedan decir que tienen un sistema basado en papel, probablemente lo hagan. tener un sistema electrónico omnipresente, incluso si es a través de árboles de carpetas. Aún debe validar sus registros para asegurarse de que la versión escaneada coincida con la versión en papel.
# 2. SIGA LAS MEJORES PRÁCTICAS DE SEGURIDAD DE DATOS Y PROTECCIÓN CON CONTRASEÑA DE 21 CFR PARTE 11
La seguridad de los datos es un aspecto importante de la Parte 11.Todos los usuarios con acceso necesitan los roles y permisos adecuados. Esto es cierto tanto si utiliza una solución de sistema de calidad como Greenlight Guru como si tiene una estructura de árbol de carpetas sencilla. Si opta por árboles de carpetas, tenga en cuenta que tienden a ser engorrosos.
Debe ingresar a carpetas individuales y verificar los permisos. Deberá obtener valiosos recursos de TI para verificarlo todo, lo que lo convierte en un gran problema para el cumplimiento.
Cuando se trata de seguridad digital, las contraseñas son un componente importante. ¿Cómo accederás al sistema? La seguridad es el área de mayor preocupación con 21 CFR Parte 11 porque debe saber que las personas adecuadas tienen los permisos correctos y que no cualquiera puede intervenir.
Deben aplicarse las mejores prácticas de contraseñas, pero la regulación misma es vago.
Consultamos a expertos en 21 CFR Parte 11 sobre el diseño de nuestra plataforma Greenlight Guru y el enfoque con respecto a la seguridad. Queríamos asegurarnos de cumplir con la Parte 11 y podríamos dar consejos a los usuarios para hacerlo.
Con respecto a las contraseñas, tenemos algunos consejos de «mejores prácticas», que hemos incluido en un guía imprimible a continuación:
El acceso a los registros electrónicos debe controlarse mediante un inicio de sesión único, con nombre de usuario y contraseña. Los usuarios inactivos durante 10-20 minutos deben cerrar sesión automáticamente.
También Aconseje que su sistema bloquee a los usuarios después de 3-5 intentos fallidos de contraseña.
Si la cuenta ha estado inactiva durante un período de tiempo, el usuario debe bloquearse. El período recomendado para esto es de 30 días.
Todas estas mejores prácticas se implementan en el sistema Greenlight Guru.
# 3. ESTABLEZCA PISTAS DE AUDITORÍA CLARAS PARA LA TRAZABILIDAD
Se requieren pistas de auditoría claras para que puede ver qué usuario realizó una acción determinada, en qué momento, en sus registros. ¿Cuándo se crearon, modificaron, eliminaron o quedaron obsoletos los registros?
Todos los eventos deben registrarse con la e xact nombre de usuario, fecha y hora. La plataforma Greenlight Guru asigna un rol a un usuario que puede acceder a las pistas de auditoría para este propósito.
Además de la gestión de cambios, las pistas de auditoría se aplican a los momentos de acceso. Siempre debe saber cuándo los usuarios inician sesión y cuándo están bloqueados. Puede llamarlo un «historial completo de su sistema de mantenimiento de registros».
Una parte clave de su seguimiento de auditoría es que la FDA puede ver estos registros al inspeccionarlos. Cuanto más fácil sea encontrar y comprender esta información , es probable que su inspección sea más fluida.
# 4. SIGA LAS DIRECTRICES DE 21 CFR PARTE 11 SOBRE FIRMAS ELECTRÓNICAS
Puede cumplir con las directrices de 21 CFR Parte 11 sobre la revisión y aprobación de información de diferentes formas:
- Biométrico, p. ej., escaneo de huellas dactilares o de retina
- Firmas digitales
- Escaneo
- Captura de escritura a mano en software
- Firmas electrónicas (las usamos en Greenlight Guru)
Usamos firmas electrónicas, que asignan nombres de usuario y contraseñas únicos a los firmantes. Los nombres de usuario genéricos del departamento no para mantener la transparencia, los nombres de usuario deben estar vinculados a una sola persona, no a un grupo.
Cuando algo requiere aprobación en Greenlight Guru, un botón «Aprobar» o «Rechazar» puede ser cli cked para transmitir la intención, así como la fecha y la hora. Una vez que algo se firma de esta manera, el elemento se bloquea permanentemente y no se puede revisar o editar de nuevo.
Con el papel, esto es una laguna porque existe la oportunidad de marcar el papel a mano. o realizar un seguimiento de los cambios en los programas de procesamiento de texto. Hay menos control que con Greenlight Guru. En nuestra plataforma, el documento está bloqueado en el proceso de aprobación para que usted cumpla con 21 CFR Parte 11.
No se permite la edición; de lo contrario, volverá a los procesos de aprobación formales.
Otra cosa que debe tener en cuenta si tiene la intención de utilizar firmas electrónicas es la expectativa de que notifique a la FDA que lo está haciendo: necesita para enviarles una carta para informarles que está utilizando firmas electrónicas.
# 5. NO TERCERA LA RESPONSABILIDAD: USTED ESTÁ A CARGO DE SU CUMPLIMIENTO DE 21 CFR PARTE 11
Hemos visto una tendencia de plataformas de software que afirman que pueden ocuparse de todo su cumplimiento de 21 CFR Parte 11. En última instancia, esto no es cierto porque el cumplimiento de la Parte 11 SIEMPRE es responsabilidad de la empresa de dispositivos médicos. Una empresa de software no debería decir que se ha encargado de todo, porque su empresa no está eximida de la responsabilidad.
Greenlight Guru realiza pruebas y validación de la plataforma y puede proporcionar documentación de respaldo, pero cumplimiento es en última instancia su responsabilidad.
También podemos proporcionar lo siguiente:
- Una lista de verificación de cumplimiento de la Parte 11
- Una plantilla de carta para enviar a la FDA para informarles de su intención para usar firmas electrónicas
- Un certificado de conformidad para el diseño de la plataforma
- Una solución QMS que cumpla con 21 CFR Parte 11, que incluye plantillas y características prevalidadas que han pasado cientos de auditorías y inspecciones
# 6. VALIDAR PARA IQ, OQ Y PQ
IQ, OQ y PQ son siglas que significan calificación de instalación, calificación operativa y calificación de desempeño. Debido a que el reglamento se redactó hace 20 años, las siglas originalmente se referían a equipos.
Así es como puede pensar en IQ, OQ y PQ en términos de software:
- Calificación de la instalación: ¿El software está instalado correctamente?
- Calificación operativa: ¿Es el software capaz de cumplir con los requisitos reglamentarios?
- Calificación de desempeño: ¿Es el software
El software Greenlight Guru tiene una lista de verificación interna incorporada para garantizar que sus navegadores, sistemas operativos, etc., cumplen con IQ. La OQ se ha realizado internamente y hay un informe disponible. Ofrecemos protocolos de PQ, así como incorporación y capacitación.
# 7. CONSIDERE EL CUMPLIMIENTO DE 21 CFR PARTE 11 AL ELEGIR UNA SOLUCIÓN QMS
El cumplimiento es un proceso continuo, y deberá asegurarse de que está manejando documentos electrónicos y firmas correctamente durante el ciclo de vida de su proyecto.
Su elección de SGC jugará un papel clave en el cumplimiento del CFR Parte 11. Si su SGC no está alineado con CFR Parte 11 o no viene con plantillas validadas previamente, deberá tenerlo en cuenta en su plan de negocios. Las soluciones de propósito general requerirán mucha configuración, capacitación del personal, pruebas de validación y quizás ayuda externa para garantizar el cumplimiento.
Todo esto requiere una inversión significativa de tiempo y capital. Le recomendamos que busque varias soluciones QMS y considere las necesidades de su empresa cuando se trata de validar para CFR Parte 11. ¿Su solución ofrece todo lo que necesita para llevar su dispositivo al mercado?
Reflexiones finales sobre 21 CFR Parte 11
Cumplimiento de 21 CFR Part 11 no tiene por qué ser una tarea onerosa, especialmente si recuerda que cualquier idea de un «registro maestro en papel» es un nombre completamente inapropiado en el momento en que se carga algo en un sistema informático.
En otras palabras, casi todas las empresas de dispositivos médicos deben cumplir con 21 CFR Parte 11 a menos que realmente tengan todo solo en papel, sin copias electrónicas de documentos almacenados en ningún lugar.
Siga estos consejos para garantizar la seguridad y integridad de sus registros y debe estar preparado para una inspección de la FDA. Recuerde: las empresas de dispositivos médicos sible para su propio cumplimiento, sin importar lo que puedan prometer terceros.
¿Sigue utilizando un enfoque manual o en papel para gestionar sus controles de diseño o procesos de calidad? Haga clic aquí para obtener más información sobre cómo la plataforma de software QMS de dispositivos médicos (MDQMS) de Greenlight Guru, exclusiva para empresas de dispositivos médicos, está ayudando a los fabricantes de dispositivos en más de 270 ciudades y 25 países a comercializar productos más seguros más rápido, con menos riesgo, al tiempo que garantiza cumplimiento.
¿Busca una solución de control de diseño que le ayude a llevar al mercado dispositivos médicos más seguros más rápido y con menos riesgo? Haga clic aquí para realizar un recorrido rápido por Greenlight Guru «s Software QMS de dispositivos médicos →
