En ce qui concerne la conformité réglementaire des fabricants de dispositifs médicaux, il peut y avoir une certaine confusion autour de la FDA 21 CFR Part 11. Un énorme piège que nous avons trouvé est que de nombreuses entreprises pensent qu’elles sont conformes (souvent en raison d’une mauvaise compréhension des exigences), mais en réalité, elles ne le sont pas.
Si vous avez été amené à croire qu’il ne s’agit que de votre validation, de votre piste d’audit, de vos enregistrements et de votre conservation, et que vous êtes « en sécurité » grâce à votre fichier « principal » papier, vous devez comprendre La partie 11 est beaucoup plus complexe que cela.
Les fabricants de dispositifs médicaux peuvent utiliser ces conseils pour garantir la conformité à 21 CFR Part 11:
- Déterminez si 21 CFR Part 11 s’applique à votre entreprise.
- Suivez les meilleures pratiques en matière de protection des données et de sécurité par mot de passe.
- Établissez des pistes d’audit claires pour la traçabilité.
- Suivez les directives sur les signatures électroniques.
- Ne sous-traitez pas la responsabilité: vous êtes en charge de la conformité 21 CFR Part 11.
- Validez pour IQ, OQ et PQ.
- Tenez compte de la conformité 21 CFR Part 11 lors du choix de votre SMQ.
Ce guide développera ces conseils et fournira des informations utiles pour éliminer les points communs de confusion autour de ce règlement. Voici ce que les entreprises de dispositifs médicaux doivent savoir pour se familiariser avec la réglementation et se conformer au 21 CFR Part 11 de la FDA:
QU’EST-CE QUE 21 CFR PART 11?
21 CFR Part 11 est la réglementation de la FDA pour la documentation électronique et les signatures électroniques. gestion des dossiers électroniques dans le système de gestion de la qualité d’une entreprise de dispositifs médicaux.
Depuis la première publication de 21 CFR Part 11 en 1997, nos systèmes électroniques et leurs capacités ont énormément progressé. Cependant, l’objectif de 21 CFR Part 11 reste applicable plus de deux décennies plus tard.
La partie 11 a été conçue pour répondre aux besoins en constante évolution de l’industrie des dispositifs médicaux, dans le but d’aider les entreprises:
- Savoir comment d’utiliser des systèmes informatiques et des logiciels, en particulier lorsqu’ils ne fonctionnent pas correctement.
- Conserver les données en toute sécurité et d en toute sécurité, et assurez-vous que les données ne sont pas corrompues ou perdues.
- Assurez-vous que l’approbation et l’examen des signatures ne peuvent pas être contestés.
- Tracez les modifications apportées aux données
- Empêchez et / ou détecter les enregistrements falsifiés
Nous avons également dû être plus pratiques sur la façon dont la paperasse est gérée dans les organisations qui peuvent avoir plusieurs bureaux ou plusieurs personnes qui doivent accéder aux enregistrements et les mettre à jour. Utiliser un système papier dans un seul bureau est difficile, et avec des bureaux répartis dans le monde entier, ce n’est tout simplement pas pratique.
Avec les enregistrements électroniques de plus en plus utilisés dans l’industrie, la grande majorité des entreprises trouveront que FDA 21 CFR Part 11 s’applique à eux. Comme pour de nombreux règlements, ce n’est pas toujours bien accueilli.
De nombreuses entreprises trouvent la perspective de valider 21 CFR Part 11 décourageante. Il est nécessaire de prouver aux régulateurs que votre système est suffisamment robuste pour répondre à leurs normes, et cela peut être un défi.
Par exemple, il existe un certain nombre d’entreprises qui craignent quelque peu le 21 CFR Part 11 parce que des éléments nécessaires pour prouver qu’un système est suffisamment robuste pour répondre à ses normes.
# 1. DÉTERMINER SI LE 21 CFR PART 11 S’APPLIQUE À VOTRE ENTREPRISE
Les entreprises qui ne souhaitent pas adopter 21 CFR Part 11 disent souvent que leurs «fichiers maîtres» sont sur papier, bien qu’elles téléchargent des documents dans un fichier partagé ou dans un endroit accessible sur un serveur. Ils pensent que les enregistrements «sur papier» signifient qu’il n’est pas nécessaire de traiter la partie 11, mais ce n’est pas le cas.
Pour commencer, le terme «fiches maîtresses» est une mauvaise utilisation du terme. Les gens diront que le morceau de papier est leur «enregistrement maître» et penseront que ce qu’ils font par la suite (comme la numérisation et le téléchargement) ne fonctionne pas Peu importe, tant que le morceau de papier principal reste intact. La vérité est qu’au moment où le document est téléchargé sur un serveur, l’entreprise est soumise au respect de 21 CFR Part 11.
Dans la section 11.3, la FDA définit «enregistrement électronique» comme signifiant; «toute combinaison de textes, graphiques, données, audio, images ou autres représentations d’informations sous forme numérique qui sont créés, modifiés, maintenus, archivés, récupérés ou distribués par un système informatique. » Comme vous pouvez le voir, cela rend la définition couverte par 21 CFR Part 11 assez large, et la plupart des entreprises seront affectées.
Par conséquent, même si les entreprises peuvent dire qu’elles ont un système papier, elles le font probablement ont un système électronique omniprésent, même si c’est via des arborescences de dossiers. Vous devez toujours valider vos enregistrements pour vous assurer que la version numérisée correspond à la version papier.
# 2. SUIVEZ 21 CFR PARTIE 11 SÉCURITÉ DES DONNÉES ET PROTECTION DES MOTS DE PASSE MEILLEURES PRATIQUES
La sécurité des données est un aspect important de la partie 11.Tous les utilisateurs ayant accès ont besoin des bons rôles et autorisations. Cela est vrai que vous utilisiez une solution de système qualité comme Greenlight Guru ou que vous disposiez d’une simple arborescence de dossiers. Si vous optez pour les arborescences de dossiers, notez qu’elles ont tendance à être encombrantes.
Vous devez aller dans des dossiers individuels et vérifier les autorisations. Vous devrez extraire de précieuses ressources du service informatique pour tout vérifier, ce qui en fait un gros problème pour la conformité.
En matière de sécurité numérique, les mots de passe sont un élément majeur. Comment allez-vous accéder au système? La sécurité est le principal sujet de préoccupation avec 21 CFR Part 11, car vous devez savoir que les bonnes personnes ont les bonnes autorisations et que tout le monde ne peut pas intervenir.
Les meilleures pratiques en matière de mot de passe devraient s’appliquer, mais la réglementation elle-même est vague.
Nous avons consulté des experts sur 21 CFR Part 11 au sujet de la conception de notre plate-forme Greenlight Guru et de son approche en matière de sécurité. Nous voulions nous assurer que nous serions conformes à la partie 11 et pourrions donner des conseils aux utilisateurs pour le faire.
En ce qui concerne les mots de passe, nous avons quelques conseils sur les «bonnes pratiques», que nous avons inclus dans un guide imprimable ci-dessous:
L’accès aux enregistrements électroniques doit être contrôlé par un identifiant unique, avec un nom d’utilisateur et un mot de passe. Les utilisateurs inactifs pendant 10 à 20 minutes doivent être déconnectés automatiquement.
Nous aussi informez-vous que votre système verrouille les utilisateurs après 3 à 5 tentatives infructueuses de mot de passe.
Si le compte est resté inactif pendant un certain temps, l’utilisateur doit être verrouillé. La période recommandée est de 30 jours.
Toutes ces bonnes pratiques sont mises en œuvre dans le système Greenlight Guru.
# 3. ÉTABLIR DES PISTES D’AUDIT CLAIRES POUR LA TRAÇABILITÉ
Des pistes d’audit claires sont nécessaires pour que vous peut voir quel utilisateur a effectué une action donnée, à quelle heure, dans vos enregistrements. Quand les enregistrements ont-ils été créés, modifiés, supprimés ou rendus obsolètes?
Tous les événements doivent être enregistrés avec l’e xact nom d’utilisateur, date et heure. La plateforme Greenlight Guru attribue un rôle à un utilisateur qui peut accéder aux pistes d’audit à cette fin.
En plus de la gestion des changements, les pistes d’audit s’appliquent aux moments d’accès. Vous devez toujours savoir quand les utilisateurs se connectent et quand ils sont verrouillés. Vous pourriez appeler cela un «historique complet de votre système de tenue de registres».
Un élément clé de votre piste d’audit est que la FDA peut consulter ces enregistrements après inspection. Plus il est facile de trouver et de comprendre ces informations , plus votre inspection sera fluide.
# 4. SUIVEZ LES DIRECTIVES DU 21 CFR PART 11 SUR LES SIGNATURES ÉLECTRONIQUES
Vous pouvez vous conformer aux directives 21 CFR Part 11 sur l’examen et l’approbation des informations de différentes manières:
- Biométrique, par exemple, empreinte digitale ou scintigraphie rétinienne
- Signatures numériques
- Numérisation
- Capture d’écriture manuscrite dans les logiciels
- Signatures électroniques (nous les utilisons dans Greenlight Guru)
Nous utilisons des signatures électroniques, qui attribuent des noms d’utilisateur et des mots de passe uniques aux signataires. Les noms d’utilisateur génériques des services ne sont pas conseillé. Pour maintenir la transparence, les noms d’utilisateur doivent être liés à une seule personne, pas à un groupe.
Lorsque quelque chose nécessite une approbation dans Greenlight Guru, un bouton « Approuver » ou « Rejeter » peut être cli cked pour transmettre l’intention, ainsi que la date et l’heure. Une fois que quelque chose est signé de cette manière, l’élément est définitivement verrouillé et ne peut pas être révisé ou modifié à nouveau.
Avec le papier, c’est un peu une faille car il est possible de marquer le papier à la main ou suivre les changements dans les programmes de traitement de texte. Il y a moins de contrôle qu’avec Greenlight Guru. Sur notre plateforme, le document est verrouillé dans le processus d’approbation afin que vous restiez en conformité avec 21 CFR Part 11.
Aucune édition n’est autorisée; sinon, vous revenez aux processus d’approbation formels.
Une autre chose dont vous devez être conscient si vous avez l’intention d’utiliser des signatures électroniques est l’attente que vous informiez la FDA que vous le faites: vous avez besoin pour leur envoyer une lettre pour les informer que vous utilisez des signatures électroniques.
# 5. N’EXTERNALISEZ PAS LA RESPONSABILITÉ: VOUS ÊTES EN CHARGE DE VOTRE CONFORMITÉ 21 CFR PART 11
Nous avons vu une tendance des plates-formes logicielles affirmant qu’elles peuvent prendre en charge l’ensemble de votre conformité 21 CFR Part 11. En fin de compte, ce n’est pas vrai car la conformité à la partie 11 est TOUJOURS la responsabilité de la société de dispositifs médicaux. Un éditeur de logiciels ne devrait pas dire qu’il s’est occupé de tout, car votre entreprise n’est pas exonérée de sa responsabilité.
Greenlight Guru teste et valide la plate-forme et peut fournir des documents justificatifs, mais la conformité est en fin de compte votre responsabilité.
Nous pouvons également fournir les éléments suivants:
- Une liste de contrôle de conformité à la partie 11
- Un modèle de lettre à envoyer à la FDA pour l’informer de votre intention pour utiliser des signatures électroniques
- Un certificat de conformité pour la conception de la plate-forme
- Une solution QMS conforme à 21 CFR Part 11, comprenant des modèles et des fonctionnalités pré-validés qui ont passé des centaines d’audits et inspections
# 6. VALIDER POUR IQ, OQ ET PQ
IQ, OQ et PQ sont des acronymes qui désignent la qualification d’installation, la qualification opérationnelle et la qualification des performances. Comme le règlement a été rédigé il y a 20 ans, les acronymes désignaient à l’origine l’équipement.
Voici comment vous pouvez penser IQ, OQ et PQ en termes logiciels:
- Qualification de l’installation: le logiciel est-il correctement installé?
- Qualification opérationnelle: le logiciel est-il capable de répondre aux exigences réglementaires?
- Qualification des performances: le logiciel
Le logiciel Greenlight Guru a une liste de contrôle interne intégrée pour garantir que vos navigateurs, systèmes d’exploitation, etc., sont conformes à IQ. L’OQ a été réalisé en interne et un rapport est disponible. Nous proposons des protocoles PQ ainsi que l’intégration et la formation.
# 7. CONSIDERER LA CONFORMITÉ 21 CFR PARTIE 11 LORS DU CHOIX D’UNE SOLUTION QMS
La conformité est un processus continu et vous devrez vous assurer que vous gérez correctement les documents et signatures électroniques tout au long du cycle de vie de votre projet.
Votre choix de QMS jouera un rôle clé dans la conformité CFR Part 11. Si votre système de gestion de la qualité n’est pas aligné sur la partie 11 du CFR ou n’est pas fourni avec des modèles pré-validés, vous devrez en tenir compte dans votre plan d’affaires. Les solutions à usage général nécessiteront beaucoup de configuration, de formation du personnel, de tests de validation et peut-être une aide extérieure pour garantir la conformité.
Tout cela nécessite un investissement en temps et en capital considérable. Nous vous recommandons de vous pencher sur diverses solutions QMS et de prendre en compte les besoins de votre entreprise en ce qui concerne la validation pour CFR Part 11. Votre solution offre-t-elle tout ce dont vous avez besoin pour commercialiser votre appareil?
Réflexions finales sur 21 CFR partie 11
Conforme à 21 Le CFR Part 11 n’a pas besoin d’être une tâche onéreuse, en particulier si vous vous souvenez que toute idée de «fiche papier sur papier» est complètement erronée dès que quelque chose est téléchargé sur un système informatique.
En d’autres termes, presque toutes les sociétés de dispositifs médicaux doivent se conformer à 21 CFR Part 11 à moins qu’elles n’aient vraiment tout sur papier uniquement, sans copie électronique des documents stockée nulle part.
Suivez ces conseils pour assurer la sécurité et l’intégrité de vos dossiers et vous devez vous préparer à une inspection de la FDA. responsables de leur propre conformité, quelles que soient les promesses de tiers.
Vous utilisez toujours une approche manuelle ou papier pour gérer vos contrôles de conception ou vos processus qualité? Cliquez ici pour en savoir plus sur la façon dont la plate-forme logicielle MDQMS (Medical Device QMS) de Greenlight Guru, exclusivement destinée aux entreprises de dispositifs médicaux, aide les fabricants de dispositifs dans plus de 270 villes et 25 pays à mettre sur le marché des produits plus sûrs plus rapidement, avec moins de risques, tout en garantissant la réglementation conformité.
Vous recherchez une solution de contrôle de conception pour vous aider à commercialiser des dispositifs médicaux plus sûrs plus rapidement avec moins de risques? Cliquez ici pour découvrir rapidement les Greenlight Guru « s Logiciel QMS pour dispositifs médicaux →