Quando si tratta di conformità normativa per le aziende produttrici di dispositivi medici, può esserci un po ‘di confusione intorno alla FDA 21 CFR Parte 11. Un’enorme trappola che abbiamo riscontrato è che molte aziende pensano di essere conformi (spesso a causa di incomprensioni dei requisiti), ma, in realtà, non lo sono.
Se sei stato indotto a credere che si tratti solo di convalida, traccia di controllo, record e conservazione e che sei “al sicuro” grazie al tuo file “master” cartaceo, devi capire La parte 11 è molto più complessa di così.
Le aziende produttrici di dispositivi medici possono utilizzare questi suggerimenti per garantire la conformità al CFR 21 Parte 11:
- Determina se il CFR 21 Parte 11 si applica alla tua azienda.
- Segui le migliori pratiche in materia di protezione dei dati e sicurezza delle password.
- Stabilisci percorsi di controllo chiari per la tracciabilità.
- Segui le linee guida sulle firme elettroniche.
- Non affidare all’esterno la responsabilità: sei responsabile della conformità al CFR 21 Parte 11.
- Convalida per IQ, OQ e PQ.
- Considera la conformità al CFR 21 Parte 11 quando scegli il tuo QMS.
Questa guida amplierà questi suggerimenti e fornirà informazioni utili per eliminare i punti comuni di confusione attorno a questo regolamento. Ecco cosa le aziende produttrici di dispositivi medici devono sapere per familiarizzare con il regolamento e conformarsi al CFR 21 della FDA Parte 11:
COS’È IL 21 CFR PARTE 11?
Il 21 CFR Parte 11 è la normativa della FDA per la documentazione elettronica e le firme elettroniche. amministrazione di record elettronici nel sistema di gestione della qualità di un’azienda di dispositivi medici.
Da quando 21 CFR Part 11 è stato pubblicato per la prima volta nel 1997, i nostri sistemi elettronici e le loro capacità sono progrediti enormemente. Tuttavia, lo scopo del 21 CFR Part 11 rimane ancora applicabile oltre due decenni dopo.
La parte 11 è stata progettata per soddisfare le esigenze in evoluzione del settore dei dispositivi medici, con lo scopo di aiutare le aziende:
- Know how utilizzare sistemi informatici e software, in particolare quando non funzionano correttamente.
- Mantieni i dati in modo sicuro un d in modo sicuro e assicurati che i dati non vengano danneggiati o persi.
- Assicurati che le firme di approvazione e revisione non possano essere contestate.
- Traccia le modifiche ai dati
- Impedisci e / o rilevare record falsificati
Abbiamo dovuto anche essere più pratici su come vengono gestiti i documenti in organizzazioni che possono avere più uffici o più persone che hanno bisogno di accedere e aggiornare i record. Utilizzare un sistema cartaceo in un singolo ufficio è impegnativo e con uffici dislocati in tutto il mondo semplicemente non è pratico.
Con i record elettronici che stanno diventando ampiamente utilizzati nel settore, la stragrande maggioranza delle aziende troverà che FDA 21 CFR Parte 11 si applica a loro. Come con molti regolamenti, questo non è sempre accolto bene.
Molte aziende trovano scoraggiante la prospettiva di convalidare per il CFR 21 Parte 11. È necessario dimostrare alle autorità di regolamentazione che il tuo sistema è abbastanza robusto da soddisfare i loro standard e questa può essere una sfida.
Ad esempio, ci sono un certo numero di aziende che sono piuttosto preoccupate del CFR 21 Parte 11 perché delle cose necessarie per dimostrare che un sistema è abbastanza robusto da soddisfare i suoi standard.
# 1. DETERMINA SE IL CFR 21 PARTE 11 SI APPLICA ALLA TUA AZIENDA
Le aziende che non sono disposte ad accettare il CFR 21 Parte 11 spesso affermano che i loro “dati anagrafici” sono cartacei, sebbene caricino i documenti in un file condiviso o in un luogo accessibile su un server. Pensano che i record “cartacei” significhino che non è necessario occuparsi della Parte 11, ma non è così.
Per i principianti, “record master” è un uso improprio del termine. Le persone diranno che il pezzo di carta è il loro “record master” e penseranno che ciò che fanno dopo (come la scansione e il caricamento) non Non importa, fintanto che il pezzo di carta principale rimane intatto. La verità è che, nel momento in cui il documento viene caricato su un server, l’azienda è soggetta alla conformità con il CFR 21 Parte 11.
Nella sezione 11.3, la FDA definisce “record elettronico” come; “qualsiasi combinazione di testo, grafica, dati, audio, immagini o altra rappresentazione di informazioni in forma digitale che viene creata, modificata, mantenuta, archiviata, recuperata o distribuita da un sistema informatico. ” Come puoi vedere, questo rende la definizione coperta dal CFR 21 Parte 11 piuttosto ampia e la maggior parte delle aziende ne sarà influenzata.
Pertanto, anche se le aziende possono dire di avere un sistema cartaceo, probabilmente lo fanno avere un sistema elettronico pervasivo, anche se avviene tramite alberi di cartelle. Devi ancora convalidare i tuoi record per assicurarti che la versione scansionata corrisponda alla versione cartacea.
# 2. SEGUI LE MIGLIORI PRATICHE DI SICUREZZA DEI DATI E PROTEZIONE CON PASSWORD 21 CFR PARTE 11
La sicurezza dei dati è un aspetto importante della Parte 11.Tutti gli utenti con accesso necessitano dei ruoli e delle autorizzazioni giusti. Questo è vero sia che si utilizzi una soluzione di sistema di qualità come Greenlight Guru sia che si abbia una semplice struttura ad albero delle cartelle. Se opti per alberi di cartelle, tieni presente che tendono ad essere ingombranti.
Devi andare in singole cartelle e controllare i permessi. Dovrai estrarre preziose risorse dall’IT per controllare tutto, rendendolo un grosso problema per la conformità.
Quando si tratta di sicurezza digitale, le password sono una componente importante. Come accederai al sistema? La sicurezza è la principale area di preoccupazione con il CFR 21 Parte 11 perché devi sapere che le persone giuste hanno le autorizzazioni giuste e che non solo chiunque può intervenire.
Le migliori pratiche per le password dovrebbero essere applicate, ma il regolamento stesso è vago.
Abbiamo consultato esperti sul CFR 21 Parte 11 sulla progettazione della nostra piattaforma Greenlight Guru e sull’approccio alla sicurezza. Volevamo assicurarci di soddisfare la conformità alla Parte 11 e poter fornire consigli agli utenti per farlo.
Per quanto riguarda le password, abbiamo alcuni suggerimenti di “best practice”, che abbiamo incluso in un guida stampabile di seguito:
L’accesso ai record elettronici dovrebbe essere controllato da un unico login, con nome utente e password. Gli utenti inattivi per 10-20 minuti dovrebbero essere disconnessi automaticamente.
Inoltre avvisa che il tuo sistema blocca gli utenti dopo 3-5 tentativi di password falliti.
Se l’account è rimasto inattivo per un periodo di tempo, l’utente dovrebbe essere bloccato. Il periodo consigliato per questo è 30 giorni.
Tutte queste best practice sono implementate nel sistema Greenlight Guru.
# 3. STABILISCI PERCORSI DI AUDIT CHIARI PER LA TRACCIABILITÀ
Per te può visualizzare quale utente ha eseguito una determinata azione, a che ora, sui tuoi record. Quando sono stati creati, modificati, eliminati o resi obsoleti i record?
Tutti gli eventi devono essere registrati con il xact nome utente, data e ora. La piattaforma Greenlight Guru assegna un ruolo a un utente che può accedere agli audit trail per questo scopo.
Oltre alla gestione delle modifiche, gli audit trail si applicano ai momenti di accesso. Dovresti sempre sapere quando gli utenti accedono e quando sono bloccati. Potresti chiamarlo una “cronologia completa del tuo sistema di tenuta dei registri”.
Una parte fondamentale del tuo audit trail è che la FDA può visualizzare questi record al momento dell’ispezione. Più è facile trovare e comprendere queste informazioni , più agevole sarà la tua ispezione.
# 4. SEGUI LE LINEE GUIDA 21 CFR PART 11 SULLE FIRME ELETTRONICHE
Puoi rispettare le linee guida del CFR 21 Parte 11 sulla revisione e l’approvazione delle informazioni in diversi modi:
- Biometrico, ad es. impronta digitale o scansione della retina
- Firme digitali
- Scansione
- Acquisizione della scrittura a mano nel software
- Firme elettroniche (le usiamo in Greenlight Guru)
Usiamo firme elettroniche, che assegnano nomi utente e password univoci ai firmatari. I nomi utente generici dei dipartimenti non lo sono consigliato. Per mantenere la trasparenza, i nomi utente dovrebbero essere legati a una singola persona, non a un gruppo.
Quando qualcosa richiede l’approvazione in Greenlight Guru, un pulsante “Approva” o “Rifiuta” può essere cli ha chiesto di trasmettere l’intento, nonché la data e l’ora. Una volta che qualcosa viene firmato in questo modo, l’elemento viene bloccato in modo permanente e non può essere rivisto o modificato di nuovo.
Con la carta, questa è un po ‘una scappatoia perché c’è la possibilità di contrassegnare la carta a mano o tenere traccia delle modifiche nei programmi di elaborazione testi. C’è meno controllo rispetto a Greenlight Guru. Sulla nostra piattaforma, il documento è bloccato nel processo di approvazione in modo da rimanere in conformità con il CFR 21 Parte 11.
Non è consentita alcuna modifica; in caso contrario, torni ai processi di approvazione formale.
Un’altra cosa di cui devi essere consapevole se intendi utilizzare firme elettroniche è l’aspettativa di notificare alla FDA che lo stai facendo: hai bisogno per inviare loro una lettera per informarli che stai utilizzando firme elettroniche.
# 5. NON ESPORRE RESPONSABILITÀ: SEI RESPONSABILE DELLA TUA CONFORMITÀ 21 CFR PART 11
Abbiamo notato una tendenza delle piattaforme software che affermano di poter prendersi cura di tutta la tua conformità 21 CFR Parte 11. In definitiva, questo non è vero perché la conformità alla Parte 11 è SEMPRE responsabilità dell’azienda di dispositivi medici. Una società di software non dovrebbe dire di essersi occupata di tutto, perché la tua azienda non è esonerata dalla responsabilità.
Greenlight Guru esegue test e convalida della piattaforma e può fornire documentazione di supporto, ma conformità è in ultima analisi una tua responsabilità.
Possiamo anche fornire quanto segue:
- Una lista di controllo per la conformità alla Parte 11
- Un modello di lettera da inviare alla FDA per informarla del tuo intento utilizzare le firme elettroniche
- Un certificato di conformità per la progettazione della piattaforma
- Una soluzione QMS conforme al CFR 21 Parte 11, inclusi modelli e funzionalità pre-convalidati che hanno superato centinaia di audit e ispezioni
# 6. CONVALIDA PER IQ, OQ E PQ
IQ, OQ e PQ sono acronimi che stanno per qualificazione dell’installazione, qualificazione operativa e qualificazione delle prestazioni. Poiché il regolamento è stato scritto 20 anni fa, gli acronimi si riferivano originariamente alle apparecchiature.
Ecco come puoi pensare a IQ, OQ e PQ in termini di software:
- Qualifica dell’installazione: il software è installato correttamente?
- Qualifica operativa: il software è in grado di soddisfare i requisiti normativi?
- Qualifica delle prestazioni: il software
Il software Greenlight Guru ha una lista di controllo interna integrata per garantire che i tuoi browser, sistemi operativi, ecc. siano conformi a IQ. OQ è stato fatto internamente ed è disponibile un rapporto. Offriamo protocolli PQ così come onboarding e formazione.
# 7. CONSIDERARE LA CONFORMITÀ AL 21 CFR PARTE 11 NELLA SCELTA DI UNA SOLUZIONE SQ
La conformità è un processo continuo e dovrai assicurarti di gestire correttamente i documenti e le firme elettroniche durante tutto il ciclo di vita del progetto.
La scelta del SGQ giocherà un ruolo chiave nella conformità al CFR Parte 11. Se il tuo SGQ non è allineato al CFR Parte 11 o non viene fornito con modelli pre-convalidati, dovrai tenerne conto nel tuo piano aziendale. Le soluzioni per scopi generici richiederanno molta configurazione, formazione del personale, test di convalida e forse un aiuto esterno per garantire la conformità.
Tutto ciò richiede tempo e investimenti di capitale significativi. Ti consigliamo di esaminare varie soluzioni QMS e di considerare le esigenze della tua azienda quando si tratta di convalidare per CFR Parte 11. La tua soluzione offre tutto ciò di cui hai bisogno per portare il tuo dispositivo sul mercato?
Considerazioni finali sul CFR 21 Parte 11
Conformità con 21 Il CFR Parte 11 non deve essere un compito oneroso, soprattutto se si ricorda che qualsiasi idea di “anagrafica cartacea” è un termine improprio nel momento in cui qualcosa viene caricato su un sistema informatico.
In altre parole, quasi tutte le aziende produttrici di dispositivi medici devono conformarsi al CFR 21 Parte 11 a meno che non dispongano veramente di tutto solo su carta, senza copie elettroniche dei documenti archiviate ovunque.
Segui questi suggerimenti per garantire la sicurezza e integrità dei tuoi documenti e dovresti essere preparato per un’ispezione della FDA Ricorda: le aziende di dispositivi medici sono in ultima analisi le risposte possibile per la propria conformità, indipendentemente da ciò che terze parti possono promettere.
Utilizzi ancora un approccio manuale o cartaceo per gestire i controlli di progettazione o i processi di qualità? Fare clic qui per saperne di più su come la piattaforma software QMS per dispositivi medici (MDQMS) di Greenlight Guru, esclusivamente per le aziende produttrici di dispositivi medici, sta aiutando i produttori di dispositivi in più di 270 città e 25 paesi a immettere sul mercato prodotti più sicuri più velocemente, con meno rischi, garantendo al contempo conformità.
Stai cercando una soluzione di controllo del design che ti aiuti a portare sul mercato dispositivi medici più sicuri con meno rischi? Fai clic qui per fare un rapido tour di Greenlight Guru “s Software QMS per dispositivi medici →