Når det gjelder overholdelse av forskrifter for medisinsk utstyrsselskaper, Det kan være forvirring rundt FDA 21 CFR del 11. En stor fallgruve som vi har funnet er at mange selskaper tror de overholder (ofte på grunn av misforståelse av kravene), men i virkeligheten er de ikke.
Hvis du har blitt ført til å tro at det bare handler om validering, revisjonsspor, poster og oppbevaring, og at du er «trygg» på grunn av den papirbaserte «master» -filen din, må du forstå Del 11 er mye mer kompleks enn det.
Medisinske apparatselskaper kan bruke disse tipsene for å sikre samsvar med 21 CFR del 11:
- Bestem om 21 CFR del 11 gjelder for ditt firma.
- Følg beste praksis innen databeskyttelse og passordsikkerhet.
- Opprett tydelige revisjonsstier for sporbarhet.
- Følg retningslinjene for elektroniske signaturer.
- Ikke outsource ansvaret: du har ansvaret for 21 CFR del 11-overholdelse.
- Valider for IQ, OQ og PQ.
- Vurder 21 CFR Part 11-overholdelse når du velger QMS.
Denne guiden vil utvide disse tipsene og gi nyttig informasjon for å fjerne vanlige forvirringspunkter rundt denne forskriften. Her er hva medisinsk utstyrsbedrifter trenger å vite for å gjøre seg kjent med forskriften og overholde FDAs 21 CFR del 11:
HVA ER 21 CFR DEL 11?
21 CFR del 11 er FDAs forskrifter for elektronisk dokumentasjon og elektroniske signaturer. Den skisserer administrasjon av elektroniske poster i et kvalitetsstyringssystem for et medisinsk utstyrsselskap.
Siden 21 CFR Part 11 ble publisert første gang i 1997, har våre elektroniske systemer og deres evner avansert enormt. Formålet med 21 CFR Part 11 fremdeles gjelder over to tiår senere.
Del 11 ble designet for å imøtekomme de utviklende behovene i medisinsk utstyrsindustri, med det formål å hjelpe selskaper:
- Vet hvordan å bruke datasystemer og programvare, spesielt når det ikke fungerer som det skal.
- Vedlikehold data trygt og d sikkert, og sørg for at data ikke blir ødelagt eller mistet.
- Forsikre deg om at godkjenning og gjennomgang av signaturer ikke kan bestrides.
- Spor endringer i data
- Forhindre og / eller oppdage forfalskede poster
Vi har også måttet være mer praktiske om hvordan papirarbeid håndteres på tvers av organisasjoner som kan ha flere kontorer eller flere personer som trenger tilgang til og oppdaterer poster. Å bruke et papirbasert system på et enkelt kontor er utfordrende, og med kontorer over hele verden er det ganske enkelt ikke praktisk.
Med elektroniske poster som blir mye brukt i bransjen, vil de aller fleste selskaper finne at FDA 21 CFR del 11 gjelder dem. Som med mange forskrifter, mottas dette ikke alltid godt.
Mange selskaper synes utsiktene til å validere for 21 CFR Part 11 er skremmende. Det er nødvendig å bevise overfor regulatorer at systemet ditt er robust nok til å oppfylle deres standarder, og dette kan være en utfordring.
For eksempel er det en rekke selskaper som er litt bekymret for 21 CFR Part 11 fordi av tingene som trengs for å bevise at et system er robust nok til å oppfylle standardene.
# 1. BESTEMME 21 CFR DEL 11 GJELDER FOR DITT SELSKAP
Bedrifter som ikke er villige til å omfavne 21 CFR Part 11, sier ofte at «master records» er papirbaserte, selv om de laster opp dokumenter til en delt fil eller et tilgjengelig sted på en server. De tror at «papirbaserte» poster ikke betyr noe å håndtere del 11, men dette er ikke tilfelle.
Til å begynne med er «master records» et misbruk av begrepet. Folk vil si at papiret er deres «master record» og tror at det de gjør etterpå (for eksempel skanning og opplasting) ikke Det betyr ikke så lenge papiret forblir intakt. Sannheten er at i det øyeblikket dokumentet lastes opp til en server, er selskapet underlagt samsvar med 21 CFR del 11.
I avsnitt 11.3 definerer FDA «elektronisk post» som «enhver kombinasjon av tekst, grafikk, data, lyd, bilde eller annen informasjonsrepresentasjon i digital form som er opprettet, modifisert, vedlikeholdt, arkivert, hentet eller distribuert av et datasystem. ” Som du kan se, gjør dette definisjonen som dekkes av 21 CFR Part 11 ganske bred, og de fleste selskaper vil bli berørt.
Derfor, selv om selskaper kan si at de har et papirbasert system, gjør de sannsynligvis har et gjennomgripende elektronisk system, selv om det er via mappetrær. Du må fortsatt validere postene dine for å sikre at den skannede versjonen samsvarer med papirversjonen.
# 2. FØLG 21 CFR DEL 11 DATASIKKERHET OG PASSORDBESKYTTELSE BESTE PRAKSISER
Datasikkerhet er et stort aspekt av del 11.Alle brukere med tilgang trenger riktige roller og tillatelser. Dette er sant om du bruker en kvalitetssystemløsning som Greenlight Guru eller om du har en enkel mappetreet struktur. Hvis du velger mappetrær, vær oppmerksom på at de pleier å være tungvint.
Du må gå inn i individuelle mapper og sjekke tillatelser. Du må hente verdifulle ressurser fra IT for å kontrollere det hele, noe som gjør det til en stor avtale for samsvar.
Når det gjelder digital sikkerhet, er passord en viktig komponent. Hvordan får du tilgang til systemet? Sikkerhet er det største bekymringsområdet med 21 CFR Part 11 fordi du må vite at de riktige personene har de rette tillatelsene og at ikke hvem som helst kan hoppe inn.
Best practices for passord bør gjelde, men selve reguleringen er vag.
Vi konsulterte eksperter på 21 CFR Part 11 om utformingen av vår Greenlight Guru-plattform og tilnærming med hensyn til sikkerhet. Vi ønsket å sikre at vi oppfyller del 11-overholdelse og kunne gi brukerne råd om dette.
Når det gjelder passord, har vi noen «beste praksis» -tips, som vi har tatt med i et utskrivbar guide nedenfor:
Tilgang til elektroniske poster bør kontrolleres av en unik pålogging, med brukernavn og passord. Brukere inaktive i 10-20 minutter bør logges ut automatisk.
Vi har også anbefaler at systemet låser ut brukere etter 3-5 mislykkede passordforsøk.
Hvis kontoen har vært inaktiv i en periode, bør brukeren være låst ute. Den anbefalte perioden for dette er 30 dager.
Alle disse beste fremgangsmåtene er implementert i Greenlight Guru-systemet.
# 3. OPPSTILLING AV KLARE REVISJONSSPOR FOR SPORBARHET
Det er nødvendig med tydelige revisjonsstier slik at du kan se hvilken bruker som utførte en gitt handling, på hvilket tidspunkt, til postene dine. Når ble poster opprettet, endret, slettet eller gjort foreldet?
Alle hendelser skal registreres med e xact brukernavn, dato og klokkeslett. Greenlight Guru-plattformen tildeler en rolle til en bruker som kan få tilgang til revisjonsspor for dette formålet.
I tillegg til endringsledelse, gjelder revisjonsspor for øyeblikk av tilgang. Du bør alltid vite når brukere logger på og når de er utestengt. Du kan kalle det en «fullstendig historie for ditt journalføringssystem.»
En viktig del av revisjonssporet ditt er at FDA kan se disse postene ved inspeksjon. Jo lettere det er å finne og forstå denne informasjonen , jo glattere inspeksjonen din sannsynligvis vil være.
# 4. FØLG 21 CFR DEL 11 RETNINGSLINJER FOR ELEKTRONISKE UNDERSKRIFTER
Du kan overholde 21 CFR del 11-retningslinjer for gjennomgang og godkjenning av informasjon en rekke forskjellige måter:
- Biometrisk, for eksempel fingeravtrykk eller retinal skanning
- Digitale signaturer
- Skanning
- Håndskrift i programvare
- Elektroniske signaturer (vi bruker disse i Greenlight Guru)
Vi bruker elektroniske signaturer, som tildeler unike brukernavn og passord til signaturer. Generiske avdelingsbrukernavn er ikke anbefales. For å opprettholde gjennomsiktighet, bør brukernavn knyttes til en enkelt person, ikke til en gruppe.
Når noe krever godkjenning i Greenlight Guru, kan en «Godkjenn» eller «Avvis» -knapp være cli cked for å formidle intensjonen, samt dato og klokkeslett. Når noe er signert på denne måten, er varen permanent låst og kan ikke revideres eller redigeres igjen.
Med papir er dette litt av et smutthull fordi det er en mulighet til å merke papir for hånd eller spore endringer i tekstbehandlingsprogrammer. Det er mindre kontroll enn med Greenlight Guru. På vår plattform er dokumentet låst i godkjenningsprosessen slik at du holder deg i samsvar med 21 CFR del 11.
Ingen redigering er tillatt; ellers er du tilbake til formelle godkjenningsprosesser.
En annen ting du må være oppmerksom på hvis du har tenkt å bruke elektroniske signaturer, er forventningen om at du gir FDA beskjed om at du gjør det: du trenger å sende dem et brev for å informere dem om at du bruker elektroniske signaturer.
# 5. IKKE OUTSOURCE ANSVAR: Du er ansvarlig for din 21 CFR DEL 11-OVERHOLDELSE
Vi har sett en trend med programvareplattformer som hevder at de kan ta seg av all din 21 CFR Part 11-overholdelse. Til syvende og sist er dette ikke sant fordi samsvar med del 11 ALLTID er ansvaret for medisinsk utstyrsselskap. Et programvareselskap burde ikke si at de har tatt vare på det hele, fordi firmaet ditt ikke er fritatt for ansvaret.
Greenlight Guru utfører testing og validering av plattformen og kan gi støttedokumentasjon, men samsvar er til slutt ditt ansvar.
Vi kan også tilby følgende:
- En sjekkliste for overholdelse av del 11
- Et malbrev som skal sendes til FDA for å informere dem om dine hensikter å bruke elektroniske signaturer
- Et samsvarssertifikat for plattformdesignet
- En QMS-løsning som er i samsvar med 21 CFR Part 11, inkludert forhåndsvaliderte maler og funksjoner som har bestått hundrevis av revisjoner og inspeksjoner
# 6. VALIDER FOR IQ, OQ OG PQ
IQ, OQ og PQ er akronymer som står for installasjonskvalifisering, operativ kvalifisering og ytelseskvalifisering. Fordi forskriften ble skrevet for 20 år siden, refererte akronymer opprinnelig til utstyr.
Slik kan du tenke på IQ, OQ og PQ i programvaretermer:
- Installasjonskvalifisering: Er programvaren riktig installert?
- Operasjonell kvalifikasjon: Er programvaren i stand til å oppfylle lovkravene?
- Ytelseskvalifisering: Er programvaren
Greenlight Guru-programvaren har en innebygd intern sjekkliste for å sikre at nettlesere, operativsystemer osv. overholder IQ. OQ har blitt gjort internt, og en rapport er tilgjengelig. Vi tilbyr PQ-protokoller, samt ombordstigning og opplæring.
# 7. CONSIDER 21 CFR DEL 11 OVERENSSTEMMELSE NÅR DU VELGER EN QMS-LØSNING
Overholdelse er en pågående prosess, og du må sørge for at du håndterer elektroniske dokumenter og signaturer riktig gjennom hele prosjektets livssyklus.
Valget av QMS vil spille en nøkkelrolle i samsvar med CFR del 11. Hvis QMS ikke stemmer overens med CFR del 11 eller ikke har forhåndsvaliderte maler, må du ta det med i forretningsplanen din. Generelle løsninger vil kreve mye konfigurering, opplæring av ansatte, valideringstesting og kanskje ekstern hjelp for å sikre samsvar.
Alt dette krever betydelig tid og kapitalinvesteringer. Vi anbefaler at du ser på ulike QMS-løsninger og vurderer behovene til ditt firma når det gjelder validering for CFR del 11. Tilbyr løsningen alt du trenger for å bringe enheten din på markedet?
Endelige tanker om 21 CFR del 11
Overholdelse av 21 CFR del 11 trenger ikke å være en belastende oppgave, spesielt hvis du husker at noen ideer om en «papirbasert hovedoppføring» er en fullstendig feilbetegnelse, den andre blir lastet opp til et datasystem.
Med andre ord, nesten alle selskaper i medisinsk utstyr må overholde 21 CFR del 11, med mindre de virkelig har alt på papir uten elektroniske kopier av dokumenter lagret hvor som helst.
Følg disse tipsene for å sikre sikkerheten og integriteten til postene dine, og du bør være forberedt på en FDA-inspeksjon. Husk: selskaper for medisinsk utstyr er til slutt respon uansett hva tredjeparter måtte love.
Bruker du fremdeles en manuell eller papirbasert tilnærming for å administrere designkontrollene eller kvalitetsprosessene dine? Klikk her for å lære mer om hvordan Greenlight Gurus medisinske utstyr QMS (MDQMS) programvareplattform eksklusivt for selskaper med medisinsk utstyr hjelper produsenter av apparater i mer enn 270 byer og 25 land med å få tryggere produkter til å markedsføres raskere, med mindre risiko, samtidig som de sørger for regulering compliance.
Leter du etter en designkontrolløsning som hjelper deg med å bringe tryggere medisinsk utstyr på markedet raskere med mindre risiko? Klikk her for å ta en rask omvisning i Greenlight Guru’s QMS-programvare for medisinsk utstyr →