När det gäller regelefterlevnad för företag inom medicintekniska produkter, det kan finnas viss förvirring kring FDA 21 CFR del 11. En stor fallgrop som vi har funnit är att många företag tror att de överensstämmer (ofta på grund av missförstånd av kraven), men i verkligheten är de inte.
Om du har fått anta att det bara handlar om din validering, granskningsspår, register och lagring, och att du är ”säker” på grund av din pappersbaserade ”master” -fil, måste du förstå Del 11 är mycket mer komplex än så.
Företag för medicintekniska produkter kan använda dessa tips för att säkerställa överensstämmelse med 21 CFR del 11:
- Bestäm om 21 CFR del 11 gäller för ditt företag.
- Följ bästa praxis inom dataskydd och lösenordsskydd.
- Upprätta tydliga granskningsspår för spårbarhet.
- Följ riktlinjerna för elektroniska signaturer.
- Lägg inte ut ansvaret: du har ansvaret för 21 CFR-del 11-överensstämmelse.
- Validera för IQ, OQ och PQ.
- Överväg 21 CFR Part 11-överensstämmelse när du väljer ditt QMS.
Den här guiden kommer att utöka dessa tips och ge användbar information för att undanröja vanliga förvirringspunkter kring denna förordning. Här är vad medicintekniska företag behöver veta för att bekanta sig med förordningen och följa FDA: s 21 CFR del 11:
VAD ÄR 21 CFR DEL 11?
21 CFR del 11 är FDA: s regler för elektronisk dokumentation och elektroniska signaturer. Den beskriver administration av elektroniska register i ett kvalitetsstyrningssystem för ett medicintekniskt företag.
Sedan 21 CFR Part 11 publicerades första gången 1997 har våra elektroniska system och deras kapacitet utvecklats enormt. Syftet med 21 CFR Part 11 är fortfarande tillämplig över två decennier senare.
Del 11 var utformad för att tillgodose de växande behoven inom medicinteknikindustrin, i syfte att hjälpa företag:
- Vet hur att använda datorsystem och programvara, särskilt när det inte fungerar korrekt.
- Underhåll data säkert och d säkert och se till att data inte skadas eller går förlorade.
- Se till att godkännande och granskningssignaturer inte kan ifrågasättas.
- Spåra ändringar av data
- Förhindra och / eller upptäcka förfalskade poster
Vi har också varit tvungna att vara mer praktiska om hur pappersarbete hanteras i organisationer som kan ha flera kontor eller flera personer som behöver komma åt och uppdatera poster. Att använda ett pappersbaserat system i ett enda kontor är utmanande, och med kontor runt om i världen är det helt enkelt inte praktiskt.
Med elektroniska poster som används i stor utsträckning i branschen kommer de allra flesta företag att hitta att FDA 21 CFR del 11 gäller dem. Som med många förordningar mottas detta inte alltid bra.
Många företag tycker att det är skrämmande att validera för 21 CFR Part 11. Det är nödvändigt att bevisa för tillsynsmyndigheter att ditt system är tillräckligt robust för att uppfylla deras standarder, och detta kan vara en utmaning.
Till exempel finns det ett antal företag som är något oroliga för 21 CFR Part 11 eftersom av de saker som behövs för att bevisa att ett system är tillräckligt robust för att uppfylla dess standarder.
# 1. BESTÄMMA OM 21 CFR DEL 11 GÄLLER FÖR DITT FÖRETAG
Företag som inte vill omfamna 21 CFR Del 11 säger ofta att deras ”master records” är pappersbaserade, även om de laddar upp dokument till en delad fil eller någon tillgänglig plats De tror att ”pappersbaserade” poster inte betyder något att hantera del 11, men så är inte fallet.
Till att börja med är ”master records” ett missbruk av termen. Folk kommer att säga att papperet är deras ”master record” och tror att det de gör efteråt (som skanning och uppladdning) inte spelar ingen roll, så länge pappersmastret förblir intakt. Sanningen är att i det ögonblick som dokumentet laddas upp till en server är företaget föremål för överensstämmelse med 21 CFR del 11.
I avsnitt 11.3 definierar FDA ”elektronisk post” som ”någon kombination av text, grafik, data, ljud, bild eller annan informationsrepresentation i digital form som skapas, modifieras, underhålls, arkiveras, hämtas eller distribueras av ett datorsystem. ” Som du kan se gör detta definitionen som omfattas av 21 CFR del 11 ganska bred, och de flesta företag kommer att påverkas.
Därför, även om företag kanske säger att de har ett pappersbaserat system, så gör de förmodligen har ett genomgripande elektroniskt system, även om det är via mappträd. Du måste fortfarande validera dina poster för att säkerställa att den skannade versionen matchar pappersversionen.
# 2. FÖLJ 21 CFR DEL 11 DATASÄKERHET OCH LÖSENORDSSKYDD BÄSTA PRAKTIKER
Datasäkerhet är en stor aspekt av del 11.Alla användare med åtkomst behöver rätt roller och behörigheter. Detta gäller oavsett om du använder en kvalitetssystemlösning som Greenlight Guru eller om du har en enkel mappträdstruktur. Om du väljer mappträd, notera att de tenderar att vara besvärliga.
Du måste gå in i enskilda mappar och kontrollera behörigheter. Du måste hämta värdefulla resurser från IT för att kontrollera allt, vilket gör det till en stor sak för efterlevnad.
När det gäller digital säkerhet är lösenord en viktig komponent. Hur kommer du åt systemet? Säkerhet är det största bekymmerområdet med 21 CFR Part 11 eftersom du måste veta att rätt personer har rätt behörighet och att inte bara vem som helst kan hoppa in.
Bästa lösenord för lösenord bör gälla, men själva förordningen är vagt.
Vi rådfrågade experter på 21 CFR del 11 om utformningen av vår Greenlight Guru-plattform och strategi för säkerhet. Vi ville se till att vi uppfyller del 11-överensstämmelse och skulle kunna ge råd till användare för att göra det.
När det gäller lösenord har vi några ”bästa metoder” -tips, som vi har inkluderat i en utskrivbar guide nedan:
Åtkomst till elektroniska poster bör kontrolleras med en unik inloggning, med användarnamn och lösenord. Användare inaktiva i 10-20 minuter bör loggas ut automatiskt.
Vi också rekommendera att ditt system låser ut användare efter 3-5 misslyckade lösenordsförsök.
Om kontot har varit inaktivt under en tidsperiod bör användaren vara låst. Den rekommenderade perioden för detta är 30 dagar.
Alla dessa bästa metoder implementeras i Greenlight Guru-systemet.
# 3. INSTÄLLNING AV KLARA REVISIONSSPOR FÖR SPÅRBARHET
Tydliga revisionsspår krävs så att du kan se vilken användare som utförde en viss åtgärd, vid vilken tid, till dina poster. När skapades, ändrades, raderades eller föråldrades poster?
Alla händelser bör spelas in med e xact användarnamn, datum och tid. Greenlight Guru-plattformen tilldelar en roll till en användare som kan komma åt granskningsspår för detta ändamål.
Förutom ändringshantering gäller granskningsspår för åtkomstmoment. Du bör alltid veta när användare loggar in och när de är låsta. Du kan kalla det en ”fullständig historik för ditt registerföringssystem.”
En viktig del av ditt granskningsspår är att FDA kan se dessa register efter inspektion. Ju lättare det är att hitta och förstå denna information desto smidigare kommer din inspektion sannolikt att bli.
# 4. FÖLJ 21 CFR DEL 11 RIKTLINJER FÖR ELEKTRONISKA UNDERSKRIFTER
Du kan följa 21 CFR del 11 riktlinjer för granskning och godkännande av information ett antal olika sätt:
- Biometrisk, t.ex. fingeravtryck eller näthinneskanning
- Digitala signaturer
- Skanning
- Handskrivning i programvara
- Elektroniska signaturer (vi använder dessa i Greenlight Guru)
Vi använder elektroniska signaturer som tilldelar signaturer unika användarnamn och lösenord. Generiska avdelningsanvändarnamn är inte rekommenderas. För att upprätthålla transparens bör användarnamn knytas till en enda person, inte till en grupp.
När något kräver godkännande i Greenlight Guru kan en ”Godkänn” eller ”Avvisa” -knapp vara cli cked för att förmedla avsikten, samt datum och tid. När något har undertecknats på det här sättet är objektet permanent låst och det går inte att ändra eller redigera det igen.
Med papper är det lite av ett kryphål eftersom det finns en möjlighet att markera papper för hand eller spåra ändringar i ordbehandlingsprogram. Det finns mindre kontroll än med Greenlight Guru. På vår plattform är dokumentet låst i godkännandeprocessen så att du följer 21 CFR del 11.
Ingen redigering är tillåten; annars är du tillbaka till formella godkännandeprocesser.
En annan sak som du måste vara medveten om om du tänker använda elektroniska signaturer är förväntningen att du meddelar FDA att du gör det: du behöver att skicka ett brev till dem om att du använder elektroniska signaturer.
# 5. UTFÖR INTE UTTAGNINGSANSVAR: DU ÄR ANSVARIG FÖR DIN 21 CFR DEL 11-ÖVERENSSTÄMMELSE
Vi har sett en trend med programvaruplattformar som hävdar att de kan ta hand om all din 21 CFR del 11-efterlevnad. I slutändan är detta inte sant eftersom överensstämmelse med del 11 ALLTID är det medicintekniska företagets ansvar. Ett programvaruföretag borde inte säga att de har tagit hand om allt eftersom ditt företag inte är befriat från ansvaret.
Greenlight Guru testar och validerar plattformen och kan tillhandahålla stödjande dokumentation, men efterlevnad är i slutändan ditt ansvar.
Vi kan också tillhandahålla följande:
- En checklista för överensstämmelse med del 11
- Ett mallbrev som ska skickas till FDA för att informera dem om din avsikt att använda elektroniska signaturer
- Ett intyg om överensstämmelse för plattformsdesignen
- En QMS-lösning som överensstämmer med 21 CFR Part 11, inklusive förvaliderade mallar och funktioner som har passerat hundratals granskningar och inspektioner
# 6. VALIDAT FÖR IQ, OQ OCH PQ
IQ, OQ och PQ är akronymer som står för installationskvalificering, operativ kvalifikation och prestandakvalificering. Eftersom förordningen skrevs för 20 år sedan hänvisade förkortningarna ursprungligen till utrustning.
Så här kan du tänka på IQ, OQ och PQ i mjukvaru termer:
- Installationskvalifikation: Är programvaran korrekt installerad?
- Operativ kvalifikation: Kan programvaran uppfylla de lagstadgade kraven?
- Prestandakvalificering: Är mjukvaran
Greenlight Guru-programvaran har en inbyggd checklista för att säkerställa att dina webbläsare, operativsystem etc. uppfyller IQ. OQ har gjorts internt och en rapport finns tillgänglig. Vi erbjuder PQ-protokoll samt ombordstigning och utbildning.
# 7. CONSIDER 21 CFR DEL 11 ÖVERENSSTÄMMELSE VID ATT VÄLJA EN QMS-LÖSNING
Överensstämmelse är en pågående process, och du måste se till att du hanterar elektroniska dokument och signaturer korrekt under hela projektets livscykel.
Ditt val av QMS kommer att spela en nyckelroll i CFR del 11-efterlevnad. Om ditt QMS inte är anpassat till CFR del 11 eller inte har förvaliderade mallar måste du ta hänsyn till det i din affärsplan. Allmänna lösningar kräver mycket konfiguration, personalutbildning, valideringstest och kanske hjälp utifrån för att säkerställa efterlevnad.
Allt detta kräver betydande tid och kapitalinvesteringar. Vi rekommenderar att du tittar på olika QMS-lösningar och överväger ditt företags behov när det gäller validering för CFR del 11. Erbjuder din lösning allt du behöver för att få din enhet till marknaden?
Slutliga tankar om 21 CFR del 11
Uppfyller 21 CFR del 11 behöver inte vara en betungande uppgift, särskilt om du kommer ihåg att någon idé om en ”pappersbaserad huvudpost” är en fullständig felaktig benämning den andra allt laddas upp till ett datorsystem.
Med andra ord måste nästan alla medicintekniska företag följa 21 CFR del 11 såvida de inte bara har allt på papper utan elektroniska kopior av dokument som lagras någonstans.
Följ dessa tips för att säkerställa säkerheten och integriteten i dina register och du bör vara förberedd för en FDA-inspektion. Kom ihåg: företag för medicintekniska produkter svarar i slutändan oavsett vad tredje part kan lova.
Fortfarande använder du en manuell eller pappersbaserad metod för att hantera dina designkontroller eller kvalitetsprocesser? Klicka här för att lära dig mer om hur Greenlight Gurus mjukvaruplattform (MDQMS) för medicintekniska produkter, exklusivt för företag inom medicintekniska produkter, hjälper tillverkare i mer än 270 städer och 25 länder att få säkrare produkter på marknaden snabbare, med mindre risk, samtidigt som de garanterar lagstiftning efterlevnad.
Letar du efter en designkontrolllösning som hjälper dig att få säkrare medicintekniska produkter till marknaden snabbare med mindre risk? Klicka här för att ta en snabb rundtur i Greenlight Gurus QMS-programvara för medicinsk utrustning →