21 CFR PART 11

FDA 21 CFR Part 11 conformità con la classe di software CMMS/EAM

Il CFR 21 parte 11 definisce i requisiti per garantire che i record elettronici e le firme elettroniche siano sostituti attendibili, affidabili ed equivalenti di dati cartacei e firme a mano.

21CFR part 11 è una normativa della Food and Drug Administration (FDA) degli Stati Uniti che stabilisce i criteri per la gestione dei registri elettronici e delle firme elettroniche per le aziende del settore delle scienze della vita. Questa normativa è particolarmente rilevante nel settore farmaceutico e biotecnologico, dove è essenziale garantire l’integrità, la sicurezza e la tracciabilità dei dati elettronici.

La FDA ha emesso nel 1997 la regolamentazione 21CFR part11 per stabilire i criteri per rendere equivalenti i Batch Record Elettronici con Firma Elettronica e quelli cartacei con firma manuale “autografa”.

21CFR part 11 si occupa di registrazioni elettroniche, conservazione dei dati, delle firme elettroniche, digitali, biometriche e definisce i requisiti per garantire che i record elettronici e le firme elettroniche siano sostituti attendibili, affidabili ed equivalenti di dati cartacei e firme a mano.

Questo regolamento richiede la protezione, l’accuratezza e il recupero rapido di tutti i
record. Devono essere disponibili Audit Trail protetti, generati dal computer con data, ora e azioni dell’operatore che modifica il processo di produzione. Inoltre, i record elettronici devono garantire accuratezza, affidabilità e sicurezza nella raccolta e conservazione dei dati.

Questa normativa è fondamentale per garantire che i dati elettronici siano affidabili e sicuri, riducendo il rischio di errori e garantendo la conformità alle normative di sicurezza e qualità.

Sintropia™ mette a disposizione la tecnologia abilitante per supportare la “compliance” con il 21CFR Part11.

Le sfide del CFR 21 Parte 11

21CFR Parte 11 contiene diverse criticità che le organizzazioni devono affrontare per garantire la conformità, tra queste:

Convalida: la convalida include la verifica che i sistemi siano in grado di acquisire e conservare i dati in modo conforme.
Controlli di accesso: la Parte 11 richiede controlli di accesso per limitare l’accesso ai record e alle firme elettroniche solo al personale autorizzato.
Sicurezza dei dati : le organizzazioni devono implementare misure per proteggere i record elettronici da accessi non autorizzati, alterazioni o cancellazioni.
Audit trail: i sistemi elettronici soggetti alla Parte 11 devono disporre di audit trail sicuri, generati dal computer e con timestamp che registrino le azioni intraprese dagli utenti, inclusa la creazione, la modifica e l’eliminazione di record elettronici. Queste tracce di controllo dovrebbero essere prontamente disponibili per la revisione.
Firme elettroniche: la Parte 11 definisce i requisiti per le firme elettroniche, compresi i metodi per crearle, archiviarle e verificarle. Le firme elettroniche devono essere collegate ai rispettivi record elettronici e devono essere previsti controlli per impedire l’uso non autorizzato delle firme elettroniche.
Conservazione dati: il regolamento specifica i requisiti per la conservazione dei record elettronici, compresa la durata e la capacità di riprodurre i record in formato leggibile dall’uomo quando necessario. I documenti devono essere conservati in modo da garantirne l’integrità e l’accessibilità.
Documentazione di sistema: le organizzazioni devono conservare una documentazione completa dei propri sistemi elettronici, comprese le specifiche del sistema, le procedure e la documentazione di convalida. Questa documentazione è fondamentale per dimostrare la conformità.
Copie elettroniche dei documenti: la Parte 11 consente l’uso di copie elettroniche di documenti cartacei a condizione che le copie soddisfino requisiti specifici relativi a accuratezza, integrità e disponibilità.
Emendamenti ai record elettronici: quando i record elettronici vengono modificati, deve esistere un processo chiaro e documentato per apportare tali modifiche, inclusa una traccia di controllo delle modifiche e relative ragioni.
Formazione e qualificazione del personale: le organizzazioni devono garantire che il personale che utilizza sistemi elettronici e firme elettroniche sia formato e qualificato per svolgere i propri compiti in modo efficace e in conformità con la Parte 11.
Misure di garanzia della qualità: stabilire un programma di garanzia della qualità è essenziale per garantire la conformità continua ai requisiti della Parte 11. Ciò include revisioni periodiche, valutazioni e audit di sistemi e processi elettronici.
Presentazione elettronica alla FDA: per le organizzazioni che inviano record e dati elettronici alla FDA, la Parte 11 delinea i requisiti per il formato di invio e le procedure per garantire l’integrità e la sicurezza dei dati durante il processo di invio.

Questi componenti sono progettati per aiutare le organizzazioni dei settori regolamentati dalla FDA a mantenere l’integrità e l’autenticità dei record e delle firme elettroniche. Raggiungere la conformità a questi requisiti è essenziale per evitare problemi normativi e sanzioni e per garantire la qualità e l’affidabilità dei dati nell’ambiente regolamentato.

Esempi di liste di controllo per la conformità alla parte 11 del 21 CFR

Le organizzazioni di scienze biologiche possono utilizzare questa checklist completa di conformità alla Parte 11 del 21 CFR per condurre audit interni o prepararsi per un audit della FDA.

1. Validazione

Il sistema interno è stato convalidato?
È possibile individuare registrazioni alterate o non valide?
I registri sono facilmente accessibili durante il loro periodo di conservazione?
La possibilità di accedere al sistema e di visualizzare, modificare o firmare i registri è limitata alle persone autorizzate?
Se una sequenza di eventi è importante, questo viene applicato dai processi di sistema?
Il sistema accetta solo dati o istruzioni immessi da dispositivi validi?
La documentazione e la formazione sul sistema sono disponibili per tutti gli utenti del sistema, gli sviluppatori e il supporto IT?
Esiste una politica documentata che rende gli utenti pienamente responsabili dei processi completati o modificati tramite le loro firme elettroniche?
L’accesso e la distribuzione dei sistemi e della documentazione di manutenzione sono controllati?
I dati sono crittografati per una maggiore sicurezza?
Vengono utilizzate le firme elettroniche?

2. Tracce di controllo

Esiste una traccia di controllo sicura e automatizzata che registra l’ora e la data in cui un record elettronico viene creato, modificato o eliminato?
Le informazioni registrate in precedenza sono ancora disponibili nel sistema quando i record vengono modificati?
È possibile recuperare una traccia di controllo durante il periodo di conservazione del record?
La traccia di controllo è disponibile per essere copiata e revisionata dalla FDA?
La traccia di controllo include l’ID utente, la sequenza degli eventi (se applicabile), i valori correnti e precedenti, la cronologia delle modifiche e i controlli delle modifiche?
I documenti elettronici firmati includono…
- Il nome stampato del firmatario?
- La data e l’ora della firma?
- Firme collegate al rispettivo archivio elettronico?
- Firme elettroniche univoche per ogni individuo?
- Firme elettroniche che non vengono riutilizzate o riassegnate a nessun altro?
- Verifica dell’identità dell’utente prima dell’assegnazione della firma elettronica?
- Una firma elettronica composta da almeno due componenti, come un codice ID e una password?

3. Copie dei registri

Il sistema può produrre copie complete dei registri elettronici su carta?
Il sistema può produrre copie complete dei registri in formato elettronico per la revisione e la copia da parte della FDA?
Il sistema può esportare copie dei record in formati stabiliti (PDF, XML o SGML)?

4. Conservazione dei registri

Ogni utente ha un codice identificativo e una password univoci?
La validità dei codici identificativi viene periodicamente rivista?
Le password scadono periodicamente?
Esiste una procedura per richiamare i codici identificativi e le password quando una persona lascia l’organizzazione?
Esiste una procedura per disattivare un codice ID o una password potenzialmente compromessi?
Esiste una procedura per disattivare da remoto un dispositivo se viene smarrito, rubato o comunque compromesso?
Esistono controlli sulla fornitura di dispositivi sostitutivi sia temporanei che permanenti?
Il sistema rileva tentativi di accesso non autorizzati ed è in atto una procedura per informare la sicurezza o la direzione?
I token e le carte vengono testati inizialmente e periodicamente per confermare che non siano state apportate modifiche non autorizzate?

I vantaggi dell’utilizzo del software CMMS/EAM per garantire la conformità

La conformità al Titolo 21 CFR Parte 11 è un processo continuo, il che significa che un piano di gestione dei record elettronici a lungo termine è fondamentale. Il software di gestione delle risorse aziendali (EAM) è uno strumento che può aiutare le organizzazioni di scienze biologiche a mantenere record sicuri e tracciabili e, in definitiva, raggiungere la conformità. Ecco diversi modi in cui il software EAM può aiutare le organizzazioni a conformarsi alla Parte 11 del 21 CFR.

Processi standardizzati e firme elettroniche

Con la classe di software CMMS/EAM, le organizzazioni possono creare flussi di lavoro personalizzati e standardizzati per garantire che i loro record soddisfino i requisiti della Parte 11 del 21 CFR. Oltre a garantire che i processi seguano una determinata sequenza di eventi, le organizzazioni possono anche aggiungere campi obbligatori come data e ora, firme e altro. Inoltre, il software CMMS/EAM garantisce che tutte le firme elettroniche siano conformi agli standard della Parte 11 (ad esempio, includano un nominativo, siano univoche per l’utente specifico) e siano collegate a un record specifico.

Cronologia completa dei record

Il software CMMS/EAM consente alle organizzazioni di mantenere in modo sicuro la cronologia completa dei propri record di asset e di archiviare i record più vecchi in modo che siano ancora accessibili se necessario per scopi di auditing. Con la possibilità di conservare tutti i record rilevanti e di produrne copie fisiche quando richiesto, le aziende possono soddisfare con sicurezza i requisiti di conservazione dei record e copie dei record.

Gestione efficace degli utenti

Il software CMMS/EAM non solo protegge i registri dei beni delle aziende, ma garantisce anche un accesso utente sicuro. Con ruoli e permessi solidi, le organizzazioni possono assegnare l’accesso giusto agli utenti giusti per una maggiore responsabilità e integrità dei dati. Inoltre, il software CMMS/EAM consente alle aziende di mantenere una directory dei dipendenti aggiornata direttamente sulla loro piattaforma, in modo che possano facilmente assegnare permessi utente e monitorare i progressi della formazione dei dipendenti.

Specifiche FDA “21 CFR Parte 11”

Sec. 11.10 Controls for closed systems

Persons who use closed systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, when appropriate, the confidentiality of electronic records, and to ensure that the signer cannot readily repudiate the signed record as not genuine. Such procedures and controls shall include the following:

21 CFR Part 11 Sec 11.10
(a) Validation of systems to ensure accuracy, reliability, consistent intended performance, and the ability to discern invalid or altered records.
(b) The ability to generate accurate and complete copies of records in both human readable and electronic form suitable for inspection, review, and copying by the agency. Persons should contact the agency if there are any questions regarding the ability of the agency to perform such review and copying of the electronic records.
(c) Protection of records to enable their accurate and ready retrieval throughout the records retention period.
(d) Limiting system access to authorized individuals.
(e) Use of secure, computer-generated, time-stamped audit trails to independently record the date and time of operator entries and actions that create, modify, or delete electronic records. Record changes shall not obscure previously recorded information. Such audit trail documentation shall be retained for a period at least as long as that required for the subject electronic records and shall be available for agency review and copying.
(f) Use of operational system checks to enforce permitted sequencing of steps and events, as appropriate.
(g) Use of authority checks to ensure that only authorized individuals can use the system, electronically sign a record, access the operation or computer system input or output device, alter a record, or perform the operation at hand.
(h) Use of device (e.g., terminal) checks to determine, as appropriate, the validity of the source of data input or operational instruction.
(i) Determination that persons who develop, maintain, or use electronic record/electronic signature systems have the education, training, and experience to perform their assigned tasks.
(j) The establishment of, and adherence to, written policies that hold individuals accountable and responsible for actions initiated under their electronic signatures, in order to deter record and signature falsification.
(k) Use of appropriate controls over systems documentation including:(1) Adequate controls over the distribution of, access to, and use of documentation for system operation and maintenance.(2) Revision and change control procedures to maintain an audit trail that documents time-sequenced development and modification of systems documentation.

Sec. 11.30 Controls for open systems

21 CFR Part 11 Sec. 11.30
Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in 11.10, as appropriate and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.

21 CFR Part 11 Sec. 11.30

Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in 11.10, as appropriate and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.

Sec. 11.50 Signature manifestations

21 CFR Part 11 Sec. 11.50
(a) Signed electronic records shall contain information associated with the signing that clearly indicates all of the following:(1) The printed name of the signer;(2) The date and time when the signature was executed; and(3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.
(b) The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the same controls as for electronic records and shall be included as part of any human readable form of the electronic record (such as electronic display or printout).

Sec. 11.70 Signature/record linking

21 CFR Part 11 Sec. 11.70
Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise transferred to falsify an electronic record by ordinary means.

Sec. 11.100 General requirements

21 CFR Part 11 Sec. 11.100
(a) Each electronic signature shall be unique to one individual and shall not be reused by, or reassigned to, anyone else.
(b) Before an organization establishes, assigns, certifies, or otherwise sanctions an individual`s electronic signature, or any element of such electronic signature, the organization shall verify the identity of the individual.
(c) Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally binding equivalent of traditional handwritten signatures.(1) The certification shall be submitted in paper form and signed with a traditional handwritten signature, to the Office of Regional Operations (HFC-100), 12420 Parklawn Drive, RM 3007 Rockville, MD 20857.(2) Persons using electronic signatures shall, upon agency request, provide additional certification or testimony that a specific electronic signature is the legally binding equivalent of the signer`s handwritten signature.

Sec. 11.200 Electronic signature components and controls

21 CFR Part 11 Sec. 11.200
(a) Electronic signatures that are not based upon biometrics shall:(1) Employ at least two distinct identification components such as an identification code and password.(i) When an individual executes a series of signings during a single, continuous period of controlled system access, the first signing shall be executed using all electronic signature components; subsequent signings shall be executed using at least one electronic signature component that is only executable by, and designed to be used only by, the individual.(ii) When an individual executes one or more signings not performed during a single, continuous period of controlled system access, each signing shall be executed using all of the electronic signature components.(2) Be used only by their genuine owners; and(3) Be administered and executed to ensure that attempted use of an individual’s electronic signature by anyone other than its genuine owner requires collaboration of two or more individuals.
(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by anyone other than their genuine owners.

21 CFR Part 11 Sec. 11.200

(a) Electronic signatures that are not based upon biometrics shall:(1) Employ at least two distinct identification components such as an identification code and password.(i) When an individual executes a series of signings during a single, continuous period of controlled system access, the first signing shall be executed using all electronic signature components; subsequent signings shall be executed using at least one electronic signature component that is only executable by, and designed to be used only by, the individual.(ii) When an individual executes one or more signings not performed during a single, continuous period of controlled system access, each signing shall be executed using all of the electronic signature components.(2) Be used only by their genuine owners; and(3) Be administered and executed to ensure that attempted use of an individual’s electronic signature by anyone other than its genuine owner requires collaboration of two or more individuals.

(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by anyone other than their genuine owners.

Sec. 11.300 Controls for identification codes/passwords

Persons who use electronic signatures based upon use of identification codes in combination with passwords shall employ controls to ensure their security and integrity. Such controls shall include:

21 CFR Part 11 Sec. 11.300
a) Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.
(b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).
(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise potentially compromised tokens, cards, and other devices that bear or generate identification code or password information, and to issue temporary or permanent replacements using suitable, rigorous controls.
(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management.
(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or password information to ensure that they function properly and have not been altered in an unauthorized manner.

Conclusioni

La conformità al CFR 21 Parte 11 è fondamentale per le aziende dei settori regolamentati dalla FDA per garantire l’integrità e l’autenticità dei record e delle firme elettroniche. La mancata osservanza della Parte 11 può comportare azioni normative e sanzioni. Pertanto, le organizzazioni soggette a queste normative investono in sistemi e processi che soddisfano i requisiti stabiliti nella Parte 11 per garantire la conformità. Vale la pena notare che l’interpretazione e l’implementazione specifica dei requisiti della Parte 11 possono variare da un’organizzazione all’altra.

Torna alla Home Page