Conformità dei sistemi DATACHECK a EU GMP, Annex 11 Computerised Systems (ed. 2011) White Paper DATA CHECK srl

Transcript

1 Conformità dei sistemi DATACHECK a EU GMP, Versione Data di Emissione 12/01/2012 Riferimento WPA11

2 Informazioni Documento Tipo documento Titolo documento Versione Riferimento Conformità dei sistemi DATACHECK a EU GMP, Annex 11 Computerised Systems (ed. 2011) WPA11 Data di emissione 12/01/2012 Direzione Emittente Direzione Assicurazione Qualità Nome File Copyright i:\documentazione\white papers\annex11\conformità annex 11 ed ver.docx 2012 DATACHECK srl Verona. Questo documento è di proprietà di DATACHECK srl Verona, ne è vietata la duplicazione e/o la riproduzione, anche parziale, non autorizzata in forma scritta. Autore Nome Funzione Data Firma Luca Bellinazzi Assistente A.Q. 12/01/2012 Revisione Nome Funzione Data Firma Simone Girlanda Resp. Tecnico 12/01/2012 Approvazione Nome Funzione Data Firma Michela Vianello Resp. A.Q. 12/01/2012 Storia Versione Descrizione cambiamenti Data emissione /01/ Revisione Generale 16/12/2009 Revisione Generale per adeguamento ad Annex 11 edizione /01/2012 pag. 2 di 17

3 Indice dei contenuti 1 Introduzione Scopo Modalità di analisi delle richieste normative... 5 Campo di applicazione Definizioni Analisi di conformità... 7 pag. di 17

4 1 Introduzione Il presente documento descrive le modalità attraverso le quali i sistemi ed i servizi forniti da DATACHECK sono conformi alla linea guida: EudraLex The Rules Governing Medicinal Products in the European Union Volume 4 Good Manufacturing Practice Medicinal Products for Human and Veterinary Use Annex 11: Computerised Systems (ed. 2011) Revision 1 che contiene le direttive europee relative all utilizzo di sistemi computerizzati in ambienti di produzione di medicinali per uso umano e veterinario. D ora in poi il suddetto documento sarà riferito come Annex 11. pag. 4 di 17

5 2 Scopo Lo scopo di questo documento è di analizzare punto per punto i contenuti dell Annex 11 per indicare come i sistemi ed i servizi di DATACHECK siano conformi a tale direttiva. La conformità di un sistema a questa e ad altre direttive non può essere garantita solo dal sistema informatico, questa dipende infatti anche dalla sua configurazione e dalle modalità di utilizzo dell Organizzazione che lo impiega; quest ultima infatti deve istituire e seguire procedure per l utilizzo del sistema ed il contesto in cui è utilizzato in modo da garantire il rispetto della direttiva. Nel presente documento vengono analizzate in particolare le richieste soddisfatte da specifiche funzioni degli applicativi. Tutte quelle di carattere documentale e/o correlate alla convalida dei sistemi vengono catalogate come requisiti procedurali a carico del Cliente ; nella maggior parte dei casi queste possono essere realizzate nell ambito del servizio per la convalida dell installazione offerto da DATACHECK, come indicato nei punti in cui ciò è possibile. 2.1 Modalità di analisi delle richieste normative Per ogni punto analizzato viene riportato il testo originale dell Annex 11 utilizzando la seguente notazione: Risk management should be applied throughout the lifecycle of the computerised system taking into account patient safety, data integrity and product quality. As part of a risk management system, decisions on the extent of validation and data integrity controls should be based on a justified and documented risk assessment of the computerised system Successivamente vengono riportati i nostri commenti utilizzando la seguente notazione: Requisito coperto/gestito dal Sistema e/o dal Servizio di Convalida del Sistema Requisito procedurale a carico dell Organizzazione del Cliente Requisito non applicabile ai sistemi di DATACHECK pag. 5 di 17

6 Campo di applicazione Questo documento si applica ai sistemi prodotti da DATACHECK (QUALITY PLUS, FORMULA, GUARDIAN PLUS). 4 Definizioni Application: Software installed on a defined platform/hardware providing specific functionality Bespoke/Customized computerised system: A computerised system individually designed to suit a specific business process Commercial of the shelf software: Software commercially available, whose fitness for use is demonstrated by a broad spectrum of users. IT Infrastructure: The hardware and software such as networking software and operation systems, which makes it possible for the application to function. Life cycle: All phases in the life of the system from initial requirements until retirement including design, specification, programming, testing, installation, operation, and maintenance. Process owner: The person responsible for the business process. System owner: The person responsible for the availability, and maintenance of a computerised system and for the security of the data residing on that system. Third Party: Parties not directly managed by the holder of the manufacturing and/or import authorisation. pag. 6 di 17

7 5 Analisi di conformità Principle This annex applies to all forms of computerised systems used as part of a GMP regulated activities. A computerised system is a set of software and hardware components which together fulfill certain functionalities. The application should be validated; IT infrastructure should be qualified. Where a computerised system replaces a manual operation, there should be no resultant decrease in product quality, process control or quality assurance. There should be no increase in the overall risk of the process. La convalida dei sistemi computerizzati e la qualifica delle infrastrutture informatiche sono attività di responsabilità del cliente. L introduzione di un sistema computerizzato DATACHECK è di norma effettuata dal cliente per aumentare l assicurazione qualità e diminuire i rischi nei processi aziendali interessati. I sistemi DATACHECK vengono forniti completi della documentazione a supporto della loro convalida (validation package). La documentazione fornita descrive dettagliatamente le funzionalità dei sistemi e consente di verificare anche le parti di infrastruttura utilizzate dai sistemi Data Check. Inoltre DATACHECK realizza, come servizio aggiuntivo per conto del Cliente, tutte le attività necessarie per la convalida dell installazione del sistema software fornito, in conformità a quanto indicato dalla linea guida ISPE-GAMP v5. General 1. Risk Management Risk management should be applied throughout the lifecycle of the computerised system taking into account patient safety, data integrity and product quality. As part of a risk management system, decisions on the extent of validation and data integrity controls should be based on a justified and documented risk assessment of the computerised system. DATACHECK supporta il Cliente nell attività di definizione dell approccio alla convalida in relazione all analisi dei rischi effettuata sui sistemi che fornisce. Qualora il cliente decida di avvalersi del servizio offerto da DATACHECK, la convalida viene realizzata con un approccio risk-based. La valutazione dei rischi è basata sulla salute dei pazienti, la qualità dei prodotti farmaceutici e l integrità dei dati, proprio come richiesto. pag. 7 di 17

8 2. Personnel There should be close cooperation between all relevant personnel such as Process Owner, System Owner, Qualified Persons and IT. All personnel should have appropriate qualifications, level of access and defined responsibilities to carry out their assigned duties. I sistemi DATACHECK posseggono una gestione degli accessi flessibile che consente di modulare i livelli di accesso in funzione delle regole aziendali stabilite. DATACHECK si occupa anche della formazione degli utenti per assicurare una maggiore consapevolezza nell uso del sistema.. Suppliers and Service Providers.1 When third parties (e.g. suppliers, service providers) are used e.g. to provide, install, configure, integrate, validate, maintain (e.g. via remote access), modify or retain a computerised system or related service or for data processing, formal agreements must exist between the manufacturer and any third parties, and these agreements should include clear statements of the responsibilities of the third party. IT-departments should be considered analogous. DATACHECK stabilisce tramite accordi formali con il Cliente quali siano le responsabilità delle due parti. L offerta economica proposta da DATACHECK contiene la definizione formale dei ruoli e delle responsabilità e costituisce il riferimento contrattuale nel rapporto con il Cliente..2 The competence and reliability of a supplier are key factors when selecting a productor service provider. The need for an audit should be based on a risk assessment. DATACHECK fornisce la piena collaborazione al Cliente nel caso desideri effettuare un Audit presso la propria Sede. Inoltre è disponibile un documento di Postal Audit, realizzato in conformità a quanto indicato da GAMP5, che, per sistemi maturi prodotti da fornitori maturi, può sostituire l audit formale (come espressamente riportato nella GAMP Good Practice Guide: Testing of GxP Systems - Dec 2005).. Documentation supplied with commercial off-the-shelf products should be reviewed by regulated users to check that user requirements are fulfilled. Gli applicativi DATACHECK vengono forniti completi della relativa documentazione per la convalida, che il Cliente può impiegare per verificare la copertura dei propri requisiti. Questa attività può anche essere eseguita da DATACHECK nell ambito del servizio di convalida dell installazione. pag. 8 di 17

9 .4 Quality system and audit information relating to suppliers or developers of software and implemented systems should be made available to inspectors on request. Requisito procedurale a carico dell Organizzazione del Cliente. Project Phase 4. Validation 4.1 The validation documentation and reports should cover the relevant steps of the lifecycle. Manufacturers should be able to justify their standards, protocols, acceptance criteria, procedures and records based on their risk assessment. La documentazione per la convalida fornita con le applicazioni DATACHECK, unita alle informazioni contenute nel Postal Audit e/o all eventuale audit effettuato presso la nostra società consentono di avere tutte le informazioni necessarie per rispondere a questa richiesta. Nell ambito del servizio di convalida, DATACHECK documenta e giustifica adeguatamente, utilizzando criteri basati sull analisi dei rischi, ogni scelta effettuata. 4.2 Validation documentation should include change control records (if applicable) and reports on any deviations observed during the validation process. Nel processo di convalida del sistema proposto da DATACHECK, è previsto un processo di gestione dei change da applicare durante la realizzazione del progetto. 4. An up to date listing of all relevant systems and their GMP functionality (inventory) should be available. For critical systems an up to date system description detailing the physical and logical arrangements, data flows and interfaces with other systems or processes, any hardware and software prerequisites, and security measures should be available. L inventario dei sistemi è un attività a cura del cliente. pag. 9 di 17

10 DATACHECK fornisce una documentazione dettagliata della struttura logica e fisica dei propri sistemi; i requisiti hardware e software dei sistemi prodotti sono specificati con precisione; infine DATACHECK documenta la configurazione impostata in ciascuna installazione. 4.4 User Requirements Specifications should describe the required functions of the computerised system and be based on documented risk assessment and GMP impact. User requirements should be traceable throughout the lifecycle. Nell ambito del Servizio di Convalida dell installazione, DATACHECK può fornire il proprio supporto per la stesura del documento di specifica dei Requisiti Utente. 4.5 The regulated user should take all reasonable steps, to ensure that the system has been developed in accordance with an appropriate quality management system. The supplier should be assessed appropriately. DATACHECK è disponibile a ricevere Audit per la verifica del processo di sviluppo e manutenzione del software. Inoltre il documento Postal Audit prodotto da DATACHECK in conformità alle indicazioni di GAMP 5, fornisce tutte le informazioni necessarie a comprendere il metodo di produzione ed il sistema qualità adottati ed applicati a ciascun prodotto. 4.6 For the validation of bespoke or customised computerised systems there should be a process in place that ensures the formal assessment and reporting of quality and performance measures for all the life-cycle stages of the system. I sistemi realizzati da DATACHECK non rientrano in questa categoria; sono infatti prodotti standard configurabili (Categoria 4 di GAMP) e non includono parti sviluppate ad hoc per il cliente (bespoke). La gestione della qualità durante il ciclo di vita per lo sviluppo del prodotto standard è assicurata dal fornitore e ben documentata. pag. 10 di 17

11 4.7 Evidence of appropriate test methods and test scenarios should be demonstrated. Particularly, system (process) parameter limits, data limits and error handling should be considered. Automated testing tools and test environments should have documented assessments for their adequacy. Nel Servizio di Convalida offerto da DATACHECK è applicata una metodologia di test basata sulla valutazione dei rischi, che viene ampiamente descritta nella relativa documentazione. 4.8 If data are transferred to another data format or system, validation should include checks that data are not altered in value and/or meaning during this migration process. La documentazione standard delle applicazioni DATACHECK prevede la specifica delle attività da eseguire per migrare i dati (ove prevista) e la specifica dei test da eseguire per verificare che la migrazione sia andata a buon fine e che i dati non abbiano subito alterazioni. Operational Phase 5. Data Computerised systems exchanging data electronically with other systems should include appropriate built-in checks for the correct and secure entry and processing of data, in order to minimize the risks. L interfaccia tra i sistemi DATACHECK e gli atri sistemi aziendali, viene effettuata tramite un applicazione sviluppata da DATACHECK (BRAIN). Le categorie di dati che vengono scambiati sono definite in modo preciso. I sistemi rilevano eventuali differenze tra i formati e la presenza dei dati attesi. Per quanto riguarda l interfaccia con la strumentazione, nel driver dello strumento viene definito il formato dei dati attesi che viene verificato dal sistema. La corretta configurazione dell interfaccia ed il suo corretto funzionamento sono parte integrante del processo di convalida del sistema che DATACHECK fornisce. Sono di norma previsti documenti di specifica e di test. pag. 11 di 17

12 6. Accuracy Checks For critical data entered manually, there should be an additional check on the accuracy of the data. This check may be done by a second operator or by validated electronic means. The criticality and the potential consequences of erroneous or incorrectly entered data to a system should be covered by risk management. Dopo l inserimento manuale di un dato, i sistemi DATACHECK prevedono la possibilità di inserire un controllo da parte di un secondo operatore; è inoltre possibile prevedere, dopo l inserimento manuale, l esecuzione di una specifica operazione. I dati immessi vengono comunque verificati dal sistema in relazione al loro formato atteso. DATACHECK è disponibile a supportare il Cliente nella risk analysis relativa all inserimento manuale dei dati nel sistema ed alle conseguenti azioni da intraprendere. 7. Data Storage 7.1 Data should be secured by both physical and electronic means against damage. Stored data should be checked for accessibility, readability and accuracy. Access to data should be ensured throughout the retention period. La gestione dei dati trattati dai sistemi DATACHECK consente la loro modifica solo attraverso l uso dell applicazione e solo alle persone opportunamente abilitate. I sistemi DATACHECK inoltre sono dotati di un meccanismo automatico di verifica dell integrità. Tramite questo meccanismo il sistema si accorge (e quindi segnala) se i dati che esso gestisce sono stati modificati con strumenti esterni all applicazione. Tali dati, definiti corrotti, per essere ancora utilizzabili dal sistema, devono essere rivalidati tramite un opportuna procedura. E a carico del cliente mettere in atto meccanismi e procedure per la verifica dell accessibilità dei dati nel periodo di conservazione. I sistemi DATACHECK possono impedire la cancellazione fisica dei dati. 7.2 Regular back-ups of all relevant data should be done. Integrity and accuracy of backup data and the ability to restore the data should be checked during validation and monitored periodically. E a carico del cliente mettere in atto meccanismi e procedure per il salvataggio ed il ripristino dei dati e assicurarne la corretta conservazione per tutto il periodo necessario. pag. 12 di 17

13 DATACHECK è disponibile ad offrire il proprio supporto nella scelta dei dati da sottoporre a backup, utilizzando criteri basati sulla risk analysis. Con il servizio di convalida è prevista anche la verifica della corretta applicazione delle procedure di salvataggio e recupero dati. 8. Printouts 8.1 It should be possible to obtain clear printed copies of electronically stored data. 8.2 For records supporting batch release it should be possible to generate printouts indicating if any of the data has been changed since the original entry. I sistemi DATACHECK consentono di stampare tutti i dati registrati, con evidenza della storia delle modifiche apportate. Appositi formati di stampa possono essere realizzati per gestire specifiche esigenze dei Clienti, incluse stampe specifiche che consentano di evidenziare se qualche dato sia stato modificato rispetto al valore originale per le registrazioni di supporto al rilascio dei lotti. 9. Audit Trail Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated "audit trail"). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed. I sistemi DATACHECK prevedono la possibilità di registrare tutte le modifiche apportate ai dati (attraverso il meccanismo dell Audit Trail). La selezione dei dati da sottoporre ad Audit Trail è configurabile sulla base delle esigenze del Cliente e dell utilizzo del sistema. DATACHECK è disponibile ad effettuare una risk analysis sui dati utilizzati dal Cliente, al fine di valutare la necessità di sottoporli o meno ad Audit Trail. I dati di Audit Trail possono essere stampati e/o esportati in vari formati. pag. 1 di 17

14 10. Change and Configuration Management Any changes to a computerised system including system configurations should only be made in a controlled manner in accordance with a defined procedure. La gestione dei cambiamenti apportati al sistema durante la fase operativa è di responsabilità del cliente. I sistemi DATACHECK sono costruiti in modo da tenere traccia delle modifiche effettuate ai parametri di configurazione. La documentazione dei sistemi DATACHECK è concepita in modo tale da rendere agevole e semplice l individuazione delle funzionalità che vengono modificate ed i relativi test di verifica. La gestione dei cambiamenti apportati al sistema durante la fase di progetto è effettuata da DATACHECK ed è ben documentata nella documentazione standard di convalida. 11. Periodic evaluation Computerised systems should be periodically evaluated to confirm that they remain in a valid state and are compliant with GMP. Such evaluations should include, where appropriate, the current range of functionality, deviation records, incidents, problems, upgrade history, performance, reliability, security and validation status reports. La valutazione periodica dei sistemi è di responsabilità del cliente. Nell ambito del servizio di convalida, DATACHECK è disponibile a supportare l utente nella realizzazione di questa attività. 12. Security 12.1 Physical and/or logical controls should be in place to restrict access to computerised system to authorised persons. Suitable methods of preventing unauthorised entry to the system may include the use of keys, pass cards, personal codes with passwords, biometrics, restricted access to computer equipment and data storage areas. I sistemi DATACHECK sono dotati di una gestione degli accessi flessibile ed efficiente. L accesso ai sistemi è consentito tramite l utilizzo di identificativi utente univoci e password registrate in modo non leggibile nel database e note solo ai relativi Utenti. L accesso ai dati gestiti dai sistemi DATACHECK prevede la possibilità di creare Gruppi e/o Utenti con diversi livelli di accesso alle funzioni e ai dati. I sistemi DATACHECK consentono l accesso alle postazioni autorizzate. pag. 14 di 17

15 La definizione di procedure per la gestione degli accessi al sistema è di responsabilità del cliente. DATACHECK è disponibile a supportare il Cliente nella definizione delle procedure che descrivono gli aspetti di sicurezza logica e fisica che regolano gli accessi al sistema ed alle aree dove sono conservati i dati The extent of security controls depends on the criticality of the computerised system. La definizione delle misure di sicurezza per l utilizzo del sistema è di responsabilità del cliente. DATACHECK è disponibile ad effettuare insieme al Cliente una valutazione della criticità dei propri sistemi basata sull analisi dei rischi ad essi associati. 12. Creation, change, and cancellation of access authorisations should be recorded Management systems for data and for documents should be designed to record the identity of operators entering, changing, confirming or deleting data including date and time. La definizione delle modalità di gestione degli utenti è di responsabilità del cliente. Il sistema di Audit Trail presente nella applicazioni DATACHECK consente di registrare, per ogni modifica effettuata alla configurazione degli accessi, data, ora, motivo e utente che l ha effettuata. 1. Incident Management All incidents, not only system failures and data errors, should be reported and assessed. The root cause of a critical incident should be identified and should form the basis of corrective and preventive actions. Requisito procedurale a carico dell Organizzazione del Cliente. pag. 15 di 17

16 14. Electronic Signatures Electronic records may be signed electronically. Electronic signatures are expected to: a. have the same impact as hand-written signatures within the boundaries of the company, b. be permanently linked to their respective record, c. include the time and date that they were applied. I sistemi DATACHECK prevedono la possibilità di eseguire firme elettroniche che rispettano queste richieste. Il meccanismo di firma elettronica presente nei sistemi DATACHECK è anche conforme alle richieste del US FDA - Code of Federal Regulations, Title 21, part 11 (21 CFR Part 11): Electronic Records; Electronic Signatures - Final Rule. E disponibile un documento white paper specifico che illustra nel dettaglio la conformità dei sistemi DATACHECK a tale norma. 15. Batch release When a computerised system is used for recording certification and batch release, the system should allow only Qualified Persons to certify the release of the batches and it should clearly identify and record the person releasing or certifying the batches. This should be performed using an electronic signature. Il sistema LIMS QUALITY PLUS di DATACHECK prevede tra le sue funzionalità la possibilità di sottoporre a firma elettronica l operazione di rilascio di un lotto (Batch Release). Inoltre è possibile, tramite un opportuna configurazione degli Utenti, associare la funzione di rilascio dei lotti solo alla Qualified Person. 16. Business Continuity For the availability of computerised systems supporting critical processes, provisions should be made to ensure continuity of support for those processes in the event of a system breakdown (e.g. a manual or alternative system). The time required to bring the alternative arrangements into use should be based on risk and appropriate for a particular system and the business process it supports. These arrangements should be adequately documented and tested. Requisito procedurale a carico dell Organizzazione del Cliente. pag. 16 di 17

17 17. Archiving Data may be archived. This data should be checked for accessibility, readability and integrity. If relevant changes are to be made to the system (e.g. computer equipment or programs), then the ability to retrieve the data should be ensured and tested. Requisito procedurale a carico dell Organizzazione del Cliente. DATACHECK può supportare il Cliente nella definizione delle procedure per le verifiche di recuperabilità dei dati archiviati e sottoposti a periodo di conservazione. pag. 17 di 17