Valutazioni industriali del software SoftMax Pro secondo normativa GxP
Il presente documento delinea i riferimenti per 21 CFR Parte 11 e l'allegato EudraLex , nonché le modalità della loro implementazione al software di acquisizione e analisi dei dati SoftMax® Pro GxP in ambienti regolamentati.
Che cos’è la Parte11?
Sebbene la Parte non 11 sia un mandato per l’uso di sistemi elettronici o informatici, consente l’uso di documenti elettronici, salvaguarda l’integrità dei sistemi informatici, dei dati e la validità delle firme elettroniche. Più recentemente, la FDA applica l’integrità dei dati come parte vitale per garantire la sicurezza dei prodotti medici per uso umano e veterinario. La FDA può esercitare la “discrezionalità di applicazione” nelle aree di convalida, audit trail, conservazione dei documenti e copia dei documenti su documenti elettronici.
È appropriato che gli utenti che creano, modificano o eliminano record regolamentati rivedano un audit trail in quanto rivelano intenzioni dannose, come la manomissione dei dati e la fabbricazione dei risultati.
Che cos’è l’Allegato11?
L’Allegato 11 è un documento guida che integra le norme GMP dell’Unione europea: Regole EudraLex che regolano i prodotti medicinali nell’Unione Europea, Volume 4, Buone pratiche di fabbricazione che si applica a qualsiasi prodotto medicinale umano e veterinario prodotto o venduto nell’Unione Europea.
Il presente allegato si applica a tutti i sistemi informatici utilizzati nelle attività regolamentate dalle GMP e garantisce che i sistemi informatici utilizzati nella produzione di medicinali non abbiano alcun impatto sulla qualità del prodotto o sulla sicurezza del prodotto.
In generale, quando un sistema computerizzato sostituisce un funzionamento manuale, l’Allegato 11 garantisce che non vi siano rischi aggiuntivi.
Sebbene l’Allegato 11 e la Parte 11 siano reciprocamente allineati con l’obiettivo di sistemi informatici sicuri e convalidati per la produzione di farmaci e dispositivi medici, il loro approccio a questo obiettivo è diverso. L’Allegato 11 è più una linea guida e non un requisito legale, dove la Parte 11 è pienamente applicabile ai sensi della legge federale.
Chi ha la responsabilità di convalidare il sistema?
Un cliente regolamentato, o coloro che producono alimenti o farmaci per il consumo umano e veterinario sono tenuti a rispettare le normative. Il software di acquisizione e analisi dei dati SoftMax Pro GxP, incluso il portale di amministrazione GxP (dispositivi molecolari), non è soggetto ai requisiti normativi della FDA, ma può garantire che i loro clienti ottengano la loro conformità a 21 CFR Parte 11 ed EudraLex Allegato 11.
L’Allegato 11 indica un proprietario del processo, un proprietario del sistema, una persona qualificata e l’IT. Dal punto di vista del cliente, è il “proprietario del sistema” (di solito la gestione IT) o il “proprietario del processo aziendale” (di solito i responsabili di laboratorio) che si interfacciano con l’IT a essere in ultima analisi responsabili della convalida. Un team di convalida deve essere rappresentativo di più parti interessate.
- Il controllo qualità (QA) garantisce una revisione approfondita per verificare che gli standard di qualità aziendali locali siano soddisfatti.
- I capi reparto sono fondamentali, in quanto forniscono il business case e le risorse per la convalida.
Impatto della conformità rispetto alla non conformità
I costi per convalidare più sistemi informatici possono essere significativi e gli sforzi devono essere pianificati attentamente per identificare le risorse, l’approvvigionamento e le spese di progetto. Alcune organizzazioni possono incaricare terze parti di progettare ed eseguire la convalida del sistema computerizzato, ma la responsabilità dell’impegno di convalida e del mantenimento di un sistema convalidato conforme non può essere delegata e rimane del cliente regolamentato secondo le normative in 21 CFR Parte 11 ed Allegato EudraLex 11.
La documentazione pubblica dei giudizi contro laboratori farmaceutici o indipendenti/a contratto mostra che il costo della non conformità è significativo (può essere in milioni di dollari) per la perdita di produttività e ricavi, i costi per la rilavorazione e la reputazione con investitori e clienti.
Le agenzie regolatorie federali hanno l’autorità di presentarsi senza preavviso per condurre verifiche/indagini. Se i revisori trovano osservazioni, possono emettere avvertimenti verbali o Modulo 483. Questi possono essere segnalati in lettere di avvertimento per violazioni più gravi. Ciò può portare all’arresto delle operazioni di produzione, oppure i prodotti potrebbero non essere consentiti per la distribuzione all’interno degli Stati Uniti.
Il Codice dei regolamenti federali (CFR) è una codifica delle regole generali e permanenti pubblicate nel Registro federale dai dipartimenti e dalle agenzie del Governo federale.
È suddiviso in 50 titoli che rappresentano ampie aree soggette alla regolamentazione federale.
Il titolo 21 del CFR è riservato alle regole regolamentate dalla Food and Drug Administration (Dipartimento della Salute e dei Servizi Umani), dalla Drug Enforcement Administration (Dipartimento di Giustizia) e dall’Office of National Drug Control Policy.
- Parte 11 – Registri elettronici; Firme elettroniche
Il volume 4 delle “Norme che disciplinano i medicinali nell’Unione europea” contiene indicazioni per l’interpretazione dei principi e delle linee guida delle buone pratiche di fabbricazione dei medicinali per uso umano e veterinario.
La Guida GMP è presentata in tre parti e integrata con allegati che rappresentano ampie aree soggette alla normativa federale.
- Allegato 11 – Sistemi informatici
Tabella 1: Valutazione della 11 conformità 21 CFR Part per il software SoftMax Pro GxP.
Molecular Devices
Prodotti/Servizi
§11,10 – Controlli per sistemi chiusi
Le persone che utilizzano sistemi chiusi per creare, modificare, mantenere o trasmettere documenti elettronici devono adottare procedure e controlli progettati per garantire l’autenticità, l’integrità e, ove appropriato, la riservatezza dei documenti elettronici e per garantire che il firmatario non possa prontamente respingere il documento firmato come non autentico. Tali procedure e controlli devono includere:
Ogni file di documento dei dati del software SoftMax Pro GxP ha il proprio audit trail.
Il software del portale di amministrazione GxP mantiene le informazioni di audit trail del sistema che segnalano le attività dell'utente finale all'interno del software e del database.
(k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui:
- Controlli adeguati sulla distribuzione, l’accesso e l’uso della documentazione per il funzionamento e la manutenzione del sistema.
- Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenti lo sviluppo e la modifica della documentazione dei sistemi in base al tempo.
§11,50 – Manifestazioni della firma
(a) I registri elettronici firmati devono contenere informazioni associate alla firma che indichino chiaramente quanto segue:
- Il nome in stampatello del firmatario;
- La data e l’ora in cui è stata eseguita la firma; e
- Il significato (come revisione, approvazione, responsabilità o paternità) associato alla firma.
Le dichiarazioni e gli audit trail dei documenti sono disponibili nel software SoftMax Pro GxP.
L’audit trail di sistema è disponibile nel software del portale di amministrazione GxP.
§11,70 – Registrazione/collegamento della firma
Le firme elettroniche e le firme scritte a mano eseguite su registri elettronici devono essere collegate ai rispettivi registri elettronici per garantire che le firme non possano essere escisse, copiate o altrimenti trasferite per falsificare un registro elettronico con mezzi ordinari.
§11,100 – Requisiti generali
(a) Ogni firma elettronica deve essere univoca per un individuo e non deve essere riutilizzata o riassegnata a nessun altro.
§11,200 – Componenti e controlli della firma elettronica
(a) Le firme elettroniche non basate sulla biometria devono:
- Utilizzare almeno due componenti di identificazione distinti, come un codice di identificazione e una password.
- Quando un individuo esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente della firma elettronica che è eseguibile solo da, e progettato per essere utilizzato solo da, l’individuo.
- Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ciascuna firma deve essere eseguita utilizzando tutti i componenti della firma elettronica.
§11,300 – Controlli per codici di identificazione/password
Le persone che utilizzano firme elettroniche basate sull’uso di codici di identificazione in combinazione con le password devono utilizzare controlli per garantire la loro sicurezza e integrità. Tali controlli includeranno:
Tabella2: Valutazione della conformità del volume EudraLex 4 (Allegato 11) per il software SoftMax Pro GxP.
Molecular Devices
Prodotti/Servizi
1. Gestione del rischio
La gestione del rischio deve essere applicata per tutto il ciclo di vita del sistema computerizzato, tenendo conto della sicurezza del paziente, dell’integrità dei dati e della qualità del prodotto. Nell’ambito di un sistema di gestione del rischio, le decisioni sull’entità della convalida e dei controlli dell’integrità dei dati devono basarsi su una valutazione del rischio giustificata e documentata del sistema computerizzato.
2. Personale
Deve esserci una stretta collaborazione tra tutto il personale pertinente, come il responsabile del processo, il proprietario del sistema, le persone qualificate e l’IT. Tutto il personale deve disporre di qualifiche appropriate, livello di accesso e responsabilità definite per svolgere i compiti assegnati.
3. Fornitori e fornitori di servizi
3,1 Quando vengono utilizzate terze parti (ad es. fornitori, fornitori di servizi), ad es. per fornire, installare, configurare, integrare, convalidare, mantenere (ad es. tramite accesso remoto), modificare o mantenere un sistema computerizzato o un servizio correlato o per il trattamento dei dati, devono esistere accordi formali tra il produttore e qualsiasi terza parte, e tali accordi devono includere chiare dichiarazioni delle responsabilità della terza parte. I reparti IT devono essere considerati analoghi.
Molecular Devices fornisce servizi di convalida software personalizzati che potrebbero includere processi automatizzati.
I Field Service Engineer certificati (FSE) di Molecular Devices forniscono servizi IQ/OQ o PM/OQ per i lettori di piastre.
4. Validazione
4,2 La documentazione di convalida deve includere i registri di controllo delle modifiche (se applicabile) e i rapporti su eventuali deviazioni osservate durante il processo di convalida.
Il software SoftMax Pro GxP dispone di file di protocollo integrati che funzionano con le piastre di convalida SpectraTest.
Il software SoftMax Pro GxP consente di personalizzare i file di protocollo.
7. Conservazione dei dati
7,1 I dati devono essere protetti da danni sia fisici che elettronici. I dati memorizzati devono essere controllati per verificarne l’accessibilità, la leggibilità e l’accuratezza. L’accesso ai dati deve essere garantito per tutto il periodo di conservazione.
8. Stampe
8,1 Dovrebbe essere possibile ottenere copie stampate chiare dei dati archiviati elettronicamente.
9. Tracce di controllo
È necessario prendere in considerazione, in base a una valutazione del rischio, la creazione di un registro di tutte le modifiche e le eliminazioni rilevanti per le GMP (un “audit trail” generato dal sistema). Per la modifica o la cancellazione dei dati rilevanti per le GMP, il motivo deve essere documentato. Gli audit trail devono essere disponibili e convertibili in una forma generalmente intelligibile e regolarmente revisionati.
10. Gestione delle modifiche e della configurazione
Eventuali modifiche a un sistema computerizzato, incluse le configurazioni di sistema, devono essere effettuate solo in modo controllato, in conformità con una procedura definita.
11. Valutazione periodica
I sistemi informatici devono essere periodicamente valutati per confermare che rimangano in uno stato valido e siano conformi alle GMP. Tali valutazioni devono includere, ove appropriato, l’attuale gamma di funzionalità, i registri delle deviazioni, gli incidenti, i problemi, la cronologia degli aggiornamenti, le prestazioni, l’affidabilità, la sicurezza e i rapporti sullo stato di convalida.
12. Sicurezza
12,1 Devono essere in atto controlli fisici e/o logici per limitare l’accesso al sistema computerizzato alle persone autorizzate. Metodi idonei per impedire l’accesso non autorizzato al sistema possono includere l’uso di chiavi, pass card, codici personali con password, biometrica, accesso limitato alle apparecchiature informatiche e alle aree di archiviazione dei dati.
Gli ID utente e le password sono configurati nel software del portale di amministrazione GxP.
L’accesso utente può essere disattivato e le password possono essere reimpostate nel software del portale di amministrazione GxP. L'accesso al token non viene utilizzato dal software SoftMax Pro GxP né può essere configurato nel software del portale di amministrazione GxP.
14. Firma elettronica
I documenti elettronici possono essere firmati elettronicamente. Le firme elettroniche sono tenute a:
- hanno lo stesso impatto delle firme scritte a mano entro i confini dell’azienda
- essere permanentemente collegati al rispettivo record
- includere l’ora e la data in cui sono state applicate
16. Continuità aziendale
Per la disponibilità di sistemi informatici che supportano processi critici, devono essere adottate misure per garantire la continuità del supporto per tali processi in caso di guasto del sistema (ad es. un sistema manuale o alternativo). Il tempo necessario per mettere in uso gli accordi alternativi deve essere basato sul rischio e appropriato per un particolare sistema e il processo aziendale che supporta. Questi accordi devono essere adeguatamente documentati e testati.
17. Archiviazione
I dati possono essere archiviati. Questi dati devono essere controllati per verificarne l’accessibilità, la leggibilità e l’integrità. Se devono essere apportate modifiche rilevanti al sistema (ad es. apparecchiature o programmi informatici), la capacità di recuperare i dati deve essere garantita e testata.
Soluzioni GxP consolidate per garantire l’integrità e conformità dei dati.
La nostra missione in Molecular Devices è quella di aiutare i nostri clienti a raggiungere la conformità nei laboratori regolamentati da GLP (buone pratiche di laboratorio) e GMP (buone pratiche di fabbricazione). Abbiamo sviluppato soluzioni di conformità GxP collaudate con sistemi e software di rilevamento delle micropiastre. In combinazione con i servizi e il supporto di validazione, le nostre soluzioni garantiscono l’integrità dei dati.