5/26/2017

1

Integrita dat v praktickém životě – část IIVladislav Roháč

TEVA Czech Industries s.r.o.

– URS pro software pro laboratorní/výrobní zařízení s ohledem na zajištění požadavků na integritu dat

– Validace software z pohledu integrity dat

– Hodnocení audit trailu

– Praktické zkušenosti s audity státních autorit

Integrita dat

Obsah

| CONFIDENTIAL2

5/26/2017

2

URS pro software pro laboratorní/výrobní zařízení

| CONFIDENTIAL3

– Aktualizace počítačového systému pro ovládání UV-VIS v analytických laboratořích QC

– V současné době je již systém nainstalován (ve verzi 3.10) a provozován v laboratořikontroly jakosti (oddělení Pharma) a používá se pro kvalitativní a kvantitativní analýzyfarmaceutických materiálů a pomocných látek v meziproduktech i finálních produktech.Dosavadní konfigurace systému typu standalone bude nahrazena výhodnějšímuspořádáním typu client/server.

– V rámci validace je třeba ověřit požadavky na ER/ES a na integritu dat.

– Tabulka níže uvádí seznam v současnosti používaných systémů

Definice požadavku

Plánování - příklad

| CONFIDENTIAL4

# Kód S/N Typ

1 UVVIS_11 EL0533108 Cary 100

2 UVVIS_12 EL05023258 Cary 50

3 UVVIS_14 UV1105M253 Cary 100

4 UVVIS_15 UV1105M278 Cary 100

5 UVVIS_16 UV1105M281 Cary 100

6 UVVIS_17 UV1105M279 Cary 100

5/26/2017

3

Všechny požadavky na počítačový systém musí být popsány v uživatelské specifikaci

– Uživatelské požadavky by neměly být obecné, ale „na míru“ daného procesu, případně software

– Měly by pokrýt očekávaný způsob použití počítačového systému

Doporučením je dát schválenou uživatelskou specifikaci jako přílohu obchodní smlouvy.

Požadavky na integritu dat se kryjí s požadavky 21 CFR Part 11 – základní požadavek je mít data pod kontrolou po celou dobu životního cyklu dat.

Mělo by být jasně deklarováno, jestli systém obsahuje elektronické záznamy a elektronicképodpisy dle 21 CFR Part 11

– Definice: Elektronický záznam je definován jako regulovaný, pokud je jeho udržování,nebo předkládání požadováno předpisy SVP, nebo pokud se z něho vychází při vykonáváníčinnosti, kterou předpisy SVP vyžadují.

– Elektronické záznamy (podpisy) by měly být v URS jmenovitě identifikovány

Uživatelská specifikace (URS)

| CONFIDENTIAL5

Popis procesu:

Uživatelská specifikace (URS)

| CONFIDENTIAL6

Identifikace elektronických záznamů:

1. Metoda

2. Primární záznamy

3. Výsledky

5/26/2017

4

– URS pro laboratorní (výrobní) počítačové systémy mají následující strukturu

Uživatelská specifikace (URS)

| CONFIDENTIAL7

Požadavky

Všeobecné funkční požadavky (URS-GFR)

Regulační požadavky požadavky (URS-RFR)

Validační požadavky

Všeobecné požadavky na zabezpečení

Požadavky na zabezpečení záznamu

Požadavky na elektronický podpis (pokud jsou)

Funkční požadavky na výpočetní techniku (URS-ITFR)

Požadavky na funkce přístrojů (URS-IFR)

Procesní požadavky uživatele (URS-PFR)

Příklady URS požadavků

| CONFIDENTIAL8

Všeobecné a IT požadavky

5/26/2017

5

URS – Validační požadavky

| CONFIDENTIAL9

URS – Všeobecné požadavky na zabezpečení

| CONFIDENTIAL10

5/26/2017

6

URS – Všeobecné požadavky na zabezpečení

| CONFIDENTIAL11

URS – Všeobecné požadavky na zabezpečení

| CONFIDENTIAL12

5/26/2017

7

URS – Požadavky na zabezpečení záznamů

| CONFIDENTIAL13

Příklady URS požadavků

| CONFIDENTIAL14

Procesní požadavky uživatele

5/26/2017

8

Validace software z pohledu integrity dat

| CONFIDENTIAL15

Vlastník systému

– Validační status systému

– Uživatelský manuál a proškolení

– Řízení změn

Technický správce

– Provedení validačních a technických aktivit

– Zálohování

– DRP plány

– Nastavení systému a řízení přístupu

QA

– Inventář systémů

– Evidence ve VMP IT

– Schválení a shoda s GMP požadavky

Pro každý systém musí definovány minimálně tři zodpovědné osoby

Zodpovědnosti

| CONFIDENTIAL16

5/26/2017

9

– Vliv na GxP procesy

• Komplexnost

• Kritičnost

• Celkové hodnocení rizika (RAI)

• Shoda s 21 CFR Part 11

• BCP kategorie

• Definice validační strategie

• Hodnocení dodavatele

• Příprava validačního plánu

Hodnocení počítačového systému

| CONFIDENTIAL17

Inventář

počítačových

systémů

hodnocení vlivu

na GxP

hodnocení rizika

vliv na GxP STOP

ANO

NE

určení

validační baseline

zhodnocení

stavu validační

dokumentace

KROK 1

KROK 2

KROK 3

KROK 4

KROK 5

Inventář

počítačových

systémů

hodnocení vlivu

na GxP

hodnocení rizika

vliv na GxP STOPSTOP

ANO

NE

určení

validační baseline

zhodnocení

stavu validační

dokumentace

KROK 1

KROK 2

KROK 3

KROK 4

KROK 5

Validační plán (VP) - příklad

| CONFIDENTIAL18

– Účelem tohoto Validačního plánu je podrobně definovat rozsah aktivit potřebných pro vykonání validace nové verze systému CaryWinUV, který má dle inventáře počítačových systémů [32] kód LAS-36.

– Tento plán se zabývá následujícími tématy:

– stanovit všechny předpokládané činnosti pro validaci systému;

– stanovit požadované výstupy pro každou validační aktivitu;

– jmenovat členy validačního týmu s definovanými odpovědnostmi.

– Validační činnosti jsou plánovány v souladu se změnovým řízením ZŘ 223201 (TWH) „Upgrade software CaryWinUV“.

5/26/2017

10

VP - Rozsah dokumentace

| CONFIDENTIAL19

VP - Definování odpovědností

| CONFIDENTIAL20

5/26/2017

11

Funkční analýza rizik (FRA)

| CONFIDENTIAL21

Specifikace konfigurace (CDS)

| CONFIDENTIAL22

Dokument popisuje HW/SW konfiguraci aplikace, která je nastavena pro konkrétní systém. Konfigurace je následně předmětem instalační kvalifikace.

Obsah dokumentu:

5/26/2017

12

Instalační kvalifikace (IQ)

| CONFIDENTIAL23

Požadovaný rozsah testů:

Test IQT.003 musí být proveden pro každého klienta.

V rámci IQ protokolu je zohledněna dodavatelská kvalifikační dokumentace k zařízení a k software. Pokud jsou URS požadavky ověřeny v rámci dokumentace dodavatele, je možno se na ně odkázat a nemusí být znovu opakovány.

Kvalifikace musí být ukončena zprávou o provedení instalační kvalifikace.

Provedení instalační kvalifikace (testy a odchylky)

| CONFIDENTIAL24

5/26/2017

13

Operační kvalifikace (OQ)

| CONFIDENTIAL25

Požadovaný rozsah testů:

V rámci OQ protokolu je zohledněna dodavatelská kvalifikační dokumentace k zařízení a k software. Pokud jsou URS požadavky ověřeny v rámci dokumentace dodavatele, je možno se na ně odkázat a nemusí být znovu opakovány.

Kvalifikace musí být ukončena zprávou o provedení operační kvalifikace.

Provedení operační kvalifikace (testy a odchylky)

| CONFIDENTIAL26

5/26/2017

14

Procesní kvalifikace (PQ)

| CONFIDENTIAL27

Požadovaný rozsah testů:

Test procesní kvalifikace musí být proveden pro každého klienta.

V rámci PQ protokolu je zohledněna dodavatelská kvalifikační dokumentace k zařízení a k software. Pokud jsou URS požadavky ověřeny v rámci dokumentace dodavatele, je možno se na ně odkázat a nemusí být znovu opakovány.

Kvalifikace musí být ukončena zprávou o provedení procesní kvalifikaci.

Provedení procesní kvalifikace (testy a odchylky)

| CONFIDENTIAL28

5/26/2017

15

Matice dohledatelnosti (TM)

| CONFIDENTIAL29

Cílem matice dohledatelnosti (TM) je prokázat, že všechny uživatelské požadavky definované v URS byly řádně implementovány a ověřeny v rámci jednotlivých stupňů validace počítačového systému.

Matice dohledatelnosti je samostatný dokument a měly by obsahovat min. následující pole:

– URS kód: kód URS požadavku;

– URS název: název URS požadavku;

– URS popis: popis URS požadavku;

– IQ test: kód IQ testu, dle IQ protokolu;

– OQ test: kód OQ testu, dle OQ protokolu;

– PQ test: kód PQ testu, dle PQ protokolu;

– Poznámka: popis poznámky.

TM - Příklad

| CONFIDENTIAL31

5/26/2017

16

Souhrnná validační zpráva (VSR)

| CONFIDENTIAL32

Účelem tohoto dokumentu je zhodnotit všechny validační aktivity, které byly provedeny na laboratorním počítačovém systému CaryWinUV, položky LAS-36 v inventáři počítačových systémů společnosti TCI, který je nainstalován a bude provozován v laboratořích QC (oddělení Pharma) v závodě TCI.

Zpráva musí obsahovat jasný závěr, který propouští systém do řádného provozu:

– Zpráva by měla dále obsahovat:

– Seznam SOP, které jsou nutné pro řádný provoz počítačového systémů

– Seznamy provedených testů pro IQ, OQ a PQ, hodnocení všech odchylek

– Master Index – seznam vytvořené validační dokumentace k danému systému.

Master Index (MI)

| CONFIDENTIAL33

Master Index – seznam vytvořené validační dokumentace k danému systému.

5/26/2017

17

Podle kritičnosti a komplexnosti systému by měla být uvážena implementace následujících požadavků pro řádný provoz. Rozsah je předepsán v platných SOP nebo VP daného systému.

Je důležité definovat procesy, které zajistí, že bude udržen validační status počítačového systému po celou dobu jeho používání a budou zajištěny požadavky na integritu dat:

• Zabezpečení systému (logické, fyzické)

• Návod k obsluze, školení uživatelů

• Řízení změn

• Zálohování systému a dat

• Periodické hodnocení

• Periodická kontrola audit trailu

• Řízení incidentů

• Procesy obnovy systému

Požadavky na řádný provoz

| CONFIDENTIAL34

Plán vyřazení – posouzení kritických oblastí, popsání postupu

Vyřazení je ukončeno zprávou.

Posuzované oblasti

– Definice, které záznamy GxP (ER/ES dle 21 CFR Part 11) mají být dostupné, včetně požadované doby uchovávání, a které záznamy lze zlikvidovat

– Potřeba přesunutí záznamů do nového systému a způsob ověření a dokumentování tohoto procesu

– Posouzení možností přesunutí záznamů do jiných formátu (např. PDF)

– Postupy řízení archivu, které se zabývají médii, uložením do paměti, umístěním, značením a zachováním dlouhodobé neporušenosti

Vyřazení počítačového systému

| CONFIDENTIAL35

5/26/2017

18

Hodnocení audit trailu

| CONFIDENTIAL36

Obecně

| CONFIDENTIAL37

Audit Trail - definice:

– SVP audit trail jsou meta data, která jsou zároveň záznamem o kritické informaciumožňující rekonstrukci SVP činností

Audit Trail - požadavky:

– Záznamy audit trail musí být pravidelně ověřovány.

– Audit trail musí obsahovat následující minimální informace:

– Identifikaci zaměstnance provádějícího změnu.

– Časové razítko, kdy byla změna provedena.

– Důvod změny, pokud je to relevantní.

– Z jaké hodnoty na jakou byla změna provedena.

Je požadováno ověření, že proces přípravy, měření a vyhodnocení analytického výsledku bylřádně proveden ve shodě s předpisovou dokumentací (SOP pro měření, vyhodnocení areportování) a návodem na obsluhu.

Audit trail je jedna ze základních podmínek, abychom mohli tento důkaz předložit.

5/26/2017

19

SOP\PQA – Data Integrity

| CONFIDENTIAL38

Odpovědnosti za posouzení audit trailu počítačového systému

– Odpovědná osoba (např. BO nebo jiná delegovaná osoba), která je odpovědná za potvrzeníintegrity elektronického záznamu provedením posouzení audit trailu během kontrolyanalytických dat (nebo záznamu o výrobě šarže), musí provést hodnocení dle stanovenékritičnosti a podle požadavků definovaných v návodu na obsluhu (NO) příslušenéhopočítačového systému.

Posouzení audit trailu

– Záznamy automaticky generované do audit trailu počítačového systému musí býtpravidelně posuzovány. Stejné kontrolní opatření se musí vztahovat i na počítačovésystémy, kde byl prozatímně implementován manuální audit trail (v knize zařízení apod.) akteré nemají automatickou funkci generování audit trail záznamů.

– Posouzení audit trailu všech GxP počítačových systémů, které řídí regulované ER musí býtprováděno pravidelně v rámci řádného provozu a ve shodě s tímto dokumentem.

SOP\PQA – Data Integrity

| CONFIDENTIAL39

Posouzení audit trailu musí být provedeno jednou z následujících metod:

– Kontinuální posouzení audit trailu: hodnocení audit trailu musí být provedeno pro každé dokončené inspekce daného procesu (kontrola analytických dat nebo záznamu o šarži).

– Periodické posouzení audit trailu: periodické hodnocení v intervalech 1-12 měsíců.

– Posouzení audit trailu dle události: přezkoumání audit trailu pro účely šetření, interního auditu nebo inspekce.

5/26/2017

20

SOP\PQA – Data Integrity

| CONFIDENTIAL40

Obecné požadavky na posouzení audit trailu

Kontinuální posouzení audit trailu

| CONFIDENTIAL41

5/26/2017

21

Periodické posouzení audit trailu

| CONFIDENTIAL42

Hodnocení audit trailu dle události

| CONFIDENTIAL43

5/26/2017

22

SOP\PQA - Periodické hodnocení

| CONFIDENTIAL44

– frekvence periodického hodnocení pro počítačové systémy:

– 1x ročně periodické hodnocení infrastruktury a centrálního zálohování

SOP\PQA - Periodické hodnocení - Formulář

| CONFIDENTIAL45

5/26/2017

23

Příklady – návod na obsluhu

| CONFIDENTIAL46

– Návod na obsluhu – je popsáno, jak postupovat v případě kontroly audit trailu

Příklady – návod na obsluhu

| CONFIDENTIAL47

– Návod na obsluhu – je popsáno, jak postupovat v případě kontroly audit trailu

5/26/2017

24

Příklady – návod na obsluhu

| CONFIDENTIAL48

– Návod na obsluhu – je popsáno, jak postupovat v případě kontroly audit trailu

Příklady – kontinuální kontrola audit trailu

| CONFIDENTIAL49

5/26/2017

25

Příklady – kontinuální kontrola audit trailu

| CONFIDENTIAL50

Příklady – periodická kontrola audit trailu

| CONFIDENTIAL51

5/26/2017

26

Příklady – periodická kontrola audit trailu

| CONFIDENTIAL52

Příklady – periodické hodnocení – zpráva

| CONFIDENTIAL53

5/26/2017

27

Příklady – periodické hodnocení – zpráva

| CONFIDENTIAL54

Praktické zkušenosti s audity státních autorit

| CONFIDENTIAL55

5/26/2017

28

Audity státních autorit s obecným zaměřením na systém řízení kvality:

11 2016 – SÚKL (1 týden)

12 2016 – Ruská státní autorita (1 týden)

03 2017 – FDA (1 týden)

TCI - Audity státních autorit

| CONFIDENTIAL56

– Počítačový systém není validován, excelovská šablona není validována

– Není ve shodě elektronická a papírová forma záznamu

– Elektronická data byla změněna po schválení odpovědným pracovníkem

– Analytici a vedoucí mají k dispozici administrátorské oprávnění v aplikaci

– Analytici mají oprávnění mazat data a bylo prokázáno, že data byla mazána

– Pracovníci laboratoře mohou mazat GxP naměřená data v prostředí operačního systému

– Není systematicky prováděno periodické hodnocení audit trailu

– Není popsán proces manuální integrace (HPLC a GC)

– Pracovníci přistupují do aplikace na cizí účet

– Je používán obecný účet pro přístup do aplikace

Nálezy státních autorit (FDA) – Integrita dat

| CONFIDENTIAL57

5/26/2017

29

FDA – Warning Letters – Data Integrity

| CONFIDENTIAL58

FDA Warning Letters 2016 – Data Governance & Data Integrity(zdroj blog.FDAzilla.com - Warning Letters 2016 – Data Governance & Data Integrity)

FDA – Warning Letters – Data Integrity

| CONFIDENTIAL59

CFR ReferenceNumber ofTimes Cited

Title of CFR Section

211.68 7 Automatic, Mechanical, and Electronic Equipment

211.22 5 Responsibilities of the Quality Control Unit

211. 194 3 Laboratory Records

211.160 3 General Requirements, Laboratory Controls

211.165 2 Laboratory Controls

211.188 2 Batch Production and Control Records

Warning letters - Most Frequent Regulation Citations in 2016(zdroj blog.FDAzilla.com - Warning Letters 2016 – Data Governance & Data Integrity)

5/26/2017

30

– URS

– Základní dokument

– Uživatelské požadavky podle zamýšleného způsobu použití

– Požadavky na zabezpečení software

– Validace počítačového systému

– Požadavky na validaci

– Požadavky během životního cyklu dat

– Hodnocení audit trailu

– Základní požadavky

– Kontinuální, periodické hodnocení audit trailu

– Periodické hodnocení počítačového systému – data integrity

– Zkušenosti s audity státních autorit a nálezy

– Zkušenosti TCI

– Obecné zkušenosti - TEVA

Závěr

| CONFIDENTIAL60

Děkuji za pozornost.Vladislav Roháč

TEVA Czech Industries s.r.o.

Vladislav.rohac@tevapharm.cz

| CONFIDENTIAL61