5/26/2017
1
Integrita dat v praktickém životě – část IIVladislav Roháč
TEVA Czech Industries s.r.o.
– URS pro software pro laboratorní/výrobní zařízení s ohledem na zajištění požadavků na integritu dat
– Validace software z pohledu integrity dat
– Hodnocení audit trailu
– Praktické zkušenosti s audity státních autorit
Integrita dat
Obsah
| CONFIDENTIAL2
5/26/2017
2
URS pro software pro laboratorní/výrobní zařízení
| CONFIDENTIAL3
– Aktualizace počítačového systému pro ovládání UV-VIS v analytických laboratořích QC
– V současné době je již systém nainstalován (ve verzi 3.10) a provozován v laboratořikontroly jakosti (oddělení Pharma) a používá se pro kvalitativní a kvantitativní analýzyfarmaceutických materiálů a pomocných látek v meziproduktech i finálních produktech.Dosavadní konfigurace systému typu standalone bude nahrazena výhodnějšímuspořádáním typu client/server.
– V rámci validace je třeba ověřit požadavky na ER/ES a na integritu dat.
– Tabulka níže uvádí seznam v současnosti používaných systémů
Definice požadavku
Plánování - příklad
| CONFIDENTIAL4
# Kód S/N Typ
1 UVVIS_11 EL0533108 Cary 100
2 UVVIS_12 EL05023258 Cary 50
3 UVVIS_14 UV1105M253 Cary 100
4 UVVIS_15 UV1105M278 Cary 100
5 UVVIS_16 UV1105M281 Cary 100
6 UVVIS_17 UV1105M279 Cary 100
5/26/2017
3
Všechny požadavky na počítačový systém musí být popsány v uživatelské specifikaci
– Uživatelské požadavky by neměly být obecné, ale „na míru“ daného procesu, případně software
– Měly by pokrýt očekávaný způsob použití počítačového systému
Doporučením je dát schválenou uživatelskou specifikaci jako přílohu obchodní smlouvy.
Požadavky na integritu dat se kryjí s požadavky 21 CFR Part 11 – základní požadavek je mít data pod kontrolou po celou dobu životního cyklu dat.
Mělo by být jasně deklarováno, jestli systém obsahuje elektronické záznamy a elektronicképodpisy dle 21 CFR Part 11
– Definice: Elektronický záznam je definován jako regulovaný, pokud je jeho udržování,nebo předkládání požadováno předpisy SVP, nebo pokud se z něho vychází při vykonáváníčinnosti, kterou předpisy SVP vyžadují.
– Elektronické záznamy (podpisy) by měly být v URS jmenovitě identifikovány
Uživatelská specifikace (URS)
| CONFIDENTIAL5
Popis procesu:
Uživatelská specifikace (URS)
| CONFIDENTIAL6
Identifikace elektronických záznamů:
1. Metoda
2. Primární záznamy
3. Výsledky
5/26/2017
4
– URS pro laboratorní (výrobní) počítačové systémy mají následující strukturu
Uživatelská specifikace (URS)
| CONFIDENTIAL7
Požadavky
Všeobecné funkční požadavky (URS-GFR)
Regulační požadavky požadavky (URS-RFR)
Validační požadavky
Všeobecné požadavky na zabezpečení
Požadavky na zabezpečení záznamu
Požadavky na elektronický podpis (pokud jsou)
Funkční požadavky na výpočetní techniku (URS-ITFR)
Požadavky na funkce přístrojů (URS-IFR)
Procesní požadavky uživatele (URS-PFR)
Příklady URS požadavků
| CONFIDENTIAL8
Všeobecné a IT požadavky
5/26/2017
5
URS – Validační požadavky
| CONFIDENTIAL9
URS – Všeobecné požadavky na zabezpečení
| CONFIDENTIAL10
5/26/2017
6
URS – Všeobecné požadavky na zabezpečení
| CONFIDENTIAL11
URS – Všeobecné požadavky na zabezpečení
| CONFIDENTIAL12
5/26/2017
7
URS – Požadavky na zabezpečení záznamů
| CONFIDENTIAL13
Příklady URS požadavků
| CONFIDENTIAL14
Procesní požadavky uživatele
5/26/2017
8
Validace software z pohledu integrity dat
| CONFIDENTIAL15
Vlastník systému
– Validační status systému
– Uživatelský manuál a proškolení
– Řízení změn
Technický správce
– Provedení validačních a technických aktivit
– Zálohování
– DRP plány
– Nastavení systému a řízení přístupu
QA
– Inventář systémů
– Evidence ve VMP IT
– Schválení a shoda s GMP požadavky
Pro každý systém musí definovány minimálně tři zodpovědné osoby
Zodpovědnosti
| CONFIDENTIAL16
5/26/2017
9
– Vliv na GxP procesy
• Komplexnost
• Kritičnost
• Celkové hodnocení rizika (RAI)
• Shoda s 21 CFR Part 11
• BCP kategorie
• Definice validační strategie
• Hodnocení dodavatele
• Příprava validačního plánu
Hodnocení počítačového systému
| CONFIDENTIAL17
Inventář
počítačových
systémů
hodnocení vlivu
na GxP
hodnocení rizika
vliv na GxP STOP
ANO
NE
určení
validační baseline
zhodnocení
stavu validační
dokumentace
KROK 1
KROK 2
KROK 3
KROK 4
KROK 5
Inventář
počítačových
systémů
hodnocení vlivu
na GxP
hodnocení rizika
vliv na GxP STOPSTOP
ANO
NE
určení
validační baseline
zhodnocení
stavu validační
dokumentace
KROK 1
KROK 2
KROK 3
KROK 4
KROK 5
Validační plán (VP) - příklad
| CONFIDENTIAL18
– Účelem tohoto Validačního plánu je podrobně definovat rozsah aktivit potřebných pro vykonání validace nové verze systému CaryWinUV, který má dle inventáře počítačových systémů [32] kód LAS-36.
– Tento plán se zabývá následujícími tématy:
– stanovit všechny předpokládané činnosti pro validaci systému;
– stanovit požadované výstupy pro každou validační aktivitu;
– jmenovat členy validačního týmu s definovanými odpovědnostmi.
– Validační činnosti jsou plánovány v souladu se změnovým řízením ZŘ 223201 (TWH) „Upgrade software CaryWinUV“.
5/26/2017
10
VP - Rozsah dokumentace
| CONFIDENTIAL19
VP - Definování odpovědností
| CONFIDENTIAL20
5/26/2017
11
Funkční analýza rizik (FRA)
| CONFIDENTIAL21
Specifikace konfigurace (CDS)
| CONFIDENTIAL22
Dokument popisuje HW/SW konfiguraci aplikace, která je nastavena pro konkrétní systém. Konfigurace je následně předmětem instalační kvalifikace.
Obsah dokumentu:
5/26/2017
12
Instalační kvalifikace (IQ)
| CONFIDENTIAL23
Požadovaný rozsah testů:
Test IQT.003 musí být proveden pro každého klienta.
V rámci IQ protokolu je zohledněna dodavatelská kvalifikační dokumentace k zařízení a k software. Pokud jsou URS požadavky ověřeny v rámci dokumentace dodavatele, je možno se na ně odkázat a nemusí být znovu opakovány.
Kvalifikace musí být ukončena zprávou o provedení instalační kvalifikace.
Provedení instalační kvalifikace (testy a odchylky)
| CONFIDENTIAL24
5/26/2017
13
Operační kvalifikace (OQ)
| CONFIDENTIAL25
Požadovaný rozsah testů:
V rámci OQ protokolu je zohledněna dodavatelská kvalifikační dokumentace k zařízení a k software. Pokud jsou URS požadavky ověřeny v rámci dokumentace dodavatele, je možno se na ně odkázat a nemusí být znovu opakovány.
Kvalifikace musí být ukončena zprávou o provedení operační kvalifikace.
Provedení operační kvalifikace (testy a odchylky)
| CONFIDENTIAL26
5/26/2017
14
Procesní kvalifikace (PQ)
| CONFIDENTIAL27
Požadovaný rozsah testů:
Test procesní kvalifikace musí být proveden pro každého klienta.
V rámci PQ protokolu je zohledněna dodavatelská kvalifikační dokumentace k zařízení a k software. Pokud jsou URS požadavky ověřeny v rámci dokumentace dodavatele, je možno se na ně odkázat a nemusí být znovu opakovány.
Kvalifikace musí být ukončena zprávou o provedení procesní kvalifikaci.
Provedení procesní kvalifikace (testy a odchylky)
| CONFIDENTIAL28
5/26/2017
15
Matice dohledatelnosti (TM)
| CONFIDENTIAL29
Cílem matice dohledatelnosti (TM) je prokázat, že všechny uživatelské požadavky definované v URS byly řádně implementovány a ověřeny v rámci jednotlivých stupňů validace počítačového systému.
Matice dohledatelnosti je samostatný dokument a měly by obsahovat min. následující pole:
– URS kód: kód URS požadavku;
– URS název: název URS požadavku;
– URS popis: popis URS požadavku;
– IQ test: kód IQ testu, dle IQ protokolu;
– OQ test: kód OQ testu, dle OQ protokolu;
– PQ test: kód PQ testu, dle PQ protokolu;
– Poznámka: popis poznámky.
TM - Příklad
| CONFIDENTIAL31
5/26/2017
16
Souhrnná validační zpráva (VSR)
| CONFIDENTIAL32
Účelem tohoto dokumentu je zhodnotit všechny validační aktivity, které byly provedeny na laboratorním počítačovém systému CaryWinUV, položky LAS-36 v inventáři počítačových systémů společnosti TCI, který je nainstalován a bude provozován v laboratořích QC (oddělení Pharma) v závodě TCI.
Zpráva musí obsahovat jasný závěr, který propouští systém do řádného provozu:
– Zpráva by měla dále obsahovat:
– Seznam SOP, které jsou nutné pro řádný provoz počítačového systémů
– Seznamy provedených testů pro IQ, OQ a PQ, hodnocení všech odchylek
– Master Index – seznam vytvořené validační dokumentace k danému systému.
Master Index (MI)
| CONFIDENTIAL33
Master Index – seznam vytvořené validační dokumentace k danému systému.
5/26/2017
17
Podle kritičnosti a komplexnosti systému by měla být uvážena implementace následujících požadavků pro řádný provoz. Rozsah je předepsán v platných SOP nebo VP daného systému.
Je důležité definovat procesy, které zajistí, že bude udržen validační status počítačového systému po celou dobu jeho používání a budou zajištěny požadavky na integritu dat:
• Zabezpečení systému (logické, fyzické)
• Návod k obsluze, školení uživatelů
• Řízení změn
• Zálohování systému a dat
• Periodické hodnocení
• Periodická kontrola audit trailu
• Řízení incidentů
• Procesy obnovy systému
Požadavky na řádný provoz
| CONFIDENTIAL34
Plán vyřazení – posouzení kritických oblastí, popsání postupu
Vyřazení je ukončeno zprávou.
Posuzované oblasti
– Definice, které záznamy GxP (ER/ES dle 21 CFR Part 11) mají být dostupné, včetně požadované doby uchovávání, a které záznamy lze zlikvidovat
– Potřeba přesunutí záznamů do nového systému a způsob ověření a dokumentování tohoto procesu
– Posouzení možností přesunutí záznamů do jiných formátu (např. PDF)
– Postupy řízení archivu, které se zabývají médii, uložením do paměti, umístěním, značením a zachováním dlouhodobé neporušenosti
Vyřazení počítačového systému
| CONFIDENTIAL35
5/26/2017
18
Hodnocení audit trailu
| CONFIDENTIAL36
Obecně
| CONFIDENTIAL37
Audit Trail - definice:
– SVP audit trail jsou meta data, která jsou zároveň záznamem o kritické informaciumožňující rekonstrukci SVP činností
Audit Trail - požadavky:
– Záznamy audit trail musí být pravidelně ověřovány.
– Audit trail musí obsahovat následující minimální informace:
– Identifikaci zaměstnance provádějícího změnu.
– Časové razítko, kdy byla změna provedena.
– Důvod změny, pokud je to relevantní.
– Z jaké hodnoty na jakou byla změna provedena.
Je požadováno ověření, že proces přípravy, měření a vyhodnocení analytického výsledku bylřádně proveden ve shodě s předpisovou dokumentací (SOP pro měření, vyhodnocení areportování) a návodem na obsluhu.
Audit trail je jedna ze základních podmínek, abychom mohli tento důkaz předložit.
5/26/2017
19
SOP\PQA – Data Integrity
| CONFIDENTIAL38
Odpovědnosti za posouzení audit trailu počítačového systému
– Odpovědná osoba (např. BO nebo jiná delegovaná osoba), která je odpovědná za potvrzeníintegrity elektronického záznamu provedením posouzení audit trailu během kontrolyanalytických dat (nebo záznamu o výrobě šarže), musí provést hodnocení dle stanovenékritičnosti a podle požadavků definovaných v návodu na obsluhu (NO) příslušenéhopočítačového systému.
Posouzení audit trailu
– Záznamy automaticky generované do audit trailu počítačového systému musí býtpravidelně posuzovány. Stejné kontrolní opatření se musí vztahovat i na počítačovésystémy, kde byl prozatímně implementován manuální audit trail (v knize zařízení apod.) akteré nemají automatickou funkci generování audit trail záznamů.
– Posouzení audit trailu všech GxP počítačových systémů, které řídí regulované ER musí býtprováděno pravidelně v rámci řádného provozu a ve shodě s tímto dokumentem.
SOP\PQA – Data Integrity
| CONFIDENTIAL39
Posouzení audit trailu musí být provedeno jednou z následujících metod:
– Kontinuální posouzení audit trailu: hodnocení audit trailu musí být provedeno pro každé dokončené inspekce daného procesu (kontrola analytických dat nebo záznamu o šarži).
– Periodické posouzení audit trailu: periodické hodnocení v intervalech 1-12 měsíců.
– Posouzení audit trailu dle události: přezkoumání audit trailu pro účely šetření, interního auditu nebo inspekce.
5/26/2017
20
SOP\PQA – Data Integrity
| CONFIDENTIAL40
Obecné požadavky na posouzení audit trailu
Kontinuální posouzení audit trailu
| CONFIDENTIAL41
5/26/2017
21
Periodické posouzení audit trailu
| CONFIDENTIAL42
Hodnocení audit trailu dle události
| CONFIDENTIAL43
5/26/2017
22
SOP\PQA - Periodické hodnocení
| CONFIDENTIAL44
– frekvence periodického hodnocení pro počítačové systémy:
– 1x ročně periodické hodnocení infrastruktury a centrálního zálohování
SOP\PQA - Periodické hodnocení - Formulář
| CONFIDENTIAL45
5/26/2017
23
Příklady – návod na obsluhu
| CONFIDENTIAL46
– Návod na obsluhu – je popsáno, jak postupovat v případě kontroly audit trailu
Příklady – návod na obsluhu
| CONFIDENTIAL47
– Návod na obsluhu – je popsáno, jak postupovat v případě kontroly audit trailu
5/26/2017
24
Příklady – návod na obsluhu
| CONFIDENTIAL48
– Návod na obsluhu – je popsáno, jak postupovat v případě kontroly audit trailu
Příklady – kontinuální kontrola audit trailu
| CONFIDENTIAL49
5/26/2017
25
Příklady – kontinuální kontrola audit trailu
| CONFIDENTIAL50
Příklady – periodická kontrola audit trailu
| CONFIDENTIAL51
5/26/2017
26
Příklady – periodická kontrola audit trailu
| CONFIDENTIAL52
Příklady – periodické hodnocení – zpráva
| CONFIDENTIAL53
5/26/2017
27
Příklady – periodické hodnocení – zpráva
| CONFIDENTIAL54
Praktické zkušenosti s audity státních autorit
| CONFIDENTIAL55
5/26/2017
28
Audity státních autorit s obecným zaměřením na systém řízení kvality:
11 2016 – SÚKL (1 týden)
12 2016 – Ruská státní autorita (1 týden)
03 2017 – FDA (1 týden)
TCI - Audity státních autorit
| CONFIDENTIAL56
– Počítačový systém není validován, excelovská šablona není validována
– Není ve shodě elektronická a papírová forma záznamu
– Elektronická data byla změněna po schválení odpovědným pracovníkem
– Analytici a vedoucí mají k dispozici administrátorské oprávnění v aplikaci
– Analytici mají oprávnění mazat data a bylo prokázáno, že data byla mazána
– Pracovníci laboratoře mohou mazat GxP naměřená data v prostředí operačního systému
– Není systematicky prováděno periodické hodnocení audit trailu
– Není popsán proces manuální integrace (HPLC a GC)
– Pracovníci přistupují do aplikace na cizí účet
– Je používán obecný účet pro přístup do aplikace
Nálezy státních autorit (FDA) – Integrita dat
| CONFIDENTIAL57
5/26/2017
29
FDA – Warning Letters – Data Integrity
| CONFIDENTIAL58
FDA Warning Letters 2016 – Data Governance & Data Integrity(zdroj blog.FDAzilla.com - Warning Letters 2016 – Data Governance & Data Integrity)
FDA – Warning Letters – Data Integrity
| CONFIDENTIAL59
CFR ReferenceNumber ofTimes Cited
Title of CFR Section
211.68 7 Automatic, Mechanical, and Electronic Equipment
211.22 5 Responsibilities of the Quality Control Unit
211. 194 3 Laboratory Records
211.160 3 General Requirements, Laboratory Controls
211.165 2 Laboratory Controls
211.188 2 Batch Production and Control Records
Warning letters - Most Frequent Regulation Citations in 2016(zdroj blog.FDAzilla.com - Warning Letters 2016 – Data Governance & Data Integrity)
5/26/2017
30
– URS
– Základní dokument
– Uživatelské požadavky podle zamýšleného způsobu použití
– Požadavky na zabezpečení software
– Validace počítačového systému
– Požadavky na validaci
– Požadavky během životního cyklu dat
– Hodnocení audit trailu
– Základní požadavky
– Kontinuální, periodické hodnocení audit trailu
– Periodické hodnocení počítačového systému – data integrity
– Zkušenosti s audity státních autorit a nálezy
– Zkušenosti TCI
– Obecné zkušenosti - TEVA
Závěr
| CONFIDENTIAL60
Děkuji za pozornost.Vladislav Roháč
TEVA Czech Industries s.r.o.
| CONFIDENTIAL61