Gestione dei dati elettronici · PDF fileWarning Letter (azienda Italiana) 7/7/14 1. Failure to maintain complete data retention and management: Your firm did not retain complete raw

Data IntegritySistemi informatizzati e software per la

gestione della strumentazione di laboratorio

Sommario

• Alcuni casi di falsificazione dei dati e problemi di integrità

dei dati: FDA-483 e Warning Letters

• I requisiti di integrità dei documenti e dati (ALCOA)

– Controllo accessi

– Audit Trail, amministratori indipendenti e review

– Backup e Restore

– Gestione di data e ora

• La Governance della Data Integrity

• Data Integrity Management con esempi di sistemi

informatizzati e software di gestione lab QC

Introduzione: è emergenza

• più di 30 Warning Letters dell’FDA sulla integrità dei dati in

2 anni

• Query and Answers dell’EMA (agosto 2016)

• 5 Nuove linee guida (oltre a quella cinese):

– agenzia Inglese MHRA (terzo draft a Luglio ‘16)

– World Health Organization WHO

(draft a settembre ‘15 emessa l 31 Maggio ’16)

– FDA (emessa in draft ad Aprile ‘16)

– PIC/S (emessa in draft ad Agosto ‘16)

– GAMP Records and Data Integrity GUIDE (Aprile 2017)

Warning Letter (azienda Italiana) 3/31/15

3. … il software XXXXXX® non ha sufficienti controlli per prevenire

cancellazioni o alterazioni dei dati:

• i dati nella cartella “test” possono essere cancellati dall’analista

… sono stati cancellati ed i dati di backup sovrascritti …

• Dato che la funzione di Audit Trail non era abilitata per questa

cartella “Test” la vostra azienda non è stata in grado di verificare

che tipo di iniezioni erano state fatte, da chi e la data di

cancellazione.

L’utilizzo dell’Audit Trail per la strumentazione analitica

computerizzata è essenziale per assicurare l’integrità e la

affidabilità dei dati elettronici generati.


3. … your HPLC and GC data acquisition software, XXXXX®, did not have

sufficient controls to prevent the deletion or alteration of raw data files

... the server that maintains electronic raw data for HPLC and GC analyses

contains a folder named “Test,” and that chromatographic methods,

sequences, and injection data saved into this folder can be deleted by

analysts. The investigator also found that data files initially created and

stored in the “Test” folder had been deleted, and that back-up files are

overwritten (b)(4)-

In addition, because no audit trail function was enabled for the “Test”

folder, your firm was unable to verify what types of injections were made,

who made them, or the date or time of deletion. The use of audit trails

for computerized analytical instrumentation is essential to ensure the

integrity and reliability of the electronic data generated.


1. Failure to maintain complete data … retention and management:

Your firm did not retain complete raw data from testing performed to

ensure the quality of your APIs. Specifically, your firm deleted all

electronic raw data ... Your firm’s lack of data control causes us to

question the reliability of your data.

… your laboratory management was unaware of … the review of

analytical data ...

Your firm has been researching backup systems since July 2013 and will

have a backup system online by the third quarter of 2014. … you have

begun provisionally storing backup data on each computer

… immediately ensure retention of complete electronic raw data for all

laboratory instrumentation and equipment.


2. Failure to prevent unauthorized access or changes to data

and to provide adequate controls to prevent omission of data.

… your laboratory systems did not have access controls to prevent

deletion or alteration of raw data. The inspection noted that all

laboratory employees were granted full privileges to the

computer systems … how your firm will ensure that electronic

files are not deleted prematurely from local computers.

HPLC and gas chromatograph (GC) computer software lacked

active audit trail functions to record changes to data, including

information on original results, the identity of the person making

the change, and the date of the change ...

Altre recenti osservazioni (fonte: AIFA)

• Vengono effettuate iniezioni di prova

• Vengono cancellate o sovrascritte analisi cromatografiche

• Vengono modificate data e ora del PC

• La password di amministratore viene utilizzata dagli analisti

• Non viene effettuata la review dell’Audit trail

• Vengono effettuate integrazioni manuali senza una dettagliata

procedura

• I parametri delle integrazioni manuali non vengono riviste da un

supervisore

• Alcuni calcoli vengono effettuati tramite fogli elettronici non

convalidati

… e suggerimenti (fonte: presentazioni AIFA)

• Alcune analisi interrotte prematuramente non sono registrate

nel logbook

• Alcune inconsistenze suggeriscono che le SOP o i metodi non

vengono seguiti in maniera consistente per la sequenza delle

iniezioni

• In alcuni casi l’ispettore FDA ha chiesto il ripristino dei backup

per verificare se dei cromatogrammi erano stati cancellati

• È una pratica comune verificare i dati grezzi registrati su carta

con quelli salvati in elettronico sul sistema computerizzato

• Non ha senso registrare ciascuna singola iniezione nel logbook

Sommario











I requisiti della data integrity : ALCOA+

• Attribuibili : le informazioni indicano chi ha acquisito o inserito un

dato o eseguito una azione

• Leggibili : deve essere possibile leggere i dati e le registrazioni

• Contemporanei : Documentati al momento della attività.

• Originali (o ‘copie conformi’) : Una stampa o una copia verificata.

• Accurati : privi di errori o con modifiche documentate (GMP)

• PLUS cioè gli ulteriori requisiti : completezza, consistenza, durata

e disponibilità (comunque impliciti nei precedenti) : su supporti

elettronici coperti da adeguate misure di protezione (backup,

ridondanze …);

ICH Q7 : Documentazione (§6.1) All documents related to the manufacture of intermediates or APIs … can be

in paper or electronic form.

A When entries are made in records, these … should identify the person

making the entry.

L During the retention period, originals or copies of records should be

readily available ...

C entries … should be made indelibly in spaces provided for such entries,

directly after performing the activities,

O … records can be retained either as originals or as true copies such as

photocopies, microfilm, microfiche … where electronic records are used,

suitable retrieval equipment and a means to produce a hard copy should

be readily available.

A Weighing and measuring devices should be of suitable accuracy for the

intended use (§8.1).

requisiti FDA riorganizzati : ALCOA

• Attributable, §§ 211.101(d), 211.122, 211.186,

211.188(b)(11), and 212.50(c)(10)

• Legible §§ 211.180(e) and 212.110(b)

• Contemporaneously recorded (at the time of

performance) §§ 211.100(b) and 211.160(a)

• Original or a true copy §§ 211.180 and 211.194(a)

• Accurate §§ 211.22(a), 211.68, 211.188, and

212.60(g).

requisiti EU riorganizzati : ALCOA

(Q&A 13) EU GMP Part I

Chapter 4 / Chapter 6

EU GMP Part II (ActivePI)

Chapter 6 / Chapter 5

Annex 11

(Computerised System)

Attributable (data can be assigned to

the individual performing the task)

[4.20, c & f], [4.21, c & i],

[4.29, e]

[6.14], [6.18], [6.52] [2], [12.4], [15]

Legible (data can be read by eye or

electronically and retained in a

permanent format)

[4.1], [4.2], [4.7],

[4.8], [4.9], [4.10]

[5.43] [6.11], [6.14],

[6.15], [6.50]

[7.1], [9], [10], [17]

Contemporaneous (data is created at

the time the activity is performed)

[4.8] [6.14] [12.4], [14]

Original (data is in the same format as

it was initially generated, or as a

‘verified copy’, which retains content

and meaning)

[4.9], [4.27],

[Paragraph "Record"]

[6.14], [6.15], [6.16] [8.2], [9]

Accurate (data is true / reflective of

the activity or measurement

performed)

[4.1], [6.17] [5.40], [5.45], [6.6] [Paragraph

"Principles"],[5], [6], [10],

[11]

Sommario











Attribuibile

Carta

• Sigla, firma o sigillo

Elettronico

• Credenziali di accesso univoche

(logiche o biometriche)

• La scansione della firma non è

solitamente accettabile

• Audit Trail e collegamento a

firme elettroniche (ES)

Azioni e record devono essere univocamente attribuiti ad un individuo.

Firme elettroniche incluse.

I sistemi ibridi sono più complicati di quelli elettronici e la loro

sostituzione dovrebbe essere una priorità.

Leggibile, tracciabile e permanente

Carta

• Uso di inchiostri indelebili (no

matite, bianchetti o cancellazioni)

• Correzioni GMP;

• Quaderni rilegati e con pagine

numerate

• Emissione controllata di moduli

numerati;

• Archiviazione in luogo sicuro e

controllato da parte di personale

indipendente

Elettronico• Registrazione automatica e convalidata del dato

prima di successive elaborazioni (salvataggi

intermedi o temporanei sono da evitare);

• Eventuali modifiche tracciate con Audit Trail;

• Accesso alla disabilitazione delle protezioni e a

cancellazioni limitati a personale indipendente

(amministratori di sistema diversi dai

responsabili dei dati);

• Backup dei dati

• Archiviazione in luogo sicuro e controllato da

parte di personale indipendente

• Il personale con privilegi elevati dovrebbe essere

istruito sui principi della Data Integrity.

Il personale con privilegi elevati dovrebbe essere istruito sui principi della Data Integrity.

requisiti dell’AUDIT TRAIL

11.10 (e) uso di un Audit Trail sicuro e generato in

automatico dal sistema che deve:

– registrare data e ora di tutti gli input

– evidenziare le azioni di creazione, modifica o

cancellazione di un record elettronico

– associare la modifica a chi l’ha eseguita

– conservare l’Audit trail per lo stesso periodo di

tempo del record cui si riferisce

– rendere visibile e stampabile l’Audit trail da

parte dell’FDA

11.10 (e) Le modifiche ai record non devono cancellare le informazioni precedentemente registrate.

FDA 21 CFR Part11

Annex 11 alle EU GMP (estratto)

9 Audit Trail

Sulla base di un’analisi dei rischi devono essere

automaticamente registrate modifiche o cancellazioni

di dati GMP con le ragioni della modifica.

L’Audit Trail deve essere disponibile e convertibile in

qualche formato intellegibile e deve essere

periodicamente rivisto.

L’Annex 11 però non esplicita né la frequenza,

né la modalità di esecuzione,

né chi deve eseguire la verifica

Contemporaneo

• Procedure, training, revisioni, audit e

autoispezioni per assicurare che la

registrazione dei dati effettuata dal

personal sia effettuata al momento della

attività direttamente su documenti

ufficiali (quaderni di laboratorio, batch

record, formulari, ecc.);

• Procedure che prescrivono che le attività

vengano registrate con la data (con

anche l’ora nei casi in cui sia rilevante).

• Sincronizzazione degli orologi di reparto

• La registrazione di data e ora di attività

manuali dovrebbe essere effettuata

automaticamente

• Impostazioni di sistema (e/o SOP), che

registrino dati elettronici su supporti

permanenti al momento della attività e

prima di proseguire con le successive

attività;

• Registrazione automatica di data e ora

(Time Stamp) non modificabile dal

personale;

• Procedure o meccanismi di manutenzione

che assicurano la sincronizzazione di data e

ora tra i processi GxP (bilance incluse);

• Controlli che consentano di discriminare il

momento di una attività rispetto ad un’altra

(in caso di fusi orari diversi ).

Carta Elettronico

Originale (o dati grezzi o raw data)

Revisione dei record originali

• I dati grezzi devono essere rivisti e

approvati, per assicurare che siano

documentati e giustificati con adeguate

evidenze e, ove necessario, investigate.

• Tale revisione deve essere documentata

(ad es. controfirmando i documenti

cartacei rivisti).

Le procedure di revisione dovrebbero

indicare le verifiche da effettuare.

• Le procedure dovrebbero indicare le

azioni da intraprendere in caso di errori

ed omissioni.

• I dati devono essere rivisti, inclusi i metadati

ed dati grezzi (in forma umanamente

leggibile, e qui il formato dinamico torna

utile)

• Tale revisione deve essere documentata (ad

es. con firma elettronica dei dati rivisti)

• Le procedure di revisione dovrebbero indicare

le verifiche da effettuare su dati e metadati

(come Audit Trail e data/ora) e le

responsabilità relative a tale revisione

• Le procedure dovrebbero indicare le azioni in

caso di errori ed omissioni in modo conforme

alle GMP cioè (con Audit Trail) e ai principi

ALCOA.

Carta Elettronico

Formato Record: statico o dinamico

• Statico : carta o .pdf

• Dinamico MHRA : Una serie

di dati in un DB o la tabella

dei valori di una variabile

che varia nel tempo o il

cromatogramma di un HPLC

• Dinamico FDA : il formato

del record consente

interazioni tra l’utente ed il

contenuto del record

Posso fare lo zoom di

alcuni dettagli o

riprocessare !

Ma attenzione !

FDA Question and Answer 2010 (ucm124787 punto 3):

• La copia stampata del chromatogramma non viene considerata

una “copia conforme” di tutto il dato grezzo elettronico usato

per creare il cromatogramma, come richiesto dal 21 CFR

211.180(d).

• Il cromatogramma stampato non viene neppure considerato una

copia “esatta e completa” del dato grezzo usato per creare un

cromatogramma, come richiesto dal 21 CFR 211.68.

• Infatti il cromatogramma generalmente non comprende, ad

esempio, la sequenza di iniezione, il metodo dello strumento, il

metodo di integrazione, o l’Audit Trail, e tutti questi sono utilizzati

per creare il cromatogramma o sono associati alla sua validità.

But : FDA Question and Answer 2010

FDA Question and Answer 2010 (ucm124787 point 3):

• The printed paper copy of the chromatogram would not be

considered a “true copy” of the entire electronic raw data

used to create that chromatogram, as required by 21 CFR

211.180(d).

• The printed chromatogram would also not be considered an

“exact and complete” copy of the electronic raw data used to

create the chromatogram, as required by 21 CFR 211.68.

• The chromatogram does not generally include, for example, the

injection sequence, instrument method, integration method, or

the audit trail, of which all were used to create the

chromatogram or are associated with its validity.

Originale (continuazione)

Conservazione dei record originali

• Originali conservati in archivi

cartacei sicuri, ad accesso

controllato,

• Archivisti indipendenti;

• elenco dei documenti per

agevolarne il reperimento;

• verifiche periodiche della

reperibilità dei documenti;

• Copie di back-up conservati in una ubicazione

diversa dall’originale (come salvaguardia in

caso di eventi disastrosi);

• Backup automatico e convalidato dell’intero

set di dati e metadati

• Archivi sicuri e ad accesso controllato con

archivisti indipendenti; elenco dei dati per

agevolarne il reperimento; Verifiche

periodiche della reperibilità dei documenti;

• Adeguati lettori per visualizzare i documenti

in informato elettronico (software, sistemi

operativi anche virtualizzati, ecc.);

Accurato (corretto, veritiero, valido e affidabile)

• Qualifica, taratura e manutenzione di strumenti e

apparecchiature

• Convalida dei sistemi che generano, conservano, distribuiscono e

archiviano record elettronici;

• Convalida di metodi analitici, processi produttivi, investigazione

delle deviazioni e di risultati fuori specifica o sospetti;

• Eventuali interfacce convalidate (incluse esportazioni)

• Inserimento manuale di dati in un sistema verificato da una

seconda persona (ad es. una distinta base, i limiti di accettazione

delle analisi di un LIMS).

Se possibili tali dati dovrebbero essere bloccati da modifiche.

Sommario











Stratificazioni della Sicurezza Logica

La sicurezza logica può essere configurata in diversi

“strati”:

• Login al sistema operativo (password di Windows)

• Login al SW applicativo

• Profilo utente nel SW applicativo

• Privilegi sulle cartelle di rete e locali

• Controlli sui sistemi aperti

Ma senza “consapevolezza”

la sicurezza logica non sarà mai adeguata

Management Systems and Governance

Governance di Documenti/Dati

• Il complesso delle misure messe in atto per assicurare

che il dato, indipendentemente dal formato in cui

viene generato, venga registrato, elaborato, conservato

ed utilizzato in modo da assicurarne la integrità

(ovvero la completezza, consistenza e accuratezza) per

tutto il suo ciclo di vita.

Generazione/ricezione(Raw data)

Elaborazione/migrazione e/o

registrazioneUso / Review

Conserva-zione

Archiviazione/recupero

poi Eliminazione

Il ciclo di vita di dati/registrazioni

Definizioni da MHRA GMP Data Integrity Definitions and Guidance for Industry July 2016.

Fase dinamica Statica

Gli argomenti della Governance

Una possibile tabella di marcia …

• Identificare ruoli e responsabilità nel ciclo di vita del dato

• Definire la policy di Data Integrity (impegno del management incluso)

• Identificare i processi organizzativi e i controlli tecnici per la gestione dei

dati, inclusi la progettazione, il funzionamento e il monitoraggio dei

sistemi/processi e potenziali modifiche volontarie e involontarie ai dati

• Pianificare il training sulla data integrity (trasparenza e consapevolezza)

• Identificazione dei rischi legati alla data integrity, loro mitigazione e

identificazione del rischio residuo

• Identificare il periodo di conservazione per ciascuna tipologia di dato e

definirne le modalità

• Stipulare accordi con (eventuali) terze parti

• Definire le modalità di revisione dei dati e dei relativi metadati (incluso

l’audit trail)

Management

• Diffusione della cultura della trasparenza;

– La direzione dovrebbe creare un ambiente lavorativo in cui il

personale sia incoraggiato a comunicare non conformità o

errori, incluse questioni di affidabilità dei dati, in modo da

consentire l’implementazione di azioni correttive e preventive

• Allocazione delle risorse (e delega delle responsabilità)

– Una robusta data integrity inizia dal management che ha la

responsabilità complessiva della operatività tecnica e della

allocazione delle risorse per assicurare la qualità richiesta per

le attività GxP.

Sommario











Sicurezza logica

• Profilo utente nel SW applicativo:

Devo esserci livelli di accesso differenziati per ruolo /

funzione.

L’amministratore deve essere esterno al dipartimento:

per non creare conflitti di interesse

se impossibile, il Superutente dovrebbe avere

anche un altro account da utilizzarsi nella

normale operatività

(es. uno con ruolo Analista, uno con ruolo Admin)

Sicurezza logicaEsempi privilegi CDS Supplier Superuser Amm. IT Chemist Analyst

Administrator All privileges. X

Create Custom Field

Create new custom fields. X X X

Alter System Policies

Modify system policies. X X

Alter Any ProjectModify all properties (name, quota, access, customfields, and so on) for a project.

X X

Backup Projects Back up projects. X X

Delete DataPermanently remove chromatographic data, such asinjections, channels, and so on, from a project.

X

Delete Instrument Methods

Permanently remove instrument methods from theEmpower database.

X

Save Instrument Methods

Save instrument methods. X X X

Save Reporting Methods

Save report methods. X X X

Modify Report Scaling Only

Allows users that do not have the Save Report Methodprivilege to modify the scaling of different groups in areport, but does not allow them to modify anythingelse or save the report. The report can be printedwith the modified scaling.

X X X X

Delete ResultsPermanently remove chromatographic results from theEmpower database.

X

Save Results Save results. X X X X

Acquire SamplesAcquire data from a sample set method in RunSamples.

X X X X

Inalterabilità dei dati (dall’esterno dell’applicativo)

Impostando i privilegi sulle

cartelle di rete e locali è

possibile prevenire la

modifica/cancellazione dei

dati

Sicurezza logica

• Controlli sui sistemi aperti:

Se il sistema è aperto (es.

vi si accede da Internet)

è necessario che vi siano

ulteriori misure di

sicurezza: crittografia

(ad es. sito https, VPN,

PEC …) ed (eventuale)

firma digitale

Sicurezza Logica

1. La data e ora di server e PC

devono essere corrette

(rispetto a un riferimento

ufficiale)

2. Gli utenti finali non devono

avere i privilegi per

modificare la

data-ora dei PC

Correttezza e inalterabilità della

data e ora (per AT e report)

Verifica del backup manuale

Verifica del backup automatico

Registro del SW E-mail automatica Log

Revisione dell’Audit Trail

Secondo MHRA :

• La revisione dell’audit trail deve essere un’attività routinaria

come parte integrante della revisione/approvazione dei dati di

solito eseguita dall’area funzionale di pertinenza

• Deve esistere una modalità attraverso la quale sia possibile dare

evidenza che la revisione dell’audit trail sia stata eseguita

• La revisione si può limitare ai dati con rilevanza GxP (creazione/

processamento/modifica/cancellazione)

• QA dovrebbe rivedere un campione degli audit trail rilevanti,

dati grezzi e metadata durante le ispezioni interne per assicurare

la conformità con le politiche di “governance” dei dati e/o le

procedure.

Es. di AT conforme, ma “scomodo”

Es. di Audit Trail “selezionabile”

Es. di segnalazione delle modifiche

INT TYPE “Bb” indica int. manuale a dx

Ulteriori “Flag”

• Manual significa che ma la creazione del risultato come singola

iniezione (Result) invece che come sequenza di iniezioni (Result

Set) quindi con una unica elaborazione predefinita

• Altered significa che sono stati modificati i parametri inseriti

dall’operatore

Sommario











La prospettiva ‘Business’

Possiamo procedere per gradi

• In alcuni casi si tratta solo di utilizzare appieno i sistemi

computerizzati che già abbiamo …

• Poi si possono introdurre misure procedurali

• Infine ‘possiamo’ provare a migliorare l’efficienza

produttiva

Rete di laboratorio semplice

• Condivisione stampanti

• Backup automatico

• Data e ora sincronizzate in

automatico

Attenzione alle memorizzazioni temporanee

Copia del DB

Rete di laboratorio client server

• Applicazioni con database

centralizzato (più sicuro)

• Disaster recovery

• Review dati da remoto

Database

Rete di laboratorio Paperless

• Iter lavorativi

informatizzati

• Nessuna trascrizione

• Nessuna duplicazione (log

book automatici)

• Gestione apparecchiature,

materiali, reagenti,

procedure e training

• Analisi statistiche dei

trend

• …

das vernetzte Labor

Internet of Things (IoT) nei Laboratori

Analisi costi benenfici

• Una seconda firma, la review dell’Audit Trail sullo

strumento o il logbook dei logbook quanto costano ?

Quanto vale il 20% di risparmio di tempo del personale di

laboratorio ?

• Il rovescio della medaglia :

– Non basta ‘comprare’, occorre ‘comporre’ la soluzione

– Occorre personale specializzato e competenze

multidisciplinari che devono essere coordinate

– Maggiori tempi di sviluppo e messa a punto, per via della

complessità

Tecnologie : Minaccia o opportunità ?

Andrea Luca Rodomonte

Milano, 19 aprile 2016Auditorium Federchimica

Art 23 Direttiva 2001/83/ECCommunity code relating to medicinal products for human use

Article 23 : (Part)1… il detentore dell’autorizzazione deve … considerare il progresso scientifico e tecnologico e introdurre qualsiasi cambiamento richiesto per consentire la produzione ed il controllo dei prodotti medicinali tramite metodi scientificamente accettati.

MHRA aggiunge : … it is expected that GMP facilities shouldupgrade to system with individual login and audit trails by the end of 2017 (reference: Art 23 of Directive 2001/83/EC).

Link Utili• MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/

412735/Data_integrity_definitions_and_guidance_v2.pdf

• WHO Technical Report Series No. 996, Guidance on good data and record

management Practices May 2016 http://www.who.int/entity/medicines/publications/pharmprep/WHO_TRS_996_an

nex05.pdf

• FDA Data Integrity and Compliance With CGMP - Guidance for Industry

http://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/

Guidances/UCM495891.pdf?source=govdelivery&utm_medium=email&utm_source=g

ovdelivery

• PIC/S PI 041-1, Good Practices For Data Management And Integrity In

Regulated Gmp/Gdp Environments Draft 2 August 2016https://www.picscheme.org/useruploads/documents//PI_041_1_Draft_2_Guidance

_on_Data_Integrity_2.pdf

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412735/Data_integrity_definitions_and_guidance_v2.pdf

http://www.who.int/entity/medicines/publications/pharmprep/WHO_TRS_996_annex05.pdf

http://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM495891.pdf?source=govdelivery&utm_medium=email&utm_source=govdelivery

https://www.picscheme.org/useruploads/documents/PI_041_1_Draft_2_Guidance_on_Data_Integrity_2.pdf

Riferimenti

Se avrete domande domani :

[email protected]

+39 348 0387833

Documents

Gestione dei dati elettronici · PDF fileWarning Letter (azienda Italiana) 7/7/14 1. Failure to maintain complete data retention and management: Your firm did not retain complete raw