Total digital Wie lang ist der Weg zur papierlosen Dokumentation? MedConf Nord 2017 Sven Wittorf, Medsoto GmbH
These eines unserer Kunden Der Traum vom papierlosen Büro ist so real wie der Traum von der papierlosen Toilette!
Themen Digitalisierung Signaturen 21 CFR Part 11 Validierung MedConf Nord 2017
Digitalisierung Der Begriff Digitalisierung bezeichnet allgemein die Veränderungen von Prozessen, Objekten und Ereignissen, die bei einer zunehmenden Nutzung digitaler Geräte erfolgt. Quelle: Wikipedia, 2017-06-11
Digitalisierung?
Weltweite technologische Informationskapazität 3% 97% 1993 2007 Quelle: Wikipedia, 2017-06-11
Digitalisierung Gründe Pro 1 Dollar Druckkosten entstehen 30-60 Dollar Folgekosten für: Vorhaltung Transport Nachbereitung Archivierung Recherche Quelle: Gartner Group, Bildquelle: Epson
Aktuelle noch sehr verbreitete Firmenkultur Whenever I ask Quality Management to change something, they answer: Der Entwicklungsleiter eines Kunden
Der Quaitätsmanager desselben Kunden add a field, a name, a date and a signature!
Herausforderung papierbasierter Prozess Autor Reviewer Chef Chefchef Bildquellen: http://www.contentcentral.nl
Lebenszyklus von Dokumentation Erstellung Veränderung Zugriff Freigabe Archivierung
Bürgerliches Gesetzbuch (BGB) 126 Schriftform (3) Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt. Unterschrift
Bürgerliches Gesetzbuch (BGB) 126a Elektronische Form (1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.
Deutsches Signaturgesetz (SigS) 2: Arten von (elektronischen) Signaturen 1. Elektronische Signatur 2. 3. Fortgeschrittene elektronische Signatur Qualifizierte elektronische Signatur
SigS 2: Arten von (elektronischen) Signaturen 1. Elektronische Signatur : Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen
SigS 2: Arten von (elektronischen) Signaturen 2. Fortgeschrittene elektronische Signatur : elektronische Signaturen nach Nummer 1, die a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen, c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann
SigS 2: Arten von (elektronischen) Signaturen 3. Qualifizierte elektronische Signatur : elektronische Signaturen nach Nummer 2, die a) auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und b) mit einer sicheren Signaturerstellungseinheit erzeugt werden
Deutsches Signaturgesetz (SigG) Umsetzung der Europäischen Richtlinie 1999/93/EG
Rechtswirkung elektronischer Signaturen (1) Die Mitgliedstaaten tragen dafür Sorge, daß fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und die von einer sicheren Signaturerstellungseinheit erstellt werden, a) die rechtlichen Anforderungen an eine Unterschrift in bezug auf in elektronischer Form vorliegende Daten in gleicher Weise erfüllen wie handschriftliche Unterschriften in bezug auf Daten, die auf Papier vorliegen, und b) in Gerichtsverfahren als Beweismittel zugelassen sind. Richtlinie 1993/93/EG Artikel 5 Rechtswirkung elektronischer Signaturen
Qualifizierte elektronische Signatur in der Praxis
Forderungen an die Dokumentation [ ] Ein dokumentiertes Verfahren muss die erforderlichen Lenkungsmaßnahmen festlegen, um: a) Dokumente bezüglich ihrer Angemessenheit vor ihrer Herausgabe zu bewerten und zu genehmigen, [ ] DIN EN ISO 13485:2016-4.2.4 Lenkung von Dokumenten
Regulatorische Forderungen [ ] Der Hersteller bringt die CE-Kennzeichnung gemäß Artikel 17 an und stellt eine schriftliche Konformitätserklärung aus. [..] Richtlinie 1993/42/EWG Anhang II EG-Konformitätserklärung
Zwischenfazit
Lebenszyklus von Dokumentation Erstellung Veränderung Zugriff Freigabe Archivierung
21 CFR Part 11 Electronic Records, Electronic Signatures
21 CFR Part 11 Definitionen Electronic Record Information in digitaler Form Electronic Signature elektronischer Datensatz, der das gültigen Äquivalent einer handgeschrieben Unterschrift darstellt Digital Signature Elektronische Unterschrift basierend auf kryptographischen Methoden welche die Identität des Unterzeichners und die Integrität der Daten verifiziert aus 21 CFR Part 11
21 CFR Part 11 vs. Signaturrichtlinie Electronic Record Electronic Signature Digital Signature Elektronische Signatur Fortgeschrittene elektronische Signatur Qualifizierte elektronische Signatur aus 21 CFR Part 11
Elektronische Aufzeichnungen procedures and controls shall include the following: [ ] (b) The ability to generate accurate and complete copies of records in both human readable and electronic form suitable for inspection, review, and copying by the agency. [ ] 21 CFR Part 11 - Subpart B Electronic Records 11.10 Controls for closed systems
Elektronische Aufzeichnungen procedures and controls shall include the following: [ ] (e) Use of secure, computer-generated, timestamped audit trails to independently record the date and time of operator entries and actions that create, modify, or delete electronic records. [ ] 21 CFR Part 11 - Subpart B Electronic Records 11.10 Controls for closed systems
Elektronische Aufzeichnungen procedures and controls shall include the following: [ ] (i) Determination that persons who develop, maintain, or use electronic record/electronic signature systems have the education, training, and experience to perform their assigned tasks. [ ] 21 CFR Part 11 - Subpart B Electronic Records 11.10 Controls for closed systems
Zwischenfazit
Audit Trail - Stolperfallen
Nutzerauthentifizierung - Anforderungen
Nutzerauthentifizierung (a) Electronic signatures [ ] shall: [...] (3) Be administered and executed to ensure that attempted use of an individual s electronic signature by anyone other than its genuine owner requires collaboration of two or more individuals. 21 CFR Part 11-11.200 Electronic signature components and controls
Nutzerauthentifizierung Persons who use electronic signatures [...] shall employ controls to ensure their security and integrity. Such controls shall include: [...] (b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging). [...] 21 CFR Part 11-11.300 Controls for identification codes/passwords
Nutzerauthentifizierung Such controls shall include: [...] (d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management. 21 CFR Part 11-11.300 Controls for identification codes/passwords
Zwischenfazit
Part 11 Anforderungen an die Organisation Die Software muss für ihren Zweck validiert werden Das System muss dokumentiert und entsprechend gewartet werden Die Datenhaltung und Erhaltung (Archivierung, 10-15 Jahre!) müssen sichergestellt sein Es müssen regelmäßige Prüfungen der Systeme / Daten auf Vollständigkeit und Unversehrtheit erfolgen Richtlinien bzgl. Passwort Komplexität und Gültigkeit Identität der Benutzer muss überprüft werden Benutzer müssen geschult werden Software Organisation
Fazit Part 11
Fazit Part 11 2. Failure to assure that when computers or automated data processing systems are used as part of the production or quality system the manufacturer shall validate computer software for its intended use according to an established protocol, as required by 21 CFR 820.70(i). For example, electronic records are used, but there was no software validation. No procedures are established to validate for its intended purpose [ ]
Einsatz eines Software Ist Tools dieses Tool validiert? Auditor QMB Entwickler
Forderungen nach Tool-Validierung ISO 13485 GAMP 5 Tool Validierung 21 CFR 820 FDA Guide on SW Validation 21 CFR 11
Begriff Validierung ISO 9000:2000 Bestätigung durch Bereitstellung eines objektiven Nachweises, dass die Anforderungen für einen spezifischen beabsichtigten Gebrauch oder eine spezifische beabsichtigte Anwendung erfüllt worden sind IEC 60601-1 Vorgang der Beurteilung eines PEMS oder einer Komponente eines PEMS während oder am Ende des Entwicklungsprozesses, um festzustellen, ob es die Anforderungen für seine beabsichtigte Verwendung erfüllt. FDA: General Principles of Software Validation confirmation by examination and provision of objective evidence that software specifications conform to user needs and intended uses, and that the particular requirements implemented through software can be consistently fulfilled
Begriff Validierung ISO 9000:2000 Bestätigung durch Bereitstellung eines objektiven Nachweises, dass die Anforderungen für einen spezifischen beabsichtigten Gebrauch oder eine spezifische beabsichtigte Anwendung erfüllt worden sind IEC 60601-1 Vorgang der Beurteilung eines PEMS oder einer Komponente eines PEMS während oder am Ende des Entwicklungsprozesses, um festzustellen, ob es die Anforderungen für seine beabsichtigte Verwendung erfüllt. FDA: General Principles of Software Validation confirmation by examination and provision of objective evidence that software specifications conform to user needs and intended uses, and that the particular requirements implemented through software can be consistently fulfilled
Anforderungen an Software-Tool-Validierung FDA SECTION 2. SCOPE [ ] Based on the intended use and the safety risk associated with the software to be developed, the software developer should determine the specific approach, the combination of techniques to be Used, and the level of effort to be applied. [ ] FDA Guidance: General Principles of Software Validation
Risikobasiert! FDA Guidance: General Principles of Software Validation
Anforderungen an Software-Tool-Validierung FDA 6. VALIDATION OF AUTOMATED PROCESS EQUIPMENT AND QUALITY SYSTEM SOFTWARE [ ] The device manufacturer has latitude and flexibility in defining how validation of that software will be accomplished, but validation should be a key consideration in deciding how and by whom the software will be developed or from whom it will be purchased. [ ] FDA Guidance: General Principles of Software Validation
Herstellerqualifizierung! FDA Guidance: General Principles of Software Validation
Mythos: Wir drucken alles aus und brauchen deswegen nicht zu validieren
Mythos: Wir drucken alles aus und brauchen deswegen nicht zu validieren
Kritische (Prozess-)Aktivitäten Risikomanagement
Einfluss von Tools auf die Sicherheit des Patienten Medizinprodukt (Software) beeinflusst Mediziner/ Anwender behandelt erstellt bedient Medizinprodukt (PEMS) behandelt Patient Software- Tool beeinflusst Hersteller erstellt
Einfluss von Tools auf die Erstellung eines Produktes Entwicklung Produktion Anforderungen Baumustertest Serienspezifikation Endtest Design Komponententest Serienproduktion Umsetzung Zulieferkomponenten
Beispielhaftes Vorgehen beim Validieren eines Tools 1. Erstellen einer SOP zur Tool Validierung Kernelement Risikobewertung! 2. Identifikation der Use Cases / Anforderungen 3. Definieren von Tests 4. Dokumentation der nötigen Infrastruktur 5. Dokumentation der nötigen Konfiguration 6. Ausführen der Tests 7. Zusammenfassung mit Bewertung
Tool-Validierung in der Praxis Medizintechnik eine einfache Tabelle pro Tool ein Dokument pro Tool ein eigenes Projekt eine eigene Ressource
Fazit Validierung
Zusammenfassung Ein komplett digitaler Prozess ist möglich, aber anspruchsvoll Die Prozesse müssen sauber definiert sein Die benutzten Tools müssen sauber konfiguriert sein Das System muss validiert sein Die Prozesse müssen geschult und gelebt werden
Vielen Dank für Ihre Aufmerksamkeit! Sven Wittorf Geschäftsführer Medsoto GmbH E-Mail: sven.wittorf@medsoto.de http://www.medsoto.de/