Posts tagged ‘integridad de datos’

Un colega me comentaba sobre la importancia del manejo de los cuadernos del laboratorio de QC, y claro ambos coincidíamos en ello y en el manejo de la integridad de datos en el laboratorio.

Es por eso que hoy quiero referirme de forma breve al uso de los cuadernos del laboratorio o notebooks o simplemente LNBs.

Los LNB en el laboratorio están destinados a ser utilizados para el registro de datos generados durante los preparativos y la ejecución de ensayos, para hacer entradas de registro de actividades o eventos relevantes y como punto de referencia para la localización de datos primarios (crudos).

Datos que, en muchos casos, no se introducen directamente. Los datos deben introducirse en detalles suficientes para la plena comprensión y replicación o reconstrucción de un ensayo.

Se documenta el propósito, las interpretaciones, las ideas, las sugerencias, el resumen del ensayo con referencias a cualquier protocolo, técnicas, fuentes de literatura, otros cuadernos, cálculos y análisis de datos. Las estructuras y fórmulas químicas deben definirse sin ambigüedades.

Para efectuar el registro de datos, debemos considerar:

  • Que todas las inscripciones se hagan en orden cronológico y se escribirán de forma legible con tinta inalterable (NO debe usarse ningún líquido corrector).
  • Que los datos deben introducirse en el momento / día en que se realiza el trabajo.
  • Llenar el libro con páginas numeradas consecutivamente y no dejar ninguna página en blanco.
  • Que las páginas o partes de páginas no utilizadas deben anularse dibujando una línea diagonal a través de la página o parte de la página.
  • Cruzar los errores (dejando el original legible) e insertar la corrección incluyendo el motivo de la corrección. Firma / inicial y fecha la corrección.
  • Incluir la fecha de entrada en cada página y al principio de cada entrada de nuevo día. El nombre del proyecto debe ser ingresado si corresponde.
  • Que los datos originales producidos en papel deben ser permanentemente adjuntados, identificados, firmados y fechados dentro del LNB por el analista. Si los datos son demasiado numerosos / no se ajustan a la página, se deben conservar y hacer referencias cruzadas después de haber sido numerados, fechados y firmados por el analista.
  • Que los datos electrónicos referenciados a un LNB deben mantenerse permanentemente en forma inalterable. Es aconsejable disponer de información sobre el nombre del archivo y un breve resumen del contenido del registro electrónico.
  • Que las inscripciones del LNB deben ser vistas (ver arriba) tan pronto como sea posible (al menos semanalmente) por una persona calificada, que las haya leído y entendido.
  • Mantener los LNB en un armario o cajón cerrado cuando no estén en uso.

En cuanto al archivo de los mismos, los LNB deben completarse y cerrarse de acuerdo a lo indicado en SOP del laboratorio (por ejemplo, dentro de los dos años de su expedición o cuando estén llenos), y después archivarse y microfilmarse (si corresponde) de acuerdo a lo indicado en el procedimiento del laboratorio. Deben ser almacenados y conservados de acuerdo a lo indicado por política de administración de registros del laboratorio.

  1. Hay una separación clara de responsabilidades y cooperación entre todo el personal relevante tal como propietario del proceso de negocios, propietario del sistema, una persona calificada de QA e IT?
  2. Hay un Análisis de riesgo documentado efectuado a lo largo del ciclo de vida del sistema computarizado, teniendo en cuenta la justificación para la validación, seguridad del paciente, integridad de datos y la calidad del producto?
  3. La documentación de validación incluye los registros de Controles de Cambios (si los hay) y los reportes sobre cualquier desvío observado durante el proceso de validación?
  4. Hay una URS para cada sistema, donde se describen las funciones esperadas por los usuarios y estas son trazables a lo largo del ciclo de vida de los documentos?
  5. Para la validación de SC customizados / categoría 5 GAMP5, hay un proceso “in place” para asegurar el análisis formal y el reporte de calidad y medidas de la performance para todas las etapas del ciclo de vida del SC?
  6. En el caso que sean transferidos datos a otro formato de datos o sistema. La validación incluye la verificación que los datos no han sido alterados en valor y/o significado durante el proceso de migración?
  7. En el caso que el SC intercambie datos electrónicamente con otros sistemas. Hay chequeos incorporados apropiados para verificar el correcto y seguro ingreso y proceso de los datos, de manera de minimizar los riesgos?
  8. En el caso que sean ingresados datos de forma manual. Hay una verificación adicional efectuada por una segunda persona o medio electrónico validado para asegurar la exactitud de los mismos? La criticidad y las consecuencias potenciales de potenciales errores o datos ingresados de forma incorrecta debería ser cubierta por la gestión de riesgo.
  9. Cómo es la seguridad de los datos frente al daño (tanto física como electrónica)? Los datos almacenados deberían ser chequeados para su accesibilidad, lectura y exactitud. El acceso a los datos debe ser asegurado a lo largo del período de retención.
  10. Es efectuado un back up de los datos de forma regular? La integridad y exactitud del back up de datos y la capacidad para recuperar datos debe ser verificada durante la validación y el monitoreo periódico.
  11. Es posible obtener copias impresas de datos almacenados electrónicamente de forma clara?
  12. Para registros que soportan la liberación del lote, es posible generar impresiones indicando si alguno de los datos ha sido cambiado desde la entrada original?
  13. Hay un “Audit Trail” diseñado dentro del sistema el cual registra todo cambio GMP relevante y las eliminaciones?
  14. Todos los cambios y eliminaciones de datos GMP relevantes son documentadas con una justificación?
  15. Los audit trails están disponibles y convertibles a un formulario comprensible?
  16. Los cambios a un SC son incluidos en un sistema de configuración hecho en una forma controlada de acuerdo a un procedimiento definido?
  17. Todos los SC son periódicamente evaluados para confirmar que ellos se mantienen en un estado validado y están en cumplimiento de las GMP? Las evaluaciones deberían incluir, si es apropiado, el rango actual de funcionalidad, el registro de los desvíos, incidentes, problemas, historial de las actualizaciones, performance, confiabilidad y reportes de estatus de validación.
  18. Hay controles físicos y lógicos, “In Place” para restringir el acceso a los SC a las personas autorizadas? Por ejemplo, uso de claves, tarjetas, código personal con contraseñas, biométricas, para restringir el acceso a áreas del equipamiento computarizado y almacenamiento de datos.
  19. Los sistemas de gestión de datos y documentos están diseñados para registrar la identidad de los operadores que ingresan, cambian, confirman o borran datos incluyendo la fecha y la hora?
  20. Cómo son reportados y evaluados los incidentes? La causa raíz del incidente debe ser identificada y debe ser la base de la acción correctiva (CAPA).
  21. Ha sido efectuada la evaluación de la parte 11 para los sistemas relevantes?
  22. Hay un procedimiento que confirma que la firma electrónica tiene el mismo impacto que las formas manuscritas dentro de los límites de la compañía?
  23. Las firmas electrónicas permanecen relacionadas a sus respectivos registros electrónicos?
  24. Cuando el sistema computarizado es usado para la certificación y liberación de lotes, el sistema permite solo personas calificadas para certificar la liberación de los lotes y claramente identificada y registra la persona que libera y certifica los lotes? Esto podría ser efectuado utilizando una firma electrónica.
  25. Los datos han sido chequeados para su accesibilidad, disponibilidad e integridad?

CSV

El proceso de Análisis de riesgos conducido como parte del ciclo de vida de validación de sistemas computarizados, nos permite poner el énfasis y la atención apropiada en aquellas partes del sistema que pueden tener potencial impacto sobre la seguridad al paciente, la calidad del producto y la integridad de datos.

mitigarriesgo1

Es recomendable conformar un equipo para el manejo de la validación de los sistemas computarizados inicialmente, y para el posterior manejo de los cambios que pudiera tener el sistema durante su uso productivo. Este equipo debe tener como mínimo de los siguientes roles:

  • Propietario del sistema (inicialmente este role puede ser llevado a cabo por el manager del proyecto)
  • Propietario de procesos del negocio
  • Proveedor (o representante técnico)
  • Representante de IT (con formación en Compliance)
  • Representante de Quality Assurance

Los principios de evaluación y gestión de riesgos son aplicados desde que se introduce un sistema informático a la planta, y además durante el control de cambios, la revisión periódica y el decomiso del mismo.

Como parte de la implementación inicial del sistema computarizado, se evalúan los riesgos del proyecto, por ejemplo: restricciones de recursos, falta de conocimiento técnico, financiación, estabilidad del proveedor, etc. Estos riesgos del proyecto pueden ser manejados por el Propietario de procesos del negocio o Project Manager.

Registro del sistema y determinación del impacto regulatorio

Se trata de la primera etapa de análisis de riesgos del sistema, donde se efectúa una evaluación regulatoria (por ej. si el sistema tiene impacto GxP), o es crítico para el negocio, SOx, Finanzas, Privacidad de datos, eDiscovery. Luego de esta evaluación, se toma y se registra la decisión sobre si el sistema será validado.

Clasificación de riesgo del sistema

Si un sistema computarizado debe validarse entonces debe llevarse a cabo una clasificación de riesgo del sistema para ayudar a determinar el nivel y el alcance de las actividades de validación requeridas. Los resultados de la clasificación de riesgos deben ser registrados.

La clasificación de riesgos del sistema asigna un score que puede ser Alto, Medio o Bajo basado en:

  • El status GxP del sistema
  • El status de evaluación del proveedor (Rojo, Amarillo o Verde)
  • La categoría GAMP5 del sistema
  • Si el sistema almacena registros GxP
  • Si el sistema tiene una red de conectividad.

Estos factores son registrados en el sistema de registro.

Esta clasificación de riesgo pretende reflejar el potencial nivel de riesgo que el sistema tiene para el proceso de negocio, por ej. Si el sistema fue desarrollado a medida, de acuerdo a las GAMP es categoría 5, o el proveedor tiene un sistema de gestión de calidad que NO es lo suficientemente maduro, la clasificación de riesgo del sistema establecida será mayor para asegurar que se aplican controles más exhaustivos durante el ejercicio de validación del sistema.

Para cada sistema, los entregables requeridos son descriptos en el Plan de Validación del sistema computarizado. El nivel de las actividades de validación dependerá de la clasificación del sistema, bajo, medio o alto, el paquete de testeos y su ejecución podría ser efectuado por el proveedor en el caso de un sistema de bajo riesgo, aunque en el caso de un sistema de alto riesgo, el paquete suele ser desarrollado en conjunto (proveedor + laboratorio) y la ejecución puede ser efectuada por el proveedor con la aprobación final del laboratorio o efectuada por el laboratorio.

Análisis de riesgo funcional

Si es requerido, un análisis de riesgo funcional es llevado a cabo. Esto se puede hacer a un nivel alto y / o un nivel funcional. El factor clave para llevar a cabo una evaluación de riesgos funcional es en los casos donde los escenarios de riesgo y la probabilidad y controles de mitigación no pueden determinarse sólo por hacer una evaluación de alto nivel y donde se requiere más detalle. Evaluación del riesgo sólo puede llevarse a cabo una vez que el diseño del sistema se ha acordado y aprobado. Los sistemas de bajo riesgo no necesitan someterse a una Evaluación de Riesgos. Los sistemas clasificados como de medio y alto riesgo deben someterse a una evaluación de riesgos en un nivel alto como mínimo. Una evaluación de riesgo alto nivel considera requisitos en grupos.

  • La primera etapa es para clasificar los requerimientos. Dentro del URS, para cada requerimiento:
    • Establecer el impacto GxP
    • Establecer la criticidad para el negocio
    • Establecer cualquier otra área sujeta a regulación, ej. SOx, Financiera, Privacidad de datos, eDiscovery.
  • La segunda etapa implica la realización del análisis de riesgo para cada requerimiento

El foco de la evaluación está en la interacción del sistema con el proceso de negocio.

El análisis de riesgo debe considerar, para cada requerimiento:

  • Qué podría salir mal (modos de fallas);
  • Probabilidad
  • Impacto
  • Detectabilidad

Luego se lleva adelante un sistema de score de riesgos basados en la probabilidad de ocurrencia, el impacto o severidad del evento y la detectabilidad del mismo (según el enfoque de la GAMP5), el foco debe estar en aquellos ítems donde la clasificación final del riesgo del sistema es medio o alto.

A modo de ejemplo podemos utilizar los siguientes valores:

Probabilidad (1-3)

Severidad (1-3)

Detectabilidad (1-5)

De acuerdo a estos valores, el score mínimo es 1 y el máximo a obtener es 45 y podemos valorar los riesgos de la siguiente manera:

Bajo riesgo (1-4)

Riesgo medio (5-10)

Alto riesgo (>10)

  • La tercera etapa en el proceso es para identificar los controles de mitigación para cada requerimiento. Los controles incluyen testeos técnicos y de negocios, SOPs, requerimientos de entrenamiento, etc.
  • El reporte de la Evaluación de Riesgos funcional, puede ser elaborado utilizando un modelo o template adecuado, y el mismo debe ser aprobado por QA.

Si Ud. quiere mejorar tiene que hacer algo diferente.

A continuación le dejamos un cuestionario sobre 10 temas GMP:

Políticas y Procedimientos:

  1. Sus procedimientos son escritos por los usuarios y para los usuarios?
  2. Están disponibles en los lugares de trabajo?
  3. Sus políticas describen el por qué (visión general) y sus procedimientos el cómo (detalles)?
  4. Utiliza figuras, esquemas y flujogramas para darles más claridad?
  5. Tienen el nivel de detalle apropiado para el usuario?
  6. Ensaya los procedimientos claves antes de implementarlos?
  7. Revisa, corrige y mejora los procedimientos claves después de 6 meses de uso?

Educación:

  1. Hace foco en la educación (cambios de conducta) NO solo en cumplir con el entrenamiento?
  2. Tiene una estrategia de educación a 3-5 años?
  3. Dispone de un presupuesto para educación?
  4. Sus programas de educación están diseñados para satisfacer todos los estilos de aprendizaje?
  5. La mayoría de su educación ocurre en el lugar de trabajo, o sea fuera de la sala de capacitación?
  6. evita que el entrenamiento termine en la presentación?
  7. Hace foco en proveer el fundamento básico (el porqué)?
  8. El repaso de las GMP, se renueva anualmente?

Gestión de Riesgos de Calidad (GRC):

  1. Aplica la GRC para la priorización y la mejora continua y NO para apagar incendios, manejar las crisis o cuando las cosas salen mal?
  2. Acepta que no existe el riesgo cero?
  3. Los principios y las prácticas de la GRC son entendidas a todos los niveles (desde el Gerente de la Planta hasta los operadores de la misma)?
  4. Usa la GRC a lo largo del ciclo de vida del producto? Por ejemplo:
  • Para enfocar sus actividades de validación?
  • Para escalar los eventos de calidad?
  • Para optimizar sus recursos de auditorías?
  • Para clasificar los desvíos o reclamos de clientes?
  • Para optimizar el monitoreo ambiental?
  • Para proporcionar un marco para la toma de decisiones basado en el riesgo?
  1. Hay un excelente conocimiento de sus procesos y productos a lo largo de su empresa… sin el cual es imposible la GRC?
  2. NUNCA usa la GRC para justificar lo que sabe que es de baja calidad?

Manejo de desvíos y sistema CAPA:

  1. Tiene una cultura abierta, libre de culpables, donde las personas son alentadas a reportar los desvíos?
  2. Los incidentes son reportados inmediatamente, sin demoras?
  3. Efectúa una clasificación de los incidentes objetivamente dentro de 24 hs. Para priorizar los recursos y efectuar las investigaciones?
  4. Inicia sus investigaciones dentro de un día de trabajo hábil, como máximo?
  5. Investiga proporcionalmente al riesgo, en vez de tratar cada incidente de la misma forma?
  6. Las investigaciones son efectuadas donde ocurre el incidente, o son manejadas detrás de un escritorio?
  7. Las investigaciones son hechas por personas con conocimiento de los procesos y productos, o sólo por QA?
  8. Los CAPAs están focalizados en prevenir la re-ocurrencia en vez de ocuparse de los síntomas superficiales?
  9. Implementa CAPAs tan pronto como es posible, o cae en asignarle por regla 30 días?
  10. Cree que el error humano es la “consecuencia” y rara vez la “causa” de los desvíos?
  11. Lleva una tendencia de los eventos repetidos?
  12. Comparte incidentes y CAPAs a lo largo de la organización para fomentar la mejora continua?
  13. Arma una agenda para verificar la efectividad de cada CAPA para evaluar cuan exitosos han sido para prevenir la re-ocurrencia del desvío?

Métricas de Calidad y KPI (Indicadores Claves de Performance):

  1. Tiene métricas orientadas a la mejora de los procesos?
  2. Usa usted el enfoque de “Pareto”, centrándose en el 20% de las métricas que proporcionan el 80% del beneficio?
  3. Son sus métricas de “propiedad” de los usuarios? Las mismas se ven impulsadas hacia arriba, no de arriba hacia abajo?
  4. Los datos son compartidos con los usuarios y los grupos de interés para impulsar la mejora continua?

Auditorías internas y autoinspecciones:

  1. Su programa está basado en el riesgo?
  2. Tiene un proceso de escalada rápido y efectivo para las observaciones críticas y las tendencias negativas?
  3. Sus auditores están plenamente calificados, educados a partir de todas las áreas, no sólo de aseguramiento de calidad?
  4. Sus auditores ofrecen consejos prácticos y soluciones, no solo críticas?
  5. Las inspecciones son usadas para agregar valor, no solo por el bien de compliance?
    • Para ayudar a prevenir problemas
    • Para compartir las mejores prácticas en todas las áreas
    • Para expulsar a la complejidad, no crearla
  6. Hace una tendencia de los hallazgos de la auditoría para evaluar la imagen completa?
  7. Sus programas de auditorías internas y autoinspecciones aseguran que está listo para ser inspeccionado en todo momento?

Sistema de control de cambios:

  1. Su sistema de control de cambios ha sido diseñado con la participación activa de todas las partes interesadas y no solo QA?
  2. Su sistema de control de cambios es simple y entendible para todos?
  3. El control de los cambios es considerado vital para la mejora del negocio y la gestión de los riesgos o solo se lo considera por un tema de cumplimiento de las regulaciones?
  4. El sistema tiene un requerimiento del cambio el cual es revisado y aprobado en hs o días, no meses?
  5. Su sistema de control de cambios utiliza una evaluación de impacto basada en los riesgos como soporte para la aprobación o el rechazo de las solicitudes de cambios?
  6. Efectúa el seguimiento de todos los cambios aprobados para asegurarse que los mismos fueron efectivos?

Validación:

  1. Sus actividades de validación están bajo un Plan?
  2. Dispone de los recursos necesarios para el cumplimiento de las actividades de validación?
  3. Realmente entiende la variabilidad el proceso?
  4. Cada uno entiende o conoce los puntos críticos de control del proceso?
  5. Cada uno entiende los atributos claves del producto, aquellos que impactan en la seguridad del paciente?
  6. Sus métricas confirman un proceso bajo control? “Cero” retrabajos y/o reprocesos, 100% correcto a la primera vez?

Integridad de datos:

  1. Todo su personal entiende que una pobre integridad de los datos, genera pérdida de confianza regulatoria?
  2. Tiene back up y archivo de sus datos?
  3. Rutinariamente revisa y comprueba la integridad de los datos?
  4. Rutinariamente desafía todas las transacciones (audit trail)?
  5. Tiene validados sus sistemas de gestión de datos?

Su Cultura de Calidad:

  1. Qué hace la gente cuando nadie la observa?
  2. QA está integrado a la planta?
  3. Los supervisores dedican más tiempo a la planta que a las reuniones?
  4. Cada uno tiene objetivos personales de performance de calidad?
  5. Sus líderes predican con el ejemplo y demuestran las conductas de calidad correctas?
  6. La gente habla sobre Calidad, no solo sobre resultados?
  7. Desarrolla, recompensa y retiene los conocimientos en lugar de permitir que dejen la organización cada vez que vean algo mejor?
  8. Trata a sus proveedores como una extensión de su línea de producción?
  9. Selecciona a sus proveedores en base a calidad, no en base a precio?
  10. Cada uno se siente conectado al paciente?
  11. Regularmente compara sus estándares con los del mejor en su categoría?

Si alguna de las respuestas no fue del todo satisfactoria, Ud. ha detectado una oportunidad de mejora sobre alguno de los 10 temas, asegúrese tener un plan de acciones de remediación.

Desde cGMPdoc podemos darle soporte en entrenamientos, implementación o actualización de procesos, auditorías, evaluación de sus proveedores, consulte en info@cgmpdoc.com

 

 

 

 

Cualquier evaluación de integridad de datos dentro de una operación de laboratorio manual o electrónica debe basarse sobre un análisis de riesgo vs las siguientes características detalladas a continuación:

Atribuible

¿Quién adquirió los datos o realizó una acción y cuándo? Si un registro es modificado por quién y porqué.

Legible

Los datos deben ser registrados de forma permanente (duradera) y fácil de leer.

Contemporáneo

Los datos deben ser registrados al mismo tiempo que el trabajo es efectuado con marca de fecha y hora.

Original

La información registrada deben ser datos originales (datos crudos) o una copia certificada del proceso. Los datos NO deben ser transcritos de una fuente a otra sin justificación y sin control certificado del proceso.

Exacto       

Sin errores o ediciones efectuadas, sin enmiendas en los documentos. La información registrada es correcta.

Basado sobre estas características (atributos de integridad de datos) los laboratorios deben asegurar que los procesos analíticos están definidos, mapeados y con los riesgos evaluados para cumplir con la integridad de datos a lo largo del ciclo de vida de los datos. Todos los datos del sistema procesado deben ser incluidos.

El uso de análisis de riesgo y la generación de proceso de mapeo permite una mayor visibilidad de donde la integridad de datos es crítico y además da soporte a las autoinspecciones de tales sistemas.

Dentro de estos requerimientos básicos, las siguientes 10 áreas claves son esenciales para asegurar la integridad de los datos dentro de los límites de un sistema de datos electrónicos, esto está detallado en el siguiente artículo del blog: http://wp.me/p1Hn5Y-tA

Análisis de riesgo:

El análisis de riesgo es el proceso de identificar los peligros y los modos de falla y evaluar las consecuencias potenciales de esos peligros. Esto es críticamente dependiente de que sea involucrado personal con conocimiento.

Los análisis de riesgos de calidad comienzan con una descripción bien definida del problema, una pregunta de riesgo o un análisis de un área de riesgo particular. En el caso de integridad de datos el proceso de laboratorio individual debe ser mapeado en detalle, comenzando por la preparación de la muestra, a través de los resultados de verificación / aprobación y finalizando con el archivo y recuperación de los datos.

Una vez que el proceso fue analizado para las áreas de riesgo crítico de integridad de datos, por ej. Cuál es el riesgo y que impacto podría tener sobre la calidad del producto y la seguridad del paciente, entonces pueden ser asignadas etapas de mitigación.

El proceso de análisis debe seguir las siguientes preguntas, por ej:

  • ¿Qué podría salir mal?
    • Datos han sido perdidos
    • Los sistemas fallan y no hay un plan de continuidad del negocio in place
    • Los datos no están siendo registrados
    • Los datos no están siendo verificados
    • El audit trail no está siendo revisado
    • El audit trail no está funcionando
    • El entrenamiento y la concientización del equipo/instrumento es inadecuado
    • Los passwords están siendo compartidos
    • Los resultados no son atribuibles
  • ¿Cuál es la probabilidad de que esto salga mal?
  • ¿Cuáles son las consecuencias (severidad) para la calidad del producto o la seguridad del paciente?
  • La falla ¿Será detectada? ¿Cómo?

Hay muchas herramientas y técnicas que pueden ser usadas para ayudar a identificar peligros y /o modos de fallas y evaluar los riesgos. No hay una sola herramienta o técnica que cumpla con todos los requerimientos, en otro momento ampliaremos sobre las mismas.

Espero que les resulte útil.

 

 

Dentro de estos requerimientos básicos, les dejamos 10 tips claves, esenciales para asegurar la integridad de los datos dentro de los límites de un sistema de datos electrónicos:

images_dataintegrity1

  1. Identidad única para cada usuario:

Para sistemas basados en papel, siguiendo las Buenas Prácticas de Documentación la identificación de cada analista puede ser alcanzada a través de que cada persona firme o coloque sus iniciales sobre una impresión o notebook de laboratorio. Con los sistemas electrónicos, este principio debe ser mantenido por medio de la identidad única del usuario.

Las cuentas de usuarios no deben ser compartidas, por ej. Una cuenta de usuario establecida para dos analistas para el acceso a un software de laboratorio de un sistema HPLC.

Las identidades de los usuarios no deben ser reusadas, si una persona deja el laboratorio o la compañía, esa identidad del usuario (ID) debe ser removida del uso y cualquier nuevo usuario debe ser habilitado con un nuevo y único número de cuenta de usuario.

  1. Implementar controles de passwords adecuados:

Los passwords deben ser efectivos de manera que no puedan ser adivinados por otros, por ej. Su nombre / dirección / fecha de cumpleaños, etc. pero no lo demasiado complejos de manera que el usuario lo tiene que tener escrito para poder recordarlo.

Los passwords NO deben ser compartidos bajo ninguna circunstancia. Cuando las credenciales de registro son compartidas, los individuos específicos no pueden ser identificados a través de la actividad de registro y por consiguiente se pierde la integridad de datos.

  1. Establecer diferentes tipos de usuarios con diferentes privilegios de acceso:

Los accesos a los sistemas o equipos deben ser limitados solo a individuos autorizados, por ej. Analistas, administradores.

Cada tipo de usuario debe ser asignado con diferentes privilegios de acceso de acuerdo al rol que efectuará en el sistema. Debe haber protocolos de seguridad de datos en los cuales se describe el rol del usuario y sus responsabilidades en términos de privilegios de acceso, cambio, modificación, creación y eliminación de proyectos y datos. Solo personal senior debe tener cuentas que le permiten administración completa del sistema, incluyendo la edición de los métodos y de los proyectos.

El rol del administrador del sistema debe asegurar que cualquier requerimiento de cambio, eliminación, etc. es cuidadosamente registrado, y atribuido a un individuo para asegurar que la trazabilidad es mantenida.

  1. Establecer y mantener una lista de los usuarios actuales e históricos:

Una lista de los usuarios del sistema actuales y de los previos necesita ser establecida y mantenida, si un miembro del personal ha dejado de serlo, entonces la cuenta debe ser inmediatamente puesta como no disponible.

  1. Control de cambios del sistema:

Relacionado con la asignación de privilegios de accesos está la capacidad de un usuario de hacer cambios. Los cambios deben ser solo efectuados por medio de los individuos autorizados, ej. Cambios de métodos, parámetros de integración y línea de base. Esto debe ser posible para identificar cuáles individuos hicieron los cambios para determinar si ellos tienen el apropiado entrenamiento, educación y experiencia.

  1. Solamente personal entrenado debe operar el sistema:

Hay un requerimiento para que todo el personal tenga la combinación de educación, entrenamiento y experiencia para efectuar su trabajo. Una parte clave de cualquier programa de entrenamiento es que debe hacer foco sobre la generación de datos y que los cambios solo pueden ser hechos de acuerdo a procedimientos predefinidos para prevenir una acusación de falsificación o fraude.

Los usuarios de instrumentos o equipos deben poder demostrar su capacidad de uso frente a las agencias regulatorias cuando es requerido, dentro de su descripción de rol.

  1. Registrar toda la información

Los registros de laboratorio deben incluir datos completos derivados de todos los ensayos necesario para asegurar el cumplimiento con las especificaciones y estándares establecidos. Esta es la clave para establecer la integridad de los datos en un sistema de captura de datos electrónicos, a pesar de las situaciones que nos pueden ocurrir, errores, mal funcionamiento de un equipo, etc.

Los datos crudos, “raw data”, (ej. Cromatogramas, pesadas del estándar y de muestras, cálculos, estándares, reactivos, información del instrumento) deben estar disponibles siguiendo la ejecución del trabajo para permitir que una investigación pueda ser llevada a cabo eficientemente y para confirmar la autenticidad y confiabilidad de los datos durante la inspección efectuada por la agencia regulatoria. Todos los datos deben ser registrados de manera que las actividades puedan ser cuidadosamente reconstruidas.

  1. Definir y documentar registros electrónicos para el sistema

Para registros electrónicos los usuarios deben determinar cuáles datos serán definidos como “raw data”, como mínimo, todos los datos sobre los cuales se basa la toma de decisiones de calidad deben ser definidos como raw data.

Toda la documentación creada durante el análisis la cual incluye un registro es considerada como evidencia de una actividad, de este modo, los archivos de datos creados durante una corrida analítica son registros.

Muchos documentos (instrucciones y/o registros) pueden existir en formatos híbridos, por ej. Algunos elementos como electrónicos y otros en papel. No importa si un registro es generado en papel, existe con firmas manuscritas y le sigue una impresión de un registro electrónico (sistema híbrido) o si es mantenido completamente electrónico.

Controles apropiados deben están en uso para asegurar la integridad de los registros a lo largo del período de retención. Debe estar claramente definido cual registro está relacionado con cada actividad de ensayo y donde es localizado el registro. Controles de seguridad deben estar en uso para asegurar la integridad de los registros a lo largo del período de retención y validado cuando sea apropiado.

  1. Revisión de las entradas al audit trail para cada lote

Parte de los datos completos de un sistema de datos cromatográfico en las corridas analíticas incluyen el audit trail, y hay un requerimiento bajo las cGMP para la firma o iniciales de una segunda persona para mostrar que el trabajo ha sido hecho correctamente y conforme a los estándares.

Los cambios no deben tapar los datos registrados previamente (sobre escritura).

  1. Copia de seguridad del Sistema regular

Copias de seguridad (BackUp) regulares de toda la información relevante debe ser llevada a cabo. Típicamente esto se hace diariamente. La integridad y la exactitud de los datos de back up y la capacidad para recuperarlos datos debe ser verificada durante la validación y monitoreada periódicamente. Cuando el back up es efectuado, los registros del back up deben ser chequeados para ver cuando fue efectivo. El back up necesita ser validado, y periódicamente debe efectuarse una recuperación de los datos para ver que el hardware, por ej. CDs, son aún leíbles.

El proceso de auditoria de integridad de datos al laboratorio, requiere de manejar algunos principios, además de un manejo del proceso.

A modo de ejemplo les dejo este esquema de un proceso de HPLC, para que puedan considerar los elementos a evaluar desde el punto de vista de integridad de datos, y además a continuación del mismo, algunos temas a considerar para efectuar la auditoría de integridad de datos, espero que les resulte útil.

NOTA: no considere la preparación de muestra y standars.

Auditando DI_HPLC

 

Auditoría de Integridad de datos

  • Podríamos decir que cada paso en cualquier proceso de laboratorio tiene un potencial problema de integridad de datos, después de todo los datos son un producto del laboratorio, es como una fábrica de datos
  • La herramienta clave del auditor cuando audita la integridad de datos, es el Audit Trail.
  • Si hay un Audit trail electrónico disponible, debe ser seguro de auditoría electrónica está disponible debe ser seguro (no susceptible de ser cambiado), accesible, imprimible e inequívocamente asociada con una muestra de análisis en particular.
  • Si no hay un Audit trail electrónico disponible, entonces como alternativa se debe trazar todas las actividades a través de las etapas, buscando vínculos entre las etapas y verificando la existencia de todos los documentos o archivos de soporte.
  • Otra herramienta es la secuencia de números de análisis, automáticamente asignada a cada inyección (por ej.) en un HPLC. No debe haber archivos perdidos, aunque algunos de ellos serán sólo para propósitos de set-up / preparación.
  • En la práctica, hay que seleccionar la más importante para el rastreo de datos para poder efectuar una investigación detallada y siempre incluir cualquier transcripción manual de datos, por ej: ¿Fue correcta? ¿Fue revisada? ¿Cuándo y por quién? ¿Dónde está la evidencia?, etc.
  • Desde el punto de vista electrónico, ¿Las planillas de cálculo están controladas? ¿Cómo? ¿Cómo son manejados los cambios de las planillas de cálculo? ¿Fue usada la versión correcta? ¿Está validada? ¿Dónde está el informe? ¿Dónde está la impresión de los resultados (si se hace)?, etc.

Para todos aquellos interesados, envíennos sus respuestas, comentarios o dudas,  a info@cgmpdoc.com y con gusto les compartiremos nuestra solución al tema.

Les dejo 5 preguntas para autoevaluarse respecto de integridad de datos:

Imagen12_integridad de datos

  1. Todo su personal entiende que una pobre integridad de los datos, genera pérdida de confianza regulatoria?
  2. Tiene back up y archivo de sus datos?
  3. Rutinariamente revisa y comprueba la integridad de los datos?
  4. Rutinariamente desafía todas las transacciones (audit trail)?
  5. Tiene validados sus sistemas de manejo de datos?

Si alguna de las respuestas no fue del todo satisfactoria, Ud. ha detectado  una oportunidad de mejora sobre la integridad de datos, asegúrese tener un plan de acciones de remediación, también desde cGMPdoc podemos proponerle una solución o le dejamos a mano la posibilidad de un taller “In Company” teórico-práctico de 5 hs de duración.