La Data integrity secondo la ISO 17025:2017

Background

La BS EN ISO/IEC 17025:2017 (che incorpora le correzioni di maggio e giugno 2018) riguarda i requisiti generali per i laboratori di test e di taratura. Questo standard è stato sviluppato con l’obiettivo di promuovere la fiducia nei confronti delle attività dei laboratori conto terzi e contiene i requisiti utili a dimostrare la loro competenza e la loro capacità di generare dati validi. I laboratori conformi a questa ISO operano generalmente anche in accordo con la ISO 9001:2015.

La ISO 17025 si applica, quindi, a tutte le organizzazioni che svolgono attività di laboratorio, a prescindere dal numero di addetti. I clienti dei laboratori e le Autorità regolatorie possono utilizzare questo standard per confermare o stabilire la competenza dei laboratori in sede di ispezione o audit.

Questo documento richiede al laboratorio di pianificare e implementare azioni per affrontare i rischi e le opportunità come base per aumentare l’efficacia del sistema di gestione, ottenere risultati migliori e prevenire gli errori.

Nel documento vengono affrontati anche i temi della data integrity, della gestione dei sistemi computerizzati e dei record tecnici. Vediamo quali sono i requisiti che i laboratori devono rispettare e che quindi potranno essere utilizzati come riferimento dalle aziende farmaceutiche e chimico-farmaceutiche durante l’effettuazione degli audit ai fornitori di servizi.

Record

Al paragrafo 7.5 della ISO si afferma che la documentazione tecnica deve riportare la data e l’identità del personale responsabile di ciascuna attività di laboratorio e della verifica dei dati e dei risultati. É inoltre richiesto che le osservazioni originali, i dati e i calcoli siano registrati al momento della loro realizzazione e riconducibili a uno specifico task (§7.5.1).
Questi requisiti rispecchiano quanto previsto dall’ALCOA+ in merito all’attribuibilità, alla originalità e alla contemporaneità delle registrazioni.

Il laboratorio deve inoltre garantire che le modifiche alle registrazioni tecniche possano essere ricondotte a versioni precedenti o alle osservazioni originali, ad esempio con la registrazione sotto forma di audit trail. Devono essere conservati sia i dati che i file originali e modificati, inclusa la data di modifica, un’indicazione degli aspetti modificati e il personale responsabile delle modifiche (§7.5.2).
Queste richieste sono, quindi, anch’esse riconducibili ai requisiti della attribuibilità e della completezza secondo quanto previsto dall’ALCOA+.

Controllo dei dati e gestione delle informazioni

Come prerequisito alla data integrity dei record elettronici e per soddisfare il requisito della Accuratezza, al punto §7.11.2 si richiede che il sistema di gestione delle informazioni di laboratorio utilizzato per la raccolta, l’elaborazione, la registrazione, la comunicazione, l’archiviazione o il recupero dei dati sia convalidato secondo l’intended use, prima del suo utilizzo. Tutte le modifiche (inclusa alla configurazione del software di laboratorio o modifiche al software commerciale standard – COTS) devono essere autorizzate, documentate e convalidate prima dell’implementazione (change control dei sistemi computerizzati).

NOTA: Un software COTS (commercial off-the-shelf) utilizzato nelle condizioni standard può essere considerato sufficientemente convalidato.

La ISO 17025 include anche alcuni requisiti a garanzia della data integrity dei record elettronici (§7.11.3). I sistemi di gestione delle informazioni di laboratorio devono infatti essere protetti da accessi non autorizzati e tutelati da manomissioni. Inoltre, il sistema deve essere utilizzato in un ambiente conforme alle specifiche del fornitore o del laboratorio e mantenuto in modo da garantire l’integrità dei dati e delle informazioni.
Infine, tutti i guasti devono essere opportunamente registrati e ad essi devono seguire azioni correttive appropriate.

Il personale deve essere in grado di reperire facilmente tutte le istruzioni, i manuali e i dati di riferimento relativi al sistema di gestione delle informazioni (§7.11.5).

In caso di trasferimento di dati, tutti i dati e i calcoli devono essere verificati in modo sistematico e appropriato (§7.11.6).

Cos’è previsto nel caso in cui un sistema di gestione delle informazioni di laboratorio sia gestito da un provider esterno?
Lo standard richiede che sia il laboratorio a garantire che il fornitore soddisfi i requisiti della ISO (§7.11.4).

A questo proposito, diventano quindi fondamentali la qualifica dei provider e la definizione di opportuni contratti.

E nel caso in cui vengano utilizzati sistemi non computerizzati?
Devono comunque essere predisposte le condizioni necessarie a salvaguardare l’accuratezza delle registrazioni e delle trascrizioni (§7.11.3c).

Controllo della gestione dei documenti di sistema

In accordo al  paragrafo 8.3.2, il laboratorio deve garantire che:

  • i documenti siano approvati prima del rilascio da parte di personale autorizzato;
  • i documenti sono rivisti periodicamente e, se necessario, aggiornati;
  • siano individuate le modifiche e lo stato di revisione attuale dei documenti;
  • le versioni applicabili siano disponibili presso i punti di utilizzo e la loro distribuzione sia controllata;
  • i documenti siano identificati in modo univoco;
  • sia impedito l’uso involontario di documenti obsoleti e agli stessi sia applicata idonea identificazione se per qualsiasi scopo vengono conservati.

Scorrendo questo elenco, ci si rende immediatamente conto del parallelismo con le Good Documentation Practice, requisiti base da garantire per soddisfare la integrità dei documenti e delle registrazioni cartacee.

Se volessimo fare una comparazione con la gestione documentale prevista dalle EU GMP ci accorgeremmo, infatti, di diverse sovrapposizioni. Ad esempio, nel capitolo §4.2 si richiede che i documenti siano progettati, preparati, revisionati e distribuiti in modo controllato. Inoltre, i documenti che contengono istruzioni devono essere approvati, firmati e datati da una persona competente e autorizzata (§4.3). Tutti i documenti devono poi essere regolarmente revisionati e aggiornati (§4.5).

Controllo delle registrazioni

Un’altra richiesta della ISO 17025 in linea con i requisiti ALCOA+, è che il laboratorio conservi registrazioni leggibili per dimostrare il rispetto dei requisiti (§8.4.1).

Inoltre, il laboratorio deve implementare tutti i controlli necessari per l’identificazione, la conservazione, la protezione, il backup, l’archiviazione, il reperimento, il tempo di conservazione e lo smaltimento delle proprie registrazioni, quindi tutte quelle misure richieste per soddisfare i requisiti del Duraturo dell’ALCOA+.
Per quanto conservare i record? Il laboratorio deve conservare le registrazioni per un periodo coerente con i propri obblighi contrattuali. L’accesso a questi record deve essere coerente con gli impegni di riservatezza e le registrazioni devono essere prontamente disponibili.

Cosa possiamo fare per voi

Adeodata Group può dare una mano alla tua azienda con attività di consulenza e di supporto a tutte le attività legate al ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…).

Possiamo inoltre organizzare un corso di approfondimento sulla data integrity e sulla convalida dei sistemi informatizzati nella modalità corso in house, ovvero direttamente nella vostra azienda, in presenza o da remoto.

É poi possibile richiedere un supporto specifico per la preparazione alle ispezioni o richiedere l’esecuzione di audit per la valutazione di fornitori di servizi.

Infine, possiamo supportati nella definizione di un sistema di qualità conforme ai tuoi standard di riferimento e alle indicazioni della data integrity.


Articolo a cura di:
Giulia Colombo, Senior Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

EMA: Sistemi computerizzati per gli studi clinici

I sistemi computerizzati sono sempre più utilizzati nella ricerca clinica. La complessità di questi sistemi e degli stessi trial clinici si è evoluta rapidamente negli ultimi anni, portando ad un aumento dell’utilizzo di sistemi computerizzati.

L’EMA ‘Reflection Paper on expectations for electronic source data and data transcribed to electronic data collection tools in clinical trials’ ha iniziato ad affrontare questi temi già dalla sua pubblicazione nel 2010.

La nuova linea guida (per ora in bozza) Guideline on computerised systems and electronic data in clinical trials ha lo scopo di assistere gli sponsor, i ricercatori e le altre parti coinvolte nelle sperimentazioni cliniche sull’uso di sistemi computerizzati e sulla raccolta di dati elettronici nelle sperimentazioni cliniche nel rispetto dei requisiti della legislazione vigente (Direttiva 2001/20/CE e Direttiva 2005/28/CE) e dell’ICH E6 Good Clinical Practice Guideline.
La bozza sarà disponibile per i commenti fino a fine 2021.

Di seguito si fornisce una panoramica generale e non esaustiva dei requisiti presentati nella bozza della nuova linea guida.

Principi e concetti chiave

  • Data integrity:
    Il mancato mantenimento dell’integrità dei dati durante il periodo di conservazione previsto può rendere i dati inutilizzabili ed equivale alla perdita o alla distruzione dei dati stessi. La mancanza della data integrity è considerata una non conformità GCP.
  • Responsabilità:
    I ruoli e le responsabilità negli studi clinici devono essere chiari. La responsabilità della conduzione di uno studio viene assegnata legalmente a due parti (gli sperimentatori e le loro istituzioni, e gli sponsor), ciascuna delle quali potrebbe utilizzare sistemi computerizzati per gestire dati relativi allo studio.
  • Dato elettronico e concetto di metadato:
    Senza il contesto fornito dai metadati, i dati non hanno alcun significato.
  • Dato fonte:
    Il primo dato permanente ottenibile dalla generazione elettronica di dati è considerato il dato fonte.
    Questo processo deve essere convalidato per assicurare che il dato fonte sia rappresentativo dell’osservazione originale e contenga i matadati necessari ad assicurare i requisiti ALCOA.
  • ALCOA ++
  • Criticità e rischi:
    L’ICH-GCP E6(R2) introduce la necessità di un sistema di gestione qualità con un approccio risk-based. I rischi devono essere considerati sia a livello di sistema che a livello di trial clinico specifico. I rischi relativi all’utilizzo dei sistemi computerizzati, specialmente quelli legati all’integrità dei dati, devono essere identificati, analizzati e mitigati. L’approccio utilizzato per ridurre il rischio deve essere proporzionato al rischio.
  • Raccolta dati:
    Il protocollo approvato della sperimentazione clinica dovrebbe specificare quali dati debbano essere generati/acquisiti, da chi, quando, e quali strumenti o procedure debbano essere utilizzati.
  • Firma elettronica:
    Ogni volta che una firma elettronica viene utilizzata all’interno di una sperimentazione clinica per sostituire una firma richiesta dalle GCP, la funzionalità della firma elettronica deve soddisfare le aspettative in merito ad autenticazione, non ripudio, collegamento indissolubile e marcatura temporale.
  • Protezione dei dati:
    La riservatezza dei record che potrebbero identificare i partecipanti allo studio deve essere protetta rispettando le regole sulla privacy e sulla riservatezza previste dai requisiti normativi.
  • Convalida dei sistemi computerizzati:
    Tutti i sistemi computerizzati utilizzati in uno studio clinico devono essere soggetti a un processo che confermi il rispetto dei requisiti e la performance del sistema. La convalida dovrebbe garantire accuratezza, affidabilità e prestazioni previste, dalla progettazione fino alla dismissione del sistema o alla transizione ad un nuovo sistema. I processi utilizzati per la convalida devono essere decisi dal proprietario del sistema (ad esempio sponsor, ricercatori, strutture tecniche) e descritti in un documento.
    I proprietari del sistema devono assicurare un’adeguata supervisione delle attività di convalida e della documentazione da parte dei contraenti per garantire che siano in atto procedure adeguate e che queste vengano rispettate. La documentazione deve essere conservata per dimostrare che il sistema è mantenuto nello stato convalidato e deve essere disponibile sia per la convalida del software che per la convalida della configurazione specifica per lo studio clinico. La convalida della configurazione specifica deve garantire che il sistema sia coerente con i requisiti del protocollo di sperimentazione clinica approvato e che vengano effettuati test approfonditi della funzionalità.
  • Accesso diretto ai sistemi computerizzati

Vuoi approfondire l’argomento?
L’11 novembre 2021 partecipa al nostro webinar
Sistemi computerizzati in ambito GCP

Requisiti per i sistemi computerizzati

La linea guida richiede che siano presenti:

  • una descrizione dei sistemi e dell’allocazione dei dati, delle responsabilità, dei database utilizzati e una valutazione della loro idoneità allo scopo previsto;
  • procedure scritte per l’utilizzo dei sistemi;
  • training per l’uso dei sistemi computerizzati;
  • processi di sicurezza e misure atte a garantire la data integrity e la protezione dei dati.

Dati elettronici

Per ogni studio, è necessario sapere quali dati e record elettronici saranno raccolti, modificati, importati
ed esportati, archiviati e le modalità di trasmissione. Dati elettronici, e corrispettivi audit trail, devono essere accessibili a sperimentatori, monitor, auditor e ispettori senza compromettere la riservatezza delle identità dei partecipanti allo studio (ICH-GCP 1.21).

  • Raccolta dati e posizione
    La posizione di tutti i dati di origine deve essere specificata prima dell’inizio del processo e tenuta aggiornata. (ICH-GCP 8.1. Appendice).
  • Trascrizione da carta a elettronico
    I dati originali raccolti su carta devono essere trascritti manualmente o tramite uno strumento di immissione convalidato nel sistema o nei database. In caso di trascrizione manuale, dovrebbero essere implementati metodi basati sul rischio per garantire la qualità dei dati trascritti.
  • Trasferimento tra sistemi elettronici
    I dati dello studio vengono trasferiti regolarmente all’interno dell’organizzazione e tra sistemi. Tutti i trasferimenti di file e di dati devono essere convalidati.
  • Acquisizione diretta di dati
    L’acquisizione diretta dei dati può essere eseguita da dispositivi automatizzati o da altri strumenti tecnici. Tali dati devono essere sempre accompagnati dai metadati relativi al dispositivo utilizzato.
  • Verifica data entry
    I controlli sull’immissione dei dati devono essere convalidati. La sospensione dei controlli deve essere documentata e giustificata.

Requisiti per l’audit trail

  • Audit trail:
    In un sistema computerizzato, l’audit trail deve essere sicuro, generato dal computer, con data e ora. L’audit trail deve essere robusto e non deve essere possibile per un utente normale disattivarlo.
  • Audit trail review:
    Dovrebbero essere predisposte procedure per la review di audit trail basate sul rischio e l’esecuzione della revisione dei dati deve essere documentata. La revisione dei dati deve concentrarsi sui dati critici ed essere proattiva e continua.
  • Firma dei dati:
    Gli sperimentatori sono responsabili dei dati inseriti nei sistemi sotto la loro supervisione. Questi dati devono essere revisionati e firmati. La firma dello sperimentatore principale e di un membro autorizzato del suo staff rappresenta la conferma documentata che i dati rispettano i requisiti ALCOA.
  • Dati copiati:
    I dati possono essere copiati o trascritti per diversi scopi. Se un dato viene sostituito in modo irreversibile da una copia, questa deve essere certificata (ICH-GCP 1.63).
  • Copie certificate:
    Quando si crea una copia certificata, è necessario considerare la natura del documento originale. Il processo di copia deve basarsi su un processo convalidato.
  • Hosting e controllo dei dati:
    Tutti i dati generati durante uno studio clinico relativi ai partecipanti devono essere disponibili per lo sperimentatore durante e dopo lo studio. Lo sponsor non deve avere il controllo esclusivo dei dati inseriti in un sistema computerizzato.
  • Cloud:
    In caso di utilizzo di una soluzione cloud, lo sponsor (ICH-GCP 5.2.1) e/o lo sperimentatore (ICH-GCP 4.2.6) dovrebbero garantire che la parte contraente che fornisce il cloud sia qualificata (vedere Allegato 4). La giurisdizione dei dati può essere complessa data la natura delle soluzioni e dei servizi cloud condivisi su diversi siti, Paesi e continenti; tuttavia, eventuali incertezze dovrebbero essere affrontate e risolte mediante obblighi contrattuali prima dell’uso di una soluzione cloud.
    Se il responsabile sceglie di eseguire da sè la qualifica del sistema informatizzato, il cloud provider dovrebbe mettere a disposizione un ambiente di test identico all’ambiente di produzione.
  • Back-up:
    È necessario eseguire regolarmente il backup dei dati e delle configurazioni. Si raccomanda l’uso di server replicati. I backup devono essere archiviati in posizioni fisiche e reti logiche separate e non dietro lo stesso firewall dei dati originali per evitare la distruzione o l’alterazione simultanea. La frequenza dei backup e la loro conservazione devono essere determinati con un approccio basato sul rischio.
  • Migrazione dei dati:
    Dovrebbe essere garantito che la migrazione non influisca negativamente sui dati e sui metadati esistenti. Dopo la migrazione dovrebbe essere eseguita una verifica sui dati chiave.
  • Archiviazione:
    Lo sperimentatore e lo sponsor devono essere a conoscenza dei periodi di conservazione richiesti per i dati e i documenti relativi agli studi clinici. I periodi di conservazione devono rispettare il principio di protezione dei dati sulla limitazione della conservazione.
  • Decommissioning:
    Dopo la conclusione della sperimentazione, i database possono essere disattivati. Si raccomanda di decidere il momento della disattivazione prendendo in considerazione, ad esempio, se la sperimentazione clinica sarà utilizzata o meno nei termini di una domanda di autorizzazione all’immissione in commercio nel prossimo futuro, nel qual caso si potrebbe raccomandare di conservare i database. Una copia datata e autenticata dei database e dei dati deve essere archiviata e disponibile su richiesta. In caso di disattivazione, lo sponsor deve garantire la possibilità di ripristinare i database.

Annex

La bozza della nuova linea guida EMA si compone anche di 5 Annex che trattano nello specifico:

  1. Contratti
  2. Convalida dei sistemi computerizzati
  3. Gestione utenti
  4. Sicurezza
  5. Requisiti legati a specifici tipi di sistemi, processi e dati.

Fonte

Guideline on computerised systems and electronic data in clinical trials, draft,10 giugno 2021

Data Integrity nel Laboratorio QC: le cose da ricordare

Ormai da diversi anni la data integrity è un punto chiave della compliance aziendale, ciononostante gli ispettori continuano a riscontrare non-conformità, soprattutto all’interno dei laboratori QC.

Quali tipi di dati vengono raccolti in laboratorio?

  • dati dai lotti testati e dati del personale che esegue i test
  • dati su campionamento e conservazione dei campioni, registrazioni, osservazioni
  • peso e preparazione dei campioni, standard e reagenti utilizzati
  • dati di qualifica e calibrazione degli strumenti utilizzati
  • controlli sugli strumenti
  • sequenze di dati complete
  • dati che devono essere registrati
  • dati di processo
  • calcoli specifici di dispositivo
  • picchi
  • calcoli
  • trend
  • risultati dei suitability test
  • report generati da dati elettronici
  • audit trail, deviazioni e cambi
  • osservazioni documentate
  • calcoli eseguiti utilizzando software esterni

Tutti questi dati devono essere in compliance con i principi ALCOA, o meglio ALCOA plus.

Prendiamo ora in esame gli aspetti fondamentali della data integrity durante la generazione di un dato.


Data integrity in laboratorio: cosa ricordare

  • L’accesso alle funzionalità chiave di amministrazione del sistema (abilitare/disabilitare l’audit trail, cambiare data e ora…) deve essere limitato al solo personale autorizzato e indipendente (segregation of duties).
  • Gli account devono essere, quando applicabile, nominali e non di tipo amministrativo. Non devono esserci account di gruppo o login anonimi. I privilegi degli utenti devono essere assegnati in funzione del ruolo a sistema. Non devono essere assegnati in funzione del ruolo aziendale (es. il QC manager non necessariamente deve aver i privilegi più alti: se entra in un sistema solo per eseguire analisi, deve avere il ruolo di analista junior).
  • E’ essenziale la qualifica, la convalida, la taratura periodica e la manutenzione di tutti i sistemi computerizzati critici, degli strumenti di laboratorio e dei sistemi di valutazione e controllo. 
  • I dati e l’Audit Trail devono essere rivisti prima di prendere decisioni basate sui dati, in particolare per il rilascio del lotto. Le deviazioni devono essere indagate. Devono esserci meccanismi di blocco dei dati per impedire le modifiche a dati verificati/approvati.
  • Non è ammessa la cancellazione, la sovrascrittura di raw data e risultati e il testing-into-compliance.
  • Ogni modifica ai dati (integrazione manuale, riprocessamento o modifica a fattori di calcolo, pesi e quantità) deve essere documentata, deve essere eseguita in accordo a una procedura scritta e deve essere oggetto di revisione.
  • Le analisi devono essere eseguite in accordo a procedure scritte e metodi qualificati. Ogni analisi ripetuta deve essere giustificata in forma scritta.
  • OOS, OOT, OOE o deviazioni devono essere investigate.
  • Se i dati mancano di robustezza e accuratezza (per esempio per una calibrazione o una convalida incomplete) non devono essere utilizzati.
  • L’audit trail deve essere attivo.
  • Le registrazioni devono essere contemporanee e nella documentazione ufficiale (es. quaderni di laboratorio, copie controllate dei moduli,,…).
  • I backup devono essere eseguiti, monitorati e verificati.