La Data integrity secondo la ISO 17025:2017

Background

La BS EN ISO/IEC 17025:2017 (che incorpora le correzioni di maggio e giugno 2018) riguarda i requisiti generali per i laboratori di test e di taratura. Questo standard è stato sviluppato con l’obiettivo di promuovere la fiducia nei confronti delle attività dei laboratori conto terzi e contiene i requisiti utili a dimostrare la loro competenza e la loro capacità di generare dati validi. I laboratori conformi a questa ISO operano generalmente anche in accordo con la ISO 9001:2015.

La ISO 17025 si applica, quindi, a tutte le organizzazioni che svolgono attività di laboratorio, a prescindere dal numero di addetti. I clienti dei laboratori e le Autorità regolatorie possono utilizzare questo standard per confermare o stabilire la competenza dei laboratori in sede di ispezione o audit.

Questo documento richiede al laboratorio di pianificare e implementare azioni per affrontare i rischi e le opportunità come base per aumentare l’efficacia del sistema di gestione, ottenere risultati migliori e prevenire gli errori.

Nel documento vengono affrontati anche i temi della data integrity, della gestione dei sistemi computerizzati e dei record tecnici. Vediamo quali sono i requisiti che i laboratori devono rispettare e che quindi potranno essere utilizzati come riferimento dalle aziende farmaceutiche e chimico-farmaceutiche durante l’effettuazione degli audit ai fornitori di servizi.

Record

Al paragrafo 7.5 della ISO si afferma che la documentazione tecnica deve riportare la data e l’identità del personale responsabile di ciascuna attività di laboratorio e della verifica dei dati e dei risultati. É inoltre richiesto che le osservazioni originali, i dati e i calcoli siano registrati al momento della loro realizzazione e riconducibili a uno specifico task (§7.5.1).
Questi requisiti rispecchiano quanto previsto dall’ALCOA+ in merito all’attribuibilità, alla originalità e alla contemporaneità delle registrazioni.

Il laboratorio deve inoltre garantire che le modifiche alle registrazioni tecniche possano essere ricondotte a versioni precedenti o alle osservazioni originali, ad esempio con la registrazione sotto forma di audit trail. Devono essere conservati sia i dati che i file originali e modificati, inclusa la data di modifica, un’indicazione degli aspetti modificati e il personale responsabile delle modifiche (§7.5.2).
Queste richieste sono, quindi, anch’esse riconducibili ai requisiti della attribuibilità e della completezza secondo quanto previsto dall’ALCOA+.

Controllo dei dati e gestione delle informazioni

Come prerequisito alla data integrity dei record elettronici e per soddisfare il requisito della Accuratezza, al punto §7.11.2 si richiede che il sistema di gestione delle informazioni di laboratorio utilizzato per la raccolta, l’elaborazione, la registrazione, la comunicazione, l’archiviazione o il recupero dei dati sia convalidato secondo l’intended use, prima del suo utilizzo. Tutte le modifiche (inclusa alla configurazione del software di laboratorio o modifiche al software commerciale standard – COTS) devono essere autorizzate, documentate e convalidate prima dell’implementazione (change control dei sistemi computerizzati).

NOTA: Un software COTS (commercial off-the-shelf) utilizzato nelle condizioni standard può essere considerato sufficientemente convalidato.

La ISO 17025 include anche alcuni requisiti a garanzia della data integrity dei record elettronici (§7.11.3). I sistemi di gestione delle informazioni di laboratorio devono infatti essere protetti da accessi non autorizzati e tutelati da manomissioni. Inoltre, il sistema deve essere utilizzato in un ambiente conforme alle specifiche del fornitore o del laboratorio e mantenuto in modo da garantire l’integrità dei dati e delle informazioni.
Infine, tutti i guasti devono essere opportunamente registrati e ad essi devono seguire azioni correttive appropriate.

Il personale deve essere in grado di reperire facilmente tutte le istruzioni, i manuali e i dati di riferimento relativi al sistema di gestione delle informazioni (§7.11.5).

In caso di trasferimento di dati, tutti i dati e i calcoli devono essere verificati in modo sistematico e appropriato (§7.11.6).

Cos’è previsto nel caso in cui un sistema di gestione delle informazioni di laboratorio sia gestito da un provider esterno?
Lo standard richiede che sia il laboratorio a garantire che il fornitore soddisfi i requisiti della ISO (§7.11.4).

A questo proposito, diventano quindi fondamentali la qualifica dei provider e la definizione di opportuni contratti.

E nel caso in cui vengano utilizzati sistemi non computerizzati?
Devono comunque essere predisposte le condizioni necessarie a salvaguardare l’accuratezza delle registrazioni e delle trascrizioni (§7.11.3c).

Controllo della gestione dei documenti di sistema

In accordo al  paragrafo 8.3.2, il laboratorio deve garantire che:

  • i documenti siano approvati prima del rilascio da parte di personale autorizzato;
  • i documenti sono rivisti periodicamente e, se necessario, aggiornati;
  • siano individuate le modifiche e lo stato di revisione attuale dei documenti;
  • le versioni applicabili siano disponibili presso i punti di utilizzo e la loro distribuzione sia controllata;
  • i documenti siano identificati in modo univoco;
  • sia impedito l’uso involontario di documenti obsoleti e agli stessi sia applicata idonea identificazione se per qualsiasi scopo vengono conservati.

Scorrendo questo elenco, ci si rende immediatamente conto del parallelismo con le Good Documentation Practice, requisiti base da garantire per soddisfare la integrità dei documenti e delle registrazioni cartacee.

Se volessimo fare una comparazione con la gestione documentale prevista dalle EU GMP ci accorgeremmo, infatti, di diverse sovrapposizioni. Ad esempio, nel capitolo §4.2 si richiede che i documenti siano progettati, preparati, revisionati e distribuiti in modo controllato. Inoltre, i documenti che contengono istruzioni devono essere approvati, firmati e datati da una persona competente e autorizzata (§4.3). Tutti i documenti devono poi essere regolarmente revisionati e aggiornati (§4.5).

Controllo delle registrazioni

Un’altra richiesta della ISO 17025 in linea con i requisiti ALCOA+, è che il laboratorio conservi registrazioni leggibili per dimostrare il rispetto dei requisiti (§8.4.1).

Inoltre, il laboratorio deve implementare tutti i controlli necessari per l’identificazione, la conservazione, la protezione, il backup, l’archiviazione, il reperimento, il tempo di conservazione e lo smaltimento delle proprie registrazioni, quindi tutte quelle misure richieste per soddisfare i requisiti del Duraturo dell’ALCOA+.
Per quanto conservare i record? Il laboratorio deve conservare le registrazioni per un periodo coerente con i propri obblighi contrattuali. L’accesso a questi record deve essere coerente con gli impegni di riservatezza e le registrazioni devono essere prontamente disponibili.

Cosa possiamo fare per voi

Adeodata Group può dare una mano alla tua azienda con attività di consulenza e di supporto a tutte le attività legate al ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…).

Possiamo inoltre organizzare un corso di approfondimento sulla data integrity e sulla convalida dei sistemi informatizzati nella modalità corso in house, ovvero direttamente nella vostra azienda, in presenza o da remoto.

É poi possibile richiedere un supporto specifico per la preparazione alle ispezioni o richiedere l’esecuzione di audit per la valutazione di fornitori di servizi.

Infine, possiamo supportati nella definizione di un sistema di qualità conforme ai tuoi standard di riferimento e alle indicazioni della data integrity.


Articolo a cura di:
Giulia Colombo, Senior Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

Digitalizzazione del laboratorio bottom-up

Questo approfondimento è tratto dall’intervento di Pier Luigi Agazzi, CSV Consultant & Partner di Adeodata, svolto durante il QC Pharma Day 2022.

Attualmente, molti dei laboratori QC farmaceutici e chimico-farmaceutici possiedono un LIMS o sistemi automatizzati di gestione dei dati, tuttavia le registrazioni cartacee rappresentano ancora la normalità. Si parte da un master, ma poi moduli, checklist, logbook e registri vengono stampati per raccogliere le firme di approvazione e revisione.

Rispetto agli USA, al Regno Unito e perfino alla Cina, l’Italia è ancora indietro nella digitalizzazione dei laboratori. Effettivamente se consideriamo la mole di carta che viene prodotta ogni giorno da un laboratorio QC è evidente come la strada sia ancora lunga.

Perchè la digitalizzazione non è più differibile? Perchè è richiesta dalle ultime linee guida e quindi, ormai, è un’aspettativa degli ispettori.

Nella linea guida PIC/S 041 del 2021 “Good Practices for data management and integrity in regulated GMP/GDP environments” si supporta l’utilizzo di sistemi automatici (o con minimo intervento umano) convalidati al fine di ridurre i rischi di data integrity, nonché le attività di revisione. L’elettronico ha superato la carta nelle aspettative degli ispettori.

§5.5.5 … «A fully automated and validated process together with a configuration that does not allow human intervention, or reduces human intervention to a minimum, is preferable as this design lowers the data integrity risk.»​

PIC/S 041- 2021

La richiesta di utilizzare l’approvazione delle analisi in elettronico (in particolare per gli HPLC) compare sempre più frequentemente nelle osservazioni ispettive.

Per digitalizzare ci sono tanti modi, ma non è facile, considerata la complessità del laboratorio. In un laboratorio ci sono infatti diversi processi (controllo qualità, stabilità, monitoraggio ambientale, gestione degli strumenti…) e ciascun processo è supportato da vari sistemi (LIMS, ELN, QMS…).

Digitalizzazione classica

L’approccio alla digitalizzazione classico, dall’alto al basso (top-down), prevede i seguenti step:

  • Standardizzazione delle piattaforme per HPLC / GC (ed eventuale SDMS – Scientific Data Management System​)​
  • Adozione del LIMS ​
    • Elenco analisi e criteri di accettazione per ogni prodotto​
    • Gestione analisi per ogni lotto​
  • Estensione del LIMS ad analisi di stabilità e monitoraggio ambientale​
    • Gestione scadenziario​
    • Anagrafica dei punti di campionamento, locali, persone, …
  • Aggiunta di ELN (Electronic Laboratory Notebook​) per sostituire il quaderno di laboratorio o i fogli analitici ​
  • Aggiunta di LES (Laboratory Execution System) per gestione reagenti, standard, strumenti​
  • Integrazione con gli strumenti​ per evitare trascrizioni. Questo  è sempre stato l’ultimo step.

Sebbene questo sia l’approccio classico, siamo ancora lontani dalla digitalizzazione.

Con questo approccio si convalida il processo secondo il ciclo di vita standard dei sistemi:

  • Analisi delle funzionalità richieste​
  • Redazione degli URS​
  • Selezione del sistema con la maggiore copertura funzionale ​
  • Progetto di dettaglio​
  • Installazione e configurazione del sistema​
  • Test di accettazione e convalida​
  • Popolamento delle anagrafiche​
  • Redazione delle SOP di utilizzo e mantenimento​
  • Training degli utenti​

Si tratta di un processo lungo e complesso. Si può arrivare ad impiegare fino a un anno per completare ogni singolo step, con un elevato utilizzo di risorse.

Digitalizzazione bottom-up

L’approccio alla digitalizzazione bottom-up, dal basso verso l’altro, consente invece di procedere gradualmente verso il digitale, rendendo ogni cambiamento soft .

L’approccio paper on glass

Tra gli approcci bottom-up esiste il paper on glass, che consente di smaterializzare la carta creando un master elettronico compilabile.  Come?

  • Si importa il master attuale in Word oppure si parte da una libreria di «mattoncini»
  • Si configurano le tipologie ed eventuali vincoli dei campi da compilare manualmente​;
  • Si possono aggiungere la visualizzazione di SOP e Work Instructions controllate​.

La compilazione in elettronico di questi moduli non richiede la riconciliazione e la numerazione delle pagine e fornisce un Audit Trail automatico di eventuali modifiche ai dati in compliance con le GMP.
Inoltre alcuni dei campi possono prevedere la compilazione automatica grazie al dialogo con gli strumenti di laboratorio.
Un ulteriore vantaggio è poi quello di gestire in elettronico la revisione e l’approvazione, che consente di ridurre di molto i tempi di rilascio.

E’ possibile replicare in elettronico il ciclo di vita completo delle registrazioni:

La smaterializzazione dei ticket e degli scontrini

Come smaterializzare gli scontrini? Spesso il problema è rappresentato dai vecchi strumenti che hanno carenze di conformità alla data integrity e non hanno software che li interfacciano.
Un altro approccio bottom-up alla digitalizzazione è l’utilizzo di software detti wrapper, che permettono di far arrivare i dati dello strumento ad un device smaterializzando gli scontrini. Si tratta di software nati per colmare i gap di data integrity ma che possono essere sfruttati anche per  consentire la digitalizzazione, perfino dei vecchi strumenti.

Il wrapper riesce ad raccogliere anche i PDF, gestendone il ciclo di revisione ed approvazione in elettronico, senza doverli stampare.
L’ultima funzione chiave è quella di digitalizzare anche le misure di strumenti che possono solo visualizzarle. La misura viene inserita manualmente dall’operatore, ma c’è la possibilità di allegare immagini al report come raw data.

Nasce il modello cooperativo

Con la digitalizzazione bottom-up nasce il modello cooperativo, con cui è possibile integrare tutti i sistemi esistenti senza sostituirli.
Non è un modello “monolitico”, in cui per avere sistemi integrati occorre introdurre il sistema di un singolo fornitore sostituendo tutti gli altri, ma è un modello in cui sistemi esistenti e nuovi cooperano e si integrano.

Le nuove tecnologie basate su web service semplificano l’interazione tra sistemi diversi.

I vantaggi dell’integrazione bottom-up

L’approccio alla digitalizzazione bottom-up segue i principi lean: attuare piccoli miglioramenti graduali non appena possibile.
Partire dal basso consente una maggiore gradualità perchè:

  • minimizza l’impatto su sistemi e persone: i moduli rimangono gli stessi
  • permette di distribuire gli investimenti nel tempo
  • consente un livello di integrazione e automazione basato sulle esigenze dell’azienda
  • è flessibile perché si adatta esattamente ai processi già presenti in laboratorio
  • facilita la collaborazione e la condivisione di informazioni tra sistemi.

Ci sono ovviamente anche dei limiti. Il paper on glass (come la carta del resto) non è ottimale per la gestione delle giacenze dei materiali (come standard e reagenti) e delle scadenze per le quali è necessario un LES.

In conclusione, possiamo dire che l’approccio bottom-up rende più graduale il percorso di digitalizzazione mitigando i cambiamenti (che avvengono in modo soft), velocizzando le installazioni e le convalide, sfruttando il controllo automatico dei dati inseriti e riducendo l’errore, snellendo il workflow approvativo e garantendo l’accessibilità ai dati. Non si tratta di un approccio alternativo, ma piuttosto complementare all’introduzione dei sistemi come LIMS ed ELN che magari sono già presenti in laboratorio.

 

Articolo a cura di
Ing. Pier Luigi Agazzi, Computer Validation Consultant e Partner di Adeodata
Dr.ssa Giulia Colombo, Senior Marketing Specialist di Quality Systems


Cosa possiamo fare per te

Inpharmatic, grazie ai suoi sistemi, Ioi – Integration of Instrument e DiLab – Digital Laboratory, è in grado di integrare ogni tipo di strumento in un’unica piattaforma, con accesso e gestione centralizzati e di digitalizzare quaderni, form, checklist, template di laboratorio.

Audit Trail: le non conformità più comuni

Durante le ispezioni si riscontrano spesso non conformità legate ai sistemi computerizzati. In cima alla lista troviamo quelle legate all’Audit Trail.

An audit trail is a chronology of the “who, what, when, and why” of a record.

FDA Data Integrity Guidance for Industry, 2016

Dunque l’Audit Trail è definito come l’insieme dei metadati registrati in merito alle informazioni critiche per permettere la ricostruzione delle attività GMP.

I requisiti regolatori

Le non conformità riscontrate nel corso delle ispezioni in relazione all’Audit Trail sono molteplici e spesso correlate al software utilizzato. Infatti i fornitori di software o di sistemi spesso non forniscono ciò che è effettivamente richiesto dalle normative

Ma dove viene il requisito per la funzionalità di audit trail in un sistema computerizzato?
Un riferimento si trova nel capitolo 4 delle EU GMP:

… Any change to an entry in a document should be signed off and dated. Despite modification, the original information should remain legible. If indicated, the reason for the change should be recorded.

EU GMP, § 4.9

Queste informazioni possono essere trovate anche nella linea guida GAMP Records and Data Integrity:

“Audit trails should be considered part of records.”

GAMP, §18.7

Anche l’Annex 11 parla di Audit Trail richiedendone la presenza sulla base di un risk assessment e inserendo tra i requisiti anche la review.

Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated “audit trail”). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed.

Annex 11, EU GMP

Nel 2018, anche MHRA ha unito il concetto di review alla valutazione del rischio. Nello stesso documento si fa specifico riferimento a chi si occupa della review e si afferma l’importanza di una conoscenza sufficiente allo svolgimento dell’attività.

Routine data review should include a documented audit trail review where this is determined by a risk assessment.

[…] Reviewers should have sufficient knowledge and system access to review relevant audit trails, raw data and metadata.

MHRA ‘GXP’ Data Integrity Guidance and Definitions, 2018

Non conformità trovate da FDA

Ma non sono solo gli ispettori Europei a trovare non conformità relative agli Audit Trail in sede di ispezione. Ecco qualche esempio proveniente da Warning Letter FDA:

We also note that your SOP does not have provisions for any audit trail reviews to ensure that deletions and/or modifications do not occur.

Gulf Pharmaceutical Industries, 2012

In addition, your firm’s review of laboratory data does not include a review of an audit trail or revision history to determine if unapproved changes have been made.

Sunrise, 2010

During the walkthrough of the Control Room where Formulation Plant processes were being monitored using a Building Automation System, we observed that the system was not qualified and had no audit trail capabilities. In addition, when asked about the alarms on the system, the Sr. Assistant Instrumentation group, stated that he would reset and clear the alarms.

Strides Pharma Science Limited, India, 2019

FDA ha inoltre pubblicato la Guidance for Industry Data Integrity and Compliance with drug CGMP_ Questions and Answers.
La linea guida è la versione aggiornata della bozza pubblicata nel 2016 e comprende informazioni aggiornate sul punto di vista dell’Agenzia in merito alle best practice per progettare, mettere in opera, monitorare e mantenere un sistema di data integrity.
La struttura del documento prevede 18 domande e risposte. Le domande 8 e 9 riguardano la review dell’audit trail.

Ne avevamo parlato in questo articolo

Non conformità più comuni

Tante sono le non conformità che vengono riscontrare riguardanti l’Audit Trail. Le più comuni sono le seguenti:

  • Un membro del personale di Laboratorio ha i diritti di un amministratore di sistema ed è in grado di apportare modifiche non rilevabili durante le analisi, di attivare o disattivare l’Audit Trail.
  • Non viene descritta alcuna azione da intraprendere in caso di problemi durante la review.
  • Non esiste una politica chiara su chi sia autorizzato a disabilitare la funzionalità di Audit Trail e su come documentare questa attività.
  • Il rilascio del lotto viene effettuato senza la revisione dei dati rilevanti dell’Audit Trail.
  • Mancano SOP e istruzioni sulla gestione dell’Audit Trail:
    • Quando e con che frequenza effettuare la review
    • Chi deve eseguire la review
    • Come archiviare l’Audit Trail
    • Quando un Audit Trail può essere cancellato
    • Quali dati sono considerati critici
    • Come documentare la review
    • Quali azioni intraprendere in caso si identifichino dei problemi durante la review.

Approfondisci il tema della data integrity in Laboratorio

Conclusione

In conclusione, ci sono alcune cose che è bene tenere in considerazione quando si parla di Audit Trail:

  • L’Audit Trail è parte della documentazione GMP ed è un requisito normativo
  • Così come per tutti i documenti GMP, la sua review è necessaria
  • Il risk assessment serve a determinare quando effettuare la review e con che frequenza
  • L’audit trail dovrebbe essere parte della convalida del sistema. La documentazione di convalida serve a dimostrare che gli audit trail sono funzionali e che tutte le attività e i cambiamenti sono registrati in una forma utilizzabile.

Per il futuro, si spera che in una nuova revisione dell’Annex 11 vengano dettagliati e specificati meglio i requisiti per l’Audit Trail in modo da ridurre sensibilmente le non conformità riscontrate in sede di ispezione.


Fonti

EU GMP Capitolo 4

EU GMP Annex 11

FDA Data Integrity and Compliance with drug CGMP_ Questions and Answers.

Periodic Review: quando, come e perchè

Articolo a cura di Ing. Laura Monti, Subject Matter Expert, Adeodata srl


La Periodic Review è di fondamentale importanza per confermare nel tempo lo stato di convalida dei sistemi computerizzati. Non a tutti è chiaro quando svolgerla, cosa verificare, come documentarla.
Facciamo un po’ di chiarezza insieme.

I sistemi computerizzati GxP critici devono essere convalidati per assicurare che “quando un’operazione manuale viene effettuata da un sistema computerizzato non venga ridotta la qualità del prodotto, il controllo del processo e l’assicurazione della qualità. Inoltre, non ci dovrebbe essere alcun incremento del rischio complessivo del processo” (EU GMP Annex 11). La convalida è necessaria, inoltre, per garantire “accuratezza, affidabilità, performance prevista e capacità di distinguere record non validi o alterati” (FDA 21 CFR part 11.10(a)).

A differenza degli equipment, non è necessario riqualificare periodicamente i sistemi computerizzati poiché non sono soggetti ad usura. Per confermare nel tempo lo stato di convalida dei sistemi computerizzati la Periodic Review è, quindi, di fondamentale importanza.

Inoltre, la Periodic Review è richiesta esplicitamente dell’EU GMP Annex 11 §11:

I sistemi computerizzati devono essere periodicamente valutati per verificare il mantenimento dello stato di convalida e la conformità alle normative GMP. Tali valutazioni dovrebbero includere, dove appropriato, funzionalità correnti, deviazioni, incidenti, problemi, aggiornamenti, prestazioni, affidabilità, sicurezza e relazioni sullo stato di convalida.

Indicazioni sulle modalità di esecuzione della Periodic Review sono riportate nell’Appendix O8 delle linee guida GAMP5.

QUANDO SVOLGERE LA PERIODIC REVIEW

La Periodic Review deve essere svolta periodicamente, secondo un criterio documentato che consideri:

  • il grado di criticità del sistema (impatto GxP)
  • la sua complessità
  • il suo grado di novità

Tipicamente la Periodic Review viene eseguita ogni uno o due anni, ma possono essere definite frequenze diverse in base alla categoria GAMP5 del sistema e/o del tempo intercorso dalla fine della sua convalida iniziale.

Inoltre, è possibile eseguire anche Periodic Review straordinarie (cioè prima della loro scadenza naturale) in caso di:

  • Problemi riscontrati nell’operatività del sistema
  • Significativi cambiamenti apportati al sistema o svariate modifiche minori
  • Significativi cambiamenti normativi che impattano sul sistema

RESPONSABILITÀ DELLA PERIODIC REVIEW

È responsabilità del Process Owner garantire che venga eseguita la Periodic Review del sistema e che le eventuali azioni correttive identificate siano implementate in modo appropriato.

È responsabilità della Quality Unit assicurare che le revisioni periodiche siano programmate, eseguite e documentate.

La Periodic Review deve essere condotta da una o più persone a seconda dell’ambito della revisione. Il Team di revisione può includere: Quality Unit, Subject Matter Expert (SME), Utenti, IT, Engineering, Compliance e/o Consulenti esterni.

COSA VERIFICARE

Oggetto di revisione sono:

  • Stato di aggiornamento delle procedure operative e di manutenzione
  • Stato di aggiornamento della documentazione (es. specifiche, elenchi di eventi e allarmi…)
  • Disponibilità delle registrazioni delle sessioni di istruzione in linea con i ruoli utente a sistema
  • Applicazione delle procedure di Change e Configuration Management e stato delle registrazioni
  • Disponibilità di contratti e licenze
  • Applicazione delle misure di sicurezza logica e fisica previste per il sistema
  • Prestazioni del sistema
  • Eventuali aggiornamenti normativi
  • Sostituzione del personale con ruoli e responsabilità sul sistema
  • Deviazioni, incident, problemi ed eventi legati all’uso del sistema e CAPA correlate

A queste verifiche si possono aggiungere tutte quelle attività che devono essere eseguite a cadenza regolare, come le prove periodiche di restore (EU GMP Annex11 §7.2) e alcune attività legate alla Audit Trail review (EU GMP Annex11 §9). In particolare, è necessario verificare che la funzionalità di Audit Trail sia mantenuta in stato di convalida, ossia che:

  • L’Audit Trail sia attivo
  • La data, l’ora e la time zone del sistema siano corrette e sicure
  • La funzionalità di Audit Trail, le policy di sistema, le configurazioni e i parametri che possono avere impatto sulla modificabilità dei dati (es. configurazione dei profili utenti e relativi privilegi) siano rimasti invariati rispetto a quanto registrato e verificato durante la convalida iniziale, a meno di eventuali modifiche correttamente gestite in accordo alle SOP di Change Control e Configuration Management

COME DOCUMENTARLA

Alla fine della revisione viene redatto un report, o una check list, che include l’elenco degli aspetti del sistema verificati, le risultanze ed eventuali azioni correttive o raccomandazioni.

Vuoi approfondire l’argomento?
Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR Part 11
16 Settembre 2021, 9:00 – 16:00

EMA: Sistemi computerizzati per gli studi clinici

I sistemi computerizzati sono sempre più utilizzati nella ricerca clinica. La complessità di questi sistemi e degli stessi trial clinici si è evoluta rapidamente negli ultimi anni, portando ad un aumento dell’utilizzo di sistemi computerizzati.

L’EMA ‘Reflection Paper on expectations for electronic source data and data transcribed to electronic data collection tools in clinical trials’ ha iniziato ad affrontare questi temi già dalla sua pubblicazione nel 2010.

La nuova linea guida (per ora in bozza) Guideline on computerised systems and electronic data in clinical trials ha lo scopo di assistere gli sponsor, i ricercatori e le altre parti coinvolte nelle sperimentazioni cliniche sull’uso di sistemi computerizzati e sulla raccolta di dati elettronici nelle sperimentazioni cliniche nel rispetto dei requisiti della legislazione vigente (Direttiva 2001/20/CE e Direttiva 2005/28/CE) e dell’ICH E6 Good Clinical Practice Guideline.
La bozza sarà disponibile per i commenti fino a fine 2021.

Di seguito si fornisce una panoramica generale e non esaustiva dei requisiti presentati nella bozza della nuova linea guida.

Principi e concetti chiave

  • Data integrity:
    Il mancato mantenimento dell’integrità dei dati durante il periodo di conservazione previsto può rendere i dati inutilizzabili ed equivale alla perdita o alla distruzione dei dati stessi. La mancanza della data integrity è considerata una non conformità GCP.
  • Responsabilità:
    I ruoli e le responsabilità negli studi clinici devono essere chiari. La responsabilità della conduzione di uno studio viene assegnata legalmente a due parti (gli sperimentatori e le loro istituzioni, e gli sponsor), ciascuna delle quali potrebbe utilizzare sistemi computerizzati per gestire dati relativi allo studio.
  • Dato elettronico e concetto di metadato:
    Senza il contesto fornito dai metadati, i dati non hanno alcun significato.
  • Dato fonte:
    Il primo dato permanente ottenibile dalla generazione elettronica di dati è considerato il dato fonte.
    Questo processo deve essere convalidato per assicurare che il dato fonte sia rappresentativo dell’osservazione originale e contenga i matadati necessari ad assicurare i requisiti ALCOA.
  • ALCOA ++
  • Criticità e rischi:
    L’ICH-GCP E6(R2) introduce la necessità di un sistema di gestione qualità con un approccio risk-based. I rischi devono essere considerati sia a livello di sistema che a livello di trial clinico specifico. I rischi relativi all’utilizzo dei sistemi computerizzati, specialmente quelli legati all’integrità dei dati, devono essere identificati, analizzati e mitigati. L’approccio utilizzato per ridurre il rischio deve essere proporzionato al rischio.
  • Raccolta dati:
    Il protocollo approvato della sperimentazione clinica dovrebbe specificare quali dati debbano essere generati/acquisiti, da chi, quando, e quali strumenti o procedure debbano essere utilizzati.
  • Firma elettronica:
    Ogni volta che una firma elettronica viene utilizzata all’interno di una sperimentazione clinica per sostituire una firma richiesta dalle GCP, la funzionalità della firma elettronica deve soddisfare le aspettative in merito ad autenticazione, non ripudio, collegamento indissolubile e marcatura temporale.
  • Protezione dei dati:
    La riservatezza dei record che potrebbero identificare i partecipanti allo studio deve essere protetta rispettando le regole sulla privacy e sulla riservatezza previste dai requisiti normativi.
  • Convalida dei sistemi computerizzati:
    Tutti i sistemi computerizzati utilizzati in uno studio clinico devono essere soggetti a un processo che confermi il rispetto dei requisiti e la performance del sistema. La convalida dovrebbe garantire accuratezza, affidabilità e prestazioni previste, dalla progettazione fino alla dismissione del sistema o alla transizione ad un nuovo sistema. I processi utilizzati per la convalida devono essere decisi dal proprietario del sistema (ad esempio sponsor, ricercatori, strutture tecniche) e descritti in un documento.
    I proprietari del sistema devono assicurare un’adeguata supervisione delle attività di convalida e della documentazione da parte dei contraenti per garantire che siano in atto procedure adeguate e che queste vengano rispettate. La documentazione deve essere conservata per dimostrare che il sistema è mantenuto nello stato convalidato e deve essere disponibile sia per la convalida del software che per la convalida della configurazione specifica per lo studio clinico. La convalida della configurazione specifica deve garantire che il sistema sia coerente con i requisiti del protocollo di sperimentazione clinica approvato e che vengano effettuati test approfonditi della funzionalità.
  • Accesso diretto ai sistemi computerizzati

Vuoi approfondire l’argomento?
L’11 novembre 2021 partecipa al nostro webinar
Sistemi computerizzati in ambito GCP

Requisiti per i sistemi computerizzati

La linea guida richiede che siano presenti:

  • una descrizione dei sistemi e dell’allocazione dei dati, delle responsabilità, dei database utilizzati e una valutazione della loro idoneità allo scopo previsto;
  • procedure scritte per l’utilizzo dei sistemi;
  • training per l’uso dei sistemi computerizzati;
  • processi di sicurezza e misure atte a garantire la data integrity e la protezione dei dati.

Dati elettronici

Per ogni studio, è necessario sapere quali dati e record elettronici saranno raccolti, modificati, importati
ed esportati, archiviati e le modalità di trasmissione. Dati elettronici, e corrispettivi audit trail, devono essere accessibili a sperimentatori, monitor, auditor e ispettori senza compromettere la riservatezza delle identità dei partecipanti allo studio (ICH-GCP 1.21).

  • Raccolta dati e posizione
    La posizione di tutti i dati di origine deve essere specificata prima dell’inizio del processo e tenuta aggiornata. (ICH-GCP 8.1. Appendice).
  • Trascrizione da carta a elettronico
    I dati originali raccolti su carta devono essere trascritti manualmente o tramite uno strumento di immissione convalidato nel sistema o nei database. In caso di trascrizione manuale, dovrebbero essere implementati metodi basati sul rischio per garantire la qualità dei dati trascritti.
  • Trasferimento tra sistemi elettronici
    I dati dello studio vengono trasferiti regolarmente all’interno dell’organizzazione e tra sistemi. Tutti i trasferimenti di file e di dati devono essere convalidati.
  • Acquisizione diretta di dati
    L’acquisizione diretta dei dati può essere eseguita da dispositivi automatizzati o da altri strumenti tecnici. Tali dati devono essere sempre accompagnati dai metadati relativi al dispositivo utilizzato.
  • Verifica data entry
    I controlli sull’immissione dei dati devono essere convalidati. La sospensione dei controlli deve essere documentata e giustificata.

Requisiti per l’audit trail

  • Audit trail:
    In un sistema computerizzato, l’audit trail deve essere sicuro, generato dal computer, con data e ora. L’audit trail deve essere robusto e non deve essere possibile per un utente normale disattivarlo.
  • Audit trail review:
    Dovrebbero essere predisposte procedure per la review di audit trail basate sul rischio e l’esecuzione della revisione dei dati deve essere documentata. La revisione dei dati deve concentrarsi sui dati critici ed essere proattiva e continua.
  • Firma dei dati:
    Gli sperimentatori sono responsabili dei dati inseriti nei sistemi sotto la loro supervisione. Questi dati devono essere revisionati e firmati. La firma dello sperimentatore principale e di un membro autorizzato del suo staff rappresenta la conferma documentata che i dati rispettano i requisiti ALCOA.
  • Dati copiati:
    I dati possono essere copiati o trascritti per diversi scopi. Se un dato viene sostituito in modo irreversibile da una copia, questa deve essere certificata (ICH-GCP 1.63).
  • Copie certificate:
    Quando si crea una copia certificata, è necessario considerare la natura del documento originale. Il processo di copia deve basarsi su un processo convalidato.
  • Hosting e controllo dei dati:
    Tutti i dati generati durante uno studio clinico relativi ai partecipanti devono essere disponibili per lo sperimentatore durante e dopo lo studio. Lo sponsor non deve avere il controllo esclusivo dei dati inseriti in un sistema computerizzato.
  • Cloud:
    In caso di utilizzo di una soluzione cloud, lo sponsor (ICH-GCP 5.2.1) e/o lo sperimentatore (ICH-GCP 4.2.6) dovrebbero garantire che la parte contraente che fornisce il cloud sia qualificata (vedere Allegato 4). La giurisdizione dei dati può essere complessa data la natura delle soluzioni e dei servizi cloud condivisi su diversi siti, Paesi e continenti; tuttavia, eventuali incertezze dovrebbero essere affrontate e risolte mediante obblighi contrattuali prima dell’uso di una soluzione cloud.
    Se il responsabile sceglie di eseguire da sè la qualifica del sistema informatizzato, il cloud provider dovrebbe mettere a disposizione un ambiente di test identico all’ambiente di produzione.
  • Back-up:
    È necessario eseguire regolarmente il backup dei dati e delle configurazioni. Si raccomanda l’uso di server replicati. I backup devono essere archiviati in posizioni fisiche e reti logiche separate e non dietro lo stesso firewall dei dati originali per evitare la distruzione o l’alterazione simultanea. La frequenza dei backup e la loro conservazione devono essere determinati con un approccio basato sul rischio.
  • Migrazione dei dati:
    Dovrebbe essere garantito che la migrazione non influisca negativamente sui dati e sui metadati esistenti. Dopo la migrazione dovrebbe essere eseguita una verifica sui dati chiave.
  • Archiviazione:
    Lo sperimentatore e lo sponsor devono essere a conoscenza dei periodi di conservazione richiesti per i dati e i documenti relativi agli studi clinici. I periodi di conservazione devono rispettare il principio di protezione dei dati sulla limitazione della conservazione.
  • Decommissioning:
    Dopo la conclusione della sperimentazione, i database possono essere disattivati. Si raccomanda di decidere il momento della disattivazione prendendo in considerazione, ad esempio, se la sperimentazione clinica sarà utilizzata o meno nei termini di una domanda di autorizzazione all’immissione in commercio nel prossimo futuro, nel qual caso si potrebbe raccomandare di conservare i database. Una copia datata e autenticata dei database e dei dati deve essere archiviata e disponibile su richiesta. In caso di disattivazione, lo sponsor deve garantire la possibilità di ripristinare i database.

Annex

La bozza della nuova linea guida EMA si compone anche di 5 Annex che trattano nello specifico:

  1. Contratti
  2. Convalida dei sistemi computerizzati
  3. Gestione utenti
  4. Sicurezza
  5. Requisiti legati a specifici tipi di sistemi, processi e dati.

Fonte

Guideline on computerised systems and electronic data in clinical trials, draft,10 giugno 2021

Data Integrity nel Laboratorio QC: le cose da ricordare

Ormai da diversi anni la data integrity è un punto chiave della compliance aziendale, ciononostante gli ispettori continuano a riscontrare non-conformità, soprattutto all’interno dei laboratori QC.

Quali tipi di dati vengono raccolti in laboratorio?

  • dati dai lotti testati e dati del personale che esegue i test
  • dati su campionamento e conservazione dei campioni, registrazioni, osservazioni
  • peso e preparazione dei campioni, standard e reagenti utilizzati
  • dati di qualifica e calibrazione degli strumenti utilizzati
  • controlli sugli strumenti
  • sequenze di dati complete
  • dati che devono essere registrati
  • dati di processo
  • calcoli specifici di dispositivo
  • picchi
  • calcoli
  • trend
  • risultati dei suitability test
  • report generati da dati elettronici
  • audit trail, deviazioni e cambi
  • osservazioni documentate
  • calcoli eseguiti utilizzando software esterni

Tutti questi dati devono essere in compliance con i principi ALCOA, o meglio ALCOA plus.

Prendiamo ora in esame gli aspetti fondamentali della data integrity durante la generazione di un dato.


Data integrity in laboratorio: cosa ricordare

  • L’accesso alle funzionalità chiave di amministrazione del sistema (abilitare/disabilitare l’audit trail, cambiare data e ora…) deve essere limitato al solo personale autorizzato e indipendente (segregation of duties).
  • Gli account devono essere, quando applicabile, nominali e non di tipo amministrativo. Non devono esserci account di gruppo o login anonimi. I privilegi degli utenti devono essere assegnati in funzione del ruolo a sistema. Non devono essere assegnati in funzione del ruolo aziendale (es. il QC manager non necessariamente deve aver i privilegi più alti: se entra in un sistema solo per eseguire analisi, deve avere il ruolo di analista junior).
  • E’ essenziale la qualifica, la convalida, la taratura periodica e la manutenzione di tutti i sistemi computerizzati critici, degli strumenti di laboratorio e dei sistemi di valutazione e controllo. 
  • I dati e l’Audit Trail devono essere rivisti prima di prendere decisioni basate sui dati, in particolare per il rilascio del lotto. Le deviazioni devono essere indagate. Devono esserci meccanismi di blocco dei dati per impedire le modifiche a dati verificati/approvati.
  • Non è ammessa la cancellazione, la sovrascrittura di raw data e risultati e il testing-into-compliance.
  • Ogni modifica ai dati (integrazione manuale, riprocessamento o modifica a fattori di calcolo, pesi e quantità) deve essere documentata, deve essere eseguita in accordo a una procedura scritta e deve essere oggetto di revisione.
  • Le analisi devono essere eseguite in accordo a procedure scritte e metodi qualificati. Ogni analisi ripetuta deve essere giustificata in forma scritta.
  • OOS, OOT, OOE o deviazioni devono essere investigate.
  • Se i dati mancano di robustezza e accuratezza (per esempio per una calibrazione o una convalida incomplete) non devono essere utilizzati.
  • L’audit trail deve essere attivo.
  • Le registrazioni devono essere contemporanee e nella documentazione ufficiale (es. quaderni di laboratorio, copie controllate dei moduli,,…).
  • I backup devono essere eseguiti, monitorati e verificati.  
videocorso

Audit Trail review per QA e QC

Sconto del 15% per iscrizioni anticipate
(entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il webinar è dedicato ai responsabili e al personale del Lab QC, ai QA coinvolti nella review dei dati di laboratorio o negli audit di data integrity e agli auditor responsabili di auto-ispezioni e audit presso i fornitori. 

Programma

L’Annex 11 delle EU GMP sui sistemi computerizzati richiede esplicitamente la review periodica dell’audit trail. Anche le linee guida MHRA, WHO, FDA, EMA e PIC/S sul data integrity sottolineano la necessità di eseguire la review dell’audit trail, ma senza dettagliare come farla, lasciando a ciascuna azienda l’interpretazione e l’implementazione: serve una funzione di Audit Trail per tutti i software? chi deve eseguirla? con quale frequenza?

Questa situazione è ulteriormente complicata dal fatto che molte applicazioni software sono state progettate prima che la data integrity diventasse di interesse per le Autorità.
Questo corso è sviluppato per aiutare le aziende farmaceutiche e di API a comprendere come gestire la review dell’Audit Trail e come effettuarla utilizzando un approccio risk based.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Obiettivi

  • Comprendere i requisiti regolatori per la review dell’Audit Trail dei sistemi computerizzati di laboratorio.
  • Identificare le responsabilità e le modalità per l’esecuzione della review.
  • Identificare probabili problemi di data integrity grazie all’analisi di esempi di Audit Trail.

Principali argomenti in agenda

  • Riferimenti normativi e linee guida
  • Audit Trail durante le ispezioni: quali sono le aspettative delle Autorità
  • Audit Trail: come realizzarlo e come convalidarlo
  • La review dell’Audit Trail: modalità e frequenza

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Advanced data integrity

Sconto del 15% per iscrizioni anticipate
(entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è pensato per coloro che desiderano approfondire i requisiti e le aspettative per le infrastrutture IT al fine di sviluppare e migliorare un efficace programma di Data Integrity.
Gli argomenti risulteranno accessibili ed interessanti anche per tutti i QA che desiderano monitorare meglio il sistema di gestione dei dati GMP.

Programma

Dopo una breve introduzione alla data integrity che prende in esame anche le responsabilità del management, verranno affrontati diversi aspetti della data integrity tra cui le infrastrutture IT a supporto e l’approccio alla data integrity proposto dal PDA Technical Report 84.

A partire da alcune considerazioni sulla data integrity nel cloud, verranno infine introdotti gli audit di data integrity sia per provider di sistemi e servizi IT, sia per fornitori della supply chain e CMO.

Obiettivi

  • Conoscere le infrastrutture indispensabili a supporto del Data Integrity e le loro criticità.
  • Familiarizzare con l’audit trail e la sua applicazione.

Principali argomenti in agenda

  • Introduzione alla data integrity e le responsabilità del management
  • Le infrastrutture IT a supporto della data integrity
  • PDA Technical Report 84
  • Data integrity e cloud
  • Introduzione all’audit di data integrity
  • Domande e risposte

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

data integrity

CONFERMATO! Data Integrity: novità normative e compliance

A chi si rivolge

Il corso è diretto a tutti coloro che vogliono approfondire i requisiti per la corretta gestione del dato GMP in ottica Data Integrity: dalla sua creazione fino all’archiviazione.

Programma

L’attenzione delle Autorità per la Data Integrity non sembra diminuire e prova ne sono le numerose Warning Letter emesse negli ultimi anni e le recenti normative per sottolineare l’importanza della corretta gestione del dato GMP.

Partendo da un’analisi delle recenti normative (emesse dal MHRA e dal WHO) e dalle osservazioni degli ispettori, il docente guiderà i partecipanti attraverso l’analisi critica del processo di generazione dei dati, definendone il loro ciclo di vita e indicando i principali e indispensabili requisiti di sicurezza.

Il corso fornirà indicazioni utili per comprendere cosa le Autorità richiedono concretamente per allinearsi alle nuove Linee Guida e consentirà di valutare in modo critico i propri sistemi di gestione dei dati o quelli di aziende a cui si sono affidate attività rilevanti dal punto di vista GMP, riuscendo così a ottimizzare risorse e sforzi.

Obiettivi

  • Gestire correttamente i dati dalla loro generazione (raw data) all’archiviazione finale.
  • Comprendere i problemi di sicurezza che accompagnano il ciclo di vita del dato GMP.
  • Valutare in modo critico i sistemi IT in ottica Data Integrity.

Principali argomenti in agenda

  • Introduzione al corso
  • Le normative EU/US
  • La nuova linea guida WHO
  • Inspection Issue: FDA-483 e WL
  • I requisiti di integrità dei documenti e dati
  • Il ciclo di vita dei dati: dati grezzi (Raw), copie conformi, dati, metadati,…
  • La Governance dei documenti/dati in formato elettronico
  • Applicare i requisiti di sicurezza:
    – controllo accessi,
    – audit trail e sua verifica
    – backup e restore
    – sicurezza logica
  • Condurre un audit di Data Integrity
  • Le sfide del clouding: è possibile assicurare la compliance dei sistemi affidati a terzi?
  • Domande e risposte