Einführung

Titel 21 CFR Part 11 des Code of Federal Regulations enthält die Vorschriften über elektronische Aufzeichnungen und elektronische Signaturen, wie sie von der US-amerikanischen Food and Drug Administration (FDA) formuliert wurden.

Da die Einhaltung von 21 CFR Part 11 nicht nur vom Softwaresystem abhängt, sondern auch von Verfahrenskontrollen (z. B. Dokumentenkontrolle, SOPs, Schulungen usw.) innerhalb einer Organisation, die elektronische Aufzeichnungen verwendet, kann eine Software nicht als konform zertifiziert werden (und jeder Softwareanbieter, der behauptet, 21 CFR Part 11-konform zu sein, ist falsch!). Es ist jedoch möglich, dass Softwareanbieter ein System anbieten, das die von der FDA festgelegten technischen Anforderungen für elektronische Aufzeichnungen in einer konformen Konfiguration erfüllt.

Dieses Dokument gibt einen kurzen Überblick über technische Merkmale, die die Anforderungen von 21 CFR Part 11 erfüllen und deren Implementierung innerhalb einer Organisation erleichtern. Dieses Dokument enthält keine detaillierten Informationen zu 21 CFR Part 11 und bietet auch keine Rechtsberatung zur vollständigen Einhaltung der Vorschriften.

Den vollständigen Text von 21 CFR Part 11 finden Sie auf der FDA-Website.

Die folgende Übersicht fasst die Abschnitte der 21 CFR Part 11-Vorschriften zusammen, die für elektronische Systeme relevant sind, und weist auch auf die Implementierung von Labfolder hin, um diese technischen Anforderungen zu erfüllen.

*Wenn Sie die FDA-Compliance-Informationen als Datei haben möchten, können Sie hier kostenlos auf die PDF-Version dieses Whitepapers zugreifen:

Unterabschnitt B — Elektronische Aufzeichnungen

Abschnitt 11.10 Steuerungen für geschlossene Systeme

Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu verwalten oder zu übertragen, müssen Verfahren und Kontrollen anwenden, die darauf ausgelegt sind, die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen zu gewährleisten und sicherzustellen, dass der Unterzeichner die unterzeichnete Aufzeichnung nicht ohne weiteres als nicht echt abweisen kann. Diese Verfahren und Kontrollen umfassen Folgendes:

• Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit, gleichbleibender erwartungsgemäßer Leistung und der Fähigkeit, ungültige oder geänderte Datensätze zu erkennen.
  
  • Labfolder-Implementierung: Gemäß der obigen FDA-Klassifizierung ist Labfolder ein geschlossenes System, da für die Verwendung des elektronischen Labornotizbuchs ein Login und ein Passwort erforderlich sind, die beide nur für das LabFolder-System gelten.
  • Vertraulichkeit: Alle Datensätze sind standardmäßig nur für die Autoren verfügbar, und Autoren können sie mit anderen Benutzern innerhalb des geschlossenen Systems teilen. Innerhalb einer Organisation können Regeln für die gemeinsame Nutzung und Zugriffsrechte eingerichtet werden, um die Vertraulichkeit weiter zu erhöhen.
  • Echtheit: Alle Datensätze haben nur einen eindeutigen/ursprünglichen Autor, der während des gesamten Lebenszyklus eines Dokuments nicht geändert werden kann
  • Integrität: Jeder einzelne Datensatz sowie Änderungen an einem Datensatz werden in einem vollständigen Audit-Trail verfolgt und erhalten einen vom Serversystem bereitgestellten Zeitstempel, der von Benutzern nicht manipuliert werden kann. Das Löschen von Dokumenten ist nach der Autorisierung möglich und kann durch organisatorische Richtlinien weiter gesteuert werden.

• Die Fähigkeit, genaue und vollständige Kopien von Aufzeichnungen sowohl in menschenlesbarer als auch in elektronischer Form zu erstellen, die für die Prüfung, Überprüfung und Vervielfältigung durch die Behörde geeignet sind. Personen sollten sich an die Behörde wenden, wenn es Fragen dazu gibt, ob die Behörde in der Lage ist, eine solche Überprüfung und Kopie der elektronischen Aufzeichnungen durchzuführen.
  
  • Labfolder-Implementierung: Zugriff auf Datensätze im geschlossenen System kann jeder Person oder Organisation gewährt werden, und PDF-Dateien von Datensätzen können jederzeit exportiert werden. In beiden Implementierungen können Dritte Aufzeichnungen, Autoren, Zeitstempel, Prüfprotokolle und elektronische Signaturen überprüfen.

• Schutz der Aufzeichnungen, um deren genauen und sofortigen Abruf während der gesamten Aufbewahrungsdauer der Aufzeichnungen zu ermöglichen
  
  • Labfolder-Implementierung: In der Cloud-Version werden Datensätze über den Abonnementzeitraum hinaus drei Jahre lang gespeichert, sofern sie nicht ausdrücklich vom Benutzer gelöscht werden. Somit entspricht Labfolder der standardmäßigen „Aufbewahrungsfrist für Aufzeichnungen“ von 21 CFR Part 11. Bei lokalen Serverinstallationen liegt der Abruf während des gesamten Aufbewahrungszeitraums der Aufzeichnungen in der Verantwortung der Hosting-Organisation.

• Beschränkung des Systemzugriffs auf autorisierte Personen
  
  • Labfolder-Implementierung: Für den Zugriff auf Labfolder ist eine Authentifizierung mit einem eindeutigen Benutzernamen und Passwort erforderlich. Der Zugriff auf Aufzeichnungen kann jederzeit von der Organisation, die diese Aufzeichnungen kontrolliert und besitzt, kontrolliert, gewährt und widerrufen werden.

• Verwendung sicherer, computergenerierter Audit-Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Bedienereingaben und Aktionen, die elektronische Aufzeichnungen erstellen, ändern oder löschen. Durch Änderungen der Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdeckt werden. Diese Unterlagen über den Prüfpfad sind mindestens so lange aufzubewahren, wie es für die elektronischen Aufzeichnungen der betreffenden Person erforderlich ist, und müssen der Behörde zur Überprüfung und Vervielfältigung zur Verfügung stehen.
  
  • Labfolder-Implementierung: Alle Datensätze und Datensatzänderungen werden mit einem vom System erstellten Zeitstempel versehen und in einem Audit-Trail aufgezeichnet, der von keinem Benutzer von Labfolder manipuliert werden kann. Das Löschen von Datensätzen kann durch organisatorische Richtlinien kontrolliert und verboten werden.

• Einsatz von Betriebssystemprüfungen zur Durchsetzung der zulässigen Abfolge von Schritten und Ereignissen, soweit angemessen
  
  • Labfolder-Implementierung: Wenn eine Organisation die Sequenzprüfung von Schritten und Ereignissen benötigt, kann sie diese mithilfe der Platzhaltervorlagen in ihre Verfahrensbeschreibungen in Labfolder implementieren.

• Verwendung von Autoritätsprüfungen, um sicherzustellen, dass nur autorisierte Personen das System verwenden, eine Aufzeichnung elektronisch signieren, auf das Eingabe- oder Ausgabegerät des Betriebs- oder Computersystems zugreifen, einen Datensatz ändern oder den aktuellen Vorgang ausführen können
  
  • Labfolder-Implementierung: Zusätzlich zur Anmeldung können jedem Benutzer administrative Rollen innerhalb einer Organisation zugewiesen werden. Der Lese-/Schreibzugriff auf Datensätze sowie die Möglichkeit zum Signieren können für jedes Mitglied der Organisation individuell verwaltet werden, sodass auch innerhalb verschachtelter und verzweigter Organisationsstrukturen Autoritätsprüfungen durchgesetzt werden können.

• Mithilfe von Geräten (z. B. Endgeräten) wird gegebenenfalls überprüft, ob die Quelle der Dateneingabe oder Betriebsanweisung gültig ist
  
  • Labfolder-Implementierung: Für jedes Gerät, von dem aus auf Datensätze zugegriffen wird, ist eine Anmeldung erforderlich, und die IP-Adressen des Geräts werden für jede Sitzung gespeichert.

• Feststellung, dass Personen, die elektronische Aufzeichnungs- und Signatursysteme entwickeln, verwalten oder verwenden, über die Ausbildung, Ausbildung und Erfahrung verfügen, um die ihnen zugewiesenen Aufgaben zu erfüllen
  
  • Labfolder-Implementierung: Das Labfolder-Entwicklungsteam ist auf dem Gebiet des Softwaredesigns, der Implementierung kryptografischer Methoden und Vorschriften gut geschult. Labfolder-Teammitglieder, die mit dem System und den Anforderungen nicht vertraut sind, erhalten Anleitungen und Schulungen.

• Die Festlegung und Einhaltung schriftlicher Richtlinien, die Einzelpersonen zur Rechenschaft ziehen und für Handlungen verantwortlich machen, die mit ihren elektronischen Signaturen eingeleitet wurden, um die Fälschung von Aufzeichnungen und Unterschriften zu verhindern.
  
  • Diese Funktion würde den Umfang des von Labfolder bereitgestellten Softwaresystems sprengen. Labfolder kann jedoch Richtlinien und Schulungen bereitstellen, um die Einhaltung der Vorschriften sicherzustellen.

• Verwendung geeigneter Kontrollen für die Systemdokumentation, einschließlich:

1. Angemessene Kontrollen der Verteilung, des Zugriffs auf und der Verwendung von Unterlagen für den Betrieb und die Wartung des Systems.

2. Überprüfungs- und Änderungskontrollverfahren zur Pflege eines Audit-Trails, der die zeitversetzte Entwicklung und Änderung der Systemdokumentation dokumentiert.

• Labfolder-Implementierung: Für die Verwaltung von SOPs ermöglicht Labfolder die Aufzeichnung eines Audit-Trails für „Protokollvorlagen“ und die Möglichkeit, intern markierte zertifizierte Protokollvorlagen zu verwenden, die SOPs innerhalb einer Organisation beschreiben.

Abschnitt 11.30 Steuerungen für offene Systeme

Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu verwalten oder zu übermitteln, müssen Verfahren und Kontrollen anwenden, die darauf ausgelegt sind, die Echtheit, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen vom Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Zu diesen Verfahren und Kontrollen gehören, soweit angemessen, die in 11.10 genannten Verfahren und zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und die Verwendung geeigneter Standards für digitale Signaturen, um, soweit unter den gegebenen Umständen erforderlich, die Echtheit, Integrität und Vertraulichkeit von Aufzeichnungen sicherzustellen.

Labfolder-Implementierung: Dieser Abschnitt gilt nicht für Labfolder, da Labfolder gemäß der FDA-Definition ein „geschlossenes System“ ist.

Abschnitt 11.50: Unterschriftsbekundungen

• Signierte elektronische Aufzeichnungen müssen Informationen im Zusammenhang mit der Unterzeichnung enthalten, aus denen eindeutig Folgendes hervorgeht:
  
  1. Der gedruckte Name des Unterzeichners;
  2. Datum und Uhrzeit der Ausführung der Signatur;
  3. Die Bedeutung (z. B. Überprüfung, Genehmigung, Verantwortung oder Urheberschaft), die der Signatur zugeordnet ist.

• Labfolder-Implementierung: Labfolder bietet eine digitale Signatur, die den gedruckten Namen des Unterzeichners, einen Zeitstempel für die Signatur und die Bedeutung der Signatur angibt. Die Bedeutung von Signaturen kann innerhalb einer Organisation kontrolliert werden.

• Die in den Absätzen (a) (1), (a) (2) und (a) (3) dieses Abschnitts genannten Elemente unterliegen denselben Kontrollen wie für elektronische Aufzeichnungen und sind als Teil jeder menschenlesbaren Form der elektronischen Aufzeichnung (z. B. elektronische Anzeige oder Ausdruck) aufzunehmen.

• Labfolder-Implementierung: Digitale Signaturen in Labfolder sowie ihre Autoren und Zeitstempel können nach der Ausgabe nicht mehr geändert werden. Digitale Signaturen werden am Ende jedes Datensatzes angezeigt und bei einem PDF-Export ebenfalls exportiert.

Abschnitt 11.70 Verknüpfung von Signatur/Datensatz

Elektronische Signaturen und handschriftliche Unterschriften, die in elektronischen Aufzeichnungen ausgeführt werden, müssen mit ihren jeweiligen elektronischen Aufzeichnungen verknüpft werden, um sicherzustellen, dass die Unterschriften nicht herausgeschnitten, kopiert oder auf andere Weise übertragen werden können, um eine elektronische Aufzeichnung mit normalen Mitteln zu fälschen.

Labfolder-Implementierung: Elektronische Signaturen in Labfolder sind nicht nur elektronisch mit jedem Datensatz verknüpft, sondern auch mit der SHA-1-Hashsumme jedes Datensatzes verknüpft und können daher nicht herausgeschnitten, kopiert oder in einen anderen Datensatz übertragen werden.

Unterabschnitt C — Elektronische Signaturen

§ 11.100 Allgemeine Anforderungen

• Jede elektronische Signatur muss für eine Person einzigartig sein und darf von keiner anderen Person wiederverwendet oder einer anderen Person zugewiesen werden.
  
  • Labfolder-Implementierung: Jede Kombination aus Benutzername und Passwort in Labfolder ist einzigartig. Da elektronische Signaturen mit der Kombination aus Benutzername/Passwort verknüpft sind, können sie nur von einer Person pro Signatur verwendet werden.

• Bevor eine Organisation die elektronische Signatur einer Person oder irgendein Element einer solchen elektronischen Signatur festlegt, zuweist, zertifiziert oder anderweitig sanktioniert, muss die Organisation die Identität der Person überprüfen.
  
  • Diese Funktion würde den Umfang des von Labfolder bereitgestellten Softwaresystems sprengen. Labfolder kann jedoch Richtlinien und Schulungen bereitstellen, um die Einhaltung der Vorschriften sicherzustellen.

• Personen, die elektronische Signaturen verwenden, müssen der Behörde vor oder zum Zeitpunkt ihrer Verwendung bescheinigen, dass die elektronischen Signaturen in ihrem System, die am oder nach dem 20. August 1997 verwendet wurden, das rechtsverbindliche Äquivalent traditioneller handschriftlicher Signaturen sein sollen.

1. Die Bescheinigung ist in Papierform beim Office of Regional Operations (HFC-100), 12420 Parklawn Drive, RM 3007 Rockville, MD 20857, einzureichen und mit einer herkömmlichen handschriftlichen Unterschrift zu unterzeichnen.

2. Personen, die elektronische Signaturen verwenden, müssen auf Anfrage der Behörde eine zusätzliche Bescheinigung oder Aussage darüber vorlegen, dass eine bestimmte elektronische Signatur das rechtsverbindliche Äquivalent zur handschriftlichen Unterschrift des Unterzeichners darstellt.

• Die Einreichung von Zertifizierungen bei der FDA würde den Rahmen des von Labfolder bereitgestellten Softwaresystems sprengen. Labfolder kann jedoch Vorlagen für Einreichungsformulare bereitstellen, die dann bei der Behörde eingereicht werden können.

Abschnitt 11.200 Komponenten und Kontrollen der elektronischen Signatur

• Elektronische Signaturen, die nicht auf biometrischen Daten basieren, müssen:
  
  1. Verwenden Sie mindestens zwei unterschiedliche Identifikationskomponenten wie einen Identifikationscode und ein Passwort.
     • Führt eine Person während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs eine Reihe von Signaturen aus, muss die erste Signatur unter Verwendung aller elektronischen Signaturkomponenten ausgeführt werden; nachfolgende Signaturen müssen mit mindestens einer elektronischen Signaturkomponente ausgeführt werden, die nur von der Person ausgeführt werden kann und nur von ihr verwendet werden kann.
     • Führt eine Person eine oder mehrere Signaturen aus, die nicht während eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugriffs vorgenommen wurden, muss jede Unterzeichnung unter Verwendung aller elektronischen Signaturkomponenten ausgeführt werden.
  2. Nur von ihren echten Besitzern verwendet werden;
  3. müssen so verwaltet und ausgeführt werden, dass der Versuch, die elektronische Signatur einer Person durch eine andere Person als den tatsächlichen Eigentümer zu verwenden, die Zusammenarbeit von zwei oder mehr Personen erfordert.

• Elektronische Signaturen auf der Grundlage biometrischer Daten müssen so konzipiert sein, dass sie von niemand anderem als ihren tatsächlichen Eigentümern verwendet werden können.

• Labfolder-Implementierung: Die erste Überprüfung, ob eine Signatur von der autorisierten Person ausgeführt wird, erfolgt über das System-Login, das für jeden einzelnen Benutzer von Labfolder eindeutig ist. Labfolder bietet sowohl biometrische (handschriftliche) Signaturen als auch nicht-biometrische Signaturen an. Bei Verwendung einer nicht biometrischen Signatur muss die Kombination aus Benutzername und Passwort für jede Signatur erneut eingegeben werden.

§ 11.300 Kontrollen für Identifikationscodes/Passwörter

Personen, die elektronische Signaturen verwenden, die auf der Verwendung von Identifikationscodes in Kombination mit Passwörtern basieren, müssen Kontrollen anwenden, um ihre Sicherheit und Integrität zu gewährleisten. Zu diesen Kontrollen gehören:

• Beibehaltung der Eindeutigkeit jedes kombinierten Identifikationscodes und Passworts, sodass keine zwei Personen dieselbe Kombination aus Identifikationscode und Passwort haben.
  
  • Labfolder-Implementierung: Die Kombination aus Benutzername/Passwort, die für die Authentifizierung am System erforderlich ist, ist für jeden einzelnen Benutzer von Labfolder einzigartig.

• Sicherstellen, dass die Vergabe von Identifikationscodes und Passwörtern regelmäßig überprüft, zurückgerufen oder überarbeitet wird (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken).
  
  • Diese Funktion würde den Umfang des von Labfolder bereitgestellten Softwaresystems sprengen. Eine regelmäßige Passwortänderung muss den Unternehmensrichtlinien unterliegen.

• Einhaltung von Verlustmanagementverfahren zur elektronischen Deautorisierung verlorener, gestohlener, fehlender oder auf andere Weise potenziell gefährdeter Tokens, Karten und anderer Geräte, die Identifikationscode- oder Passwortinformationen tragen oder generieren, und zur vorübergehenden oder dauerhaften Ersetzung unter Verwendung geeigneter, strenger Kontrollen.
  
  • Diese Funktion würde den Umfang des von Labfolder bereitgestellten Softwaresystems sprengen. Labfolder benötigt von Haus aus keine Zugriffstoken, kann jedoch Beratung zur Implementierung von Token-Sicherheitsmaßnahmen anbieten.

• Einsatz von Transaktionsschutzmaßnahmen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und alle Versuche ihrer unbefugten Verwendung sofort und dringend an die Systemsicherheitseinheit und gegebenenfalls an die Unternehmensleitung zu melden.
  
  • Labfolder-Implementierung: Labfolder hat Sicherheitsfunktionen implementiert, die verdächtiges Verhalten melden (mehrere Anmeldungen, aufeinanderfolgende Anmeldungen von wechselnden Standorten usw.). Unbefugte Zugriffe können außerdem erkannt und verhindert werden, indem IP-Adressen für den Systemzugriff überwacht und eingeschränkt werden.

• Erste und regelmäßige Tests von Geräten wie Tokens oder Karten, die Identifikationscode- oder Passwortinformationen tragen oder generieren, um sicherzustellen, dass sie ordnungsgemäß funktionieren und nicht unbefugt verändert wurden.
  
  • Diese Funktion würde den Umfang des von Labfolder bereitgestellten Softwaresystems sprengen. Labfolder kann jedoch Richtlinien und Schulungen bereitstellen, um die Einhaltung der Vorschriften sicherzustellen.

Haben Sie weitere Fragen zum digitalen Labormanagement in ISO-zertifizierten Laboren? Nehmen Sie Kontakt mit uns auf! Unsere Experten helfen Ihnen jederzeit gerne persönlich weiter.‍