21 CFR Part 11 (deutsch) ~ FDA Anforderungen & Compliance (2023)

Table of Contents
21 CFR part 11: Ein Angstgespenst!? 21 CFR part 11: Welche Systeme und Unterlagen sind betroffen? Regulatorische Anforderungen Offene und geschlossene Systeme Anforderungen an geschlossene Systeme Anforderungen an offeneSysteme Anforderungen an die digitale Unterschrift Häufige Fragen im Kontext des 21 CFR part 11 Gibt es Lösungen, um 21 CFR part 11 Compliance zu gewährleisten Muss man den 21 CFR part 11 einhalten, wenn man alles ausdruckt und dann unterschreibt? Muss ich auf Papier verzichten? Muss man der Auditrail auch die Unterschrift dokumentieren Wie kann man die elektronische Unterschrift mit einem Dokument verknüpfen? Praktische Umsetzung des 21 CFR part 11 Ähnliche Beiträge Videos

Mit dem 21 CFR part 11 formuliert die FDA Anforderungen an die elektronischen Aufzeichnungen und Unterschriften, die sich auch an Medizinproduktehersteller richten.

Viele Firmen drucken alles auf Papier aus und unterschreiben dann mit Hand, um diese Anforderungen des „part 11“ zu umgehen. Ist das wirklich notwendig?

21 CFR part 11: Ein Angstgespenst!?

Die FDA hat mit Part 11 zu den Electronic Records; Electronic Signatures“v.a. im Pharmaumfeld vielen Firmen schlaflose Nächte bereitet und den Beratern gute Geschäfte.

Manchmal wurden die Anforderungen so übertriebeninterpretiert, dass sich die FDA zu Klarstellungen bemüßigt fühlte, die sie z.B. im Guidance Dokument „Part 11, Electronic Records; Electronic Signatures — Scope and Application“ veröffentlich hat. Schließlich sah sie die eigene Zielstellung konterkariert, nämlich mit diesem part 11 eine Grundlage für den Ersatz von Papierdokumenten durch elektronische Informationen zu ermöglichen.

Doch was fordert der 21 CFR part 11 wirklich? Und welche Unterlagen sind betroffen?

21 CFR part 11: Welche Systeme und Unterlagen sind betroffen?

Der 21 CFR part 11 findet immer dann Anwendung, wenn Informationen elektronisch erzeugt, verändert, gespeichert, übertragen oder auf diese zugegriffen werden sollen. Dabei kann es sich um die verschiedensten Typen an Informationen handeln wie beispielsweise

  • Texte,
  • Bilder, Videos oder
  • Audiodateien

Die Anforderungen (an die IT-Systeme) sind dann zu erfüllen, wenn die damit erzeugten, gespeicherten, übertragenen oder veränderten Dokumente dazu dienen, die Einhaltung regulatorischer Vorschriften nachzuweisen wie beispielsweise

(Video) Computer System Qualification II GAMP 5 II Annex-11 II 21 CFR part 11 II Rishabh Jain II Pharma inte

  • Freigabe- und Testprotokolle
  • Verfahrens- und Arbeitsanweisungen
  • Konstruktionszeichnungen, Dokumentation der Software-Architektur
  • Spezifikationen, Anorderungsdokumente
  • Aufzeichnungen z.B. aus der Produktion
  • Reviewsprotokolle

Als Faustformel kann man sagen, dass Systeme dann dem 21 CFR part 11 unterliegen, wenn die damit „verwalteten“ Dokumente

  1. bei der FDA eingereicht werden (z.B. bei einer 510(k)-Submission) oder
  2. bei einer FDA-Inspektion relevant sind, d.h. die Prüfung des QM-Systems konform 21 CFR part 820 zum Ziel hat.

Die FDA verzichtet bei einigen Systemen darauf, dass Sie „part 11 compliant“ erstellt werden:

  • Alt-Systeme, die vor dem 20. August 1997 in Betrieb waren
  • Systeme, die Papierausdrucke erzeugen.

Der 21 CFR part 11 ist also nur dann anzuwenden, wenn elektronische Aufzeichnungen das Papier ersetzen.

Es gibt einen Graubereich, wenn ein System zwar einen Papierausdruck erzeugt, aber man sich bei dessen Erstellung auf die elektronische Aufzeichnung verlässt. Beispielsweise erzeugen Hersteller oft automatisiert 1000e Seiten an Testberichten, drucken diese aus und unterschreiben. Hier müsste man die Entscheidung für die Nichtanwendung der part 11 begründen.

Regulatorische Anforderungen

Die FDA fordert, dass die oben diskutierten IT-Systeme validiert werden müssen und verweist in diesem Zusammenhang auch auf das Guidance Dokument „General Principals of Software Validation“. Das führt zur Diskussion, ob es hier nur um die Validierung geht oder um den kompletten Software-Lebenszyklus. Lesen Sie hier mehr zu diesem Thema Computer System Validation.

Offene und geschlossene Systeme

Die Anforderungen unterscheiden sich von offenen und geschlossenen Systemen. Ein System ist dann geschlossen, wenn das System unter der Kontrolle von Personen ist, die für die elektronischen Aufzeichnungen verantwortlich sind, die durch dieses System verwaltet werden. Andernfalls ist es ein offenes System.

(Video) Compliance with Medical Standards IEC 62304, ISO 14971, IEC 60601, FDA Title 21 CFR Part 11

Ein Beispiel für ein geschlossenes System wäre ein Build- und Test-System im Intranet, auf den nur die verantwortlichen Tester oder Entwickler zugreifen können.

Ein System, das Daten über das Internet überträgt, zählt zu den offenen Systemen.

Anforderungen an geschlossene Systeme

Der 21 CFR part 11.10 legt die Anforderungen an geschlossene Systeme fest. Hier geht es darum, dass die Personen, die mit diesen Systemen arbeiten, die Authentizität, Integrität und ggf. die Vertraulichkeit der Daten sicher stellen müssen. Dazu sind Sie zu Folgendem verpflichtet:

  1. System validieren (Performanz, Fähigkeit, Veränderungen an Aufzeichnungen oder ungültige Aufzeichnungen zu erkennen).
  2. (Auch) Menschenlesbare Aufzeichnungen erzeugen.
  3. Schutz der Aufzeichnungen sicherstellen (müssen verfügbar sein).
  4. Begrenzung des Zugriffs auf autorisierte Personen.
  5. Audittrails, die computergeneriert sind, Zeitstempel enthalten und zeigen, wer wann was geändert hat. Hier rudert die FDA aber zurück, wie Sie im o.g. Guidance Dokument nachlesen können.
  6. Verfahrensprüfungen, um sicherzustellen, dass (nur) die zugelassene Reihenfolge von Arbeitsschritten erzwungen wird – soweit notwendig.
  7. Zugangsprüfungen, um sicherzustellen, dass nur berechtigte Nutzer das System nutzen (z.B. Dokumente erzeugen und unterschreiben), auf das Betriebssystem, den Computer oder die Peripherie zugreifen können.
  8. Prüfung der Peripherie, um sicherzustellen, dass die Ein- und Ausgaben korrekt sind.
  9. Ausbildung der Personen, die mit dem System arbeiten oder es enwickeln.
  10. Verhindern von Fälschungen, dadurch, dass man Personen schriftlich haftbar für das macht, was sie unterschreiben.
  11. Systemdokumentation z.B. darüber, wer Zugang zum System hat, wie dieser Zugang gewährt wird, sei es für die Anwendung oder Pflege des Systems, und darüber, wer wann was am System geändert hat.

Anforderungen an offeneSysteme

An offene Systeme stellt der 21 CFR part 11.30 zusätzliche Anforderungen. Dazu zählen Maßnahmen wie die Verschlüsselung von Dokumenten, digitaler Unterschriftenstandards, um die Echtheit, Integrität und Vertraulichkeit von Aufzeichnungen sicherzustellen.

Anforderungen an die digitale Unterschrift

Die Anforderungen des 21 CFR part 11 an digitale Unterschriften werden jedem vertraut vorkommen, der sich mit diesem Thema und z.B. dem Signaturgesetz auseinandergesetzt hat:

  • Inhalte: Die digitale Unterschrift muss enthalten
    • den Namen des Unterzeichnenden,
    • das Datum und die Zeit der Unterzeichnung und
    • die Bedeutung der Unterzeichnung (z.B. Review, Genehmigung, Autor).
  • Verfälschungssicherheit: Die digitale Unterschrift darf nicht verfälscht werden können (defacto stellt der 21 CFR die gleichen Anforderungen wie an die Dokumente.
  • Verbindung mit Dokument: Die Unterschrift muss mit dem Dokument so verbunden sein, dass sie nicht auf andere Dokumente angewendet werden kann.
  • Einzigartigkeit: Natürlich muss die Unterschrift auch einem einzelnen Individuum zugeordnet werden können.
  • Biometrische und nicht biometrische Verfahren: Die Identifizierung muss auf biometrischen Verfahren beruhen oder aus zwei Komponenten wie Identifizierungscode und Passwort bestehen.

Auch an die Verwendung von Idenfizierungscode (z.B. Benutzername, Kürzel oder Nummer) und Passwörter stellt der 21 CFR part 11 Anforderungen, konkret in 11.200 (a) und 11.300:

  • Vier-Augen-Prinzip: Die Vergabe muss so geregelt sein, dass der missbräuchliche Versuch, die Unterschrift eines anderen zu nutzen, zumindest zweier Personen bedürfte.
  • Eindeutige Kombinationen: Eine doppelte Vergabe von Codes und Passwörter muss ausgeschlossen sein.
  • Aktualisierung: Beide müssen regelmäßig überprüft werden, ob sie noch ausreichend sicher sind.
  • Verlust-Management: Für den Verlust von Codes, Passwörtern, Karten u.ä. muss es ein Verfahren geben, das z.B. die „De-Autorisierung“ gestattet.
  • Schutzmaßnahmen: Geeignete Maßnahmen zum Schutz und zur Detektion von unberechtigten Zugriffsversuchen müssen getroffen sein.
  • Überprüfung: Regelmäßig sind die Ein-/Ausgabegeräte einschließlich Karten, die Autorisierungsinformationen tragen oder lesen auf korrekte Funktionalität zu prüfen.

Häufige Fragen im Kontext des 21 CFR part 11

Gibt es Lösungen, um 21 CFR part 11 Compliance zu gewährleisten

Die klare Antwort heißt nein. Denn der 21 CFR part 11 verlangt nicht nur technische, sondern auch organisatorische Maßnahmen. Die können Sie nicht kaufen.
Hersteller wie unsere Schwesterfirma Medsoto haben allerdings die Produkte so vorbereitet, dass die technischen Voraussetzungen gegeben sind, um eine (technische) Dokumentation zu erstellen.
Lesen Sie auch, welche Regeln Sie bei bzgl. Healthcare Compliance einhalten müssen.

(Video) Software für Medizin & Pharmazie – Part 11 Compliance - Anne Kramer (Webinar vom 30.11.2017)

Muss man den 21 CFR part 11 einhalten, wenn man alles ausdruckt und dann unterschreibt?

Die Antwort, die in den meisten Fällen zutrifft, lautet „nein“. Es gibt allerdings Ausnahmen, die wir weiter oben bereits am Beispiel einer Testdokumentation angesprochen haben.

Muss ich auf Papier verzichten?

Die FDA verlangt (zunehmend), dass Sie Ihre Unterlagen elektronisch einreichen. Allerdings könnten Sie auch Ausdrucke einscannen und einreichen. Damit könnten Sie von der o.g. Ausnahme abgesehen den part 11 ignorieren.

Muss man der Auditrail auch die Unterschrift dokumentieren

Ja, das muss er. Beachten Sie aber, dass die FDA die Anforderungen an den Audit-Trail wieder etwas gelockert hat. Die Proteste waren doch zu groß.

Wie kann man die elektronische Unterschrift mit einem Dokument verknüpfen?

Ein erster Gedanke könnte sein, eine Unterschrift einzuscannen und dann ins Dokument einzufügen und das als PDF zu drucken. Doch das würde der Forderung der part 11.70 nicht genügen. Schließlich könnte man diese Grafik als Screenshot exportieren und in ein anderes Dokument einfügen.

Vielmehr wird üblicherweise eine Prüfziffer des Dokuments (Hashcode) mit dem privaten Schlüssel des Unterzeichnenden verschlüsselt. Dieser verschlüsselte Hashwert ist die digitale Signatur/Unterschrift.

Praktische Umsetzung des 21 CFR part 11

Die meisten Firmen basieren ihre digitalen Unterschriften entweder auf einem (Dokumentenmanagement)System oder auf der digitalen Signierung von PDF-Dokumenten.

Zu beiden Varianten werden wir hier noch ausführlicher berichten. Einen ganz kurzen ersten Tipp finden Sie in diesem Artikel zu elektronischen Unterschriften.

(Video) Learning from Recent FDA Warning Letters related to Part 11 and Computer Validation

Wie hilfreich war dieser Beitrag?

Bitte bewerten Sie:

Durchschnittliche Bewertung 4.9 / 5. Anzahl Bewertungen: 42

Geben Sie die erste Bewertung!

(Video) Pharmaceuticals FDA GMP Overview (21CFR211)

Ähnliche Beiträge

Videos

1. DocuSign CFR Part 11 Module: Enable and Use Validator Reports
(DocuSign)
2. A GAMP® Approach to Robotic Process Automation
(Pharma Best Practices Webinars)
3. GMP Konformität für Biotechnologie und Pharma
(ZEISS Microscopy)
4. DocuSign CFR Part 11 Module: Send Using Standards Based Signatures
(DocuSign)
5. Dr. Ludwig Huber, Part 11 Authorized Access
(labcompliance1)
6. Webinar - Die FDA Zulassung - Mit Prof Dr. Christian Johner und Luca Salvatore
(Johner Institut GmbH)
Top Articles
Latest Posts
Article information

Author: Merrill Bechtelar CPA

Last Updated: 04/17/2023

Views: 5965

Rating: 5 / 5 (50 voted)

Reviews: 81% of readers found this page helpful

Author information

Name: Merrill Bechtelar CPA

Birthday: 1996-05-19

Address: Apt. 114 873 White Lodge, Libbyfurt, CA 93006

Phone: +5983010455207

Job: Legacy Representative

Hobby: Blacksmithing, Urban exploration, Sudoku, Slacklining, Creative writing, Community, Letterboxing

Introduction: My name is Merrill Bechtelar CPA, I am a clean, agreeable, glorious, magnificent, witty, enchanting, comfortable person who loves writing and wants to share my knowledge and understanding with you.