Validación de sistemas informatizados e Integridad de datos en estudios clínicos

Este curso se realizara de forma online, totalmente gratuito, el día 31 de marzo a las 16:00pm, hora de España. Para poder asistir se debe proceder al registro previo.

Saber más

Descargar Presentación

[contact-form-7]

La entrada Pruebas se publicó primero en Oqotech.

Requisito normativo

Las normas de correcta fabricación contemplan, como parte de sus actividades, el control y verificación de los sistemas informatizados. Cualquier tipo de sistema informatizado utilizado como parte de las actividades reguladas, por las normas de correcta fabricación, requieren ser validados.

En este sentido, el objetivo principal de las normas de correcta fabricación es que cuando un sistema informatizado reemplace una operación manual, no debe ser en detrimento de la calidad del producto, control del proceso o garantía de calidad. No debe haber un incremento del riesgo total del proceso.

La validación y su gestión de riesgos debe aplicarse durante el ciclo de vida del sistema informatizado teniendo en cuenta la seguridad del paciente, la integridad de datos y la calidad del producto. Entendiendo como ciclo de vida todas las fases de la vida de un sistema, desde los requerimientos iniciales hasta su retirada, incluyendo diseño, especificaciones, programación, testeo, instalación, operación y mantenimiento.

Por tanto, dentro de las actividades previstas en el control y verificación de sistemas informatizados debe estar la retirada. Esta actividad, en ocasiones, puede tratarse de una forma superficial, pero puede ser una fase tan crítica como la fase de liberación o uso del sistema. Una retirada no planificada puede poner en riesgo la información histórica del sistema y por tanto el mantenimiento de la trazabilidad del producto.

En el presente artículo vamos a tratar sobre qué entendemos por retirada controlada de un sistema informatizado cumpliendo las GxP y cómo abordar un plan de retirada completo, correcto y documentado.

Definición del concepto de retirada

El proceso de retirada de los sistemas informatizados se centra en determinar el control y configuración final del sistema informatizado a retirar durante su tiempo de archivo y asegurar la integridad de sus datos, independientemente del equipo de proceso asociado, en caso de que aplique.

También tiene en cuenta el impacto de la retirada en la gestión, control y documentación asociada al proceso que actualmente gestiona el sistema informatizado a retirar, así como la posible repercusión en el personal interno de la organización, proveedores y servicios contratados.

A continuación, se presenta un análisis de riesgos en forma de espina de pez que identifica las principales variables a controlar en esta actividad:

Descripción del flujo completo de la retirada

A continuación, se identifican las tareas a planificar, ejecutar y controlar dentro de un plan de retirada de un sistema informatizado GxP:

1. Definición de roles y responsabilidades.

Se requiere habilitar un equipo de trabajo para asegurar todo el proceso de la retirada, contando con el personal clave de la organización. En el equipo se debe contar con los representantes de los procesos afectados, calidad, sistemas e IT.

2. Descripción del proceso de negocio.

Es necesario evaluar el proceso actual que puede quedar afectado por la retirada. Debemos asegurarnos de que comprendemos completamente del alcance del sistema en la gestión del proceso, controles aportados y registros generados. Esta acción ayuda a garantizar la identificación del impacto de la retirada, permitiendo diseñar una estrategia completa de retirada, contando y mitigando todos los riesgos.

3. Impacto de la retirada.

Evidencia que se han considerado los efectos del impacto de la retirada en aspectos como:

• La gestión, control y registro del proceso que actualmente gobierna el sistema informatizado a retirar.
• Identificación de la causa raíz de la retirada.
• Actualización de procedimientos, documentación y registros.
• Impacto en personal interno y externo.

4. Escenario futuro previsto.

Plasma el escenario futuro previsto, identificando procedimientos o sistemas informatizados que reemplacen la gestión actual. Esta definición permite requerir las validaciones necesarias para aprobar el nuevo escenario informatizado.

5. Gestión de la información.

Planificando una posible destrucción, archivo o migración de datos. Asegurando de este modo la integridad de datos.

6. Verificaciones.

Asegura que la documentación asociada a las verificaciones se conserve como parte del registro y evidencias de la retirada.

7. Mantenimiento del sistema y periodo de soporte.

Mantenimiento del sistema durante el tiempo de archivo de los datos. Evidencia el control y definición del tiempo de archivo.

8. Control de cambios.

Evidencia el control del cumplimiento establecido de la retirada y que los resultados obtenidos son aptos y no ponen en riesgo la gestión y control del proceso, ni la integridad de sus datos.

9. Planificación.

Planificación del proceso de retirada. Sincronizando: responsables, tareas, plazos, secuencias y puntos de control.

10. Ejecución de la retirada.

Evaluación y determinación del momento de ejecución de la retirada. Tienen en cuenta el impacto en el proceso, validación de nuevos sistemas informatizados y estrategia de retroceso de la retirada.

11. Documentación del sistema informatizado.

Asegura que la documentación asociada al sistema informatizado a retirar se conserva como parte del sistema de calidad.

12. Informe de retirada.

Generación de un informe final de la retirada, evidenciando las actividades realizadas, resultados obtenidos, documentación y registros generados y dictamen final de la retirada.

En OQOTECH somos expertos, con más de 15 años en el sector, especializados en la validación de sistemas informatizados. Contacta con nuestros consultores y recibe un asesoramiento personalizado para tu empresa.

La entrada Retirada de Sistemas Informatizados en sectores regulados por las GxP se publicó primero en Oqotech.

Este grupo está destinado a ayudar y a resolver dudas a todas las personas que estén relacionadas, de un modo u otro, con las validaciones de sistemas informatizados. Sé podrá hablar sobre sus experiencias, vivencias y datos de interés sobre la validación de sistemas informatizados, donde un grupo de expertos de OQOTECH resolverá todas las dudas y cuestiones.

En este entorno comunitario revisaremos aspectos clave de la validación de sistemas informatizados. Siendo los principales temas de análisis los siguientes:

• Validación de sistemas informatizados.
• Cualificación de la infraestructura informática.
• Cualificación de equipos de laboratorio.
• Integridad de datos (Data Integrity). Regla ALCOA+
• Validación de hojas de cálculo.
• Automatización y/o mejora de procesos.
• Integración entre sistemas informatizados y los equipos de proceso.
• Auditorías a proveedores de servicio tecnológico.

La entrada Comunidad se publicó primero en Oqotech.

Las Buenas Prácticas de Farmacovigilancia (BPFV) se establecen, con el objetivo de facilitar el desarrollo de obligaciones para la industria farmacéutica, como un conjunto de estándares de calidad referentes a la organización y funcionamiento de los titulares de autorización de comercialización de medicamentos. Tienen como fin dar una respuesta de forma rápida y completa a cualquier solicitud de información de las autoridades competentes en materia de seguridad de medicamentos.

El uso de sistemas informatizados puede facilitar el acceso rápido a la información y también puede ser una vía de reporte de datos por parte de agentes de la salud y los pacientes. Asimismo, los sistemas pueden ser utilizados como herramientas en la gestión de procesos industriales.

Se considera sistema informatizado al conjunto de elementos físicos (hardware) y programas asociados (software) diseñados y ensamblados para realizar una o diversas actividades establecidas.
En el presente artículo analizaremos los riesgos asociados a los sistemas informatizados que dan soporte a la actividad de farmacovigilancia, los requisitos exigidos a nivel normativo en este sentido, así como la definición del proyecto de validación durante todo el ciclo de vida del sistema.

Requisitos de BPFV para sistemas informatizados

Las buenas prácticas de farmacovigilancia aplican principalmente a los registros de los casos gestionados en la organización. Estando dentro de su alcance el registro y gestión de los datos electrónicos, funcionalidades de los sistemas informatizados en la gestión de los procesos y su seguridad asociada, el aseguramento de la confidencialidad del paciente, la documentación asociada al sistema informatizado y su validación, los proveedores de servicio tecnológico, la capacitación y seguridad asociada a los usuarios finales que harán uso del sistema y las integraciones entre sistemas informatizados tanto para la obtención y registro de datos, como para el traspaso de información a las autoridades competentes.

A continuación, se analizan los requisitos de las buenas prácticas de farmacovigilancia dirigidos a los administradores de los sistemas informatizados, las características de los propios sistemas informatizados y/o a las verificaciones del comportamiento final del proceso. Por tanto, su aplicación tendrá tanto una parte técnica del sistema como procedimental.

Gestión de documentación

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Registros electrónicos

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Gestión de datos

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Validación de sistemas informatizados

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Notificación expeditiva de reacciones adversas

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Requerimientos de transmisión

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Informes periódicos de seguridad (IPS)

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Planes de gestión de riesgos (PGR)

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Estudios posautorización (EPA) observacionales

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Estudios posautorización de seguridad (EPAS)

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Archivo

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Garantía de calidad

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Acuerdos y contratos

Los requisitos aplicables a los sistemas informatizados son los siguientes:

Diseño del proyecto de validación de sistemas informatizados asociados a la actividad de farmacovigilancia

A continuación, se especifican los principales pasos en el diseño y ejecución de un proyecto de validación de sistemas informatizados asociados a las actividades del área de farmacovigilancia.

Estrategia

Materializada en un plan de validación del sistema informatizado, centralizando en un documento el alcance de la validación (definiendo el sistema como parte software y hardware), identificando la normativa aplicable y guías de buenas prácticas seguidas para elaborar la metodología del proyecto, concretando el equipo de proyecto (con una visión multidisciplicar que abarque la experiencia y conocimientos en el área de calidad, IT y procesos de farmacovigilancia), estableciendo los criterios de aceptación para dar por validado el sistema y detallando la metodología a desarrollar durante el proyecto.

Definiendo el uso previsto del sistema informatizado y el servicio solicitado al proveedor tecnológico

Estableciendo los requerimientos de usuario exigidos al sistema a nivel operativo, de seguridad e integridad de datos, tecnológico e informático. Así como concretando el acuerdo de calidad del servicio a suministrar por el proveedor tecnológico que de soporte en la gestión del sistema.

Asegurando la instalación y configuración del sistema

Identificando los elementos software y hardware que componen el sistema y asegurando una mínima definición de cada uno de ellos, estableciendo la criticidad de cada elemento con un enfoque basado en riesgos y verificando que la infraestructura informática final sea conforme con las especificaciones técnicas de cada elemento.

Asegurando la funcionalidad del sistema

Elaborando la matriz de trazabilidad para identificar las funcionalidades a utilizar por la organización, revisando que existan procedimientos normalizados de trabajo que establezcan la metodología a seguir por administradores y usuarios del sistema, así como verificando el diseño operativo, técnico y de seguridad mediante la cualificación de la operación (OQ) del sistema.

Asegurando la actividad de los usuarios

Mediante la definición de usuarios que identifiquen de forma única a cada miembro de la organización, diseñando los perfiles de seguridad de acuerdo a sus perfiles de puesto de trabajo y asegurando su capacitación a través de un plan de formación continuo.

Asegurando la integridad de la información

Mediante la definición de una auditoría de integridad de datos que analice el cumplimiento de la regla ALCOA+ del flujo de información que se gestione el proceso informatizado en todo su ciclo de vida.

Asegurando el proceso final informatizado

Verificando la integración de todos los factores nombrados anteriormente, asegurando la gestión, control y trazabilidad de los procesos.

Teniendo presente que, como cualquier otro sistema de calidad, se debe mantener en el tiempo

Mantenimiento del estado de control a través de la implantación de procedimientos de gestión que establecen la metodología a seguir en la gestión continua del sistema y auditorías de evaluación periódica del estado de la validación, cumplimiento del servicio del proveedor e integridad de datos.

Conclusiones

1. La validación de sistemas informatizados es una demostración documentada de que un sistema informatizado es adecuado para el uso previsto. Siendo sistema informatizado el conjunto de elemento físicos (hardware) y programas asociados (software) diseñados y ensamblados para realizar una o diversas actividades establecidas.
2. Los principales riesgos del proceso informatizado en el ámbito de la farmacovigilancia es asegurar la integridad de los datos en la introducción de la información del caso, realizar un seguimiento exhaustivo de dichos datos en todo el ciclo de vida del registro electrónico a través del audit trail y asegurar la exportación y traspaso de datos de los casos tratados a las plataformas de las autoridades competentes.

Desde OQOTECH ayudamos a nuestros clientes a diseñar e implementar su estrategia de cualificación de equipos en Data Integrity. Contacta con nosotros y recive un asesoramiento personalizado para tu empresa. Resoveremos todas tus dudas y comentarios.

Artículo originalmente publicado en la revista de Pharmatech, en el número 51 de julio-agosto de 2020

¿Quieres descargarte este artículo? Puedes hacerlo aqui

La entrada Sistemas informatizados en farmacovigilancia se publicó primero en Oqotech.

Plan de despliegue de políticas de data integrity en las organizaciones

Descargar Presentación

[contact-form-7]

La entrada Plan de despliegue de políticas de data integrity en las organizaciones se publicó primero en Oqotech.

Validación de sistemas informatizados e Integridad de datos en estudios clínicos

Descargar Presentación

[contact-form-7]

La entrada Validación de sistemas informatizados e Integridad de datos en estudios clínicos se publicó primero en Oqotech.

Las Buenas Prácticas de Farmacovigilancia (BPFV)

Las Buenas Prácticas de Farmacovigilancia (BPFV) se establecen, con el objetivo de facilitar el desarrollo de obligaciones para la industria farmacéutica, como un conjunto de estándares de calidad referentes a la organización y funcionamiento de los titulares de autorización de comercialización de medicamentos. Tienen como fin dar una respuesta de forma rápida y completa a cualquier solicitud de información de las autoridades competentes en materia de seguridad de medicamentos.

El uso de sistemas informatizados puede facilitar el acceso rápido a la información y también puede ser una vía de reporte de datos por parte de agentes de la salud y los pacientes. Asimismo, los sistemas pueden ser utilizados como herramientas en la gestión de procesos industriales.

Se considera sistema informatizado al conjunto de elementos físicos (hardware) y programas asociados (software) diseñados y ensamblados para realizar una o diversas actividades establecidas.

Analizamos los riesgos asociados a los sistemas informatizados que dan soporte a la actividad de farmacovigilancia, los requisitos exigidos a nivel normativo en este sentido, así como la definición del proyecto de validación durante todo el ciclo de vida del sistema.

Requisitos de las BPFV para los sistemas informatizados

Las buenas prácticas de farmacovigilancia aplican principalmente a los registros de los casos gestionados en la organización. Estando dentro de su alcance el registro y gestión de los datos electrónicos, funcionalidades de los sistemas informatizados en la gestión de los procesos y su seguridad asociada, el aseguramiento de la confidencialidad del paciente, la documentación asociada al sistema informatizado y su validación, los proveedores de servicio tecnológico, la capacitación y seguridad asociada a los usuarios finales que harán uso del sistema y las integraciones entre sistemas informatizados, tanto para la obtención y registro de datos, como para el traspaso de información a las autoridades competentes.

Los requisitos de las buenas prácticas de farmacovigilancia van dirigidos a los administradores de los sistemas informatizados, las características de los propios sistemas informatizados y/o a las verificaciones del comportamiento final del proceso. Por tanto, su aplicación tendrá tanto una parte técnica del sistema como procedimental.

Validación de sistemas informatizados

La validación de sistemas informatizados es una demostración documentada de que un sistema informatizado es adecuado para el uso previsto. Siendo sistema informatizado el conjunto de elemento físicos (hardware) y programas asociados (software) diseñados y ensamblados para realizar una o diversas actividades establecidas.

Los principales riesgos del proceso informatizado en el ámbito de la farmacovigilancia es asegurar la integridad de los datos en la introducción de la información del caso, realizar un seguimiento exhaustivo de dichos datos en todo el ciclo de vida del registro electrónico a través del audit trail y asegurar la exportación y traspaso de datos de los casos tratados a las plataformas de las autoridades competentes.

La entrada Farmacovigilancia se publicó primero en Oqotech.

Definición del uso previsto del sistema informatizado

Existen gran variedad de sistemas informatizados especializados en operaciones propias de las empresas reguladas por las GxP.
No obstante, no todos los sistemas son adecuados para todas las empresas, sino que depende de las características del proceso que tengan que gestionar y la información que deban registrar.

Por tanto, es de vital importancia que la compañía defina de forma clara y precisa lo que se requiere del sistema, el llamado “uso previsto”. Indicando las operaciones a realizar por el sistema, la seguridad necesaria, la tecnología a emplear, la base informática a utilizar y la normativa a cumplir.

A partir de la definición de estos requisitos se puede asegurar la selección del sistema (teniendo en cuenta que cumpla al máximo posible los requisitos establecidos), la correcta instalación (cumpliendo las especificaciones técnicas e informáticas), la configuración del sistema (para adaptar las funcionalidades a las características de los procesos de la organización), la operación del sistema (con el fin de alcanzar el funcionamiento previsto), la seguridad requerida (a nivel de administración, control de procesos y auditoría del sistema) y cumplimiento de la normativa aplicable.

Ejecución de talleres VSM (mapas de flujo de valor)

Una de las metodologías posibles para llevar a cabo la definición de los requerimientos de usuario es a través de la ejecución de talleres VSM. El procedimiento estándar del VSM proviene de la metodología lean para definir los mapas de flujo de valor de las organizaciones.

Los talleres VSM están claramente enfocados al estudio y definición de los procesos de la organización, contando con la experiencia y conocimiento de su personal clave.
Es por ello que se crea un equipo de trabajo multidisciplinar con representantes del área de calidad, IT (software e infraestructuras) y procesos (tanto los responsables como el personal operativo) para llevar a cabo los talleres.

El objetivo del taller consiste en concretar por área de proceso analizada: los perfiles de puesto de trabajo que intervienen, la operativa actual, uso del sistema informatizado en el proceso y funcionalidad esperada por parte del sistema informatizado (controles en proceso, resultados y seguridades). Así como identificar funcionalidades del sistema informatizado estándar y desarrolladas a medida (si aplica).

Características de los requerimientos de usuario

El resultado final de los talleres VSM es un listado de requerimientos cuantificable, fruto del desarrollo, justificación y aprobación de personal de las diferentes áreas de la organización, a través del equipo de trabajo definido para tal fin.

Los requerimientos de usuario son fundamentales en la implantación del sistema informatizado y en su validación para asegurar su uso previsto.

Las características destacables de los requerimientos de usuario son las siguientes:

• Los requerimientos deben ser específicos, medibles, realizables, realistas y testeables.
• Puedes estar clasificados según prioridad, pudiendo clasificarse en imprescindibles, recomendables y prescindibles.
• Los requerimientos de usuario pueden ser utilizados para definir los requisitos del sistema informatizado, así como el servicio solicitado por el proveedor tecnológico.
• Las tipologías de los requisitos a definir pueden ser tecnológicos, informáticos, funcionales, regulatorios, de integridad de datos, de servicio y estratégicos.

La entrada Análisis de requerimientos de usuario (URS) se publicó primero en Oqotech.

La informatización de procesos de negocio críticos tiene cada día mayor peso entre las empresas del sector sanitario, farmacéutico, cosmético o alimentario. Los cambios tecnológicos que se están produciendo en los últimos años, con una demanda cada vez mayor de procesos digitalizados e información rigurosa en tiempo real, junto con la exigencia regulatoria, están convirtiendo la informatización de procesos y la validación de sistemas informatizados en acciones estratégicas y necesarias para cualquier compañía.

El uso de sistemas informatizados puede facilitar el acceso rápido a la información y también puede ser una vía de reporte de datos por parte de agentes de la salud y los pacientes. Asimismo, los sistemas pueden ser utilizados como herramientas en la gestión de procesos industriales.

En este entorno es de vital importancia la integridad de los datos generados, procesados, representados o almacenados en estos sistemas. A lo largo del presente artículo vamos a identificar y detallar los requisitos aplicables a la gestión de la información en un contexto informatizado dentro del ámbito de sectores relacionados con la salud.

Requisitos de la regla ALCOA+

La principal expectativa regulatoria de cumplimiento de la integridad de datos se centraliza en la regla ALCOA+. Inicialmente cada letra de la palabra ALCOA representaba un requisito que debía cumplir la información. Más tarde, se ampliaron los requisitos añadiendo el símbolo + a la palabra ALCOA.

La integridad de datos aplica a toda la información crítica de la organización y por tanto a todo el sistema de calidad. Estando dentro de su alcance los documentos del sistema de calidad, sistemas informatizados y equipos de proceso. Lo que supone la estandarización en toda la organización, fijando criterios comunes e independientes del soporte formato o medio de los datos y su origen.

A continuación, se analizan los requisitos de la regla ALCOA+. La aplicación de algunos requisitos va dirigida a los administradores de los sistemas informatizados, las características de los propios sistemas informatizados y/o a las verificaciones del comportamiento final del proceso. Por tanto, su aplicación tendrá tanto una parte técnica del sistema como procedimental.

Atribuibles

Los requisitos para los administradores del sistema son los siguientes:

• Gestión de usuarios. La codificación de los usuarios generados debe permitir identificar de forma única a la persona.
• Gestión de permisos de seguridad. Por puesto de trabajo, evitando el diseño de perfiles de seguridad por usuario. La definición de perfiles consiste en la asignación de accesos a funcionalidades a los usuarios capacitados.
• Control de acceso por usuario y bloqueo de cuentas tras varios intentos de acceso fallidos.
• Política de gestión de contraseñas. Definición de la complejidad, renovación y cambio periódico.

Los requisitos para los sistemas informatizados son los siguientes:

• En el registro de las tareas reguladas debe quedar identificada la persona o sistema que genera el dato.
• En el registro de las tareas reguladas debe quedar identificada la persona o sistema que realiza la actividad que genera o modifica datos.
• En el audit trail debe quedar registro del alta, baja o modificación de los usuarios, perfiles de seguridad y contraseñas.

Legibles

Requisitos para sistemas:

• En el registro de las tareas reguladas debe quedar registro de los datos y metadatos necesarios.
• Se encontrarán disponibles tanto los datos originales como las modificaciones posteriores.
• En el registro de audit trail de las tareas reguladas debe quedar registro de los datos y metadatos necesarios: fecha/hora, usuario, entidad afectada, valor nuevo, valor antiguo y motivo de cambio (para modificaciones y bajas).

Siendo metadatos la información que describe los atributos del dato, proporcionando contexto y significado y sin los cuales el dato pierde valor y no podemos asegurar su integridad.

Siendo audit trail el registro electrónico seguro que permite la reconstrucción de eventos relacionados con la creación, modificación o eliminación de registros electrónicos. Afecta a la configuración del sistema, a la propia gestión del proceso y a los registros generados.

Simultáneos

Requisitos para sistemas:

• Registrado y visualizado en el momento en el que se realiza la actividad.
• Uso de fecha y hora administrada por la organización, sin opción de modificación para los usuarios finales.

Requisitos para usuarios:

• Registrado y visualizado en el momento en el que se realiza la actividad, sin el uso de soportes intermedios.
• Uso de fecha y hora administrada por la organización, en caso de que la fecha y hora se introduzca de manera manual. El registro de la fecha y hora del registro del dato se debe realizar siempre, independientemente de cuándo se obtuvo el dato.

Requisitos para desarrolladores y proveedores de servicios:

• En caso de que el proceso se componga de varias etapas, debe quedar registrado en cada una de las etapas el resultado. En caso de error, no habrá pérdida de datos parciales.

Originales

El registro original puede ser descrito como la primera captura de información, ya sea grabada en papel o electrónicamente. Que preserva su contenido o significado y naturaleza.

Requisitos para usuarios:

• Registrado en el momento en el que se realiza la actividad directamente en los medios autorizados. Sin el uso de soportes intermedios no autorizados.
• Debe quedar registro de la primera lectura, medición o resultado calculado.
• En caso de que el usuario cometa un error en el registro del dato, el dato original y el modificado deben conservarse.
• Los usuarios no deben tener a su disposición copias no autorizadas de los documentos o formularios. Todos los documentos o formularios deben disponer de un identificador único.
• El diseño del formulario en papel debe disponer de espacio suficiente para correcciones. En caso de un registro electrónico debe habilitarse la opción de modificación a usuarios autorizados, quedando registro del valor original y nuevo, así como el motivo del cambio, conforme se ha comentado en los requisitos del audit trail.
• Los revisores deben asegurarse de revisar los registros originales. En caso de datos dinámicos debe hacerse en los datos electrónicos.

Exactos

• Datos precisos que permitan la reconstrucción total de las actividades que han dado lugar a la generación de los mismos. La precisión del registro debe ser conforme a los datos obtenidos y a la precisión requerida para el proceso a gestionar.
• Formación para usuarios para el registro de datos y uso de sistemas informatizados.
• Mantenimiento y calibración de equipos realizada conforme al procedimiento aprobados en el rango de medición apropiado.

Completos

• Se considera datos completos a todos los datos y metadatos relevantes, incluida cualquier repetición o modificación.
• Cuando se generen múltiples resultados, el usuario debe asegurarse de que todos los resultados se registren correctamente.
• El usuario en el registro en papel o en el uso de sistemas informatizados debe seguir un procedimiento claramente definido para invalidar un registro. En ningún caso el registro original se destruirá, es más se debe preservar como parte del dato completo.
• Los datos únicamente se pueden eliminar pasado el tiempo de archivo y siguiendo el procedimiento establecido.

Consistentes

• De forma previa a la revisión de la conformidad de los datos críticos de acuerdo a las especificaciones técnicas se debe evaluar la confiabilidad de los datos. Esto puede implicar revisión del audit trail y metadatos, verificar secuencias operativas o verificar datos originales.

Perdurables

• Los datos deben registrarse de forma permanente y mantenerse durante el periodo de retención declarado. Los procedimientos deben confirmar que los datos archivados, incluidos metadatos relevantes, estén disponibles y sean legibles por humanos.
• En caso de registros en papel, una vez completados los registros debe quedar establecido en un procedimiento la entrega a un responsable que gestione su almacenamiento seguro a lo largo del tiempo de archivo declarado.
• En caso de registros electrónicos, debe generarse una política de copias de seguridad que identifique las fuentes de datos, el lugar de origen del registro, el tipo de copias de seguridad y el destino de copias (evitando el almacenamiento de datos GxP en los equipos o PCs donde se originó el dato). Así como determinar la periodicidad de la verificación de la correcta restauración de los datos.

Disponibles

• Se debe asegurar que los datos GxP que se encuentren en periodo de archivo estén disponibles para el personal autorizado de la organización y las autoridades competentes.
• Debe comprobarse la accesibilidad y la legibilidad de los datos si se realizan cambios relevantes en el sistema (hardware o software), entonces la capacidad de recuperar los datos debe garantizarse y comprobarse.

Conocimiento completo de la organización y control basado en el riesgo

El impacto de incidencias en los registro e integridad de datos puede ser muy significativo en industrias reguladas. Si afecta al producto puede acarrear no conformidades y sanciones. Estas desviaciones pueden tener un impacto económico.

Aplicar controles basados en el riesgo es una estrategia necesaria teniendo en cuenta la afectación a la seguridad del paciente, calidad del producto e integridad de datos. Para el diseño de la gestión de riesgos (identificación, evaluación, gestión y seguimiento) es aconsejable tener en cuenta la metodología descrita por la ICH Q9.

Requisitos para la aplicación de la gestión de riegos:

• Conocimiento y comprensión completa de los procesos críticos de negocio.
• Identificando el alcance operativo de los sistemas informatizados presentes en la organización.
• Identificando el diseño de la infraestructura informática de la organización: centro de procesamiento de datos, seguridades físicas y lógicas, servidores, hardware y software, redes, comunicaciones y seguridades.
• Política de mantenimiento de los sistemas informatizados.
• Actividades subcontratadas. Conociendo el sistema de calidad de los proveedores de servicio tecnológicos, estableciendo acuerdos que determinen la actividad solicitada y auditándolos periódicamente para el seguimiento del cumplimiento de los acuerdos.
• Conocimiento y comprensión completa del flujo de información.
• Identificando los usuarios de la organización presentes en cada proceso, teniendo en cuenta su capacitación.

Conocimiento y control del flujo de información

La gestión de los datos debe ser considerado como un proceso en sí mismo. Debe enfocarse a todo el ciclo de vida del dato. En la figura 1 se identifican las principales fases del ciclo de vida del dato y los puntos críticos a monitorizar en cada una de ellas.

Verificación de los controles aplicados y mantenimiento del estado de control

Es necesario establecer mecanismos de verificación del comportamiento de gestión de la información finalmente obtenido en los procesos afectados, así como procedimientos para mantener el estado de control. A continuación, se identifican las principales tareas de mantenimiento:

• Inventario de sistemas informatizados, equipos de proceso y flujos de información.
• Análisis de riesgos para establecer prioridades en la validación de sistemas informatizados.
• Validación de sistemas informatizados.
• Procedimientos de seguridad física y lógica.
• Gestión de usuarios, perfiles de seguridad y contraseñas.
• Plan de formación.
• Firmas electrónicas.
• Política de copias de seguridad y restauración de datos.
• Control y revisión del audit trail.
• Control de archivo de datos.
• Monitorización del rendimiento de equipos.
• Plan de contingencia y recuperación en caso de desastre.
• Plan de auditorías internas y a proveedores de servicio.

Conclusiones

1. Nos encontramos en continuo aumento de la digitalización en el sector salud. Los sistemas informatizados se utilizan para aportar controles en tiempo real a los procesos críticos de las organizaciones, para el acceso a la información de forma más rápida y sencilla y como registro para pacientes y doctores.
2. Es de vital importancia el control y robustez de los datos generados, procesados, representados o almacenados en estos sistemas.
3. Existencia de la regla ALCOA+ como referente en la definición de requisitos para el cumplimiento de la integridad de datos.
4. Se requiere un conocimiento completo de los procesos de la organización para aportar los controles necesarios para el aseguramiento de la integridad de datos. Se debe establecer los controles basados en el riesgo. Los principales riesgos son los aportados por el proceso, tecnológicos y humanos.
5. Se requiere un conocimiento completo del flujo de información para controlar el origen de la información crítica, el procesamiento de los datos y el mantenimiento de los mismos.
6. Se requiere verificar de forma periódica el comportamiento de la gestión de la información finalmente obtenido en los procesos afectados. Así como revisar de forma periódica las medidas de mitigación implantadas como validaciones, cualificaciones y protocolos de gestión.

En OQOTECH ayudamos a nuestros clientes a diseñar e implementar su estrategia de cualificación de equipos en Data Integrity. Contacta con nosotros y recive un asesoramiento personalizado para tu empresa. Resoveremos todas tus dudas y comentarios.

Artículo originalmente publicado en la revista de Pharmatech, en el número 48 de enero-febrero de 2020

¿Quieres descargarte este artículo? Puedes hacerlo aqui

La entrada Requisitos de la información para la digitalización en el sector salud se publicó primero en Oqotech.

Asegura el cumplimiento de integridad de datos

En la actualidad la mayoría de los equipos que se utilizan en laboratorios de control de medicamentos o actividades industriales se apoyan de soluciones informatizadas integradas en el propio dispositivo o conectadas a los mismos para la gestión del o el procesamiento de los datos obtenidos.

Es de vital importancia el conocimiento completo del equipo en cuanto a su arquitectura y funcionamiento, así como la definición de su uso previsto. Con este conocimiento será posible su correcta verificación.

Principales actividades

• Definición de la estrategia global de cualificación en integridad de datos aplicada a todos los equipos de proceso.
• Ejecución de la cualificación.
• Revisión de resultados y plan de resolución de desviaciones críticas.
• Mantenimiento del estado de control.

Beneficios

• Cumplimiento de normativa de forma justificada y documentada.
• Proceso informatizado documentado y controlado.
• Servicio esperado por parte de los proveedores de forma detallada, acordada y con seguimiento de su cumplimiento.

La entrada Equipos de operaciones se publicó primero en Oqotech.

Asegura el cumplimiento de integridad de datos

En la actualidad la mayoría de los equipos que se utilizan en laboratorios de control de medicamentos se apoyan de soluciones informatizadas integradas en el propio dispositivo o conectadas a los mismos para la obtención de resultados o el procesamiento de los datos generados.

La gestión de los datos debe ser considerada como un proceso en sí mismo, no como algo subsidiario a cada proceso operativo.

Debe enfocarse a todo el ciclo de vida del dato, desde su generación pasando por su selección, representación, almacenaje, recuperación, distribución y uso; independientemente del formato o medio en el que hayan sido registrados, procesados, archivados o retirados.

Los sistemas informatizados que gestionan procesos considerados como críticos deben cumplir la regla ALCOA+.

Principales actividades

• Definición completa de sistemas informatizados: inventario de equipos y sistemas informatizados (definiendo los componentes industriales, hardware y software involucrados) y diagramas de la operación del sistema y su flujo de información (quedando descrito el uso previsto del sistema).
• Estrategia de validación y ejecución de las cualificaciones.
• Mantenimiento del estado de control.

Beneficios

Poder evidenciar de manera documentada la correcta integridad de datos del sistema informatizado. Teniendo en cuenta como sistema informatizado todo el conjunto de componentes que de forma integrada operan para gestionar un proceso.

La entrada Equipos de laboratorio se publicó primero en Oqotech.

Asegura el cumplimiento de integridad de datos

En sectores altamente regulados como el farmacéutico, cosmético o de productos sanitarios se genera una extensa documentación para evidenciar los procedimientos y registros de la organización. La gestión tradicional de documentación en papel se vuelve compleja al tener que administrar tal cantidad de documentación, así como su correcta distribución y control de cambios.

Cómo implementar una política de Data Integrity

La integridad de los datos es uno de los puntos que pueden presentar un alto riesgo y generar problemas de vulnerabilidad graves si no se gestiona con garantías.

En Oqotech ayudamos a nuestros clientes a diseñar e implementar su estrategia de cualificación de equipos en Data Integrity permitiendo asegurar el ciclo de vida de los datos en todas las etapas: generación, uso, distribución, almacenaje, recuperación; para cualquier formato o medio empleado para registrarlos, procesarlos, archivarlos o retirarlos.

Beneficios

• Conocimiento completo del sistema informatizado en su diseño, infraestructura, operación y mantenimiento.
• Confirmación de la correcta operación del sistema informatizado en todo su ciclo de vida.
• Cumplimiento normativa aplicable GXP.

La entrada Gestión documental se publicó primero en Oqotech.