Mit dem 21 CFR part 11 formuliert die FDA ihre Anforderungen an die elektronischen Aufzeichnungen und Unterschriften. Diese Anforderungen richten sich auch an Medizinproduktehersteller.
Viele Firmen drucken Dokumente auf Papier aus und unterschreiben diese dann mit Hand, um die Anforderungen des „part 11“ zu umgehen. Andere nutzen Signatur-Dienstleister. Doch ist das alles notwendig?
1. 21 CFR part 11: Ein Angstgespenst!?
Die FDA hat mit dem im Jahr 1993 erschienen Part 11 zu den Electronic Records; Electronic Signatures“ v.a. im Pharmaumfeld vielen Firmen schlaflose Nächte bereitet – und den Beratern gute Geschäfte.
Manchmal wurden die Anforderungen so übertrieben interpretiert, dass sich die FDA im Jahr 2003 zu Klarstellungen bemüßigt fühlte, die sie z.B. im Guidance Dokument „Part 11, Electronic Records; Electronic Signatures — Scope and Application“ veröffentlich hat. Schließlich sah sie die eigene Zielstellung konterkariert, nämlich mit diesem part 11 eine Grundlage für den Ersatz von Papierdokumenten durch elektronische Informationen zu ermöglichen.
Doch was fordert der 21 CFR part 11 wirklich? Und welche Dokumente sind betroffen?
2. Betroffene Dokumente und Systeme
a) Betroffene Dokumente / Aufzeichnungen
Der 21 CFR part 11 findet immer dann Anwendung, wenn Informationen elektronisch erzeugt, verändert, gespeichert, übertragen oder auf diese zugegriffen werden sollen. Dabei kann es sich um die verschiedensten Typen an Informationen handeln wie beispielsweise
- Texte,
- Bilder, Videos oder
- Audiodateien
Die Anforderungen (an die IT-Systeme) sind dann zu erfüllen, wenn die damit erzeugten, gespeicherten, übertragenen oder veränderten Dokumente dazu dienen, die Einhaltung regulatorischer Vorschriften nachzuweisen wie beispielsweise
- Freigabe- und Testprotokolle
- Verfahrens- und Arbeitsanweisungen
- Konstruktionszeichnungen, Dokumentation der Software-Architektur
- Spezifikationen, Anforderungsdokumente
- Aufzeichnungen z.B. aus der Produktion
- Review-Protokolle
- Ausgefüllte Checklisten und Formulare
Als Faustformel kann man sagen, dass Systeme dann dem 21 CFR part 11 unterliegen, wenn die damit „verwalteten“ Dokumente
- bei der FDA eingereicht werden (z.B. bei einer 510(k)-Submission) oder
- bei einer FDA-Inspektion relevant sind, d.h. die Prüfung des QM-Systems konform 21 CFR part 820 zum Ziel hat.
Die FDA verzichtet bei einigen Systemen darauf, dass Sie „part 11 compliant“ erstellt werden:
- Alt-Systeme, die vor dem 20. August 1997 in Betrieb waren
- Systeme, die Papierausdrucke erzeugen.
Der 21 CFR part 11 ist also nur dann anzuwenden, wenn elektronische Aufzeichnungen das Papier ersetzen.
Es gibt einen Graubereich, wenn ein System zwar einen Papierausdruck erzeugt, aber man sich bei dessen Erstellung auf die elektronische Aufzeichnung verlässt. Beispielsweise erzeugen Hersteller oft automatisiert 1000e Seiten an Testberichten, drucken diese aus und unterschreiben. Hier müsste man die Entscheidung für die Nichtanwendung des 21 CFR part 11 begründen.
b) Betroffene Systeme
Computerisierte Systeme, welche diese Dokumente erzeugen, müssen den gesetzlichen Anforderungen genügen, beispielsweise dokumentiert und validiert sein. Beispiele für solche Systeme können sein:
- Test- und Prüfstände
- Software-Tools zum Bestimmen von Code-Metriken und Ausführen von automatisierten Tests
- Tools wie Polarion, Jira und Confluence, mit denen Aufzeichnungen erstellt z.B. Checklisten ausgefüllt werden
- Webbasierte Software, mit der Dokumente wie Spezifikationen erstellt werden
- Produktions- und Prozessanlagen, welche automatisiert protokollieren
3. Die Anforderungen des 21 CFR part 11
Der 21 CFR part 11 umfasst drei „Subpart“ (s. Abb. 1):
- Subpart A: Allgemeine Festlegungen, insbesondere Definitionen
- Subpart B: Anforderungen an elektronische Aufzeichnungen
- Subpart C: Anforderungen an elektronische Unterschriften
Die FDA unterscheidet bei den Anforderungen offene und geschlossene Systeme. Ein System ist dann geschlossen, wenn das System unter der Kontrolle von Personen ist, die für die elektronischen Aufzeichnungen verantwortlich sind, die durch dieses System verwaltet werden. Andernfalls ist es ein offenes System.
Ein Beispiel für ein geschlossenes System wäre ein Build- und Test-System im Intranet, auf den nur die verantwortlichen Tester oder Entwickler zugreifen können.
Ein System, das Daten über das Internet überträgt, zählt zu den offenen Systemen.
a) Anforderungen an geschlossene Systeme
Der 21 CFR part 11.10 legt die Anforderungen an geschlossene Systeme fest. Hier geht es darum, dass die Personen, die mit diesen Systemen arbeiten, die Authentizität, Integrität und ggf. die Vertraulichkeit der Daten sicher stellen müssen. Dazu sind Sie zu Folgendem verpflichtet:
- System validieren (Performanz, Fähigkeit, Veränderungen an Aufzeichnungen oder ungültige Aufzeichnungen zu erkennen).
- (Auch) Menschenlesbare Aufzeichnungen erzeugen.
- Schutz der Aufzeichnungen sicherstellen (müssen verfügbar sein).
- Begrenzung des Zugriffs auf autorisierte Personen.
- Audittrails, die computergeneriert sind, Zeitstempel enthalten und zeigen, wer wann was geändert hat. Hier rudert die FDA aber zurück, wie Sie im o.g. Guidance Dokument nachlesen können.
- Verfahrensprüfungen, um sicherzustellen, dass (nur) die zugelassene Reihenfolge von Arbeitsschritten erzwungen wird – soweit notwendig.
- Zugangsprüfungen, um sicherzustellen, dass nur berechtigte Nutzer das System nutzen (z.B. Dokumente erzeugen und unterschreiben), auf das Betriebssystem, den Computer oder die Peripherie zugreifen können.
- Prüfung der Peripherie, um sicherzustellen, dass die Ein- und Ausgaben korrekt sind.
- Ausbildung der Personen, die mit dem System arbeiten oder es enwickeln.
- Verhindern von Fälschungen, dadurch, dass man Personen schriftlich haftbar für das macht, was sie unterschreiben.
- Systemdokumentation z.B. darüber, wer Zugang zum System hat, wie dieser Zugang gewährt wird, sei es für die Anwendung oder Pflege des Systems, und darüber, wer wann was am System geändert hat.
Die FDA fordert, dass die oben diskutierten IT-Systeme validiert werden müssen und verweist in diesem Zusammenhang auch auf das Guidance Dokument „General Principals of Software Validation“. Das führt zur Diskussion, ob es hier nur um die Validierung geht oder um den kompletten Software-Lebenszyklus. Es ist letztes gemeint.
Lesen Sie hier mehr zu diesem Thema:
b) Anforderungen an offene Systeme
An offene Systeme stellt der 21 CFR part 11.30 zusätzliche Anforderungen. Dazu zählen Maßnahmen wie die Verschlüsselung von Dokumenten, digitaler Unterschriftenstandards, um die Echtheit, Integrität und Vertraulichkeit von Aufzeichnungen sicherzustellen.
c) Anforderungen an digitale Unterschriften
Die Anforderungen des 21 CFR part 11 an digitale Unterschriften werden jedem vertraut vorkommen, der sich mit diesem Thema und z.B. dem Signaturgesetz auseinandergesetzt hat:
- Inhalte: Die digitale Unterschrift muss enthalten
- den Namen des Unterzeichnenden,
- das Datum und die Zeit der Unterzeichnung und
- die Bedeutung der Unterzeichnung (z.B. Review, Genehmigung, Autor).
- Verfälschungssicherheit: Die digitale Unterschrift darf nicht verfälscht werden können (defacto stellt der 21 CFR die gleichen Anforderungen wie an die Dokumente.
- Verbindung mit Dokument: Die Unterschrift muss mit dem Dokument so verbunden sein, dass sie nicht auf andere Dokumente angewendet werden kann.
- Einzigartigkeit: Natürlich muss die Unterschrift auch einem einzelnen Individuum zugeordnet werden können.
- Biometrische und nicht biometrische Verfahren: Die Identifizierung muss auf biometrischen Verfahren beruhen oder aus zwei Komponenten wie Identifizierungscode und Passwort bestehen.
Auch an die Verwendung von Idenfizierungscode (z.B. Benutzername, Kürzel oder Nummer) und Passwörter stellt der 21 CFR part 11 Anforderungen, konkret in 11.200 (a) und 11.300:
- Vier-Augen-Prinzip: Die Vergabe muss so geregelt sein, dass der missbräuchliche Versuch, die Unterschrift eines anderen zu nutzen, zumindest zweier Personen bedürfte.
- Eindeutige Kombinationen: Eine doppelte Vergabe von Codes und Passwörter muss ausgeschlossen sein.
- Aktualisierung: Beide müssen regelmäßig überprüft werden, ob sie noch ausreichend sicher sind.
- Verlust-Management: Für den Verlust von Codes, Passwörtern, Karten u.ä. muss es ein Verfahren geben, das z.B. die „De-Autorisierung“ gestattet.
- Schutzmaßnahmen: Geeignete Maßnahmen zum Schutz und zur Detektion von unberechtigten Zugriffsversuchen müssen getroffen sein.
- Überprüfung: Regelmäßig sind die Ein-/Ausgabegeräte einschließlich Karten, die Autorisierungsinformationen tragen oder lesen auf korrekte Funktionalität zu prüfen.
4. Häufige Fragen im Kontext des 21 CFR part 11
a) Gibt es Lösungen, um 21 CFR part 11 Compliance zu gewährleisten?
Die klare Antwort heißt nein. Denn der 21 CFR part 11 verlangt nicht nur technische, sondern auch organisatorische Maßnahmen. Die können Sie nicht kaufen.
Hersteller wie unsere Schwesterfirma Medsoto haben allerdings die Produkte so vorbereitet, dass die technischen Voraussetzungen gegeben sind, um eine (technische) Dokumentation zu erstellen.
b) Muss man den 21 CFR part 11 einhalten, wenn man alles ausdruckt und dann unterschreibt?
Die Antwort, die in den meisten Fällen zutrifft, lautet „nein“. Es gibt allerdings Ausnahmen, die wir weiter oben bereits am Beispiel einer Testdokumentation angesprochen haben.
c) Muss man überhaupt auf Papier verzichten?
Die FDA verlangt (zunehmend), dass Sie Ihre Unterlagen elektronisch einreichen. Ein Beispiel ist das eStar-Format. Allerdings könnten Sie auch Ausdrucke einscannen und einreichen. Damit könnten Sie von der o.g. Ausnahme abgesehen den part 11 ignorieren.
d) Was mache ich, wenn ich gar keine Dokumente, sondern strukturierte Daten habe?
Immer mehr Hersteller, Behörden und Benannte Stellen verstehen die Vorteile, die strukturierte Daten gegenüber Dokumenten haben, wie
- Redundanzfreiheit und damit keine Inkonsistenzen,
- automatische Prüfbarkeit durch Algorithmen und
- die Flexibilität, die Daten in verschiedene Zielformate für internationale Behörden und Benannte Stellen zu exportieren.
Für diese strukturierten Daten gelten die gleichen Anforderungen wie beispielsweise:
- Validierung der Systeme
- Lesbarkeit der Daten
- Berechtigungskonzepte und Vorgaben für die Freigaben
- Schutz der Daten
- Unterschriften
Diese Anforderungen können erfüllt werden, ohne dass klassische Dokumente wie Word-Dateien oder PDFs erstellt werden. D.h. der 21 CFR part 11 verhindert nicht das Arbeiten mit strukturierten Daten.
(Strukturierte) Daten, die Hersteller, Behörden und Benannten Stellen austauschen, sind „serialisiert“ beispielsweise im JSON- oder XML-Format. Diese Datenströmen entsprechen wiederum Dokumenten, welche den Anforderungen des 21 CFR part 11 genügen müssen, beispielsweise lesbar sein oder Änderungen erkennen lassen.
e) Wie kann man die Anforderungen an elektronische Unterschriften am besten erfüllen?
Eingescannte Unterschrift: Das genügt nicht
Ein erster Gedanke könnte sein, eine Unterschrift einzuscannen und dann ins Dokument einzufügen und das als PDF zu drucken. Doch das würde der Forderung der part 11.70 nicht genügen. Schließlich könnte man diese Grafik als Screenshot exportieren und in ein anderes Dokument einfügen.
Verwendung geeigneter Systeme: Meist der Königsweg
Vielmehr wird üblicherweise eine Prüfziffer des Dokuments (Hashcode) mit dem privaten Schlüssel des Unterzeichnenden verschlüsselt. Dieser verschlüsselte Hashwert ist die digitale Signatur/Unterschrift.
Diesen Hashcode müssen die computerisierten Systeme wie beispielsweise Dokumentenmanagementsysteme erzeugen können. (Das geschieht für die Anwender nicht wahrnehmbar.)
Die FDA stellt im 21 CFR part 11 keine Forderungen nach einer qualifizierten Signatur. D.h. eine fortgeschrittene Signatur wird in den meisten Fällen ausreichen.
Der Artikel zu den elektronischen Unterschriften stellt die verschiedenen Signatur-Levels vor.
Signaturdienstleister: Konform, aber mit Nachteilen behaftet
Andere Hersteller nutzen Dienstleister, um Dokumente zu signieren. Das hat allerdings auch Nachteile:
- Diese Dienste kosten (bei jeder Unterschrift) Geld.
- Der Workflow wird dadurch regelmäßig gebremst.
- Die Dienstleister setzen auf Dokumente. D.h. deren Konzept harmoniert nicht gut mit dem der strukturierten Daten.
5. Fazit
Die Anforderungen des 21 CFR part 11 sind vergleichbar mit den Anforderungen, welche Medizinproduktehersteller auch in Europa erfüllen müssen. Einige zusätzliche Anforderungen wie die an die Audit-Trails müssen jedoch beachtet werden. Allerdings ist die FDA mit ihrem Guidance Document genau in diesen Bereichen wieder etwas zurückgerudert.
Eine fortgeschrittene elektronische Signatur erfüllt die Anforderungen der FDA an elektronische Unterschriften. Dieses Signatur-Niveau können die Medizinprodukte- und Software-Hersteller auch ohne externe „Vertrauensdiensteanbieter“ erreichen.
Auch bei elektronischen Aufzeichnungen und Unterschriften sollte man den gesunden Menschenverstand walten lassen: Daten dürfen nicht unbemerkt verändert werden, insbesondere wenn sie bereits freigegeben wurden. Und man will wissen, wer diese Daten wann freigegeben hat, um die Konformität von Prozessen bewerten zu können.
Um mehr geht es der FDA im 21 CFR part 11 gar nicht.
Änderungshistorie
- 2024-08-06: Artikel weitgehend überarbeitet und strukturiert, Mindmap ausgetauscht
- 2015-11-13: Erste Version des Artikels