Skip to content

20 jaar 21 CFR Part 11: Electronische Gegevensbestanden, Elektronische Handtekeningen

9 maart 2017

20 jaar geleden werd 21CFR part 11 Electronic records, Electronic Signatures gepubliceerd. 21 CFR Part 11 is een sectie in de Code of Federal Regulations (CFR), waarin de Amerikaanse Food and Drug Administration (FDA) wettelijke eisen met betrekking tot het gebruik van elektronische registraties en elektronische handtekeningen vastlegt.

Part 11 werd ontwikkeld op verzoek van met name de farmaceutische industrie (maar is ook van toepassing voor andere onder 21 CFR gereguleerde industrieën) omdat er geen wettelijke richtlijnen beschikbaar waren voor het gebruik van elektronische bestanden en handtekeningen. Het gebruik van gedigitaliseerde systemen was enorm toegenomen, maar er was onduidelijkheid over de criteria op grond waarvan elektronische bestanden en handtekeningen konden worden beschouwd als accuraat, authentiek, betrouwbaar, vertrouwelijk en gelijkwaardig aan papieren documenten en handgeschreven handtekeningen. Het probleem was dat elektronische systemen nog niet het vertrouwen hadden als papieren systemen. Niet geheel ten onrechte, want ik herinner mij ook nog wel uit die tijd dat meerdere kopieën van Excel bestanden in omloop waren waarbij uiteindelijk niemand meer wist wat nu de master was, laat staan dat iemand nog de zekerheid had dat de bewerkingen die hij had gedaan in een kopie, ook in het definitieve bestand terecht kwamen. Het gemak van elektronische systemen is dus ook gelijk zijn zwakte. Is op papier een correctie duidelijk zichtbaar, de meeste elektronische systemen hadden een dergelijke audit trail niet.

Rond 1990 werden door het Amerikaanse Pharmaceutical Manufacturing Association (PMA, nu Pharmaceutical Research and Manufacturing Association (PhRMA)) en de Amerikaanse Parenteral Drug Association (PDA) technische groepen gevormd die werkten aan regels voor het gebruik van elektronische gegevensbestanden binnen de farmaceutische industrie. Zij bespraken hun vorderingen vele malen met de FDA task force die onder leiding van Paul J. Motise was opgericht. In 1994 werd een concept verordening gepubliceerd. Het kostte nog 3 jaar tot de definitieve verordening op 20 maart 1997 werd gepubliceerd en een half jaar later, op 20 augustus 1997 was de verordening effectief.

Maar de verordening werd door de industrie op verschillende wijzen geïnterpreteerd en geïmplementeerd. Zo was er onduidelijkheid over op welke systemen en bestanden de verordening betrekking had. Op zich omvat de verordening alleen vereisten voor het beheersen van elektronische bestanden en elektronische handtekeningen. Er is echter geen vermelding welke bestanden en handtekeningen onder de verordening vallen. Daarvoor wordt in de verordening verwezen naar de bestaande regelgeving van toepassing op het betreffende product. Dit zijn onder andere de Good Laboratory Practice (GLP), Good Clinical Practice (GCP) en Good Manufacturing Practice (GMP) regelgeving. Maar deze regelgeving is niet altijd heel expliciet over waar een registratie wordt vereist. Vaak is er sprake van een impliciete verwachting van vastlegging. Ook zijn er zeer weinig expliciete gereglementeerde vereisten voor handtekeningen, maar zijn er impliciete eisen bijv. toetsing, controleren en goedkeuren zal betekenen dat een handtekening vereist is.

Naast onduidelijkheid over welke registraties aan part 11 moeten voldoen was er ook onduidelijkheid over de systemen. Toepassing van de “typewriter rule” (een tekstverwerker die alleen wordt gebruikt voor het genereren een document dat wordt afgedrukt en ondertekend) en hybride systemen (systemen bestaande uit zowel digitale als papieren toepassingen) leidden tot verschil in interpretatie van de verordening. Er was bijvoorbeeld discussie of software, met name besturingssoftware en executable files, moesten worden beschouwd als record of als systeem. Ook was onduidelijk of de verordening alleen van toepassing was op elektronische gegevens opgeslagen op duurzame media of ook op tijdelijke gegevens opgeslagen op niet-duurzame media die weinig of geen mogelijkheid hebben voor het bijhouden van audit trails of om gegevens te exporteren naar andere elektronische systemen of bestanden. Als er een mogelijkheid is om een audit trail bij te houden, vanaf wanneer in de levensloop van de gegevens moet die dan worden bijgehouden: vanaf de bron, vanaf het moment dat de gegevens zijn geverifieerd of vanaf het moment dat de gegevens kunnen worden beïnvloed door menselijk wijzigingen? Ook systemen ten behoeve van het archiveren of verder verwerken van de gegevens waarbij gegevens worden gekopieerd of getransformeerd naar een ander bestandsformaat leverden de nodige interpretatieverschillen op.

Een probleem met part 11 is dat de vereisten betrekking hebben op een gewenste toekomstige papierloze staat, maar te weinig rekening houden met de na 20 jaar nog steeds actuele praktijken. Wel zijn er sinds 20 jaar software-producten beschikbaar die overeenstemming met de verordening mogelijk maken, maar er worden door de bedrijven nog steeds veel oude systemen gebruikt. Het tweede probleem is dat de industrie al intensief gebruik maakte en maakt van elektronische systemen, maar dat het hierbij vaak om hybride systemen gaat. De optie om terug te gaan naar een volledig papieren systeem is niet reëel; hybride systemen blijven voorlopig ondanks alle beheersrisicio’s nog de dagelijkse werkelijkheid.

In 1999 verscheen een enforcement policy zodat vanaf 2000 naleving kon worden gehandhaafd. Maar omdat de industrie nog maar nauwelijks was bekomen van het millenniumprobleem, waren ze er nog niet aan toe om overeenstemming met de nieuwe verordening te realiseren. Het organiseren van deze naleving bleek namelijk vele malen ingrijpender dan het hele millenniumprobleem. In deze tijd werd ik ook door mijn toemalige werkgever naar Londen gestuurd voor een bijeenkomst over 21 CFR part 11. Ik begreep er nog niet veel van, maar één ding was duidelijk geworden, er komt heel wat op ons af. Na uitvoerig leeswerk en verdiepen in de materie was mij duidelijk dat er heel anders moest worden omgegaan met digitale middelen en dat onderzoek naar de geschikheid van deze middelen en training van de gebruikers vereisten waren. De werkgever dacht er anders over: de ICT dienstverlener kreeg 3 maanden de tijd om de verordening te vertalen in een SOP en daarmee was de klus geklaard. Pas toen de toezichthouder de verklaring van overeenstemming met GLP opschortte werd het het management ook duidelijk dat beheersing van digitale systemen ten behoeve van de data integriteit geen flauwekul is en volgens de toezichthouders wel degelijk serieus genomen moet worden.

Om de industrie te ondersteunen bij het interpreteren van de verordening werden door de FDA in de periode 2000-2002 vijf conceptrichtlijnen uitgegeven:

Maar het implementeren van de wettelijke eisen wilde niet vlotten. De industrie klaagde dat 21 CFR part 11 een belemmering was voor de innovatie van de gegevensverwerking en bleef vooral de papieren of hybride systemen gebruiken. In 2003 nam de FDA de klachten serieus. Tot grote verbazing en verwarring van de industrie werden de Enforcement Policy en de 5 concept richtlijnen ingetrokken. In een nieuwe Guidance for Industry Part 11, Electronic Records; Electronic Signatures — Scope and Application gaf de FDA aan de verordening te willen heroverwegen, maar dat zij tot die tijd wel vasthield aan de bestaande verordening. En daar is het sinds die tijd ook wel bij gebleven, want we wachten nog steeds op een herziening van de verordening. De richtlijn kwam als een verademing voor degenen die de over-interpretatie van de verordening bestreden. De richtlijn beperkte de toepassingssfeer van de verordening. Toepassing van 21CFRpart11 mocht worden beoordeeld op basis van de impact die het systeem of bestand heeft op de naleving van de wet- en regelgeving (de predicate rules) van toepassing op het product. Risicomanagement moet worden toegepast om de kans op data integriteitsproblemen en de gevolgen voor de kwaliteit en veiligheid van het product te beoordelen. Deze risico gebaseerde aanpak bracht de nodige verlichting binnen de industrie, zo blijkt ook uit een white paper van de ISPE.

Maar volledige implementatie van 21 CFR part 11 of haar Europese evenknie de GMP bijlage 11 is nog verre van gerealiseerd. Het gebruik van elektronische gegevensbestanden en handtekeningen is vrijwillig. Deze ontsnappingsroute maakt dat veel bedrijven ervoor kiezen om maar niet over te gaan op papierloze systemen om daarmee de noodzaak om part 11 te implementeren te omzeilen. Er is namelijk nog steeds groot gebrek aan kennis binnen de industrie, met name bij MKB bedrijven, over de principes die ten grondslag liggen aan het beheersen van elektronische gegevens en handtekeningen. Sommige bedrijven hebben nog niet eens de status van de hiaat (gap) analyse bereikt. Hierbij gaat het met name om productiebedrijven. GLP en GCP onderzoeksinstellingen, voor wie gegevens het af te leveren product zijn, zijn zich meer bewust van de noodzaak van het beheersen van de data integriteit of zijn daar door de toezichthouders wel op gewezen. Maar ook de inspecteurs hebben niet altijd de benodigde kennis, wat handhaving bemoeilijkt.

In 2010 heeft de FDA aangekondigd het toezicht op de naleving van 21 CFR part 11 te hervatten. Dit mede ingegeven door de beschikbaarheid van ‘geschikte’ softwareproducten. Maar de geschiktheid valt in de praktijk nogal tegen. Problemen als een onleesbare audit trail en incompatibiliteit met de netwerk beveiliging zijn voorbeelden van recente problemen die ik in mijn praktijk ben tegengekomen. Papierloze GxP industrie is na 20 jaar dus nog steeds een verre toekomst. De onduidelijkheid rondom de verordening en de handhaving ervan hebben een ontwikkeling in deze richting niet bepaald bevorderd. Ik ben benieuwd wat de status bij het volgende jubileum zal zijn.

Advertenties
No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: