Poznatky z auditů, integrita dat

Podobné dokumenty
[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Elektronické záznamy, elektronické podpisy

Prokázání schopnosti procesů dosahovat plánované výsledky

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Ing. Zdenka Durdíková Seminář správné výrobní praxe Státní ústav kontrolu léčiv,

Správná klinická praxe GCP ICH E6 R(2)

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Účel, použití, analýza rizik Milan Turinský Únor 2018

Procesy a management rizik ve zdravotnické laboratoři. Roubalová Lucie

Inovace bakalářského studijního oboru Aplikovaná chemie

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Bezpečnostní politika společnosti synlab czech s.r.o.

Inovace bakalářského studijního oboru Aplikovaná chemie

Kontrola u žadatele. Mgr. Jana Sikorová, CSc. Státní ústav pro kontrolu léčiv inspekční odbor. Obsah přednášky

2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Elektronické záznamy, elektronické podpisy

Přezkoumání jakosti výrobku a propouštění v praxi. Zákon č. 378/2007 Sb.- povinnosti výrobce a QP

POŽADAVKY NORMY ISO 9001

Standardní operační postup (SOP) ČNRDD/M01/verze03. Práce s databází RDKD

Obsah. Základní pojmy, zkratky Předpisy a literatura přehled Přístup k validacím počítačových systémů URS Validace Předpisy a literatura

Monitor, monitoring KH Inspekce GCP Audit

PŘEZKOUMÁNÍ SYSTÉMU MANAGEMENTU KVALITY V HEMATOLOGICKÉ LABORATOŘI

Interpretace určená výrobcům pro prokázání shody s EWF certifikačním schématem pro EN 729. Doc.EWF Česká verze

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

SYSTÉM FINANČNÍ KONTROLY OBCE

SPRÁVNÁ LABORATORNÍ PRAXE V BIOCHEMICKÉ LABORATOŘI

Obsah&/&Content& Všeobecné)podmínky)(v)češtině)) Terms)and)Conditions)(in)english)) )

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

PŘEZKOUMÁNÍ SYSTÉMU MANAGEMENTU KVALITY V HEMATOLOGICKÉ LABORATOŘI

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

10. setkání interních auditorů v oblasti průmyslu

Základní dokument o místě výroby (Site Master file): Dokument popisující činnosti výrobce v oblasti správné výrobní praxe.

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

VEDENÍ PROVOZNÍ DOKUMENTACE U ZDRAVOTNICKÝCH PROSTŘEDKŮ SE ZVÝŠENÝM RIZIKEM NA OPERAČNÍM SÁLE

Systémy řízení jakosti pro realizaci výzkumu a vývoje

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

ROČNÍ PLÁN INTERNÍHO AUDITU A POVĚŘENÉHO AUDITNÍHO SUBJEKTU PRO ROK Počet stran: 10

Inovace bakalářského studijního oboru Aplikovaná chemie

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Elektrotechnik kontrolor jakosti

FV systémy a jejich QM Základní dokument FV systému

2015 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Mezinárodní potravinářské standardy BRC, IFS

Zadání. Audity a dokumentace SDP

Česká společnost fyziků v medicíně, o. s.

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Petr Vlk KPCS CZ. WUG Days října 2016

Audit DB. Referát. Vypracoval: Zdeněk Doležal MFF UK Praha 11/5/06

Management rizik v životním cyklu produktu

ezkouška Realizováno v rámci projektu Podpora profesionalizace a kvality státní služby a státní správy CZ /0.0/0.

Kontrolní list Systém řízení výroby

STŘEDNĚDOBÝ PLÁN INTERNÍHO AUDITU

Inovace bakalářského studijního oboru Aplikovaná chemie

EQAS Online. DNY kontroly kvality a speciálních metod HPLC, Lednice

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

Požadavky na parametry SLA

2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Kontrolní list Systém řízení výroby

Introduction to MS Dynamics NAV

Řízení privilegovaný účtů

první veřejná verze

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

O2 a jeho komplexní řešení pro nařízení GDPR

Technik řízení jakosti ve strojírenství (kód: M)

Účel, použití, analýza rizik Milan Turinský Únor 2019

Hodnoticí standard. Chemik pro obsluhu zařízení (kód: H) Odborná způsobilost. Platnost standardu

Inovace bakalářského studijního oboru Aplikovaná chemie

Standardní operační postup (SOP) ČNRDD/E02/verze03. SOP pro psaní SOP: formát, kódy a číslování, autorizace, distribuce, archivace

Úvod. Projektový záměr

Bezpečnostní politika společnosti synlab czech s.r.o.

Kvalita SW produktů. Jiří Sochor, Jaroslav Ráček 1

Seřizovač vstřikovacích lisů pro zpracování plastů (kód: H)

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Administrace Oracle. Práva a role, audit

Laboratorní software. LabX Výkon na Váš stůl

Technik pro kontrolu kvality a bezpečnosti potravin v konzervárenství (kód: M)

MST - sběr dat pomocí mobilních terminálů on-line/off-line

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

srpen 2008 Ing. Jan Káda

MBI - technologická realizace modelu

Kde je vymezeno; případný odkaz na seznam výrobků Odkaz na přiložený seznam dokumentů, nebo uvést

2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

PROCES ŘEŠENÍ PROBLEMATIKY GDPR

Transkript:

Poznatky z auditů, integrita dat Milan Turinský Únor 2017 Poznatky z auditů Audit Součást dozoru nad výrobou léčiv Součást procesu řízení jakosti Automatizované systémy Podpora GxP procesů => GxP relevantní Samostatná položka v plánu auditů Nálezy často obecné povahy, zjištěné nepřímo, v rámci jiných témat Auditor Orientace v možnostech a praxích AS Audity, integrita dat 2 1

Přístup k automatizovaným systémům Dříve Nedůvěra Nyní Přístup na základě hodnocení rizik Audity, integrita dat 3 Obecné závěry Není převažující závada Období zvýšeného zájmu Nálezy vyplývající z nedostatku znalostí Zavedení systému vs. fluktuace operátorů Nerespektování kompetencí Řešení naléhavých situací Nedodržení SOP Audity, integrita dat 4 2

Přehled hlášení generovaných systémem Nebyl předložen Příloha k SOP za období VYR-32, doplněk 11, bod 13. 13. Správa incidentů Všechny incidenty, a to nejen selhání systému a chyby v datech, mají být hlášeny a vyhodnoceny. Příčiny kritické události mají být objasněny a mají tvořit základ nápravných a preventivních opatření. Audity, integrita dat 5 Interpretace dat Ve skladu byla v období překročena maximální teplota skladování, tato skutečnost nebyla řešena jako odchylka. VYR-32, bod 3.19 3.19 Skladové prostory mají být navrženy nebo upraveny tak, aby zajišťovaly dobré podmínky skladování. Mají být především čisté a suché, s udržováním teploty v přijatelném rozmezí. Kde jsou požadovány zvláštní skladové podmínky (teplota nebo vlhkost), mají být tyto zajištěny, kontrolovány a sledovány. Audity, integrita dat 6 3

Dokumentace nakládání s daty Není stanoven postup pro manuální integraci dat. Není vypracován předpis na uchovávání dat v knihovně Současný postup,, není dostatečný. VYR-32, Kapitola 4, Zásady Kapitola 4 Dokumentace Audity, integrita dat 7 Řízení konfigurací, identifikace uživatele Není plně zajištěna integrita dat u SW : SW pracuje v operačním systému Windows XP, v počítači lze změnit datum a čas, operátorky se neodhlašují. VYR-32, Doplněk 11, body 10 a 12.4 10. Řízení změn a konfigurací Jakékoli změny počítačového systému včetně jeho konfigurace mají být provedeny pouze kontrolovaným způsobem v souladu s definovaným postupem. 12.4 Systémy řízení dat a dokumentů mají být navrženy tak, aby zaznamenávaly totožnost operátorů, kteří vkládají data, provádějí jejich změny, potvrzení nebo odstranění, včetně zaznamenávání data a času. Audity, integrita dat 8 4

Jako přihlašovací heslo na myčku, je zachováno heslo dle továrního nastavení. VYR-32, doplněk 11, bod 12.1 12.1 V místě mají být zajištěny fyzické a/nebo logické kontroly omezující přístup k počítačovému systému na oprávněné osoby. Vhodné metody zabraňující neoprávněnému vstupu do systému mohou zahrnovat použití klíče, přístupových karet, osobních kódů s hesly, biometrie, omezený přístup k výpočetní technice a oblasti ukládání dat. Audity, integrita dat 9 Výcvik operátorů Informovanost operátorů o alarmových signalizačních prvcích na jednotlivých zařízeních je omezená (červené, žluté, zelené, modré světlo). Není popsáno v SOP, pracovníci nejsou proškoleni. VYR-32, body 4.4 a 2.11 4.4 Dokumenty obsahující instrukce mají být přehledně uspořádány a mají být snadno kontrolovatelné. Styl a jazyk dokumentů mají odpovídat jejich zamýšlenému použití. Standardní operační postupy, pracovní instrukce a metodiky mají být napsány jednoznačným způsobem s důrazem na závaznost. 2.11 Kromě základního školení o teorii a praxi systému řízení jakosti a správné výrobní praxe mají nově přijatí pracovníci absolvovat speciální výcvik odpovídající činnostem, které budou vykonávat. Má být také zajišťováno, aby se školení pravidelně opakovalo, a je nutné pravidelně ověřovat, jaké přináší praktické výsledky. Mají být sestavovány plány školení a výcviku, které schvalují podle příslušnosti vedoucí pracovník odpovědný za výrobu nebo vedoucí pracovník odpovědný za kontrolu jakosti. O provedeném školení a výcviku se mají vést záznamy. Audity, integrita dat 10 5

Řízení přístupu Politika přidělování uživatelských jmen a hesel do jednotlivých počítačových systémů není jednotná. VYR - 32, doplněk 11, body 12.1 a 12.2 12.1 V místě mají být zajištěny fyzické a/nebo logické kontroly omezující přístup k počítačovému systému na oprávněné osoby. Vhodné metody zabraňující neoprávněnému vstupu do systému mohou zahrnovat použití klíče, přístupových karet, osobních kódů s hesly, biometrie, omezený přístup k výpočetní technice a oblasti ukládání dat. 12.2 Rozsah bezpečnostních kontrol závisí na kritičnosti počítačového systému. Audity, integrita dat 11 Robustnost hesla Uživatelské jméno a heslo zadávané do PC systému BOSCH - Singlepot 400 (granulátor Hüttlin, m. č. 1069 - Granulace) bylo identické o třech znacích; heslo není dostatečně robustní. VYR-32, doplněk 11, bod 12.2 12.2 Rozsah bezpečnostních kontrol závisí na kritičnosti počítačového systému. Audity, integrita dat 12 6

Dokumentace Není provedena kategorizace alarmových hlášení u řídicích systémů na základě analýzy rizik. Alarmová hlášení řídicích systémů nejsou pravidelně vyhodnocována ve vztahu k produktu, procesu. Při výskytu kritických alarmů není zcela jasná provázanost na systémy řízení kvality (např. odchylkové řízení). VYR-32, doplněk 11, bod 4.7, 5 a 13 4.7 Má být prokázána vhodnost zkušebních metod a scénářů. Zejména se mají vzít v úvahu limitní parametry systému (procesu), datové limity a řešení chybových hlášení. Automatizované zkušební přístroje a zkušební prostředí mají mít dokumentované posouzení jejich přiměřenosti (zda jsou odpovídající). 5. Data Počítačové systémy, které si vyměňují data elektronicky s jinými systémy, mají zahrnovat vhodné vestavěné kontroly pro správné a bezpečné zadávání a zpracování dat, aby se minimalizovaly rizika. 13. Správa incidentů Všechny incidenty, a to nejen selhání systému a chyby v datech, mají být hlášeny a vyhodnoceny. Příčiny kritické události mají být objasněny a mají tvořit základ nápravných a preventivních opatření. Audity, integrita dat 13 Integrita dat VYR-32, Doplněk 11 1. Řízení rizik Řízení rizik má být použito v celém životním cyklu počítačového systému s ohledem na bezpečnost pacienta, integritu dat a jakost výrobků. V rámci systému řízení rizik má být rozhodnutí o rozsahu validací a kontrolách integrity dat založeno na odůvodněném a zdokumentovaném posouzení rizik počítačového systému. Audity, integrita dat 14 7

FDA Warning Letter 320-17-02 Your quality control unit did not have basic controls to prevent changes to your electronically-stored laboratory data. Your analysts had user privileges to the Empower-2 system used to generate and analyze chromatographic data that allowed them to eliminate failing, atypical and satisfactory results with no notification; alter peak areas; and add or eliminate samples from sequences without authorization. During the inspection, we reviewed an audit trail from your Empower-2 system that stored 8,906 entries. Of these, well over half indicated some form of data deletion or manipulation, including at least 1,441 instances of deleted results, at least 3,643 instances of manual integration, and at least 194 instances of altered running sample sets. Your personnel confirmed that these actions are common during chromatographic data processing. We found that you did not have a procedure in place to indicate the requirements and level of restrictions for users of the automated system. Týká se výrobce z ČR Audity, integrita dat 15 Modifikace dat v systémech Odstranění nebo modifikace údajů Bez adekvátní řízené akce Archivace Skartace Odchylkové řízení Audity, integrita dat 16 8

Přístup operátorů k nežádoucím funkcím Změna data/času Některé přístrojové tiskárny neudržují datum a čas po vypnutí Přechody letní/zimní čas Audity, integrita dat 17 Rozdělení odpovědností Určení rolí v systémech a zařazení operátorů Administrátorské zásahy Nepřítomnost určené osoby Provozně naléhavá situace Obměna personálu Audity, integrita dat 18 9

Primární záznamy Záznamy provedené na papíře, následně vložené do automatizovaného systému Primární je papír Přepisování údajů je spojené s rizikem chyby Audity, integrita dat 19 Odstranění dat po vytištění reportu Primární jsou data Report je forma prezentace dat Vytváření reportu je spojené s riziky Chyba formátování Překrytí údajů Audity, integrita dat 20 10

Dokumentační praxe Přepsání údaje Nečitelné přeškrtnutí údaje Chybějící podpisy Audity, integrita dat 21 Používání Post-it Předmětem nálezu byl i štítek se jmény používaných transakcí v ERP systému Audity, integrita dat 22 11

Používání tužek Inkoustová pera Vymazatelná pera (Frixion) Audity, integrita dat 23 Provádění nepředepsaných úkonů The final reconciliation of the bulk batch used for different territory batches is not officially calculated or required by the SOP. Audity, integrita dat 24 12

Použití neřízených pomůcek Osobní poznámkové bloky Jednotlivé záznamové listy The reconciliation of the bulk is carried out in an uncontrolled notebook Audity, integrita dat 25 Děkuji za pozornost Audity, integrita dat 26 13