בקרה על נתונים ורשומות אלקטרוניות כחלק מ-Data integrity
למה צריך לבצע בקרה על נתונים ורשומות אלקטרוניות?
לאורך מחזור החיים של הנתונים, הם עוברים לא מעט שלבים ומועברים בין מחלקות, מערכות ממוחשבות ופונקציות שונות בתוך הארגון ואף מהארגון לגורמים חיצוניים אתם הוא עובד. מחזור החיים של רשומה אלקטרוני כולל יצירת הנתונים, עיבוד, דיווח, בדיקה, שימוש בנתונים ככלי תומך לקבלת החלטות, אחסון הנתונים וגריעה שלהם בתום התקופה המוגדרת שיש צורך לשמור אותם.
מערכות הבקרה של נתונים ורשומות אלקטרוניות הנן חלק ממערכת האיכות וה-GMP של הארגון. כחלק מבקרה על רשומות אלקטרוניות, יש להגדיר איזו פונקציה הנה "הבעלים" של הנתונים במהלך מחזור החיים שלהם, ויש לבחון כיצד מתכננים, מתפעלים ומנטרים את התהליכים או המערכות, כך שניתן יהיה לעבוד לפי דרישות ה- Data Integrity.
כמו כן, יש לבחון כיצד מבקרים שינויים שמעוניינים לבצע או איך מזהים וכיצד מטפלים בשינויים המתרחשים מבלי רצוננו או ידיעתנו וכיצד ניתן למנוע מחיקה של נתונים. המטרה העקרית היא לשמור על רמת בקרה מספקת לאורך כל מחזור החיים וזאת בהסתמך על עקרונות ניהול סיכונים והבנה מעמיקה בכל הנוגע לרמת הקריטיות של הנתונים הללו.
לא כל שלבי עיבוד וניתוח הנתונים הנם בעלי אותה רמת השפעה פוטנציאלית על איכות המוצר ובטיחות המשתמש. לשם כך, שימוש בניהול וניתוח סיכונים הנו כלי מצויין על מנת לקבוע את רמת החשיבות של כל נתון או שלב עיבוד וניתוח נתונים.
עבור כל תהליך של ניהול סיכונים, נבחן את רמת הקריטיות של הנתונים כמו גם את רמות הסיכון שלהם. רמת הקריטיות של הנתונים תבחן לפי השפעתה על תהליכי קבלת החלטות ועל איכות ובטיחות המוצר. רמת הסיכון תגזר מהאפשרות לביצוע שינוי, זיוף או מחיקת רשומות אלקטרוניות, והיכולת להבחין ולגלות שינויים כאלה באם התרחשו.
מערכות המבקרות רשומות אלקטרוניות צריכות להיות מנוהלות ברמה הארגונית ולהיות מורכבות מנהלים ופרוצדורות, ככל שנוגע לגורם המורשה ליצור נתונים, או לאשר אותם וכיצד הוא אמור לבצע זאת, קרי, כיצד מבצעים וריפיקציה וכיצד מפקחים/שומרים על הנתונים ברמה התקופתית.
כיצד נקבע מהי רמת הקריטיות של הנתונים?
חשיבות הנתונים, יכולת ההשפעה של הנתונים על תהליכי קבלת החלטות, ועל אילו סוגי החלטות נהם שונים בין מערכות ממוחשבות שונות בארגון. לדוגמא, הנתונים התהליכיים אשר ישמשו להחלטה בנוגע לשחרור אצוות מוצר תרופתי כלשהו, יהיו הרבה יותר חשובים מנתונים המשמשים לתיעוד תהליך הניקיון שבוצע במחסן של המפעל.
דוגמא נוספת, היא תכולת החומר הפעיל בטבליה הנו נתון קריטי הרבה יותר (קשור לאיכות ובטיחות המוצר) מ-% השחיקה של הטבליה, אשר נבחן בעקר על מנת לוודא כי תהליך הציפוי יהיה תהליך רציף ותקין.
ניהול סיכונים ו- Data integrity
כאשר מבצעים תהליך ניהול סיכונים עבור נתונים ורשומות אלקטרוניות, ננסה להעריך את רמת "הפגיעות" של הנתונים בכל הנוגע לשינוי נתונים, זיוף נתונים, מחיקת נתונים, אובדן נתונים או יצירת נתונים חדשים ומהי היכולת שלנו לגלות או לדעת כאשר קורה מקרה שכזה.
בנוסף, באם קרה מקרה שכזה, נצטרך לדעת להעריך את היכולת שלנו לשחזר ולאחזר באופן מלא את כל הנתונים (Disaster recovery). כל תהליך ניתוח סיכונים מצריך פעולות מתקנות שאמורות להיות מיושמות במקרה בו הסיכון השיורי גבוה ממה שהגדרנו כסיכון מקובל.
פעילויות מתקנות ומשפרות יכולות להיות כאלה שמונעות מפעילות שאינה מורשית להתבצע במערכת, הגבלת מס' האנשים או התפקידים של משתמשי המערכת והגברת יכולת הניטור והגילוי של בעיות המתרחשות . בנוסף, אם נגדיר את התהליכים הקשורים בניהול הנתונים בארגון כפשוטים, מוגדרים היטב, קונססיסטנטים ואובייקטיביים, נקטין את הסיכון ונגביר את רמת ה- Data Integrity שלהם.
כמובן שכמו בכל תהליך ניהול סיכונים, גם כאן נצטרך לדעת להעריך את האפקטיביות של הבקרות והפעילויות המתקנות אותן החלטנו ליישם, על ה-Data integrity, הן לאחר ביצוע והן ברמה התקופתית.
מהם העקרונות המרכזיים של ALCCOA?
| Attributable | האפשרות לזהות את האדם אשר ביצע את פעולת התיעוד, מבחינת שם מלא ומהי הפעולה שבוצעה ע"מ לוודא כי הפעולה בוצעה ע"י אדם מוסמך ומודרך. פעולת תיעוד יכול גם להיות שינוי רשומה, תיקון, מחיקה וכדומה. |
| Legible | כל הרשומות צריכות להיות קריאות וזמינות, על מנת שניתן יהיה לעשות בהן שימוש בעת הצורך. |
| Complete | כל מידע הנחשב כקריטי צריך להיות שלם במדה כזו שיאפשר לקבל את כל המידע הרלוונטי על האירוע כולו ויסייע להבנתו באופן מושלם. |
| Consistent | תנאי תיעוד נאותים (Good Documentation Practices) צריכים להיות מיושמים בכל תהליך, ללא יוצא מן הכלל, כולל בעבור תיעוד חריגות שהתרחשו בתהליך ואת כל השינויים שבוצעו לנתונים. |
| Original | המידע/הנתונים/הרשומות צריכים להיות בתצורתן המקורית, בין אם תועדו על נייר או כרשומה אלקטרונית ואמורים להיות זמינים בכל עת. |
| Accurate | יש לוודא כי התוצאות והרשומות הנן מדוייקות. רמות הדיוק הנן פועל יוצא של אופן תפקוד מערכת ניהול האיכות בארגון וזהן כוללות יישום וניהול נכון של תחומים כגון כיולים, ולידציה ותחזוקה של ציודים ומערכות, קיומם של מסמכי מדיניות ונהלים אשר נועדו לבקר פעילויות והתנהגויות, ניהול חריגות, ביצוע חקירות ו-CAPA, הסמכת והדרכות עובדים. |
| Enduring | לוודא כי הנתונים קיימים, שלמים, נגישים וזמינים לאורך כל התקופה שהם יש צורך לבצע בהם שימוש או שיהיה צורך בהם. |
| Available | רשומות אלקטרוניות צריכות להיות זמינות לבדיקה בכל עת, לאורך כל תקופת האחסון שלהם, בצורה נגישה וקריאה עבור כל האנשים הרלוונטיים בארגון האחראיים על בדיקתם, בין אם לשם קבלת החלטות על שחרור מוצר, חקירה, איתור טרנדים, דוחות שנתיים וביקורות וכדומה. |