Kategorien: FDA Zulassung - die U.S. Food and Drug Administration
Tags: ,

23 Kommentare

  1. Hermann Overbeck | Samstag, 21. November 2015 um 09:57 Uhr - Antworten

    Hallo,
    die Frage und Antwort habe ich nicht ganz verstanden, Zitat:
    „Muss man den 21 CFR part 11 einhalten, wenn man alles ausdruckt und dann unterschreibt?Die Antwort, die in den meisten Fällen zutrifft, lautet „ja“. Es gibt allerdings Ausnahmen, die wir weiter oben bereits am Beispiel einer Testdokumentation angesprochen haben.“ Ich verstehe es so, dass man zwar immer noch eine (Software-)Validierung zeigen muss, man mit einem „kompletten“ Ausdruck aber den Part 11 nicht anwenden müsste, weil ja alle Electronic Records als Hardcopy vorliegen. Wobei der Begriff „komplett ausgedruckt“ häufig ähnlich naiv ist wie die Feststellung „unsere Software ist fehlerfrei“. Also Vorsicht.
    Aktuell werden aber andere Fragestellungen diskutiert, nämlich wie man seine Datenintegrität (elektronisch oder Papier, siehe dazu auch das MHRA-Papier vom März 2015) gewährleistet und einem Inspektor demonstriert. „Datenintegrität“ war das Thema für uns und den Inspektionen der FDA und der deutschen (Pharma-)Behördenaufsichten.


    • Christian Johner | Sonntag, 22. November 2015 um 18:42 Uhr - Antworten

      Was ich versuchte zu schreiben war:

      Wenn Sie etwas ausdrucken und unterschreiben, das man überblicken kann, dann handelt es sich nicht um ein Dokument, das unter den part 11 fällt.

      Wenn Sie aber automatisiert eine mehrere 1000 Seiten umfassende und automatische generierte Dokumentation erzeugen, ausdrucken und unterschreiben, dann wird man in Abrede stellen, dass Sie das Dokument wirklich geprüft haben. Das sieht die FDA weiter als ein elektronisches Dokument.

      Man hat in diesem zweiten Falls die IT nicht wie einen Word-Processor genutzt, um etwas zu schreiben (sozusagen als Schreibmaschine), sondern als automatisierten Dokumenten-Generator. Das unterscheidet die FDA.


  2. Kai Hermannsen | Donnerstag, 10. November 2016 um 14:50 Uhr - Antworten

    Hallo,
    wir sind gerade am diskutieren, wie Compiler oder Testautomisierungswerkzeuge unter Part 11 zu verstehen sind.

    Fallen die Werkzeuge, weil sie z.B. Softwarebuilds, Buildreports/protokolle, Testergebnisse (Unit Test Reports oder von automatisierten Tests) erzeugen unter „Part 11“? Bzw. wie fallen sie darunter.

    Die Testergebnisse der Unit Tests und automatisierten Tests werden bei uns bereits im Buildsystem geprüft, wir akzeptieren nur Builds, wo alle diese Tests ohne Fehler durchlaufen. Die Ergebnisse aus diesen Tests werden relativ detailliert vom Buildsystem in „druckbare“ Testprotokolle überführt (die entsprechenden Testfälle sind bei uns Teil der Traceability). Die Testprotokolle sind gelenkte Dokumente, die zwar nicht 1000 Seiten haben, aber da diese automatisiert erzeugt wurde, dies die FDA aus unserer Sicht als elektronisches Dokument ansehen würde. Verwaltet werden die gelenkten Dokumente bei uns mit einem Versionskontrollsystem.

    Alle einzelnen Werkzeuge haben wir validiert, nur mit den oben genannten Punkten tun wir uns schwer, die auf die einzelnen Werkzeuge anzuwenden. Für z.B. die automatisierten Tests können wir das „System validieren“ und auch dass es „menschenlesbare Aufzeichnungen“ erzeugt. Die meisten restlichen Punkte „Schutz der Aufzeichnungen“, „Zugangsprüfungen“ werden durch die gelenkten Dokumente im Versionskontrollsystem sichergestellt.

    Auf Ihrer Seite zum Thema „Unit Testing und IEC 62304“ (https://www.johner-institut.de/blog/iec-62304-medizinische-software/unit-testing-iec-62304/) schreiben Sie, dass Sie die Ergebnisse der Unit Tests unter Versionskontrolle stellen und die Bewertung und Freigabe im Rahmen des Software-Releases formell machen. Wie haben Sie diesen Prozess im Sinne von „Part 11“ dokumentiert?


    • Prof. Dr. Christian Johner | Donnerstag, 10. November 2016 um 22:02 Uhr - Antworten

      Sehr geehrter Herr Hermannsen,
      danke für die spannenden Fragen. Hier einige Gedanken dazu:

      Der Part 11 bezieht sich auf „electronic records und signatures“. Ein Compiler sollte daher nicht in den Scope der part 11 fallen. Bei einem Testautomatisierungstool kann ich das nicht sagen, weil ich nicht weiß, ob die Spezifikationen bzw. Ergebnisse ausschließlich elektronisch vorliegen.

      Unabhängig davon sind Werkzeuge aber ggf. zu validieren, was Sie ja tun.

      Wir checken einige Build-Artefakte automatisch ins Versionsverwaltungssystem ein. Dazu zählen auch die Testergebnisse. Die eigentliche Freigabe kann aber durchaus auf Papier erfolgen. Man muss argumentieren können, ob man die Ergebnisse überhaupt überblicken kann. Daher ist eine Zusammenfassung derer z.B. am Anfang oder Ende des Testberichts wichtig.


  3. Kai Hermannsen | Freitag, 11. November 2016 um 08:16 Uhr - Antworten

    Sehr geehrter Herr Johner,
    vielen Dank für Ihre Gedanken! – das klingt in der Tat interessant. Bei unseren Testautomatisierungstools liegen die Spezifikationen der Tests im Versionskontrollsystem vor, ebenso die (detaillierten) Ergebnisse.
    Testergebnisse der Tests auf allen Ebenen fassen wir im Testbericht zusammen, inklusive Bewertung der Ergebnisse.


  4. Christian Kunath | Freitag, 6. Januar 2017 um 14:13 Uhr - Antworten

    Sehr geehrter Herr Prof. Johner,

    Sie schrieben in Ihrem Artikel:

    „Die FDA verzichtet bei einigen Systemen darauf, dass Sie „part 11 compliant“ erstellt werden:
    •Alt-Systeme, die vor dem 20. August 1997 in Betrieb waren
    •Systeme, die Papierausdrucke erzeugen.

    Der 21 CFR part 11 ist also nur dann anzuwenden, wenn elektronische Aufzeichnungen das Papier ersetzen.“

    Dazu hätte ich eine kleine Präzisierung: bzgl. der sog. „Legacy Systeme“, also der Systeme die vor dem 20.08.97, dem Inkrafttreten des Part 11, bestanden, gelten ja einige Einschränkungen. Bspw. die Systeme mussten den damals und heute bestehenden predicate rules entsprechen und man muss besonderes Augenmerk auf Changes legen, die seit dem ggf. durchgeführt wurde.

    Zum Thema „Papierausdrucke“ möchte ich sagen, dass es auch noch und dass in vielen Fällen, sog. „hybrid-Systeme“ gibt. Diese fallen natürlich auch unter den part 11,oder nicht?

    Eine Frage: wenn ich die Möglichkeit habe Papierausdrucke zu machen, kann ich dann die elektronischen Daten löschen und das Papier als GMP-relevante Aufzeichnung definieren?

    MfG, Chr. Kunath


    • Prof. Dr. Christian Johner | Freitag, 6. Januar 2017 um 16:25 Uhr - Antworten

      Sehr geehrter Herr Kunath,
      wenn Sie mit den Papieren die notwendigen Nachweise führen können, benötigen Sie die elektronischen Aufzeichnungen nicht. Gerade bei großen Datenmengen ist ein manuelles Durchsuchen und Auswerten aber oft schwierig bis unmöglich. Dann wäre Papier kein Ersatz.
      Beste Grüße, Christian Johner


  5. Philipp Ott | Montag, 6. März 2017 um 08:37 Uhr - Antworten

    Hallo Herr Johner,

    vielen Dank für den interessanten Beitrag. Sie haben das Thema wirklich gut zusammengefasst.

    Eine Frage hab ich noch. Haben Sie noch ein paar Tips für die praktische Umsetzung des 21 CFR part 11?

    Liebe Grüße,
    Philipp Ott


    • Prof. Dr. Christian Johner | Dienstag, 7. März 2017 um 03:02 Uhr - Antworten

      Sehr geehrter Herr Ott,
      danke für Ihre freundliche Rückmeldung. Darüber freue ich mich.
      Mit der Bitte um Tipps tue ich mir noch schwer. Das hängt einfach sehr von der Art der Daten, den Werkzeugen, der IT-Landschaft und den geforderten Rollenkonzepten sowie den Dokumenten ab, die unter den part 11 fallen. Mir mehr Informationen kann ich spezifischer werden.
      Viele Grüße, Christian Johner


  6. Peter Pianegonda | Dienstag, 18. April 2017 um 14:51 Uhr - Antworten

    sehr geehrter Herr Johner

    ich gebe hier eine ergänzende Bemerkung zum Abschnitt „Welche Systeme und Unterlagen sind betroffen?“

    Zusätzlich sind auch anwendungsspezifische Methoden und Abläufe betroffen, welche erst beim Anwender mit der Applikations-SW programmiert werden, sowie die sich aus diesen Methoden erzeugten Aufzeichnungen.
    Hier sind auf Seite des Betreibers organisatorische Massnahmen nötig, dass die elektronisch erzeugten Methoden und deren Aufzeichnungen den Anforderungen nach Part 11 genügen.


  7. Norbert Köppel | Dienstag, 29. August 2017 um 13:11 Uhr - Antworten

    Sehr geehrter Herr Johner

    ich habe nun schon bei diversen Audits zu hören bekommen (speziell von US-Auditoren), dass sämtliche Dokumente mit handschriftlichen Hinweisen, Einträgen, usw. die final in PDF-Form mittels SwissID unterzeichnet werden, immer noch in Papierform archiviert werden müssen.

    Erklärung: SwissID ist eine staatlich geprüfte und mittels Reisepass, von den Behörden legitimierte, elektronische Unterschriftsform (wird teilweise auch von unseren deutschen Partnern verwendet).

    Die Forderung, elektronisch signierte Dokumente in Papierform archivieren zu müssen, verletzt im hohen Grad mein Logik-Verständnis, denn alle Dokumente müssen vor Unterschrift in ein PDF-file umgewandelt werden. Nach vollzogener Unterschrift ist jegliche Manipulation am PDF-file unmöglich, da eine Veränderung oder ein erneutes Einscannen die Signatur ungültig werden lässt.

    Mir ist bewusst, das ein Grossteil der Anwender in Ländern arbeiten, dessen elektronische Werkzeuge zur Sicherung von Daten nicht ausreichend genug ist, aber müssen sich deshalb „sichere Systeme“ diesen unterordnen?

    Vielen Dank für eine kurze Stellungnahme und freundliche Grüsse,

    Norbert Köppel


    • Prof. Dr. Christian Johner | Dienstag, 29. August 2017 um 14:31 Uhr - Antworten

      Eine Forderung nach einer Speicherung auf Papier gibt es nicht. Das wäre angesichts des 21 CFR part 11 auch absurd.


  8. I. Rumpf | Dienstag, 20. Februar 2018 um 20:04 Uhr - Antworten

    Sehr geehrter Herr Johner
    Ich habe ein System (PLS), in dem selbst über die Bedienung keine kritischen Entscheidungen getroffen werden (Protokolle werden dort auch nicht erzeugt).
    Es laufen aber kritische Daten (für spätere Entscheidungen) auf und werden im Umlaufarchiv zwischengespeichert und später an ein übergeordnetes System weitergegeben. Gehe ich recht in der Annahme, dass das alleine ausreicht, um 21 CFR P11 für das PLS einzufordern? Ich würde dann damit den Nachweis erbringen, dass die Datenbank der Umlaufarchivs „dicht“ und integer ist.
    Wenn die Daten sofort, ohne Zwischenspeicherung weitergegeben würden, sehe ich
    erst einmal keinen Bedarf an 21 CFR P11 im PLS. Die Schnittstelle würde ich im Rahmen der Funktionstests überprüfen.
    Vielen Dank für eine Stellungsnahme


    • Prof. Dr. Christian Johner | Dienstag, 20. Februar 2018 um 23:55 Uhr - Antworten

      Sehr geehrter Herr Rumpf, jedes computerisierte System, das in einem QM-Prozess eingesetzt wird, ist erst einmal validierungspflichtig.

      Wenn ein System Daten nur weiterleitet, müsste man nur prüfen, ob es das auch richtig tut. Das sollte eine Sache weniger Stunden sein, das zu dokumentieren.

      Wenn das System Daten auch speichert, wäre auch diese Funktionalität zu validieren.

      In Ihrem System scheint es „nur“ um elektronische Dokumente zu gehen, nicht um elektronische Unterschriften. Das vereinfacht die Validierung zusätzlich.

      Viele Grüße, Christian Johner


  9. M. Krause | Donnerstag, 8. März 2018 um 09:19 Uhr - Antworten

    Sehr geehrter Herr Johner,

    vielen Dank für die ausführliche Beantwortung so vieler spannender Fragen.

    Ich hätte noch eine Frage zur Systemdokumentation. 21 CFR part 11 fordert von der Systemdokumentation „Kontrollen über die Verteilung, den Zugang und die Benutzung“ sowie „Versions- und Änderungskontrollverfahren“.

    Nicht ganz klar ist mir jedoch, das eine Systemdokumentation im Sinne des 21 CFR part 11 genau ist und beinhalten muss. In welcher Form hat eine Systemdokumentation vorzuliegen? Als SOP oder eher als elektronisch geführte Liste?

    Viele Grüße,
    M. Krause


    • Prof. Dr. Christian Johner | Donnerstag, 8. März 2018 um 21:17 Uhr - Antworten

      Sehr geehrter Herr Kraus,

      ich würde die Systemdokumentation (z.B. Beschreibung des Systems, der Anforderungen, der Konfiguration, der Architektur, der Laufzeitumgebung usw.) von den Verfahrensbeschreibungen trennen bzw. unterscheiden. Letzte sind in der Tat als SOPs zu verstehen, die regeln, wer, wann, was tun muss, um Inputs in Outputs zu überführen.

      Viele Grüße, Christian Johner


  10. Stefanie Müller | Freitag, 20. September 2019 um 12:02 Uhr - Antworten

    Sehr geehrter Herr Johner,

    wenn man die Papierreduktion in der Firma vorantreiben möchte, wäre part 11 sicherlich hilfreich, jedoch die damit verbundenen Auflagen und entsprechende Risiken sind bei einem Audit auch in Betracht zu ziehen.
    Wie ist folgender Vorschlag bei der FDA einzuschätzen, der bei der ISO 13485 für Entwicklungsdokumente (z.B. Dokumentation der Phasen Planning bis Design Transfer) möglich ist:

    For documentation of development documents it is sufficient to print the cover page (for signatures) including the version history. The complete word document is saved as PDF version. The archive finally consists of the signed paper documents (cover including version history), the scanned signed paper documents (cover including version history) and the complete document as PDF file.

    Vielen Dank für Ihre Stellungnahme.


    • Prof. Dr. Christian Johner | Freitag, 20. September 2019 um 16:20 Uhr - Antworten

      Sehr geehrte Frau Müller,

      danke für die spannende Frage. Ich bin nicht sicher, ob diese ohne weitere Informationen beantwortbar ist.

      Ob damit „Compliance“ vorliegt, hängt davon ab, ob das unterschriebene Cover und der Rest des Dokuments (PDF) eindeutig miteinander verbunden sind und Fälschungen zumindest sehr erschwert sind. Das könnte z.B. dadurch gelingen, dass das eingescannte Cover-Sheet und das PDF gleichzeitig ins Archiv eingestellt wird. In diesem Fall würde der (unveränderbare) gemeinsame Zeitstempel beide digitale Dokumente untrennbar miteinander verbindet.

      Noch eleganter wäre es, wenn das Archiv in der Lage ist, die Freigabe von Dokumenten direkt darin zu erteilen. Damit wäre es ein Dokumentenmanagementsystem. Über einige organisatorische Maßnahmen können sogar (kostenfreie) Versionsverwaltungssysteme solche Aufgaben übernehmen.

      Beste Grüße, Christian Johner


  11. J. Sommer | Donnerstag, 4. November 2021 um 11:41 Uhr - Antworten

    Sehr geehrter Herr Prof. Johner,
    haben Sie vielen Dank für all Ihre aufschlussreichen Informationen.
    Sie haben aufgeführt, dass „wenn Sie mit den Papieren die notwendigen Nachweise führen können, benötigen Sie die elektronischen Aufzeichnungen nicht“.
    Nun ist es doch für nahezu jedes Dokument (z. B. PDF-Ausdruck) möglich dieses über diverse Tools nachträglich oder vor dem Druck zu manipulieren. Mir ist daher noch nicht ganz klar, warum es gestattet ist, die elektronischen Originaldaten zu löschen/überschreiben.
    Muss vor dem Löschen/Überschreiben der Daten die Übereinstimmung zwischen elektronischen Daten und Papierdokument geprüft und mittels Unterschrift bestätigt werden?
    Haben Sie vielen Dank
    Mit freundlichen Grüßen
    J. Sommer


    • Urs Müller | Montag, 8. November 2021 um 17:42 Uhr - Antworten

      Lieber Herr Sommer,

      Vielen Dank für Ihre spannende Frage. Diese lässt sich nicht ganz pauschal mit ja oder nein beantworten. Zunächst: Die allgemeine Aussage bzgl. des Löschens steht so konkret im FDA Guidance Dokument zu Part 11:

      „As long as predicate rule requirements are fully satisfied and the content and meaning of the records are preserved and archived, you can delete the electronic version of the records.“

      Das Guidance Dokument nennt als Bedingung die Einhaltung der Predicate Rules bzgl. Freigabe dieses Löschvorgangs und lässt den Nachweis der Einhaltung offen. Der 21 CFR Part 11 und der EU GMP Annex 11 (letzterer ist nicht verbindlich für die Medizintechnik!) verlangen beide, dass ein menschenlesbarer Ausdruck der regulatorisch relevanten Aufzeichnung gemacht werden kann. Diesen Aspekt würden wir bei der initialen Validierung eines Systems nachweisen, auch hinsichtlich Korrektheit.

      Werfen wir zusätzlich noch einen Blick in das Guidance Dokument der MHRA zu Datenintegrität, wird uns gesagt, dass wir die Archivierung von elektronischen Aufzeichnungen in Papierform machen dürfen und dabei zeigen sollen, dass wir die Rohdaten, Metadaten und weitere relevante Information zum Computerisierten System beim Archivieren erhalten. D.h. somit, dass risikobasiert entschieden werden sollte, ob ggf. eine zusätzliche Validierung für Archivierungsprozesse nötig ist, sofern das nicht bereits mit der initialen Validierung eines Systems gezeigt worden ist.

      Als weitere Kontrolle könnten Sie die – eigentlich – üblichen periodischen Prüfungen von Aufzeichnungen einsetzen. Das verhindert nicht ggf. den Verlust von Daten, lässt es aber nach einer bestimmten Zeit erkennen. Falls Sie Fälschungen oder Fehler durch Unachtsamkeiten von Seite Ihrer Mitarbeiter befürchten und Sie Ihre Systeme nicht entsprechend härten können, sollten Sie zusätzlich organisatorische Massnahmen in Betracht ziehen, um die Integrität Ihrer Daten zu gewährleisten und entsprechend Zugriffe auf Systeme und Verzeichnisse einschränken oder zusätzliche Abgleiche vor dem Löschen vorsehen. Jede einzelne Löschung mit Freigabe durchzuführen halte ich in Anbetracht der Massnahmen Validierung oder organisatorischen Abläufen allerdings weder für angemessen, noch praktikabel.

      Beste Grüsse, Urs Müller


  12. Christian Müller-Schöll | Dienstag, 7. Dezember 2021 um 15:21 Uhr - Antworten

    Ich würde gerne mehr verstehen, wann genau 21 CFR 11 angewendet werden muss. Wir sind ein Lieferant von Kalibrierdienstleistungen, die von FDA-betroffenen Firmen bei uns einkaufen.

    Nach meinem ersten Eindruck unterliegen WIR als Lieferant von „beschriebenem Papier“ nicht diesen Anforderungen. Können Sie das bestätigen?

    Vielen Dank!


    • Urs Mueller | Dienstag, 7. Dezember 2021 um 19:54 Uhr - Antworten

      Sehr geehrter Herr Müller-Schöll

      Im Guidance Dokument „Part 11, Electronic Records; Electronic Signatures – Scope and Application“ aus dem Jahr 2003 legt die FDA dar, was für sie der Anwendungsbereich von Part 11 ist. Explizit steht im Guidance Dokument:

      „We understand that there is some confusion about the scope of part 11. Some have understood the scope of part 11 to be very broad. (…) As a result, we want to clarify that the Agency intends to interpret the scope of part 11 narrowly.“

      Die FDA definiert anschliessend, dass der Part 11 für „electronic records“ gilt, die unter die Regulierungen der FDA fallen und für solche Records, die zwar ausgedruckt werden, die eigentlichen regulatorischen Arbeiten aber mit den „electronic records“ gemacht werden. Elektronische Unterschriften fallen natürlich auch unter den Part 11. Werden die elektronisch erzeugten Daten ausgedruckt und anschliessend auch via Papier weiterverwendet, fallen diese Aufzeichnungen nicht unter den Part 11. Auch an die FDA elektronisch übermittelte Unterlagen fallen unter den Part 11.

      Ohne jetzt die genauen Konstellationen bzgl. Ihrer Kundenbeziehungen zu kennen, wage ich festzulegen, es liegt in der Verantwortung Ihrer Kunden, wie diese die von Ihnen erhaltenen Kalibrierberichte archivieren und ob diese dann bei der jeweiligen Kundenorganisation zu einem „electronic record“ werden.

      Beste Grüsse, Urs Müller


  13. Christian Müller-Schöll | Mittwoch, 8. Dezember 2021 um 08:42 Uhr - Antworten

    Sehr geehrter Herr Müller

    Herzlichen Dank für die schnelle und kompetente Antwort! Ich lese, dass Sie grundsätzlich bestätigen, dass wir als nicht der FDA unterliegender Lieferant zunächst nicht direkt betroffen sind. Daraus, dass wir einen FDA-Betrieb beliefern, lässt sich nicht ableiten, dass wir auch (sämtliche!!) Anforderungen der FDA erfüllen müssen. Es liegt also im Ermessen des FDA-betroffenen einkaufenden Betriebes , welche Forderungen er an uns stellt. Hier ist es wohl denkbar, dass er zur Erfüllung seiner eigenen FDA-Anforderungen solche Forderungen an uns weitergibt (z.B. solche von digitalen Signaturen). Dies geschieht aber auf vertraglicher Basis und nicht weil WIR den FDA-Anforderungen unterliegen würden.

    Beste Grüsse C. Müller-Schöll


Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.