Kategorien: Regulatory Affairs

14 Kommentare

  1. Jochen | Freitag, 6. Oktober 2017 um 14:32 Uhr - Antworten

    Ein kleiner, aber wichtiger Aspekt beim Speichern vom Audittrail: Zeitstempel sollten unbedingt auch die Zeitzone beinhalten.
    Das war das erste, was ein GxP Auditor bei uns zum Thema Audittrail geprüft hatte und da gibt es seiner Auskunft nach regelmäßig Findings.


  2. Prof. Dr. Christian Johner | Samstag, 7. Oktober 2017 um 20:23 Uhr - Antworten

    Danke, das ist ein wichtiger Hinweis!


  3. Christian Kunath | Dienstag, 2. Oktober 2018 um 09:42 Uhr - Antworten

    Guten Tag,

    ich habe in diesem Zusammenhang eine Frage: der Audit Trail ist ebenso, wie Zugriffsschutz oder Backup/Restore et.al. essentieller Bestandteil von Data Integrity. Hierzu gibt es im Pharmaumfeld mittlerweile einschlägige Guidelines der Behörden. Wie sieht es dazu im Medizinprodukte Umfeld aus?

    Und kann ich aus irgendeiner regulatorischen Anforderung oder Norm ableiten, dass computergestützte Systeme eine Netzwerkanbindung haben müssen?

    Viele Grüsse,
    Chr. Kunath


    • Prof. Dr. Christian Johner | Dienstag, 2. Oktober 2018 um 10:13 Uhr - Antworten

      Im Pharma-Umfeld haben die Behörden keine hilfreichen Anforderungen formuliert. Der PIC/S ist nicht wirklich dienlich. Der 21 CFR part 11 und der GAMP5 sind Dokumente, die in diesem Kontext zu betrachten sind.

      Im Medizinprodukte-Umfeld gibt es die harte Anforderung nach einem Audit-Trail nur von der FDA (Cybersecurity Guidance). Die IEC 62304 erwähnt ihn nur in einer „Note“ in Kapitel 5.2.

      Es gibt keine regulatorische Anforderung nach einer Netzwerkanbindung.


  4. Christian Kunath | Dienstag, 2. Oktober 2018 um 10:54 Uhr - Antworten

    Danke für die Rückmeldung.

    Meines Erachtens gibt es im Pharma-Umfeld zum Thema Data Integrity mittlerweile einige Guidelines, angefangen mit der MHRA (2015), über die WHO (2015), FDA (2016) bis hin zur PDA(2016) und EMA (2016).

    Gibt es vergleichbare Anforderungen für das Medizinprodukte-Umfeld?


  5. Till Thomas | Montag, 26. August 2019 um 12:07 Uhr - Antworten

    Hallo,
    Wenn ich in meinem AuditLog Patientennamen verwenden würde, könnte ich sie nicht aus datenschutzrechtlichen Gründen löschen, wenn ich nur Referenzen/IDs verwende sind diese evt. nicht mehr rückverfolgbar, wenn die Daten gelöscht wurden.

    Gibt es da eine Lösung in den betreffenden Normen?


    • Prof. Dr. Christian Johner | Montag, 26. August 2019 um 14:55 Uhr - Antworten

      Sehr geehrter Herr Thomas,

      danke für die spannende Frage!

      Hier könnte Pseudonymisierung helfen, d.h. das Log enthält die IDs bzw. Referenzen, die Datenbank oder ein anderer Datenspeicher würde helfen, die Referenzen aufzulösen.

      Man muss aber im Sinne der DSGVO (security by design) überlegen, ob es überhaupt notwendig ist, dass man Patienten oder Personen im Log identifizieren muss. Dafür bedarf es eines berechtigten Interesses.

      Beste Grüße, Christian Johner


  6. Klein Maximilian | Dienstag, 29. Oktober 2019 um 16:25 Uhr - Antworten

    Ich bin mir erst einer konkreten Anwendung von Blockchaintechnologie im GxP Bereich Bewusst. Sie schreiben es als wäre es ein Standard. Ich bin aber ebenso sehr neu in diesem Bereich und kenne noch gar keine konktrete Anbieter von entsprechenden Systemen. Kennen sie weitere angebotene Systeme, welche diese Form der Blockchainbasierten Audit Trails nutzen?


    • Prof. Dr. Christian Johner | Dienstag, 29. Oktober 2019 um 22:37 Uhr - Antworten

      Sehr geehrter Herr Klein,

      ich wollte nicht den Eindruck erwecken, dass das der Standard sei, als ich schrieb, dass es mehrere Möglichkeiten gäbe, das zu realisieren. Dass Auditlogs mit Blockchain-Technologien gegen Veränderung zu schützen ist in der Tat nicht usus. Als Möglichkeit gehört es aber m.E. genannt.

      Beste Grüße, Christian Johner


  7. Andreas Becker | Dienstag, 14. Januar 2020 um 16:31 Uhr - Antworten

    Guten Tag,

    nochmals eine Frage zum Umgang mit der DSGVO. Da das Audit-trail fordert, das „die Person“, welche die Änderung durchgeführt hat erfasst wird ergibt sich bereits die Fragestellung nach dem Umgang mit personenbezogenen Daten.
    Ich habe allerdings keine Aussage gefunden in, welcher Form die Person erfasst werden soll, wodruch eine Pseudonymisierung erlaubt ist.
    Haben sie hier näheres bzw Erfahrungen?

    Zu dem ersten Beitrag, wenn der Zeitstempel unbedingt auch die Zeitzone beinhalten soll spricht man von UTC. Was ist wenn die lokale Zeit gespeichert wird? Nicht in UTC! Hier habe ich ebenfalls keine Beschreibung oder Einschränkung gefunden.

    viele Grüße


    • Prof. Dr. Christian Johner | Dienstag, 14. Januar 2020 um 18:21 Uhr - Antworten

      Sehr geehrter Herr Becker,

      eine Pseudonymisierung ist absolut möglich. Bei Audit-Trail werden auch nicht nur Personen, sondern auch Systeme geloggt.

      Im Sinner des Grundsatzes der Datensparsamkeit sollte man überlegen, welche Daten man überhaupt mit welchem Ziel loggen will. Aber auch dann kann es zu Zielkonflikten kommen. Im Zweifel ist die Einholung der Genehmigung, die Daten zu verarbeiten, immer der Königsweg.

      Beste Grüße, Christian Johner


    • Prof. Dr. Christian Johner | Dienstag, 14. Januar 2020 um 18:27 Uhr - Antworten

      Sehr geehrter Herr Becker,

      es gibt keine spezifischen Anforderungen an die Art des Audit-Logs. Daher gibt es weder Einschränkungen noch Forderungen nach einer Pseudonymisierung noch nach einem spezifischen Time Code. Das ist nur eine Empfehlung, um Probleme mit Zeitzonen und mit Zeitumstellungen zu minimieren.

      Beste Grüße, Christian Johner


  8. Denis van Egeren | Mittwoch, 27. April 2022 um 09:22 Uhr - Antworten

    Guten Tag zusammen,

    das Unternehmen für welches ich arbeite, stellt unter anderem auch Anlagen zur Erzeugung von Medizinprodukten her.
    Ein aktueller Kunde von uns hat bemängelt, dass auf den ausgedruckten Audit-Trails keine Logos der Unternehmen stünden (Kunde + Hersteller). Das Argument hierbei war, dass man den Audit-Trail auch in Excel erstellen könnte und man ohne die Logos nicht die Gewissheit hätt, dass das auch die original Dateien der Anlage sind.

    Jetzt meine Frage: Ist irgendwo vorgeschrieben, wie das Layout des Audit-Trails auszusehen hat? Oder muss dies in der URS des Kunden definiert werden?

    Beste Grüße,

    Denis van Egeren


    • Prof. Dr. Christian Johner | Mittwoch, 27. April 2022 um 12:57 Uhr - Antworten

      Sehr geehrter Herr von Egeren,

      das ist wirklich eine interessante Forderung. Es gibt keine regulatorische Vorgaben, die ein Logo verlangen würde. Es gibt regulatorische Vorgabe zur Lenkung von Dokumenten und Aufzeichnungen. Dazu zählen auch Audit-Logs.

      Diese Vorgaben fordern u.a., dass erkennbar ist, wer das Dokument wann erstellt hat und dass Änderungen daran nicht unbemerkt vorgenommen werden können.

      Ein Logo ist kein wirksames Mittel, um eine dieser Anforderungen zu erfüllen.

      Geben Sie gerne Bescheid, wenn Ihre Frage noch nicht beantwortet wäre.

      Viele Grüße

      Christian Johner


Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.