Audit-Trail: Was Sie als Medizinproduktehersteller wissen sollten

Dienstag 12. Juli 2016

Die FDA definiert einen Audit-Trail als eine sichere, computergenerierte und zeitgestempelte elektronische Aufzeichnung, die es erlaubt, den Verlauf von Ereignissen nachzuvollziehen, die etwas mit dem Erstellen, dem Ändern oder dem Löschen von elektronischen Aufzeichnungen zu tun haben.

Weshalb sollte man einen Audit-Trail erstellen

Es gibt mehrere Gründe, weshalb auch im Umfeld von Medizinprodukten Audit-Trails eingesetzt werden:

  1. Gesetzliche Vorgaben erfüllen. Mehr dazu weiter unten.
  2. Fehlersuche für Service und Entwicklung unterstützen
  3. Wartungsintervalle nutzungsabhängig bestimmen
  4. Rückmeldungen von Anwenderverhalten bekommen z.B. um Produkt zu verbessern, Überlast oder Missbrauch zu identifizieren
  5. Sicherheitsprobleme wie Einbruchsversuche aufdecken
  6. Nutzerbasierte Abrechnung/Bezahlung ermöglichen

Was sollte ein Audit-Trail enthalten?

Ein Audit-Trail sollte alle Informationen enthalten, die notwendig sind, um nachzuvollziehen

  • Wer
  • Was
  • Wann
  • Weshalb getan hat.

Diese Informationen werden teilweise von den Geräten automatisch erzeugt, teilweise von Hand eingegeben.

Audit-Trail

 

Information Automatisiert / manuell Beispiel, Kommentar
Anwender (ID) automatisiert z.B. von den Login-Daten oder NFC-Chip
Ereignis, Kommando automatisiert
  • System gestartet
  • Fehler 18
  • Datenverarbeitung abgeschlossen
  • Nutzer angemeldet
  • In Service-Mode
  • Daten eingegeben
  • Neuer Patient
  • Gehäuse geöffnet
Daten, die vom Anwender oder dem System erzeugt, geändert, gelöscht werden Meist automatisiert
  • IVD: Prozessparameter, Labor-Ergebnisse
  • IT-System: Benutzeraktionen am System
  • Fehlerprotokoll, Stack-Trace
Zeitstempel Automatisiert Systemzeit regelmäßig und automatisiert über einem „Time Server“ aktualisieren
Begründungen Manuell entweder als Freitext eingeben oder von Liste mit häufigen Begründungen auswählen Wenn vom normalen Prozessablauf abgewichen wird. Z.B.

  • Arzt greift auf Daten eines Patienten zu, für deren Behandlung er nicht eingeteilt ist
  • PDMS: Anwender gibt Werte außerhalb Plausibilitätsgrenzen ein
  • IVD: Laborwert trotz abgelaufener Reagenzien akzeptiert
System, Gerät Automatisiert Notwendig, wenn mehrere Systeme in eine Log-Datei schreiben. Dann ggf. weitere Parameter wie Gerätename, IP und Session

 

Oft werden die Daten/Werte in folgender Struktur erfasst:

  • Parameter (z.B. Temperatur, Alter)
  • Aktion (einfügen, ändern, löschen)
  • Ursprünglicher Wert (leer bei einfügen)
  • Neuer Wert (leer bei löschen)

Die FDA nennt als Beispiel für die Daten in einem Audit-Trail für einen HPLC (Gerät für die Hochleistungsflüssigkeitschromatographie):

  • Benutzername
  • Datum und Zeit (oft millisekundengenau)
  • Verwendete Integrationsparameter
  • Details zur Verarbeitung
  • Begründungen, wenn eine erneute Verarbeitung notwendig ist.

Wann sind Audit-Logs vorgeschrieben?

Es gibt Regularien, die festlegen, wann Audit-Logs erstellt werden müssen und welchen Anforderungen diese Audit-Logs genügen müssen. Zu diesen Regularien zählen:

  • FDA fordert im 21 CFR part 11 dass immer dann Audit-Trails angelegt werden müssen, wenn Dokumente nur elektronisch erzeugt und unterschrieben werden.
  • Auch die EU fordert in der GMP-Richtlinie im Anhang 11 Audit-Trails.
  • Die FDA hat ein Guidance Document „Data Integrity and Compliance with CGMP“ veröffentlicht, in der sie die Anforderungen an die Audit-Trails weiter spezifiziert. Dazu zählt auch das Review dieser Audit-Trails.
  • Die IEC 62304 spricht zwar im Kapitel 5.2 (Software-Anforderungen) auch von Audit-Trails (die sie peinlicherweise mit Audio-Pfad übersetzt), sie fordert aber keine Audit-Trails. Sie fordert nur, dass Anforderungen an die Audit-Trails in den Software-Anforderungen zu spezifizieren sind, wenn es diese Audit-Logs überhaupt gibt.
  • Auch aus der Dokumentenlenkung konform ISO 13485 folgt, dass der Auditor nachvollziehen können muss, wer wann was geändert hat.

Zusammenfassung

Für Medizinproduktehersteller lässt sich zusammenfassen: Sie müssen Audit-Trails (nur) dann erzeugen, wenn Sie papiergebundene Unterschriften durch elektronische Unterschriften ersetzen wollen. Das betrifft die Entwicklung ebenso wie die Produktion oder andere Prozesse.

Zusätzlich müssen Sie die Audit-Trails implementieren, wenn dies aus dem regulatorischen Kontext Ihrer Kunden verlangt ist z.B. aufgrund von GxP-Anforderungen.

Format von Audit-Trails

Häufig findet man Audit-Trails in folgenden Formaten

  • CSV (Komma-getrennte Werte – in Deutschland durch Strichpunkte getrennt)
  • XML
  • YAML
  • JSON

Es ist auch nützlich, sich an Log-Formaten zu orientieren wie SysLog, Common Log Format und SNMP.

Erzeugen von Audit-Trails

Audit-Trails generieren

Für das Erzeugen von Log-Dateien stehen für die verschiedenen Programmiersprachen zahlreiche Bibliotheken wie Log4J für Java oder Microsofts Enterprise Library für die Microsoft-Sprachen zur Verfügung.

Audit-Trails vor Änderungen schützen

Die Herausforderung besteht eher darin, fälschungssichere Audit-Logs zu generieren. Dafür gibt es mehrere Möglichkeiten:

  1. Sowohl die Log-Einträge als auch ganze Blöcke von Log-Einträgen mit Hash-Werten versehen. Ein wissenschaftlicher Fachartikel dazu finden Sie hier, einen weiteren hier.
  2. Audit-Logs in Verzeichnisse schreiben, auf die nur das erzeugende System Schreibrechte hat.
  3. Audit-Logs in Versionsverwaltungssystem schreiben.
  4. Block-Chain-Techniken anwenden, die mit jedem Log-Eintrag die Integrität der ganzen Historie sichern.
  5. File-Monitore einsetzen, die den Zugriff überwachen und unautorisierte Zugriffe melden.

Verlust von Audit-Trails vermeiden

Audit-Trails sind elektronische Aufzeichnungen, für die die gleichen Sicherungsmechanismen Anwendung finden, wie für alle anderen elektronischen Dateien wie

  • Backups
  • Verteiltes Speichern
  • Eingeschränkter Zugriff auf Dateien
  • Passwort-Policies
  • usw.
War dieser Artikel hilfreich? Bitte bewerten Sie:
1 vote, average: 5,00 out of 51 vote, average: 5,00 out of 51 vote, average: 5,00 out of 51 vote, average: 5,00 out of 51 vote, average: 5,00 out of 5

Autor des Beitrags " Audit-Trail: Was Sie als Medizinproduktehersteller wissen sollten

Johner Institut Gmbh

Logo Johner Institut klein

Bewertung 5 von 5 bei 1 Bewertungen


Kategorien: Regulatory Affairs

12 Kommentare über “Audit-Trail: Was Sie als Medizinproduktehersteller wissen sollten”

  1. Jochen schrieb:

    Ein kleiner, aber wichtiger Aspekt beim Speichern vom Audittrail: Zeitstempel sollten unbedingt auch die Zeitzone beinhalten.
    Das war das erste, was ein GxP Auditor bei uns zum Thema Audittrail geprüft hatte und da gibt es seiner Auskunft nach regelmäßig Findings.

  2. Prof. Dr. Christian Johner schrieb:

    Danke, das ist ein wichtiger Hinweis!

  3. Christian Kunath schrieb:

    Guten Tag,

    ich habe in diesem Zusammenhang eine Frage: der Audit Trail ist ebenso, wie Zugriffsschutz oder Backup/Restore et.al. essentieller Bestandteil von Data Integrity. Hierzu gibt es im Pharmaumfeld mittlerweile einschlägige Guidelines der Behörden. Wie sieht es dazu im Medizinprodukte Umfeld aus?

    Und kann ich aus irgendeiner regulatorischen Anforderung oder Norm ableiten, dass computergestützte Systeme eine Netzwerkanbindung haben müssen?

    Viele Grüsse,
    Chr. Kunath

  4. Prof. Dr. Christian Johner schrieb:

    Im Pharma-Umfeld haben die Behörden keine hilfreichen Anforderungen formuliert. Der PIC/S ist nicht wirklich dienlich. Der 21 CFR part 11 und der GAMP5 sind Dokumente, die in diesem Kontext zu betrachten sind.

    Im Medizinprodukte-Umfeld gibt es die harte Anforderung nach einem Audit-Trail nur von der FDA (Cybersecurity Guidance). Die IEC 62304 erwähnt ihn nur in einer „Note“ in Kapitel 5.2.

    Es gibt keine regulatorische Anforderung nach einer Netzwerkanbindung.

  5. Christian Kunath schrieb:

    Danke für die Rückmeldung.

    Meines Erachtens gibt es im Pharma-Umfeld zum Thema Data Integrity mittlerweile einige Guidelines, angefangen mit der MHRA (2015), über die WHO (2015), FDA (2016) bis hin zur PDA(2016) und EMA (2016).

    Gibt es vergleichbare Anforderungen für das Medizinprodukte-Umfeld?

  6. Till Thomas schrieb:

    Hallo,
    Wenn ich in meinem AuditLog Patientennamen verwenden würde, könnte ich sie nicht aus datenschutzrechtlichen Gründen löschen, wenn ich nur Referenzen/IDs verwende sind diese evt. nicht mehr rückverfolgbar, wenn die Daten gelöscht wurden.

    Gibt es da eine Lösung in den betreffenden Normen?

  7. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr Thomas,

    danke für die spannende Frage!

    Hier könnte Pseudonymisierung helfen, d.h. das Log enthält die IDs bzw. Referenzen, die Datenbank oder ein anderer Datenspeicher würde helfen, die Referenzen aufzulösen.

    Man muss aber im Sinne der DSGVO (security by design) überlegen, ob es überhaupt notwendig ist, dass man Patienten oder Personen im Log identifizieren muss. Dafür bedarf es eines berechtigten Interesses.

    Beste Grüße, Christian Johner

  8. Klein Maximilian schrieb:

    Ich bin mir erst einer konkreten Anwendung von Blockchaintechnologie im GxP Bereich Bewusst. Sie schreiben es als wäre es ein Standard. Ich bin aber ebenso sehr neu in diesem Bereich und kenne noch gar keine konktrete Anbieter von entsprechenden Systemen. Kennen sie weitere angebotene Systeme, welche diese Form der Blockchainbasierten Audit Trails nutzen?

  9. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr Klein,

    ich wollte nicht den Eindruck erwecken, dass das der Standard sei, als ich schrieb, dass es mehrere Möglichkeiten gäbe, das zu realisieren. Dass Auditlogs mit Blockchain-Technologien gegen Veränderung zu schützen ist in der Tat nicht usus. Als Möglichkeit gehört es aber m.E. genannt.

    Beste Grüße, Christian Johner

  10. Andreas Becker schrieb:

    Guten Tag,

    nochmals eine Frage zum Umgang mit der DSGVO. Da das Audit-trail fordert, das „die Person“, welche die Änderung durchgeführt hat erfasst wird ergibt sich bereits die Fragestellung nach dem Umgang mit personenbezogenen Daten.
    Ich habe allerdings keine Aussage gefunden in, welcher Form die Person erfasst werden soll, wodruch eine Pseudonymisierung erlaubt ist.
    Haben sie hier näheres bzw Erfahrungen?

    Zu dem ersten Beitrag, wenn der Zeitstempel unbedingt auch die Zeitzone beinhalten soll spricht man von UTC. Was ist wenn die lokale Zeit gespeichert wird? Nicht in UTC! Hier habe ich ebenfalls keine Beschreibung oder Einschränkung gefunden.

    viele Grüße

  11. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr Becker,

    eine Pseudonymisierung ist absolut möglich. Bei Audit-Trail werden auch nicht nur Personen, sondern auch Systeme geloggt.

    Im Sinner des Grundsatzes der Datensparsamkeit sollte man überlegen, welche Daten man überhaupt mit welchem Ziel loggen will. Aber auch dann kann es zu Zielkonflikten kommen. Im Zweifel ist die Einholung der Genehmigung, die Daten zu verarbeiten, immer der Königsweg.

    Beste Grüße, Christian Johner

  12. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr Becker,

    es gibt keine spezifischen Anforderungen an die Art des Audit-Logs. Daher gibt es weder Einschränkungen noch Forderungen nach einer Pseudonymisierung noch nach einem spezifischen Time Code. Das ist nur eine Empfehlung, um Probleme mit Zeitzonen und mit Zeitumstellungen zu minimieren.

    Beste Grüße, Christian Johner

Kommentar schreiben