Audit-Trail: Was Sie als Medizinproduktehersteller wissen sollten

Dienstag 12. Juli 2016

Die FDA definiert einen Audit-Trail als eine sichere, computergenerierte und zeitgestempelte elektronische Aufzeichnung, die es erlaubt, den Verlauf von Ereignissen nachzuvollziehen, die etwas mit dem Erstellen, dem Ändern oder dem Löschen von elektronischen Aufzeichnungen zu tun haben.

Weshalb sollte man einen Audit-Trail erstellen

Es gibt mehrere Gründe, weshalb auch im Umfeld von Medizinprodukten Audit-Trails eingesetzt werden:

  1. Gesetzliche Vorgaben erfüllen. Mehr dazu weiter unten.
  2. Fehlersuche für Service und Entwicklung unterstützen
  3. Wartungsintervalle nutzungsabhängig bestimmen
  4. Rückmeldungen von Anwenderverhalten bekommen z.B. um Produkt zu verbessern, Überlast oder Missbrauch zu identifizieren
  5. Sicherheitsprobleme wie Einbruchsversuche aufdecken
  6. Nutzerbasierte Abrechnung/Bezahlung ermöglichen

Was sollte ein Audit-Trail enthalten?

Ein Audit-Trail sollte alle Informationen enthalten, die notwendig sind, um nachzuvollziehen

  • Wer
  • Was
  • Wann
  • Weshalb getan hat.

Diese Informationen werden teilweise von den Geräten automatisch erzeugt, teilweise von Hand eingegeben.

Audit-Trail

 

Information Automatisiert / manuell Beispiel, Kommentar
Anwender (ID) automatisiert z.B. von den Login-Daten oder NFC-Chip
Ereignis, Kommando automatisiert
  • System gestartet
  • Fehler 18
  • Datenverarbeitung abgeschlossen
  • Nutzer angemeldet
  • In Service-Mode
  • Daten eingegeben
  • Neuer Patient
  • Gehäuse geöffnet
Daten, die vom Anwender oder dem System erzeugt, geändert, gelöscht werden Meist automatisiert
  • IVD: Prozessparameter, Labor-Ergebnisse
  • IT-System: Benutzeraktionen am System
  • Fehlerprotokoll, Stack-Trace
Zeitstempel Automatisiert Systemzeit regelmäßig und automatisiert über einem „Time Server“ aktualisieren
Begründungen Manuell entweder als Freitext eingeben oder von Liste mit häufigen Begründungen auswählen Wenn vom normalen Prozessablauf abgewichen wird. Z.B.

  • Arzt greift auf Daten eines Patienten zu, für deren Behandlung er nicht eingeteilt ist
  • PDMS: Anwender gibt Werte außerhalb Plausibilitätsgrenzen ein
  • IVD: Laborwert trotz abgelaufener Reagenzien akzeptiert
System, Gerät Automatisiert Notwendig, wenn mehrere Systeme in eine Log-Datei schreiben. Dann ggf. weitere Parameter wie Gerätename, IP und Session

 

Oft werden die Daten/Werte in folgender Struktur erfasst:

  • Parameter (z.B. Temperatur, Alter)
  • Aktion (einfügen, ändern, löschen)
  • Ursprünglicher Wert (leer bei einfügen)
  • Neuer Wert (leer bei löschen)

Die FDA nennt als Beispiel für die Daten in einem Audit-Trail für einen HPLC (Gerät für die Hochleistungsflüssigkeitschromatographie):

  • Benutzername
  • Datum und Zeit (oft millisekundengenau)
  • Verwendete Integrationsparameter
  • Details zur Verarbeitung
  • Begründungen, wenn eine erneute Verarbeitung notwendig ist.

Wann sind Audit-Logs vorgeschrieben?

Es gibt Regularien, die festlegen, wann Audit-Logs erstellt werden müssen und welchen Anforderungen diese Audit-Logs genügen müssen. Zu diesen Regularien zählen:

  • FDA fordert im 21 CFR part 11 dass immer dann Audit-Trails angelegt werden müssen, wenn Dokumente nur elektronisch erzeugt und unterschrieben werden.
  • Auch die EU fordert in der GMP-Richtlinie im Anhang 11 Audit-Trails.
  • Die FDA hat ein Guidance Document „Data Integrity and Compliance with CGMP“ veröffentlicht, in der sie die Anforderungen an die Audit-Trails weiter spezifiziert. Dazu zählt auch das Review dieser Audit-Trails.
  • Die IEC 62304 spricht zwar im Kapitel 5.2 (Software-Anforderungen) auch von Audit-Trails (die sie peinlicherweise mit Audio-Pfad übersetzt), sie fordert aber keine Audit-Trails. Sie fordert nur, dass Anforderungen an die Audit-Trails in den Software-Anforderungen zu spezifizieren sind, wenn es diese Audit-Logs überhaupt gibt.
  • Auch aus der Dokumentenlenkung konform ISO 13485 folgt, dass der Auditor nachvollziehen können muss, wer wann was geändert hat.

Zusammenfassung

Für Medizinproduktehersteller lässt sich zusammenfassen: Sie müssen Audit-Trails (nur) dann erzeugen, wenn Sie papiergebundene Unterschriften durch elektronische Unterschriften ersetzen wollen. Das betrifft die Entwicklung ebenso wie die Produktion oder andere Prozesse.

Zusätzlich müssen Sie die Audit-Trails implementieren, wenn dies aus dem regulatorischen Kontext Ihrer Kunden verlangt ist z.B. aufgrund von GxP-Anforderungen.

Format von Audit-Trails

Häufig findet man Audit-Trails in folgenden Formaten

  • CSV (Komma-getrennte Werte – in Deutschland durch Strichpunkte getrennt)
  • XML
  • YAML
  • JSON

Es ist auch nützlich, sich an Log-Formaten zu orientieren wie SysLog, Common Log Format und SNMP.

Erzeugen von Audit-Trails

Audit-Trails generieren

Für das Erzeugen von Log-Dateien stehen für die verschiedenen Programmiersprachen zahlreiche Bibliotheken wie Log4J für Java oder Microsofts Enterprise Library für die Microsoft-Sprachen zur Verfügung.

Audit-Trails vor Änderungen schützen

Die Herausforderung besteht eher darin, fälschungssichere Audit-Logs zu generieren. Dafür gibt es mehrere Möglichkeiten:

  1. Sowohl die Log-Einträge als auch ganze Blöcke von Log-Einträgen mit Hash-Werten versehen. Ein wissenschaftlicher Fachartikel dazu finden Sie hier, einen weiteren hier.
  2. Audit-Logs in Verzeichnisse schreiben, auf die nur das erzeugende System Schreibrechte hat.
  3. Audit-Logs in Versionsverwaltungssystem schreiben.
  4. Block-Chain-Techniken anwenden, die mit jedem Log-Eintrag die Integrität der ganzen Historie sichern.
  5. File-Monitore einsetzen, die den Zugriff überwachen und unautorisierte Zugriffe melden.

Verlust von Audit-Trails vermeiden

Audit-Trails sind elektronische Aufzeichnungen, für die die gleichen Sicherungsmechanismen Anwendung finden, wie für alle anderen elektronischen Dateien wie

  • Backups
  • Verteiltes Speichern
  • Eingeschränkter Zugriff auf Dateien
  • Passwort-Policies
  • usw.

Kategorien: Regulatory Affairs

5 Kommentare über “Audit-Trail: Was Sie als Medizinproduktehersteller wissen sollten”

  1. Jochen schrieb:

    Ein kleiner, aber wichtiger Aspekt beim Speichern vom Audittrail: Zeitstempel sollten unbedingt auch die Zeitzone beinhalten.
    Das war das erste, was ein GxP Auditor bei uns zum Thema Audittrail geprüft hatte und da gibt es seiner Auskunft nach regelmäßig Findings.

  2. Prof. Dr. Christian Johner schrieb:

    Danke, das ist ein wichtiger Hinweis!

  3. Christian Kunath schrieb:

    Guten Tag,

    ich habe in diesem Zusammenhang eine Frage: der Audit Trail ist ebenso, wie Zugriffsschutz oder Backup/Restore et.al. essentieller Bestandteil von Data Integrity. Hierzu gibt es im Pharmaumfeld mittlerweile einschlägige Guidelines der Behörden. Wie sieht es dazu im Medizinprodukte Umfeld aus?

    Und kann ich aus irgendeiner regulatorischen Anforderung oder Norm ableiten, dass computergestützte Systeme eine Netzwerkanbindung haben müssen?

    Viele Grüsse,
    Chr. Kunath

  4. Prof. Dr. Christian Johner schrieb:

    Im Pharma-Umfeld haben die Behörden keine hilfreichen Anforderungen formuliert. Der PIC/S ist nicht wirklich dienlich. Der 21 CFR part 11 und der GAMP5 sind Dokumente, die in diesem Kontext zu betrachten sind.

    Im Medizinprodukte-Umfeld gibt es die harte Anforderung nach einem Audit-Trail nur von der FDA (Cybersecurity Guidance). Die IEC 62304 erwähnt ihn nur in einer „Note“ in Kapitel 5.2.

    Es gibt keine regulatorische Anforderung nach einer Netzwerkanbindung.

  5. Christian Kunath schrieb:

    Danke für die Rückmeldung.

    Meines Erachtens gibt es im Pharma-Umfeld zum Thema Data Integrity mittlerweile einige Guidelines, angefangen mit der MHRA (2015), über die WHO (2015), FDA (2016) bis hin zur PDA(2016) und EMA (2016).

    Gibt es vergleichbare Anforderungen für das Medizinprodukte-Umfeld?

Kommentar schreiben