近日,WHO发布了新版QAS/19.819《数据完整性指南》(征求意见稿),新的《数据完整性指南》包含以下章节:
-
Introduction and background
简介和背景
-
Scope
范围
-
Glossary
术语
-
Principles of data integrity and good documentation practices
数据完整性原则和良好文件记录规范
-
Quality risk management
质量风险管理
-
Management review
管理审评
-
Outsourcing
外包
-
Training
培训
-
Data
数据
-
Data integrity
数据完整性
-
Good documentation practices
良好文件记录规范
-
Computerized systems
计算机化系统
-
Corrective and preventive actions
纠正和预防措施
-
References and further reading
参考和拓展阅读
-
Annex 1: Examples of data integrity management
附件1:数据完整性管理举例
该指南解读如下:
减轻数据完整性风险的措施包括但不限于:
-
制定并实施DI政策;
-
建立并实施有助于遵守DI要求和期望的程序;
-
在公司内部采用质量文化,鼓励员工对失败保持透明,包括报告机制;
-
通过数据完整性风险评估 (DIRA) 和实施适当的控制措施,将 QRM 应用于 DI 的所有风险领域,从而消除或将风险降低到数据整个生命周期中可接受的水平;
-
确保有足够的资源来监控 DI 政策和程序的遵守情况,并促进持续改进;
-
为诸如良好做法、计算机化系统和DI等人员提供必要的培训;
-
实施和验证适合其预定用途的计算机化系统;
-
定义和管理合同委托方和合同受托方订立的质量协议和合同的适当角色和责任。
应开展 DIRA(数据完整性风险评估),以识别和评估风险。
数据完整性的原则同样适用于合同委托方和合同受托人。合同委托方最终对合同受托方提供给他们的数据的完整性负责。因此,合同委托方应确保合同受托方遵守数据完整性原则。
应有书面的DI政策。
高级管理层负责建立和实施有效的质量体系和数据治理系统。这适用于纸张和电子生成的数据。数据治理系统应包括:
-
培训DI原则的重要性;
-
创造适当的工作环境;和
-
积极鼓励举报错误、遗漏和不良后果。
数据治理方案应包括处理数据管理的政策和程序。有效数据治理的要素应包括:
-
管理监督和承诺;
-
使用质量风险管理
-
良好的数据管理原则;
-
质量量度和绩效指标;
-
验证
-
变更管理
-
安全和访问控制
-
配置控制
-
防止来自商业、政治、财政和其他组织的压力;
-
防止可能对工作质量和完整性产生不利影响的奖励措施;
-
充足的资源、系统;
-
工作负荷和设施,以促进支持 DI 和有效控制的正确环境;
-
监测
-
记录保存
-
培训
-
了解 DI、产品质量和患者安全的重要性。
如果发现 DI 的缺陷,则应在所有相关活动和系统中实施适当的纠正和预防措施 (CAPA),而不是孤立地实施。
从自动化或计算机化系统变更为纸质手动记录,这本身并不能消除适当DI 控制的必要性,反之亦然。
好的记录(纸质和电子)方式包括但不限于:
-
限制更改记录事件的日期和时间的能力;
-
使用受控文档和表单记录 GXP 数据;
-
控制空白纸模板的发放;
-
制定对自动化系统的访问和权限;
-
激活审计追踪
-
尽可能在生产和质量控制中使用与设备和仪器相连的自动数据采集系统和打印机;
-
确保打印机靠近相关活动地点;
-
确保负责审查和检查数据的人员能够访问原始电子数据。
数据和录制的介质应经久耐用。墨水应持久不退。不应使用热敏或感光油墨和其他可去油墨,或应确定可褪色的油墨,以确保数据在其生命周期内可追溯。
纸张不应对温度敏感、感光或易氧化。如不可避免,则应提供真实副本或经认证的副本。
应定期审查用于记录和存储数据的系统、程序和方法的有效性,并在必要时更新与新技术有关的系统、程序和方法。
应进行书面的数据完整性风险评估。这应包括生成数据的系统和流程,以及数据的关键性和固有风险。风险评估应包括计算机化系统、辅助人员、培训和质量系统。
指南强调了管理审评对数据完整性治理的重要性。
应在定期管理审查会议上报告遵守 DI 政策和程序的情况。
管理审评对数据完整性实施的控制的有效性应根据质量量度和绩效指标进行衡量。具体应包括例如:
-
数据的跟踪和趋势;
-
DI错误率
-
审查审计追踪,例如生产、质量控制、GLP、个案报表和数据处理;
-
日常审计和/或自查,包括DI和电脑系统;和
-
外包工厂(合同受托方)的DI错误率
关于外包活动,书面协议中应明确说明每一方(合同委托方和合同受托方)的活动和责任。应特别注意确保符合 DI 要求。
在定期现场审计期间,应确认对规则和责任的遵守情况。这应包括审查受托方与合同委托方产品或服务相关的程序和数据(包括原始数据和元数据、纸质记录、电子数据、审计跟踪和其他相关数据)。
应该有一个文件系统定义计算机系统用户的访问和权限。
应任命有限数量的人员(在数据方面没有利益冲突)作为系统管理员。某些权限(如数据删除、数据库修改或系统配置更改)不应毫无理由地分配给管理员。
数据传输不应导致对数据的内容或含义进行任何更改。应在审核跟踪中跟踪传输。
应验证数据传输。
如果使用附加软件或遗留系统(没有审计追踪),则可对定义的临时期间采取缓解措施。这一问题应在规定的时间表内解决。
备份和恢复过程应进行验证和定期测试,包括验证数据大小、数据和元数据的完整程度和准确性。
数据和元数据应在数据的生命周期内可读。风险包括缩微胶片记录褪色、光盘 (CD) 和数字多功能/视频磁盘 (DVD) 等光学介质涂层的可读性降低,以及这些介质可能变脆这一事实。同样,由于变质,存储在磁性介质上的历史数据也会随着时间的推移变得不可读。数据和记录应在适当条件下以适当方式存储。
资料来源:GMP办公室