Audit trail vereisten voor GxP computersystemen

be different
be different.
juni 27, 2021
Tips voor meer zinvolle risicoanalyses in de life sciences industrie
november 16, 2021
richtlijnen

Background consisting of puzzles, one puzzle which is detached from the other

Wikipedia definieert een audit trail als volgt: a chronological record providing documentary evidence of the sequence of activities that have affected at any time a specific operation, procedure, event, or device. Het eerste gebruik van audit trails dateert van de grote beschavingen uit de oudheid, wanneer eenvoudige methodes ontstonden om goederen, soldaten en financiële transacties op te volgen.

Audit trails om data integriteit te borgen kregen in de farmaceutische industrie pas echt aandacht wanneer de US / FDA richtlijn 21CFR Part 11 gepubliceerd werd in 1997. Part 11 vereist het gebruik van veilige, automatische audit trails met een tijdsaanduiding om zo op een onafhankelijke manier datum en tijd van gegevensinvoer en operator acties die elektronische data creëren, wijzigen of verwijderen bij te houden. (sec. 11.10 e).

Sinds de late jaren ’90 zijn een aantal andere autoriteiten gevolgd en hebben ook zij richtlijnen uitgevaardigd met betrekking tot audit trails op GxP data. Audit trails zijn niet alleen een wettelijk GxP vereiste, ze zijn ook een effectief middel om deviaties te onderzoeken, niet geautoriseerd gebruik van of niet geautoriseerde wijzigingen op een systeem te detecteren. Ook geven zij een schat aan informatie aan reviewers van GxP batch records en labo resultaten.

oude logboek
Zo’n 4000 jaar voor onze tijdsrekening ontstonden bij de oude Egyptenaren en Babyloniërs de eerste systemen om bewegingen in en uit opslagplaatsen te loggen.

Wettelijke basis

De belangrijkste wetgevingen die audit trail vereisten opleggen zijn Part 11 en Eudralex annex 11.

21 CFR Part 11 paragraph 10 (e) – Use of secure, computer-generated, time-stamped audit trails to independently record the date and time of operator entries and actions that create, modify, or delete electronic records. Record changes shall not obscure previously recorded information. Such audit trail documentation shall be retained for a period at least as long as that required for the subject electronic records and shall be available for agency review and copying.

Eudralex Volume 4 Chapter 4 paragraph 4.9 – Any alteration made to the entry on a document should be signed and dated; the alteration should permit the reading of the original information. Where appropriate, the reason for the alteration should be recorded.

Eudralex Volume 4 annex 11 paragraph 9 – Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated “audit trail”). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed.

De volgende PIC/S Guidance is aanbevolen literatuur voor wie zich verder wil verdiepen:“Good practices for data management and integrity in regulated GMP/GDP environments”. PIC/S documenten worden vaak gebruikt als referentiewerk door inspecteurs, dit document in het bijzonder geeft weer hoe een aantal inspecteurs audit trails in uw organisatie zal evalueren.

Audit trail must-have’s

Een audit trail op een GxP computersysteem moet minsten voldoen aan volgende vereisten om te voldoen aan de GxP regelgeving.

  1. Audit trail moeten op een onafhankelijke manier werken, er is geen specifieke gebruikersactie nodig om iets in de audit trail te loggen.
  2. Het moet onmogelijk zijn voor gewone (routine) gebruikers om de audit trail te desactiveren.
  3. De audit trail moet ten minste volgende informatie bewaren voor elke transactie:
    • WANNEER / Timestamp, dit is datum en tijd
    • WIE / Identificatie van de persoon die de actie uitvoerde, enkel een gebruikersnaam bewaren zonder link naar de eigenlijke identiteit van de persoon is onvoldoende
    • WAT / Beschrijving van de actie, bv. creëren, wijzigen alsook oude en nieuwe waarde (indien van toepassing)
    • WAAROM / Reden van de actie (indien van toepassing)
  4. Een audit trail is een electronic record, en moet op zich dus ook voldoen aan de geldende GxP richtlijnen voor elektronische data. ALCOA principes kunnen toegepast worden op audit trails:
    • Attributable, bewaren wie de actie heeft uitgevoerd die logging in de audit trail noodzakelijk maakte
    • Legible, audit trails moeten leesbaar zijn gedurende de gehele retentietijd van de electronic records waarop ze van toepassing zijn
    • Contemporaneous, audit trail logging moet in real-time (onmiddellijk) gebeuren
    • Original, het moet duidelijk zijn waar de audit trail data bewaard is
    • Accurate, het moet onmogelijk zijn om audit trail data te wijzigen, te verwijderen of op een of andere manier corrupt of onleesbaar te maken
  5. Het moet mogelijk zijn om een audit trail te printen en om er een elektronische copie van te maken
  6. De audit trail functionaliteit moet gevalideerd worden
  7. Audit trails moeten regelmatig gereviewed worden, de principes van quality risk management dienen gehanteerd te worden

Er zijn helaas nog wel wat applicaties in GxP gebruik die niet voldoen aan de wettelijke audit trail vereisten. Het is mogelijk om voor dat soort “legacy” applicaties een papieren audit trail op te zetten om zo toch gedeeltelijk aan de GxP richtlijnen te voldoen. Dit is echter geen lange termijn oplossing, voor legacy systemen moet er een duidelijk CAPA plan zijn om de non-conformiteiten weg te werken.

Audit trails zijn niet te verwarren met systemen voor wijzigingsbeheer. Beide processen hebben een ander doel, en dus ook andere vereisten.

Sinds de laatste revisie van Eudralex annex 11 in 2011 voldoen heel wat bedrijven nog niet aan de wettelijke vereiste om audit trails regelmatig te reviewen. Audit trail review zou zoveel mogelijk een onderdeel moeten zijn van de routine activiteiten. Bijvoorbeeld batch review kan een stukje audit trail review bevatten, waarbij gekeken wordt naar wijzigingen aan kritische parameters of operator interacties tijdens een GMP productieproces. Voor audit trail review moet steeds een risk based aanpak gevolgd worden, teneinde geen onnodige tijd te verdoen aan review acties die weinig toegevoegde waarde hebben.

Hopelijk kon dit artikel u herinneren aan de belangrijkste wettelijke vereisten voor GxP audit trails. Als u verdere ondersteuning nodig hebt, of u wenst een evaluatie van de huidige audit trail systemen in uw bedrijf, aarzel dan niet om ons te contacteren.

Joachim Nuyttens
Joachim Nuyttens
At Trevalco I'm responsible for HR and Quality. The main goal of my job is to create an organization in which we foster personal development and build towards direct motives that inspire performance: play, purpose and potential. Because at the end of the day we want happy employees delivering great services to our customers.

Comments are closed.