aplicação dos princípios bpl aos sistemas informatizados · application of glp principles to...

Florbela Dias| DMET| 2017-12-07

Aplicação dos Princípios BPL aos Sistemas Informatizados

Florbela Dias| DMET| 2017-12-07 2

Number 17 Application of GLP Principles to Computerised Systems


Resumo

Introdução Fase de projeto Fase operacional Fase de descontinuação


Introdução

Apresenta uma abordagem do ciclo de vida para a validação e operação de sistemas informatizados.

Avaliação de risco como o elemento central de um processo de validação com foco na integridade dos dados.

Fornece orientações que permitem que as IE desenvolvam uma estratégia adequada para a validação e operação de qualquer tipo de sistema informatizado, independentemente da sua complexidade, em ambiente BPL.


A instalação de ensaio deve dar às autoridades confiança na qualidade e na integridade de seus dados

Introdução


Integridade

dos dados

Validação

Controlo das alterações

Segurança

Arquivo

Introdução


Sistemas informatizados devem fazer parte do sistema BPL

Sistema BPL

Sistemas

informatizados

Introdução


A conformidade dos sistemas informatizados é uma equação de múltiplos parâmetros

Documentação

Dados

Processo

Software

Hardware

Pessoal

Introdução


Fases de um sistema Informatizado

Introdução


Sistemas complexos: sistemas de gestão de cromatógrafos, sistemas de informação laboratorial, registo direto ou indireto de dados, sistemas de arquivo, sistemas de monitorização ambiental etc.

Sistema Informatizado


Dispositivos simples: balanças, pipetas automáticas, arcas frigoríficas etc.

Sistema Informatizado


Pessoal, funções e responsabilidades

Garante que os sistemas informatizados sejam validados;

Estabelece PHF para garantir que os sistemas informatizados sejam adequados, operados e mantidos de acordo com as BPL;

Define funções e responsabilidades para desenvolvimento, validação, operação e manutenção dos sistemas informatizados;

Delegação de responsabilidade total ou parcialmente a pessoal devidamente qualificado (administrador de local de ensaio);

Deve considerar os potenciais conflitos de interesse associados aos responsáveis pelas atividades de validação e aos responsáveis pelas operações de rotina de cada sistema informatizado por forma a evitar riscos para a integridade dos dados.

Administração da Instalação de Ensaio



Diretor de Estudo

O DE deve verificar e confirmar a validação de todos os sistemas informatizados que serão utilizados antes do início de um estudo BPL. E deve garantir que são utilizados adequadamente.

A responsabilidade do DE sobre os dados eletrónicos (os dados devem ser legíveis, atuais, originais, precisos, completos, consistentes e disponíveis).



As responsabilidades da GQ devem ser definidas pela AIE;

A GQ deve ter conhecimento do sistema informatizado existente na IE;

A GQ deve ter a formação necessária e acesso para inspecionar os processos informáticos;

A GQ deve verificar se os procedimentos/normas são cumpridos na validação, operação e manutenção do sistema;

Durante as inspeções aos estudos a GQ deverá ter acesso de leitura aos dados.

Garantia da Qualidade


Instalações

Deve ser devidamente considerada a localização física de hardware, componentes periféricos, equipamentos de comunicação e meios de armazenamento eletrónicos;

Devem ser evitadas situações extremas de temperatura e humidade, poeira, interferência eletromagnética e proximidade de cabos de alta tensão;

Deve-se também considerar o fornecimento elétrico continuo (UPS) aos equipamentos informáticos cuja falha súbita afetaria os resultados de um estudo. Considerar também o uso de sistemas de back-up;

Devem existir instalações adequadas para o armazenamento seguro dos dados eletrónicos.


Requisitos documentais

Lista atualizada de todos os sistemas informatizados relevantes para as BPL com a informação: • nome e versão do software e onde está instalado • sistemas operacionais adicionais • funções do sistema informatizado • fluxo de dados • mensagens de alarme associadas ao sistema • configuração, ligações e comunicação entre os vários módulos do

sistema

Devem existir procedimentos de operação; de medidas de segurança; de controlo de alterações; de avaliação periódica do sistema; para cobrir rotina preventiva, manutenção e reparação de falhas; de desenvolvimento, aceitação e teste de software; de back-up; de arquivo; de autorização da descontinuação do sistema informatizado


Requisitos documentais

Outros procedimentos de gestão e validação devem ser descritos se relevantes e podem incluir: aquisição; gestão de riscos; gestão de serviços; planeamento da validação; especificações requeridas; especificação de design; instalação; rastreabilidade; gestão de incidentes; gestão de configurações; gestão de registos; funções e responsabilidades do pessoal e gestão documental.

Devem estar disponíveis, nas várias áreas da IE, registos e procedimentos que descrevam o sistema informatizado.

A documentação completa de validação e operação de um sistema informatizado deve estar disponível durante todo o estudo até que este termine e seja arquivado.


Gestão do risco

A gestão do risco deve ser aplicada ao longo do ciclo de vida de um sistema informatizado levando em consideração a necessidade de garantir a integridade dos dados e a qualidade dos resultados do estudo.

A gestão do risco consiste na identificação do risco, avaliação do risco, mitigação do risco e controlo do risco.

A avaliação dos riscos deve ser utilizada para desenvolver uma estratégia de validação adequada.

A avaliação dos riscos de sistemas informatizados que são utilizados tanto para estudos BPL como para estudos não BPL deve incluir um estudo de impacto das atividades não BPL nas atividades BPL.


Validação

Fase de Projeto

Os sistemas informatizados devem ser projetados de forma a que sejam adequados ao fim a que se destinam, em ambiente BPL, e introduzidos de forma planeada.

A validação tem também como objetivo a confiança nos dados gerados pelo sistema.

A validação e respetiva documentação e relatórios devem abranger as etapas relevantes do ciclo de vida do sistema.


Validação

Fase de Projeto

A validação é necessária, se os sistemas ou os dados forem: diretamente relevantes para submissão

regulamentar indiretamente, como suporte aos dados BPL

relevantes


Validação

Fase de Projeto

Especificações Plano de Validação Validação Relatório da validação

Processo de validação


Validação

Fase de Projeto

Deve haver evidências de que o sistema foi testado de forma a cumprir os critérios de aceitação estabelecidos pela instalação de ensaio antes de ser usado.

Registo de aceitação formal.


Validação / Qualificação

Fase de Projeto

A qualificação formal, em vez da validação, pode ser aceitável para os sistemas comerciais, equipamentos automatizados de baixa complexidade ou sistemas pequenos.

Exemplos: pipetas eletrónicas, balanças, fotómetros, arcas congeladoras, frigoríficos.

A AIE deve definir critérios para decidir quando aplicar a

validação e / ou qualificação do sistema.


Controlo de alterações durante a fase de validação

Fase de Projeto

Durante toda a fase de validação deve existir um processo de controlo de alterações e gestão de desvios.

A documentação deve incluir registos de controlo de alterações e relatórios de todos os desvios observados durante a fase de validação.


Descrição do sistema

Fase de Projeto

A descrição do sistema deve estar disponível com a informação: - componentes físicos - fluxos de dados - interfaces com outros sistemas ou processos - todos os pré-requisitos de hardware e software - medidas de segurança. Uma descrição atualizada do sistema deve ser mantida ao longo do ciclo de

vida do sistema.


Requisitos específicos do utilizador

Fase de Projeto

São de elevada importância para todas as atividades de validação e devem existir para todos os sistemas informatizados relevantes em BPL.

Devem descrever as funções de um sistema e devem basear-se nos manuais dos equipamentos e nos regulamentos/normas aplicáveis.

A avaliação inicial de risco deve basear-se nos requisitos específicos de utilizador.

Se um sistema adquirido tiver mais funções do que o necessário, apenas as funções relevantes para as BPL necessitam de ser avaliadas e testadas.


Sistema de gestão da qualidade e procedimentos de suporte

Fase de Projeto

O desenvolvimento e o processo de validação de um sistema informatizado devem estar em conformidade com um sistema de gestão da qualidade e de preferência de acordo com um referencial normativo aplicável.

Se um sistema for desenvolvido por um fornecedor, é da responsabilidade da AIE avaliar o sistema de gestão da qualidade do mesmo.


Sistemas personalizados Fase de Projeto

Sistemas desenvolvidos para um uso específico por uma IE particular

Podem ser configurados ou codificados para um ou mais estudos BPL

Risco maior, devendo haver um processo para a validação que assegure a avaliação formal

Contrato entre o fornecedor do sistema e a AIE que descreva as funções e as responsabilidades


Teste

Fase de Projeto

O teste deve ser realizado para garantir que o sistema cumpre os requisitos predefinidos e deve ser seguido pela aceitação do utilizador.

Os procedimentos devem descrever como os testes são conduzidos e definir claramente as funções e as responsabilidades pela realização dos mesmos.

A AIE deve garantir que todos os sistemas sejam testados e avaliados e que os testes sejam adequados para realizar o estudo BPL.

A AIE deve manter as evidências dos testes realizados, independentemente

destes terem sido feitos pela instalação de ensaio ou pelo fornecedor.

Os procedimentos de controlo de alterações devem ser aplicados quando necessário, durante a realização dos testes.


Migração de dados

Fase de Projeto

A migração de dados pode ocorrer no decurso de um estudo BPL ou após o estudo ter sido finalizado.

A migração de dados deve ser parte do processo de

validação caso os dados sejam relevantes para o estudo BPL.

Quando os dados eletrónicos são transferidos de um sistema para outro, o processo deve ser documentado.

É da responsabilidade da AIE garantir e demonstrar que os dados não são alterados durante o processo de migração.

Os dados migrados devem permanecer utilizáveis e devem reter o seu conteúdo e significado, assim como as assinaturas eletrónicas devem ser asseguradas .


Intercâmbio de dados Fase de Projeto

Comunicações relacionadas com os sistemas informatizados:

• entre computadores

• entre computadores e componentes periféricos

Todas as ligações de comunicação são fontes de erro

• Podem resultar na perda ou corrupção de dados

Controlos adequados devem ser abordados durante o desenvolvimento, validação, operação e manutenção

• A troca eletrónica de dados entre sistemas deve incluir verificações internas apropriadas


Verificações manuais ou automáticas

Fase Operacional

Todos os sistemas informatizados devem ser operados e mantidos de forma a garantir a continuidade da sua validade.

A AIE deve ter conhecimento de todos os dados relevantes para as BPL inseridos manualmente ou através dos sistemas eletrónicos.

É responsabilidade da AIE controlar adequadamente qualquer sistema eletrónico de entrada de dados independentemente da sua complexidade.

As estratégias de mitigação de riscos devem ser descritas e implementadas.

Isso pode resultar na necessidade de verificações manuais e / ou eletrónicas adicionais, dos dados inseridos, por um segundo operador ou sistema eletrónico.


Armazenamento de dados

Fase Operacional

Os requisitos para back-up e arquivo devem ser definidos para o armazenamento eletrónico dos dados.

Os dados armazenados devem ser protegidos por meios físicos e eletrónicos contra perdas, danos e alterações.

As alterações no sistema de hardware e software devem permitir o acesso contínuo e a retenção dos dados sem qualquer risco para a integridade dos dados.

A AIE deve conseguir identificar os registos eletrónicos de qualquer estudo para cada sistema informatizado.


Armazenamento de dados

Fase Operacional

A AIE é responsável pelos procedimentos que descrevem como os registos eletrónicos são armazenados, como a integridade dos registos está protegida e como a legibilidade dos registos é mantida.

Para qualquer período de tempo BPL: - controlo de acesso físico aos meios de armazenamento eletrónicos - controlo de acesso eletrónico a registos armazenados - proteção física dos meios de armazenamento - proteção dos registos eletrónicos armazenados - garantir a acessibilidade e a legibilidade dos registos eletrónicos

O armazenamento de dados deve ser considerado durante a fase de estudo e período de arquivo.


Impressões Fase Operacional

Se os dados são impressos para representar os dados em bruto…

…todos os dados eletrónicos

- dados derivados

- metadados

- informações sobre as alterações realizadas

devem ser impressos.


Registo automático das atividades

Fase Operacional

Um registo automático fornece evidências documentais de atividades

que afetaram o conteúdo ou o significado de um registo num período de tempo específico.

A capacidade de fazer modificações nas configurações do registo automático deve ser restrita a pessoal autorizado.

O sistema deve poder destacar as alterações feitas nos dados inseridos anteriormente.

As entradas originais e modificadas devem ser mantidas pelo sistema.

Os dados originais devem ser armazenados em conjunto com os dados modificados.


Gestão das alterações e das configurações

Fase Operacional

O AIE deve ter procedimentos apropriados para a gestão das configurações e alterações na fase operacional, aplicados ao hardware e ao software.

Os procedimentos de controlo de alterações devem definir claramente funções e responsabilidades e devem garantir a integridade dos dados.

A configuração de um sistema informatizado deve ser conhecida em qualquer ponto durante o seu ciclo de vida, dentro do sistema BPL.

Podem ser necessárias alterações em resposta a incidentes ou a fins específicos da instalação / estudo.

Após alteração ou reparação, a validade do sistema deve ser verificada e documentada.


Revisão periódica Fase Operacional Sistemas informatizados devem ser revistos periodicamente

• permanecem num estado validado

• são compatíveis com o sistema BPL

• cumprem os critérios de desempenho definidos

Revisão:

• funcionalidade, registos de desvios, incidentes, histórico de atualizações, desempenho, fiabilidade, segurança

A frequência da revisão periódica deve ser determinada com base numa avaliação de risco considerando a complexidade do sistema

• As responsabilidades do pessoal envolvido nas revisões periódicas dos sistemas informatizados devem ser definidas

Sistemas computadorizados de menor complexidade podem ser excluídos da revisão se se justificar com base na avaliação do risco.


Fase Operacional Segurança e integridade de dados

Devem ser implementados procedimentos de segurança autorizados pela AIE para proteção do hardware, software e dados contra a corrupção, modificação não autorizada ou perda.

Os métodos de controlo adequados para prevenir o acesso físico não autorizado ao sistema podem incluir o uso de chaves, cartões de passagem, códigos pessoais, dados biométricos ou acesso restrito a equipamentos informáticos específicos.

A criação, alteração e cancelamento de autorizações de acesso devem ser registados.

A integridade dos dados é um dos principais objetivos dos Princípios BPL. A AIE deve garantir que o pessoal tenha conhecimento da importância da segurança dos dados e dos procedimentos disponíveis.


Fase Operacional Segurança e integridade de dados

Os sistemas de dados e de armazenamento de documentos devem ser desenhados para registar a data, hora e identidade dos operadores que entram, alteram, confirmam ou excluem dados.

Uma política de autorização adequada deve especificar os direitos de acesso eletrónico aos domínios, computadores, aplicações e dados, em conformidade com os requisitos específicos de um estudo BPL.

Os direitos de administrador não devem ser dados a pessoas com potencial interesse nos dados.


Gestão de incidentes

Fase Operacional

Durante a operação diária do sistema, os registos de quaisquer problemas ou inconsistências detetados devem ser mantidos e deve ser realizada uma ação corretiva.

• O DE, a AIE, a GQ e, se for caso disso, o patrocinador devem ser informados sobre incidentes que necessitem de medidas corretivas.

O DE é responsável por definir a criticidade dos incidentes e avaliar o impacto no estudo.

• Os registos de incidentes devem ser mantidos com a documentação do sistema e arquivados. O tratamento deve fazer parte de uma avaliação periódica do sistema.


Assinatura eletrónica

Fase Operacional

Os registos eletrónicos podem ser assinados eletronicamente, através da assinatura eletrónica.

As assinaturas eletrónicas devem: - ter os mesmos efeitos legais do que uma assinatura manuscrita, pelo menos dentro da IE; - estar permanentemente vinculada ao respetivo (s) registo (s); - incluir a data e hora em que foram aplicadas; - permitir a identificação do signatário.


Assinatura eletrónica

Fase Operacional

O pessoal autorizado a assinar eletronicamente deve ser claramente identificado.

A utilização de palavra passe deve ser considerada como um requisito mínimo para uma assinatura eletrónica.

A AIE deve garantir a existência de uma política de assinatura eletrónica, descrita nos procedimentos do sistema, a fim de assegurar o uso adequado e a manutenção das funções de assinatura eletrónica de um sistema informatizado.


Aprovação dos dados

Fase Operacional

Se um procedimento incluir um processo de aprovação eletrónica de dados, a função de aprovação de dados deve ser incluída como parte da validação do sistema.

O processo de aprovação deve ser descrito nos procedimentos da instalação e ser realizado eletronicamente dentro do sistema.


Fase Operacional Arquivo

Todos os dados relevantes em BPL podem ser arquivados eletronicamente.

Os dados eletrónicos são armazenados com os mesmos níveis de controle de acesso, que os dados não eletrónicos.

O arquivista deve controlar a atribuição do acesso “só de leitura” aos dados eletrónicos arquivados.

Os dados eletrónicos devem ser acessíveis e legíveis, e a sua integridade deve ser mantida, durante o período de arquivo.


Fase Operacional

Arquivo

O arquivo eletrónico deve ser considerado como um procedimento independente e deve ser validado adequadamente.

Os procedimentos devem ser implementados para garantir que a integridade a longo prazo dos dados armazenados eletronicamente não seja comprometida.

Se um registo assinado eletronicamente for arquivado eletronicamente, a sua integridade deve ser assegurada para o período de tempo relevante.


Fase Operacional Arquivo

A avaliação de risco, o controlo de alterações, a gestão da configuração e os testes devem ser considerados como procedimentos relevantes quando as alterações no sistema de arquivo são necessárias.

No relatório do estudo, o DE deve identificar todos os dados eletrónicos relevantes em BPL que estão sujeitos ao arquivo eletrónico e à localização do arquivo eletrónico.

Nenhum dado armazenado eletronicamente deve ser destruído sem autorização da AIE e, quando aplicável, a autorização do patrocinador.


Assegurar a continuidade no caso de falha do sistema

Fase Operacional

Devem ser tomadas medidas para garantir a continuidade do suporte para os sistemas informatizados que são utilizados para processos relevantes em BPL em caso de falha do sistema.

Devem existir procedimentos que descrevam as medidas a serem tomadas em caso de falha parcial ou total de um sistema informatizado.

O pessoal BPL deve ter conhecimento destes procedimentos que incluem os planos de contingência.

Os procedimentos para a recuperação de um sistema informatizado devem depender da criticidade do sistema, mas é essencial que existam backup de todos os softwares.


A descontinuidade do sistema deve ser considerada como uma fase do ciclo de vida do sistema.

Deve ser planeada, baseada na

avaliação do risco e documentada. Se a migração ou o arquivo de dados

relevantes para o sistema BPL forem necessários, os riscos de perda ou alteração dos dados devem ser excluídos.

Fase de descontinuação


Muito Obrigada!

aplicação dos princípios bpl aos sistemas informatizados · application of glp principles to...

Documents