Enfoque CSV - Revisión del Anexo 11 UE GMP

por: Ilic Colangelo, CQV, CSV/CSA & Data Integrity Expert Engineer @PQE Group

Introducción

El Anexo 11 ofrece directrices sobre Buenas Prácticas de Fabricación de la Unión Europea (Good Manufacturing Practices, GMP) de productos médicos. La versión actual se aprobó en 2011 y se actualizará con el fin de añadir principios detallados para más áreas relevantes aún sin cubrir, ya que no solo se ha producido un aumento del uso de sistemas informatizados, sino también un progreso importante en el uso de nuevas tecnologías (es decir, algoritmos de Inteligencia Artificial y Machine Learning dentro del software GxP).

La validación de sistemas informatizados (CSV) es una parte esencial de la industria farmacéutica: garantiza que los productos sean seguros, eficaces y cumplan las normas de calidad exigidas.

Computerised System Validation Approach_Site Banner

Los requerimientos regulatorios comúnmente definidos en un enfoque de validación basado en el riesgo son las disposiciones establecidas por las reglas CFR 21 Parte 11 y UE cGMP Anexo 11, por lo que se espera que la próxima versión del Anexo 11 afecte la estrategia de validación, los entregables relacionados y los criterios de aceptación de las pruebas.

El objetivo de este artículo es describir las mejoras introducidas por la revisión del Anexo 11 (ver Documento conceptual sobre la revisión del Anexo 11 de las directrices sobre GMP para productos médicos - Sistemas Informatizados) y las posibles implicaciones relacionadas con el enfoque de validación basado en el riesgo, con el fin de asegurar el cumplimiento del sistema para los siguientes temas:

  • Especificaciones de Requerimientos del Usuario (ver sección 4.4, Anexo 11)
  • Comprobaciones de precisión (ver  sección 6, Anexo 11)
  • Audit Trail (ver sección 9, Anexo 11)
  • Seguridad de los datos (ver sección 12, Anexo 11)

Especificaciones de Requerimientos del Usuario 

La nueva versión describirá más claramente las funciones requeridas del sistema (basadas en una evaluación de riesgos y un impacto GxP) que se incluirán en el documento URS (o documento similar): los requerimientos deben detallar y reflejar los procesos empresariales y/o de producción a los que da soporte el sistema, incluyendo las funcionalidades críticas GMP. Las especificaciones de los requerimientos del usuario no solo deben ser trazables a lo largo del ciclo de vida del sistema, sino que también deben mantenerse o actualizarse en caso de modificaciones del sistema (por ejemplo, mediante la gestión del control de cambios y la evaluación del impacto).

Además, la trazabilidad entre los requerimientos del usuario, las especificaciones funcionales y las actividades de prueba debe documentarse y mantenerse actualizada.

Las actualizaciones mencionadas anteriormente para la especificación de requerimientos del usuario pueden afectar los siguientes entregables de validación:

  • Especificaciones de los requerimientos del usuario (por ejemplo, actualización de los requerimientos de integridad, como los relacionados con la sección 4.4 del Anexo 11).
  • Evaluación de riesgos del sistema (por ejemplo, adición de nuevos escenarios de riesgo o potenciales fallos relacionados con los requerimientos de usuario afectados).
  • Matriz de trazabilidad (por ejemplo, adición de la trazabilidad entre la especificación de requisitos del usuario y las especificaciones funcionales, de configuración y de diseño).

Comprobaciones de precisión 

La verificación de precisión consiste en una verificación adicional (manual y/o automática) realizada por un segundo operador/supervisor o dispositivo/sistema validado para datos ingresados manualmente que se consideran críticos para el proceso GMP (por ejemplo, parámetros instrumentales, de método o receta). La próxima versión incluirá directrices útiles para clasificar mejor la criticidad de los datos y sistemas.

Las actualizaciones mencionadas anteriormente para Comprobación de Precisión podrían afectar los siguientes entregables de validación:

  • Especificaciones de los requerimientos del usuario (por ejemplo, actualización de los requerimientos de integridad, como los relacionados con la sección 6 del Anexo 11).
  • Evaluación de riesgos del sistema (por ejemplo, adición de nuevos escenarios de riesgo o fallos potenciales relacionados con los requerimientos de usuario afectados).
  • Scripts de prueba IQ/OQ (por ejemplo, actualización de la verificación de la comprobación de precisión y adición de una evaluación de criticidad de los datos/parámetros del sistema en función de una evaluación de riesgos).

Audit Trail

La versión revisada describirá más adecuadamente qué debe rastrear un Audit Trail del sistema y cómo revisarlo. Además, el Audit Trail debe estar siempre activado y bloqueado y no debe existir la posibilidad de desactivar la funcionalidad, ni de borrar o modificar (sin rastro) la información relevante. En caso de que las opciones de desactivación y/o edición estén disponibles, sólo los administradores del sistema (no implicados en el proceso GMP) deberían tener acceso. Se añadirán nuevas directrices detalladas sobre la frecuencia de revisión de Audit Trail de acuerdo con el siguiente principio: cuanto mayor sea la criticidad del sistema, con mayor frecuencia deberán revisarse.

Las actualizaciones mencionadas de las pistas de auditoría podrían afectar a los siguientes documentos de validación:

  • Especificaciones de requerimientos de usuario (por ejemplo, actualización de los requerimientos de trazabilidad como los relacionados con la sección 9 del Anexo 11).
  • Evaluación de riesgos del sistema (por ejemplo, adición de nuevos escenarios de riesgo o fallos potenciales relacionados con los requerimientos de usuario afectados).
  • Scripts de prueba IQ/OQ (por ejemplo, inclusión de comprobaciones adicionales de la funcionalidad Audit Trail y verificación de la trazabilidad para todos los pasos de prueba relevantes relacionados con la creación/modificación de registros electrónicos, cuentas de usuario, grupos y/o privilegios).

Seguridad de datos

La versión actualizada será más detallada sobre los controles de seguridad (es decir, físicos y lógicos) que deben aplicarse (por ejemplo, medidas de seguridad adicionales como autenticación multifactor, gestión de plataforma, etc.) para garantizar el acceso al sistema solo a usuarios autorizados. En particular, no se aceptará el uso exclusivo de “tarjetas de acceso” porque podrían perderse o compartirse entre diferentes usuarios. En estos casos, dependiendo de la criticidad del sistema, se recomienda el uso de un método de autenticación multifactor.

A la hora de diseñar y configurar los grupos de usuarios del sistema y los privilegios correspondientes, deben tenerse en cuenta los principios de "segregación de funciones" y "privilegio mínimo". Además, la creación, modificación y cancelación de las autorizaciones de acceso no solo deben registrarse (por ejemplo, dentro del registro de acceso) sino que también deben revisarse con frecuencia dado que las personas pueden asumir o cambiar sus funciones dentro de la empresa o renunciar a su trabajo.

Las actualizaciones de la seguridad de los datos antes mencionadas podrían afectar los siguientes entregables de validación:

  • Especificaciones de configuración y diseño (o documento similar) (por ejempo, adición de nuevos parámetros de seguridad, como complejidad e historial de contraseñas y funciones de autenticación multifactor).
  • Especificaciones de los Requerimientos del Usuario (por ejemplo, actualización de los requerimientos de seguridad como los relacionados con las secciones 12.1 y 12.3 del Anexo 11).
  • Evaluación de riesgos del sistema (por ejemplo, adición de nuevos escenarios de riesgo/fallos potenciales relacionados con los requerimientos de usuario afectados).
  • Scripts de prueba IQ/OQ (por ejemplo, actualización de la política de contraseñas, perfil y privilegios de usuario y verificaciones de control de acceso, incluida la verificación de trazabilidad relacionada con la modificación de la configuración de contraseñas).

Conclusiones

La última vez que se actualizó el Anexo 11 para incluir nuevas directrices sobre Validación de Sistemas Informatizados, supuso un impacto significativo en el enfoque de validación y en los entregables pertinentes.

La revisión del Anexo 11 será crucial y pondrá en práctica muchos comentarios recibidos de usuarios y proveedores regulados con el fin de aclarar mejor la normativa aplicable actual. Se espera que las directrices introduzcan más "herramientas" y recomendaciones para garantizar la conformidad del sistema con los requerimientos de calidad, seguridad, integridad, trazabilidad y responsabilidad desde una perspectiva de validación. Por último, teniendo en cuenta que han pasado (relativamente) muchos años desde que se actualizó el Anexo 11, se espera que el impacto sobre el enfoque de validación del sistema y los resultados relacionados sea importante, en función de las mejoras y los detalles que se proporcionarán en las nuevas directrices.

¿Estás listo para la revisión del Anexo 11 UE GMP?

PQE Group puede ayudar a tu empresa a alcanzar el cumplimiento normativo de tus productos, así como a implantar las nuevas normativas.

Contacta con nuestro equipo o visita nuestra página sobre CSV / Data Integrity para obtener más información.


Data Integrity