新的《数据完整性指南》对“近年,在 GMP、GCP 和 GLP 检查中,数据完整性、文件记录管理规范性方面的缺陷数量大大上升。”这一问题进行了原因分析。
可能原因:
(1)太过依赖人员操作;
(2)使用了未进行恰当管理和验证的计算机化系统;
(3)未充分审核和管理原始数据与记录。
同时指出降低此类风险需要有质量风险管理(QRM)、控制策略和科学合理原则。
控制实例包括但不仅限于:
制订和实施 DI 方针;
制订和实施有利于符合 DI 要求和预期的程序;
在公司内推行质量文化,鼓励员工坦白失败,包括报告机制;
应用 QRM,通过数据完整性风险评估(DIRA)识别所有领域的 DI 风险,在数据整个生命周期中实施适当控制消除或降低风险至可接受水平;
确保有足够的资源监测 DI 方针以及程序和流程遵守情况,促进持续改进;
为员工提供必要的培训,如,优良规范(GXP)、计算机化系统和 DI;
根据其既定用途实施和验证计算机化系统;
作为合同委托方或接受方签署的质量协议和合同中适当角色与职责的定义和管理。
新的《数据完整性指南》还提到,根据 GMP 中的当前方法,建议对数据生命周期采取基于风险的方法,应执行 DIRA 以识别和评估风险领域。
数据完整性的原则适用于合同委托方和合同受托人。合同委托方最终对合同受托方提供给他们的数据的完整性负责,合同委托方因此应确保合同受托方遵守数据完整性原则。
数据治理方案应包括处理数据管理的政策和程序。
有效数据治理的要素应包括:
管理监督和承诺;
使用质量风险管理;
良好的数据管理原则;
质量量度和绩效指标;
验证;
变更管理;
安全和访问控制;
配置控制;
防止来自商业、政治、财政和其他组织的压力;
防止可能对工作质量和完整性产生不利影响的奖励措施;
充足的资源、系统;
工作负荷和设施,以促进支持 DI 和有效控制的正确环境;
监测;
记录保存;
培训;
了解 DI、产品质量和患者安全的重要性。
如果发现 DI 的缺陷,则应在所有相关活动和系统中实施适当的纠正和预防措施 (CAPA),而不是孤立地实施。
记录(纸质和电子)方式包括但不限于:
限制更改记录事件的日期和时间的能力;
使用受控文档和表单记录 GXP 数据;
控制空白纸模板的发放;
制定对自动化系统的访问和权限;
激活审计追踪;
尽可能在生产和质量控制中使用与设备和仪器相连的自动数据采集系统和打印机;
确保打印机靠近相关活动地点;
确保负责审查和检查数据的人员能够访问原始电子数据。
该指南强调了管理审评对数据完整性治理的重要性。应在定期管理审查会议上报告遵守 DI 政策和程序的情况,管理审评对数据完整性实施的控制的有效性应根据质量量度和绩效指标进行衡量。
具体应包括例如:
数据的跟踪和趋势;
DI错误率;
审查审计追踪,例如生产、质量控制、GLP、个案报表和数据处理;
日常审计和/或自查,包括DI和电脑系统;
外包工厂(合同受托方)的DI错误率。
关于外包活动,书面协议中应明确说明每一方(合同委托方和合同受托方)的活动和责任,应特别注意确保符合 DI 要求。
在定期现场审计期间,应确认对规则和责任的遵守情况。这应包括审查受托方与合同委托方产品或服务相关的程序和数据(包括原始数据和元数据、纸质记录、电子数据、审计跟踪和其他相关数据)。
应该有一个文件系统定义计算机系统用户的访问和权限。
应任命有限数量的人员(在数据方面没有利益冲突)作为系统管理员。某些权限(如数据删除、数据库修改或系统配置更改)不应毫无理由地分配给管理员。
数据传输不应导致对数据的内容或含义进行任何更改。应在审核跟踪中跟踪传输。
应验证数据传输。
如果使用附加软件或遗留系统(没有审计追踪),则可对定义的临时期间采取缓解措施。这一问题应在规定的时间表内解决。
备份和恢复过程应进行验证和定期测试,包括验证数据大小、数据和元数据的完整程度和准确性。
数据和元数据应在数据的生命周期内可读。风险包括缩微胶片记录褪色、光盘 (CD) 和数字多功能/视频磁盘 (DVD) 等光学介质涂层的可读性降低,以及这些介质可能变脆这一事实。同样,由于变质,存储在磁性介质上的历史数据也会随着时间的推移变得不可读。
数据和记录应在适当条件下以适当方式存储。
