ראשית דבר נרצה לחשוף את הקוראים המבינים יותר והמבינים פחות למושג ה-CFR. מה זה בעצם CFR? קיצור של Code of Federal Regulation, מכיל בתוכו את מערכת החוקים של מדינת ארה"ב ומחולק ל 50 כותרים ( Titles) כדוגמת:
Title 16: Commercial Practices, Title 17: Commodity and Securities Exchanges ,Title 18: Conservation of Power and Water Resources etc…
בהקשר לעניינו CFR-21 הוא קובץ הנחיות המתייחס לרישומים האלקטרוניים והחתימה האלקטרונית במערכות אוטמציה ובקרה. תעשייני הפארמה מכירים את קובץ הנחיות זה טוב מאוד והוא משמש כמרכיב עיקרי במלאכת הואלידציה של מערכות מפוקדות. קיימים מס' חברות בקרה בארץ אשר מספקות שירותי ואלידציה אשר מתמחות בסעיף זה, אחת מהמובילות בתחום היא חברת סמארט לוג'יק
כפי שנאמר קודם 21 CFR PART 11 מכיל חוקים למערכות ממוחשבות בכל הנוגע ל FDA. תפקידו העיקרי- להמנע בשימוש בנייר, על ידי הסתמכות על המערכת הממוחשבת.
למה אנחנו צריכים את זה?
בכדי להיות שחקן בזירת השוק המזון והתרופות האמריקאי אחת הדרישות ההכרחיות היא הוכחת קיום הדרישה על ידי מערכת הבקרה הממוחשבת. בכדי להוכיח את קיום דרישות אלה המערכת לעבור סדרה של בדיקות איכות במסגרת תהליך "אימות"-ואלידציה. ניתן לראות באיור המצורף דוגמא סכמתית לתהליך הואלידציה.
חשוב להבין את מהות הואלידציה, המרת המערכת לתמיכה בסעיף 21 CFR 11 לכשעצמה אינה מספיקה. בכדי שהמערכת תהיה בעלת אישור ה-FDA יש לצרף למערכת את תיק הולידציה לאות הוכחה והכרה.
הדרישות הבסיסיות להכרה ב- CFR 11 היא בחירה במערכת ממשק משתמש תומכת, פיתוחה על ידי שימוש בכללים המופיעים בתקן וכאמור ביצוע ואלידציה וצירוף תיק הואלידציה עצמו.
כמו בצבא, ניתן לחלק את סדרת התקנות לשלושה חלקים:
Sub-Section a – הגדרות כלליות
החלק הראשון מתייחס להגדרות כלליות, השני לרשומות אלקטרוניות והשלישי לחתימה אלקטרונית.
החלק הראשון מכיל תת סעיפים אשר מפרטים את היקף המסמך ( Scope 11.1) מה דרוש ליישום ( Implementation 11.2) והנחיות והגדרות לשימוש בו ( 11.3 Definitions).
בין הסעיפים העיקריים: מה נחשב לרשומה אלקטרונית ומה נחשב לביומטריה.
רשומה אלקטרונית ( Electronic Record): כל שימוש בטקסט, גרפיקה, נתונים, שמע, או כל ייצוג מידע אחר בצורה דיגיטאלית שנוצר על ידי מערכת מחשב.
חתימה אלקטרונית (Electronic Signature): סימן או רצף של סימנים אשר בעזרתם ניתן לקשור את החותם , ובעזרתה יכולה להחליף חתימה בכתב יד.
חתימה דיגיטלית (Digital Signature): חתימה אלקטרונית המבוססת על שיטת הצפנה ואשר מקיימת את סט החוקים שנקבעו על מנת שתהיה מאושרת בעזרתה ניתן לאמת את החותם ואת אמינות הנתונים.
שתיים מההגדרות הקריטיות המוזכרות בחלק זה אשר רלוונטיות לעמידה בתקן CFR 11 הן הגדרות המערכת הסגורה והפתוחה.
מערכת סגורה: סביבה שבה הגישה אליה מבוקרת באמצעות אדם אשר אחראי לרשומות האלקטרוניות שנמצאים במערכת.
מערכת פתוחה: סביבה שבה הגישה אינה מבוקרת באמצעות אדם אשר אחראי לרשומות האלקטרוניות שנמצאים במערכת.
Sub-Section B – Electronic Records – רשומות אלקטרוניות
החלק הטכני והאופרטיבי – מה דרוש על מנת שהמערכת תהיה מאושרת. ההנחיה הראשונה מתייחסת להנחיה לביצוע, לאמור סט של פעולות אשר יבטיחו את אמינות הנתונים ואמינות החותם על מנת שלא יוכל להתכחש לפעולותיו.
התת תקנה הראשונה (a ) מתייחסת לאימות של המערכות עצמם, או יותר נכון על הצורך באימות. אין זה מספיק שהמערכת תענה על דרישות התקן עצמם אלא יש צורך בהבאת הוכחה דרך תיק ואלידציה אשר יכיל את נתוני עמידת המערכת בתנאים דרך סט של בחינת התקנה וביצועים איכותית.
תת תקנה (b ) מתייחסת לכך שהמערכת חייבת להיות בעלת יכולת ייצוא הרשומות בצורה קריאה דהיינו יכולת הדפסה, מערכת דוחות או גרפים אשר ביכולתם לייצא את הנתונים בצורה מדוייקת (שכפול אחד לאחד) לצורך בדיקה של הרשות.דרישה זו היא גם דוגמה טובה לכך שהתת תקנות אינם באות רק להקשות על בעל המפעל אשר פניו לאישור המערכת שלו אלא גם מבטיחות ייצור אחראי ומבוקר אשר ללא משאיר מקים לספקות בנוגע לביצועי אמת של המערכת והתהליך.
תת תקנה ( c ) מתייחסת לכך שעל המערכת קיימת הדרישה לא רק להציג את הרשומות אלא גם להוכיח שהרשומות מוגנות, קיימת אפשרות לאחזר הנתונים ושלא ניתן לגשת אל המידע משום מקום אחר. במילים אחרות להוכיח את שרידות הנתונים ולהראות שבכל שלב ניתן לאחזר את הנתונים.
תת תקנה ( d ) מתייחסת להגבלות המערכת על המשתמשים לפי רמות הרשאה. על מנת לוודא את אמיתות מסד הנתונים של המערכת, עליה להיות גם בעלת יכולת ניהול הרשאות מסודר ומתועד ושכל רמת הרשאה תהיה מוגבלת בביצוע מה שיושם לה. ניתן ליישם את דרישה בקלות לפי השימוש במושג 'טבלאת אמת' אשר תסכם את היררכיית חופש הפעולה של סוגי המשתמשים.
תת תקנה (e ) מתייחסת למושג מאוד מרכזי בעולם הולידציה הלוא הוא ה- Audit-trail ,בפירוש חופשי וכללי של מושג זה ניתן להגדירו לפי הדרישה אשר אומרת כי כל רשומה אשר נעשתה במערכת חייבת להיות מעוגנת בתאריך אוטומטי. כל שינוי, עדכון, מחיקה של רשומה על ידי מפעיל חייבת להיות מתועדת. כמו כן יש לוודא ששינויים חדשים לא ימחקו את התיעוד של השינויים הקודמים. סעיף זה הוא קריטי ביותר לולידציית המערכת במובן הזה שהוא לא משאיר כל מקום לאי ודאות, לכל שינוי ערך או הרמת התראה יש פירוט ואין החסרה של נתונים הן מהמפעילים והן מאיש הביקורת. רק בכדי להדגים את חשיבות התקנה, על מסד הנתונים לאפשר שחזור נתונים של עד 7 שנים אחורה.
מעבר לדרישת הגנת הרשומות, תת חלק 2 מתייחס גם לצורך שהמערכת תגיב אוטומטית על מנת לדאוג שהתפ"מ המורשה יעבוד כמתוכנן. תת תקנה (f) באה לאמר שמעבר לפעילות התקנית של מערכת הבקרה, עליה גם להיות בתאימות מלאה למסמכי התכנון המקדימים (FDS (. בדרך כלל, כאשר מדובר בתעשייה התהליכית תת תקנה (f) משחקת שחקן מרכזי בתיק הואלידציה ובתכנון הבקרה עצמה. מעבר לתאימות למסמכי התכנון, יישום תקנה זו בממשק המשתמש גם באה לידי ביטוי בכך שהמערכת תאכוף החלת סיסמאות לכל שינוי וקביעת גבולות נקודות עבודה ריאליות ביחס ל- FDS.
Sub-Section C – Electronic Signatures
תת חלק זה מתייחס לתקנות הנדרשות על מנת שהמערכת תהיה מאושרת לשימוש בחתימות דיגטליות. מאחר והדרישות לבדיקה ארוכות מאוד 99% מהלקוחות מעדיפות לא להשתמש בחתימות דיגטליות.