GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS

Página creada Pablo Riberas
 
SEGUIR LEYENDO
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
Nos aseguramos de que
JORNADAS DE REFERENCIA 2021. CENTRO NACIONAL DE ALIMENTACIÓN.
                                                                    su confianza en los
                                                                  productos y servicios
                                                                        esté justificada

         GUIA     PARA      EL
         ASEGURAMIENTO DE LA
         INTEGRIDAD DE DATOS
            G-ENAC-24 Rev.2
    Departamento Agroalimentario y BPL.
    Majadahonda, 09 de junio de 2021.
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
ENAC   ¿POR DÓNDE EMPIEZO …?
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
GUIA PARA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS

              PROGRAMA
▪ PARTE I                                    ▪ PARTE II

1. INTRODUCCIÓN                              ANEXO I: INTEGRIDAD DE DATOS: UNE-EN
                                             ISO/IEC 17025
❖ OBJETO Y ÁMBITO.
❖ REFERENCIAS NORMATIVAS.                    1. ORGANIZACIÓN Y PERSONAL.
❖ TÉRMINOS Y DEFINICIONES.
                                             2. INSTALACIONES Y EQUIPOS.
2. PRINCIPIOS Y EXPECTATIVAS
                                             3. PROCESOS DEL LABORATORIO.
❖ CICLO DE VIDA.
❖ MEDIDAS PARA GARANTIZAR INTEGRIDAD DE
                                             4. CONTROL DE LOS DATOS Y SISTEMAS DE
  DATOS.
❖ RECOMENDACIONES DE CARÁCTER GENERAL.       GESTIÓN.
❖ RECOMENDACIONES ADICIONALES PARA GESTIÓN
  DE SISTEMAS INFORMATIZADOS.
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
Nos aseguramos de que
                                   su confianza en los
                                 productos y servicios
                                       esté justificada

   PARTE I

1. INTRODUCCIÓN
2. PRINCIPIOS Y EXPECTATIVAS
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
1.INTRODUCCIÓN
❖OBJETO
➢GUIAR
➢AYUDAR
❖ÁMBITO
➢DATOS GENERALMENTE ASOCIADOS A:

✓   SISTEMAS INFORMÁTICOS PARA EL PROCESADO Y GESTION DE DATOS.

✓   EQUIPOS QUE GENERAN DATOS PRIMARIOS.

✓   REGISTROS EN PAPEL (HOJAS DE TRABAJO).

✓   INFORMACION ARCHIVADA EN SOPORTE ELECTRÓNICO O PAPEL.
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
❖REFERENCIAS NORMATIVAS
✓ 21 CFR PART 11: ELECTRONIC RECORDS; ELECTRONIC SIGNATURES (1997).

✓ UNE-EN ISO/IEC 27000 “TECNOLOGÍAS DE LA INFORMACIÓN. SISTEMAS DE GESTIÓN
  DE LA SEGURIDAD DE LA INFORMACIÓN. VISIÓN DE CONJUNTO Y VOCABULARIO”.

✓ FDA: DATA INTEGRITY AND COMPLIANCE WITH CGMP. Q&A, GUIDANCE FOR
  INDUSTRY (2018).
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
❖ TÉRMINOS Y DEFINICIONES
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
2. INTEGRIDAD DE
DATOS: PRINCIPIOS Y
EXPECTATIVAS
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
CICLO DE VIDA
GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
MEDIDAS PARA GARANTIZAR LA INTEGRIDAD DE DATOS

 • TECNOLÓGICAS
 • OPERATIVAS
 • ORGANIZATIVAS
DOCUMENTAR

                   EVITAR TRANSCRIPCIONES      RECOMENDACIONES        DE
                                               CARÁCTER GENERAL PARA
ASEGURAR LEGIBILIDAD DE LOS                    LA INTEGRIDAD DE DATOS
DATOS A LO LARGO DE TIEMPO

                     REALIZAR MODIFICACIONES
                     TRAZABLES AL ORIGINAL

 EN PROCESO DE REVISIÓN DE DATOS
 INCLUIR REVISION DE DATOS Y
 METADATOS

              DATOS REGISTRADOS ATRIBUIBLES

    TRAZABILIDAD
                           CONSERVACIÓN Y
                             PROTECCIÓN
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS
SISTEMAS INFORMÁTICOS (I)
 DISPONER DE UN LISTADO O INVENTARIO CON INSTRUMENTOS DE MEDIDA QUE
 CAPTUREN O GENEREN DATOS Y SISTEMAS INFORMÁTICOS.

 GESTIÓN DE CAMBIOS EN EQUIPOS, INSTRUMENTOS O SISTEMAS INFORMÁTICOS
 VALIDADOS ORDENADA Y CONTROLADA.

 DEFINIR  RESPONSABILIDADES     APLICABLES   A   SISTEMAS   INFORMÁTICOS.
 VALORACIÓN DE RIESGOS PARA LA INTEGRIDAD DE DATOS Y ACCIONES.

 IDENTIFICACIÓN DE RIESGOS E IMPLEMENTACIÓN DE MEDIDAS DE PROTECCIÓN EN
 EQUIPOS. Ej. ANTIVIRUS, CORTAFUEGOS.
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE
LOS      SISTEMAS       INFORMÁTICOS        (II)

          MECANISMOS DE SEGURIDAD

                                                       FORMACIÓN USUARIOS/
                    DESCONEXÍÓN AL   FUNCIONALIDADES
AUTENTICACIÓN                                          USO SEGURO
                      ABANDONAR        NECESARIAS
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE
LOS      SISTEMAS       INFORMÁTICOS       (III)

      MECANISMOS DE SEGURIDAD (FÍSICA)
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS
SISTEMAS INFORMÁTICOS (IV)

 COPIAS DE SEGURIDAD. ESTABLECIENDO FRECUENCIA Y ALCANCE ACORDE A LOS
 DATOS.

 HERRAMIENTA AUDIT TRAIL.
ESTABLECER MEDIDAS DE CARACTER MANUAL
DOCUMENTADAS:

REGISTROS MANUALES DE ACCIONES REALIZADAS.

REGISTRO DE ACCESOS.

RESTRICCIÓN AL ACCESO A FUNCIONES CRÍTICAS.

MANUAL EQUIVALENTE AL AUDIT TRAIL.
Nos aseguramos de que
                               su confianza en los
                             productos y servicios
                                   esté justificada

  PARTE II

ANEXO I: INTEGRIDAD DE
DATOS:  UNE-EN   ISO/IEC
17025.
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025
1. ORGANIZACIÓN Y PERSONAL. UNE-EN ISO/IEC 17025: APARTADOS 5.5, 5.7, 6.2.5.

1. RESPONSABILIDADES
2. CONTROL DE CAMBIOS

3. FORMACIÓN
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025
 2. INSTALACIONES Y EQUIPOS. UNE-EN ISO/IEC 17025: APARTADOS 6.3.3, 6.4.2, 6.4.4, 6.4.13

1. CONDICIONES AMBIENTALES
Sistema de monitorización ambiental (sistemas SCADA) y dispositivos
móviles (data loggers).

2. EQUIPOS
Listado (elementos de control seguridad y procedimientos de uso).
EQUIPOS
          EJEMPLO DE INVENTARIO
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025
 3. PROCESOS DEL LABORATORIO. UNE-EN ISO/IEC 17025: APARTADOS 7.2, 7.3, 7.4, 7.5, 7.7 y 7.8

1. MÉTODOS

2. IDENTIFICACIÓN DE ITEMS
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025
3. PROCESOS DEL LABORATORIO. UNE-EN ISO/IEC 17025: APARTADOS 7.2, 7.3, 7.4, 7.5, 7.7 y 7.8

3. REGISTROS TÉCNICOS
En registros electrónicos usuario-fecha y hora de cada registro, para
todos los registros modificaciones trazables.
4. ASEGURAMIENTO DE LA VALIDEZ
Datos recuperables para su posterior tratamiento y verificación.
5. INFORME DE RESULTADOS
Medidas de seguridad para transmisión electrónica.
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025
4. CONTROL DE LOS DATOS Y SISTEMAS DE GESTIÓN. UNE-EN ISO/IEC 17025: APARTADO 7.11

1. CONTROL DE DATOS Y GESTIÓN DE
LA INFORMACIÓN

2. VALIDACION DE LOS SISTEMAS
✓PREPARACIÓN

✓COMPROBACIÓN DEL
 SISTEMA

✓OBTENCIÓN DE
 RESULTADOS
SISTEMA INFORMÁTICO
       TIPO                  NOMBRE               FUNCIONES GENERALES                  ÁREAS DE LA                 Personal
                                                                                      ORGANIZACIÓN              Responsable(1)
                                                                                      RELACIONADAS
                      Ejemplos:                Adquisición de datos de los        Laboratorio de         Supervisor (NOMBRE)
Tratamiento de        Agilent – Openlab        cromatógrafos, procesado de        instrumentación        Jefe de Laboratorio
datos                 Agilent ChemStation      los mismos y emisión de                                   (NOMBRE)
cromatográficos       Waters-Empower           informes de resultados
                      …
                                               Control del instrumento,           Todos los laboratorios Jefe de Laboratorio
Tratamiento de        Ejemplos:                elaboración de métodos,                                   (NOMBRE)
datos asociado a      Software asociado a UV, adquisición de datos,
instrumentos          IR, Polarimetros, tamaño procesado y emisión de
                      partícula,               informes de resultados
                      viscosimetros,…siempre
                      que tengan un PC
                      asociado y un software
                      dedicado
                                               Registro de muestras,              Todos los laboratorios Jefe de Laboratorio
LIMS (Sistema de      Ejemplos:                asignación de tareas, entrada                             (NOMBRE)
Gestión de            Labware                  de resultados, cálculos,           Unidad de Garantía de Director de la Entidad
información de        StarLIMS                 emisión de boletines y             Calidad                (NOMBRE)
laboratorio)                                   certificados.
                                               Otras: Estabilidades, gestión de
                                               calibraciones, de reactivos,…
EDMS (sistemas de     Ejemplos:                Gestión del ciclo de vida de       Toda la organización Responsable de la
gestión electrónica   DOCUMENTUM               documentos: creación, revisión,    Responsables de       documentación y su control
de documentos)        OPENTEXT                 aprobación, emisión de copias,     documentación         (NOMBRE)
                      QUMAS                    consulta…                          Unidad de Garantía de
                      …                        Aplicable a PNT, Informes,         Calidad
                                               protocolos,…
¿CUÁLES SON LOS PRINCIPALES PROBLEMAS?

   TECNOLOGÍA INSUFICIENTE   OBSOLETA, SIN NIVELES DE ACCESO, SIN COPIAS DE
                             SEGURIDAD, SIN AUDIT TRAIL

   PROCESOS DE GESTION       TODO EL MUNDO       TIENE   ACCESO,   FORMULARIOS
   INADECUADOS               INADECUADOS

   CICLO DE VIDA DE LOS      LAGUNAS DE TRAZABILIDAD O SEGURIDAD
   DATOS

   ¿QUIÉN ES EL              NO DEFINIDO QUIÉN TIENE ACCESO A LA FUNCIÓN DE
   ADMINISTRADOR?            SEGURIDAD
DUDAS QUE AYUDAN A ORGANIZAR (I)

¿LA DIRECCIÓN DEL LABORATORIO HA DESIGNADO A LAS PERSONAS IMPLICADAS EN EL
DESARROLLO, VALIDACIÓN, OPERACIONES Y MANTENIMIENTO?

LAS PERSONAS DESIGNADAS ¿SON INDEPENDIENTES Y NO EXISTEN CONFLICTOS DE
INTERESES? ¿TIENEN FORMACIÓN? ¿TIENEN DEFINIDAS SUS FUNCIONES?

¿SE HA DEFINIDO UN CICLO DE VIDA PARA CADA NUEVO SISTEMA Y UN ANÁLISIS DE RIESGOS
QUE DETERMINE QUÉ ACTIVIDADES DE VALIDACIÓN SON NECESARIAS?

EL LISTADO DE SISTEMAS INFORMATIZADOS CONTIENE: NOMBRE DE SISTEMA, ESTADO DE
VALIDACION, MODELO, VERSIÓN O FECHA, ADMINISTRADOR DEL SISTEMA
DUDAS QUE AYUDAN A ORGANIZAR (II)

SERVIDORES Y RED INFORMÁTICA: ¿SU UBICACIÓN Y LAS CONDICIONES SON ADECUADAS PARA
EVITAR DAÑOS O INTERFERENCIAS?

¿EXISTE UN SISTEMA INFORMÁTICO QUE MONITORICE/CONTROLE LAS CONDICIONES AMBIENTALES?

¿SE DISPONE DE UN SISTEMA DE SEGUIMIENTO Y CONTROL DE ACTUALIZACIONES DE LOS REGISTROS
QUE PERMITE REALIZAR LA TRAZABILIDAD DE LAS ACCIONES, CREACIÓN, CAMBIOS Y MODIFICACIÓN
DE LOS DATOS?

¿TODAS LAS ACTIVIDADES ESTÁN DOCUMENTADAS?
EJEMPLOS DE APLICACIÓN

                              RIESGOS                                                            MEDIDAS DE CONTROL

(DOCUMENTACIÓN Y REGISTROS) Los datos primarios/documentación             Disponer de mecanismos que aseguren la apropiada conservación y
se modifican y/o eliminan sin control y/o justificación.                  protección de los datos a lo largo de todo su ciclo de vida.

(EQUIPOS DE LABORATORIO) La configuración de parámetros de                Si el sistema dispone de mecanismos de seguridad lógica (diferentes
trabajo o parámetros del instrumento son modificables, como por ejemplo   perfiles) estos deben estar activados para evitar modificaciones y
la fecha/hora                                                             cambios no controlados.
(EQUIPOS DE LABORATORIO) El sistema no dispone de Audit Trail, o          Los sistemas que no disponen de Audit Trail y éste es crítico deben ser
bien, no mantiene la trazabilidad cuando se realiza un cambio (valor      actualizados o implementar nuevos sistemas.
nuevo y antiguo)                                                          En los casos que no es completo, debe asegurar que la información que
                                                                          no queda trazada en el sistema se registra por otros mecanismos.
(EQUIPOS DE LABORATORIO) No se realizan copias de seguridad de            Realizar copias de seguridad de los datos relevantes, y sus metadatos
los datos generados/sistema o no se dispone de evidencias de              asociados; establecidas con un alcance frecuencia en base a la
recuperabilidad en caso de fallo o desastre                               relevancia y criticidad de los datos.
(EQUIPOS DE LABORATORIO) Realización de cambios del sistema sin           Disponer de un procedimiento de control de cambios.
control
(SISTEMAS INFORMATICOS DE GESTIÓN) El sistema no está validado            Disponer de la validación del sistema y mantener el estado de validación
o la validación no ha contemplado todos los aspectos a verificar          realizando revisiones periódicas.

El administrador del sistema es una persona que dispone de                No se permite que los administradores de los sistemas tengan también
responsabilidades sobre generación, revisión o aprobación de los datos.   responsabilidades sobre la generación, revisión o aprobación de los
                                                                          datos.
EJEMPLO: PROCESO- EMISION DE INFORMES
Todos los días se envía de manera automática por mail a los clientes los informes
firmados electrónicamente. Los informes en pdf están en la carpeta de archivo protegida
ubicada en el NAS del Servidor del Laboratorio.

¿Cómo valido este proceso?
• Registrar informes emitidos cada jornada
• Verificar el envío al cliente a través de la aplicación y archivo.
• Comprobar el contenido del archivo de cada informe emitido con el informe archivado.
• Realizar una revisión muestral (10 informes al día)
Informe      de     Carpeta NAS       EMAIL       PROGRAMAGES                    LOG                  OBSERVACIONES
resultados

21250             INFORME EMITIDO, Email        Error en el programa   FECHA/HORA
                  PERO   NO     SE 17/02/2020                          PROCESO
                  CONSERVA COPIA
                                   Hora: 8:00                          TÉCNICO
25841             INFORME FIEL AL Email         Se verifica in situ con FECHA/HORA   17/02/2020
                  ENVIADO      AL 17/02/2020    usuario y cliente       PROCESO      EMISIÓN DE
                  CLIENTE                                                            INFORME
                                  Hora: 8:00
                                                                       TÉCNICO       PEPE
3652              INFORME FIEL AL Email         Se verifica in situ con FECHA/HORA   17/02/2020
                  ENVIADO      AL 17/02/2020    usuario y cliente       PROCESO      EMISIÓN DE
                  CLIENTE                                                            INFORME
                                  Hora: 8:00
                                                                       TÉCNICO       PEPE
20154             INFORME EMITIDO, Email        No    está   en    el FECHA/HORA     17/02/2020 Se detecta un error, en el
                  PERO   NO     SE 17/02/2020   sistema                PROCESO       EMISIÓN DE mail    aparece     como
                  CONSERVA COPIA                                                     INFORME    enviado, pero no se ha
                                   Hora: 8:00
                                                                       TÉCNICO       PEPE       adjuntado ni se ha
                                                                                                colgado en el sistema
GRACIAS POR SU ATENCIÓN
También puede leer