Tradizionalmente l’assessment di data integrity viene eseguito prendendo in considerazione sistema per sistema. Questo approccio, se pur utile per identificare rischi e vulnerabilità di ciascun sistema, ha dei limiti in quando spesso non considera:
- l’intended use del sistema all’interno del processo di business;
- le misure di riduzione del rischio già presenti a valle e a monte del sistema.
Quindi, per un efficace assessment di data integrity, è utile procedere anche con un’analisi dei rischi basata sui flussi delle registrazioni all’interno dei dipartimenti, come proposto dalla linea guida PIC/S 041-1 del 1° Luglio 2021 “Good Practices For Data Management And Integrity In Regulated Gmp/Gdp Environments” e descritto nella linea guida PDA - Technical Report No.84 “Integrating Data Integrity Requirements into Manufacturing & Packaging Operations” del 2020.
<<The creation and assessment of a data flow map may be useful in understanding the risk and vulnerabilites of computerised systems, particularly interfaced systems.>>
La creazione e l’assessment di una mappa del flusso dei dati può essere utile per capire il rischio e la vulnerabilità dei sistemi computerizzati, in particolare dei sistemi interfacciati.
PIC/S 041-1, §9.1.6
Nel determinare la vulnerabilità e il rischio dei dati è importante che il sistema computerizzato sia considerato nel suo contesto d’uso, ovvero secondo le modalità di utilizzo del sistema - intended use - all’interno del processo di business.
Per esempio, l’integrità dei risultati generati da uno strumento analitico che utilizza un interfaccia computerizzata integrata è condizionata anche dalle modalità di preparazione dei campioni, dall’inserimento dei risultati delle misure nel sistema, dalla generazione dei dati da parte del sistema e dal processamento/registrazione dei risultati finali.
In pratica, quindi, è consigliabile effettuare risk assessment focalizzati su un processo di business (ad esempio: produzione, controllo qualità…) e non considerare solo la funzionalità e la conformità del sistema informatico (IT).
I fattori da considerare in questo tipo di analisi sono:
- la complessità del processo (processi multistadio, trasferimento dati tra processi o sistemi,…);
- il metodo di generazione, processamento e archiviazione dei dati e l’abilità di assicurare la qualità e l’integrità degli stessi (processamento dati complesso,…);
- le interfacce manuali con i sistemi IT.
Riguardo a quest’ultimo punto, bisogna tenere in considerazione che la convalida dei sistemi computerizzati è condizione necessaria ma non sufficiente per la data integrity in quanto ogni intervento dell’utente, in particolare sui risultati generati dal sistema, costituisce un fattore di rischio per la data integrity che va valutato e, se necessario, mitigato.
RISK ASSESSMENT A FLUSSI E SISTEMI IBRIDI
Il risk assessment di data integrity a flussi permette di identificare e valutare i rischi di data integrity per tutti gli step del processo, siano essi gestiti con il supporto di registrazioni cartacee che con sistemi computerizzati, ma consente anche di individuare i punti di interfaccia tra sistemi paper-based e sistemi computerizzati. Questi ultimi sono quelli che le PIC/S definiscono “sistemi ibridi”:
Un sistema per la gestione e il controllo dei dati che tipicamente è composto da un sistema elettronico che genera dati elettronici, integrato con un sistema manuale che genera un record cartacei. Il set completo di dati prodotti da un sistema ibrido, quindi, comprende sia dati elettronici che cartacei. I sistemi ibridi fanno affidamento sull’effettiva gestione di entrambi i sotto-sistemi.
PIC/S 041-1, §13
Rientrano tra i sistemi ibridi:
- input manuale di dati generati manualmente nei sistemi computerizzati;
- trascrizioni (incluse quelle manuali) di dati generati da sistemi automatici su record cartacei;
- rilevamento e trascrizione automatici dei dati stampati nei sistemi computerizzati.
Dal punto di vista della data integrity, i sistemi ibridi sono quelli più critici e dovrebbero essere sostituiti appena possibile.
<<Hybrid systems require specific and additional control in reflection of thei complexity and potential increased vulnerability to manipulation of data. For this reason, the use of hybrid systems is discouraged and such systems shounld be replaced whenever possible.>>
I sistemi ibridi richiedono controlli specifici e aggiuntivi in proporzione alla loro complessità e maggiore vulnerabilità alla manipolazione dei dati. Per questa ragione, l’uso di sistemi ibridi è scoraggiato e questi sistemi dovrebbero essere sostituiti appena possibile.
PIC/S 041-1, §9.10.1
RISK ASSESSMENT A FLUSSI: UN PASSO VERSO LA DIGITALIZZAZIONE
Un ulteriore vantaggio di eseguire un risk assessment di data integrity a flussi è quello di permettere l’identificazione di possibili scenari di digitalizzazione dei processi aziendali non solo per renderli più efficienti, ma anche per soddisfare la richiesta di sostituzione dei sistemi ibridi avanzata dalle linee guida sulla data integrity.
<<A fully automated and validated process together with a configuration that does not allow human intervention, or reduces human intervention to a minimum, is preferable as this design lowers the data integrity risk.>>
Un processo completamente automatizzato e validato in combinazione con una configurazione che non permette l’intervento umano, o lo riduce al minimo, è preferibile poiché permette di abbassare il rischio di data integrity.
PIC/S 041-1, §5.5.5
UN AIUTO PER LA DIGITALIZZAZIONE
Da qualche anno ci siamo specializzati nell'analisi dei processi e dei flussi as-is per individuare le roadmap di efficientamento e digitalizzazione degli stessi, mantenendo il livello di compliance adeguato a soddisfare tutti i requisiti applicabili.
Grazie alla competenza dei consulenti Adeodata e alla sinergia con i nostri partner, offriamo:
- Risk assessment di data integrity a flussi (QC, magazzino, produzione, qualità...)
- Identificazione dei possibili scenari per la digitalizzazione
- Supporto alla digitalizzazione: software per gestione paperless del laboratorio, della manutenzione, della produzione e della qualità (Inpharmatic), business intelligence…
- Formazione sulla digitalizzazione: seminari e corsi in-house (Quality Systems), ad esempio sulla gestione delle eccezioni
Cover designed by @Freepik
Articolo a cura di
Laura Monti, GxP Compliance Expert di Adeodata