Download Aplicación de los principios de BPL a los sistemas

MINISTERIO DE SANIDAD Y CONSUMO
APLICACIÓN DE LOS PRINCIPIOS
DE BUENAS PRÁCTICAS DE
LABORATORIO A LOS SISTEMAS
INFORMATIZADOS
DOCUMENTO Nº 6
1ª Versión
Noviembre 20021
AGENCIA ESPAÑOLA DEL MEDICAMENTO
Aplicación de los principios de BPL a los sistemas informatizados
SUMARIO
1.- Introducción.
2.- Ambito de aplicación.
3.- Aplicación de los principios de BPL a los sistemas informáticos.
3.1. Responsabilidades.
3.2. Instalaciones y equipos.
3.2.1. Instalaciones.
3.2.2. Equipo.
3.3. Mantenimiento y recuperación.
3.3.1. Mantenimiento.
3.3.2. Recuperación.
3.4. Datos.
3.5. Seguridad.
3.5.1. Seguridad física.
3.5.2. Seguridad lógica.
3.5.3. Copia de seguridad.
3.6. Validación de los sistemas informáticos.
3.6.1. Recepción.
3.6.2. Validación retrospectiva.
3.6.3. Control de cambios.
3.6.4. Entorno operativo.
3.7. Documentación.
3.7.1. Descripción de las aplicaciones.
3.7.2. Procedimientos normalizados de trabajo.
3.8. Archivo.
2/15
Aplicación de los principios de BPL a los sistemas informatizados
1.- INTRODUCCIÓN.
Se ha observado que la utilización de los sistemas informatizados se ha desarrollado
en los laboratorios que llevan a cabo estudios no clínicos de seguridad sanitaria y
medioambiental. Estos sistemas informatizados pueden permitir, directa o
indirectamente, la obtención, el procesamiento, la presentación y almacenamiento
de datos, y se encuentran, cada vez, más integrados, en los equipos automatizados.
La validación de los sistemas informatizados de un laboratorio es un tema novedoso
tanto para los suministradores como para los usuarios de los mismos. Por ello dicha
validación debería abordarse priorizando en el tiempo aquellos sistemas en los
cuales hay mayor riesgo de que no funcionen según lo previsto (p. ej. programas a
medida, programas configurables). Este principio debería tenerse en cuenta por
parte de los laboratorios y de las autoridades.
2.- AMBITO DE APLICACIÓN.
Todos los sistemas informatizados utilizados para obtener, cuantificar o evaluar
datos con fines de registro o autorización deberán estar diseñados, validados,
utilizados y mantenidos de acuerdo con los principios de Buenas Prácticas de
Laboratorio (BPL).
Para la planificación, la ejecución y la presentación de los resultados de los estudios
se pueden utilizar diversos sistemas informatizados. Estos sistemas se pueden
aplicar para adquirir, directa o indirectamente, los datos registrados por medio de los
equipos automatizados, operar/controlar los equipos automatizados y finalmente,
procesar, presentar y almacenar los datos. Los sistemas informatizados utilizados
para tales actividades pueden ser de diversa índole y pueden incluir desde los
instrumentos de análisis programables o un ordenador personal, hasta un sistema
de gestión de la información del laboratorio (LIMS) de funciones múltiples.
Los sistemas informatizados, asociados a la ejecución de los estudios llevados a
cabo con fines de registro o autorización, deberán tener un diseño adecuado,
disponer de una capacidad suficiente y ser apropiados para las tareas a las que
3/15
Aplicación de los principios de BPL a los sistemas informatizados
están destinados, es decir deben estar validados. Se deberán redactar
procedimientos normalizados de trabajo para controlar y administrar estos sistemas.
La validación ofrece las suficientes garantías para poder asegurar que un sistema
informatizado responde a las especificaciones previamente definidas. La validación
debe efectuarse siguiendo un plan de validación establecido y realizarse antes de la
puesta en servicio de un nuevo sistema.
3.- APLICACIÓN DE
INFORMATIZADOS.
LOS
PRINCIPIOS
DE
BPL
A
LOS
SISTEMAS
Las consideraciones que figuran a continuación tienen como objetivo facilitar que los
sistemas informatizados cumplan los principios de BPL:
3.1. Responsabilidades.
•
•
•
•
La dirección del laboratorio tiene la responsabilidad de establecer
procedimientos que aseguren que los sistemas informatizados son los
adecuados para el propósito previsto y están validados, se utilizan y
mantienen de conformidad con los principios de BPL.
El director de estudio tiene la responsabilidad de asegurar que se hayan
validado los sistemas informatizados utilizados en el estudio.
El personal involucrado en la realización de estudios deberá utilizar los
sistemas informatizados de acuerdo con los principios de BPL y deberá
recibir la formación técnica necesaria para ello.
El personal de garantía de calidad deberá verificar si los sistemas
informatizados son conformes con los principios de BPL y deberá recibir la
formación técnica necesaria para ello.
El personal de garantía de calidad deberá tener acceso de lectura a los datos
almacenados en los sistemas informatizados.
4/15
Aplicación de los principios de BPL a los sistemas informatizados
3.2. Instalaciones y equipos.
Al tratarse de los sistemas informatizados, se deberán tener en cuenta algunas
consideraciones en relación con el cumplimiento de los principios BPL:
3.2.1. Instalaciones.
Se deberá tener en cuenta el emplazamiento de los equipos, de los elementos
periféricos, de los equipos de comunicación y de los sistemas electrónicos de
almacenamiento. Se deberán evitar las fuertes variaciones de temperatura y de
humedad, el polvo, las interferencias electromagnéticas y la proximidad de cables de
alta tensión, salvo si el equipo está especialmente diseñado para funcionar en tales
condiciones.
Deberá disponerse de sistemas de copia de seguridad o alimentación eléctrica de
emergencia de los sistemas informatizados cuya interrupción repentina pueda
provocar alteración o perdida los datos de un estudio.
El laboratorio deberá disponer de instalaciones en condiciones de seguridad
adecuadas para archivo y conservación de los soportes electrónicos.
3.2.2. Equipo.
3.2.2.1. Hardware y software.
Un sistema informatizado está constituido por un grupo de elementos materiales
(hardware) y logísticos (software), diseñado y ensamblado para llevar a cabo una
función o un grupo de funciones determinadas.
El hardware constituye la parte física del sistema informatizado y está formado por la
unidad central del ordenador y sus periféricos.
El software son los programas que controlan el funcionamiento del sistema
informático.
5/15
Aplicación de los principios de BPL a los sistemas informatizados
3.2.2.2. Comunicaciones.
Las comunicaciones asociadas a los sistemas informatizados corresponden, en su
sentido más amplio, a dos categorías: entre ordenadores, o bien entre los
ordenadores y sus periféricos.
Los enlaces de comunicación pueden constituir fuentes potenciales de errores y
pueden acarrear la pérdida o la alteración de los datos. Se deberán aplicar las
medidas de control adecuadas para garantizar la seguridad y la integridad de los
datos.
3.3. Mantenimiento y recuperación.
3.3.1. Mantenimiento.
Se deberá disponer de procedimientos establecidos por escrito que describan el
mantenimiento preventivo y la reparación de averías. Estos procedimientos deberán
definir claramente las funciones y las responsabilidades del personal
correspondiente. Cuando estas actividades de mantenimiento conlleven una
modificación del hardware y/o del software, puede ser necesario validar de nuevo el
sistema. Deberá mantenerse un registro de todas las incidencias detectadas y de las
medidas correctoras aplicadas.
3.3.2. Recuperación.
Se debe disponer de procedimientos que describan las medidas a tomar en caso de
fallo parcial o total de un sistema informatizado. Estas medidas pueden variar desde
la duplicidad de ciertos equipos hasta el uso provisional de soporte papel. Los
planes de emergencia deberán estar documentados y validados, garantizar la
integridad permanente de los datos y no comprometer la realización del estudio. El
personal que participa en los estudios deberá estar debidamente informado de estos
planes de emergencia.
Los procedimientos de recuperación de un sistema informatizado dependerán
siempre de la criticidad del sistema, pero es indispensable conservar copias de
6/15
Aplicación de los principios de BPL a los sistemas informatizados
seguridad del software.
3.4. Datos.
Para cada sistema informatizado se deben definir los datos primarios. Estos
sistemas pueden estar asociados con datos primarios de varias formas, por ejemplo
soportes de almacenamiento electrónico, registros impresos de ordenadores o de
equipos, y microfilms/fichas.
Los datos obtenidos como entradas directas de ordenador deberán ser identificados
en tiempo y fecha de su introducción por la persona responsable de la entrada. Los
sistemas informatizados deberán diseñarse para poder posibilitar en todo momento
la conservación de datos que permitan realizar auditorías retrospectivas que
muestren todos los cambios de los datos sin ocultar los datos originales. Debe ser
posible asociar todos los cambios de datos con las personas que los han realizado;
por ejemplo, por medio de firmas electrónicas con hora y fecha. Las modificaciones
deberán justificarse en todos los casos.
Cuando los datos primarios se conserven electrónicamente, será preciso establecer
las condiciones necesarias para su conservación y recuperación a largo plazo,
teniendo en cuenta la vida útil de los equipos informáticos. En caso de modificación
de hardware o de software, deberá existir la posibilidad de acceder y conservar los
datos primarios sin correr el riesgo de comprometer su integridad.
Los procedimientos de un sistema informatizado deberán también describir
mecanismos alternativos de obtención de datos en caso de fallo del sistema. En este
caso los datos primarios registrados manualmente, y posteriormente informatizados,
deben identificarse y archivarse como tales.
Cuando el sistema informatizado sea obsoleto y se precise transferir los datos
primarios hacia otro sistema por vía electrónica, se utilizará un procedimiento bien
documentado y cuya integridad se habrá verificado previamente. Si no se puede
proceder a esta operación, los datos serán transferidos hacia otro soporte y se
verificará la exactitud de la copia antes de destruir los archivos electrónicos
originales.
7/15
Aplicación de los principios de BPL a los sistemas informatizados
3.5. Seguridad.
Se deberá disponer de procedimientos de seguridad documentados para proteger el
hardware, el software y los datos contra cualquier alteración, modificación no
autorizada o pérdida. En ese contexto, la seguridad abarca también la prevención
del acceso no autorizado o las modificaciones del sistema informático y de los datos
contenidos en el sistema. Deberá tenerse en cuenta los riesgos de alteración de los
datos por virus u otros agentes y se deberá tomar las medidas de seguridad
necesarias para garantizar la integridad de los datos en caso de fallo del sistema a
corto y largo plazo.
3.5.1. Seguridad física.
Se deberá disponer de medidas físicas de seguridad para restringir únicamente al
personal autorizado el acceso a los equipos informáticos, a los equipos de
comunicación, a los periféricos y a los soportes de datos electrónicos.
3.5.2. Seguridad lógica.
Para cada sistema o aplicación informática, se deberán establecer medidas de
seguridad lógica para impedir el acceso no autorizado a los sistemas, aplicaciones y
datos. Es indispensable garantizar que únicamente se utilizan las versiones
aprobadas y el software validado. La seguridad lógica puede incluir la necesidad de
que cada persona introduzca un código único de usuario con una contraseña
asociada, o identificación biométrica. Cualquier introducción de datos o de software
procedentes de fuentes externas deberá estar debidamente controlada.
3.5.3. Copia de seguridad.
Cuando se utilizan sistemas informatizados, deberán realizarse copias de seguridad
de todos los programas y datos, para poder recuperar el sistema tras fallo
susceptible de comprometer la integridad de los datos, por ejemplo deterioro del
disco duro. Por consiguiente, los datos de la copia de seguridad pueden convertirse
en datos primarios y deben ser tratados como tales.
8/15
Aplicación de los principios de BPL a los sistemas informatizados
3.6. Validación de los sistemas informáticos.
Los sistemas informatizados deberán ser adecuados para las tareas a las cuales
están destinados. Será conveniente tener en cuenta los siguientes aspectos:
3.6.1. Recepción.
Los sistemas informatizados deben estar diseñados de conformidad con los
principios de BPL y su introducción en el laboratorio se deberá planificar
previamente en todos los casos.
Debe disponerse de documentación adecuada que permita demostrar que cada
sistema se ha desarrollado bajo control y, con preferencia, de conformidad con las
normas de calidad y con las normas técnicas reconocidas (por ejemplo ISO 9000.3 e
ISO 9126). Además, es importante disponer de documentación que demuestre se ha
verificado la conformidad del sistema antes de su puesta en servicio. Los requisitos
de aceptación deben incluir pruebas según un plan de validación previamente
determinado. Deben conservarse y archivarse los protocolos de ensayo, los
documentos relativos a todas las pruebas realizadas y los resultados obtenidos.
Debe existir un informe final del proceso de validación en el que se acepte el sistema
para su uso.
Los sistemas informatizados se pueden clasificar en base al riesgo de fallo del
sistema. Existen varias guías (GAMP, PIC/S) que establecen distintas categorías de
software clasificadas en base a este criterio. De forma orientativa se incluyen las
cinco categorías establecidas por GAMP, clasificadas de menor a mayor riesgo de
fallo:
• Categoría 1: sistemas operativos.
• Categoría 2: programas monitores (firmware).
• Categoría 3: programas estándares.
• Categoría 4: programas configurables.
• Categoría 5: programas a medida.
Para cada tipo de software se incluyen las actividades de validación a realizar:
9/15
Aplicación de los principios de BPL a los sistemas informatizados
- Categoría 1: Registrar la versión. El sistema operativo se probará indirectamente
mediante el funcionamiento de la aplicación.
- Categoría 2:
• Sistemas no configurables: registrar la versión. Calibrar el instrumento
según proceda y verificar el funcionamiento según los requisitos de usuario.
• Sistemas configurables: registrar la versión y la configuración. Calibrar el
instrumento según proceda y verificar el funcionamiento según los requisitos
de usuario.
• Sistemas hechos a medida: validar como categoría 5.
- Categoría 3:
•
•
Registrar la versión y configuración del entorno, y verificar el funcionamiento
según los requisitos de usuario.
Para aplicaciones críticas y complejas, considerar auditar al proveedor.
- Categoría 4:
• Registrar la versión y configuración, y verificar el funcionamiento según los
requisitos de usuario.
• Para aplicaciones críticas y complejas, considerar auditar al proveedor.
• Programas a medida: validar como categoría 5.
- Categoría 5: Auditar el suministrador y validar todo el sistema.
A menudo, los sistemas informatizados están formados por varios componentes de
software que pueden pertenecer a distintas categorías. En estos casos, las
actividades de validación de cada componente deben corresponder a las
establecidas para la categoría a que pertenece.
10/15
Aplicación de los principios de BPL a los sistemas informatizados
3.6.2. Validación retrospectiva.
En los sistemas informatizados para los que no se haya previsto, con anterioridad, la
necesidad de cumplimiento de los principios de BPL en lo relativo a validación, se
deberá justificar su utilización a través de una validación retrospectiva.
Una evaluación retrospectiva da comienzo por la recopilación de toda la
documentación y registros históricos relacionados con el sistema informatizado,
redactándose un informe. Este indicará los elementos disponibles que puedan
justificar o no la validación del sistema y, en su caso, cómo se debe proceder en el
futuro para que el sistema informatizado sea validado.
3.6.3. Control de cambios.
El control de cambios es la aprobación formal y documentada de cualquier
modificación en el sistema informatizado durante su vida operativa. El control de
cambios será necesario cuando una modificación pueda afectar el estado de
validación del sistema informatizado. Los procedimientos de control de cambios
deberán estar aprobados antes de que el sistema sea operativo.
El procedimiento deberá describir el método de evaluación para determinar las
pruebas necesarias para mantener el estado de validación del sistema. El
procedimiento de control de cambios deberá identificar a los responsables de valorar
y aprobar los cambios necesarios.
Sea cual fuere el origen del cambio, proveedor o desarrollo interno, deberá
disponerse de la información apropiada dentro del proceso de control de cambios.
Los procedimientos de control de cambios deberán garantizar la integridad de los
datos.
3.6.4. Entorno operativo.
Para tener la seguridad de que un sistema informatizado sigue siendo adecuado al
uso previsto, se deberá tener en cuenta su entorno operativo para garantizar que se
utiliza y funciona correctamente. Esto puede incluir la gestión del sistema, la
11/15
Aplicación de los principios de BPL a los sistemas informatizados
formación, el mantenimiento, la asistencia técnica, la auditoría y/o la evaluación de
su funcionamiento. Periódicamente debe realizarse una revisión del funcionamiento
del sistema para garantizar que se cumplen los criterios establecidos.
3.7. Documentación.
Los elementos que se enumeran a continuación tienen por objeto describir, a título
informativo, la documentación mínima necesaria para el desarrollo, validación,
funcionamiento y mantenimiento de los sistemas informatizados.
3.7.1. Descripción de las aplicaciones.
Para cada aplicación, según proceda, se deberá disponer de una documentación
completa relativa a:
•
•
•
•
•
•
•
•
La denominación del software de aplicación o el código de identificación, así
como una descripción clara y detallada de la finalidad de la aplicación.
El hardware, con los números de serie, sobre el cual opera el programa.
El sistema operativo y demás programas utilizados en relación con la
aplicación, identificando el número de versión.
Los lenguajes de programación de la aplicación y/o las herramientas de
bases de datos que se utilizan.
Las principales funciones llevadas a cabo por la aplicación.
Una descripción general de los tipos y flujos de datos de las bases de datos
asociadas a la aplicación.
Las estructuras de los archivos, los mensajes de error y alarma y los
algoritmos asociados a la aplicación.
La configuración y las interfaces entre los módulos de aplicación y entre los
equipos y otros sistemas.
3.7.2. Procedimientos normalizados de trabajo.
Una gran parte de la documentación relativa a la utilización de los sistemas
informatizados, se habrá de presentar en forma de procedimientos normalizados de
trabajo. Entre otros, se deberán incluir:
12/15
Aplicación de los principios de BPL a los sistemas informatizados
•
•
•
•
•
•
•
•
•
Procedimientos relativos al uso de los sistemas informatizados y las
responsabilidades del personal implicado.
Procedimientos relativos a las medidas de seguridad utilizadas para prevenir
y detectar accesos no autorizados y modificaciones de los programas.
Procedimientos de control de cambios de hardware y software.
Procedimientos relativos a revisión periódica del sistema.
Procedimientos de mantenimiento de los sistemas informatizados.
Procedimientos de validación de los sistemas informatizados.
Procedimientos de copia de seguridad, recuperación de datos y planes de
emergencia.
Procedimientos de archivo y recuperación de documentos, programas y
datos informáticos.
Procedimientos de monitorización y auditoría de sistemas informatizados.
3.8. Archivo.
Los principios de BPL sobre archivo de datos son de aplicación a todos los datos,
incluidos los electrónicos, por lo que deben aplicarse los mismos controles de
acceso, indexado y recuperación.
13/15
Aplicación de los principios de BPL a los sistemas informatizados
GLOSARIO DE TÉRMINOS
Código o programa fuente: Programa informático original expresado en un
lenguaje legible por el hombre (lenguaje de programación) que debe traducirse a un
lenguaje comprensible por el ordenador (lenguaje máquina) antes de ejecutarse.
Control de cambios: Evaluación continua y documentada del funcionamiento y
modificaciones de un sistema informatizado para determinar si es necesario
revalidar el sistema tras un cambio.
Copia de seguridad: Mecanismo para recuperar los archivos de datos o programas,
para restaurar el sistema, o para utilizar equipos informáticos alternativos tras un
fallo parcial o completo del sistema informatizado.
Criterios de aceptación: Criterios documentados que deben cumplirse para superar
una fase de pruebas o los requisitos de entrega de un sistema informatizado.
Test de aceptación: Prueba formal de un sistema informatizado en el entorno
operativo previsto para verificar si se cumplen los criterios de aceptación del
laboratorio y si el sistema es apto para su utilización.
Hardware: Conjunto de elementos físicos de un sistema informatizado que incluye la
unidad central del ordenador y sus periféricos.
Periférico: Cualquier equipo conectado o componente remoto o auxiliar, como por
ejemplo impresoras, módems, terminales, etc…
Seguridad: Protección del hardware y de los programas contra el acceso, la
utilización, modificación, destrucción o divulgación accidentales o intencionadas. La
seguridad también incluye el personal, los datos, las comunicaciones y la protección
física y lógica de los sistemas informatizados.
Sistema informatizado: Conjunto de elementos físicos (hardware) y programas
asociados (software) diseñados y ensamblados para realizar una función o un grupo
de funciones determinadas.
14/15
Aplicación de los principios de BPL a los sistemas informatizados
Software (aplicación): Programa informático adquirido o desarrollado, adaptado o
personalizado a los requerimientos del laboratorio, para llevar a cabo procesos de
control, obtención, procesamiento, presentación y archivo de datos.
Software (sistema operativo): Programa o conjunto de programas, rutinas y
subrutinas que controlan el funcionamiento del ordenador. El sistema operativo
puede realizar tareas de asignación de recursos, planificación, control de
entradas/salidas y gestión de datos.
Validación de un sistema informatizado: Demostración que un sistema
informatizado es apropiado para el uso previsto.
15/15