Datenintegrität mit ALCOA Plus

Das Alcoa PLUS Prinzip zur Sicherung der Datenintegrität

von

Datenintegrität ist und war schon immer ein wichtiges Thema im Bereich der Qualitätssicherung. Deshalb denke ich, ist es wichtig alle einzelnen Prozessparameter schon während ihres Einsatzes genau zu analysieren und zu erfassen.

Ein jeder Prozess gibt eine Vielzahl von Daten aus. Sicherzustellen, dass diese Daten genau und gleichbleibend über den gesamten Zyklus ihrer Verwendung sind, ist das Ziel der Integritätsanalyse von Daten. Um hier die Vollständigkeit der erfassten Daten zu sichern, ist es wichtig, dass sie vor Modifikation, Verfälschung (absichtlich oder unabsichtlich) und Löschung geschützt sind.

Ein neuer Fokus auf Daten

Schriftug DatenintegritätDie erwähnte Datenintegrität rückt immer mehr in den Fokus und so verschärfen Kontrollinstanzen wie die WHO, PIC/s und FDA ihre Richtlinien im Bezug auf die Sicherstellung von kontrollierten Abläufen und Datenerfassung. Um diesen Vorgaben zu entsprechen, gilt es die notwendigen Prozesse einzuleiten und so die Datenerfassung in ihrer Vollständigkeit und Validität sicherzustellen.

Wichtig ist hierbei:

  • Eine verbesserte Informations- und Kommunikationsstruktur
  • Das Aufspüren und Minimieren von Risiken
  • Adäquate Nutzung von Technologie und IT-Systemen
  • Zielgerichtete Verwaltung der Datenintegrität
  • Validierung von computerisierten Systemen – Menschen, Maschinen und Methoden

 

Um alle diese Aspekte umzusetzen und die Integrität der Daten sicherzustellen, bedarf es eines angemessenen Rahmens. Das ALCOA Prinzip hat sich als Dokumentationspraxis seit den 90er Jahren bewährt. Daher möchte ich in diesem Artikel auf die Weiterentwicklung, dem ALCOA Plus Prinzip näher eingehen. Außerdem möchte ich Ihnen einen schnellen Überblick über einzuhaltende Regularien geben, die die WHO, PIC/s und FDA formuliert haben.

ALCOA ist ein Akronym und besteht aus den Aspekten

  • Attributable: Information wird so gespeichert, dass sie einer Person oder Computer System zugeordnet werden kann
  • Legible: Die Daten müssen in einer Form erfasst sein, dass zu jeder Zeit eine lückenlose Zurückverfolgung und Reproduzierbarkeit möglich ist
  • Contemporaneous: Daten werden zum Zeitpunkt ihrer Entstehung aufgezeichnet und beobachtet
  • Original: Alle Daten müssen im Original erfasst werden, um Prozesse nachvollziehbar zu machen. Sie müssen in ihrer originären Form gespeichert und vorgehalten werden.
  • Accurate: Daten werden wahrheitsgetreu, vollständig, valide und verlässlich gespeichert. Hierbei sind angemessene Prozessstrukturen und Kontrollmechanismen notwendig.

 

ALCOA Plus erweitert diese um folgende Attribute

  • Complete
  • Consistent
  • Enduring
  • Available

 

Der Fokus liegt hierbei auf einer vollständigen Erfassung der Daten. Dabei soll die Erfassung gleichbleibend vollzogen werden, um tatsächlich nachvollziehbar zu sein. Dies muss fortlaufend geschehen und im Rahmen von Kontrollen leicht zugänglich sein.

Leitfaden für die Erfüllung aktueller Richtlinien

Folgend werde ich eine Zusammenfassung gegenwärtiger Erwartungshorizonte zur Datenerfassung der WHO, PIC/s und FDA darlegen.

Attributability: Zuordnungsfähigkeit

WHO

  • Individuelle Nutzerkonten – Speicherung von individuellen Nutzeraktivitäten im Umgang mit Daten
  • Elektronische Signaturen die permanent mit den Nutzeraktivitäten verknüpft sind – Identifikation und Zeitstempel
  • Geteilte und nicht nachvollziehbare individuelle Datenmanipulation sollte vermieden werden

PIC/s

  • Nutzung von elektronischen Audit Systemen zur Erfassung und Identifikation: Wer – Was – Wann gemacht hat.
  • Dokumentation von Eingriffen in die vorhandenen Daten
  • Wichtigkeit der Dokumentation der Qualifikation des Personals in Bezug auf die Aktivitäten
  • Wenn Systeme direkte Nachvollziehbarkeit der Datenerfassung nicht ermöglichen, sollten Alternativen zur Datenerfassung geschaffen werden.
  • Prozesse sollten ständig überwacht werden. Die Datenerfassung des Prozesses sollte hierbei nicht vom ausführenden Personal direkt manipulierbar sein, damit eine spätere Nachvollziehbarkeit sichergestellt bleibt.
  • Richtlinien für das Vorgehen und die Information von verantwortlichen Autoritäten bei Prozessabweichungen sollten etabliert werden

FDA

  • Ein ‚Audit Trail‘ ist ein sichere, computergenerierte und mit Zeitstempel versehene elektronische Aufzeichnung einer Erstellung bzw. Modifikation von Prozessdaten.
  • Nutzername, Datum und Zeit, verwendete Parameter und Details der Wiederaufbereitung sollten beispielhaft festgehalten werden
  • Das Erstellen, Modifizieren oder Löschen von Daten soll aufgezeichnet werden sowie die vorgenommenen oder versuchten Zugriffe auf diese Daten
  • Falls es zu Diskrepanzen innerhalb dieser Aufzeichnungen kommen sollte, müssen diese untersucht werden, um den Ausgangspunkt eines etwaigen Fehlers direkt zu identifizieren und somit beheben zu können.

Legible, Traceable and Permanent – Nachvollziehbarkeit und Verständlichkeit der Daten

WHO

  • Erstellung und Konfiguration von Computersystemen, die Prozessdaten in ihrer zeitlichen Abfolge genau aufzeichnen und sicher abspeichern
  • Audit Trail mit sicherer und genauer Zuordnung zum jeweiligen Nutzer des Systems und dem Zeitpunkt des Zugriffs
  • Einhaltung von strikten Zugriffshierarchien und Sicherstellung der Nicht-Manipulierbarkeit von Daten. Beispiel: Administratorenrechte nur für Abteilungsexterne Mitarbeiter
  • Absicherung gegen den Verlust der Daten
  • Wenn keine elektronischen Systeme vorhanden sind, können Alternativen verwendet werden

PIC/s

  • Alle Informationen müssen verständlich und lesbar sein
  • Der Zugriff auf alle relevanten Datenebenen sollte durch passende Applikationen gewährleistet werden

 

Contemporaneous – Datenerfassung zum Zeitpunkt ihrer Entstehung

WHO

  • Das Erfassen der Daten sollte durch adäquate Konfiguration von Computersystem zum Zeitpunkt der Entstehung permanent erfasst und gespeichert werden.
  • Sichere Zeitstempel, die nicht veränderbar sind und synchron über alle Prozessebenen gespeichert werden
  • Kontrollmechanismen, die Teilprozesse relativ zueinander erfassbar und koordinierbar machen
  • Zugänglichkeit des Systems für den Nutzer zum Zeitpunkt der Ausführung

PIC/s

  • Die Verifikation von Aktivitäten, Ereignissen und Entscheidungen sollte zum Zeitpunkt ihres Auftretens aufgezeichnet werden
  • Die Dokumentation soll Aufschluss über was getan oder entschieden wurde geben und warum auf diese Art und Weise zum jeweiligen Zeitpunkt gehandelt wurde

 

Original – Originäre Erfassung von Daten

WHO

  • Schriftliche Erfassung von Prozessen und Schulung für die jeweiligen Tätigkeiten
  • Bewertung von elektronischen Aufzeichnungen und etwaigen Veränderungen zur Originalausführung der Daten
  • Veränderungen zu originären Prozessabläufen und Datenerfassung sollten festgehalten, begründet und vermerkt werden
  • Aufklärung des Personals über die Wichtigkeit der Kontrolle und Abzeichnung der Datenintegrität
  • Festlegung von zu durchlaufenden Abläufen, wenn Fehler auftreten
  • Dokumentation und Behebung von Fehlern in nachvollziehbarer Weise, den ALCOA Prinzipien folgend
  • Etablierung von Prozessabläufen für die Datenprüfung, Klärung von Verantwortlichkeiten und Zeitpunkten für die Revisionen
  • Prozessabläufe sollten von außen prüfbar und nachvollziehbar sein
  • Sichere elektronische Verwahrung der Daten. Sicherheitskopien, Cloudstorage etc.
  • Regelmäßige Prüfung ob Originaldaten zugänglich und verfügbar sind in den verschiedenen Back-up Systemen

PIC/s

  • Die Ersterfassung der Daten, sollte in ihrem originalen Zustand bestehen bleiben.
  • Alle Informationen, die zur Reproduktion eines Vorgangs nötig sind, sind von kritischer Wichtigkeit
  • Passende Dokumentationspraktiken sollten etabliert werden, sowohl bei Aufzeichnung als auch bei Veränderung der Originaldaten – Nachvollziehbarkeit der Veränderung ist wichtig
  • Gespeicherte Daten müssen für alle autorisierten Personen zur Kontrolle zugänglich sein

 

Accurate – Vollständige und adäquate Speicherung der Daten

WHO

  • Eingabe von Daten sollte durch weitere Personen oder Systeme auf ihre Genauigkeit geprüft werden – Qualitätskontrolle o.ä.
  • Analyse von Risiken und Prozeduren durch eine zweite Person, Erwartungswerte für Daten und automatisierte Schwankungsabgleiche bei der Datenaufzeichnung
  • Nach Verifikation der Daten werden diese gespeichert und abgeschlossen verwahrt, um späterer Manipulation vorzubeugen
  • Datentransfers in andere Systeme und Softwareumgebungen muss genau kontrolliert und abgeglichen werden. Etablierung von Standards und Vergleichstabellen.

PIC/s

  • Gerätekalibrierung und Verwaltung von Computersystemen
  • Prozeduren und Abläufe zur standardisierten Kontrolle
  • Erstellung von Verfahrensmustern bei abweichenden prozeduralen Abläufen
  • Schulung des Personals in Hinsicht auf die Wichtigkeit der Datenintegrität
  • Genauigkeit der Daten soll gewährleistet und Entscheidungen erleichtert werden
  • Veränderungen der Daten können nur festgelegten Protokollen folgend vorgenommen werden.
  • Qualitätsprüfung durch speziell geschultes Personal ist immanent wichtig und muss genau dokumentiert werden

 

Zusammenfassende Betrachtung

Datensicherheit als Teil der DatenintegritätDie Erfassung und Speicherung von Daten ist von enormer Bedeutung. Hier passende Abläufe und Kontrollmechanismen zu schaffen sollte daher eine hohe Priorität in Ihrem Qualitätsmanagement einnehmen.

In Bezug auf die Daten ist es wichtig, diese nachvollziehbar zu speichern und für etwaige Prüfungen zugänglich zu machen. Hierbei sollten Sie Backupsysteme etablieren, die einem Totalverlust der Daten vorbeugen.

Des Weiteren geht es insbesondere darum, dass stets ersichtlich ist, ob sich Daten im originalen Zustand befinden oder ob ein Eingriff in die Datenstruktur stattgefunden hat. Wurden Veränderungen an den Daten vorgenommen, so sollten diese stets dokumentiert sein. Best-Practices sind hier Systeme, die individuelle User Logins verwenden und genau aufzeichnen, welche Person, zu welchem Zeitpunkt auf die Daten zugegriffen hat.

Zudem ist es ratsam bei sensiblen Daten dafür zu sorgen, dass nicht das prozessinvolvierte Personal direkte Zugriffsrechte hat, sondern gesonderte Abteilungen oder Personen. Dies verringert die Manipulationswahrscheinlichkeit enorm. Die Einteilung in Nutzergruppen, unterschiedliche Nutzerrechte usw. sind angebrachte Vorgehensweisen für dieses Vorhaben.

Weiterhin macht es Sinn, Computersysteme gegen äußere Manipulation abzusichern und die entsprechenden Maßnahmen zu ergreifen. So stellen Sie sicher, dass die Datenintegrität auf allen Ebenen gegen Manipulation abgesichert ist.

Meiner Erfahrung nach kann auf diese Art und Weise eine Integrität der Daten gewährleistet werden und in einer nachvollziehbaren Art und Weise in die Unternehmensprozesse integriert werden.

Mit chaotischen Grüßen,
Christof Layher

Dies könnte ihnen auch gefallen

HINTERLASSEN SIE EINEN KOMMENTAR

Deine Email-Adresse wird nicht veröffentlicht.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.

Melden Sie sich bei meinem Newsletter an.

Melden Sie sich bei meinem Newsletter an.

Melden Sie Sich zu meinem Newsletter an um immer auf dem neuesten Stand zu sein und keine wertvolle Information zu verpassen.

Sie haben sich erfolgreich eingetragen und sollten zeitnah eine Begrüßungsmail von mir erhalten.

Powered by