Was ist „Title 21 CFR Part 11“?
Bei der Recherche zum Thema elektronische Signatur begegnet man zwangsläufig dem Title 21 CFR Part 11, insbesondere im GxP-regulierten Umfeld. Der Code of Federal Regulations (CFR) ist eine der wichtigsten Informationsquellen für das Bundesrecht der Vereinigten Staaten von Amerika. Er ist in 50 Titel unterteilt und repräsentiert weite Bereiche des Rechts. Diese Titel werden jährlich gestaffelt überarbeitet (Titel 1 bis 16 werden zum 1. Januar überarbeitet, die Titel 17 bis 27 zum 1. April, die Titel 28 bis 41 zum 1. Juli und die Titel 42 bis 50 zum 1. Oktober). Jeder Titel ist wiederum in Kapitel unterteilt, die in der Regel den Namen der herausgebenden Behörde tragen. Im Fall des Title 21 CFR Part 11 handelt es sich um die Behörde für Lebens- und Arzneimittel, die U. S. Food and Drug Administration (FDA). Der Part 11 beinhaltet die Vorschriften der FDA über elektronische Aufzeichnungen und elektronische Signaturen (ERES) und definiert die Kriterien, unter denen diese als vertrauenswürdig, zuverlässig und gleichwertig zu Papieraufzeichnungen angesehen werden. Die Bestimmungen des Part 11 finden, über die Vereinigten Staaten hinaus, weltweit Anwendung beim Umgang mit elektronischen Aufzeichnungen und Signaturen. Part 11 gliedert sich in die Teile A - Allgemeine Voraussetzungen, B - Elektronische Aufzeichnungen und C - Elektronische Unterschriften.
Hier die Inhalte im Überblick:
Teil A: Allgemeine Voraussetzungen
- Umfang der Richtlinie
- Umsetzung der Richtlinie
- Definitionen (Gesetz, Behörde, Biometrie, geschlossenes System, digitale Unterschrift, Elektronische Aufzeichnung, Elektronische Unterschrift, Handgeschriebene Unterschrift und offenes System)
- Kontrollen für geschlossene Systeme
- Kontrollen für offene Systeme
- Unterschriftserscheinungsformen
- Verbindung Unterschrift/Dokument
- Allgemeine Anforderungen
- Komponenten elektronischer Unterschriften und Kontrollen
- Kontrollen für Identifizierungscodes und Passwörter
Der Title 21 CFR Part 11 definiert die elektronische Aufzeichnung als „[…] Kombination von Text, Grafiken, Daten, Audio, Bildern oder anderen Informationen in digitaler Form, welche erzeugt, verändert, gepflegt, archiviert, wiederhergestellt oder über ein Computersystem verteilt wird“ (21 CFR Part 11, Subpart A, § 11.3 Definitions, 6). Folgende Anforderungen werden unter anderem an die Aufzeichnungen gestellt:
- Kontrollen zur Gewährleistung der Echtheit, Integrität und Vertraulichkeit elektronische Aufzeichnungen in geschlossenen Systemen müssen eingerichtet sein
- Systeme, die die Richtigkeit, Zuverlässigkeit, konsistente Leistung sowie Gültigkeit von Aufzeichnungen sicherstellen, müssen validiert werden
- Möglichkeit vollständige und lesbare Kopien zu erzeugen, muss gegeben sein
- Zugriff während der Aufbewahrungsfrist muss gewährleistet sein
- Systemzugriff muss auf berechtigten Personenkreis beschränkt sein (bei geschlossenen Systemen)
- Zeitgestempelter Audit-Trail dokumentiert Aktionen, die die Aufzeichnungen erzeugen, verändern oder löschen
- Zugangsprüfung vor Systemnutzung
Der Title 21 CFR Part 11 definiert die elektronische Unterschrift als „[…] von Computern lesbare Übersetzung eines beliebigen Symbols oder einer Serie von Symbolen, die ausgeführt, angenommen oder durch eine Einzelperson autorisiert wird und das rechtlich gültige Äquivalent der individuellen handgeschriebenen Unterschrift darstellt“ (21 CFR Part 11, Subpart A, § 11.3 Definitions, 7). Folgende Anforderungen werden unter anderem an die Unterschrift gestellt:
- Einzigartigkeit für Einzelpersonen (nicht von anderen Personen mit-/wiederbenutzt) soll gegeben sein.
- Vor Einrichtung der Unterschrift soll eine Identitätsprüfung stattfinden.
- Eine Bescheinigung, dass die elektronische Unterschrift als Äquivalent zur handgeschriebenen Unterschrift gilt, muss der Behörde (FDA) vorliegen.
- Diese Bescheinigung soll handschriftlich unterschrieben und in Papierform gesendet werden.
- Die Unterschrift soll aus mindestens zwei verschiedenen Identifizierungskomponenten, z. B. Identifizierungscode und Passwort, bestehen.
- Bei einer Serie von Unterschriften während einer kontinuierlichen Sitzung muss die erste Unterschrift mit allen Identifizierungskomponenten, die folgenden können mit nur einer Identifizierungskomponente erfolgen.
- Identifizierungscodes und Passwörter sollen regelmäßig überprüft, zurückgerufen oder revidiert werden, um Passwortalterungen zu verhindern.
- Verlust-Management-Verfahren sollen eingerichtet sein.
Elektronische Aufzeichnungen sind aus unserem alltäglichen Leben nicht mehr wegzudenken. Anders sieht es mit dem Thema elektronische Signatur aus: Bei der Eingabe von Nutzername und Kennwort denken die Wenigsten daran, dass sie damit eine Signatur, gleichbedeutend mit Ihrer handschriftlichen Unterschrift abgeben könnten. Der Wechsel von der Unterschrift auf dem Papier zur elektronischen Unterschrift, scheint für einen großen Teil der Gesellschaft eine Zukunftsvision. Jedoch bieten immer mehr Behörden und Unternehmen mittlerweile die Möglichkeit an, Anträge elektronisch einzureichen. Mit roXtra unterstützen wir Sie dabei, den Anforderungen von Title 21 CFR Part 11, z. B. durch einen zeitgestempelten Audit-Trail, die Beschränkung des Systemzugriffs auf einen berechtigten Personenkreis sowie durch die Verwendung von mindestens zwei Identifizierungskomponenten, gerecht zu werden. Falls das auch für Sie relevant und von Interesse ist, kontaktieren Sie uns! Gern geben wir Ihnen hierzu nähere Informationen.