3.
4.3 der ISO 17 025 – Dokumentenlenkung
die Lenkung von Daten und Aufzeichnungen
(Schutz und Sicherheit der Daten)
(Pkt. 4.13.1.4 und 5.4.7.2)
die Beschaffung von Ausrüstung (Pkt. 4.6)
die Wartung, Instandhaltung, Kalibrierung,
Validierung der Einrichtungen und
Aufzeichnungen darüber
(Pkt. 5.5.2, 5.5.5, 5.5.11 und 5.5.12)
elektronische Übermittlung von
Ergebnisberichten (Pkt. 5.10.7)
Krenn / Sieberth 26.11.13
3
4.
6.2.13 wenn die Inspektionsstelle im Zusammenhang
mit ihren Inspektionen Computer oder selbsttätig
wirkende Einrichtungen benutzt die Computersoftware für ihren Verwendungszweck
geeignet ist;
Dies kann erfolgen durch:
◦ Validierung der Berechnungen vor dem Einsatz;
◦ periodische Revalidierung der zugehörigen Hardware und
Software;
◦ Revalidierung bei Änderungen an der entsprechenden
Hardware oder Software;
◦ Durchführung von Softwareupdates bei Bedarf;
◦ Verfahren zum Schutz der Integrität und Sicherheit der
Daten eingeführt und umgesetzt sind;
◦ Computer und selbsttätig wirkende Geräte so gewartet
werden, dass ihre ordnungsgemäße Arbeitsweise
sichergestellt ist.
Krenn / Sieberth 26.11.13
4
5.
8.3 Lenkung von Dokumenten
Genehmigung vor Herausgabe
Laufende Aktualisierung / Überprüfung
Relevante Fassungen am Arbeitsplatz
Lesbarkeit/ Identifizierbarkeit
Lenkung der Verteilung
Ungültige kennzeichnen
Die Dokumentation kann in jeder Form oder jeder
Medienart erfolgen und schließt urheberrechtlich
geschützte sowie unternehmensinterne Software mit ein.
8.4 Lenkung von Aufzeichnungen
Krenn / Sieberth 26.11.13
5
6.
Norm schließt „Informationssysteme“ das
Management von Daten und Informationen ein
◦ sowohl in Computersystemen
◦ als auch in nicht computergestützten Systemen .
Einige Anforderungen können für Computersysteme
geeigneter sein als für nicht computergestützte
Systeme.
Computerisierte Systeme umfassen:
◦ diejenigen Systeme, die für das Funktionieren der Laborgeräte
wesentlich sind
◦ unabhängige Systeme, die die allgemeine Software nutzen
(Textverarbeitung, Tabellenkalkulation etc.) und Datenbankanwendungen, die Patienteninformationen erzeugen,
abgleichen, berichten und archivieren sowie Berichte erstellen.
Krenn / Sieberth 26.11.13
6
7.
Festlegen für das Management des
Informationssystems
einschließlich Instandhaltung
und Modifizierung
◦ des Informationssystems
◦ (der Informationssysteme),
◦ die die Patientenversorgung beeinträchtigen können
Regelung betreffend:
◦
◦
◦
◦
Patientendaten und -informationen abrufen;
Patientendaten und Untersuchungsergebnisse eingeben;
Patientendaten oder Untersuchungsergebnisse ändern;
die Freigabe von Untersuchungsergebnissen und
Befundberichten genehmigen
Krenn / Sieberth 26.11.13
7
8.
System für die Erfassung, Verarbeitung,
Aufzeichnung, Berichtsabfassung, Speicherung
oder den Abruf von Untersuchungsdaten.
Informationen sind:
◦ durch den Lieferanten zu validieren
◦ durch das Laboratorium auf Funktionstüchtigkeit mit allen
am System genehmigten, dokumentierten und vor der
Umsetzung verifizierten Änderungen nachzuprüfen
Funktionstüchtigkeit der Schnittstellen zwischen dem IT-System
des Laboratoriums und weiteren Systemen, wie den Laborinstrumenten, Patientenverwaltungssystemen des Krankenhauses und Systeme der Erstversorgung ist davon ebenso
betroffen
Krenn / Sieberth 26.11.13
8
9. System muss:
dokumentiert sein und allen Anwendern zugänglich
gegen unbefugten Zugriff geschützt
gegen Manipulation oder Verlust abgesichert
in Umgebung betrieben, die den Spezifikationen des
Lieferanten entspricht
Unversehrtheit der Daten und Informationen
sicherstellt und das Aufzeichnen von Systemfehlern
sowie die angemessenen Sofort- und
Korrekturmaßnahmen einschließen
mit nationalen oder internationalen Anforderungen
bezüglich des Datenschutzes übereinstimmen
Krenn / Sieberth 26.11.13
9
10. Das Laboratorium muss verifizieren:
dass die Untersuchungsergebnisse, zugehörige
Informationen und Bemerkungen durch die
externen Informationssysteme außerhalb des
Laboratoriums genau wiedergegeben werden
(z. B. Computersysteme, Faxgeräte, Email,
Website, persönliche webfähige Geräte usw.)
System muss auch Änderungen so an Patienten /
Kunden weitergeben
Krenn / Sieberth 26.11.13
10
11.
Notfallpläne für IT-Ausfälle damit
Dienstleistungen aufrecht erhalten werden
können
Bei externer Wartung / Betreuung:
◦ Gewährleisten dass der Betreiber/ Anbieter alle
Forderungen der ISO 15 189 erfüllt
◦ Verantwortlichkeit liegt bei Labor
Krenn / Sieberth 26.11.13
11
12.
L18 Version 03-20121219
Eurolab Technical Report No. 2/2006 October
2006: GUIDANCE FOR THE MANAGEMENT OF
COMPUTERS AND SOFTWARE IN
LABORATORIES WITH REFERENCE TO ISO/IEC
17025/2005
Eurolab „Cook Book“ – Doc No. 12 (– use of
excel sheets !!!)
Eurolab „Cook Book“ – Doc No. 13 (Rohdaten !
4.13.1.1 ff.)
Krenn / Sieberth 26.11.13
12
15.
Genaue Definition der Methoden
Genaue Definition der Ergebnisse
◦ Rohdaten
◦ Prüfpunkte
◦ Parameter / Analysenergebnis
Eingabe von Hand
Elektronische Datenübermittlung
Krenn / Sieberth 26.11.13
15
16.
JA / NEIN
Lesbarkeit (Akkreditierungszeitraum)
Welches Format
Nicht veränderbar
Methodenbezug
Personenbezug
Krenn / Sieberth 26.11.13
16
17.
Was soll das LIMS können:
◦ Nur Abbildung der Werte
◦ Oder Weiterbearbeitung
Berechnungen
Statistische Kenndatenermittlung
Prüfmittelüberwachung
Prüfung von Kenndaten (Aufwand/ Pflege)
Auswerteoptionen
◦ Arbeitsbereich
◦ Wiederholbarkeit
◦ Grenzwerte (gesetzl. Grundlagen)
◦ Kennzahlen
für Review
Tätigkeitsbericht
Internes Controlling
Krenn / Sieberth 26.11.13
17
18. Appendix 1.IT adaption Eurolab Techn. Report 2/2006
17025 and other
possible
requirements/needs
Low IT-control
requirement
Medium IT-control
requirement
High ITcontrol requirement
1-3
4.1 Organisation
Not of interest
Paper systems for
Records retained or
organisational
accessed primarily via IT
management and
systems, but hard copy
documentation; IT only forms definitive record or
used in generating paper
is always available.
for permanent record.
4.2 Management
System
4.3 Document control
Comments
Records maintained only
on IT systems;
authority assignments
rely on IT applications.
Scheduling etc rely
heavily on IT
applica-tions.
Personal information held
on IT systems.
Appoint a responsible
person for the computer
system. Risk depends of
the complexity of the
system
See document control
Purely paper system. IT
only used to produce the
papers
Records retained or
accessed primarily via IT
systems, but hard copy
forms definitive record or
is always available.
Fully computerised
Availability main problem.
system for quality
Watch out for the access
documentation
to the electronic versions.
management, authorisa- See sections 4.3.2.2.a &
tion and version control. 5.4.1
It is important to also
control write access.
Krenn / Sieberth 26.11.13
18
19.
Leitfaden L18_Computer_V03_20121219
◦ Anhang A (informativ) RISIKOANALYSE beim Einsatz
von COMPUTERSYSTEMEN
3.2.1 Datensicherung
3.2.2 Virenschutz
3.2.3 Unberechtigte Zugriffe von außen
Krenn / Sieberth 26.11.13
19
20.
JA / NEIN / teilweise
JA / teilweise: Prozessansatz / Abläufe
◦ Definition (nur Plausibilitätsprüfung)
◦ Beschreibung (Workflow)
◦ Schlüsselpersonal (Definition)
Krenn / Sieberth 26.11.13
20
21.
Verbindung Labor und IT gewährleisten
Key User
◦ Anzahl
◦ Einbindung entscheidender Hierarchieebenen
◦ Einschulung
• Zeitmanagement
Krenn / Sieberth 26.11.13
21
22.
Alle Vorgaben dort abgebildet
Umfang der benötigten Beschaffung
Personalaufwand (Vorbereitung)
Personalaufwand (Umsetzung)
Definition der Aufgabenverteilung
Zeitplan / Milestones
Budget
Krenn / Sieberth 26.11.13
22
23.
Leitfaden L18_Computer_V03_20121219
Anhang A (informativ)
RISIKOANALYSE beim Einsatz von
COMPUTERSYSTEMEN Fragenkatalog und
technische Hinweise zur Risikoanalyse beim
Einsatz von Computersystemen
Krenn / Sieberth 26.11.13
23
24.
1.1 Technische Risiken
◦ 1.2 Organisatorische Risiken
2. Sicherheitsanalyse
◦ 2.1 Ist-Zustand
◦ 2.2 Auswirkungen bei Verlust von Daten
◦ 2.3 Sensibilitäten der einzelnen
Anwendungen
Krenn / Sieberth 26.11.13
24
26.
Bevor neue Geräte / Software angeschafft sollte eine
Rsikoanalyse durchgeführt werden betreffend:
◦ Identifizierung möglicher Ereignisse die Vorgaben der ISO 17 025
verletzten (zB NICHT korrektes Ergebnis)
◦ Abschätzung der Wahrscheinlichkeit des Eintretens des
Ereignisses
◦ Identifizierung der Auswirkungen dieses Ereignisses
◦ Massnahmen zur Vermeidung dieser Situation (Standards
benutzen, RMs,…)
◦ Kostenabschätzung - wenn oben genannte Ereignisse eintreten
◦ Korrelation der geschätzten Kosten mit der erwarteten Häufigkeit
◦ Massnahmen
◦ Office oder Testing Software
Risikoanalyse legt den Umfang und die Art der Validierung
und Ihre Methoden fest
Krenn / Sieberth 26.11.13
26