Record elettronici e firme elettroniche

Quando si implementa Dynamics 365 Guides in un'azienda regolamentata, è richiesto l'uso dei record elettronici e delle firme elettroniche (in misura maggiore o minore) per garantire la tracciabilità e il rispetto della conformità ai requisiti normativi.

Ad esempio, la sezione 21 CFR Part 11 è una sezione del Code of Federal Regulations (CFR) che definisce il regolamento della Food and Drug Administration (FDA) degli Stati Uniti relativo all'uso dei record elettronici e delle firme elettroniche nel settore delle scienze biologiche. La sezione stabilisce i criteri che determinano se i record elettronici e le firme elettroniche sono accurati, autentici, affidabili, attendibili, riservati ed equivalenti ai record cartacei e alle firme autografe.

La tabella seguente riassume la sezione 21 CFR Part 11.

Area	Definizioni
Ambito	La sezione 21 CFR Part 11 si applica a tutti i record elettronici creati, modificati, mantenuti, archiviati, recuperati o trasmessi ai sensi del regolamento della FDA (regole predicato).
Gestione dei record elettronici	La convalida del sistema informatico richiede: Creazione della sequenza del flusso di lavoro imposta dal sistema. Accessibilità ai record accurata e completa per tutto il periodo di conservazione dei record.
Audit trail	L'audit trail deve includere: Un indicatore di data e ora generato dal computer per tutte le modifiche. Identificazione dell'operatore/firmatario. Scopo della firma. L'audit trail deve essere disponibile per tutto il periodo di conservazione dei record.
Sicurezza	Il controllo degli accessi in base al ruolo deve essere implementato per impedire accessi non autorizzati. Devono essere applicate linee guida per la gestione di ID/password, firme elettroniche e controllo della documentazione di sistema.
Firme elettroniche	Ogni firma elettronica deve essere univoca per un singolo individuo e non deve essere riutilizzabile. La manifestazione della firma in forma leggibile dall'uomo deve utilizzare almeno due distinti componenti di identificazione, come un ID e una password. Prima di essere utilizzata, l'autorità vincolante della firma elettronica deve essere certificata dalla FDA.

I requisiti della sezione 21 CFR Part 11 si applicano come stabilito dalle regole predicato della FDA. I requisiti dei record e delle firme devono essere rispettati dalle aziende che utilizzano sistemi digitali per gestire i processi e la documentazione relativi alla conformità.

La sezione 21 CFR Part 11 si applica ai record che devono essere conservati ai sensi dei requisiti normativi applicabili, tra cui:

• Record che vengono mantenuti in formato elettronico invece che nel formato cartaceo.
• Record non identificati nelle normative FDA ma accettati dalla FDA in formato elettronico.

Record elettronici

I record elettronici sono dati e informazioni creati, modificati, archiviati, recuperati e distribuiti da un sistema informatico.

Firme elettroniche

Una firma elettronica è un insieme di dati elettronici crittografati che accompagna o è associato a un documento elettronico. Le sue funzioni fondamentali sono l'identificazione inequivocabile del firmatario e la garanzia dell'integrità delle informazioni e dei dati nel documento firmato.

La firma elettronica garantisce:

• Autenticità: la persona che ha firmato fa parte delle informazioni del documento.
• Integrità: dopo che il documento è stato firmato, i record non possono essere più modificati.
• Non ripudio: la persona che ha firmato elettronicamente non può negare di essere la firmataria.

Firme digitali (diverse dalle firme digitalizzate)

Le firme digitali sono un tipo di firma elettronica che ha un livello di sicurezza più elevato. Per eseguire la firma digitale è necessario utilizzare un nome utente e due chiavi. Una chiave è pubblica e l'altra è privata.

Audit trail

Gli audit trail sono giornali di registrazione o record di modifiche che vengono apportate a record elettronici da utenti o da processi che operano per conto di un utente. I dati devono essere protetti da modifiche ed eliminazioni non autorizzate per consentire il rilevamento e le indagini a posteriori delle violazioni della sicurezza.

Gli audit trail:

• Devono essere generati dal computer.
• Non possono essere modificati dalla persona che li ha creati.
• Devono indicare quando i dati (record) sono stati inseriti per la prima volta e da quale utente.
• Devono indicare chi ha apportato le modifiche e quando.

Sicurezza

L'accesso deve essere limitato alle persone autorizzate. La FDA raccomanda che:

• Ogni utente del sistema abbia un account individuale.
• Il sistema sia progettato per limitare il numero di tentativi di accesso e per registrare i tentativi di accesso non autorizzati.
• Gli utenti possano lavorare solo con i propri profili utente, che comprendono ID utente univoci e password individuali.
• Agli utenti venga impedito di accedere al sistema in un modo che consenta a un altro utente di accedere al sistema.
• Le password o altre chiavi di accesso siano modificate solo a intervalli prestabiliti.
• Gli utenti si disconnettano dal sistema quando lasciano una workstation.
• Sia installata una protezione automatica che si attiva dopo brevi periodi di inattività per evitare l'immissione di dati non autorizzati.

Altro materiale di supporto relativo alla sezione 21 CFR Part 11

• Sistemi elettronici, record elettronici e firme elettroniche nelle indagini cliniche: domande e risposte (bozza delle linee guida per il settore)
• Part 11, Record elettronici e firme elettroniche: ambito e applicazione (linee guida per il settore)