Kvalitetssikring av IT-systemer på akkrediterte laboratorier (NA Dok. 51)

Like dokumenter
NA Dok. nr. 51 Kvalitetssikring av IT-systemer på akkrediterte laboratorier

Akkrediteringsdagen Vanlige avvik i Mat-og miljølaboratorier Ann Kristin Lindgaard akl@akkreditert.no

Akkreditering av prøvetaking og feltarbeid

NA Dok 26C Krav til kalibrering og kontroll av volumetrisk utstyr for akkrediterte prøvingslaboratorier

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Releasenotes. Visma AutoPay. Versjon

Som en del av den kontinuerlige utviklingen av systemet vil Visma Software AS kunne endre sammensetningen av pakkeløsninger, moduler og funksjoner.

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Akkreditering av PasientNær Analysering (ved Rikshospitalet) Pasientnær analysering april 2018, Tromsø

NA Dok. 26b Dokumentets tittel: Krav til kalibrering og kontroll av termometre for akkrediterte laboratorier.

NORSK AKKREDITERING TRYGGHET OG ANERKJENNELSE

INSTALLASJONSVEILEDNING

Felles datanett for kommunene Inderøy, Verran og Steinkjer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Sikkerhetskopiering og gjenoppretting

GJENNOMGANG UKESOPPGAVER 9 TESTING

Digitale arealplaner. Arkivloven Lars-Jørgen Sandberg, Riksarkivet

Sikkerhetskopiering og gjenoppretting

Brukerveiledning for programmet HHR Animalia

Installasjonsveiledning PowerOffice SQL

Sikkerhetskopiering og gjenoppretting Brukerhåndbok

Brukerveiledning Mobilsynkronisering Nokia N97 mini

Guide. Valg av regnskapsprogram

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

NAs erfaring fra bedömming av IT-systemer ved medisinske laboratorier

Software installasjon og andre ettertanker

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Lønnsendring i Excel Integrert med Visma Lønn (VAF) Oppdatert

NY PÅ NETT. Operativsystemer

VG2 Elenergi Programfag: Data- og elektronikksystemer ELE 2003

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Verifisering av PCR baserte metoder

Innledning Program. Innledning - Agenda. Kjemi og Mikrobiologi

Sikkerhetskopiering og gjenoppretting Brukerhåndbok

Sikkerhetskopiering og gjenoppretting Brukerhåndbok

Akkrediteringsprosessen og bedømminger NORSK AKKREDITERING TRYGGHET OG ANERKJENNELSE

Installasjon av FINALE Årsoppgjør og FINALE Rapportering i ASP-miljø

Sikkerhetskopiering og gjenoppretting Brukerhåndbok

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Visma CRM Nyheter og forbedringer Side 1

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

INSTALLASJONSVEILEDNING

ALT! Hvorfor kvalitetssikring? KVALITETSSIKRING AV MIKROBIOLOGISKE ANALYSER. Pål A. Jenum. Kvalitetssikring. Hva er kvalitetssikring?

1 INNLEDNING Om Altinn Skjemaer som støttes INSTALLASJON OG OPPSTART Nedlasting Registrering...

Klargjøring av begreper

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

Geometra. Brukermanual. Telefon:

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Bilag 6 Vedlegg 3 Definisjoner

TESS Hose Management konseptet

Optimal driftssikkerhet

4.2 Sikkerhetsinstruks bruker

INSTALLASJONSVEILEDNING OPPDATERING TIL VERSJON 5. Mamut Installasjonsveiledning DETALJERT STEG-FOR-STEG VEILEDNING I HVORDAN

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten.

Sikkerhetskrav for systemer

Sikkerhetsinstruks bruker

Visma Reconciliation NYHETER OG FORBEDRINGER

Flytte Lønn 5.0 fra SQL 2000 til SQL 2005 / 2008

Brukerveiledning Versjon 1.3

Semicolon)kokebok)2.0$! Sjekkliste!ved!endring!og!etablering!av! informasjonsutveksling!!!

Forskrift om endringer i forskrift 28.desember 2007 nr om krav til elektrisitetsmålere.

INSTALLASJONSVEILEDNING

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Web funksjoner generelt

Beskrivelse av informasjonssystemet

Representasjon av tall på datamaskin Kort innføring for MAT-INF1100L

Kvalitetssikring av arkivene

HP Easy Tools. Administratorhåndbok

Retningslinje for risikostyring for informasjonssikkerhet

Validering og verifisering av metoder innen kjemisk prøving. Akkrediteringsdagen 2. desember 2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Akkreditering av prøvetaking på renseanlegg

Læringsmål og pensum. Oversikt. Systemprogramvare Operativsystemer Drivere og hjelpeprogrammer. To hovedtyper programvare

Konfigurasjon av inrx og Megalink

Installasjonsveiledning

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

NEPSY-II. Installasjonsveiledning og programvaremanual, versjon 1.0. Copyright 2014 NCS Pearson, Inc. Art.nr: All kopiering forbudt!

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Nasjonal database (ND) for klassifikasjonssystem for helsebygg

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Validering. Jo-Atle Karlsen Ingeniør. Nasjonalt kompetansesenter for dekontamineringstjenester Avd. for smittevern Oslo Universitetssykehus

Datasystemer og informasjonssystemer

Installasjonsveiledning Visma Avendo, versjon 5.2

PERSONVERN - THERMOCONNECT Gyldig fra 25. mai 2018.

Mamut. Installasjonsveiledning. Oppdatering til versjon Detaljert steg-for-steg veiledning i hvordan oppdatere ditt datax-program fra Mamut

Mamut. Installasjonsveiledning. Oppdatering til versjon Detaljert steg-for-steg veiledning i hvordan oppdatere ditt datax-program fra Mamut

I. Oversikt over tjenesten Service på stedet neste arbeidsdag (NBD - Next Business Day)

DOKUMENTASJON E-post oppsett

Måleusikkerhet, bruk av kontrollkort og deltakelse i sammenliknende laboratorieprøvinger innen kjemisk prøving

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

DIGITALE REDSKAPER. Turid V Tveiten, Salg, service og sikkerhet

Visma Reconciliation NYHETER OG FORBEDRINGER

Brukermanual. Trio Visit Web. Trio Enterprise 5.0

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Akkrediteringsdagen g Nyheter fra Norsk akkreditering. Hilde M. A. Eid NORSK AKKREDITERING TRYGGHET OG ANERKJENNELSE.

Transkript:

Kvalitetssikring av IT-systemer på akkrediterte laboratorier (NA Dok. 51) / Dok.id.: Veiledning/Guidance Formål Formålet med dette dokumentet er å gi en del retningslinjer for bruk og validering av IKT-systemer på akkrediterte laboratorier. Veiledningen er skrevet i henhold til kravene gitt i NS-EN ISO/IEC 17025. Innhold Definisjoner... 1 1. Innledning... 2 2. Generelt... 2 3. Maskinvare... 2 4. Programvare... 3 4.1. Hyllevare som har stor utbredelse... 3 4.2. Kommersiell programvare som har liten utbredelse... 3 4.3. Egenutviklet programvare, regneark etc.... 3 4.4. Validering ved oppgradering av validert programvare... 4 4.5 Programmer som har vært i bruk lenge ved laboratoriet... 4 5. Datasystemer som er integrert med instrumenter/utstyr... 4 6. Kommunikasjon mellom uavhengige systemer... 4 7. Dokumentstyring og arkivering... 4 8. Sikkerhetskopiering... 5 9. Elektronisk signatur... 5 10. Rapporter gitt ut på elektronisk format... 5 11. Referanser... 5 Definisjoner Validering: En planlagt og systematisk gjennomgang for å dokumentere at et system virker etter hensikten. Verifisering: En kontroll av at systemet fungerer tilfredsstillende i laboratoriets omgivelser. Systemet har på forhånd vært validert. LIMS/LIS: Laboratory Information (Management) System. Betegnelse på et IT-system som støtter virksomheten i et laboratorium, lagrer data og utfører ulike former for informasjonsbehandling. (f.eks. prøveregistrering, beregninger, prøvingsrapporter). Konfidensialitet: Hindre uautorisert tilgang til data. Integritet: Sikre at data ikke blir endret uten at dette er planlagt Tilgjengelighet: Sikre at data er tilgjengelige når det er behov for det. Maskinvare (Hardware): Et fysisk instrument hvor dataprogrammer utføres. Dette kan være en frittstående datamaskin eller en integrert del av annen apparatur. Programvare (Software): Dataprogram eller datakode. Dette kan være et frittstående program (f.eks. et LIS/LIMS eller et regnearkprogram), eller en integrert del av et apparat som en kalkulator. 1(5)

Risikoanalyse: Systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Risikoanalysen utføres ved kartlegging av uønskede hendelser, og årsaker til og konsekvenser av disse. I mange tilfeller vil det være tilstrekkelig å identifisere sannsynlige feil, slik at de nødvendige elementer kan valideres. 1. Innledning Prinsipielt er det ingen forskjell mellom å benytte papirbaserte eller IKT-baserte systemer. Kravene i akkrediteringsstandarden NS-EN ISO/IEC 17025 skal følges i begge tilfellene. Det finnes også en mer spesialisert standard for medisinske laboratorier, ISO 15189. Laboratorier som velger å følge denne, finner veiledning i et informativt appendiks til denne standarden. Bruken av IKT-systemer varierer mye fra laboratorium til laboratorium. Noen laboratorier benytter kanskje et enkelt regneark til å beregne resultatene, mens andre bruker et helautomatisk system med integrasjoner. Denne veiledningen er ment for alle typer laboratorier som benytter IKT. På grunn av den store spennvidden i bruken av data og det faktum at utviklingen skjer svært raskt, er denne veiledningen ikke uttømmende. Intensjonen med veiledningen er å gi noen retningslinjer slik at det blir lettere for laboratoriene å utarbeide et system for kvalitetssikring av informasjonsbehandlingen. 2. Generelt Laboratoriet må påse at det har full kontroll over sine IKT-systemer og at bruken av dem er i henhold til kravene i akkrediteringsstandarden. Som for andre operasjoner på laboratoriet må dette beskrives i kvalitetssystemet. Elementer som ansvar og myndighet, opplæring etc. må være på plass, men da disse er av generell karakter er disse ikke omhandlet i denne veiledningen. Ethvert IKT-system skal være validert før det tas i bruk, på lik linje med metoder og utstyr. Det stilles ikke krav til at denne valideringen må utføres av laboratoriet, dersom det kan dokumenteres, at for eksempel produsent, eller andre brukere av samme system har validert systemet på en tilfredsstillende måte. Dersom systemet er validert før det ankommer laboratoriet, vil det være tilfredsstillende at laboratoriet verifiserer at systemet fungerer tilfredsstillende slik det er installert på lokalt utstyr og infrastruktur. Kritiske funksjoner må testes i forbindelse med denne verifiseringen. Det er viktig at et IKT-system valideres i henhold til bruksområde og hvilke konsekvenser det får dersom noe er feil. Dersom et system har funksjoner som ikke anvendes, er det ikke nødvendig å validere disse. For å validere det som er nødvendig og å unngå unødig arbeid, bør laboratoriet gjennomføre en risikoanalyse før valideringsarbeidet starter. Når et system skal valideres er det tre hovedfaktorer som må undersøkes i tillegg til at systemet fungerer etter hensikten/spesifikasjonen: konfidensialitet, integritet og tilgjengelighet. 3. Maskinvare Det meste av kommersiell maskinvare er tilstrekkelig kontrollert av produsent, og det er derfor vanligvis unødvendig at laboratoriet validerer utstyret. Men som for annet utstyr, må det gjennomgå en mottakskontroll. Det bør opprettes en logg eller tilsvarende hvor informasjon om maskinvare med tilhørende programvare registreres. Her må all service, feilretting, vedlikehold og lignende registreres. I tillegg må det finnes informasjon om hvilke versjoner av programmer, konfigurasjonsdata, beslutningsalgoritmer etc. som er benyttet i et gitt tidsrom. Laboratoriet må loggføre alle endringer og viktige hendelser også i forbindelse med drift og systemadministrasjon. 2(5)

4. Programvare 4.1. Hyllevare som har stor utbredelse Kommersiell programvare som benyttes av svært mange er det normalt unødvendig å validere. Med stor utbredelse menes programvare som brukes av millioner av brukere. Et program som bare brukes av noen få tusen regnes ikke som hyllevare, og må dermed valideres. Eksempler på systemer som det normalt ikke er nødvendig å validere er operativsystemer som UNIX og Windows samt programmer som Microsoft Word, Microsoft Excel, etc. At et system har "stor" utbredelse, er ingen garanti for at det er feilfritt. Det finnes eksempler på at det har vært feil i funksjoner og statiske beregninger i regnearkprogrammer. Hvis laboratoriet bruker spesielle funksjoner eller har krav til stor nøyaktighet i beregninger, bør disse funksjonene valideres. 4.2. Kommersiell programvare som har liten utbredelse For større systemer som for eksempel LIS/LIMS, er det ofte utført en grunnvalidering av programvaren hos produsenten. Denne er som regel ikke dekkende for laboratoriets anvendelse av systemet. En grunn til dette kan være at systemet som regel konfigureres forskjellig hos de ulike brukere. Det er laboratoriets ansvar å skaffe dokumentasjon på at programvaren er validert hos produsenten. Alternativt må laboratoriet selv gjennomføre valideringen. Laboratoriet må i tillegg validere implementeringen av systemet, samt eventuelle forandringer i forhold til standardprogrammet. En slik validering vil i stor grad bestå av å la det flyte kjente data gjennom de deler av systemet som benyttes, og registrere at alt fungerer som det skal. I tillegg skal kritiske funksjoner kontrolleres, som for eksempel: Regner formlene riktig? Fungerer systemet dersom det benyttes feil desimalseparator, eller at det skrives en bokstav i et tallfelt? Fungerer passordsystemet, og virker begrensninger i skrive- og lese rettigheter slik de skal? Registreres måleverdier utenfor det akkrediterte måleområde som ikke-akkrediterte prøvinger/kalibreringer i prøvingsrapporten/kalibreringsbeviset? Registreres opprinnelig verdi ved endringer av data? Finnes det sikkerhetskopi av konfigurasjonsfilene? Kalibrering: Rapporteres det resultat med måleusikkerhet bedre enn beste målenøyaktighet som angitt i akkrediteringsdokumentet? 4.3. Egenutviklet programvare, regneark etc. Egenutviklet programvare og omfattende regneark skal valideres. Denne valideringen må som regel være mer omfattende enn det som er angitt i punkt 4.2. Enklere regneark, som har innvirkning på kvaliteten av arbeidet, må valideres og sikres for å unngå uønskede effekter. Følgende må minst vurderes/kontrolleres: Beskyttelse av regnearkceller, maler etc. Begrense tilgang til malen og resultatfilene (f.eks. passordbeskyttelse). Dokumentstyre ulike versjoner av malen. Teste at formler regner riktig og at systemet fungerer tilfredsstillende. 3(5)

4.4. Validering ved oppgradering av validert programvare En liten forandring i programkoden kan påvirke andre deler av programmet. Ved oppgradering av et program må derfor laboratoriet gjøre en vurdering av om det må utføres en ny fullstendig validering, eller om det er tilstrekkelig å kontrollere de nye funksjonene og teste noen få av de viktigste funksjonene. 4.5 Programmer som har vært i bruk lenge ved laboratoriet Dersom laboratoriet har brukt et dataprogram over lang tid, vil ofte eventuelle feil i programmet ha blitt påvist. Det finnes eksempler på laboratorier som har gitt ut gale resultater i lang tid på grunn av feil i programvaren. Det må derfor vurderes i hvert enkelt tilfelle om det er nødvendig med en ny validering. 5. Datasystemer som er integrert med instrumenter/utstyr Dersom et datasystem er en integrert del av, eller er knyttet direkte til et analyseinstrument/prøvingsutstyr, kan det anses som en del av instrumentet. Det vil derfor ikke være nødvendig å validere datasystemet separat. I stedet kan det valideres som en del av instrumentet. Det er her viktig å merke seg at ved oppgradering av programvaren, må det foretas en validering selv om instrumentet/utstyret ikke er endret. 6. Kommunikasjon mellom uavhengige systemer En del laboratorier benytter flere uavhengige systemer som utveksler informasjon. Noen LIS/LIMS utveksler også informasjon med systemer utenfor laboratoriet. På medisinske laboratorier kan for eksempel systemet hente personopplysninger fra pasientdatabaser eller folkeregisteret og sende svarrapporter elektronisk til kundene. I tillegg til å validere de enkelte systemene, er det nødvendig at dataoverføringen mellom systemene valideres. Dersom et av systemene modifiseres, vil det være nødvendig å kontrollere dataoverføringene på nytt. Dersom det jevnlig overføres data som kan ha innvirkning på resultatet, bør overføringen testes med faste intervaller. 7. Dokumentstyring og arkivering Det stilles de samme krav til dokumentstyring av programvare og maskinvare som annet utstyr. Det vil blant annet si at laboratoriet må ha en oversikt over hvilke versjoner som har vært i bruk for et angitt tidsrom. Laboratoriet må også ta vare på tidligere versjoner av programmer, konfigurering av systemet, loggføringer etc. Dette gjelder også egenutviklede regneark som utfører beregninger som kan påvirke resultatet av målinger. Det stilles de samme krav til arkivering av informasjon knyttet til IKT-systemer som for annet utstyr, som for eksempel rådata og resultater fra validering. Det må være sporbart hvem som har gjort de enkelte arbeidsoperasjoner. Det må i tillegg være sporbart hvem som har utført registreringer og eventuelt gjort endringer av data i systemet. Dersom sporbarheten ikke kan registreres i datasystemet, kan det opprettes en papirbasert logg. 4(5)

8. Sikkerhetskopiering Det skal tas sikkerhetskopi av alle data hvor det stilles arkiveringskrav. Sikkerhetskopien skal som et minimum foreligge på et annet fysisk medium. Dette må være sikret på en slik måte at kopien ikke går tapt ved tap av hoveddataene. Det er laboratoriets ansvar at sikkerhetskopiering blir utført. Ved programoppdatering eller bytte av system må det påses at tilgangen til historiske data ikke går tapt. 9. Elektronisk signatur En del laboratorier har dokumenter og rapporter på elektronisk format uten at det finnes en tilsvarende papirutgave med signatur. En forutsetning for et slikt dokument er at laboratoriet har et system som entydig identifiserer den som har godkjent dokumentet/rapporten. Det ideelle ville være å bruke et system for elektronisk signatur. Siden disse systemene foreløpig ikke har noen stor utbredelse, og ikke alltid kan integreres i de dataprogrammer som laboratoriet bruker, aksepteres inntil videre enklere løsninger. Hva slags løsning som velges, vil være avhengig av hvor viktig det er å sikre at det ikke forekommer misbruk. En løsning som vil være akseptabel i mange tilfeller er: Dokumentet inneholder et signaturfelt hvor navnet på den som har godkjent dokumentet/rapporten automatisk settes inn (gjerne med blokkbokstaver). Den som er inne i dataprogrammet kan altså ikke selv skrive noe i signaturfeltet. Hvilket navn som blir satt inn må knyttes til en innlogging (brukeridentifikasjon og passord). NA skal godkjenne slike systemer før de kan tas i bruk. 10. Rapporter gitt ut på elektronisk format Det stilles de samme krav til innholdet i elektroniske rapporter som til papirbaserte rapporter. Standarden aksepterer forenklede rapporter i tillegg til fullstendige rapporter. En forenklet rapport må på forhånd avtales med kunden. Kunden skal ha tilgang til all nødvendig informasjon som ikke er tatt med i rapporten. Under valideringen av systemet er det viktig at den også inkluderer overføringen til kunden og at det påses at rapporten som kommer frem til kunden, er identisk med den som ble sendt. Når laboratoriet kun bruker elektronisk rapportering og arkivering, er det spesielt viktig at laboratoriet har et system som fanger opp endringer i rapporten. Laboratoriet må kunne reprodusere både den opprinnelige rapporten og endringsrapporten i ettertid. I en del situasjoner har laboratoriet en resultatdatabase hvor kunden selv henter sine resultater. Hvis et slikt system skal benyttes, må laboratoriet spesielt påse og kunne dokumentere: At kunden kun har tilgang på sine egne resultater. At kunden ikke skal kunne endre noe i resultatdatabasen. At kunden er tilstrekkelig opplært i å hente ut de riktige resultatene og nødvendig tilleggsinformasjon. At kunden er kjent med at enkeltresultater ikke kan tas ut og presenteres uten laboratoriets godkjenning. NA skal godkjenne bruk av elektronisk rapportering før den kan tas i bruk. 11. Referanser 5(5)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding