Hoe gegevens, documenten en handtekeningen FDA-conform maken
Doet u zaken met of via de FDA? Moet uw bedrijf of organisatie voldoen aan conformiteitsvereisten die worden opgelegd door de FDA? Met andere woorden: werkt u met producenten in biotechnologie, medicijnen en medische apparatuur, gezondheidszorg, laboratoriumgegevens of medische gegevens en gerelateerde servicebedrijven? Als dat het geval is, zelfs maar een enkele keer, dan bent u mogelijk gebonden aan FDA-richtlijn CFR21 Deel 11.
Voor de meest recente versie van CFR21 raadpleegt u de Electronic Code of Federal Regulations (eCFR).
Het komt erop neer dat de FDA verschillende regels heeft opgelegd in de vorm van de 'Code of Federal Regulations 21' (CFR21) als reactie op de stijgende kosten en beveiligingsproblemen verbonden aan de distributie, de opslag en het terugvinden van documenten. Biotechnologische en farmaceutische bedrijven, en producenten van medicijnen en medische producten die worden gereguleerd door de FDA moeten rekening houden met de CFR21-regelgeving met betrekking tot de bescherming en privacy van consumentengegevens, het beheer van elektronische documenten en de aanvaardingsvereisten voor elektronische documenten en handtekeningen.
Iedereen die zakendoet met een van de bovenstaande soorten bedrijven moet mogelijk ook voldoen aan de conformiteitsvereisten. De Amerikaanse richtlijn CFR21 Deel 11 bevat specifieke regels voor Electronic Records and Electronic Signatures of ERES. Bovendien is Deel 11 van toepassing op wat we doen bij GlobalSign en zijn er beveiligingsproblemen opgetreden met handgeschreven handtekeningen nadat het steeds duidelijker werd dat deze handtekeningen, en de inhoud waarbij deze hoorden, gemakkelijk vervalst konden worden.
CFR21 Deel 11 legt de criteria vast waarvoor ERES worden beschouwd als vertrouwd, betrouwbaar en equivalent voor papieren documenten. Hieronder overlopen we kort de definities, de belangrijkste richtlijnen en hoe het implementeren van PDF Signing-certificaten organisaties kan helpen voldoen aan een aantal van de vereisten van CFR21 Deel 11, in het bijzonder de bepalingen inzake handtekeningen.
ERES in een notendop: vertrouwd – betrouwbaar – equivalent voor papieren documenten
Zoals eerder vermeld, kunnen elektronische records en elektronische handtekeningen (Electronic Records and Electronic Signatures, of ERES) volgens CFR21 Deel 11 worden gecontroleerd en beheerd door een aantal leveranciersoplossingen (waaronder die van GlobalSign), hoewel het belangrijk te weten is dat voor volledige conformiteit andere middelen en activiteiten nodig zijn naast het gebruik van de certificaten van een bepaalde leverancier.
Bij het werken met elektronische records moet de oplossing die u kiest meer specifiek voldoen aan gedetailleerde specificaties van de richtlijn, waaronder:
- Controles voor gesloten systemen
- Controles voor open systemen
- Manifestaties van handtekeningen
- Koppeling van handtekening/record
- Componenten en controles van elektronische handtekeningen
- Controles voor identificatiecodes/wachtwoorden
In dit artikel richten we ons op de koppeling tussen handtekening en record.
Definities graag
Laten we eerst en vooral een aantal definities overlopen, want deze staan letterlijk in de richtlijn:
Digitale handtekening betekent een elektronische handtekening gebaseerd op cryptografische methodes om de auteur te authenticeren, berekend met behulp van een set regels en een set parameters opdat de identiteit van de ondertekenaar en de integriteit van de gegevens geverifieerd kunnen worden.
Elektronische handtekening betekent een compilatie van computergegevens bestaande uit symbolen of een reeks symbolen die worden uitgevoerd, toegepast of geautoriseerd door een persoon als juridisch bindend equivalent van de handgeschreven handtekening van de persoon.
Handgeschreven handtekening betekent de geschreven naam of het juridische merk van een persoon, met de hand geschreven door die persoon en uitgevoerd of toegepast met de bedoeling om een document permanent te authenticeren. De handeling van het ondertekenen met een schrijf- of markeerinstrument zoals een pen of stylus wordt behouden. De geschreven naam of het juridische merk dat normaal gesproken op papier wordt aangebracht, kan ook op andere apparaten worden gebruikt om de naam of het merk vast te leggen.
Een complete lijst met gerelateerde definities vindt u in de richtlijn zelf.
Voldoen aan de vereisten van CFR21 Deel 11 inzake elektronische handtekeningen met digitale certificaten
CFR21 bevat specifieke vereisten voor elektronische handtekeningen, inclusief manifestaties en koppeling aan de record of het document. Digitale handtekeningen, een type elektronische handtekening, voldoen aan deze vereisten. Voor meer informatie over hoe digitale handtekeningen voldoen aan deze vereisten, raadpleegt u onze auditgids. Om een digitale handtekening te kunnen toepassen, hebt u eerst een digitaal certificaat nodig, dat dienstdoet als een soort elektronisch paspoort.
Hoe PDF Signing digitale certificaten bekomen
Voor pdf-documenten (de meest gebruikte documenten in deze gerelateerde sectoren) moeten alle ondertekeningsoplossingen met digitale certificaten deel uitmaken van de Adobe Approved Trust List (AATL) die expliciet vertrouwde handtekeningen produceren in Adobe Reader, Acrobat Standard en Professional software. Het type certificaatlicentie dat u nodig hebt, is bijvoorbeeld afhankelijk van het aantal gebruikers dat handtekeningen nodig heeft:
- Individuele certificaten: Ideaal voor een persoon die pdf's moet ondertekenen.
- Certificaatpakketten via Managed PKI-account: Ideaal voor organisaties met meerdere personen die pdf's moeten ondertekenen en het extra voordeel dat alle certificaten kunnen worden beheerd in één centrale locatie. Dit biedt bulkkortingen en centraliseert het levenscyclusbeheer, inclusief uitgifte, verlenging, intrekking en heruitgifte van certificaten.
Meer middelen om aan de slag te gaan met FDA-conforme digitale handtekeningen
Ondanks inspanningen om digitaal te werken, gebruiken veel organisaties in de biotechnologie, farmaceutische industrie, gezondheidszorg en gerelateerde sectoren nog steeds papier om handtekeningen aan te brengen, wat onpraktisch en inefficiënt is. Digitale handtekeningen vormen een beproefd alternatief voor handtekeningen in inkt en ondersteunen online workflows. Iedereen die in een IT-infrastructuur werkt, raden we aan om het eBook: An Introduction to Digital Signatures te lezen. Dit korte overzicht legt de nadelen van papieren workflows uit, wat een digitale handtekening is en hoe ze werken, waaraan een oplossing voor digitale handtekeningen moet voldoen en hoe u de juiste oplossing voor uw organisatie kiest.
Een andere populaire manier om IT- en beveiligingsverantwoordelijken te informeren over conformiteitsvereisten voor elektronische documenten en handtekeningen is via de webcast: Trusted Digital Signatures: Regulations & Deployment Options. Deze video geeft een overzicht van het proces, de sectoren en regelgeving achter het ondertekenen van documenten, inclusief de voordelen en belemmeringen van digitaal werken, elektronische vs. digitale handtekeningen, motivators en enablers voor conformiteit en technologie, alsook specifieke wereldwijde regelgeving, inclusief:
- CFR21 Deel 11, ESIGN-wet en UETA (VS)
- EMA elektronische handtekeningen (EU)
- eIDAS elektronische identificatie- en vertrouwensservices (EU)
Wij bij GlobalSign hebben onze eigen bijbel samengesteld om te voldoen aan de vereisten van CFR21 Deel 11. Deze vindt u terug in de gratis PDF: CFR21 Part 11 Audit Support - Using GlobalSign’s PDF Signing Certificates. Dit document beschrijft nauwkeurig alle bovenvermelde vereisten en legt uit hoe u digitale pdf-certificaten van GlobalSign kunt installeren en beheren in overeenstemming met CFR21 Deel 11.
Hebt u nog vragen? Geen probleem – we beantwoorden ze graag, ongeacht de oplossing of leverancier die u kiest voor uw conforme digitale certificaten.