1 / 43

Il trattamento dei dati personali nelle sperimentazioni cliniche:

Il trattamento dei dati personali nelle sperimentazioni cliniche: il nuovo provvedimento del Garante del 24.7.2008 Aspetti Tecnici e Requisiti IT. Autore: Giulia M. Valsecchi Data: 16 Dicembre 2008 Riunione sottogruppo GCP- GIQAR. Aspetti tecnici e requisiti IT. Contesto normativo

zubin
Download Presentation

Il trattamento dei dati personali nelle sperimentazioni cliniche:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Il trattamento dei dati personali nelle sperimentazioni cliniche: il nuovo provvedimento del Garante del 24.7.2008 Aspetti Tecnici e Requisiti IT Autore: Giulia M. Valsecchi Data: 16 Dicembre 2008 Riunione sottogruppo GCP- GIQAR

  2. Aspetti tecnici e requisiti IT • Contesto normativo • Valutazione conformità ai requisiti • Alcuni aspetti sull’implementazione • Contesto normativo • Valutazione conformità ai requisiti • Alcuni aspetti sull’implementazione

  3. Integrità Sicurezza Tracciabilità Dati Elettronici: Implicazioni Regolatorie • Controllo Accessi • Prevenzione modifiche • Change Control • Ricostruibilità del dato • CHI, COSA, QUANDO, PERCHE’ • Visibilità del dato prima della modifica L’AFFIDABILITA’ DEI DATI ELETTRONICI VIENE ASSICURATA TRAMITE MISURE ADEGUATE DI SICUREZZA, INTEGRITÀ E TRACCIABILITA’

  4. Contesto normativo • Decreto Legislativo 30 giugno 2003, n.196- Codice in materia di protezione dei dati personali, vigenza 27 febbraio 2004 • Deliberazione n.52 del 24 luglio 2008- Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali

  5. Decreto legislativo 30 giugno 2003-n.196 • Titolo V- SICUREZZA DEI DATI E DEI SISTEMI • CAPO I- MISURE DI SICUREZZA • Articolo 31-Obblighi di sicurezza • CAPO II- MISURE MINIME DI SICUREZZA • Articolo 33-Misure minime • Articolo 34-Trattamenti con strumenti elettronici • ALLEGATO B- Disciplinare tecnico in materia di misure minime di sicurezza

  6. Art. 31 – Obblighi di Sicurezza Decreto legislativo 30 giugno 2003-n.196 • I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. INTEGRITA’ SICUREZZA

  7. Art. 33 – Misure Minime Decreto legislativo 30 giugno 2003-n.196 • Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

  8. Art.34 - Trattamenti con strumenti elettronici Decreto legislativo 30 giugno 2003-n.196 • Misure minime di sicurezza da adottare • autenticazione informatica; • adozione di procedure di gestione delle credenziali di autenticazione; • utilizzazione di un sistema di autorizzazione; • aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

  9. Art.34 - Trattamenti con strumenti elettronici Decreto legislativo 30 giugno 2003-n.196 • [..] • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; • tenuta di un aggiornato documento programmatico sulla sicurezza; • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

  10. Allegato B- Decreto legislativo 30 giugno 2003-n.196 Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: • Sistema di autenticazione informatica • Sistema di autorizzazione • Altre misure di sicurezza • Documento programmatico sulla sicurezza • Ulteriori misure in caso di trattamento di dati sensibili o giudiziari • Misure di tutela e garanzia

  11. CAP.12 -Del.n.52 del 24 luglio 2008- Linee guida CUSTODIA E SICUREZZA DEI DATI La particolare delicatezza dei dati trattati nella sperimentazione impone l'adozione di specifici accorgimenti tecnici per incrementare il livello di sicurezza dei dati (art. 31 del Codice), senza pregiudizio di ogni altra misura minima che ciascun titolare del trattamento deve adottare ai sensi del Codice (art. 33 e ss.). Ciò, con particolare riferimento alle operazioni di registrazionecon strumenti elettronici dei dati delle persone coinvolte nello studio presso i centri di sperimentazione,al loro trasferimento in via telematica verso un unico database presso il promotore o gli altri soggetti che svolgono,per conto di quest'ultimo, la validazione e l'elaborazione statistica dei dati, nonché alla gestione della medesima banca dati. Requisiti dettagliati su: SISTEMI DI MEMORIZZAZIONE E ARCHIVIAZIONE DATI PROTOCOLLI DI COMUNICAZIONE DATABASE

  12. Sistemi di memorizzazione e archiviazione dati • Laddove siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure informatiche di protezione che rendano inintelligibili i dati ai soggetti non legittimati); CAP.12 (a) - Del.n.52 del 24 luglio 2008- Linee guida

  13. Protocolli di comunicazione • Protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati; CAP.12 (b) -Del.n.52 del 24 luglio 2008- Linee guida

  14. Database • Con specifico riferimento al menzionato database: • idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; • procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati del trattamento; • sistemi di audit logper il controllo degli accessi al database e per il rilevamento di eventuali anomalie. CAP.12 (c) -Del.n.52 del 24 luglio 2008- Linee guida

  15. Aspetti tecnici e requisiti IT • Contesto normativo • Valutazione conformità ai requisiti • Alcuni aspetti sull’iplementazione

  16. Valutazione della conformità • Raccolta informazioni generali • Analisi di copertura dei requisiti • Identificazione delle lacune • Definizione del piano di rimedio

  17. Request for Information • Questionario ad hoc orientato a verificare la copertura dei requisiti definiti nell’allegato B e nelle linee guida • Può essere utilizzato internamente alla propria azienda • Può essere inviato alle CRO per valutare lo stato di conformità delle CRO

  18. Obiettivo della Request for Information • Valutare lo stato generale di conformità a fronte di tutti i requisiti normativi relativamente agli aspetti tecnici e IT • Definire eventuali azioni correttive da implementare

  19. Struttura della Request for Information Requisiti definiti in accordo alla struttura dell’ALLEGATO B

  20. Informazioni generali sulla Request for Information • Definizione di informazioni di carattere generale relative ai dispositivi informatici utilizzati dalla propria azienda o da un fornitore di servizi (i.e. CRO). Valutazione impatto ad alto livello sui componenti informatici esistenti

  21. Protocollo Studio: codice del protocollo di studio o ALL se il sistema è comune a tutti i protocolli • Applicazione SW: nome dell’applicazione SW e SW Supplier utilizzata per la gestione dello studio • Database: nome e versione del database che mantiene i dati (e.g. Oracle, MS SQL) • Infrastruttura: identificazione della infrastruttura dove risiede l’applicazione SW e il Database (e.g. interna, se all’interno della CRO; outsourced se mantenuta da terze parti) • Processo Gestito: descrizione processo gestito attraverso l’applicazione SW (e.g. Clinical Trial, Farmacovigilanza, Randomizzazione) • Trasmissione Elettronica: definizione della trasmissione elettronica dei dati dai centri al database (e.g. Si se i dati sono trasmessi elettronicamente dal centro di sperimentazione; No se i dati sono inseriti direttamente nel database all’interno della CRO) • Sistema di Archiviazione/Backup: dispositivi di backup o archiviazione permanente dati Informazioni generali sugli studi clinici

  22. Verifica di conformità • Sono definiti in forma tabellare tutti i requisiti riportati nell’Allegato B e nelle linee guida. • Per ogni requisito la si dovrà riportare lo stato di conformità compilando opportuni campi.

  23. Verifica di conformità dei requisiti CAMPI DA COMPILARE PER OGNI REQUISITO: • Stato Conformità (CONFORME/NON CONFORME/ NON APPLICABILE): valutazione di conformità a fronte del requisito • Razionale: Descrizione del razionale della valutazione di conformità presa a fronte del requisito coinvolto (specificarlo sia in caso di conformità che di non conformità) • Sistemi informatici: laddove applicabile, riferimento ai sistemi informatici che gestiscono uno o più elementi del requisito richiesto o parte di esso • Procedure: laddove applicabile, riferimento alle procedure operative che gestiscono uno o più elementi del requisito richiesto o parte di esso

  24. Esempio di form utilizzato per la verifica di conformità

  25. I requisiti - Autenticazione

  26. I requisiti - Autenticazione

  27. I requisiti - Autenticazione

  28. I requisiti - Autenticazione

  29. I requisiti - Autorizzazione

  30. I requisiti – Altre misure di sicurezza

  31. I requisiti – Altre misure di sicurezza

  32. I requisiti – Documento programmatico della sicurezza

  33. I requisiti – Documento programmatico della sicurezza

  34. I requisiti – Documento programmatico della sicurezza

  35. I requisiti – Documento programmatico della sicurezza

  36. I requisiti – Misure di tutela e garanzia

  37. Definizione del piano di rimedio • Identificazione delle azioni di rimedio • Classificazione azioni (procedurale/tecnica) • Identificazione delle responsabilità • Pianificazione dei tempi MONITORAGGIO

  38. Aspetti tecnici e requisiti IT • Contesto normativo • Valutazione conformità ai requisiti • Alcuni aspetti sull’implementazione

  39. Sistemi di memorizzazione dati • Crittografia dei dati del DB relativa agli studi clinici • Implementazione SW di terze parti compatibile con il DB esistente, disponibili anche SW Open source • Valutare tutti i possibili rischi (verificare l’eventuale recupero dei dati)

  40. Sistemi di archiviazione dati • Backup dei dati • Crittografia dei dati sul nastro di backup • Nei Sistemi convalidati sono già implementate misure di backup in accordo al 21 CFR Parte 11 e Annex 11 • L’applicazione di backup esistente potrebbe già fornire funzionalità di crittografia dati

  41. Protocolli di comunicazione • Protocolli di comunicazioni sicuri basati su standard crittografici • Implementazione di PKI (Public Key Infrastructure) mediante acquisto di certificato tramite opportuna authority • Installazione del certificato in modo da realizzare trasmissioni su HTTPS (HyperText Transport Protocol Secure)

  42. Sistemi di autenticazione e autorizzazione • Accesso al sistema con user ID e password • Profili utenti configurati sul sistema in accordo ai ruoli di ogni utente • Audit log per il controllo accessi • Verifica periodica degli accessi e dei profili utenti • Nei sistemi convalidati sono già implementate tali misure in accordo al 21 CFR Parte 11 e Annex 11

  43. Grazie Giulia M. ValsecchiPharma Quality Europeg.valsecchi @pqe.it+39 348 7152266

More Related