Regeln für elektronische Aufzeichnungen der Umweltstabilitätskammer

Unterabschnitt A – Allgemeine Bestimmungen
Sec. 11.1 Geltungsbereich.

(a) Die Vorschriften in diesem Teil legen die Kriterien fest, nach denen die Behörde elektronische Aufzeichnungen, elektronische Unterschriften und handschriftliche Unterschriften auf elektronischen Aufzeichnungen als vertrauenswürdig, zuverlässig und im Allgemeinen gleichwertig mit auf Papier ausgeführten Aufzeichnungen und handschriftlichen Unterschriften betrachtet.

(b) Dieser Teil gilt für Aufzeichnungen in elektronischer Form, die erstellt, geändert, gepflegt, archiviert, abgerufen oder übertragen werden, gemäß den Aufzeichnungsanforderungen, die in behördlichen Vorschriften festgelegt sind. Dieser Teil gilt auch für elektronische Aufzeichnungen, die der Behörde unter den Anforderungen der Federal Food vorgelegt werden , Arzneimittel- und Kosmetikgesetz und Gesetz über den öffentlichen Gesundheitsdienst, auch wenn solche Aufzeichnungen in behördlichen Vorschriften nicht ausdrücklich gekennzeichnet sind. Dieser Teil gilt jedoch nicht für Papieraufzeichnungen, die auf elektronischem Wege übermittelt werden oder wurden.

(c) Wenn elektronische Signaturen und die zugehörigen elektronischen Aufzeichnungen die Anforderungen dieses Teils erfüllen, betrachtet die Behörde die elektronischen Signaturen als gleichwertig mit vollständig handschriftlichen Unterschriften, Initialen und anderen allgemeinen Unterschriften, wie sie in den Behördenvorschriften vorgeschrieben sind, sofern nicht ausdrücklich durch geltende Vorschriften ausgenommen oder nach dem 20. August 1997.

(d) Elektronische Aufzeichnungen, die die Anforderungen dieses Teils erfüllen, können anstelle von Papieraufzeichnungen gemäß 11.2 verwendet werden, es sei denn, Papieraufzeichnungen sind ausdrücklich erforderlich.

(e) Computersysteme (einschließlich Hardware und Software), Kontrollen und die dazugehörige Dokumentation, die unter diesem Teil geführt werden, müssen für eine FDA-Inspektion leicht verfügbar sein und einer FDA-Inspektion unterliegen.

(f) Dieser Teil gilt nicht für Aufzeichnungen, die gemäß 1.326 bis 1.368 dieses Kapitels erstellt oder geführt werden müssen. Aufzeichnungen, die die Anforderungen von Teil 1, Unterabschnitt J dieses Kapitels erfüllen, aber auch nach anderen anwendbaren gesetzlichen Bestimmungen oder Verordnungen erforderlich sind, unterliegen weiterhin diesem Teil.

Sek. 11.2 Umsetzung.

(a) Für Aufzeichnungen, die aufbewahrt, aber nicht der Behörde vorgelegt werden müssen, können Personen elektronische Aufzeichnungen anstelle von Papieraufzeichnungen oder elektronische Unterschriften anstelle herkömmlicher Unterschriften ganz oder teilweise verwenden, sofern die Anforderungen dieses Teils erfüllt sind.

(b) Für Aufzeichnungen, die der Behörde vorgelegt werden, können Personen elektronische Aufzeichnungen anstelle von Papieraufzeichnungen oder elektronische Unterschriften anstelle herkömmlicher Unterschriften ganz oder teilweise verwenden, vorausgesetzt, dass:

(1) die Anforderungen dieses Teils erfüllt sind; und
(2) Das einzureichende Dokument oder Teile des Dokuments sind im öffentlichen Aktenzeichen Nr. 92S-0251 als die Art der Einreichung gekennzeichnet, die die Agentur in elektronischer Form akzeptiert. In diesem Verzeichnis wird genau angegeben, welche Arten von Dokumenten oder Teilen von Dokumenten für die Einreichung in elektronischer Form ohne Papieraufzeichnungen akzeptabel sind, sowie die Empfangseinheit(en) der Agentur (z. B. bestimmte Zentren, Büros, Abteilungen, Zweigstellen), an die solche Einreichungen gerichtet werden können. Dokumente an die Empfangsstelle(n) der Agentur, die nicht im öffentlichen Register angegeben sind, gelten nicht als amtlich, wenn sie in elektronischer Form eingereicht werden; Papierformen solcher Dokumente gelten als offiziell und müssen allen elektronischen Aufzeichnungen beigefügt werden. Von den Personen wird erwartet, dass sie sich mit der beabsichtigten Empfangsstelle der Behörde in Verbindung setzen, um Einzelheiten darüber zu erfahren (z. B. Übertragungsmethode, Medien, Dateiformate,

Sek. 11.3 Definitionen.

(a) Die in Abschnitt 201 des Gesetzes enthaltenen Definitionen und Auslegungen von Begriffen gelten für diese Begriffe, wenn sie in diesem Teil verwendet werden.

(b) Die folgenden Definitionen von Begriffen gelten auch für diesen Teil:
(1) Gesetz bedeutet das Federal Food, Drug, and Cosmetic Act (Sek. 201-903 (21 USC 321-393)).
(2) Agentur bezeichnet die Food and Drug Administration.
(3) Biometrie bezeichnet eine Methode zur Überprüfung der Identität einer Person auf der Grundlage der Messung der körperlichen Merkmale oder der wiederholbaren Handlung(en) der Person, wobei diese Merkmale und/oder Handlungen sowohl für diese Person einzigartig als auch messbar sind.
(4) Geschlossenes System bedeutet eine Umgebung, in der der Systemzugriff von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen im System verantwortlich sind.
(5) Digitale Signatur ist eine elektronische Signatur, die auf kryptografischen Verfahren zur Authentifizierung des Urhebers basiert und unter Verwendung einer Reihe von Regeln und einer Reihe von Parametern berechnet wird, sodass die Identität des Unterzeichners und die Integrität der Daten überprüft werden können.
(6) Elektronische Aufzeichnung bedeutet jede Kombination aus Text, Grafiken, Daten, Audio-, Bild- oder anderen Informationsdarstellungen in digitaler Form, die von einem Computersystem erstellt, geändert, gepflegt, archiviert, abgerufen oder verbreitet wird.
(7) Elektronische Unterschrift bedeutet eine Computerdatenzusammenstellung eines beliebigen Symbols oder einer Reihe von Symbolen, die von einer Person ausgeführt, angenommen oder autorisiert wurde, um das rechtsverbindliche Äquivalent der handschriftlichen Unterschrift der Person zu sein.
(8) Handschriftliche Unterschrift bezeichnet den geschriebenen Namen oder das rechtsgültige Kennzeichen einer Person, die von dieser Person handschriftlich geschrieben und mit der gegenwärtigen Absicht ausgeführt oder übernommen wurde, eine Schrift in dauerhafter Form zu authentifizieren. Der Akt des Unterschreibens mit einem Schreib- oder Markiergerät wie Kugelschreiber oder Stylus bleibt erhalten. Der geschriebene Name oder das rechtsgültige Zeichen kann, obwohl es herkömmlicherweise auf Papier aufgebracht wird, auch auf andere Vorrichtungen aufgebracht werden, die den Namen oder das Zeichen erfassen.
(9) Offenes System bezeichnet eine Umgebung, in der der Systemzugriff nicht von Personen kontrolliert wird, die für den Inhalt elektronischer Aufzeichnungen im System verantwortlich sind.

Unterabschnitt B – Elektronische Aufzeichnungen
Sec. 11.10 Kontrollen für geschlossene Systeme.
Personen, die geschlossene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen Verfahren und Kontrollen anwenden, die darauf ausgelegt sind, die Authentizität, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen zu gewährleisten und sicherzustellen, dass der Unterzeichner die signierten Aufzeichnungen nicht ohne weiteres widerlegen kann nicht echt. Solche Verfahren und Kontrollen umfassen Folgendes:

(a) Validierung von Systemen, um Genauigkeit, Zuverlässigkeit, konsistente beabsichtigte Leistung und die Fähigkeit, ungültige oder geänderte Aufzeichnungen zu erkennen, sicherzustellen.

(b) Die Fähigkeit, genaue und vollständige Kopien von Aufzeichnungen sowohl in menschenlesbarer als auch in elektronischer Form zu erstellen, die für die Inspektion, Überprüfung und Vervielfältigung durch die Behörde geeignet sind. Personen sollten sich an die Behörde wenden, wenn es Fragen bezüglich der Fähigkeit der Behörde gibt, eine solche Überprüfung und Kopie der elektronischen Aufzeichnungen durchzuführen.

(c) Schutz von Aufzeichnungen, um deren genauen und schnellen Abruf während der Aufbewahrungsfrist der Aufzeichnungen zu ermöglichen.

(d) Beschränken des Systemzugriffs auf autorisierte Personen.

(e) Verwendung von sicheren, computergenerierten Audit-Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Bedienereingaben und -aktionen, die elektronische Aufzeichnungen erstellen, ändern oder löschen. Änderungen an Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verschleiern. Diese Audit-Trail-Dokumentation muss mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und muss für eine Überprüfung und Vervielfältigung durch die Behörde verfügbar sein.

(f) Verwendung von Betriebssystemprüfungen, um gegebenenfalls die erlaubte Abfolge von Schritten und Ereignissen durchzusetzen.

(g) Verwendung von Berechtigungsprüfungen, um sicherzustellen, dass nur autorisierte Personen das System verwenden, einen Datensatz elektronisch signieren, auf die Operation oder das Computersystem-Eingabe- oder -Ausgabegerät zugreifen, einen Datensatz ändern oder die vorliegende Operation ausführen können.

(h) Verwendung von Geräte- (z. B. Terminal-)Prüfungen, um gegebenenfalls die Gültigkeit der Quelle der Dateneingabe oder Betriebsanweisungen zu bestimmen.

(i) Feststellung, dass Personen, die Systeme für elektronische Aufzeichnungen/elektronische Signaturen entwickeln, warten oder verwenden, über die Ausbildung, Schulung und Erfahrung verfügen, um die ihnen zugewiesenen Aufgaben auszuführen.

(j) Die Einrichtung und Einhaltung von schriftlichen Richtlinien, die Einzelpersonen für Handlungen verantwortlich machen, die unter ihren elektronischen Signaturen eingeleitet werden, um Aufzeichnungen und Signaturfälschungen zu verhindern.

(k) Verwendung geeigneter Kontrollen über die Systemdokumentation, einschließlich:
(1) Angemessene Kontrollen über die Verteilung von, den Zugang zu und die Verwendung von Dokumentation für Systembetrieb und -wartung.
(2) Revisions- und Änderungskontrollverfahren zur Aufrechterhaltung eines Audit-Trails, der die zeitliche Entwicklung und Änderung der Systemdokumentation dokumentiert.

Sek. 11.30 Kontrollen für offene Systeme.

Personen, die offene Systeme verwenden, um elektronische Aufzeichnungen zu erstellen, zu ändern, zu pflegen oder zu übertragen, müssen Verfahren und Kontrollen anwenden, die dazu bestimmt sind, die Authentizität, Integrität und gegebenenfalls die Vertraulichkeit elektronischer Aufzeichnungen vom Zeitpunkt ihrer Erstellung bis zu ihrem Empfang sicherzustellen. Solche Verfahren und Kontrollen umfassen gegebenenfalls die in 11.10 identifizierten sowie zusätzliche Maßnahmen wie die Dokumentenverschlüsselung und die Verwendung geeigneter Standards für digitale Signaturen, um die Authentizität, Integrität und Vertraulichkeit der Aufzeichnungen zu gewährleisten, sofern dies unter den Umständen erforderlich ist.

Sek. 11.50 Unterschriftsmanifestationen.

(a) Signierte elektronische Aufzeichnungen müssen mit der Signierung verbundene Informationen enthalten, die alle folgenden Angaben eindeutig enthalten:

(1) Der gedruckte Name des Unterzeichners;
(2) Datum und Uhrzeit der Unterzeichnung; und
(3) die mit der Signatur verbundene Bedeutung (z. B. Überprüfung, Genehmigung, Verantwortung oder Urheberschaft).

(b) Die in den Absätzen (a)(1), (a)(2) und (a)(3) dieses Abschnitts identifizierten Elemente unterliegen den gleichen Kontrollen wie elektronische Aufzeichnungen und sind als Teil jeder für Menschen lesbaren Datei enthalten Form der elektronischen Aufzeichnung (z. B. elektronische Anzeige oder Ausdruck).

Sek. 11.70 Signatur-/Datensatzverknüpfung.
Elektronische Unterschriften und handschriftliche Unterschriften, die auf elektronischen Aufzeichnungen ausgeführt werden, müssen mit ihren jeweiligen elektronischen Aufzeichnungen verknüpft werden, um sicherzustellen, dass die Unterschriften nicht herausgeschnitten, kopiert oder anderweitig übertragen werden können, um eine elektronische Aufzeichnung mit gewöhnlichen Mitteln zu fälschen.

Unterabschnitt C – Elektronische Signaturen

Sec. 11.100 Allgemeine Anforderungen.

(a) Jede elektronische Signatur darf nur für eine Person bestimmt sein und darf nicht von jemand anderem wiederverwendet oder neu zugewiesen werden.

(b) Bevor eine Organisation die elektronische Signatur einer Person oder irgendein Element einer solchen elektronischen Signatur einrichtet, zuweist, zertifiziert oder anderweitig sanktioniert, muss die Organisation die Identität der Person überprüfen.

(c) Personen, die elektronische Unterschriften verwenden, müssen vor oder zum Zeitpunkt einer solchen Verwendung der Behörde bescheinigen, dass die elektronischen Unterschriften in ihrem System, die am oder nach dem 20. August 1997 verwendet werden, dazu bestimmt sind, das rechtsverbindliche Äquivalent traditioneller handschriftlicher Unterschriften zu sein.
(1) Die Bescheinigung ist in Papierform einzureichen und mit traditioneller handschriftlicher Unterschrift zu unterzeichnen beim Office of Regional Operations (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) Personen, die elektronische Signaturen verwenden, haben auf behördliche Anforderung zusätzlich zu beglaubigen oder zu bezeugen, dass eine bestimmte elektronische Signatur das rechtsverbindliche Äquivalent zur eigenhändigen Unterschrift des Unterzeichners ist.

Sek. 11.200 Komponenten und Kontrollen elektronischer Signaturen.

(a) Elektronische Signaturen, die nicht auf biometrischen Daten basieren, müssen:
(1) mindestens zwei eindeutige Identifikationskomponenten wie einen Identifikationscode und ein Passwort verwenden.

(i) Wenn eine Einzelperson während eines einzigen, kontinuierlichen Zeitraums mit kontrolliertem Systemzugang eine Reihe von Unterschriften ausführt, muss die erste Unterschrift unter Verwendung aller elektronischen Unterschriftskomponenten ausgeführt werden; Nachträgliche Signaturen müssen mit mindestens einer elektronischen Signaturkomponente ausgeführt werden, die nur von der Person ausführbar und nur für die Verwendung durch die Person bestimmt ist.

(ii) Wenn eine Einzelperson eine oder mehrere Unterschriften ausführt, die nicht während eines einzigen, kontinuierlichen Zeitraums des kontrollierten Systemzugangs vorgenommen wurden, muss jede Unterschrift unter Verwendung aller elektronischen Unterschriftskomponenten ausgeführt werden.

(2) nur von ihren echten Eigentümern verwendet werden; und

(3) verwaltet und ausgeführt werden, um sicherzustellen, dass die versuchte Verwendung der elektronischen Signatur einer Person durch eine andere Person als ihren echten Eigentümer die Zusammenarbeit von zwei oder mehr Personen erfordert.

(b) Auf biometrischen Daten basierende elektronische Signaturen müssen so gestaltet sein, dass sichergestellt ist, dass sie nur von ihren echten Eigentümern verwendet werden können.

Sek. 11.300 Kontrollen für Identifikationscodes/Passwörter.
Personen, die elektronische Signaturen auf der Grundlage von Identifikationscodes in Kombination mit Passwörtern verwenden, müssen Kontrollen anwenden, um ihre Sicherheit und Integrität zu gewährleisten. Diese Kontrollen umfassen:

(a) Aufrechterhaltung der Eindeutigkeit jeder Kombination aus Identifikationscode und Passwort, so dass keine zwei Personen dieselbe Kombination aus Identifikationscode und Passwort haben.

(b) Sicherstellen, dass Identifikationscode- und Passwortausgaben regelmäßig überprüft, zurückgerufen oder überarbeitet werden (z. B. um Ereignisse wie das Altern von Passwörtern abzudecken).

(c) Befolgung von Verlustmanagementverfahren zur elektronischen Deautorisierung verlorener, gestohlener, fehlender oder anderweitig potenziell kompromittierter Token, Karten und anderer Geräte, die Identifikationscodes oder Passwortinformationen enthalten oder generieren, und zur Ausstellung vorübergehender oder dauerhafter Ersatzgeräte unter Verwendung geeigneter, strenger Kontrollen.

(d) Verwendung von Transaktionssicherungen, um die unbefugte Verwendung von Passwörtern und/oder Identifikationscodes zu verhindern und um unverzüglich und dringend alle Versuche ihrer unbefugten Verwendung zu erkennen und an die Systemsicherheitseinheit und gegebenenfalls an das Organisationsmanagement zu melden.

(e) Anfängliches und regelmäßiges Testen von Geräten wie Token oder Karten, die Identifikationscodes oder Passwortinformationen enthalten oder generieren, um sicherzustellen, dass sie ordnungsgemäß funktionieren und nicht auf unbefugte Weise verändert wurden.