Viele Hersteller erstellen mit ihren Produkten sogenannte Audit-Trails, auch Audit-Logs genannt. Teilweise sind die Hersteller dazu verpflichtet, teilweise schränken Gesetze diese Audit-Trails ein.
Dieser Artikel fasst zusammen, worauf insbesondere Medizinproduktehersteller achten sollten, wenn sie mit Audit-Trails arbeiten.
Anmerkung: Dieser Artikel verwendet die Begriffe „Audit-Trail“ und „Audit-Log“ synonym.
1. Definition des Begriffs Audit-Trail
Die FDA definiert einen Audit-Trail als eine sichere, computergenerierte und zeitgestempelte elektronische Aufzeichnung, die es erlaubt, den Verlauf von Ereignissen nachzuvollziehen, die etwas mit dem Erstellen, dem Ändern oder dem Löschen von elektronischen Aufzeichnungen zu tun haben.
Beispielsweise dokumentieren viele Software-Systeme wichtige Aktionen der Anwender in Audit-Trails bzw. Audit-Logs, um rückwirkend Fehler beheben können.
2. Notwendigkeit von Audit-Trails
Es gibt mehrere Gründe, weshalb auch im Umfeld von Medizinprodukten Audit-Trails eingesetzt werden:
- Gesetzliche Vorgaben erfüllen (mehr dazu weiter unten)
- Fehlersuche für Service und Entwicklung unterstützen
- Wartungsintervalle nutzungsabhängig bestimmen
- Rückmeldungen von Anwenderverhalten erhalten, z. B. um Produkt zu verbessern, Überlast oder Missbrauch zu identifizieren
- Sicherheitsprobleme wie Einbruchsversuche aufdecken
- Nutzerbasierte Abrechnung/Bezahlung ermöglichen
3. Inhalte von Audit-Trails
a) Allgemeines
Ein Audit-Trail sollte alle Informationen enthalten, die notwendig sind, um nachvollziehen zu können,
- wer
- was
- wann
- weshalb getan (eingegeben, gelöscht, geändert) hat.
Audit-Logs sind somit Daten-Tupel, die oft zeilenweise protokolliert werden. Beispiele für diese Daten-Tupel sind:
- Zeitpunkt
- Aktion (einfügen, ändern, löschen)
- Parameter (z. B. Temperatur, Alter)
- Ursprünglicher Wert (leer beim Einfügen)
- Neuer Wert (leer beim Löschen)
b) Beispiel
Die FDA nennt in dieser Leitlinie als Beispiel für die Daten in einem Audit-Trail für einen HPLC (Gerät für die Hochleistungsflüssigkeitschromatografie):
- Benutzername
- Datum und Zeit (oft millisekundengenau)
- Verwendete Integrationsparameter
- Details zur Verarbeitung
- Begründungen, wenn eine erneute Verarbeitung notwendig ist
c) Automatisches versus manuelles Erzeugen
Diese Informationen werden teilweise von den Geräten automatisch erzeugt, teilweise von Hand eingegeben. Einen Überblick dazu bietet die folgende Tabelle.
| Information | Automatisiert / Manuell | Beispiel, Kommentar |
|---|---|---|
| Anwender (ID) | Automatisiert | z. B. von den Login-Daten oder NFC-Chip |
| Ereignis, Kommando | Automatisiert |
|
| Daten, die vom Anwender oder dem System erzeugt, geändert oder gelöscht werden | Meist automatisiert |
|
| Zeitstempel | Automatisiert | Systemzeit regelmäßig und automatisiert über einen „Time Server“ aktualisieren |
| Begründungen | Manuell entweder als Freitext eingeben oder von Liste mit häufigen Begründungen auswählen | Wenn vom normalen Prozessablauf abgewichen wird, z. B.
|
| System, Gerät | Automatisiert | Notwendig, wenn mehrere Systeme in eine Log-Datei schreiben; dann ggf. weitere Parameter wie Gerätename, IP und Session |
4. Regulatorische Anforderungen an Audit-Trails
Spezifische Regularien legen fest, wann Audit-Logs erstellt werden müssen und welchen Anforderungen diese genügen müssen.
a) Anforderungen der FDA
Die FDA fordert im 21 CFR Part 11, dass immer dann Audit-Logs angelegt werden müssen, wenn Dokumente nur elektronisch erzeugt und unterschrieben werden.
Die FDA hat das Guidance-Dokument „Data Integrity and Compliance with CGMP“ veröffentlicht, in dem sie die Anforderungen an die Audit-Trails weiter spezifiziert. Dazu zählt auch das Review dieser Audit-Trails.
Bezüglich der IT-Security schreibt die FDA dort:
Implement design features that allow for security compromises and suspected compromise attempts to be detected, recognized, logged, timed, and acted upon during normal use
Quality System Considerations and Content of Premarket Submissions
b) Anforderungen der Normen
Die IEC 62304 spricht zwar im Kapitel 5.2 (Software-Anforderungen) auch von Audit-Trails (die sie peinlicherweise mit Audio-Pfad übersetzt), sie fordert sie aber nicht. Sie fordert nur, dass Anforderungen an die Audit-Trails in den Software-Anforderungen zu spezifizieren sind, wenn es diese Trails überhaupt gibt.
Auch aus der Dokumentenlenkung konform ISO 13485 folgt, dass der Auditor nachvollziehen können muss, wer wann was geändert hat.
c) Weitere Anforderungen
Auch die EU fordert (vergleichbar mit FDA Part 11) in der GMP-Richtlinie im Anhang 11 Audit-Trails. Dass beide Male die Nummer 11 verwendet wird, ist Zufall.
d) Einschränkungen beim Erstellen von Audit-Trails
Es gibt nicht nur die Pflicht zum Erstellen von Audit-Trails, sondern auch Einschränkungen dabei:
- Die DSGVO fordert, dass personenbezogene Daten nicht ohne Rechtsgrundlage verarbeitet werden dürfen. Ein Audit-Log, das protokolliert, wer zu welcher Uhrzeit was tut, enthält personenbezogene Daten.
- Die DSGVO räumt den betroffenen Personen das Recht auf Änderungen und das Löschen von personenbezogenen Daten ein.
- In Deutschland muss der Betriebsrat involviert werden, falls Daten erfasst werden, die Rückschlüsse auf die Aktivitäten und damit Leistung der Mitarbeitenden erlauben.
5. Erzeugen von Audit-Trails
a) Formate der Audit-Trails
Häufig findet man Audit-Trails in folgenden Formaten
- CSV (Komma-getrennte Werte – in Deutschland durch Strichpunkte getrennt)
- XML
- YAML
- JSON
Es ist auch nützlich, sich an Log-Formaten zu orientieren wie SysLog, Common Log Format und SNMP.
b) Tools
Für das Erzeugen von Log-Dateien stehen für die verschiedenen Programmiersprachen zahlreiche Bibliotheken wie Log4J für Java oder Microsofts Enterprise Library für die Microsoft-Sprachen zur Verfügung.
c) Schutz der Audit-Trails vor Änderungen
Die Herausforderung besteht darin, fälschungssichere Audit-Logs zu generieren. Dafür gibt es mehrere Möglichkeiten:
- Sowohl die Log-Einträge als auch ganze Blöcke von Log-Einträgen mit Hash-Werten versehen. Einen wissenschaftlichen Fachartikel dazu finden Sie hier, einen weiteren hier.
- Audit-Logs in Verzeichnisse schreiben, auf die nur das erzeugende System Schreibrechte hat
- Audit-Logs in Versionsverwaltungssystem schreiben
- Block-Chain-Techniken anwenden, die mit jedem Log-Eintrag die Integrität der ganzen Historie sichern
- File-Monitore einsetzen, die den Zugriff überwachen und unautorisierte Zugriffe melden
d) Schutz der Audit-Trails vor Verlust
Audit-Trails sind elektronische Aufzeichnungen, für die die gleichen Sicherungsmechanismen Anwendung finden wie für alle anderen elektronischen Dateien. Dazu gehören u. a.
- Backups
- Verteiltes Speichern
- Eingeschränkter Zugriff auf Dateien
- Passwort-Policies
6. Zusammenfassung und Fazit
a) Regulatorische Anforderungen
Als Medizinproduktehersteller müssen Sie Audit-Trails (nur) dann erzeugen, wenn Sie papiergebundene Unterschriften durch elektronische Unterschriften ersetzen wollen. Das betrifft die Entwicklung ebenso wie die Produktion oder andere Prozesse.
Allerdings besteht eine zumindest indirekte Pflicht zu Audit-Logs durch das Guidance-Dokument der FDA zur Cybersecurity.
Zusätzlich müssen Sie Audit-Trails implementieren, wenn dies aus dem regulatorischen Kontext Ihrer Kunden verlangt ist, z. B. aufgrund von GxP-Anforderungen.
Die Inhalte der Audit-Logs müssen die Anforderungen an den Datenschutz erfüllen.
b) Erzeugen von Audit-Trails
Bibliotheken machen es den Herstellern einfach, Audit-Logs zu erstellen. Sie stellen aber nicht immer sicher, dass die erzeugten Logs vor Änderungen und Verlust geschützt sind. Darum muss sich dann der Hersteller kümmern.
Änderungshistorie
- 2023-03-13: Beitrag neu strukturiert
- 2016-07-11: Erste Version
Ein kleiner, aber wichtiger Aspekt beim Speichern vom Audittrail: Zeitstempel sollten unbedingt auch die Zeitzone beinhalten.
Das war das erste, was ein GxP Auditor bei uns zum Thema Audittrail geprüft hatte und da gibt es seiner Auskunft nach regelmäßig Findings.
Danke, das ist ein wichtiger Hinweis!
Guten Tag,
ich habe in diesem Zusammenhang eine Frage: der Audit Trail ist ebenso, wie Zugriffsschutz oder Backup/Restore et.al. essentieller Bestandteil von Data Integrity. Hierzu gibt es im Pharmaumfeld mittlerweile einschlägige Guidelines der Behörden. Wie sieht es dazu im Medizinprodukte Umfeld aus?
Und kann ich aus irgendeiner regulatorischen Anforderung oder Norm ableiten, dass computergestützte Systeme eine Netzwerkanbindung haben müssen?
Viele Grüsse,
Chr. Kunath
Im Pharma-Umfeld haben die Behörden keine hilfreichen Anforderungen formuliert. Der PIC/S ist nicht wirklich dienlich. Der 21 CFR part 11 und der GAMP5 sind Dokumente, die in diesem Kontext zu betrachten sind.
Im Medizinprodukte-Umfeld gibt es die harte Anforderung nach einem Audit-Trail nur von der FDA (Cybersecurity Guidance). Die IEC 62304 erwähnt ihn nur in einer „Note“ in Kapitel 5.2.
Es gibt keine regulatorische Anforderung nach einer Netzwerkanbindung.
Danke für die Rückmeldung.
Meines Erachtens gibt es im Pharma-Umfeld zum Thema Data Integrity mittlerweile einige Guidelines, angefangen mit der MHRA (2015), über die WHO (2015), FDA (2016) bis hin zur PDA(2016) und EMA (2016).
Gibt es vergleichbare Anforderungen für das Medizinprodukte-Umfeld?
Hallo,
Wenn ich in meinem AuditLog Patientennamen verwenden würde, könnte ich sie nicht aus datenschutzrechtlichen Gründen löschen, wenn ich nur Referenzen/IDs verwende sind diese evt. nicht mehr rückverfolgbar, wenn die Daten gelöscht wurden.
Gibt es da eine Lösung in den betreffenden Normen?
Sehr geehrter Herr Thomas,
danke für die spannende Frage!
Hier könnte Pseudonymisierung helfen, d.h. das Log enthält die IDs bzw. Referenzen, die Datenbank oder ein anderer Datenspeicher würde helfen, die Referenzen aufzulösen.
Man muss aber im Sinne der DSGVO (security by design) überlegen, ob es überhaupt notwendig ist, dass man Patienten oder Personen im Log identifizieren muss. Dafür bedarf es eines berechtigten Interesses.
Beste Grüße, Christian Johner
Ich bin mir erst einer konkreten Anwendung von Blockchaintechnologie im GxP Bereich Bewusst. Sie schreiben es als wäre es ein Standard. Ich bin aber ebenso sehr neu in diesem Bereich und kenne noch gar keine konktrete Anbieter von entsprechenden Systemen. Kennen sie weitere angebotene Systeme, welche diese Form der Blockchainbasierten Audit Trails nutzen?
Sehr geehrter Herr Klein,
ich wollte nicht den Eindruck erwecken, dass das der Standard sei, als ich schrieb, dass es mehrere Möglichkeiten gäbe, das zu realisieren. Dass Auditlogs mit Blockchain-Technologien gegen Veränderung zu schützen ist in der Tat nicht usus. Als Möglichkeit gehört es aber m.E. genannt.
Beste Grüße, Christian Johner
Guten Tag,
nochmals eine Frage zum Umgang mit der DSGVO. Da das Audit-trail fordert, das „die Person“, welche die Änderung durchgeführt hat erfasst wird ergibt sich bereits die Fragestellung nach dem Umgang mit personenbezogenen Daten.
Ich habe allerdings keine Aussage gefunden in, welcher Form die Person erfasst werden soll, wodruch eine Pseudonymisierung erlaubt ist.
Haben sie hier näheres bzw Erfahrungen?
Zu dem ersten Beitrag, wenn der Zeitstempel unbedingt auch die Zeitzone beinhalten soll spricht man von UTC. Was ist wenn die lokale Zeit gespeichert wird? Nicht in UTC! Hier habe ich ebenfalls keine Beschreibung oder Einschränkung gefunden.
viele Grüße
Sehr geehrter Herr Becker,
eine Pseudonymisierung ist absolut möglich. Bei Audit-Trail werden auch nicht nur Personen, sondern auch Systeme geloggt.
Im Sinner des Grundsatzes der Datensparsamkeit sollte man überlegen, welche Daten man überhaupt mit welchem Ziel loggen will. Aber auch dann kann es zu Zielkonflikten kommen. Im Zweifel ist die Einholung der Genehmigung, die Daten zu verarbeiten, immer der Königsweg.
Beste Grüße, Christian Johner
Sehr geehrter Herr Becker,
es gibt keine spezifischen Anforderungen an die Art des Audit-Logs. Daher gibt es weder Einschränkungen noch Forderungen nach einer Pseudonymisierung noch nach einem spezifischen Time Code. Das ist nur eine Empfehlung, um Probleme mit Zeitzonen und mit Zeitumstellungen zu minimieren.
Beste Grüße, Christian Johner
Guten Tag zusammen,
das Unternehmen für welches ich arbeite, stellt unter anderem auch Anlagen zur Erzeugung von Medizinprodukten her.
Ein aktueller Kunde von uns hat bemängelt, dass auf den ausgedruckten Audit-Trails keine Logos der Unternehmen stünden (Kunde + Hersteller). Das Argument hierbei war, dass man den Audit-Trail auch in Excel erstellen könnte und man ohne die Logos nicht die Gewissheit hätt, dass das auch die original Dateien der Anlage sind.
Jetzt meine Frage: Ist irgendwo vorgeschrieben, wie das Layout des Audit-Trails auszusehen hat? Oder muss dies in der URS des Kunden definiert werden?
Beste Grüße,
Denis van Egeren
Sehr geehrter Herr von Egeren,
das ist wirklich eine interessante Forderung. Es gibt keine regulatorische Vorgaben, die ein Logo verlangen würde. Es gibt regulatorische Vorgabe zur Lenkung von Dokumenten und Aufzeichnungen. Dazu zählen auch Audit-Logs.
Diese Vorgaben fordern u.a., dass erkennbar ist, wer das Dokument wann erstellt hat und dass Änderungen daran nicht unbemerkt vorgenommen werden können.
Ein Logo ist kein wirksames Mittel, um eine dieser Anforderungen zu erfüllen.
Geben Sie gerne Bescheid, wenn Ihre Frage noch nicht beantwortet wäre.
Viele Grüße
Christian Johner
Hallo Zusammen,
Ich habe eine Frage zur elektronischen Signatur in den Audit Trail Logfiles.
Ist eine elektronische Signatur (z.B. UserID + Passworteingabe) für jede einzelne Änderung notwendig?
Oder ist es ausreichend als User im System angemeldet zu sein? Im Logfile wird dann die Änderung mit der UserID des aktuell angemeldeten Benutzers dokumentiert.
Viele Grüße
S. Kreutz
Lieber Herr Kreutz,
Einer der Hauptzwecke des Audittrails ist die Aufzeichnung von Aktionen bzgl. der im System verwalteten Electronic Records. Erzeugen, ändern oder löschen sind dabei die Aktionen bzgl. einer Aufzeichnung oder einem qualitätsrelevanten Parameter, die im Audit Trail nachvollziehbar sein sollen. Damit ist nicht zwangsläufig ein Signaturvorgang verbunden. Records können auch durch das System erzeugt, geändert oder gelöscht werden – das muss im Audittrail nachvollziehbar sein.
Signieren werden Sie beispielsweise Freigaben (wie im Artikel erwähnt Dokumentenfreigaben oder direkt die Freigabe von Produkten/Chargen und zugehörigen elektronischen Aufzeichnungen im System), Vorgänge wie Wartung (z.B. werden die Datensätze eines Wartungsruns im System eindeutig in Form einer elektronischen Signatur mit dem Nutzer verknüpft) oder dass ein bestimmter Kontrollschritt durch einen Nutzer durchgeführt worden ist (z.B. die Bestätigung, dass in der Montage eine Sichtprüfung nach einem Montageschritt durchgeführt worden ist). Wann in Ihrem System ein Nutzer eine Signatur abgeben muss, legen Sie fest. Die Signatur ist ebenfalls als elektronische Aufzeichnung zu verstehen und deren Erzeugung gehört im Audittrail protokolliert. Nehmen wir als Beispiel eine Produktionsanlage, bei der z.B. ein Prozessparameter Siegelzeit erhöht wird. Diese Änderung bedarf typischerweise keinem Signaturvorgang, da der Änderungsantrag ziemlich sicher irgendwo im QM-System an anderer Stelle verwaltet wird und die Änderung dieses Werts nicht mit einer Freigabe von Produkten oder der Anlage als solches verbunden sein dürfte – dass die Anlage wieder für die Produktion freigegeben ist, sollte im Rahmen von Qualifizierungs-/Validierungsaufgaben erfolgen. Im Audittrail muss aber nachvollziehbar sein, wer diesen Wert von welchem ursprünglichen Wert zu welchem Zeitpunkt verändert hat.
Geben Sie gerne Bescheid, wenn Sie obige Erläuterungen und Beispiele nicht weiterbringen.
Freundliche Grüsse
Urs Müller
Guten Tag
Was sind eigentlich die regulatorischen Anforderungen für die Aufbewahrungsdauer solcher Audit-Trails für ein eQMS? Ich habe diesbezüglich keine klaren Anforderungen gefunden, vermute aber, dass diese Art von Daten nicht unter die übliche Aufbewahrungsfrist von Technischer Dokumentation fällt.
Gruss
Beat Hugi
Lieber Herr Hugi
Danke für diese spannende Frage. Es wäre eine einfache Sache, wenn es z.B. im 21 CFR Part 11 oder im EU GMP Leitfaden Anhang 11 klar heissen würde, was für Audit Trail Daten gilt. Basierend auf GMP-Vorgaben, könnten Sie sich eine Argumentation aus EU GMP Kapitel 4 bauen: 4.10 sagt beispielsweise, dass Kontrollmassnahmen für Aufzeichnungen vorhanden sein sollen, die während der Aufbewahrungszeit die Richtigkeit (der Protokolle) sicherstellen. Daraus kann man schliessen, dass die Audittrail Einträge zusammen mit den Aufzeichnungen gleich lange aufbewahrt werden sollten. Ein anderer Ansatz könnte über Guidance Dokumente zur Datenintegrität wie z.B. PICS PI041-1 erfolgen. Das Dokument nennt den Record dann komplett, wenn auch die Metadaten mitbetrachtet werden und zu diesen zählt das Dokument auch den Audittrail. Das macht Sinn: Der Audittrail ist ein Werkzeug, um die Datenintegrität zu gewährleisten. Entsprechend sollen die Einträge, die ggf. Änderungen an einer Aufzeichnung dokumentieren, ebenfalls über die entsprechende Aufbewahrungsdauer verfügbar sein. Letztere ergibt sich aus allgemeinen gesetzlichen Vorgaben und unterscheidet nicht zwischen Aufzeichnungen in Papierform oder elektronischer Form.
Freundliche Grüsse
Urs Müller
Hallo Herr Müller,
wir diskutieren gerade über den Zugriff auf den Audit Trail. Man findet viel über den Inhalt, Notwendigkeit und Schutz des Inhaltes vor Veränderung und dass der Zugriff darauf geloggt werden muss. Aber nichts, wer den Audit Trail einsehen darf oder nicht. Wenn wir die DSGVO einhalten in Bezug auf den Audit Trail. Spitzfindig gefragt, darf dann theoretisch jeder das Audit Trail einsehen, ich muss nur im Audit Trail festhalten, wer es eingesehen hat? Klar, wenn ich festhalten muss, wer das Audit Trail eingesehen hat, dann muss ich auch irgendwie diese „Person“ identifizieren können und das hätte dann wohl sicher eine Authentifizierung der „Person “ vor dem Zugriff zur Folge, wie auch immer das aussehen mag. Viele Grüsse Axel Koch
Lieber Herr Koch,
Aus Sicht der regulatorischen Vorgaben für Medizinprodukte sind mir keine Vorgaben bzgl. Zugriffsrechten auf das AuditTrail bekannt. Das Audit Trail – sofern in Software Implementiert – ist selbst eine elektronische Aufzeichnung und es gelten die Vorgaben an elektronische Aufzeichnungen, also, Berechtigungskonzept und entsprechender Schutz vor unbemerkten Änderungen. Ob Sie im Audit Trail festhalten wollen, wer es angeschaut hat, bleibt Ihnen überlassen. Eine solche Forderung lässt sich ableiten – ein lesender Zugriff ist bzgl. Datenintegrität kein aufzeichnungsrelevantes Ereignis. Ein Blick in das PIC/S Guidance Dokument zu Datenintegrität liefert auch keine direkten Hinweise zur Vertraulichkeit des Audit Trails. Von daher, würde ich folgendes überlegen:
Freundliche Grüsse
Urs Müller