Aturan untuk Catatan Elektronik Kamar Stabilitas Lingkungan

Subbagian A--Ketentuan Umum
Sec. 11.1 Ruang Lingkup.

(a) Peraturan di bagian ini menetapkan kriteria di mana lembaga menganggap arsip elektronik, tanda tangan elektronik, dan tanda tangan tulisan tangan yang dibuat ke arsip elektronik dapat dipercaya, andal, dan umumnya setara dengan arsip kertas dan tanda tangan tulisan tangan yang dibuat di atas kertas.

(b) Bagian ini berlaku untuk catatan dalam bentuk elektronik yang dibuat, dimodifikasi, dipelihara, diarsipkan, diambil, atau dikirim, di bawah persyaratan catatan apa pun yang ditetapkan dalam peraturan agensi. Bagian ini juga berlaku untuk catatan elektronik yang diserahkan ke agensi di bawah persyaratan Federal Food , Undang-undang Obat, dan Kosmetik dan Undang-Undang Pelayanan Kesehatan Masyarakat, meskipun catatan tersebut tidak secara khusus diidentifikasi dalam peraturan lembaga. Namun, bagian ini tidak berlaku untuk catatan kertas yang, atau telah, dikirimkan melalui sarana elektronik.

(c) Jika tanda tangan elektronik dan catatan elektronik terkaitnya memenuhi persyaratan bagian ini, agensi akan menganggap tanda tangan elektronik itu setara dengan tanda tangan lengkap, paraf, dan tanda tangan umum lainnya sebagaimana disyaratkan oleh peraturan agensi, kecuali secara khusus dikecualikan oleh peraturan yang berlaku. atau setelah 20 Agustus 1997.

(d) Catatan elektronik yang memenuhi persyaratan bagian ini dapat digunakan sebagai pengganti catatan kertas, sesuai dengan 11.2, kecuali catatan kertas secara khusus diperlukan.

(e) Sistem komputer (termasuk perangkat keras dan perangkat lunak), kontrol, dan dokumentasi petugas yang dipelihara di bawah bagian ini harus tersedia untuk, dan tunduk pada, inspeksi FDA.

(f) Bagian ini tidak berlaku untuk catatan yang harus dibuat atau dipelihara oleh 1.326 sampai 1.368 bab ini. Catatan yang memenuhi persyaratan bagian 1, sub bagian J dari bab ini, tetapi juga diwajibkan menurut ketentuan atau peraturan perundang-undangan lain yang berlaku, tetap tunduk pada bagian ini.

Detik. 11.2 Implementasi.

(a) Untuk catatan yang perlu dipelihara tetapi tidak diserahkan kepada badan, orang dapat menggunakan catatan elektronik sebagai pengganti catatan kertas atau tanda tangan elektronik sebagai pengganti tanda tangan tradisional, seluruhnya atau sebagian, asalkan persyaratan bagian ini dipenuhi.

(b) Untuk catatan yang diserahkan ke agen, orang dapat menggunakan catatan elektronik sebagai pengganti catatan kertas atau tanda tangan elektronik sebagai pengganti tanda tangan tradisional, seluruhnya atau sebagian, dengan ketentuan bahwa:

(1) Persyaratan partare ini terpenuhi; dan
(2) Dokumen atau bagian dari dokumen yang akan diserahkan telah diidentifikasi dalam map publik No. 92S-0251 sebagai jenis pengajuan yang diterima lembaga dalam bentuk elektronik. Dokumen ini akan mengidentifikasi secara spesifik jenis dokumen atau bagian dokumen apa yang dapat diterima untuk diserahkan dalam bentuk elektronik tanpa catatan kertas dan unit penerima lembaga (misalnya, pusat, kantor, divisi, cabang tertentu) yang menjadi tujuan pengiriman tersebut. Dokumen ke unit penerima lembaga yang tidak disebutkan dalam map publik tidak akan dianggap resmi jika diserahkan dalam bentuk elektronik; bentuk kertas dari dokumen tersebut akan dianggap resmi dan harus menyertai catatan elektronik apa pun. Orang diharapkan untuk berkonsultasi dengan unit penerima lembaga yang dituju untuk rincian tentang bagaimana (misalnya, metode transmisi, media, format file,

Detik. 11.3 Definisi.

(a) Definisi dan interpretasi istilah-istilah yang terkandung dalam bagian 201 undang-undang berlaku untuk istilah-istilah tersebut bila digunakan dalam bagian ini.

(b) Definisi istilah berikut juga berlaku untuk bagian ini:
(1) Undang-undang berarti Undang-Undang Makanan, Obat-obatan, dan Kosmetik Federal (bagian 201-903 (21 USC 321-393)).
(2) Badan adalah Badan Pengawas Obat dan Makanan.
(3) Biometrik berarti metode untuk memverifikasi identitas individu berdasarkan pengukuran fitur fisik individu atau tindakan berulang di mana fitur dan/atau tindakan tersebut unik untuk individu tersebut dan dapat diukur.
(4) Sistem tertutup adalah lingkungan di mana akses sistem dikendalikan oleh orang yang bertanggung jawab atas isi arsip elektronik yang ada pada sistem.
(5) Tanda tangan digital adalah tanda tangan elektronik berdasarkan metode kriptografi otentikasi asal, dihitung dengan menggunakan seperangkat aturan dan seperangkat parameter sehingga identitas penandatangan dan integritas data dapat diverifikasi.
(6) Rekaman elektronik adalah kombinasi teks, grafik, data, audio, gambar, atau representasi informasi lainnya dalam bentuk digital yang dibuat, dimodifikasi, dipelihara, diarsipkan, diambil, atau didistribusikan oleh sistem komputer.
(7) Tanda tangan elektronik adalah kumpulan data komputer dari setiap simbol atau rangkaian simbol yang dibuat, diadopsi, atau disahkan oleh seseorang untuk menjadi setara secara hukum dengan tanda tangan tulisan tangan orang tersebut.
(8) Tanda tangan tulisan tangan adalah nama tertulis atau tanda hukum seseorang yang ditulis tangan oleh orang itu dan dibuat atau diadopsi dengan maksud sekarang untuk mengotentikasi tulisan dalam bentuk permanen. Tindakan menandatangani dengan alat tulis atau tanda seperti pena atau stylus dipertahankan. Nama tertulis atau tanda hukum, sementara secara konvensional diterapkan pada kertas, juga dapat diterapkan pada perangkat lain yang menangkap nama atau tanda tersebut.
(9) Sistem terbuka adalah lingkungan di mana akses sistem tidak dikendalikan oleh orang yang bertanggung jawab atas isi arsip elektronik yang ada pada sistem.

Subbagian B--Catatan Elektronik
Sec. 11.10 Kontrol untuk sistem tertutup.
Orang yang menggunakan sistem tertutup untuk membuat, memodifikasi, memelihara, atau mengirimkan arsip elektronik harus menggunakan prosedur dan kontrol yang dirancang untuk memastikan keaslian, integritas, dan, bila perlu, kerahasiaan arsip elektronik, dan untuk memastikan bahwa penandatangan tidak dapat dengan mudah menolak arsip yang ditandatangani sebagai tidak asli. Prosedur dan kontrol tersebut harus mencakup hal berikut:

(a) Validasi sistem untuk memastikan akurasi, keandalan, kinerja yang dimaksudkan secara konsisten, dan kemampuan untuk membedakan catatan yang tidak valid atau diubah.

(b) Kemampuan untuk menghasilkan salinan catatan yang akurat dan lengkap dalam bentuk yang dapat dibaca manusia dan elektronik yang sesuai untuk inspeksi, peninjauan, dan penyalinan oleh badan tersebut. Orang harus menghubungi agen jika ada pertanyaan mengenai kemampuan agen untuk melakukan peninjauan dan penyalinan catatan elektronik tersebut.

(c) Perlindungan arsip untuk memungkinkan pengambilan yang akurat dan siap pakai selama periode penyimpanan arsip.

(d) Membatasi akses sistem ke individu yang berwenang.

(e) Penggunaan jejak audit yang aman, dihasilkan komputer, dan diberi cap waktu untuk mencatat secara independen tanggal dan waktu entri operator dan tindakan yang membuat, memodifikasi, atau menghapus catatan elektronik. Perubahan rekaman tidak boleh mengaburkan informasi yang direkam sebelumnya. Dokumentasi jejak audit tersebut harus disimpan untuk jangka waktu setidaknya selama yang diperlukan untuk catatan elektronik subjek dan harus tersedia untuk tinjauan dan penyalinan lembaga.

(f) Penggunaan pemeriksaan sistem operasional untuk menegakkan urutan langkah dan peristiwa yang diizinkan, sebagaimana mestinya.

(g) Penggunaan pemeriksaan otoritas untuk memastikan bahwa hanya individu yang berwenang yang dapat menggunakan sistem, menandatangani catatan elektronik, mengakses operasi atau perangkat input atau output sistem komputer, mengubah catatan, atau melakukan operasi yang ada.

(h) Penggunaan pemeriksaan perangkat (misalnya terminal) untuk menentukan, sebagaimana mestinya, validitas sumber input data atau instruksi operasional.

(i) Penetapan bahwa orang yang mengembangkan, memelihara, atau menggunakan arsip elektronik/sistem tanda tangan elektronik memiliki pendidikan, pelatihan, dan pengalaman untuk melaksanakan tugas yang diberikan kepada mereka.

(j) Penetapan, dan kepatuhan terhadap, kebijakan tertulis yang meminta pertanggungjawaban dan tanggung jawab individu atas tindakan yang dimulai di bawah tanda tangan elektronik mereka, untuk mencegah pemalsuan catatan dan tanda tangan.

(k) Penggunaan kontrol yang tepat atas dokumentasi sistem termasuk:
(1) Kontrol yang memadai atas distribusi, akses ke, dan penggunaan dokumentasi untuk operasi dan pemeliharaan sistem.
(2) Revisi dan ubah prosedur pengendalian untuk memelihara jejak audit yang mendokumentasikan pengembangan berurutan dan modifikasi dokumentasi sistem.

Detik. 11.30 Kontrol untuk sistem terbuka.

Orang yang menggunakan sistem terbuka untuk membuat, memodifikasi, memelihara, atau mengirimkan arsip elektronik harus menggunakan prosedur dan kontrol yang dirancang untuk memastikan keaslian, integritas, dan, sesegera mungkin, kerahasiaan arsip elektronik mulai dari saat dibuat hingga diterima. Prosedur dan kontrol tersebut harus mencakup yang diidentifikasi dalam 11.10, jika sesuai, dan tindakan tambahan seperti enkripsi dokumen dan penggunaan standar tanda tangan digital yang sesuai untuk memastikan, sebagaimana diperlukan dalam keadaan, keaslian rekaman, integritas, dan kerahasiaan.

Detik. 11.50 Manifestasi tanda tangan.

(a) Catatan elektronik yang ditandatangani harus berisi informasi yang terkait dengan penandatanganan yang secara jelas menunjukkan semua hal berikut:

(1) Nama tercetak penandatangan;
(2) Tanggal dan waktu penandatanganan ditandatangani; dan
(3) Arti (seperti ulasan, persetujuan, tanggung jawab, atau kepengarangan) yang terkait dengan tanda tangan.

(b) Item yang diidentifikasi dalam paragraf (a)(1), (a)(2), dan (a)(3) dari bagian ini harus tunduk pada kontrol yang sama seperti untuk catatan elektronik dan harus dimasukkan sebagai bagian dari setiap dokumen yang dapat dibaca manusia. bentuk catatan elektronik (seperti tampilan elektronik atau cetakan).

Detik. 11.70 Penautan tanda tangan/rekaman.
Tanda tangan elektronik dan tanda tangan tulisan tangan yang dibuat pada arsip elektronik harus dihubungkan dengan arsip elektroniknya masing-masing untuk memastikan bahwa tanda tangan tersebut tidak dapat dipotong, disalin, atau dengan cara lain dipindahkan untuk memalsukan arsip elektronik dengan cara biasa.

Subbagian C--Tanda Tangan Elektronik

Sec. 11.100 Persyaratan umum.

(a) Setiap tanda tangan elektronik harus unik untuk satu individu dan tidak boleh digunakan kembali oleh, atau dialihkan kepada, orang lain.

(b) Sebelum organisasi menetapkan, menugaskan, mengesahkan, atau memberikan sanksi terhadap tanda tangan elektronik individu, atau elemen apa pun dari tanda tangan elektronik tersebut, organisasi harus memverifikasi identitas individu tersebut.

(c) Orang-orang yang menggunakan tanda tangan elektronik harus, sebelum atau pada saat penggunaan tersebut, menyatakan kepada agensi bahwa tanda tangan elektronik dalam sistem mereka, yang digunakan pada atau setelah 20 Agustus 1997, dimaksudkan untuk menjadi setara dengan tanda tangan tradisional yang mengikat secara hukum.
(1) Sertifikasi harus diserahkan dalam bentuk kertas dan ditandatangani dengan tanda tangan tradisional, ke Office of Regional Operations (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) Orang yang menggunakan tanda tangan elektronik, atas permintaan agensi, harus memberikan sertifikasi tambahan atau kesaksian bahwa tanda tangan elektronik tertentu secara hukum mengikat setara dengan tanda tangan tulisan tangan penandatangan.

Detik. 11.200 Komponen dan kontrol tanda tangan elektronik.

(a) Tanda tangan elektronik yang tidak didasarkan pada biometrik harus:
(1) Menggunakan setidaknya dua komponen pengenal pembeda seperti kode pengenal dan kata sandi.

(i) Ketika seseorang melakukan serangkaian penandatanganan selama satu periode akses sistem terkontrol yang berkelanjutan, penandatanganan pertama harus dilakukan dengan menggunakan semua komponen tanda tangan elektronik; penandatanganan berikutnya harus dilakukan dengan menggunakan setidaknya satu komponen tanda tangan elektronik yang hanya dapat dijalankan oleh, dan dirancang untuk digunakan hanya oleh, individu tersebut.

(ii) Ketika seseorang melakukan satu atau lebih penandatanganan yang tidak dilakukan selama satu periode akses sistem terkontrol yang berkelanjutan, setiap penandatanganan harus dilakukan dengan menggunakan semua komponen tanda tangan elektronik.

(2) Hanya digunakan oleh pemilik aslinya; dan

(3) Dikelola dan dilaksanakan untuk memastikan bahwa percobaan penggunaan tanda tangan elektronik seseorang oleh siapa pun selain pemilik aslinya memerlukan kolaborasi dua orang atau lebih.

(b) Tanda tangan elektronik berdasarkan biometrik harus dirancang untuk memastikan bahwa tanda tangan tersebut tidak dapat digunakan oleh siapa pun selain pemilik aslinya.

Detik. 11.300 Kontrol untuk kode/kata sandi identifikasi.
Orang yang menggunakan tanda tangan elektronik berdasarkan penggunaan kode identifikasi yang dikombinasikan dengan kata sandi harus menggunakan kontrol untuk memastikan keamanan dan integritas mereka. Kontrol tersebut harus mencakup:

(a) Menjaga keunikan setiap kombinasi kode identifikasi dan sandi, sehingga tidak ada dua individu yang memiliki kombinasi kode identifikasi dan sandi yang sama.

(b) Memastikan bahwa kode identifikasi dan penerbitan kata sandi diperiksa, dipanggil kembali, atau direvisi secara berkala (misalnya, untuk menutupi kejadian seperti penuaan kata sandi).

(c) Mengikuti prosedur manajemen kerugian untuk secara elektronik membatalkan otorisasi token, kartu, dan perangkat lain yang hilang, dicuri, hilang, atau berpotensi disusupi yang memuat atau menghasilkan kode identifikasi atau informasi kata sandi, dan untuk mengeluarkan penggantian sementara atau permanen menggunakan kontrol yang sesuai dan ketat.

(d) Penggunaan pengamanan transaksi untuk mencegah penggunaan kata sandi dan/atau kode identifikasi yang tidak sah, dan untuk mendeteksi dan melaporkan dengan segera dan mendesak setiap upaya penggunaan yang tidak sah kepada unit keamanan sistem, dan, jika sesuai, kepada manajemen organisasi.

(e) Pengujian perangkat secara awal dan berkala, seperti token atau kartu, yang memuat atau menghasilkan kode identifikasi atau informasi kata sandi untuk memastikan bahwa perangkat tersebut berfungsi dengan baik dan tidak diubah dengan cara yang tidak sah.