25. APPENDIKS 8: IT-systemer I Blodbankvirksomhed

A8.300 IT-systemet

 

A8.300 IT-systemet
A8.301  Der bør være udarbejdet en detaljeret beskrivelse af systemet
med diagrammer, hvor det er hensigtsmæssigt. Beskrivelsen
skal holdes ajour. Beskrivelsen bør omhandle:

  • systemets principper, formål, sikkerhedsforanstaltninger og anvendelse
  • betjening af maskiner
  • interaktioner med andre systemer og procedurer
  • navn og indkøbsdato for både hardware og software
A8.302 Der skal findes en registergodkendelse.
A8.303 Inden IT-systemet tages i brug skal det være omhyggeligt afprøvet. Det skal dokumenteres, at det giver de ønskede resultater. Det skal være afprøvet for fejl, også fejl opstået ved utilsigtet betjening.
A8.310  Systemet skal registrere al anvendelse af systemet med personidentifikation, tid og tilføjelse eller ændring af data. Ligeledes skal forsøg på uautoriseret adgang registreres.
A8.311  Data skal ved fysiske og/eller elektroniske midler sikres mod
forsætlig eller uforsætlig skade.
A8.312 Systemet skal anvende personlige adgangskoder. Der bør endvidere være mulighed for anvendelse af forskellige sikkerhedsniveauer med tilhørende adgangsnøgler.
A8.313 Der skal være en instruktion for udstedelse, tilbagetrækning og
ændring af en bemyndigelse til at indlæse og ændre data, samt
for ændring af personlige koder.
A8.314 Data skal beskyttes ved regelmæssig back-up. Kopien skal
gemmes så længe som nødvendigt på et særskilt og sikkert
sted.
A8.320  Hardware skal være placeret på en sådan måde, at der ikke er
adgang til dem for uvedkommende. Vitale dele, fx servere bør
være placeret i særligt beskyttede rum, som også er sikrede
mod udefrakommende faktorer, der kan være ødelæggende, fx
brand eller vandskade.
A8.330 Programmer bør være udarbejdet i overensstemmelse med et
kvalitetssikringssystem for udarbejdelse af IT-programmer.
A8.331  Programmerne bør om muligt have indbyggede kontroller, der
sikrer overensstemmelse mellem de indtastede data og sikrer
korrekt databehandling.
A8.332  Ændringer i programmer skal udføres efter særlig instruktion
og skal være beskrevet i en særlig rapport. Rapporten bør indeholde oplysninger om årsag til samt validering, kontrol, godkendelse og implementering af ændringen. Ændringen skal være godkendt af den for systemet ansvarlige person. Ved ændringer bør man sikre sig integriteten af de registrerede data.
A8.340  Manuel indlæsning af kritiske data bør udføres med en yderligere kontrol af rigtigheden af de indlæste data. Den yderligere
kontrol kan udføres af en anden operatør eller med validerede
elektroniske midler. Identiteten af en evt. anden kontrollerende operatør skal registreres.
A8.341 Ændring af data må kun udføres af brugere med særlig bemyndigelse. Ved ændring af kritiske data skal herudover årsagen til
ændringen registreres.
A8.342 Det skal være muligt at få umiddelbart forståelige udskrifter af
de registrerede data. Disse udskrifter skal bla. anvendes i forbindelse med validering af systemet.
A8.343 Fejl opdaget ved anvendelse af systemet skal registreres i afvigelsesrapporter.

A8.200 Validering

A8.200 Validering
A8.201  IT-systemer skal betragtes på lige fod med laboratorieudstyr og
følge samme regler for validering (se kapitel 2). Det skal indgå i
forbindelse med planlægning, specificering, programmering,
afprøvning, godkendelse, dokumentation, drift, overvågning og
ændring af systemet.
A8.203 Validering foretages ved indførelse af nye programmer og ved
ændring af disse, samt ved fund og retning af fejl i data og/eller
programmer.
A8.204 Lagre af data bør kunne kontrolleres med hensyn til tilgængelighed, holdbarhed og nøjagtighed. Dette bør specielt valideres
ved ændring af programmer.

A8.100 Personale

A8.100 Personale
A8.101 Der skal være et tæt samarbejde mellem det sædvanlige personale fx via særlige superbrugere og det personale, der udvikler og implementerer IT.
A8.102  Personalet skal have passende uddannelse i anvendelse af
terminaler og programmer inden for deres ansvarsområde. Det
skal sikres, at der inden for blodbanken er personale, der er tilstrækkeligt uddannet til at kunne vurdere design og udføre validering af IT-programmer. Installation og drift skal varetages af
personale med passende ekspertise.

25. APPENDIKS 8: IT-systemer i blodbankvirksomhed

 

25. APPENDIKS 8: IT-systemer i blodbankvirksomhed
Kravene til IT-systemer til blodbankvirksomhed svarer til de
krav, der er beskrevet i Sundhedsstyrelsens Bekendtgørelse nr.
1230 om kvalitets- og sikkerhedskrav til blodbankvirksomhed.
Software, hardware og backup-procedurer skal kontrolleres regelmæssigt for at sikre deres pålidelighed, valideres før brug og
holdes i valideret stand. Hardware og software skal beskyttes
mod ikke-godkendt brug eller ændringer. Backup-proceduren
skal forhindre tab af eller skader på data, hvis systemet planmæssigt eller utilsigtet er ude af drift, eller hvis der opstår
funktionsfejl. Hertil kommer kravene i LOV nr. 502 af
23/05/2018 om supplerende bestemmelse til forordning om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger
(Databeskyttelsesloven).