A8.300 IT-systemet

Den 30. november 2022   /    

 

A8.300	IT-systemet
A8.301	Der bør være udarbejdet en detaljeret beskrivelse af systemet med diagrammer, hvor det er hensigtsmæssigt. Beskrivelsen skal holdes ajour. Beskrivelsen bør omhandle: systemets principper, formål, sikkerhedsforanstaltninger og anvendelse betjening af maskiner interaktioner med andre systemer og procedurer navn og indkøbsdato for både hardware og software
A8.302	Der skal findes en registergodkendelse.
A8.303	Inden IT-systemet tages i brug skal det være omhyggeligt afprøvet. Det skal dokumenteres, at det giver de ønskede resultater. Det skal være afprøvet for fejl, også fejl opstået ved utilsigtet betjening.
A8.310	Systemet skal registrere al anvendelse af systemet med personidentifikation, tid og tilføjelse eller ændring af data. Ligeledes skal forsøg på uautoriseret adgang registreres.
A8.311	Data skal ved fysiske og/eller elektroniske midler sikres mod forsætlig eller uforsætlig skade.
A8.312	Systemet skal anvende personlige adgangskoder. Der bør endvidere være mulighed for anvendelse af forskellige sikkerhedsniveauer med tilhørende adgangsnøgler.
A8.313	Der skal være en instruktion for udstedelse, tilbagetrækning og ændring af en bemyndigelse til at indlæse og ændre data, samt for ændring af personlige koder.
A8.314	Data skal beskyttes ved regelmæssig back-up. Kopien skal gemmes så længe som nødvendigt på et særskilt og sikkert sted.
A8.320	Hardware skal være placeret på en sådan måde, at der ikke er adgang til dem for uvedkommende. Vitale dele, fx servere bør være placeret i særligt beskyttede rum, som også er sikrede mod udefrakommende faktorer, der kan være ødelæggende, fx brand eller vandskade.
A8.330	Programmer bør være udarbejdet i overensstemmelse med et kvalitetssikringssystem for udarbejdelse af IT-programmer.
A8.331	Programmerne bør om muligt have indbyggede kontroller, der sikrer overensstemmelse mellem de indtastede data og sikrer korrekt databehandling.
A8.332	Ændringer i programmer skal udføres efter særlig instruktion og skal være beskrevet i en særlig rapport. Rapporten bør indeholde oplysninger om årsag til samt validering, kontrol, godkendelse og implementering af ændringen. Ændringen skal være godkendt af den for systemet ansvarlige person. Ved ændringer bør man sikre sig integriteten af de registrerede data.
A8.340	Manuel indlæsning af kritiske data bør udføres med en yderligere kontrol af rigtigheden af de indlæste data. Den yderligere kontrol kan udføres af en anden operatør eller med validerede elektroniske midler. Identiteten af en evt. anden kontrollerende operatør skal registreres.
A8.341	Ændring af data må kun udføres af brugere med særlig bemyndigelse. Ved ændring af kritiske data skal herudover årsagen til ændringen registreres.
A8.342	Det skal være muligt at få umiddelbart forståelige udskrifter af de registrerede data. Disse udskrifter skal bla. anvendes i forbindelse med validering af systemet.
A8.343	Fejl opdaget ved anvendelse af systemet skal registreres i afvigelsesrapporter.

A8.200 Validering

Den 30. november 2022   /    

A8.200	Validering
A8.201	IT-systemer skal betragtes på lige fod med laboratorieudstyr og følge samme regler for validering (se kapitel 2). Det skal indgå i forbindelse med planlægning, specificering, programmering, afprøvning, godkendelse, dokumentation, drift, overvågning og ændring af systemet.
A8.203	Validering foretages ved indførelse af nye programmer og ved ændring af disse, samt ved fund og retning af fejl i data og/eller programmer.
A8.204	Lagre af data bør kunne kontrolleres med hensyn til tilgængelighed, holdbarhed og nøjagtighed. Dette bør specielt valideres ved ændring af programmer.

A8.100 Personale

Den 30. november 2022   /    

A8.100	Personale
A8.101	Der skal være et tæt samarbejde mellem det sædvanlige personale fx via særlige superbrugere og det personale, der udvikler og implementerer IT.
A8.102	Personalet skal have passende uddannelse i anvendelse af terminaler og programmer inden for deres ansvarsområde. Det skal sikres, at der inden for blodbanken er personale, der er tilstrækkeligt uddannet til at kunne vurdere design og udføre validering af IT-programmer. Installation og drift skal varetages af personale med passende ekspertise.

25. APPENDIKS 8: IT-systemer i blodbankvirksomhed

Den 30. november 2022   /    

 

25.

APPENDIKS 8: IT-systemer i blodbankvirksomhed

Kravene til IT-systemer til blodbankvirksomhed svarer til de krav, der er beskrevet i Sundhedsstyrelsens Bekendtgørelse nr. 1230 om kvalitets- og sikkerhedskrav til blodbankvirksomhed. Software, hardware og backup-procedurer skal kontrolleres regelmæssigt for at sikre deres pålidelighed, valideres før brug og holdes i valideret stand. Hardware og software skal beskyttes mod ikke-godkendt brug eller ændringer. Backup-proceduren skal forhindre tab af eller skader på data, hvis systemet planmæssigt eller utilsigtet er ude af drift, eller hvis der opstår funktionsfejl. Hertil kommer kravene i LOV nr. 502 af 23/05/2018 om supplerende bestemmelse til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven).