Datenintegrität: Best Practices bei der Nutzung von eHRs in klinischen Prüfungen

Die US-amerikanische Food and Drug Administration, FDA, hat ihre finale Leitlinie zur Nutzung elektronischer Gesundheitsdaten in klinischen Prüfungen ("Use of Electronic Health Record Data in Clinical Investigations") veröffentlicht.

Eine elektronische Patientenakte (engl.: electronic health record = eHR) kann beispielsweise die Krankengeschichte, Diagnosen, Behandlungspläne sowie die Labor- und Testergebnisse eines Patienten enthalten. Die FDA sagt, dass die Leitlinie dazu vorgesehen ist, Sponsoren, klinische Prüfer, Auftragsforschungsinstitute ("contract research organizations" = CROs), Ethikkommissionen und andere Beteiligte bei der Nutzung von eHR-Daten in klinischen Untersuchungen zu unterstützen. Außerdem enthält die Leitlinie ein Glossar für Definitionen und die Verwendung bestimmter Termini. Die Leitlinie gilt unter anderem für die Verwendung von eHR-Daten in klinischen Prüfungen für Humanarzneimittel und biologische Produkte, Medizinprodukte und Kombinationsprodukte.

Im Einzelnen enthält die Leitlinie Empfehlungen für:

• die Entscheidung, ob und wie eHRs verwendet werden sollen,
• die Verwendung von eHR-Systemen, die mit Systemen zur elektronischen Datenerfassung (Electronic Data Capture, EDC) kompatibel sind,
• die Sicherstellung der Qualität und Integrität der gesammelten eHR-Daten,
• die Sicherstellung, dass die Verwendung der eHR-Daten, die gesammelt und als elektronische Quelldaten genutzt werden, den Anforderungen der FDA an Inspektionen, Datenspeicherung und Aufbewahrung entspricht (siehe unten),
• den Qualitätsmanagementplan des Sponsors (z.B. SOPs, Softwareentwicklungs-Lebenszyklusmodelle, Änderungskontrollverfahren).

Während einer FDA Inspektion

• muss die FDA Zugriff auf alle Aufzeichnungen haben und darf alle Daten einsehen und kopieren, die zu einer klinischen Prüfung gehören,
• müssen alle relevanten Informationen einer eHR entweder als Original oder als beglaubigte Kopie zur Verfügung stehen,
• kann die FDA andere Papier- oder elektronische Aufzeichnungen anfordern, die die Daten des eCRF (electronic Case Report Form) untermauern,
• kann die FDA Einsicht in den eHR-Audit Trail fordern,
• sieht die FDA nicht vor, eHR-Systeme in Hinblick auf ihre Konformität mit 21 CFR Part 11 zu prüfen. Sie wird jedoch prüfen, ob das vom Sponsor genutzte EDC-System (welches die eHR-Daten zur Nutzung in der klinischen Prüfung extrahiert) mit Part 11 konform ist.

Datenintegrität - Best Practices

• Einsatz von durch ONC zertifizierte eHR-Systemen:
  Die Verwendung von zertifizierter eHR-Technologie (zertifiziert durch das "Office of the National Coordinator for Health Information Technology" = ONC) hat Vorteile, da viele der Zertifizierungs-Anforderungen bereits dem Ziel dienen, interoperable Datenteilung und Prozesse zur Geheimhaltung und Sicherung von Daten zu gewährleisten.
• Einsatz von nicht durch ONC zertifizierte eHR-Systemen:
  Hier sollten Sponsoren prüfen, ob diese Systeme über die folgenden Datenschutz- und Sicherheitskontrollen verfügen:
  - Richtlinien und Prozesse, inklusive angemessener Sicherheitsmechanismen, die die Studiendaten schützen,
  - der Zugriff auf die elektronischen Systeme ist autorisierten Nutzern vorbehalten,
  - die Verfasser von Datensätzen sind erkennbar,
  - Audit Trails sind verfügbar,
  - Daten sind für FDA-Inspektionen verfügbar und werden aufbewahrt (siehe oben).
• Nachdem die Daten in das eCRF übertragen wurden, sollten der klinische Prüfer oder delegierte Studienmitarbeiter die einzigen sein, die autorisiert sind, an den Daten Änderungen oder Korrekturen vorzunehmen.
• Veränderte oder korrigierte Datenelemente sollten mit einer Kennzeichnung versehen sein, die über Datum, Zeit, Verfasser der Daten und Grund der Änderung Auskunft gibt.
• Geänderte oder korrigierte Daten sollten keine vorherigen Einträge unkenntlich machen.
• Klinische Prüfer sollten das endgültige eCRF für jeden Studienteilnehmer prüfen und elektronisch signieren, bevor die Daten archiviert oder bei der FDA eingereicht werden.
• Falls Änderungen am eCRF vorgenommen werden, nachdem der klinische Prüfer es bereits signiert hat, so sollten die Änderungen vom klinischen Prüfer geprüft und freigegeben werden.
• Die Verwendung elektronischer Signaturen für Aufzeichnungen, die den Regelungen von 21 CFR Part 11 unterliegen, müssen den relevanten Anforderungen aus Part 11 entsprechen.

Wenn eine Einwilligungserklärung (Informed Consent) notwendig ist,

• muss die Einwilligung eine Erklärung darüber enthalten, in welchem Umfang die Vertraulichkeit der Aufzeichnungen, anhand derer Studienteilnehmer identifiziert werden können, aufrechterhalten wird. Sie sollte die Institutionen aufzählen (wie etwa Gesundheitsdienstleister, klinische Prüfer, Sponsoren, CROs, Studienbeobachter und Aufsichtsbehörden), die gegebenenfalls Zugriff auf die Patientenakte erhalten.
• muss die Einwilligungserklärung außerdem darüber informieren, dass Die FDA unter Umständen die Aufzeichnungen prüft. Sie sollte nicht enthalten, dass die FDA zur Einsicht in die Aufzeichnungen die Erlaubnis des Studienteilnehmers benötigt (die FDA benötigt keine Erlaubnis, um Aufzeichnungen, die Gesundheitsdaten enthalten, einzusehen). Die FDA kann Studienaufzeichnungen prüfen, um die Einhaltung des Studienprotokolls durch den Prüfer oder die Validität der vom Sponsor eingereichten Daten zu überprüfen. Die Behörde hat außerdem das Recht, Aufzeichnungen in Bezug auf eine klinische Studie einzusehen und zu kopieren (siehe oben). Sie wird in der Regel keine Aufzeichnungen kopieren, die den Namen eines Studienteilnehmers enthalten (es sei denn, es besteht Grund zur Annahme, dass die Aufzeichnungen nicht die tatsächlich untersuchten Fälle oder erzielten Ergebnisse enthalten). Wenn die FDA die Namen von Teilnehmern benötigt, so wird sie diese Informationen vertraulich behandeln. Es besteht jedoch die Möglichkeit, dass die FDA diese Information an Dritte weitergeben muss, zum Beispiel im Rahmen einer Gerichtsverhandlung.
• sollten Sponsoren und klinische Prüfer über ein umfassendes Verständnis für Datenflüsse und Datensichtbarkeit verfügen (bei Verwendung von Systemen, die interoperabel oder vollständig integriert sind).