ISO/IEC 27001:2022 w badaniach klinicznych: Od bezpieczeństwa danych do standardu jakości

Spis treści

Bezpieczeństwo danych w badaniach klinicznych nie jest zagadnieniem czysto technicznym. To obszar, który bezpośrednio wpływa na ochronę praw i prywatności pacjentów, wiarygodność wyników badania oraz odpowiedzialność regulacyjną sponsorów i badaczy. W dobie powszechnego wykorzystania systemów informatycznych, rozwiązań chmurowych i przetwarzania danych na skalę globalną, bezpieczeństwo danych musi być zarządzane w sposób systemowy, udokumentowany i zgodny zarówno z regulacjami branżowymi, jak i uznanymi międzynarodowymi normami.

Taką ramą porządkującą podejście do bezpieczeństwa informacji jest norma ISO/IEC 27001:2022, która definiuje wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS). Choć norma ta ma szeroki charakter i nie jest dedykowana wyłącznie badaniom klinicznym, jej struktura – a w szczególności Załącznik A – stanowi narzędzie do praktycznego zastosowania wymagań wynikających z GCP, ICH E6 (R3), Annex 11, 21 CFR Part 11 czy wytycznych dotyczących systemów skomputeryzowanych w badaniach klinicznych.

ISO/IEC 27001:2022 jako fundament, a wytyczne GCP jako kontekst branżowy

Regulacje badań klinicznych koncentrują się przede wszystkim na integralności danych, identyfikowalności, audytowalności i ochronie pacjenta, natomiast ISO/IEC 27001:2022 dostarcza sprawdzonych mechanizmów zarządczych i kontrolnych, które pozwalają te wymagania spełnić w praktyce. W tym sensie normy i wytyczne nie konkurują ze sobą – przeciwnie, wzajemnie się uzupełniają.

Załącznik A do normy ISO/IEC 27001:2022 zawiera listę 93 zabezpieczeń. Ich szczegółowy opis oraz podział na cztery główne obszary – organizacyjne, dotyczące zasobów ludzkich, fizyczne oraz technologiczne – zostały określone w uzupełniającej normie ISO/IEC 27002:2022. Zabezpieczenia te mają bezpośrednie przełożenie na wymagania stawiane systemom i procesom, w tym również w obszarze badań klinicznych.

Zabezpieczenia organizacyjne – struktura odpowiedzialności i nadzór

Zabezpieczenia organizacyjne stanowią fundament całego systemu bezpieczeństwa. Obejmują one m.in. polityki bezpieczeństwa informacji, strukturę odpowiedzialności, zarządzanie ryzykiem, nadzór nad dostawcami oraz reagowanie na incydenty.

W kontekście badań klinicznych obszar ten silnie koresponduje z wymaganiami ICH E6 (R3) GCP dotyczącymi jasno określonych ról i odpowiedzialności sponsora, badacza i dostawców systemów IT. ISO/IEC 27001:2022 wzmacnia te wymagania poprzez konieczność formalnego zarządzania ryzykiem, dokumentowania decyzji oraz wdrażania procedur (SOP), które regulują m.in.:

• dostęp do danych klinicznych,
• zarządzanie zmianą w systemach skomputeryzowanych,
• obsługę naruszeń bezpieczeństwa danych (data breaches),
• nadzór nad usługodawcami i podwykonawcami.

W praktyce oznacza to, że kwalifikacja i audyt dostawców, umowy powierzenia przetwarzania danych czy umowy SLA nie są jedynie „dobrą praktyką”, ale elementem spójnego systemu bezpieczeństwa, wymaganego zarówno przez GCP, jak i ISO/IEC 27001:2022.

Zabezpieczenia dotyczące zasobów ludzkich – czynnik ludzki pod kontrolą

Czynnik ludzki pozostaje jednym z największych źródeł ryzyka dla bezpieczeństwa danych. ISO/IEC 27001:2022 wymaga, aby organizacje zarządzały bezpieczeństwem informacji w całym cyklu życia pracownika lub współpracownika – od etapu rekrutacji, przez okres zatrudnienia, aż po zakończenie współpracy.

W badaniach klinicznych ma to szczególne znaczenie, ponieważ dostęp do systemów (EDC, ePRO, eTMF, i w stosownych przypadkach, platformy oparte na sztucznej inteligencji) mają różne role: badacze, koordynatorzy, monitorzy, statystycy, administratorzy IT czy zewnętrzni dostawcy. Wytyczne GCP i Annex 11 jednoznacznie wskazują na konieczność:

• odpowiednich szkoleń użytkowników systemów,
• nadawania dostępów zgodnie z zasadą minimalnych uprawnień,
• jednoznacznej identyfikacji użytkowników,
• natychmiastowego odbierania dostępów po zmianie roli lub zakończeniu współpracy.

ISO/IEC 27001:2022 systematyzuje te wymagania, nakładając obowiązek formalnych procedur, rejestrów uprawnień oraz okresowych przeglądów dostępu.

Zabezpieczenia fizyczne – często niedoceniany element integralności danych

Choć dane kliniczne są dziś w dużej mierze elektroniczne, ich bezpieczeństwo nadal zależy od zabezpieczeń fizycznych – zarówno w ośrodkach badawczych, jak i w centrach przetwarzania danych.

ISO/IEC 27001:2022 wymaga ochrony fizycznej infrastruktury IT, serwerowni, stanowisk pracy oraz nośników danych. W badaniach klinicznych te mechanizmy kontroli wspierają zgodność z wymaganiami Annex 11 i 21 CFR Part 11 dotyczącymi ochrony systemów i danych przed nieautoryzowanym dostępem, utratą lub zniszczeniem.

Dotyczy to m.in.:

• kontroli dostępu do pomieszczeń, w których przetwarzane są dane kliniczne,
• zabezpieczenia urządzeń końcowych (laptopy, tablety, urządzenia mobilne),
• ochrony dokumentacji źródłowej i nośników archiwalnych,
• zabezpieczenia infrastruktury wykorzystywanej przez dostawców chmurowych.

Zabezpieczenia techniczne – technologia w służbie integralności danych

Zabezpieczenia techniczne są najbardziej widocznym elementem bezpieczeństwa, ale jednocześnie nie mogą funkcjonować w oderwaniu od procesów i ludzi. ISO/IEC 27001:2022 oraz wytyczne branżowe zgodnie wskazują na konieczność stosowania mechanizmów takich jak:

• silne uwierzytelnianie użytkowników,
• kontrola dostępu oparta na rolach,
• szyfrowanie danych w spoczynku i w transmisji,
• pełne ścieżki audytowe (audit trail),
• mechanizmy backupu, archiwizacji i odtwarzania danych,
• ochrona przed cyberzagrożeniami.

Wszystkie te elementy są jednocześnie kluczowe dla spełnienia zasad ALCOA++, w szczególności w zakresie dostępności, integralności i możliwości prześledzenia danych (zob. też ALCOA++ w praktyce - nowy wymiar jakości danych ).

Usługi chmurowe i lokalizacja danych – globalne badania, lokalne regulacje

Coraz więcej systemów wykorzystywanych w badaniach klinicznych działa w modelu chmurowym. Choć chmura oferuje skalowalność i dostępność, rodzi również pytania o lokalizację danych, jurysdykcję oraz transfer danych poza UE.

ISO/IEC 27001:2022 wymaga podejścia opartego na ryzyku i skutecznego zarządzania dostawcami w celu ustanowienia i utrzymania odpowiednich kontroli nad miejscem i sposobem przetwarzania i przechowywania danych. Wytyczne GCP, RODO oraz regulacje krajowe nakładają dodatkowe obowiązki w zakresie ochrony danych osobowych i danych zdrowotnych.

W praktyce oznacza to konieczność:

• weryfikacji lokalizacji centrów danych,
• stosowania odpowiednich mechanizmów transferu danych,
• oceny dostawców chmurowych pod kątem zgodności regulacyjnej,
• zapewnienia, że dostęp do danych przez organy zewnętrzne jest kontrolowany i zgodny z prawem.

HIPAA – perspektywa badań prowadzonych w USA

W przypadku badań klinicznych prowadzonych w Stanach Zjednoczonych lub obejmujących dane pacjentów z USA, istotnym elementem środowiska regulacyjnego jest HIPAA (Health Insurance Portability and Accountability Act). HIPAA Privacy and Security Rules definiuje standardy ochrony poufnych informacji zdrowotnych (PHI).

Wiele wymagań HIPAA pokrywa się z założeniami ISO/IEC 27001:2022 i GCP, zwłaszcza w obszarach kontroli dostępu, poufności, integralności i audytowalności danych. ISO/IEC 27001:2022 może w tym kontekście służyć jako rama wspierająca zgodność, która pozwala organizacjom spełniać jednocześnie wymagania europejskie i amerykańskie, pod warunkiem właściwego mapowania zabezpieczeń i procesów.

Bezpieczeństwo jako element jakości badań klinicznych

Bezpieczeństwo danych nie jest dodatkiem do jakości – jest jej integralną częścią. W badaniach klinicznych ochrona danych pacjentów, integralność zapisów i zgodność regulacyjna są nierozerwalnie ze sobą powiązane. ISO/IEC 27001:2022, w połączeniu z wytycznymi GCP i regulacjami branżowymi, pozwala stworzyć spójny, audytowalny i odporny na ryzyka system, który chroni zarówno pacjentów, jak i organizacje prowadzące badania.

W erze cyfryzacji to właśnie takie holistyczne podejście do bezpieczeństwa danych staje się jednym z kluczowych wyznaczników dojrzałości organizacyjnej w badaniach klinicznych.

---