Elektronische Signatur Version 1.0 Oktober 2007 - APV
Elektronische Signatur Version 1.0 Oktober 2007 - APV
Elektronische Signatur Version 1.0 Oktober 2007 - APV
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>APV</strong>-Empfehlung: <strong>Elektronische</strong> <strong>Signatur</strong>en, <strong>Version</strong> <strong>1.0</strong><br />
wiedergabe der verschreibenden Person oder – bei Anforderungen in elektronischer Form – ein geeignetes elektronisches<br />
Identifikationsverfahren.<br />
Ein weiteres Beispiel ist die Verordnung über die Einreichung von Unterlagen in Verfahren für die Zulassung und Verlängerung<br />
der Zulassung von Arzneimitteln (AMG-Einreichungsverordnung – AMG-EV). Wie im Kapitel 2.2.5 bereits erwähnt, ist die<br />
elektronische Einreichung von Unterlagen vorgeschrieben, sobald sichergestellt ist, dass die Voraussetzungen für eine qualifizierte<br />
elektronische <strong>Signatur</strong> nach dem <strong>Signatur</strong>gesetz bei der zuständigen Bundesoberbehörde gegeben sind.<br />
In denjenigen Fällen, in denen der Gesetzgeber eine qualifizierte elektronische <strong>Signatur</strong> erwartet, ist dies in der Regel auch<br />
kenntlich gemacht.<br />
2.5 Risikobasierter Ansatz<br />
Bei der Auswahl geeigneter <strong>Signatur</strong>verfahren und der Festlegung der begleitenden Maßnahmen ist es naheliegend, einen<br />
risikobasierten Ansatz zu wählen.<br />
Auch aus den Gesetzestexten ist oftmals abzulesen, wo der Gesetzgeber selbst ein höheres oder niedrigeres Risiko sieht. In der<br />
neuen AMWHV z. B. werden bezogen auf Herstellvorschriften und Prüfvorgaben nur „schriftliche Vorgaben" verlangt, wohingegen<br />
beim Herstellprotokoll und Prüfprotokoll explizit Datum und Unterschrift gefordert werden.<br />
Liegt keine direkte gesetzliche Anforderung nach einem bestimmten Unterschriftentyp vor, so ist für die Entscheidung, welcher<br />
Form der elektronischen <strong>Signatur</strong> der Vorzug zu geben ist, die Identifikation der mit dem Prozess der Unterzeichnung<br />
verbundenen pharmazeutischen Risiken ausschlaggebend.<br />
Bei der Risikobewertung und Auswahl der elektronischen <strong>Signatur</strong> kann mit einbezogen werden, dass es sich im pharmazeutischen<br />
Umfeld in der Regel um Unterschriften im Innenverhältnis handelt. Es besteht daher eine klare Abgrenzung zu Unterschriften<br />
im Geschäftsverhältnis, mit denen Verträge zwischen verschiedenen Parteien geschlossen werden.<br />
Die FDA vollzieht im 21 CFR Part 11 mit der Unterscheidung in geschlossene und offene Systeme bereits einen risikobasierten<br />
Ansatz: In offenen Systemen ist die Manipulationsgefahr deutlich erhöht; daher werden entsprechende erweiterte Maßnahmen<br />
gefordert. Auch für Systeme, bei denen keine FDA-Anforderungen zu erfüllen sind, kann dies für die eigene Risikobetrachtung<br />
mit berücksichtigt werden.<br />
Bei der Auswahl der <strong>Signatur</strong> sollte auch die notwendige Aufbewahrungsdauer der signierten Dokumentation berücksichtigt<br />
werden. Bei <strong>Signatur</strong>en mit Zertifikaten sind oftmals die Gültigkeitsdauern der Zertifikate kürzer als typische Aufbewahrungszeiten.<br />
Im folgenden werden einige Risiken im Zusammenhang mit elektronischen <strong>Signatur</strong>en beschrieben und Möglichkeiten der<br />
Risikominimierung aufgezeigt. Es ist jedoch nicht beabsichtigt, eine Skala zunehmender Risikoprioritäten zu entwickeln und<br />
diese den wachsenden strengeren Unterschriftsformen zuzuordnen. Dies wäre eine zu starre Darstellung, die im jeweils konkreten<br />
Fall ohne Berücksichtigung der gegebenen System- und Ablaufbesonderheiten zu allgemein wäre und lediglich zu<br />
einem schematischen Missbrauch verleiten würde.<br />
Bewusste Fälschung von Daten<br />
Eine bewusste Fälschung von unterzeichneten Daten liegt vor, wenn eine Person absichtlich diese Daten oder die zugehörige<br />
Unterschriftskennung manipuliert. Bei Manipulationen ist zu unterscheiden nach:<br />
Unternehmensinterne Manipulationen – Manipulationen, die z. B. durch einen Mitarbeiter des Unternehmens, in dem die<br />
Daten anfallen, versucht werden, und<br />
Manipulationen von außen – Manipulationen durch Personen, die hiermit dem Unternehmen schaden wollen. Voraussetzung<br />
dabei ist, dass die Daten das Unternehmen verlassen oder aber ein Zugriff von außen möglich ist.<br />
Unternehmensinterne Manipulationen können und sollen durch ein angemessenes Rechtekonzept verhindert werden. Darüber<br />
hinaus sollte ein Audit Trail des Systems Datenänderungen mitprotokollieren. Es ist empfehlenswert, die Zugriffsmöglichkeit<br />
von Administratoren zu hinterfragen und ggf. einzuschränken. Manipulationen durch Administratoren können in<br />
vielen Fällen technisch durch eine aussagefähige Auswertung der Log-Dateien erkannt werden.<br />
Hier, wie auch in anderen Fällen gilt, dass nicht alleine die technische Natur der <strong>Signatur</strong>, wie etwa fortgeschrittene oder qualifizierte<br />
<strong>Signatur</strong>, das Auswahlkriterium sein sollte, sondern die Kombination aus technischer Umsetzung, organisatorischem<br />
Umfeld und Einsatzzweck. Der Fokus sollte auf der Auswahl geeigneter Mechanismen und einer professionellen Umsetzung<br />
liegen, die durch Tests und Dokumentation nachgewiesen werden.<br />
Manipulationen von Daten, die das Unternehmen verlassen, sind schwieriger zu verhindern. Einer Risikobetrachtung vorangestellt<br />
werden sollte eine Analyse der Netze für den Datenaustausch. Ein erhöhtes Risiko ist dann gegeben, wenn die Daten<br />
16 <strong>APV</strong>news 04/07 copyright apv