Hoppa till innehåll
Svenska
  • Det finns inga förslag eftersom sökfältet är tomt.

Genomför AM System validering av kundens system?

AM System genomför inte validering av kunders specifika systemlösningar, konfigurationer eller användning av AM System Classic. Eftersom Classic är en flexibel och konfigurerbar molntjänst behöver valideringen utgå från hur systemet används i kundens egen verksamhet. AM System kan däremot tillhandahålla övergripande system- och leverantörsinformation som stöd i kundens valideringsarbete. Denna artikel beskriver ansvarsfördelningen och sammanfattar relevanta områden som behörigheter, loggning, backup, drift och releasehantering.

Validering av AM System Classic

Den här artikeln beskriver hur AM System Classic kan användas som stöd i ett valideringsarbete enligt ISO 13485, samt vilket ansvar som ligger på AM System respektive kunden.

Artikeln kan användas som övergripande leverantörsunderlag vid exempelvis revision, intern validering eller leverantörsbedömning.

AM Systems ansvar och kundens ansvar

AM System genomför inte validering av kunders specifika installationer, konfigurationer eller tillämpningar av AM System Classic.

Anledningen är att Classic är en flexibel och konfigurerbar molntjänst där varje kund själv ansvarar för att sätta upp sitt ledningssystem. Det kan exempelvis omfatta dokumentstruktur, profiler, roller, behörigheter, arbetsflöden, formulär, dokumentstyrning och interna processer.

För validering enligt ISO 13485 behöver valideringen därför utgå från kundens egen användning av systemet, ofta beskrivet som systemets intended use. Det innebär att kunden behöver bedöma och dokumentera hur Classic används i den egna verksamheten, vilka processer som stöds av systemet och vilka krav som är relevanta att verifiera.

AM System kan tillhandahålla övergripande system- och leverantörsinformation som stöd i kundens valideringsarbete, men den slutliga valideringen behöver genomföras av kunden själv eller tillsammans med extern part.

Övergripande systembeskrivning

AM System Classic är ett molnbaserat ledningssystem för hantering av dokument, processer och ärenden. Plattformen används bland annat för att stödja kvalitetsledning, dokumentstyrning, avvikelsehantering, CAPA, förbättringsarbete och uppföljning av interna processer.

Classic består huvudsakligen av två centrala delar: dokumenthantering och ärendehantering.

Dokumenthantering

Dokumentmodulen används för att skapa, organisera, granska, godkänna, publicera och arkivera dokument. Funktionen innehåller stöd för versionshantering, dokumentstatus, läskvittens, behörighetsstyrning, kommentarer och historik per dokumentutgåva.

Ärendehantering

Ärendemodulen används för att registrera, hantera och följa upp exempelvis avvikelser, förbättringsförslag, reklamationer, CAPA eller andra verksamhetsspecifika ärendeflöden. Kunden kan själv konfigurera formulär, fält, statusar, behörigheter och arbetsflöden utifrån den egna verksamhetens behov.

Systemet är byggt för att vara flexibelt och kan därför anpassas till olika branscher, roller och arbetssätt. Det innebär också att kundens egen konfiguration är en central del av hur systemet används och därmed även av kundens valideringsarbete.

Mer övergripande information finns här:

Principer för åtkomst och behörigheter

Åtkomst och behörigheter i AM System Classic styrs genom en kombination av användare, profiler, roller, workspaces, formulärinställningar och kategoriinställningar.

I ärendemodulen kan behörigheter styras per profil och per formulär. Det går till exempel att ange vilka användare eller profiler som får läsa, registrera, ändra, radera eller administrera ärenden och formulär. Som grundprincip tilldelas utökade rättigheter manuellt utifrån kundens behov och interna ansvarsfördelning.

För ärenden kan åtkomst även styras utifrån exempelvis om användaren ska kunna se alla registrerade ärenden, endast ärenden där användarens workspace är involverat eller andra definierade åtkomstnivåer. Det finns även möjlighet att dölja specifika fält, sektioner eller grupper i ett formulär för vissa profiler.

I dokumentmodulen styrs åtkomst främst via profiler och kategorier. En dokumentkategori kan göras tillgänglig för exempelvis alla användare med tillgång till dokumentmodulen, specifika användare, grupper, avdelningar eller workspaces. Detta gör det möjligt att begränsa dokumentåtkomst utifrån organisation, roll eller ansvar.

Det finns även funktioner för att ange vilka användare som berörs av ett dokument och för att kräva läskvittens. Det kan användas för att följa upp att berörda användare har tagit del av publicerade dokument.

Dokument kan även delas externt, exempelvis med en revisor. Det kan göras genom publik delning med lösenord och tidsbegränsning, alternativt genom att externa parter läggs upp som användare med anpassad åtkomst.

Funktion för extra autentisering

I Classic finns en särskild autentiseringsfunktion som ger ytterligare säkerhet vid känsliga åtgärder, vilket kan vara relevant ur ett ISO 13485-perspektiv.

Funktionen innebär att användaren behöver bekräfta sin identitet igen vid viktiga steg, exempelvis vid godkännande och publicering av dokument, läskvittenser, granskning samt revidering utan ändring av dokument och mallar.

Funktionen aktiveras via: Dokument > Inställningar > Avancerade inställningar

Sammanfattningsvis bygger behörighetsmodellen på att kunden själv ansvarar för att konfigurera åtkomst utifrån sina interna roller, processer och krav på informationssäkerhet.

Loggning och audit trail

AM System Classic innehåller flera funktioner för loggning och spårbarhet.

I ärendemodulen finns funktionen Visa händelser. Den ger en kronologisk och skrivskyddad historik över aktiviteter och ändringar i ett ärende. Där framgår exempelvis vad som har ändrats, vem som har gjort ändringen och när den gjordes.

Loggen omfattar bland annat skapande av ärende, statusändringar, fältuppdateringar, kommentarer och andra aktiviteter i ärendeflödet.

Informationen i loggen visas utifrån användarens behörighet. Det innebär att en användare endast kan se logginformation kopplad till innehåll som användaren har rätt att ta del av. Loggen kan inte redigeras av användare.

För ärendeformulär finns även formulärlogg. Den visar ändringar som gjorts i själva formulärkonfigurationen, exempelvis om fält har lagts till, ändrats eller tagits bort, samt vem som gjort ändringen och när.

I dokumentmodulen finns dokumentlogg. Varje dokument och dokumentutgåva har en egen historik där aktiviteter kopplade till dokumentet loggas. Det kan exempelvis omfatta skapande, granskning, publicering, arkivering, ändringar, kommentarer, delning och registrerad läskvittens.

För textdokument kan det även framgå vad som har lagts till, ändrats eller tagits bort i innehållet. För layoutdokument visas spårbarhet kring vem som ändrat och när, men inte alltid exakt vilken information som ändrats.

Logg av ändringar i profilinställningar i Classic stärker spårbarheten och underlättar validering och uppföljning i verksamheter med höga krav på kontroll.

Funktionen loggar förändringar som görs i profiler och visar:

  • vad som ändrats

  • vem som genomförde ändringen

  • när ändringen gjordes

  • eventuella kommentarer kopplade till ändringen

Det ger administratörer möjlighet att följa historik över åtkomst- och rättighetsförändringar, vilket kan vara värdefullt vid internrevisioner, felsökning och arbete med audit trail och regelefterlevnad. Loggningen bidrar till ökad transparens och spårbarhet i administrationen och kan användas som ett stöd i organisationens kvalitetsarbete och dokumentation.

Åtkomst till loggar styrs via behörigheter. Tidsangivelser visas enligt svensk tid, det vill säga CET/CEST.

Backup och återställning

AM System hanterar backup och återställning som en del av den centrala drift- och säkerhetsprocessen för tjänsten.

Databaser säkerhetskopieras dagligen genom point-in-time-backup. Detta innebär att återställning kan göras till ett specifikt klockslag inom den definierade återställningsperioden, som för närvarande är upp till 180 dagar. Data lagras krypterat med AES-256.

Backup används för att säkerställa drift, tillgänglighet och återställning vid tekniska incidenter eller driftstörningar. Den är inte avsedd som en funktion för att återställa enskild kunddata som av misstag raderats av användare.

Tjänsten driftas i AWS-datacenter i Frankfurt. Miljön är uppbyggd med redundans och replikerade servrar, vilket innebär att en annan server kan ta över vid tekniska problem.

All lagring är krypterad och överföring sker via TLS 1.2/1.3. Endast behörig personal har tillgång till infrastrukturen och kunddata separeras på databasnivå. AM System är ISO 27001-certifierat.

Mer information finns här:

Trust Center

Service Level Agreement

Villkor och policys

Drift- och förvaltningsprocess

AM System ansvarar för drift, underhåll och förvaltning av den molnbaserade tjänsten. Detta omfattar bland annat teknisk drift, säkerhetsuppdateringar, övervakning, backup, incidenthantering, underhåll och löpande vidareutveckling av plattformen.

Driften sker i säkra datacenter och hanteras enligt etablerade rutiner för informationssäkerhet. AM System arbetar enligt ISO 27001:2022, vilket innebär att det finns ett strukturerat sätt att hantera informationssäkerhet med processer för bland annat riskhantering, åtkomstkontroll, incidenthantering, leverantörsstyrning och kontinuerlig förbättring.

Kunddata hanteras separat på databasnivå och åtkomst till driftmiljöer är begränsad till behörig personal utifrån arbetsuppgift och behov.

Vid incidenter finns en definierad incidenthanteringsprocess. Syftet är att identifiera, hantera, dokumentera och åtgärda incidenter på ett kontrollerat sätt samt vid behov informera berörda kunder.

Kunden ansvarar samtidigt för sin egen användning av systemet, inklusive konfiguration, användaradministration, behörighetsstyrning, interna processer, instruktioner och validering av den egna tillämpningen.

Release- och change management

AM System Classic utvecklas löpande genom regelbundna releaser. Releaser kan innehålla ny funktionalitet, förbättringar av befintliga funktioner, säkerhetsrelaterade uppdateringar och korrigering av identifierade fel.

Förändringar dokumenteras i release notes. Dessa beskriver vilken version förändringen tillhör, vilket datum releasen genomfördes och vilken del av systemet som berörs, exempelvis ärende, dokument eller generell funktionalitet. Release notes anger även om förändringen avser ny funktionalitet, förbättring eller buggfix.

Syftet med release notes är att ge administratörer och andra berörda roller en strukturerad överblick över hur systemet förändras över tid. Informationen kan användas för att bedöma om en förändring påverkar kundens interna processer, instruktioner, utbildningsmaterial, behörigheter, dokumentstyrning, ärendeflöden eller valideringsdokumentation.

För organisationer som arbetar enligt ISO 13485 kan release notes användas som stöd i det egna förändrings- och valideringsarbetet. De ger möjlighet att identifiera förändringar som kan behöva riskbedömas, verifieras eller dokumenteras internt.

Release notes ska inte ses som en ersättning för kundens egen validering. De är ett informationsunderlag som hjälper kunden att avgöra vilka förändringar som är relevanta att hantera i den egna organisationen.

Genom att release notes publiceras löpande skapas en förändringshistorik över systemets utveckling. Detta bidrar till transparens, spårbarhet och bättre förutsättningar för kundens interna förändringskontroll.

Exempel på arbetssätt vid validering

Eftersom varje kund själv konfigurerar och använder Classic på olika sätt behöver valideringen anpassas efter den egna verksamheten.

Ett vanligt arbetssätt kan vara att:

  1. Beskriver hur Classic används i verksamheten.
  2. Definierar systemets intended use.
  3. Identifierar vilka processer, funktioner och data som är kritiska.
  4. Dokumenterar relevanta användarkrav, exempelvis i en URS.
  5. Testar och verifierar att den egna konfigurationen fungerar enligt kraven.
  6. Dokumenterar resultatet i en valideringsrapport.
  7. Bedömer nya releaser och ändringar utifrån eventuell påverkan på den egna användningen.

Vid större förändringar i systemets användning, exempelvis ändrade arbetsflöden, behörigheter, dokumentstruktur eller kritiska processer, kan valideringen behöva uppdateras eller kompletteras.

Sammanfattning

AM System Classic innehåller grundläggande funktioner för styrning, behörighet, versionshantering, loggning och spårbarhet. Dessa funktioner kan användas som stöd i ett kvalitetsledningssystem och i kundens valideringsarbete enligt ISO 13485.

Eftersom systemet är konfigurerbart och varje kund själv styr sin användning, sina behörigheter, sina processer och sina arbetsflöden, behöver valideringen göras av kunden utifrån den egna tillämpningen.

AM Systems information kan därför användas som leverantörs- och systemunderlag, men den slutliga valideringsrapporten behöver utgå från kundens egen användning av systemet.