ALCOA+ Veri Bütünlüğü — Laboratuvarda Dijital İz ve 21 CFR Part 11

ALCOA terimini FDA müfettişi Stan W. Woollen 1990'larda farmasötik denetimde tanımladı. FDA Inspector's Field Operations Manual'inde 'data integrity' başlığı altında yer aldı. Önce 5 harf, sonra 2010'da MHRA (UK) + harfleri ekledi. Bağlam: ilaç üretiminde sahte kayıt, ham veri silme, post-hoc düzeltme skandalları (özellikle Asya generic ilaç firmaları) regülatörü harekete geçirdi. FDA 2015-2018 arası 100+ warning letter veri bütünlüğü ihlali nedeniyle gönderdi. ALCOA+ artık sadece farmasötik değil tüm regülatörsel laboratuvarlarda standart.

Her veri 'kim tarafından, ne zaman, hangi cihazdan' üretildi belli olmalı. Pratik araç: user audit trail. Modern LIMS her kayıt için: kullanıcı ID, zaman damgası (timestamp), terminal/cihaz ID, eğer değişiklik varsa eski değer + yeni değer + sebep. Salt analist imzası yeterli değil — sistem otomatik attribution sağlamalı. Ortak hata: shared user account ('lab' kullanıcısı her analist tarafından kullanılır) — Attributable ihlali. Her analist kendi unique credential kullanmalı.

Kayıt insan + makine tarafından okunabilir olmalı. Fiziksel anlam: el yazısı okunabilir, silme/karalama yasak (mutlaka tek çizgi + paraf + tarih), düzeltme şeffaf. Dijital anlam: dosya formatı uzun süreli okunabilir (PDF/A ISO 19005 standart, eski Word .doc 10 yıl sonra okunamayabilir), encoding standart (UTF-8 vs proprietary), text uygulanan formatta korunur. Şifreleme legibility'yi etkilemez (yetkili erişimde decrypt edilir) ama erişim mekanizması düzgün olmalı.

Veri olay anında kaydedilmeli — geriye dönük yazılmamalı. Pratik: numune analizi tamamlandığında değer LIMS'e o an girilir, bir hafta sonra Excel'den toplu giriş yasak. Backdating (geçmiş tarih kaydı) ALCOA ihlali. Zaman damgası otomatik + manuel düzeltilemez olmalı. NTP (Network Time Protocol) ile saat senkronize, sertifikalı zaman kaynağı (TÜBİTAK UME) kullanılabilir. Backdating denetim trail'de görünür — sistem 'kullanıcı 2026-05-14'te bir değeri 2026-05-01 tarihiyle ekledi' uyarısı verir.

Ham veri (raw data) korunmalı. Türetilmiş/hesaplanmış veri ham veriden hesaplanabilmeli. Cihazdan çıkan chromatogram, spectogram, balans okuması — orijinal kayıt sınıfında. Excel'e taşıma + hesaplama 'transformed' veri — orijinali yedeklenmeli. Eski pratikte 'sadece final raporu' tutmak yeterli sanılırdı — ALCOA bunu reddeder. Cihaz datafile'ları (.RAW, .MS, .pdf) original olarak salt-okunur arşivde, hesaplama Excel/LIMS'te. Audit denetçi 'orijinal cihaz dosyasını göster' der.

Veri gerçek değeri yansıtmalı, validation + verification mekanizmalı. Validation: 'doğru aleti doğru kullanıyor muyuz' (cihaz validate edilmiş mi). Verification: 'aletin verdiği değer beklenen aralıkta mı' (her kullanım öncesi kontrol). Standart: ilk + her gün başında kontrol numunesi (QC sample) analiz edilir, sonuç beklenen aralıkta ise gerçek analiz yapılır. Tartı için: günlük calibration check (sertifikalı kalibrasyon ağırlığı), pH metre için: günlük buffer kalibrasyon, GC-MS için: tuning + system suitability. Accurate olmayan veri sonradan değer kaybeder.

**C**omplete (eksiksiz) — tüm metaveriler ve hesaplamalar kayıt edilir, sadece final değer değil. **C**onsistent (tutarlı) — kronolojik sıra korunmalı, zaman damgaları çelişmemeli (saat ileri/geri ayarlanmamalı). **E**nduring (kalıcı) — kayıt saklama süresi boyunca okunabilir + erişilebilir kalmalı (medya bozulması, format değişikliği önleyici tedbirler). **A**vailable (erişilebilir) — yetki dahilinde herkesin erişebileceği şekilde organize edilmeli (search, indeks, kataloglama). 9 harf birlikte ALCOA+ veya CALMA-ALCOA-CCEA gibi terimler kullanılır.

21 CFR Part 11 FDA'nın 1997'de yayımladığı 'Electronic Records; Electronic Signatures' düzenlemesi. 3 ana bölüm: (a) Genel hükümler — kapsam, tanımlar. (b) Elektronik kayıt — closed system + open system gereksinimleri, audit trail, system validation. (c) Elektronik imza — unique identifier, password, biometric, geriye dönük değiştirilemez. ABD'ye ihracat yapan veya FDA müfettişine hesap veren her firma uymak zorunda. AB karşılığı EU GMP Annex 11, İngiltere karşılığı MHRA GxP Data Integrity rehberi. Bu üç düzenleme paralel — küçük farklarla aynı prensipleri uygular.

Audit trail (denetim izi) ALCOA+'nın pratik aracı. Her veri olayı (oluşturma, okuma, güncelleme, silme — CRUD) için kayıt: ne, kim, ne zaman, neden, eski değer (varsa), yeni değer. Audit trail silinmez (immutable), kullanıcı tarafından düzenlenemez, sistem yöneticisi bile değiştiremez (admin müdahalesi başka bir audit trail kaydı oluşturur). Modern LIMS audit trail database table seviyesinde tutar, WORM medyaya periyodik archive. KaliteJet audit trail standart paketle gelir — her veri değişikliği kaydı + kullanıcı + zaman + sebep otomatik.

Veri bütünlüğünü matematiksel kanıtlamak için: kayıt oluşturulduğunda SHA-256 hash hesaplanır + saklanır. Sonradan hash tekrar hesaplanır — uyuşmazsa veri değiştirildi (manuel veya sistem hatası). Hash WORM medyada veya blockchain'de tutulabilir. Electronic signature: kullanıcı kimliği (username + password) + sertifikalı PKI imza + zaman damgası. 5070 sayılı Elektronik İmza Kanunu Türkiye'de elektronik imzayı ıslak imzaya eşit kıldı (madde 5). Sertifikalı imza otoritesi (CA — Certificate Authority) verir, BTK düzenler.