ISO/IEC 17025 Madde 7.11 — LIMS Validation ve Veri Yönetimi Mimarisi

'Laboratuvarın, faaliyetlerini gerçekleştirmek için ihtiyaç duyduğu bilgi ve verilere erişimi bulunmalıdır.' Pratikte bu, test yapacak personelin gerekli SOP'lara, kalibrasyon sertifikalarına, referans değerlere, kontrol grafiklerine ihtiyaç anında ulaşabilmesi anlamına gelir. 'Excel dosyası ofisimde, hatırlamıyorum' kabul edilemez. Erişim hem fiziksel (rolü tabanlı yetki) hem zamansal (her vardiyada açık) hem coğrafi (saha numunesi alınan yerde de erişim) olmalı. Modern LIMS web-tabanlı veya mobil arayüzle bu erişimi standartlaştırır.

Bu maddenin özü: 'kullanım öncesi fonksiyonellik açısından geçerli kılınmalıdır'. Yeni LIMS'i kurarsanız veya mevcut LIMS'te değişiklik yaparsanız (yazılım güncellemesi, yapılandırma değişikliği), kullanıma alınmadan önce validation gerekir. Validation seviyeleri: IQ (Installation Qualification — kurulum doğru mu), OQ (Operational Qualification — fonksiyonlar çalışıyor mu), PQ (Performance Qualification — gerçek kullanım koşullarında çalışıyor mu). GAMP 5 (Good Automated Manufacturing Practice) bu süreç için referans rehberdir. Değişiklikler ise [uygulanmadan önce onaylanmalı, dokümante edilmeli, geçerli kılınmalı] — change control prosedürü zorunlu.

Standart şöyle bir esneklik sunar: 'Genel olarak kullanılan hazır ticari yazılımların tasarlandığı uygulama kapsamında yeterli ölçüde geçerli kılındığı değerlendirilebilir.' Bu pratikte: Microsoft Excel, R, MATLAB gibi yaygın yazılımlar 'kendi tasarım amacı için' validation gerektirmez — örneğin Excel'i hesaplama amaçlı kullanmak. Ancak Excel'de yazılan **özel makro veya formül** validation gerektirir (kullanıcı geliştirme). Cloud LIMS gibi spesifik yazılımlar tedarikçi tarafından temel validation yapılır + müşteri 'kendi yapılandırması' için ek validation yapar. Ortak hata: Excel makrosunu COTS sayıp validation atlanması — denetim bulgusu.

Standart 5 koruma katmanı tanımlar: (a) yetkisiz erişimden koruma (RBAC — role-based access control, MFA — multi-factor authentication), (b) müdahale ve kayıplara karşı koruma (audit trail, version control), (c) tedarikçi/laboratuvar şartnamesine uygun ortam (server room ortam koşulları + bilgisayarsız sistemler için manuel kayıt doğruluğu), (d) verilerin bütünlüğü ve sürekliliği (backup + disaster recovery + business continuity), (e) sistem arızası kayıt (incident log) ve düzeltici faaliyet. Bilgisayarsız sistemler için 'manuel kayıt ve kopyanın doğruluğunu koruma' özel madde — Excel'i ofis bilgisayarına kaydeden lab da bu kapsamda.

'Laboratuvar bilgi yönetim sistemi, dışarıdan veya dış tedarikçi tarafından yönetilip sürdürüldüğünde laboratuvar, tedarikçinin veya sistemi işletenin bu standartta geçerli gerekliliklerine uygun olduğunu güvence altına almalıdır.' Cloud LIMS, SaaS quality management platform kullanan laboratuvar bu güvenceyi sözleşme + tedarikçi denetimi + SLA (service level agreement) ile sağlar. Tipik şartlar: ISO 27001 sertifikası (bilgi güvenliği), SOC 2 Type II raporu, veri yerelleşmesi (data residency — Türkiye için KVKK gereği), uptime garantisi (%99.9 endüstri standart), exit clause (sözleşme bittiğinde veri taşınabilirliği).

'Laboratuvar; talimatların, kılavuzların ve laboratuvar bilgi yönetim sistemiyle ilgili referans verilerin personel için kolaylıkla erişebilir olmasını güvence altına almalıdır.' Pratikte: SOP arşivi web tabanlı, herkes erişebilir; kalibrasyon sertifikaları PDF olarak LIMS'te bağlı; metod talimatları cihaz başında QR kodla okutulur. 'Kâğıt SOP'lar arşiv dolabında' yapısı bu maddeyle uyumsuz — denetimde personel 'şu metodun aktif sürümü hangisi' sorusuna anında cevap veremezse bulgu açılır.

'Hesaplamalar ve veri transferleri uygun ve sistematik bir şekilde kontrol edilmelidir.' Bu madde sıklıkla yanlış anlaşılır — sadece manuel hesaplama değil, otomatik hesaplama da kontrol gerektirir. Pratik uygulama: çift girişle doğrulama (4-göz kuralı), checksum/hash kontrol, formül validation, sonuç-girdi tutarlılık testi. LIMS'te bir parametre değiştiğinde tüm bağlı hesaplamaların yeniden hesaplanması + audit log oluşturulması gerekir. ISO 5725 (ölçüm metodu doğruluğu) bu maddeyle birlikte düşünülmeli.

FDA 1990'larda farmasötik veri bütünlüğü için ALCOA prensipleri tanımladı: **A**ttributable (kim?), **L**egible (okunabilir?), **C**ontemporaneous (eş zamanlı?), **O**riginal (ham veri?), **A**ccurate (doğru?). 2010'larda 4 ek + (Complete, Consistent, Enduring, Available). ISO 17025 Madde 7.11 doğrudan ALCOA+ demese de hepsini kapsar — modern bir LIMS bu prensipleri kutudan uygular. Audit trail her veri değişikliğini Attributable + Contemporaneous yapar, salt-okunur arşiv Original + Enduring sağlar. Detay: ALCOA+ veri bütünlüğü rehberi.

Bir LIMS satın alırken veya kuruma uyumluyken bu 12 maddeyi sor: (1) RBAC ile rol bazlı yetki var mı, (2) MFA destekli mi, (3) Audit trail her veri değişikliğini kaydediyor mu (eski + yeni değer + kullanıcı + zaman), (4) Backup günlük + offsite mı, (5) Disaster recovery RTO/RPO tanımlı mı, (6) ISO 27001 / SOC 2 sertifikalı mı, (7) Veri yerelleşmesi var mı (KVKK uyumlu), (8) Versioning otomatik mi (SOP + metod), (9) Cihaz entegrasyonu LIMS'te destekleniyor mu (chromatograf, balansı, pH metre vs), (10) Validation paketi (IQ/OQ/PQ) tedarikçiden geliyor mu, (11) Change control modülü var mı, (12) Exit/Migration desteği yazıyor mu. KaliteJet bu 12 maddenin hepsini standart paketle karşılar.