ALCOA+-principerna och Business Central — Dataintegritet i reglerat ERP

dataintegritet · gxp · alcoa26 mars 2026

Dataintegritetsbrist är bland de vanligast citerade fynden i FDA-varningsbrev och EU GMP-inspektionsrapporter. ALCOA+-ramverket är den praktiska standard som tillsynsmyndigheter använder för att utvärdera om data i datoriserade system uppfyller integritetsreglerna för GxP-miljöer. För organisationer som kör Business Central i läkemedels-, kosmetik- eller kemikalietillverkning är förståelsen av hur ALCOA+ kartläggs mot specifika BC-konfigurationsbeslut en förutsättning för ett trovärdigt system.

Vad ALCOA+ innebär

ALCOA är det ursprungliga akronymet: Attributable (tillskrivbar), Legible (läsbar), Contemporaneous (samtida), Original, Accurate (korrekt). Plustecknet utökar detta med: Complete (fullständig), Consistent (konsekvent), Enduring (beständig), Available (tillgänglig). Varje term beskriver en egenskap som GxP-data måste ha under hela sin livscykel.

Dessa är inte eftersträvade principer. De är operationaliserade krav som inspektörer utvärderar mot specifika systembeteenden.

Tillskrivbar (Attributable)

Varje datainmatning och ändring måste kunna spåras till den person som gjorte den. I Business Central hanteras tillskrivning via Entra ID-autentisering. Delade inloggningar är en direkt överträdelse — inspektörer letar efter detta specifikt. BC-behörighetsmodellen måste upprätthålla individuella konton utan delade eller generiska inloggningsuppgifter.

Ändringsloggen registrerar tillskrivna ändringar på fältnivå. Konfigurationen måste säkerställa att alla tabeller och fält med GxP-relevanta data ingår i ändringsloggens övervakningsomfång.

Läsbar (Legible)

Journaler måste vara läsbara under hela sin obligatoriska lagringperiod. I Business Central SaaS innebär detta att arkiverade journaler förblir tillgängliga och läsbara via BC-gränssnittet utan specialverktyg.

Samtida (Contemporaneous)

Data måste registreras vid tidpunkten för aktiviteten. Business Central stöder samtida registrering genom realtidstransaktionsbokföring. Varje process som involverar manuell kopiering av data från en papperskälla till BC skapar ett samtida gap.

Original

Den första journalen av en transaktion är den ursprungliga journalen. I Business Central kan bokförda transaktioner inte raderas — bara korrigeras genom en efterföljande korrigeringspost. Ändringsloggen registrerar korrigeringar.

Korrekt (Accurate)

Journaler måste korrekt representera vad som inträffade. Noggrannhet i Business Central stöds genom valideringsregler, obligatoriska fältkrav och godkännandearbetsflöden.

Fullständig, Konsekvent, Beständig, Tillgänglig

Fullständig innebär att alla obligatoriska dataelement finns — upprätthålls genom konfiguration av obligatoriska fält. Konsekvent innebär enhetlig registrering. Beständig innebär att journaler lagras för den obligatoriska lagringsperioden. Tillgänglig innebär att behöriga användare kan hämta journaler inom rimlig tid.

Vanliga dataintegritetsgap i Business Central

De vanligaste ALCOA+-gapen i BC-implementeringar är: ändringsloggen inte konfigurerad för alla relevanta tabeller; behörighetsuppsättningar som tillåter delade inloggningar; avsaknad av dokumenterat lagrings- och arkiveringsprocedure; godkännandearbetsflöden som tillåter systemadministratörer att kringgå; och saknad konfigurationsdokumentation som kopplar BC-inställningar till ALCOA+-krav.

ALCOA+ som inspektionsbevisramverk

Vid förberedelse för en inspektion erbjuder ALCOA+ ett strukturerat ramverk för att bygga bevispaketet. För varje ALCOA+-princip bör bevispaketet demonstrera: vilka BC-konfigurationskontroller som uppfyller kravet, hur dessa kontroller validerades, och hur löpande efterlevnad upprätthålls.

Ladda ned den fullständiga guiden om ALCOA+ och Business Central-dataintegritet som PDF via länken nedan.