Welche GxP-regulatorischen Vorgaben sind anwendbar für die Cloud-Nutzung?
Ein Auszug aus dem GMP-BERATER, Kapitel 9.H.5
7 Min. Lesezeit | von Dr. Peter Schober
Erschienen im LOGFILE Leitartikel 12/2023
Die „Cloud“ sollte immer als Teil des gesamten System-Lebenszyklus betrachtet werden – daraus ergeben sich zusätzliche Überlegungen insbesondere zu den Themen Datenintegrität, IT-Sicherheit, Infrastruktur-Qualifizierung und operationaler Betrieb.
Konkrete Anforderungen an den Umgang mit Daten in der Cloud sind in den GxP-relevanten Regularien (bis jetzt) nicht enthalten. Indirekt lassen sich die Anforderungen aber ableiten, wie nachfolgend gezeigt werden soll.
Bei der Speicherung von Daten in der Cloud sind mehrere GxP-kritische Aspekte betroffen:
-
Aufbewahrung/Archivierung von Daten bzw. Dokumentation
-
Auslagerung von Tätigkeiten
-
Lieferantenqualifizierung
-
Datensicherheit und Datenintegrität
Aufbewahrung der Dokumentation
|
|
§ 20 Abs. 1 AMWHV Aufbewahrung der Dokumentation (1) […] Die Aufbewahrung muss in einem geeigneten Bereich der von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räume erfolgen. Die Zugriffsberechtigung zu den Aufzeichnungen nach Satz 1 ist durch geeignete Maßnahmen auf dazu befugte Personen einzuschränken. Für den Fall einer Schließung des Hersteller- oder Prüfbetriebs, in dem die Aufbewahrung der Dokumentation nach Satz 1 erfolgt, hat der pharmazeutische Unternehmer Vorsorge zu treffen, dass die Dokumentation während der gesamten Aufbewahrungszeit vorgehalten wird. |
Die Anforderungen der AMWHV werden häufig als Einwand gegen eine Datenspeicherung in einer Cloud zitiert, da diese sich i. d. R. nicht vor Ort befindet.
Die Expertenfachgruppe 11 der ZLG kommt in ihrem EFG-Votum V1100202 „Anforderungen an die Aufbewahrung elektronischer Daten“ zu folgendem Ergebnis:
„Im Falle einer elektronischen Dokumentation ist die Anforderung der Aufbewahrung von E-Records/Dokumenten in von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räumen erfüllt, wenn in den von der Erlaubnis erfassten Räumen mindestens ein Endgerät (z. B. Terminal oder PC nebst Drucker) zur Verfügung steht, so dass ein Zugriff auf die Gesamtheit der Daten und Metadaten möglich ist, lesbare Ausdrucke und Kopien auf Datenträgern erzeugt werden können. Ebenso müssen die Vorgaben zur Qualifizierung der IT-Infrastruktur (IAAS, PAAS), der Validierung der Applikation (SAAS) und die Sicherstellung der Verfügbarkeit, Lesbarkeit und Integrität von einem (internen oder externen) Dienstleister erfüllt werden. […]”
Das Votum empfiehlt für das regulierte Unternehmen Assessments der Daten, der Kritikalität der Applikation und der Service-Verfügbarkeit (Business Continuity). Entscheidend ist der Hinweis, dass eine Gefährdung für Patientensicherheit und/oder der Qualität des Produkts ausgeschlossen wird.
Die Ergebnisse dieser Assessments dienen als Grundlage für die Anbieterauswahl, die Gestaltung der Serviceverträge mit Zuordnung der jeweiligen Verantwortlichkeiten bis hin zu den Pflichten bei Beendigung des Geschäftsverhältnisses.
Das Votum der EFG 11 (V1100202) „Anforderungen an die Aufbewahrung elektronischer Daten“ ist ein wichtiges Statement der ZLG und fasst bereits Anforderungen an „GxP in der Cloud“ zusammen, die erst allmählich den Weg in die Regularien finden.
Auslagerung von Tätigkeiten
 |
EU-GMP-Leitfaden Kapitel 7, Ausgelagerte Aktivitäten 7.4 Das Pharmazeutische Qualitätssystem des Auftraggebers sollte die Kontrolle und Überprüfung aller ausgelagerten Tätigkeiten einschließen. Der Auftraggeber ist letztendlich verantwortlich sicherzustellen, dass Prozesse zur Sicherstellung der Kontrolle der ausgelagerten Tätigkeiten vorhanden sind. Diese Prozesse sollten die Grundsätze des Qualitätsrisikomanagements enthalten. 7.5 Vor der Auslagerung der Aktivitäten ist der Auftraggeber verantwortlich für die Beurteilung der Rechtmäßigkeit, Geeignetheit und Kompetenz des Auftragnehmers, die ausgelagerten Tätigkeiten erfolgreich auszuführen. Der Auftraggeber hat durch den Vertrag sicherzustellen, dass die in diesem Leitfaden dargelegten GMP-Grundsätze und Leitlinien befolgt werden. |
Cloud-Dienste stellen eine Sonderform des klassischen (IT-)Outsourcings dar.
Generelle Anforderungen, die bei der Vergabe von Tätigkeiten an Dritte zu beachten sind, findet man im EU-GMP-Leitfaden in Kapitel 7. Bei Cloud-Diensten gibt es jedoch darüber hinaus einige Besonderheiten und Unterschiede zu beachten.
Im IT-Grundschutz-Kompendium des BSI heißt es dazu in Kapitel OPS 2.2:
„Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single-Tenant-Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Laufzeiten abgeschlossen.
Die Nutzung von Cloud-Diensten gleicht in vielen Punkten dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu berücksichtigen sind:
-
Aus wirtschaftlichen Gründen teilen sich oft in einer Cloud mehrere Anwender eine gemeinsame Infrastruktur.
-
Cloud-Dienste sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte Angebote rascher an den tatsächlichen Bedarf des Anwenders angepasst werden.
-
Die in Anspruch genommenen Cloud-Dienste werden in der Regel mittels einer Webschnittstelle durch den Cloud-Anwender selbst gesteuert. So kann er automatisiert die genutzten Dienste auf seine Bedürfnisse zuschneiden.
-
Durch die beim Cloud-Computing genutzten Techniken ist es möglich, die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographisch sowohl im In- als auch im Ausland weit verstreut sein können.
-
Der Anwender kann die genutzten Dienste und seine Ressourcen einfach über Web-Oberflächen oder passende Schnittstellen administrieren, wobei wenig Interaktion mit dem Provider erforderlich ist.“
Die vermeintlich höhere Bequemlichkeit birgt aus Sicht von GMP und des regulierten Nutzers auch gewisse Besonderheiten und Risiken:
-
Es gibt keinen direkten physischen Zugriff auf die Infrastruktur
-
Es gibt keine starr definierte Konfiguration der Infrastruktur
-
Das regulierte Unternehmen hat keinen unmittelbaren Einfluss auf Änderungen in der Infrastruktur
-
Das regulierte Unternehmen überträgt Teile der Datensicherheit, des Zugriffs und der Datenverfügbarkeit an einen Dienstleister
| |
EU-GMP-Leitfaden, Annex 11, Lieferanten und Dienstleister 3.1 Werden Dritte (z. B. Lieferanten, Dienstleister) herangezogen, um z. B. ein computergestütztes System bereitzustellen […] Daten zu verarbeiten oder im Zusammenhang stehende Serviceleistungen zu erbringen, müssen formale Vereinbarungen abgeschlossen sein, in denen die Verantwortlichkeiten des Dritten eindeutig beschrieben sind. IT-Abteilungen sollten analog zu Dritten behandelt werden. |
Für die Nutzung von Cloud-Diensten sind folglich „formale Vereinbarungen“ zu treffen.
Haben Sie Fragen oder Anregungen? Bitte schreiben Sie uns: redaktion@gmp-verlag.de
Folgende Beiträge könnten Sie auch interessieren
