Englisch
0,00 €*
Leitartikel
Englisch
Welche GxP-regulatorischen Vorgaben sind anwendbar für die Cloud-Nutzung?

Welche GxP-regulatorischen Vorgaben sind anwendbar für die Cloud-Nutzung?

  • LOGFILE Leitartikel

Ein Auszug aus dem GMP-BERATER, Kapitel 9.H.5

7 Min. Lesezeit | von Dr. Peter Schober
Erschienen im LOGFILE Leitartikel 12/2023

Die „Cloud“ sollte immer als Teil des gesamten System-Lebenszyklus betrachtet werden – daraus ergeben sich zusätzliche Überlegungen insbesondere zu den Themen Datenintegrität, IT-Sicherheit, Infrastruktur-Qualifizierung und operationaler Betrieb.

Konkrete Anforderungen an den Umgang mit Daten in der Cloud sind in den GxP-relevanten Regularien (bis jetzt) nicht enthalten. Indirekt lassen sich die Anforderungen aber ableiten, wie nachfolgend gezeigt werden soll.

 Bei der Speicherung von Daten in der Cloud sind mehrere GxP-kritische Aspekte betroffen:

  • Aufbewahrung/Archivierung von Daten bzw. Dokumentation

  • Auslagerung von Tätigkeiten

  • Lieferantenqualifizierung

  • Datensicherheit und Datenintegrität

Aufbewahrung der Dokumentation

 

       

§ 20 Abs. 1 AMWHV

Aufbewahrung der Dokumentation

(1) […] Die Aufbewahrung muss in einem geeigneten Bereich der von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räume erfolgen. Die Zugriffsberechtigung zu den Aufzeichnungen nach Satz 1 ist durch geeignete Maßnahmen auf dazu befugte Personen einzuschränken. Für den Fall einer Schließung des Hersteller- oder Prüfbetriebs, in dem die Aufbewahrung der Dokumentation nach Satz 1 erfolgt, hat der pharmazeutische Unternehmer Vorsorge zu treffen, dass die Dokumentation während der gesamten Aufbewahrungszeit vorgehalten wird.


Die Anforderungen der AMWHV werden häufig als Einwand gegen eine Datenspeicherung in einer Cloud zitiert, da diese sich i. d. R. nicht vor Ort befindet.

Die Expertenfachgruppe 11 der ZLG kommt in ihrem EFG-Votum V1100202 „Anforderungen an die Aufbewahrung elektronischer Daten“ zu folgendem Ergebnis:

„Im Falle einer elektronischen Dokumentation ist die Anforderung der Aufbewahrung von E-Records/Dokumenten in von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räumen erfüllt, wenn in den von der Erlaubnis erfassten Räumen mindestens ein Endgerät (z. B. Terminal oder PC nebst Drucker) zur Verfügung steht, so dass ein Zugriff auf die Gesamtheit der Daten und Metadaten möglich ist, lesbare Ausdrucke und Kopien auf Datenträgern erzeugt werden können. Ebenso müssen die Vorgaben zur Qualifizierung der IT-Infrastruktur (IAAS, PAAS), der Validierung der Applikation (SAAS) und die Sicherstellung der Verfügbarkeit, Lesbarkeit und Integrität von einem (internen oder externen) Dienstleister erfüllt werden. […]”

Das Votum empfiehlt für das regulierte Unternehmen Assessments der Daten, der Kritikalität der Applikation und der Service-Verfügbarkeit (Business Continuity). Entscheidend ist der Hinweis, dass eine Gefährdung für Patientensicherheit und/oder der Qualität des Produkts ausgeschlossen wird.

Die Ergebnisse dieser Assessments dienen als Grundlage für die Anbieterauswahl, die Gestaltung der Serviceverträge mit Zuordnung der jeweiligen Verantwortlichkeiten bis hin zu den Pflichten bei Beendigung des Geschäftsverhältnisses.

Das Votum der EFG 11 (V1100202) „Anforderungen an die Aufbewahrung elektronischer Daten“ ist ein wichtiges Statement der ZLG und fasst bereits Anforderungen an „GxP in der Cloud“ zusammen, die erst allmählich den Weg in die Regularien finden.

Auslagerung von Tätigkeiten

 

EU-GMP-Leitfaden Kapitel 7, Ausgelagerte Aktivitäten

7.4 Das Pharmazeutische Qualitätssystem des Auftraggebers sollte die Kontrolle und Überprüfung aller ausgelagerten Tätigkeiten einschließen.

Der Auftraggeber ist letztendlich verantwortlich sicherzustellen, dass Prozesse zur Sicherstellung der Kontrolle der ausgelagerten Tätigkeiten vorhanden sind.

Diese Prozesse sollten die Grundsätze des Qualitätsrisikomanagements enthalten.

7.5 Vor der Auslagerung der Aktivitäten ist der Auftraggeber verantwortlich für die Beurteilung der Rechtmäßigkeit, Geeignetheit und Kompetenz des Auftragnehmers, die ausgelagerten Tätigkeiten erfolgreich auszuführen.

Der Auftraggeber hat durch den Vertrag sicherzustellen, dass die in diesem Leitfaden dargelegten GMP-Grundsätze und Leitlinien befolgt werden.


Cloud-Dienste stellen eine Sonderform des klassischen (IT-)Outsourcings dar.

Generelle Anforderungen, die bei der Vergabe von Tätigkeiten an Dritte zu beachten sind, findet man im EU-GMP-Leitfaden in Kapitel 7. Bei Cloud-Diensten gibt es jedoch darüber hinaus einige Besonderheiten und Unterschiede zu beachten.

Im IT-Grundschutz-Kompendium des BSI heißt es dazu in Kapitel OPS 2.2:

„Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single-Tenant-Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Laufzeiten abgeschlossen.

Die Nutzung von Cloud-Diensten gleicht in vielen Punkten dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu berücksichtigen sind:

  • Aus wirtschaftlichen Gründen teilen sich oft in einer Cloud mehrere Anwender eine gemeinsame Infrastruktur.

  • Cloud-Dienste sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte Angebote rascher an den tatsächlichen Bedarf des Anwenders angepasst werden.

  • Die in Anspruch genommenen Cloud-Dienste werden in der Regel mittels einer Webschnittstelle durch den Cloud-Anwender selbst gesteuert. So kann er automatisiert die genutzten Dienste auf seine Bedürfnisse zuschneiden.

  • Durch die beim Cloud-Computing genutzten Techniken ist es möglich, die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographisch sowohl im In- als auch im Ausland weit verstreut sein können.

  • Der Anwender kann die genutzten Dienste und seine Ressourcen einfach über Web-Oberflächen oder passende Schnittstellen administrieren, wobei wenig Interaktion mit dem Provider erforderlich ist.“

Die vermeintlich höhere Bequemlichkeit birgt aus Sicht von GMP und des regulierten Nutzers auch gewisse Besonderheiten und Risiken:

  • Es gibt keinen direkten physischen Zugriff auf die Infrastruktur

  • Es gibt keine starr definierte Konfiguration der Infrastruktur

  • Das regulierte Unternehmen hat keinen unmittelbaren Einfluss auf Änderungen in der Infrastruktur

  • Das regulierte Unternehmen überträgt Teile der Datensicherheit, des Zugriffs und der Datenverfügbarkeit an einen Dienstleister

 

EU-GMP-Leitfaden, Annex 11, Lieferanten und Dienstleister

3.1 Werden Dritte (z. B. Lieferanten, Dienstleister) herangezogen, um z. B. ein computergestütztes System bereitzustellen […] Daten zu verarbeiten oder im Zusammenhang stehende Serviceleistungen zu erbringen, müssen formale Vereinbarungen abgeschlossen sein, in denen die Verantwortlichkeiten des Dritten eindeutig beschrieben sind.

IT-Abteilungen sollten analog zu Dritten behandelt werden.


Für die Nutzung von Cloud-Diensten sind folglich „formale Vereinbarungen“ zu treffen.


Haben Sie Fragen oder Anregungen? Bitte schreiben Sie uns: redaktion@gmp-verlag.de

Dr. Peter Schober
Dr. Peter Schober Geschrieben am 20. März 2023

Folgende Beiträge könnten Sie auch interessieren

Welche Anforderungen beinhaltet das ALCOA-Prinzip?
Frage der Woche

Welche Anforderungen beinhaltet das ALCOA-Prinzip?

Hier geht es zur Antwort:
Weiterlesen
EU: Kommissionsvorschlag zur Vereinfachung der Medizinprodukte-Verordnungen
News

EU: Kommissionsvorschlag zur Vereinfachung der Medizinprodukte-Verordnungen

Die Europäische Kommission hat gezielte Reformen vorgeschlagen, um die Verordnung (EU) 2017/745 über Medizinprodukte (Medical Device Regulation, MDR) und die Verordnung (EU) 2017/746 über In-vitro-Diagnostika (In Vitro Diagnostic Regulation, IVDR) zu vereinfachen und bestehende strukturelle Probleme zu adressieren.

Weiterlesen
EMA: Update zur Leitlinie „Stability testing for variations“
News

EMA: Update zur Leitlinie „Stability testing for variations“

Die EMA hat die Leitlinie zur Stabilitätsprüfung bei Änderungsanträgen überarbeitet (Revision 3, gültig ab 15. Januar 2026).

Weiterlesen
EU: Vorschlag für einen europäischen Biotech Act
News

EU: Vorschlag für einen europäischen Biotech Act

Die Europäische Kommission hat einen Vorschlag für einen Biotech Act vorgelegt, mit dem die Biotechnologie in Europa gestärkt und der Transfer innovativer Ideen vom Labor in den Markt beschleunigt werden soll.

Weiterlesen
EMA: Konzeptpapier zur Überarbeitung von Annex 3 für Radiopharmaka
News

EMA: Konzeptpapier zur Überarbeitung von Annex 3 für Radiopharmaka

Die EMA hat ein Konzeptpapier zur geplanten Überarbeitung von Annex 3 (Herstellung von Radiopharmaka) der EU-GMP-Leitlinien veröffentlicht. Das Papier wurde in Zusammenarbeit mit PIC/S erarbeitet und auf der November-Sitzung der GMDP Inspectors Working Group (IWG) verabschiedet.

Weiterlesen
EMA: Q&A zur QP-Zertifizierung ohne physischen EU-Import
News

EMA: Q&A zur QP-Zertifizierung ohne physischen EU-Import

Die EMA hat eine neue Frage-und-Antwort zur QP-Zertifizierung von Chargen veröffentlicht, die weder im EU-/EWR-Raum hergestellt noch für den EU-/EWR-Markt bestimmt sind und auch nicht physisch in die EU/den EWR importiert werden.

Weiterlesen
EU: Einigung zum Pharmapaket
News

EU: Einigung zum Pharmapaket

Am 11. Dezember haben die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union eine vorläufige Einigung über die Aktualisierung des europäischen Rechtsrahmens für Arzneimittel erzielt.

Weiterlesen
EMA: Aktualisierte Q&As zu biologischen Arzneimitteln
News

EMA: Aktualisierte Q&As zu biologischen Arzneimitteln

Die EMA hat ihr Frage-und-Antwort-Dokument zu biologischen Arzneimitteln aktualisiert und neue Fragen aufgenommen, die bisher unterschiedlich interpretiert wurden oder Klärungsbedarf hatten. In der aktuellen Überarbeitung wurden sechs neue Fragen ergänzt und mehrere bestehende Antworten angepasst.

Weiterlesen
ICH: Neue Empfehlungen zur Herstellung von ATMPs
News

ICH: Neue Empfehlungen zur Herstellung von ATMPs

Die ICH-Diskussionsgruppe für Zell- und Gentherapien (CGTDG) hat neue Empfehlungen zur besseren internationalen Harmonisierung der Herstellungsanforderungen für Advanced Therapy Medicinal Products (ATMPs) vorgelegt. Zentrales Element ist die Empfehlung, einen Anhang zu ICH Q11 zu entwickeln, der gezielt auf die besonderen Anforderungen der ATMP-Herstellung eingeht.

Weiterlesen
Vorheriges
Nächstes

Produkte zum Thema

Produktgalerie überspringen
GMP-BERATER | Personenlizenz | 12M

GMP-BERATER | Personenlizenz | 12M

Tausende Fachleute nutzen heute den GMP-BERATER, diese weltweit einmalige und umfangreichste Informationsbasis für die Gute Herstellungspraxis. Mit einer Personenlizenz kann ein User, mit der Firmenlizenz können beliebig viele User auf das Wissensportal zugreifen.Ca. 5.000 Seiten GMP-Praxiswissen mit über 600 Arbeitshilfen, Checklisten, Abbildungen und Formblättern:Praxisnahe Anleitung für die schnelle Umsetzung im BetriebDetaillierte Beschreibung von GMP-gerechten SystemenInternationale Gesetze und Richtlinien im Original, z. T. mit deutscher ÜbersetzungImmer aktuell durch regelmäßige AktualisierungenAlle Beiträge von praxiserfahrenen Autorinnen und Autoren aus Industrie und Behörde

Sofort versandfertig, Lieferzeit ca. 2-5 Werktage (für Weihnachtsgeschenke ca. 2-3 Wochen)
1.335,00 € netto zzgl. MwSt.
Details
GMP Compliance Adviser | Named User Licence | 12M

GMP Compliance Adviser | Named User Licence | 12M

The GMP Compliance Adviser is an online publication that covers all aspects of Good Manufacturing Practice (GMP) in one source.In the GMP Compliance Adviser you’ll find: GMP in Practice This part contains 21 chapters with GMP expert knowledge to base your decisions upon. It provides practical assistance with checklists, templates and SOP examples. It is written by more than 80 authors with hands-on experience directly linked to the industry. The individual chapters describe the different aspects of GMP in clear language. Technical, organizational and procedural aspects are covered.More than 700 checklists, templates and examples of standard operation procedures taken directly out of practice help you in understanding the GMP requirements.GMP RegulationsThese chapters cover the most important GMP regulations from Europe and the United States (CFR and FDA), but also PIC/S, ICH, WHO and many more.  Sample Documents In addition, the GMP Compliance Adviser contains many sample documents and practical examples that you can use.

Sofort versandfertig, Lieferzeit ca. 2-5 Werktage (für Weihnachtsgeschenke ca. 2-3 Wochen)
1.335,00 € netto zzgl. MwSt.
Details
GMP:KnowHow Anlagenqualifizierung 2.0 | Personenlizenz | 12M

GMP:KnowHow Anlagenqualifizierung 2.0 | Personenlizenz | 12M

Ihre Anlaufstelle für Wissen rund um die GMP-Qualifizierung von technischen Systemen und Anlagen. Das GMP:KnowHow Anlagenqualifizierung 2.0 bietet Ihnen eine effiziente und klar strukturierte Lösung zur Qualifizierung von Pharmaanlagen. Das Wissensportal richtet sich an Mitarbeitende in der Pharmaindustrie, die einen Zugang zu praktischen Anleitungen und Beispieldokumenten brauchen und sich tiefer in die theoretischen Grundlagen der Anlagenqualifizierung einarbeiten wollen.  Das Portal liefert umfassenden Vorlagen und Arbeitshilfen, die sowohl die Erstqualifizierung als auch den gesamten Lebenszyklus einer Anlage abbilden. Alle Dokumente sind praxiserprobt und von Fachexperten erstellt. Die theoretischen Grundlagen zu den einzelnen Themen sind nur kurz angerissen. Für detaillierte Informationen wird auf die ausführlichen Kapitel des GMP-BERATERs verlinkt. Die entsprechenden Kapitel sind für Sie freigeschaltet.

Sofort versandfertig, Lieferzeit ca. 2-5 Werktage (für Weihnachtsgeschenke ca. 2-3 Wochen)
810,00 € netto zzgl. MwSt.
Details
SOP-Sammlung | Personenlizenz | 12M

SOP-Sammlung | Personenlizenz | 12M

Im Online-Portal finden Sie alle SOPs an einem Ort. Immer auf dem neusten Stand dank Abonnement. Neue SOPs und Aktualisierungen werden Ihrer Sammlung automatisch hinzugefügt. Übersichtliche Struktur, intuitive Navigation: Sie finden alles auf Anhieb. Einfach klicken, schon steht Ihre SOP zur Verfügung.Oder Sie benutzen die praktische Volltextsuche. Die SOPs beschreiben GMP-relevante Kernprozesse für ein fiktives Pharmaunternehmen mit Schlüsselpersonen und Verantwortungsbereichen. Dazu gibt es Erklärungen und nützliche Tipps. In einem schlüssigen SOP-Konzept liegt enormes Potential für den reibungslosen Ablauf von GMP-Prozessen! Sie erhalten jede SOP als editierbare Datei, die Sie für Ihre Zwecke anpassen können. Die SOPs berücksichtigen die aktuellen regulatorischen GMP-Anforderungen an die Herstellung von Arzneimitteln und dienen Ihnen so als Vorlage für neu zu erstellende SOPs und zur Optimierung vorhandener SOPs. Mit zahlreichen erklärenden Hinweisen und nützlichen Tipps, die Sie bei der Anpassung der Muster-SOPs an Ihre konkreten Unternehmensabläufe unterstützen. Unsere Redaktion ist für Sie da: Sie erhalten schnell persönliche Antworten.

Sofort versandfertig, Lieferzeit ca. 2-5 Werktage (für Weihnachtsgeschenke ca. 2-3 Wochen)
1.695,00 € netto zzgl. MwSt.
Details
Diese Website verwendet Cookies, um eine bestmögliche Erfahrung bieten zu können. Mehr Informationen ...