Bewertung von Cloud Service Providern aus Behördensicht - Teil I

IT-Aktivitäten werden mehr und mehr an Cloud Service Provider (CSP) ausgelagert. Betroffen davon sind auch GMP-relevante Systeme. Trotz der Auslagerung der Aktivitäten bleibt der Pharmazeutische Unternehmer aber uneingeschränkt in der Verantwortung und muss entsprechende Mechanismen etablieren um dieser Verantwortung gerecht zu werden.

Was sollte die Bewertung der "Cloud-Lieferanten" aus Behördensicht umfassen?

Wesentliche Hinweise für die Bewertung eines CSP aus Behördensicht liefert das Votum V1100202 "Anforderungen an die Aufbewahrung elektronischer Daten" der EFG 11.

Entsprechend dem Votum müssen die Vorgaben zur Qualifizierung der IT-Infrastruktur (IAAS, PAAS), der Validierung der Applikation (SAAS) und die Sicherstellung der Verfügbarkeit, Lesbarkeit und Integrität von einem (internen oder externen) Dienstleister erfüllt werden. Entscheidend ist der Hinweis, dass eine Gefährdung für Patientinnen/Patienten und/oder die Qualität des Arzneimittels ausgeschlossen wird. Ein Assesment sollte entsprechend dem Votum insbesondere folgende Punkte umfassen:

  • Service Level Agreement
  • Qualifizierung und Validierung wurden verifiziert
  • Im Rahmen eines kontinuierlichen Assessments des CSP können im Sinne von Quality Attributs überprüft werden
  • Die Löschung der Daten nach Beendigung des Geschäftsverhältnisses ist sichergestellt
  • Die Verlagerung der Daten oder der Anwendung zurück oder zu einem anderen CSP ist möglich

Dürfen (GMP-)Überwachungsbehörden Cloud Service Provider inspizieren? Wenn nein, ist das in Zukunft geplant?

Eine Rechtsgrundlage für die Inspektion eines CSP durch eine GMP-Behörde existiert momentan nicht. Selbst auf Einladung des CSP dürfte eine solche Inspektion nicht durchgeführt werden. In absehbarer Zukunft ist es nicht geplant, die entsprechenden Rechtsgrundlagen zu ändern.

Welche Personen (Funktionen) sollen an einem Audit eines CSP teilnehmen und welche Themen sollen (müssen) angesprochen werden?

Entsprechend des Votums 1100202 gilt: Beim Audit sind Personen zu beteiligen, die über ausreichende Erfahrungen in dieser speziellen Technologie verfügen. Grundsätzlich sollte zumindest eine Person aus der IT kommen. Der Lead-Auditor wird in der Regel ein Mitarbeiter der Qualitätssicherung sein.

Folgende Themen sollten entsprechend dem Votum angesprochen werden:

  • Sicherheit des Rechenzentrums
  • Serversicherheit
  • Netzsicherheit
  • Anwendungs- und Plattformsicherheit
  • Datensicherheit
  • Verschlüsselungs- und Schlüsselmanagement
  • ID- und Rechtemanagement
  • Auswahl und Training der Mitarbeitenden
  • Validierung und Qualifizierung
  • Externe Services und Subunternehmer
  • Erhaltung des validierten Zustandes (Changemanagement, Konfigurationsmanagement, Patchmanagement, Monitoring und Reporting, Incident Management)

Quelle: Votum V1100202 der Expertenfachgruppe 11

Zurück

GMP Seminare nach Thema