Cloud Computing: Anforderungen an die qualifizierte Infrastruktur beim Cloud Service Provider
Melden Sie sich jetzt an für
den kostenlosen GMP-Newsletter
Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehung
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Frage 27: Wie kann die Annex 11-Anforderung nach einer qualifizierten Infrastruktur beim Cloud Provider mit kurzen Produktzyklen umgesetzt werden? Welche Dokumentation wird erwartet? - Themenkreis Qualifizierungs-/Validierungsanforderungen
Annex 11 der EU-GMP-Regeln von Juli 2011 enthält noch nicht das Wort "Cloud", definiert aber in seinem Glossar "IT-Infrastruktur" und beginnt bereits in der Einleitung mit der fundamentalen und eindeutigen Feststellung: "Die Anwendung sollte validiert sein; IT-Infrastruktur sollte qualifiziert sein."
In der zweiten Auflage von GAMP® 5 wird dagegen die Cloud als (möglicher) Teil der IT-Infrastruktur hinreichend berücksichtigt. Ganz generell heißt es dort in Anhang M11 - IT-Infrastruktur: "Eine kontrollierte IT-Infrastruktur ist eine Voraussetzung, um sicherzustellen, dass GxP-Anwendungen in einem kontrollierten Zustand betrieben werden können".
Dies gilt so auch für Cloud-Dienste und -Lösungen. Während jedoch die Verantwortung beim regulierten Unternehmen verbleibt, verschieben sich hierbei praktische und operative Aspekte - je nach Art des Dienstes (Iaas, PaaS oder SaaS) - mehr und mehr zum Cloud Service Provider (CSP). Wichtig ist, dass die grundlegenden Anforderungen an IT-Sicherheit, Sicherung und Wiederherstellung, Änderungs- und Konfigurationsmanagement etc. sich dadurch nicht ändern, deren operative Umsetzung erfolgt jedoch mit anderen Mitteln.
Der CSP sollte daher die Einrichtung und den Betrieb einer qualifizierten Infrastruktur mit kurzen Produktzyklen durch entsprechende Vorgehensmodelle (z. B. agile und iterative Änderungen, Virtualisierung, DevOps), durch einen hohen Automatisierungsgrad und durch ergänzende QS-Maßnahmen sicherstellen. Hierzu zählen auch eine Risikobewertung und die Durchführung entsprechender Sicherungs- und Präventivmaßnahmen - all dies sollte im Rahmen einer guten IT-Praxis ohnehin selbstverständlich sein.
Da die verwendeten Komponenten in der Regel hochgradig standardisiert sind, sind die Risiken bei Um- und Ausbau der Cloud oder bei Änderungen der Konfiguration gut beherrschbar und die hohe Dynamik kann nach dem Prinzip "Einmal qualifiziert, vielfach implementiert" umgesetzt werden. Seriöse und professionell agierende CSPs erfüllen die Anforderungen an eine qualifizierte IT-Infrastruktur meist im eigenen Interesse durch Etablierung entsprechender IT-Prozesse und -Richtlinien (z. B. basierend auf ITIL®), auch wenn sie kein besonderes Augenmerk auf GxP-Vorschriften richten.
Die Herausforderung für das regulierte Unternehmen besteht demnach darin, sich vom CSP die Einhaltung der Anforderungen und Vorschriften vertraglich zusichern zu lassen und diese in geeigneter Weise und gemäß dem ermittelten Risiko zu überprüfen. Dies ist durch diverse Maßnahmen möglich, u. a. die Durchführung einer Lieferantenbewertung und den Abschluss individueller Vereinbarungen zu Betrieb, Verfügbarkeit, Überwachung etc. Die vom CSP individuell oder öffentlich bereitgestellten Informationen (z. B. White Paper, Zertifikate, Auditberichte) unterstützen die Bewertung, die ggf. um ein Lieferantenaudit ergänzt werden sollte.
Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing"
Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u.a. das Expertenteam beantwortet hat.
Die Experten
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart
