Cloud Computing: Bedeutung des SOC 2 Reports und die Bewertung eines "Cloud-Lieferanten" aus Behördensicht

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP)
• Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 13: Bei der Bewertung eines Cloud Dienstleister verweist dieser auf SOC Reports, insbesondere auf den SOC 2 Report. Wären darüber die Anforderungen für eine Bewertung möglich und ausreichend? - Themenkreis Kunden-Lieferanten-Beziehungen

Der SOC2 Report kann für die Fragestellungen, die wir im GMP/GLP-Umfeld haben herangezogen werden. Es ist aber darauf zu achten, dass der SOC2 Report die Anforderungen aus dem Finanzbereich erfüllen muss. Diese decken nicht die Anforderungen aus dem Pharmazeutischem Bereich ab. Wir haben uns z.B. den Change Prozess im SOC2 Report angesehen und festgestellt, dass es noch einige nicht beantwortete Anforderungen gibt. Fazit: Der SOC2 Report ist nicht ausreichend zur Bewertung eines CSP.

Frage 14: Was sollte die Bewertung der "Cloud-Lieferanten" aus Behördensicht umfassen? - Themenkreis Regulatorische Grundlagen und Erwartungen von Inspektoren

Wesentliche Hinweise für die Bewertung eines CSP aus Behördensicht liefert das Votum der EFG 11: V1100202 Anforderungen an die Aufbewahrung elektronischer Daten
Entsprechend dem Votum V1100202 müssen die Vorgaben zur Qualifizierung der IT-Infrastruktur (IAAS, PAAS), der Validierung der Applikation (SAAS) und die Sicherstellung der Verfügbarkeit, Lesbarkeit und Integrität von einem (internen oder externen) Dienstleister erfüllt werden. Entscheidend ist der Hinweis, dass eine Gefährdung für Patientinnen/Patienten und/oder die Qualität des Arzneimittels ausgeschlossen wird. Ein Assessment sollte entsprechend dem Votum insbesondere folgende Punkte umfassen:

• Service Level Agreement
• Qualifizierung und Validierung verifiziert wurden
• Im Rahmen eines kontinuierlichen Assessments des CSP im Sinne von Quality Attributs überprüft werden können
• Die Löschung der Daten nach Beendigung des Geschäftsverhältnisses sichergestellt ist
• Die Verlagerung der Daten oder der Anwendung zurück oder zu einem anderen CSP möglich ist.

Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing" 

Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u.a. das Expertenteam beantwortet hat.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart