Cloud Computing: Ist eine SaaS-Anwendung ein Closed System nach 21 CFR Part 11?

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP)
• Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 4: Ist eine SaaS-Anwendung ein Closed System nach 21 CFR Part 11? - Themenkreis Grundlagen der Cloud Computing Technologie

Das kommt darauf an …

Die Begriffe SaaS und "Closed System" bedingen sich nicht, schließen sich aber auch nicht aus. SaaS ist in erster Linie ein Modell zur Bereitstellung einer Software-Anwendung durch einen Dienstleister (Cloud Service Provider, CSP) in der Cloud, also über das Internet. Dabei werden Daten mindestens temporär in die Cloud übertragen und dort gespeichert und verarbeitet, in der Regel dauerhaft.

Die Definitionen des 21 CFR Part 11 zu "open" und "closed systems" nehmen hingegen nicht Bezug auf die Art und Weise der Bereitstellung, sondern auf das Maß an Kontrolle über die Anwendung und die Daten. Diese Kontrolle wird in erster Linie durch entsprechende Maßnahmen wie Zugriffsschutz, Berechtigungskonzepte und Datenverschlüsselung realisiert. Sie ist somit nicht unabhängig von SaaS zu betrachten, stellt aber eine eigene Dimension dar.

21 CFR Part 11 definiert in §11.3(b)(4) ein geschlossenes System als eine Umgebung, in der die Systemzugänge unter der Kontrolle der Organisation liegen, die für die Daten und Aufzeichnungen verantwortlich ist. Im Gegensatz dazu wird in §11.3(b)(9) ein offenes System definiert, in der diese Kontrolle fehlt. Die Maßnahmen für Validierung und Datenschutz unterscheiden sich entsprechend und sind in den Paragrafen §11.10 für geschlossene bzw. §11.30 für offene Systeme definiert.

Somit kann eine SaaS-Anwendung ein offenes System sein, wird aber in aller Regel, insbesondere, wenn damit kritische, sensible, vertrauenswürdige oder generell schützenswerte Daten verarbeitet und gespeichert werden, als geschlossenes System realisiert sein.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart