Cloud Computing: Konsequenzen verschiedener Servicemodelle für das Lieferantenmanagement und die Qualifizierung/Validierung

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP)
• Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 16: Welche Konsequenzen haben die verschiedenen Servicemodelle (IaaS / PaaS / SaaS / XaaS) für das Lieferantenmanagement und die Qualifizierung / Validierung? - Themenkreis Qualifizierungs-/ Validierungsanforderungen

Wie in der Antwort zu "Was bedeutet IaaS / PaaS / SaaS / XaaS?" dargestellt, unterscheiden sich die unterschiedlichen Servicemodelle bzgl. Qualifizierung und Validierung vor allem darin, wo die Verantwortung des Lieferanten (Cloud Service Provider, CSP) aufhört und die des Anwenders (reguliertes Unternehmen) beginnt. Spezialfälle wie HPCaaS oder AIaaS (siehe "Was bedeutet IaaS / PaaS / SaaS / XaaS?") werden hier der Einfachheit halber wie SaaS behandelt, d. h. wir betrachten IaaS, PaaS und SaaS.

Wichtig zu wissen: Die Verantwortung des regulierten Unternehmens für Patientensicherheit, Produktqualität und - insbesondere im Kontext Cloud wichtig - Datenintegrität, kann nicht an einen CSP oder sonstigen Dienstleister delegiert werden!

Dennoch sind Cloud-Modelle bestens geeignet, das Leverage-Prinzip anzuwenden: "Baue auf den (Vor-)Leistungen des Dienstleisters auf!". Die vom regulierten Unternehmen durchzuführenden Maßnahmen für die Qualifizierung und Validierung einer Anwendung orientieren sich folglich neben den wichtigen Faktoren GxP-Einfluss, Risiko, Erfahrung, Komplexität etc. auch am Servicemodell:

• IaaS: Der CSP stellt die Infrastruktur zur Verfügung. Da Konfiguration und Betrieb aller weiteren Ebenen beim regulierten Unternehmen verbleiben, sind keine besonderen Maßnahmen erforderlich. Zur Risikominimierung ist es empfehlenswert, sich die Verfügbarkeit vom CSP vertraglich zusichern zu lassen und einen "Plan B" für einen Betrieb zu haben, falls die Cloud nicht erreichbar ist (dies gilt selbstverständlich auch für die Infrastruktur auf Seiten des regulierten Unternehmens).
• PaaS: Der CSP stellt die Infrastruktur zur Verfügung und installiert das Betriebssystem. Da Betriebssysteme ebenso wie Infrastruktur in GAMP Software Kategorie 1 fallen und - zumindest bei den weit verbreitet eingesetzten Betriebssystemen - keine besonderen Risiken zu erwarten sind, gelten die Aussagen für IaaS hier analog. Als zusätzliche Maßnahme sollte die Konfiguration des Betriebssystems überprüft und dokumentiert werden. Zudem sollte bekannt und nach Möglichkeit vertraglich geregelt sein, wie und wie oft der CSP das Betriebssystem aktualisiert und wann und in welcher Form das regulierte Unternehmen darüber informiert wird.
• SaaS: Der CSP stellt die Infrastruktur, das Betriebssystem und die Anwendung bereit. Bei diesem Modell muss der CSP die Anwendung entsprechend der Anforderungen des regulierten Unternehmens spezifizieren und testen, ebenso verbleibt ein Teil der Kontrolle über die Konfiguration beim CSP. Dies setzt ein hohes Maß an Vertrauen voraus, das häufig nur durch eine dem Risiko der Anwendung angemessene Prüfung des CSP gerechtfertigt ist; diese Prüfung erfordert in der Regel eine Auditierung. Das Risiko und der Umfang der Prüfung kann reduziert werden, wenn der CSP entsprechende Unterlagen (Zertifikate, White Paper etc.) bereitstellt. Im Rahmen der Prüfung identifizierte Risiken sollten mit geeigneten Maßnahmen, z.B. vertraglichen Vereinbarungen, reduziert werden. Der Update-Strategie des CSP kommt bei SaaS eine noch größere Bedeutung als bei PaaS zu, da Änderungen potenziell weitreichender und riskanter sind. Insofern ist bei SaaS noch wichtiger, diese Update-Strategie zu kennen und rechtzeitig über geplante Änderungen informiert zu sein.

Unabhängig, ob IaaS, PaaS oder SaaS: Die Rollen und Verantwortlichkeiten sowohl des CSP als auch des regulierten Unternehmens sollte definiert und klar beschrieben und die Vorgehensweise in Bezug auf Änderungen durch den CSP sollte vertraglich geregelt sein.

Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing"

Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u.a. das Expertenteam beantwortet hat.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart