Cloud Computing: Was ist bei der Validierung von SaaS zu beachten; wer ist verantwortlich?

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP)
• Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 15: Was ist bei der Validierung von SaaS (Software as a Service) zu beachten; wer ist verantwortlich? - Themenkreis Qualifizierungs-/
Validierungsanforderungen

SaaS steht für "Software as a Service" und ist eines von mehreren Servicemodellen, bei denen ein Cloud Service Provider (CSP) seine Dienste anbietet. Bei SaaS stellt der CSP die gesamte Anwendung einschließlich Infrastruktur und Plattform bereit.

Das regulierte Unternehmen bezahlt eine Lizenzgebühr, muss aber selbst nicht in Server-Hardware und Software-Entwicklung investieren - bezahlt werden Bereitstellung und laufender Betrieb. Im Gegenzug übernimmt der CSP die IT-Administration und weitere Dienstleistungen wie Wartung und Aktualisierung der Software.

Um es klar zu sagen: Verantwortung lässt sich nicht delegieren! Das regulierte Unternehmen bleibt für die ordnungsgemäße Nutzung und Umsetzung der Anwendung durch den CSP verantwortlich. Dieser Verantwortung wird das regulierte Unternehmen gerecht, indem der CSP qualifiziert und die per SaaS bereitgestellte(n) Anwendung(en) validiert werden.

Wie bei jeder Software-Anwendung sollten zunächst die Anforderungen in Form eines Lastenhefts (URS) festgelegt werden. Auf dieser Basis, ergänzt um weitere Kriterien, z.B. kommerzielle Aspekte, können verschiedene CSPs mit ihren Anwendungen evaluiert werden. Kommt ein CSP in die engere Wahl, so ist - abhängig vom Risiko der Anwendung und der verarbeiteten Daten - eine Qualifizierung durchzuführen; diese kann vom Ausfüllen eines Fragebogens bis zu einem mehrtägigen Vor-Ort-Audit reichen.

Die Transparenz des CSPs und die Art und Weise der Zusammenarbeit haben einen entsprechend hohen Einfluss auf die Validierung. Generell kann diese als "Black Box" betrachtet und mit denselben Methoden wie herkömmliche Software validiert werden, aber es gilt, folgenden Aspekte besondere Aufmerksamkeit zu widmen:

• Dokumentation, die der CSP / Hersteller bereitstellt. Dieser Aspekt gewinnt an Bedeutung, weil nicht nur die Anwendung, sondern auch Infrastruktur, Betriebssystem etc. durch den CSP installiert und betrieben werden.
• Vorleistungen und Qualität der Anwendung. Diese lässt sich durch Einsicht in die Unterlagen des CSPs / Herstellers und durch eigene Prüfmaßnahmen verifizieren.
• Datenschutz. Die DSGVO ist zu beachten. Hier ist zu hinterfragen, wie und wo die eigenen Daten gespeichert und verarbeitet werden und wie Daten verschiedener Unternehmen voneinander sicher getrennt werden.
• Update-Strategie. Bei SaaS ist nicht nur die Qualität der Anwendung zum Zeitpunkt der Prüfung relevant, sondern insbesondere die Prozesse und Methoden zur Weiterentwicklung, Fehlerbeseitigung und generell Aktualisierung sind zu prüfen: Häufig hat das regulierte Unternehmen - je nach Anwendung und Dienstleistungsvertrag - keinen direkten Einfluss auf Umfang und Zeitpunkt von Aktualisierungen.
• Exit-Strategie. Ein weiterer wichtiger Punkt, der bereits früh bedacht werden sollte, ist die Exit-Strategie: SaaS ist bequem, kann aber leicht zu einer unerwünschten Abhängigkeit ("Vendor-Lock-in") führen, da der CSP in der Regel nicht nur die Anwendung betreibt, sondern auch die Daten speichert und verwaltet.

Generell folgt die Validierung von SaaS den bekannten Prinzipien der klassischen Computersystem-validierung. Durch SaaS kommen jedoch neue Risiken hinzu und die Schwerpunkte verschieben sich, weil die Aktivitäten des CSPs / Herstellers eine größere Rolle spielen.

Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing"

Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u.a. das Expertenteam beantwortet hat.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart