Sicherstellung der Datenintegrität bei Cloud-Dienstleistern

Cloud-Anwendungen werden auch im GMP-Umfeld vermehrt eingeführt. Kostenaspekte dominieren die Diskussion, allerdings gilt es auch spezielle Risiken zu beachten. Insbesondere die Thematik der Datenintegrität ist bei Cloud Computing-Anwendungen nicht zu unterschätzen. Welche Vereinbarungen dazu müssen in Verträgen mit Cloud-Dienstleistern enthalten sein, um die Datenintegrität sicherzustellen?

Die Erforderlichkeit von vertraglichen Regelungen findet sich sowohl im Kapitel 7 "Ausgelagerte Aktivitäten" des EU-GMP Leitfadens als auch im Annex 11 zum Leitfaden "Computergestützte Systeme".
Im Folgenden sind Anforderungen an die vertraglichen Vereinbarungen zwischen einem RU (Regulated User) und dem CSP (Cloud Service Provider) formuliert, die darauf abzielen, die Integrität von Daten (in Bewegung und in Ruhe) zu gewährleisten. Diese Anforderungen finden sich so nicht explizit im EU-GMP Guide wieder, sind aber als sinnvoll zu betrachten:

• Die Übertragung von Daten sollte nur in verschlüsselter Form und in einer Art und Weise erfolgen, die sicherstellt, dass die Daten vollständig und unverändert übertragen werden.
• CSP, die vertrauliche Daten oder Daten mit hohen Anforderungen an die Verfügbarkeit in der Verantwortung bearbeiten, müssen über ein zertifiziertes ISMS (Information Security Management System) verfügen (z.B. gem. DIN 27001).
• CSP, die vertrauliche Daten und Daten mit hoher Kritikalität bearbeiten, müssen sich im Rahmen Ihrer Qualifizierung einem Penetrationstest unterziehen lassen.
• Die Speicherung vertraulicher und kritischer Daten darf nur verschlüsselt (oder pseudonymisiert) erfolgen.
• Das Bereitstellungsmodell / Deploymentmodel sollte in Abhängigkeit der Kritikalität gewählt werden. Private und Community Cloud Modelle sind für vertrauliche Daten der Public Cloud vorzuziehen.
• Eine Weitergabe an Dritte (z.B. Subunternehmen oder Unterauftragnehmer), die z.B. Infrastruktur bereitstellen (Speicher für BackUp, redundante Rechenleistung etc.) sollte generell ausgeschlossen werden oder von einer Genehmigung durch den RU abhängig sein.
• Die Löschung der Daten muss vollständig gewährleistet sein.
• Es muss möglich sein, Daten in einer Form zu exportieren, die es erlauben, den CSP zu wechseln oder die Daten wieder "on premise" zur Verfügung zu haben.
• Der Zugriff auf die Daten sollte nur einem begrenzten, speziell ausgewählten und qualifizierten Personenkreis des CSP möglich sein.
• Sofern Daten verschlüsselt werden, sollte die Schlüsselverwaltung beim RU liegen.
• Der CSP informiert den RU über Änderungen, die Einfluss auf die Applikation oder die Datenbank haben können. Erwartet wird eine Änderungsmitteilung mit Release Note, idealerweise zeitlich vor der tatsächlichen Umsetzung der Änderung, so dass der RU gegebenenfalls Auswirkungen der Änderung testen kann.