Cloud Computing für GxP-Überwachungsumgebungen: Riskant oder lohnend?
Um die GxP-Anforderungen zu erfüllen, müssen die Umgebungsbedingungen entlang der gesamten Supply Chain von pharmazeutischen Produkten überwacht und dokumentiert werden. Da hierfür vermehrt Cloud-Lösungen zum Einsatz kommen, stellt sich die Frage, ob dies der richtige Ansatz ist. Der Beitrag beschreibt daher unterschiedliche Cloud-Modelle sowie deren Risiken und Nutzen und liefert eine Checkliste für den Einsatz von Cloud-Monitoring-Lösungen in GxP-Anwendungsbereichen.
Einführung
In den letzten Jahren ist die Akzeptanz für Cloud-Computing und Cloud-Hosting für Geschäftsanwendungen in unterschiedlichsten Branchen rapide gestiegen. Dies ist zurückzuführen auf offensichtliche Vorteile:
- Skalierbarkeit (sowohl hinsichtlich der Datenverarbeitung als auch der Datenspeicherung)
- integrierte Backup- und Wiederherstellungsfunktionen
- reduzierter Wartungsaufwand
- einfacher Zugriff insbesondere bei dezentralen Teams
- Kosteneffizienz durch niedrigere IT-Investitionen oder weniger Know-how-Bedarf
Dennoch gibt es nach wie vor Bedenken im Hinblick auf Lock-in-Effekte und die daraus resultierenden Abhängigkeiten vom Lösungsanbieter, Sicherheit oder die Übertragung der Kontrolle auf Externe.
Fügt man die Erfüllung von GxP-Anforderungen zur Liste der Bedenken hinzu, hat man eine sehr spezielle Situation mit einzigartigen Datenumgebungen. Da auch die Pharma- und Life-Science-Industrie angesichts der vorstehend genannten Vorteile in die Cloud wechselt, muss bedacht werden, welche Auswirkungen dies auf diese Fachbranche hat. Entsprechen eine cloud-basierte Infrastruktur sowie Plattformen und Software-Anwendungen in der Cloud den GxP-Anforderungen und den Anforderungen an Datenintegrität? Dieser Beitrag liefert die Antworten und nimmt dabei insbesondere Lösungen für die Umgebungsüberwachung (Monitoring) in der Pharma-, Life-Science-, Biotech- und Healthcare-Branche in den Fokus.
Adressaten und Ziele des Beitrags
GxP-regulierte Unternehmen haben eine lange Liste an globalen Anforderungen für die Verwendung, Speicherung und Kommunikation von Daten: FDA 21 CFR Part 11, die EU-Datenschutzgrundverordnung (DSGVO), Bestimmungen zur Datenintegrität aus vielen Ländern, um nur einige zu nennen. Um innerhalb der regulatorischen Leitlinien zu bleiben, muss man verstehen, welche Vor- und Nachteile solche Cloud-Lösungen für das Pharmageschäft haben. In diesem Beitrag werden sämtliche Fakten im Zusammenhang mit Cloud-Diensten in einem GxP-Überwachungsumfeld sowie die entsprechenden Massnahmen zur Sicherstellung der Konformität dargelegt.
Was ist die Cloud?
Vor der Diskussion spezifischer Punkte zu cloud-basierten Überwachungslösungen im GxP-Umfeld sollen kurz die verschiedenen Modelle von Cloud-Diensten erläutert werden. In der Regel werden drei Cloud-Modelle unterschieden, die sich im Hinblick auf den Umfang der ausgelagerten Teile vom traditionellen lokalen Hosting (On-Premises) unterscheiden:
Abbildung 1: Unterschiedliche Cloud-Modelle [1]
«Infrastructure as a Service» (IaaS) ist das Cloud-Modell, bei dem der Kunde den grössten Teil selbst verantwortet: Er betreibt die Applikationen und die Datenbanken auf seinem eigenen Betriebssystem und seiner eigenen Middleware, die aber auf virtualisierten Servern des Cloud-Anbieters laufen. IaaS ist für grosse Organisationen von Vorteil, die die vollständige Kontrolle über ihre Anwendungen und Software-Infrastrukturen haben möchten, die Hardware jedoch von einem spezialisierten Anbieter betreiben lassen wollen oder nur das kaufen möchten, was tatsächlich genutzt oder benötigt wird (beispielsweise zur Abdeckung von Bedarfsspitzen hinsichtlich Rechenleistung oder Speicherplatz). Beispielsweise könnte sich dieses Modell für ein Life-Science-Unternehmen anbieten, das weniger kritische Anwendungen auf einem IaaS-Server betreiben möchte, um so von den Vorteilen des Outsourcings zu profitieren, gleichzeitig aber die Kontrolle über die Anwendung zu behalten.
«Platform as a Service» (PaaS) überträgt mehr Verantwortung an den Cloud-Anbieter, da dieser nicht nur die virtualisierten Server betreibt, sondern auch für Betriebssystem und Middleware verantwortlich ist. PaaS bietet Unternehmen, die ihre eigenen Anwendungen in einer «schlüsselfertigen Umgebung» ausführen möchten, hohe Geschwindigkeit und Flexibilität für den gesamten Prozess. Ein Beispiel für dieses Modell könnte ein Pharmaunternehmen sein, das seine Office-Anwendung auf der PaaS eines grossen Cloud-Anbieters wie Amazon Web Service oder Microsoft Azure betreibt.
«Software as a Service» (SaaS), häufig auch als «Cloud Application Services» bezeichnet, ist der grösste Cloud-Markt. SaaS bietet (Geschäfts-)Anwendungen, die typischerweise direkt über den Webbrowser aufgerufen werden können und kundenseitig keinen Download oder die Installation der Software erfordern.
Zusätzlich zu den verschiedenen oben beschriebenen Cloud-Modellen, die sich durch den Umfang der ausgelagerten Komponenten unterscheiden, können auch verschiedene Modelle für die Bereitstellung dieser ausgelagerten Cloud-Ressourcen unterschieden werden:
-
Public Cloud bezeichnet ein Cloud-Modell, bei dem die IT-Dienstleistungen über das Internet bereitgestellt werden. Der Cloud-Anbieter ist für Entwicklung, Verwaltung und Wartung des von mehreren Mandanten (multiple tenant) gemeinsam genutzten Ressourcenpools verantwortlich. Eine Unterart der Public Cloud ist die so genannte Community Cloud, die oft auch von mehreren Organisationen gemeinsam genutzt wird. Allerdings ist diese nicht öffentlich, sondern nur für einen definierten Nutzerkreis mit gleichen Anforderungen zugänglich. Die gemeinsamen Interessen können zum Beispiel in der Einhaltung von Audit-Vorschriften liegen oder in gemeinsamen Leistungsanforderungen für Anwendungen, die schnelle Antwortzeiten erfordern [2].
-
Private Cloudd bezeichnet Lösungen, die von einer einzelnen Organisation verwendet werden. Die Rechner-Ressourcen sind isoliert und werden nicht mit anderen Kunden gemeinsam genutzt. Verglichen mit der Public Cloud ist die Private Cloud wesentlich teurer, da die Ressourcen für jeden neuen Kunden separat bereitgestellt werden müssen.
-
Hybrid Cloud bezeichnet eine Cloud-Infrastruktur, die eine Mischung aus Public-Cloud- und Private-Cloud-Lösungen bietet. Die Ressourcen sind normalerweise als integrierte Infrastruktur-Umgebung organisiert. Apps und Daten-Workloads können die Ressourcen von Public- und Private-Cloud-Lösungen auf der Grundlage geschäftlicher und technischer Unternehmensrichtlinien gemeinsam nutzen. Die Hybrid Cloud bietet «das Beste aus beiden Welten», jedoch zum Preis gesteigerter Komplexität in puncto Überschaubarkeit und Verwaltung.
Cloud-Computing ist heute ein wichtiger Trend und die Umsätze steigen explosionsartig. Bemerkenswert dabei ist, dass Finanzdienstleister/Banken/Versicherungen, die industrielle Fertigung und Telekommunikationsdienste zu den Branchen mit den meisten Cloud-Anwendungen pro Geschäftsfunktion gehören [3]. Dies zeigt deutlich, dass heute auch (oder sogar überwiegend) Branchen mit hohen Anforderungen an Compliance und Sicherheit Cloud-Computing-Dienste nutzen.
Was ist das richtige Cloud-Setup für eine GxP-konforme Anwendung?
Nachdem wir die verschiedenen Arten und Ressourcen des Cloud-Computings kennengelernt haben, beschäftigt sich das nachfolgende Kapitel mit dem richtigen Setup für die spezifischen Anforderungen einer GxP-Überwachungslösung:
Die Überwachungslösung einschliesslich Datenbank muss validiert sein. Eine computergestützte Systemvalidierung (Computerized System Validation, CSV) ist ein dokumentierter Prozess der sicherstellt, dass ein Computersystem auf konsistente und reproduzierbare Weise genau das tut, wofür es entwickelt wurde. Im Wesentlichen bedeutet dies, dass Anforderungen dokumentiert, Validierungs- und Testpläne erstellt, Risiken in einer schriftlichen Bewertung evaluiert, Funktionalitäten getestet und gemäss Testplan dokumentiert werden müssen und dass schliesslich ein Validierungsbericht erstellt werden muss, der den gesamten Validierungsaufwand zusammenfasst. Eine IaaS- oder PaaS-Lösung könnte daher der richtige Ansatz für Anwender sein, die die Validierung des Cloud-Anbieters selbst vornehmen und die Softwareinstallation und -wartung selbst machen möchten. Für Anwender, die sich nicht mit diesen Themen befassen möchten oder keine erfahrene IT-Abteilung haben, könnte ein SaaS-Ansatz die richtige Lösung sein, denn er bietet den zusätzlichen Vorteil, dass man es mit nur einem Cloud-Lösungs-Anbieter zu tun hat, anstatt sich mit mehreren Software- bzw. Cloud-Infrastruktur-Anbietern auseinandersetzen zu müssen.
Bei der Entscheidung für Public, Private oder Hybrid Cloud sind vor allem die Kosten ausschlaggebend: Auf wie viele Nutzer lassen sich die verschiedenen Kostenblöcke umlegen?
-
Unabhängig vom Cloud-Modell entstehen für jede Organisation individuelle Kosten für die Hardware zur Datenerfassung wie Datenlogger und Sensoren.
-
Bei einer Public Cloud können sämtliche Kosten im Zusammenhang mit der Überwachungssoftware auf sämtliche Nutzer umgelegt werden. Üblicherweise berechnet der SaaS-Anbieter einen Festpreis je genutztem Messpunkt und trägt dabei das finanzielle Risiko. Der Anwender profitiert davon, dass die Kosten auf mehrere Schultern verteilt werden und dass die Einstiegshürde niedrig ist, da keine Investitionen für Entwicklung, Validierung und Betrieb einer Überwachungssoftware anfallen.
-
Bei einer Private Cloud werden die Cloud-Ressourcen nicht mit anderen Nutzern geteilt. Entsprechend müssen die Fixkosten für die isolierte Infrastruktur (z. B. Server, Lizenzen für Applikation und Betriebssystem usw.) von einem Kunden allein getragen werden. Andererseits verringern sich die variablen Kosten, wenn die Fixkosten gedeckt sind.
-
Zieht man eine Hybrid Cloud in Erwägung, ist zu beachten, wie die Ressourcen von Public Cloud und Private Cloud verteilt sind. In diesem Szenario ist davon auszugehen, dass kundenspezifische Entwicklungskosten sowie Kosten für die Validierung der verteilten Architektur direkt vom Anwender getragen werden. Darüber hinaus müssen auch die Infrastrukturkosten für den privaten Teil der Hybrid-Cloud-Lösung direkt vom Kunden getragen werden. Der öffentliche Teil der Infrastruktur kann dabei von vielen Nutzern getragen werden und in einem variablen Preis pro Überwachungspunkt enthalten sein.
Die nachfolgende Abbildung zeigt die verschiedenen Kostenblöcke der unterschiedlichen Cloud-Modelle als schematische Darstellung. Sie macht deutlich, dass das Public-Cloud-Modell(???) vor allem für kleine Installationen interessant ist, da der Nutzer keine Fixkostenblöcke zu tragen hat. Bei grösseren Installationen mit mehreren Hundert oder Tausend Messpunkten relativiert sich dieser Kostenvorteil.
Abbildung 2: Kostenblöcke unterschiedlicher Cloud-Modelle (schematische Darstellung)
In einer GxP-Umgebung müssen Daten unveränderlich sein. Das Hauptanliegen ist wiederum die Datenintegrität (Sicherstellung, dass die Daten über den gesamten Lebenszyklus zuzuordnen, lesbar, aktuell, original, genau, vollständig, konsistent, dauerhaft und verfügbar sind [4, 5]), und damit geht es letzten Endes um Patientensicherheit. Übertragen auf eine (cloud-basierte) Überwachungslösung bedeutet dies:
-
Unabhängig von der gewählten Cloud-Infrastruktur wird eine mehrschichtige Anwendung benötigt, in der Daten sicher sind und nicht manipuliert werden können. Es stellt sich die Frage, ob die IT-Abteilung eines Nutzers von Überwachungslösungen in der Lage ist, ein Rechenzentrum professioneller und sicherer zu betreiben als globale Cloud-Anbieter wie Amazon Web Services, Microsoft Azure oder Google Cloud Plattform. Im Übrigen sind sich alle diese Anbieter der besonderen Anforderungen von GxP-Anwendungen bewusst und bieten umfangreiches Dokumentationsmaterial für Lösungsanbieter an, die entsprechende Anwendungen in ihrer Infrastruktur betreiben möchten.
-
Darüber hinaus sollte man abwägen, ob man selbst die mit der Datenintegrität verbundenen Risiken besser einschätzen kann als der Anbieter einer Überwachungslösung, der alle miteinander verbundenen Systemkomponenten am besten kennt. Daher sehen wir in einem Public-Cloud-SaaS-Angebot die beste Lösung für Installationen jeder Grösse und aufgrund der Kostenvorteile insbesondere für kleinere Installationen, während ein Private-Cloud-SaaS-Angebot eine charmante Alternative für grössere Installationen darstellt. Das letztere Modell kann – verglichen mit dem Public-Cloud-SaaS-Angebot – mehr Raum für das Management von Software-Updates gemäss der individuellen Qualifikationsanforderungen des Nutzers bieten, da die Überwachungslösung nur von einem Unternehmen und nicht von verschiedenen Mandanten genutzt wird.
Zwischenfazit: Angesichts der oben ausgeführten Argumentation überrascht es kaum, dass es immer mehr Überwachungslösungen für GxP-kritische Anwendungen gibt, die als SaaS in einer Public Cloud angeboten werden. Diese Lösung bietet maximale Qualität (minimale Risiken) bei gleichzeitig minimalen Kosten. Viele Provider werden alternativ Single-Tenant-SaaS-Lösungen in einer Private Cloud zu deutlich höheren Kosten anbieten. Die folgenden Kapitel konzentrieren sich auf diese beiden Modelle für GxP-konforme cloud-basierte Überwachungslösungen.
Risiken und Massnahmen zur Risikominderung bei cloud-basierten GxP-konformen SaaS-Überwachungslösungen
In diesem Kapitel werden die Risiken von cloud-basierten GxP-konformen Überwachungslösungen in Form eines Public-Cloud-SaaS-Angebots (gemeinsame Instanz für mehrere Mandanten) oder eines Private-Cloud-SaaS-Angebots (separate Instanzen jeweils ausschliesslich für ein Unternehmen) untersucht und sinnvolle Strategien zur Risikominderung diskutiert, die ein Anbieter garantieren sollte.
-
Bei SaaS-Angeboten legt der Anbieter den physischen Ort der Datenspeicherung fest. Daten können auf verschiedenen Kontinenten und in unterschiedlichen Regionen und Ländern gespeichert werden, die voneinander abweichende Gesetze und Vorschriften in Bezug auf Datenschutz und Privatsphäre haben. Wenn es um personenbezogene Daten (wie Namen, Adressen, Telefonnummern oder Kreditkarten) geht, können diese auch unterschiedlichen Gesetzen und Vorschriften unterliegen (z. B. der europäischen Datenschutzgrundverordnung, DSGVO). Der Anbieter muss daher sicherstellen (und im Service Level Agreement angeben), dass
-
geeignete Sicherheitsmassnahmen zum Schutz der Daten (vor unbefugtem Zugriff) getroffen werden
-
geeignete Sicherungsmassnahmen zum Schutz der Daten (vor Löschung oder Verlust) vorhanden sind
-
der Datenschutz gewährleistet ist (und die Lösung den Anforderungen der DSGVO entspricht)
-
-
den Nachweis erbringen muss, dass alle Komponenten der Überwachungslösung (einschliesslich Validierungsplan, Risikoanalyse und Validierungsbericht für alle Hard- und Software-Komponenten) nach GAMP 5-Standards entwickelt wurden
-
die IQ-Dokumentation zur Cloud-Software vorlegen muss
-
effiziente Tools zur Qualifizierung der kundenspezifischen Hardware-Komponenten und zur Konfiguration durch den Kunden bereitstellen muss: IQ (Installation Qualification = «Welche Mess-Hardware wurde installiert?») und OQ (Operational Qualification = «Arbeitet die Verbundlösung aus Mess-Hardware und Software wie geplant, d. h. warnt sie im Fall von Abweichungen?»)
-
Jede GxP-konforme Lösung muss validiert werden. Bei einem SaaS-Angebot – entweder als Public- oder Private-Cloud-Lösung – bedeutet dies insbesondere, dass der Anbieter
-
Richtlinien für Benachrichtigung, Dokumentation und Qualifikation in den Service Level Agreements klar definieren (für Private-Cloud-SaaS-Angebote kann es Raum zur individuellen Gestaltung dieser Richtlinien geben, um sie an die Bedürfnisse des Kunden hinsichtlich Vorankündigungsfristen oder Test- und Qualifizierungsmöglichkeiten vor der Installation von Patches oder Updates anzupassen)
-
Änderungsmanagement-Benachrichtigungen und Unterlagen zur Verfügung stellen (Patches sind geringfügige Änderungen und müssen zumindest dokumentiert werden; Upgrades müssen im Vorfeld angekündigt und als «minor» oder «major» eingestuft und entsprechend dokumentiert werden). In jedem Dokument sollte klar angegeben werden, ob kundenseitige Massnahmen empfohlen sind (oder nicht) (die Verantwortung für die GxP-Konformität liegt jedoch immer bei dem Unternehmen, das die Software verwendet)
-
alle oben genannten Informationen für den Kunden jederzeit verfügbar halten, auch während eines Audits (idealerweise online als Teil des Cloud-Dienstes)
-
Einer der grössten Vorteile von SaaS ist, dass sich der Provider um Patches und Updates kümmert. Wie kann die GxP-Konformität des Kunden sichergestellt werden? Wie passt es zusammen, wenn ein Auditor die Validierungs- und Qualifizierungsmassnahmen der Überwachungslösung einsehen möchte, die Software aber ständig aktualisiert wird? Hier sehen die Autoren die grössten Unterschiede zwischen einer gemeinsamen Instanz in der Public Cloud und einer Single-Tenant-Instanz, die als Private-Cloud-SaaS-Lösung angeboten wird. In beiden Fällen muss der Anbieter
-
sicherstellen, dass Rohdaten (z. B. Messwerte) unter keinen Umständen verändert werden können
-
einen Prüfpfad aufsetzen, der alle Änderungen dokumentiert
-
im Service Level Agreement angeben, dass er sich um die Wartung kümmert und die Genauigkeit, Konsistenz und Vollständigkeit der Daten über deren gesamten Lebenszyklus hinweg sicherstellt.
-
Der Kunde muss darauf vertrauen können, dass die Datenintegrität durch den Anbieter stets gewährleistet ist. Der Anbieter muss
-
Ein wichtiges Anliegen ist die Business Continuity (Unternehmenskontinuität) – insbesondere in einem SaaS-Setup, bei dem der Kunde keinerlei Kontrolle über den Betrieb der Lösung hat. Der Anbieter muss
-
die Leistungsfähigkeit und Verfügbarkeit der Lösung in seinem Service Level Agreement festlegen und garantieren
-
sicherstellen, dass das System und alle Daten regelmässig gesichert werden und die Wiederherstellung eines Back-ups regelmässig getestet und dokumentiert wird
-
die Verfügbarkeit und Leistungsfähigkeit der Lösung überwachen und dem Kunden entsprechende Berichte hierüber vorlegen
-
-
Die Archivierung ist in den GxP-Vorschriften nicht einheitlich geregelt und unterscheidet sich je nach Nutzungsfall. Bei Audits hört man oft von Archivierungszeiträumen von 10, manchmal 15 Jahren. Es ist einfach, elektronische Dateien und Daten über viele Jahre hinweg zu speichern, aber ein grosses Problem ist die Verfügbarkeit von Analysesoftware. Viele Menschen haben die «romantische» Vorstellung, dass archivierte Daten für immer genau so verfügbar sein sollten, wie sie erzeugt wurden (dieselbe Software, dieselbe Schnittstelle). Bei Wikipedia heisst es: «Datenarchivierung ist ein Prozess, bei dem Daten, die nicht mehr aktiv genutzt werden, zur langfristigen Aufbewahrung auf ein separates Speichermedium übertragen werden. Archivdaten bestehen aus älteren Daten, die für das Unternehmen noch wichtig sind und für spätere Nachschlagezwecke benötigt werden könnten, sowie aus Daten, die für die Einhaltung gesetzlicher Vorschriften aufbewahrt werden müssen.» Somit ergeben sich abweichende Anforderungen an «Archivdaten» gegenüber «Prozessdaten»:
-
Prozessdaten sind «frische Daten», die verwendet werden, um geschäftsrelevante Entscheidungen zu treffen (z. B. hinsichtlich eines Produkts oder der MKT-Berechnung einer Stabilitätsstudie). Für einen Zeitraum von zwei Jahren muss der Anbieter sicherstellen, dass Prozessdaten
– elektronisch verfügbar und visualisierbar sind (z. B. Zoom, Überlagerung)
– für Statistiken einfach ausgewertet werden können (z. B. Berechnung der MKT)
– im System mit Kommentaren versehen und zur Generierung von Berichten verwendet werden können
(z. B. Freigabe-Entscheidungen)
– exportiert werden können (z. B. in ein übergeordnetes Batchmanagement-System) -
Nach den ersten zwei Jahren werden diese Daten in den Geschäftsprozessen nicht mehr benötigt. Normalerweise ändern sie dann ihren Speicherort und ihre Form und werden zu Archivdaten. Der Anbieter muss sicherstellen, dass Archivdaten mindestens 10 Jahre lang verfügbar sind und die folgenden Anforderungen erfüllen
– Klare Kennzeichnung (z. B. Monatsbericht pro Sensor)
– Verfügbarkeit als «menschenlesbare» Aufzeichnung (z. B. PDF/A-Bericht)
– Speicherung in einem sicheren Archiv (z. B. auf einem Laufwerk, das regelmässig an einem anderen physischen
Ort gesichert wird)
-
-
Es sollte sichergestellt sein, dass eine Kopie der Daten (z. B. ein monatlicher Sensorbericht) in einem für Menschen lesbaren Format (z. B. PDF/A) beim Kunden vorliegt (z. B. automatische monatliche E-Mail an einen internen Mail-Account)
-
Im Service Level Agreement muss festgelegt sein, dass der Kunde Eigentümer der Daten bleibt und dass die Daten vor Ablauf der Dienstleistung als Download zur Verfügung stehen
-
Im Service Level Agreement muss eine sinnvolle Kündigungs- bzw. Mitteilungsfrist vor Einstellung der Dienstleistung festgelegt sein
-
Entscheidet sich der Kunde für einen GxP-Monitoring-Anbieter, so ist er an diesen gebunden («locked-in»). Wie lässt sich gewährleisten, dass Daten weiterhin verfügbar sind, auch wenn der Anbieter den Geschäftsbetrieb einstellt oder die Lösung nicht mehr angeboten wird?
Zusätzlich zu einem Service Level Agreement, in dem alle vorstehend genannten Massnahmen festgelegt sind, muss der Anbieter auch Vor-Ort-Überprüfungen durch seine Kunden akzeptieren. Im Rahmen dieser Überprüfungen müssen Kunden
-
Zugriff auf die detaillierte GAMP 5-Dokumentation haben, um den Validierungsnachweis des Anbieters prüfen zu können
-
relevante Account-Management-Richtlinien prüfen können, z. B. für Accounts auf den Cloud-Servern (Wer hat von Seiten des Anbieters Zugriff auf die Cloud-Infrastruktur? Wie werden diese Personen angeleitet/geschult?)
-
Account-Management-Richtlinien für Kundenkonten prüfen können (Wer hat von Seiten des Anbieters Zugriff auf welche Daten des Kunden? Wie werden diese Personen angeleitet/geschult?) Verträge/Service Level Agreements mit Drittanbietern von Cloud-Infrastrukturen (wie z. B. Amazon Web Services, Microsoft Azure usw.) prüfen können, sofern diese genutzt werden,
-
«Service Organization Control (SOC) 21» -Berichte für das Daten-Center oder die verwendete Cloud-Infrastruktur prüfen können
1 Schwerpunkt des SOC 2-Berichts sind die nicht-finanziellen Berichterstattungskontrollen eines Unternehmens, da sie sich auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und den Datenschutz eines Systems beziehen, im Gegensatz zu SOC 1/SSAE 18, der sich auf die Kontrollen der Finanzberichterstattung konzentriert [8].
Zusammenfassung
Bei richtiger Umsetzung bieten cloud-basierte Überwachungslösungen Vorteile wie Kosteneffizienz, Skalierbarkeit, Komfort (keine Hardware- und Software-Wartung), hochprofessionelle Sicherungs- und Wiederherstellungsstrategien usw. auch für Unternehmen, die GxP-Vorschriften einhalten müssen. Hinsichtlich des Validierungs- und Qualifizierungsbedarfs gelten für Cloud-Dienste die gleichen Anforderungen wie für selbst betriebene Systeme. Dies bedeutet, dass die Dokumentation höchste Priorität hat und dass gemeinsame Zuständigkeiten hierfür im Service Level Agreement klar festgelegt werden müssen. Im Rahmen des Service Level Agreements müssen darüber hinaus auch kritische Prozesse wie z. B. Änderungsmanagement, Datensicherung und -aufbewahrung zur Gewährleistung der Business Continuity sowie die Langzeitarchivierung festgelegt werden.
Darüber hinaus sollte der Anbieter Vor-Ort-Prüfungen durch Kunden akzeptieren, bei denen diese Zugang zu weiteren, detaillierten Unterlagen erhalten. Klare, unmissverständliche Regelungen von Zuständigkeiten einerseits und die durch den Anbieter bereitgestellten, zwar umfangreichen aber dennoch handhabbaren Dokumente andererseits geben den Kunden nicht nur die notwendige Unterstützung und Sicherheit bzgl. ihrer GxP-Konformität, sondern tragen auch dazu bei, eine starke Partnerschaft zwischen dem Anbieter der cloud-basierten Überwachungslösung und dem Kunden aufzubauen. Eine starke Partnerschaft ist wahrscheinlich der wichtigste Erfolgsfaktor, um das erforderliche Mass an GxP-Konformität und «Prüftauglichkeit» für den Kunden zu erreichen, der letzten Endes immer für die Sicherheit seiner Patienten verantwortlich bleibt.
Mehr über ELPROs Cloud-Lösung für Labore, Apotheken und Einrichtungen, die sofort einsatzberit und einfach zu installieren ist, erfahren Sie hier.
Checkliste für den Einsatz von cloud-basierten Überwachungslösungen in GxP-Anwendungsbereichen
Es ist natürlich, dass man viele Fragen hat, wenn man seine Daten "auslagert". Aber ist es wirklich eine Auslagerung? Wem gehören die Daten schon? Sichert der SaaS-Anbieter Ihre Daten und stellt die Datenwiederherstellung sicher? Akzeptiert der Anbieter Audits vor Ort? Laden Sie hier die vollständige Checkliste herunter, um mit der Cloud zu beginnen.
Der Artikel wurde erstmals in der deutschen Zeitschrift TechnoPharm9, Nr. 3, 144-153 (2019) veröffentlicht.
HIER DAS WHITEPATER DOWNLOADEN
Autoren:
Philipp Osl ist Leiter des Produktmanagements bei ELPRO Global. Er ist ein erfahrener Produktmanager mit nachgewiesener langjähriger Tätigkeit für Forschungsinstitute sowie Unternehmen der Software- und Maschinenbau- bzw. Industrietechnikbranche. Seine Fähigkeiten und sein unternehmerisches Denken hat er in den Bereichen Innovationsmanagement und Geschäftsprozessmanagement unter Beweis gestellt. Er hat einen Abschluss in Wirtschafts- und Computerwissenschaften der Technischen Universität Wien und einen Doktor in Business Innovation der Universität St. Gallen.
Bob Lucchesi ist Vice President of Global Regulatory Compliance, Quality Assurance and Auditing bei USDM Life Sciences. Seine Expertise erstreckt sich über diverse Praxisbereiche bei USDM Life Sciences, einschliesslich Enterprise Quality Management, Enterprise Content Management, Qualitätsmanagementsysteme sowie Governance, Risk und Compliance. Er hat über 30 Jahre Erfahrung in den Bereichen Qualitätssicherung und Regulatory Compliance in der Pharma-, Biotech-, Medizingeräte-, Maschinenbau- und Nuklearindustrie. Er hält unter anderem weltweit Vorträge über eine Vielzahl von Themen im Zusammenhang mit Compliance und Regulierungsfragen. Hierzu gehören das ASTM: E2500-Modell für Validierung sowie eine Vielzahl von Themen im Zusammenhang mit Life-Science-Auditing, die von Datenintegrität bis GxP-Konformität für IT reichen.
Er leitete globale Teams für Qualitäts-, Richtlinien- und Verfahrensaudits, Mock-FDA-, Part-11-, NIST-, IT-Zulieferer- und Lieferanten-/Zuliefereraudits (intern, extern, steril, unsteril, Herstellung, Logistik), Mock Recalls sowie grosse Assessments im Bereich Biowissenschaften. Er ist ein Experte für risikobasierte Validierungsmethoden, GAMP, Enterprise Content Management, Daten- und Content-Migration sowie allgemeine Fragen der Regulierung von Arzneimitteln und Medizinprodukten. In seiner Freizeit treibt er gern Sport und spielt Bassgitarre in einer Rock-Coverband an der US-amerikanischen Ostküste.
Referenzen:
[1] SaaS vs PaaS vs IaaS: What’s The Difference and How To Choose, by Stephen Watts, 22.Sep.2017,
https://www.bmc.com/blogs/saas-vs-paas-vs-iaas-whats-the-difference-and-how-to-choose/
[2] Community-Cloud, Margaret Rouse, last updated February 2012,
https://www.computerweekly.com/de/definition/Community-Cloud
[3] Differences in Cloud Adoption Across Global Industries, by TATA consultancy services, undatiert,
https://sites.tcs.com/cloudstudy/differences-in-cloud-adoption-across-global-industries
[4] Ensuring Data Integrity Through ALCOA, Grant South, 29.Apr.2016,
https://www.pharmout.net/data-integrity-alcoa/
[5] CSV Considerations Around Data Integrity, Kelly Jordan, 03.Mar.2016,
https://www.propharmagroup.com/blog/csv-considerations-around-data-integrity/
[6] Archivierung elektronischer Daten im GxP-Umfeld
https://www.apv-mainz.de/fileadmin/dateiablage/apv-mainz/Publikationen/1207-1215_Hornberger.pdf
[7] Data Archiving, Definition on TechTarget, last updated November 2018,
https://searchdatabackup.techtarget.com/definition/data-archiving
[8] SOC 2 (Service Organization Control 2), Margaret Rouse, last updated April 2012,
https://www.searchsecurity.de/definition/SOC-2-Service-Organization-Control-2
Leave a Comment