Fragen und Antworten zum Thema Cloud Computing im GMP-Umfeld - Teil 1
Die Hinwendung zum Cloud Computing ist ein aktueller Trend in der gesamten Wirtschaft. Auch die pharmazeutische Industrie wendet sich verstärkt in diese Richtung. GxP-Anwendungen sind davon nicht unberührt.
Insbesondere finanzielle und organisatorischen Vorteile sprechen für die "Cloud". Allerdings sollte man auch potentielle Gefahren und regulatorische Einschränkungen kennen und beachten. In den nachfolgenden Ausgaben des GMP-Journals werden von 9 Experten aus der Industrie und von Überwachungsbehörden Fragen aus den folgenden GxP-relevanten Themenkreisen beantwortet:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehungen
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Die Experten:
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart
1. Grundlagen der Cloud Computing Technologie
Was bedeuten die Abkürzungen IaaS / PaaS / SaaS / XaaS?
IaaS, PaaS und SaaS sind Abkürzungen und Abstufungen für die diversen Angebote von Cloud Service Providern (CSP). "aaS" steht dabei immer für "as a Service", also "als Dienst(leistung)". Bei XaaS steht das X stellvertretend entweder für I, P oder S, d.h. Infrastruktur, Plattform oder Software. XaaS wird daher auch als "Anything as a Service" oder "Everything as a Service" bezeichnet und kann spezielle Formen wie "High Performance Computing as a Service (HPCaaS)" oder "Artificial Intelligence as a Service (AIaaS)" annehmen. Je nach Servicemodell werden also vom CSP unterschiedlich abgestufte Leistungen angeboten, entsprechend verlagern sich die jeweils durchzuführenden Aufgaben (siehe Tabelle 1):
- Bei einem traditionellen Betrieb eines computergestützten Systems oder einer Softwareanwendung ist das regulierte Unternehmen (bzw. dessen IT-Abteilung oder IT-Dienstleister) für Installation und Betrieb sowie für sämtliche Aktivitäten der Computersystemvalidierung (CSV) verantwortlich.
- IaaS: Wenn die Infrastruktur bereits fertig vom CSP zur Verfügung gestellt wird, spricht man von IaaS. Hier beginnen die Aufgaben des regulierten Unternehmens bei der Installation des Betriebssystems.
- PaaS: In der zweiten Stufe übernimmt der CSP neben der Infrastruktur auch die Installation des Betriebssystems. Das regulierte Unternehmen steigt bei der Konfiguration der Laufzeitumgebung ein.
- SaaS: Bei diesem Modell stellt der CSP zusätzlich zu Infrastruktur und Betriebssystem auch die Konfiguration der Laufzeitumgebung und die Softwareanwendung selbst zur Verfügung und betreibt diese.
Seminarempfehlung
Mannheim7./8. Mai 2024
Cloud Computing im GxP-Umfeld (CV 27)
Je nach gewähltem Modell verlagern sich also die Aktivitäten vom Anwender (reguliertes Unternehmen als Auftraggeber) immer mehr zum Cloud Service Provider (Auftragnehmer). Die Verantwortung für die Validierung und die Funktion der Anwendung selbst und damit zusammenhängende Themen wie Datenintegrität, Datenschutz, Datensicherheit etc. verbleibt jedoch stets beim regulierten Unternehmen.
Tabelle 1: Cloud-Dienste – Servicemodelle und Verantwortung
2. Grundlagen der Cloud Computing Technologie
Welche Cloud-Modelle gibt es und wo finden diese Anwendung im GxP-Umfeld?
Grundsätzlich ist die Klassifizierung von Cloud-Modellen nicht einheitlich geregelt. Vom NIST (National Institute of Standards and Technology) wurde ein sogenanntes "Deployment Model" formuliert, das eine weit verbreitete Klassifizierung beschreibt1:
- Private Cloud
In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen. - Public Cloud
Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können; diese Services werden vom jeweiligen Cloud Service Provider in seinen Einrichtungen/Rechenzentren zur Verfügung gestellt. - Community Cloud
In einer Community Cloud wird die Cloud Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben (bspw. bzgl. Sicherheit, Compliance). Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden. - Hybrid Cloud
Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt.
Während bei einer Private Cloud, bei der meist Anbieter und Nutzer identisch sind, der Nutzer die komplette Kontrolle über die genutzten Services hat, überträgt der Nutzer bei einer Public Cloud die Kontrolle an den Cloud Service Anbieter.
Die oben genannten Definitionen decken aber nicht alle Varianten von Cloud Angeboten ab, was zu weiteren Definitionen wie "Virtual-Private-Cloud", etc. führt. Eine weitere gängige Unterscheidung von Cloud-Modellen ist die Einteilung nach "Service Models" (SaaS, PaaS, IaaS) - siehe Frage 1.
Grundsätzlich werden alle "Deployment Model" bzw. "Service Model" auch in der GxP-regulierten Industrie genutzt. Hierbei orientiert sich die Auswahl des Cloud Modells in erster Linie an der Kritikalität des vom Cloud Service unterstützten GxP Prozesses und der dabei verarbeiteten Daten. So werden bspw. Tools zur Unterstützung des Schulungsprozesses, sogenannte Learning Management Systems (LMS) häufig als Public Cloud abonniert. Demgegenüber werden sehr sensible Anwendungen wie bspw. die Verwaltung des Trial Master Files höchstens in der Form eines Community Cloud Services genutzt.
Unabhängig von der Kritikalität von Prozessen und Daten wird durch die besonderen Eigenheiten des unterstützten Prozesses, der Einsatz von Community- oder Private Cloud Angeboten unterstützt: Je spezieller ein Prozess ist - bspw. das Führen eines Trail Master Files - desto kleiner und spezieller wird der Kreis der potenziellen Abonnenten.
3. Grundlagen der Cloud Computing Technologie
Welche Gründe gibt es für die Auswahl des jeweiligen Cloud- Modells (Private Cloud, Community Cloud, Public Cloud)?
Neben kommerziellen Gründen, die im Rahmen von GxP-regulierten Anwendungen hier nicht weiter diskutiert werden sollen, spielen oft praktische Gründe für die Wahl eines Cloud Modells eine Rolle. Insbesondere kleinere Unternehmen mit entsprechend beschränkten IT-Ressourcen tendieren dazu einen Cloud Service zu nutzen, den sie mit eigenen Mitteln so nicht bereitstellen könnten. Sei es, dass sie nicht über die personelle Ausstattung verfügen, um alle nachgefragten Themen anzubieten, oder dass sie schlicht nicht über das notwendige Knowhow (fachlich, technisch, Datensicherheit) verfügen.
Ebenfalls ganz praktische Gründe fördern im GCP-Bereich die Nutzung von Cloud Services: Klinische Studien werden verteilt mit vielen Beteiligten (Krankenhäuser, Ärzte, CMOs, Sponsoren) durchgeführt, meist weltweit. Hinzukommt, dass die Zusammenstellung der Beteiligten keine feste Gruppe ist, sondern Veränderungen unterliegt. Cloud Services unterstützen mit ihrer universellen Erreichbarkeit via Internet diese Arbeitsweise und sind aufgrund ihrer internationalen Ausrichtung auf einen 24x7 Betrieb ausgelegt.
Ein weiteres Kriterium, das insbesondere bei der Wahl von Cloud Services zu beachten ist, fragt nach den Sicherheitsanforderungen des vom System unterstützen GxP Prozesses. Im Annex 11 wird das pharmazeutische Unternehmen explizit aufgefordert, die erforderlichen Sicherheitsmaßnamen am Risiko auszurichten2. Das kann bedeuten, dass besonders sensible Daten aus Gründen der GxP-Datenintegrität oftmals nicht in einer Public Cloud verarbeitet werden sollten. Eine derartige Entscheidung erfordert die Zusammenarbeit aller Fachdisziplinen (IT, GxP Verantwortliche, QS), um zu einer bewussten, fachlich begründeten Risikoabschätzung zu gelangen. Hierbei ist insbesondere fundiertes IT-Knowhow gefordert, da das Thema "Datensicherheit" sehr komplex sein kann (Verschachtelung von Cloud Services, Redundanzen über mehrere Rechenzentren, verwendete Authentication Provider, …) und einem permanenten Wandel unterliegt.
Sofern der Geschäftsprozess, der von einem computergestützten System unterstützt werden soll, hohe Ansprüche an die Verfügbarkeit von Daten und Funktionen stellt, kann dies einen direkten Einfluss auf die Eignung Cloud-basierter Services haben:
- Sei es, dass allein schon die zusätzliche Abhängigkeit von einer Internetverbindung für eine ‚On Premise' Implementierung spricht, die über das LAN erreichbar ist;
- Während die hoch-redundante Auslegung über mehrere Regionen hinweg, sowie die einfache horizontale Skalierbarkeit ausschlaggebend für die Inanspruchnahme eines Cloud Services sein kann, im Gegensatz zu einer Installation im lokalen Netz.
Insbesondere im GCP Bereich spielen die Anforderungen des Datenschutzes (bspw. bei persönlichen Daten in klinischen Studien) eine essenzielle Rolle. Damit bestimmt der Datenschutz, ob der gewünschte Cloud Service überhaupt in Frage kommt und falls ja, in welchem Land die genutzten Rechenzentren angesiedelt sein müssen.
Auch wenn dem keine GxP-Anforderungen zugrunde liegen, können hohen Ansprüche an die Vertraulichkeit sensibler Daten (bspw. Daten der klinischen Forschung oder aus der Produktentwicklung) ebenfalls darüber entscheiden, ob ein Cloud Service überhaupt in Frage kommt oder mit welchen Einschränkungen.
4. Grundlagen der Cloud Computing Technologie
Ist eine SaaS-Anwendung ein Closed System nach 21 CFR Part 11?
Das kommt darauf an …
Die Begriffe SaaS und "Closed System" bedingen sich nicht, schließen sich aber auch nicht aus. SaaS ist in erster Linie ein Modell zur Bereitstellung einer Software-Anwendung durch einen Dienstleister (Cloud Service Provider, CSP) in der Cloud, also über das Internet. Dabei werden Daten mindestens temporär in die Cloud übertragen und dort gespeichert und verarbeitet, in der Regel dauerhaft.
Die Definitionen des 21 CFR Part 11 zu "open" und "closed systems" nehmen hingegen nicht Bezug auf die Art und Weise der Bereitstellung, sondern auf das Maß an Kontrolle über die Anwendung und die Daten. Diese Kontrolle wird in erster Linie durch entsprechende Maßnahmen wie Zugriffsschutz, Berechtigungskonzepte und Datenverschlüsselung realisiert. Sie ist somit nicht unabhängig von SaaS zu betrachten, stellt aber eine eigene Dimension dar.
21 CFR Part 11 definiert in §11.3(b)(4) ein geschlossenes System als eine Umgebung, in der die Systemzugänge unter der Kontrolle der Organisation liegen, die für die Daten und Aufzeichnungen verantwortlich ist. Im Gegensatz dazu wird in §11.3(b) (9) ein offenes System definiert, in der diese Kontrolle fehlt. Die Maßnahmen für Validierung und Datenschutz unterscheiden sich entsprechend und sind in den Paragrafen §11.10 für geschlossene bzw. §11.30 für offene Systeme definiert.
Somit kann eine SaaS-Anwendung ein offenes System sein, wird aber in aller Regel, insbesondere, wenn damit kritische, sensible, vertrauenswürdige oder generell schützenswerte Daten verarbeitet und gespeichert werden, als geschlossenes System realisiert sein.
5. Regulatorische Grundlagen und Erwartungen von Inspektoren
Die AMWHV (Arzneimittel- und Wirkstoff-Herstellungs-Verordnung) fordert, dass alle Daten gemäß der Herstellerlaubnis sich in der Betriebsstätte befinden. Ist dann eine Cloudlösung überhaupt möglich?
Zu dieser Fragestellung hat die EFG (Expertenfachgruppe) 11 im Rahmen eines Votums zu den "Anforderungen an die Aufbewahrung elektronischer Daten" die gesetzlichen Grundlagen ausgelegt.
Die AMWHV bestimmt in § 20, dass die Aufbewahrung von Dokumenten "in einem geeigneten Bereich der von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räume erfolgen" muss.
Der Trend zur Digitalisierung und zum Ersatz der papierbasierten Dokumentation durch elektronische Aufzeichnungen (E-Records) nimmt im pharmazeutischen Umfeld stetig zu. Gleichzeitig werden computergestützte Systeme von multinationalen Konzernen global als Client/Server-Lösungen eingeführt. Dieses betrifft Enterprise-Resource-PlanningSysteme (ERP), Manufacturing- Execution-Systeme (MES), Labor-Informationsund Management-Systeme (LIMS), aber auch Systeme zum Change-, CAPA- und Trainingsmanagement. In den letzten Jahren hat sich der Trend massiv verstärkt, die IT und die computergestützten Systeme teilweise oder vollständig an Dritte zugunsten verschiedener Cloud Service Modelle auszulagern: Infrastructure as a Service (IAAS), Platform as a Service (PAAS) und Software as a Service (SAAS), wobei Letzteres als Servicemodel immer stärker in Anspruch genommen wird.
Im Falle einer elektronischen Dokumentation ist die Anforderung der Aufbewahrung von E-Records/Dokumenten in von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räumen erfüllt, wenn in den von der Erlaubnis erfassten Räumen mindestens ein Endgerät (z. B. Terminal oder PC nebst Drucker) zur Verfügung steht, so dass ein Zugriff auf die Gesamtheit der Daten und Metadaten möglich ist, lesbare Ausdrucke und Kopien auf Datenträgern erzeugt werden können. Ebenso müssen die Vorgaben zur Qualifizierung der IT-Infrastruktur (IAAS, PAAS), der Validierung der Applikation (SAAS) und die Sicherstellung der Verfügbarkeit, Lesbarkeit und Integrität von einem (internen oder externen) Dienstleister erfüllt werden.
Seminarempfehlung
Heidelberg14.-17. Mai 2024
Validierung computergestützter Systeme (CV 1) & SPS in der Pharmaindustrie (CV 10)
6. Anforderungen an den Cloud Service Provider (CSP)
Sind gängig Zertifizierungen (bspw. 27000ff) ein belastbarer Beleg, dass ein Cloud Service Provider geeignet ist, bzw. welche Anforderungen muss eine Zertifizierung erfüllen, damit sie für die Eignung eines CSPs eine Rolle spielen kann?
Dass Lieferanten und Dienstleister über ein Qualitätssicherungssystem verfügen müssen ergibt sich aus EU-GMP Annex 11:
3.4 Die Informationen zum Qualitätssystem und zu Audits, die Lieferanten oder Entwickler von Software und verwendeten Systemen betreffen, sollten Inspektoren auf Nachfrage zur Verfügung gestellt werden.
Welcher Art das Qualitätssicherungssystem sein soll ist im Annex 11 nicht zu erkennen. Die EFG 11 äußert sich allerdings in Ihrem Votum V1100202 Anforderungen an die Aufbewahrung elektronischer Daten zu dieser Thematik. Hier heißt es:
Im Folgenden sind Anforderungen an die Qualität des CSP und die Datenintegrität (für Daten in Bewegung und in Ruhe) formuliert, die sich so explizit nicht im EU-GMP-Leitfaden wiederfinden, jedoch aus Sicht der EFG 11 als sinnvoll erachtet werden:
- CSP, die vertrauliche Daten oder Daten mit hohen Anforderungen an die Verfügbarkeit in der Verantwortung bearbeiten, müssen über ein zertifiziertes ISMS verfügen (z. B. gemäß DIN 27001).
Ob sich dies allerdings aus rechtlicher Sicht durchsetzen lässt, sei dahingestellt.
Über den Autor:
Dr. Andreas Mangel
... kam 1995 als Fachbereichsleiter zu CONCEPT HEIDELBERG, wo er für die Themenbereiche Sterilproduktion und Computervalidierung verantwortlich ist.
Fußnoten:
1 The NIST Definition of Cloud Computing, Special Publication 800-145, Sept. 2011
2 EU GMP Annex 11 [12.2]: The extent of security controls depends on the criticality of the computerised system.
