Fragen und Antworten zum Thema Cloud Computing im GMP-Umfeld - Teil 2
Die Hinwendung zum Cloud Computing ist ein aktueller Trend in der gesamten Wirtschaft. Auch die pharmazeutische Industrie wendet sich verstärkt in diese Richtung. GxP-Anwendungen sind davon nicht unberührt.
Insbesondere finanzielle und organisatorischen Vorteile sprechen für die "Cloud". Allerdings sollte man auch potentielle Gefahren und regulatorische Einschränkungen kennen und beachten. In den nachfolgenden Ausgaben des GMP-Journals werden von 9 Experten aus der Industrie und von Überwachungsbehörden Fragen aus den folgenden GxP-relevanten Themenkreisen beantwortet:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehungen
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Die Experten:
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart
Der folgende Beitrag ist Teil 2 der Publikation. Teil 1 zu Fragen und Antworten zum Thema Cloud Computing im GMP-Umfeld finden Sie hier
7. Anforderungen an die Lieferantenbewertung und Lieferantenaudits
Kann man davon ausgehen, dass wenn ein gutes QMS vorliegt und dieses auch eingehalten wird (lt. Audit Befund), der erbrachte Service der Spezifikation gemäß funktioniert und die operativen Kontrollen den CSP-internen Prozeduren gemäß ausgeführt werden?
Gem. Annex 11 darf es bei Einsatz eines computergestützten Systems nicht zu einer Beeinträchtigung der Qualitätssicherung kommen. Die Beurteilung der Geeignetheit eines Dienstleisters beinhaltet die Bewertung des Qualitätssicherungssystems desselben voraus. Ergänzend zu dieser initialen Beurteilung erwartet Kapitel 7 vom RU (Regulated User) ein fortlaufendes Monitoring des Dienstleisterns anhand der Überwachung von KPI's.
Bei einem gelebten, geeigneten QMS ist davon auszugehen, dass die im QMS festgelegten operativen Kontrollen durchgeführt werden und nicht spezifikationskonforme Ergebnisse im Sinne von Abweichungen / OOS bearbeitet werden.
Nichtsdestotrotz ist der RU verpflichtet, die Compliance bei der Umsetzung des QMS fortlaufend zu evaluieren. Kapitel 7 des EU GMP Leitfadens führt dazu aus: "Der Auftraggeber ist letztendlich verantwortlich sicherzustellen, dass Prozesse zur Sicherstellung der Kontrolle der ausgelagerten Tätigkeiten vorhanden sind." Art und Umfang können risikobasiert festgelegt werden und werden beeinflusst durch die Erfahrungen aus dem fortlaufenden Monitoring des Dienstleisters.
Seminarempfehlung
Mannheim7./8. Mai 2024
Cloud Computing im GxP-Umfeld (CV 27)
8. Kunden-Lieferanten-Beziehungen
Welche Inhalte muss das Change Control des Dienstleisters abdecken und wie muss der Auftraggeber in dieses System eingebunden sein?
Auch wenn die Verantwortung des regulierten Unternehmens für Patientensicherheit, Produktqualität und Datenintegrität nicht an den Cloud Service Provider (CSP) delegiert werden kann, spielt der CSP eine wichtige Rolle und übernimmt neben der Implementierung relevante Aufgaben wie die Spezifikation, Verifikation und Dokumentation von Änderungen, sei es an der Infrastruktur (IaaS), der Plattform (PaaS) oder der Anwendung selbst (SaaS). Ein Ziel des regulierten Unternehmens ist die Aufrechterhaltung des validierten und regelkonformen Zustands eines Systems. Hierfür sind entsprechende Validierungsmaßnahmen (Einflussbestimmung, Risikobewertung, ggf. zusätzliche Test- und Dokumentationsaktivitäten) notwendig, die in der Regel jedoch Kenntnisse über die vom bzw. beim CSP durchgeführten Änderungen voraussetzen (siehe auch Frage 9).
Die folgenden Bausteine eines Validierungskonzept sind zu empfehlen:
- Prüfung (z. B. in Form eines Audits) durch das regulierte Unternehmen, ob der CSP einen qualitativ hochwertigen und regelkonformen Änderungsprozess etabliert hat.
- Vertragliche Vereinbarung (SLA), um rechtzeitig und im notwendigen Umfang Informationen (und Dokumentation) über geplante und durchzuführende Änderungen zu erhalten, die dem regulierten Unternehmen eine (Risiko-) Bewertung und die Planung ggf. notwendiger Maßnahmen erlauben.
9. Grundlagen der Cloud Computing Technologie
Bei der multitenant SaaS-Bereitstellung gibt es eine Source Code Basis für alle Kunden; das bedingt, dass alle Kunden die gleiche Version der Software haben müssen - unabhängig davon, ob einer eine bestimmte Änderung akzeptiert wird oder nicht. Ist dies mit GxP vereinbar?
Insbesondere umfangreiche und riskante Änderungen einer Anwendung, die potenziell den validierten und regelkonformen Zustand eines Systems in Frage stellen, möchte ein reguliertes Unternehmen vermeiden. Dies gilt umso mehr, falls die Änderungen keinen oder nur geringen Nutzen für das regulierte Unternehmen haben, aber ggf. zusätzlichen Validierungsaufwand erzeugen.
Dennoch stellen entsprechende SaaS-Änderungen formal keinen Verstoß gegen GxP dar - andernfalls dürfte ja auch kein Betriebssystem aktualisiert werden, falls das Update eine neue, jedoch ungenutzte Funktion einführt. Voraussetzung hierfür ist - wie bei allen Änderungen -, dass entsprechende Maßnahmen (Einflussbestimmung, Risikobewertung, ggf. zusätzliche Test- und Dokumentationsaktivitäten) durchgeführt werden, um den validierten Zustand zu erhalten. Da diese Maßnahmen auch für bestellte / gewollte Änderungen notwendig sind, muss die Vorgehensweise ohnehin in SOPs oder im Validierungsplan beschrieben sein. Dazu ist es sinnvoll, die rechtzeitige Bereitstellung entsprechender Informationen mit dem CSP (Cloud Service Provider) vertraglich zu vereinbaren (siehe auch Frage 8).
10. Anforderungen an die Lieferantenbewertung und Lieferantenaudits
Welche Personen (Funktionen) sollen an einem Audit eines CSP teilnehmen und welche Themen sollen (müssen) angesprochen werden?
Entsprechend des Votums 1100202* gilt:
Beim Audit sind Personen zu beteiligen, die über ausreichende Erfahrungen in dieser speziellen Technologie verfügen. Grundsätzlich sollte zumindest eine Person aus der IT kommen. Der Lead-Auditor wird in der Regel ein Mitarbeiter der Qualitätssicherung sein.
Folgende Themen sollten entsprechend dem Votum angesprochen werden:
• Sicherheit des Rechenzentrums
• Serversicherheit
• Netzsicherheit
• Anwendungs- und Plattformsicherheit
• Datensicherheit
• Verschlüsselungs- und Schlüsselmanagement
• ID- und Rechtemanagement
• Auswahl und Training der Mitarbeitenden
• Validierung und Qualifizierung
• Externe Services und Subunternehmer
• Erhaltung des validierten Zustandes (Changemanagement,
Konfigurationsmanagement, Patchmanagement, Monitoring und Reporting, Incident Management)
*www.zlg.de – Votum V1100202 der Expertenfachgruppe 11 „Anforderungen an die Aufbewahrung elektronischer Daten“
11. Anforderungen an die Lieferantenbewertung und Lieferantenaudits
Wie viele Tage muss man für ein Audit eines CSP ansetzen? Ist ein Remote Audit ebenfalls möglich?
Sofern Aktivitäten des pharmazeutischen Unternehmers an Dritte ausgelagert werden, sind die Auftragnehmer zu qualifizieren. Dies trifft sowohl für die seit Jahrzehnten übliche Auslagerung der Herstellung von pharmazeutischen Wirkstoffen, Fertigarzneimitteln und Medizinprodukten zu als auch für das Outsourcing von Dienstleistungen im IT-Bereich, einschließlich Cloud Service-Providern. Für die Qualifizierung bietet sich zunächst ein kostensparender Fragebogen an, der dem Dienstleister zugeschickt und anschließend bewertet wird. Hierbei ist eine Einschätzung der Korrektheit und Ehrlichkeit der zur Verfügung gestellten Antworten kaum möglich.
Seit einigen Jahren werden zunehmend Remote Audits von IT-Dienstleistern durchgeführt, die hohe Anforderungen an die Auditoren stellen, da die Video-Technologie bei der persönlichen Analyse von Reaktionen der auditierten Partei, beim Lesen und Bewerten großer Dokumente und beim Rundgang durch die Räumlichkeiten (Rechenzentrum) an ihre Grenzen stößt.
Die optimale Lösung ist das bewährte Audit vor Ort, bei dem der Auditor einen objektiven Eindruck von Qualität und Leistungsfähigkeit des zukünftigen Vertragspartners erhalten kann. Für ein IaaS Audit können je nach Umfang der Dienstleistungen ein bis zwei Tage vor Ort ausreichen. Im Fall von SaaS Applikationen sind sehr eingehende Prüfungen des Serviceproviders erforderlich, da dieser auch maßgebliche Teile der Validierung übernimmt. Eine Auditdauer von 5-7 Personentagen ist durchaus üblich.
In Abhängigkeit von den übertragenen Leistungen sollte der Lead Auditor weitere Experten (zum Beispiel aus dem Bereich Sicherheit) hinzuziehen, um einen kompletten Eindruck zu erhalten.
Für die Detailplanung des Audits wird dem Dienstleister üblicherweise ein Plan zur Verfügung gestellt, aus dem der Inhalt der Prüfung eindeutig ersichtlich ist. Dieser Auditplan kann auch in einen Zeitplan integriert werden; es ist jedoch empfehlenswert, dies dem auditierten Unternehmen zu überlassen, da die zeitliche Verfügbarkeit der Mitarbeiter für die spezifischen Prüfungspunkte gewährleistet sein muss.
Im Folgenden ist ein Auszug aus einem SaaS Auditplan wiedergegeben, aus dem der Service-Provider die infrage kommenden Themen entnehmen und entsprechendes Personal für die Interviews bereitstellen kann.
Audit Participants
• Lead Auditor
• Further Auditors
Objective
• Audit History - Follow-up of last audit
• CAPAs
Scope
• QMP,CSV, SOP's available and followed
• Training of personnel on QMS including updates
• Incident management
• Change management
• Documented baseline configuration
• Software release process
• Release testing, Patch testing
• SDLC process
• Traceability of requirements
• Project methodology
• Functional testing
• Third Party management, Security of third parties
• Back-up/Restore, Disaster Recovery and Business Continuity test evidence
• Service Level Agreements (SLAs)
• Security/Access Control
• Data Encryption
Standards
• 21 CFR Part 11
• 21 CFR Part 58
• 21 CFR Part 210/211
• 21 CFR Part 820
• GDPR
• ICH E6 Good Clinical Practice
• EU Annex 11
• ISO 27000 series
• GAMP5 and GAMP Good Practice Guide
12. Anforderungen an die Lieferantenbewertung und Lieferantenaudits
Genügt es, eine Checkliste zur Bewertung des CSP zu schicken – z.B. Amazon und Microsoft?
Cloud Service Provider zählen zu den wichtigen qualitätsrelevanten Lieferanten, die ein pharmazeutisches Unternehmen im Rahmen der Supplier Qualification bewerten muss. Dies stellt hohe Anforderungen an die Qualitätssicherung bzw. Auditabteilung im Hinblick auf die Qualifikation der Auditoren und die Verfügbarkeit der erforderlichen Informationen beim Lieferanten: Für jeden Cloud Service Provider bedeutet eine Auditanfrage die Einleitung umfangreicher Koordinationsaktivitäten für ein On-Site Audit bzw. für die Beantwortung langer Fragelisten. Beides ist wenig beliebt, da umfangreiche Ressourcen gebunden werden. Im Falle von Audits vor Ort wird daher häufig eine Kostenbeteiligung gefordert, in der Hoffnung, dass Audits dann nicht durchgeführt werden. Die Qualitätsabteilung des Cloud Service Providers ist natürlich auch nicht erfreut, mit offenen Fragen gespickte Questionnaires zu erhalten, deren Beantwortung mehrere Tage in Anspruch nehmen kann.
Für die Bewertung eines SaaS Cloud Service Providers, der eine qualitätsrelevante Applikation bereitstellt, ist ein Audit - am besten vor Ort - unbedingt erforderlich, da die Dokumentation zur Entwicklung und Validierung des Systems unter GMP Aspekten bewertet werden muss. Sofern nur ein Remote-Audit infrage kommt, ist sicherzustellen, dass ausreichend Zeit zum Lesen der online zur Verfügung gestellten Dokumentation vorhanden ist. Der Auditor sollte versuchen, die qualitätsrelevanten Dokumente möglichst in Kopie zur Prüfung vor dem eigentlichen Audit zu erhalten. Dies lehnen die meisten Lieferanten jedoch aus Vertraulichkeitsgründen ab.
Die Qualitätsbeurteilung von globalen Serviceprovidern im Bereich der IT-Infrastruktur (IaaS Service-Provider) stößt häufig auf größere Schwierigkeiten, da solche Unternehmen (z.B. Microsoft, Amazon) entsprechende Anfragen einfach ignorieren. Deswegen ist der pharmazeutische Unternehmer darauf angewiesen, auf breiter Basis bereitgestellte generelle Unterlagen zu bewerten. Microsoft stellt hierzu ein umfangreiches Qualitätshandbuch (Microsoft Azure GxP Guidelines, © 2020 Microsoft Corporation, 99 Seiten) auf seiner Webseite zum Download zur Verfügung. Hier findet der Auditor Antworten auf eine Reihe von Fragen, die er/sie während des Audits stellen würde.
"The goal of this GxP guidelines document is to provide life sciences organizations with a comprehensive toolset for using Microsoft Azure while adhering to industry best practices and applicable regulations. It identifies the shared responsibilities between Microsoft and its life sciences customers for meeting regulatory requirements, such as FDA 21 CFR Part 11 Electronic Records, Electronic Signatures (21 CFR Part 11), and EudraLex Volume 4 - Annex 11 Computerized systems (Annex 11)." (Quelle: Microsoft Azure GxP Guidelines, © 2020 Microsoft Corporation)
Amazon stellt eine Reihe von Unterlagen als nicht zusammenhängende Fragmente zu den entsprechenden Sachgebieten bereit, die dem Auditor allerdings erst nach Vertragsabschluss in vollem Umfang zur Verfügung stehen, also für eine initiale Bewertung des Lieferanten ungeeignet sind.
Der Auditor sollte auch bei diesen globalen Unternehmen unbedingt versuchen, zunächst eine Frageliste mit der Bitte um Beantwortung zu übersenden, um nichts unversucht zu lassen. In diesem Zusammenhang sei angemerkt, dass ich bei einer Anfrage an Amazon unlängst einen recht vollständig ausgefüllten Fragenkatalog zurückerhalten habe, der mir eine Bewertung ermöglicht hat.
Seminarempfehlung
Heidelberg14.-17. Mai 2024
Validierung computergestützter Systeme (CV 1) & SPS in der Pharmaindustrie (CV 10)
Für das pharmazeutische Unternehmen ist es sehr wichtig, in den Vertrag mit dem Service Provider die Möglichkeit eines regelmäßigen Audits (ohne zusätzliche Kosten) aufzunehmen. Weiterhin sollte die Bündelung von Auditaktivitäten mehrerer Pharmafirmen (Joint Audit) mit Teilung der Kosten ins Auge gefasst werden, die für beide Teile - Kunde und Service-Provider - sehr viele Vorteile mit sich bringt, da Zeit und Kosten eingespart werden können.
13. Kunden-Lieferanten-Beziehungen
Bei der Bewertung eines Cloud Dienstleister verweist dieser auf SOC Reports, insbesondere auf den SOC2 Report. Wären darüber die Anforderungen für eine Bewertung möglich und ausreichend?
Der SOC2 Report kann für die Fragestellungen, die wir im GMP/GLP-Umfeld haben herangezogen werden. Es ist aber darauf zu achten, dass der SOC2 Report die Anforderungen aus dem Finanzbereich erfüllen muss. Dies deckt nicht die Anforderungen aus dem Pharmazeutischem Bereich ab. Wir haben z.B. uns den Change Prozess im SOC2 Report angesehen und festgestellt, dass es noch einige nicht beantwortete Anforderungen gibt.
Fazit: Der SOC2 Report ist nicht ausreichend zur Bewertung eines CSP.
Über den Autor:
Dr. Andreas Mangel
... kam 1995 als Fachbereichsleiter zu CONCEPT HEIDELBERG, wo er für die Themenbereiche Sterilproduktion und Computervalidierung verantwortlich ist.
