Fragen und Antworten zum Thema Cloud Computing im GMP-Umfeld - Teil 4
Die Hinwendung zum Cloud Computing ist ein aktueller Trend in der gesamten Wirtschaft. Auch die pharmazeutische Industrie wendet sich verstärkt in diese Richtung. GxP-Anwendungen sind davon nicht unberührt.
Insbesondere finanzielle und organisatorischen Vorteile sprechen für die "Cloud". Allerdings sollte man auch potentielle Gefahren und regulatorische Einschränkungen kennen und beachten. In den nachfolgenden Ausgaben des GMP-Journals werden von 9 Experten aus der Industrie und von Überwachungsbehörden Fragen aus den folgenden GxP-relevanten Themenkreisen beantwortet:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehungen
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Die Experten:
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoff mann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart
20. Kunden-Lieferanten-Beziehungen
Was sollte der Inhalt eines SLA / Vertrages mit einem XaaSAnbieter sein?
Für die Zusammenarbeit mit einem Cloud Service-Provider ist es unbedingt erforderlich, einen Vertrag (Service Level Agreement) abzuschließen, der die Einzelheiten der Dienstleistung regelt. Es ist dabei ratsam, den kommerziellen Liefervertrag, der die monetären Bedingungen enthält vom pharmazeutischen bzw. IT Teil abzutrennen. Sofern nicht alle Leistungen mit den damit verbundenen Kosten von vornherein vertraglich vereinbart sind, werden diese später vom CSP separat und üblicherweise sehr teuer in Rechnung gestellt.
Bei der Prüfung von Vertragsentwürfen, die vom CSP bereitgestellt werden, ist festzustellen, dass häufig nur allgemeine Formulierungen der Leistungsindikatoren (KPIs) enthalten sind, die dem pharmazeutischen Unternehmer im Falle von Streitigkeiten keine Sicherheit bieten. Es ist also unbedingt erforderlich, sich mit den Einzelheiten der KPIs zu befassen, um ein geeignetes Wording herauszuarbeiten.
Folgende Elemente sollte ein SLA mindestens enthalten:
- Description of the Service to be delivered
- Contact Details and Escalation procedure
- Scope of the agreement with start, end and review dates
- CSP Duties and Responsibilities
- Key Performance Indicators (details of KPIs)
- Responsibilities of the customer
- Service Level (Platin/Gold/Silver/Bronze) Targets e.g.
- Service hours
- Service Availability
- Response and resolution times
- RTO / RPO - Service Reporting and Review
- Audit provisions (e.g. every 2nd year)
- Support in case of HA inspections at customer
- Security, Data Privacy and Confidential Information
- Legal Compliance and Resolution of Disputes
- Termination
Das wichtigste Kriterium für die Nutzung eines CSP ist die kontinuierliche Verfügbarkeit des Systems und eine sofortige Reaktion im Falle von Unterbrüchen; dazu sollten RTO (Recovery Time Objective) und RPO (Recovery Point Objective) eindeutig festgelegt werden. Die Reaktionszeit nach Systemausfällen, die als "Incidents" bzw. "Deviations" geloggt werden, sollte am besten tabellarisch eindeutig definiert sein. Dabei ist die Festlegung der eigenen Kritikalität und der Relevanz (P1-P4) mit den entsprechenden Antwortzeiten unabdingbar, siehe Beispiel.
Es ist außerdem ratsam, regelmäßige Telefonkonferenzen mit dem CSP aufzusetzen, zu Beginn der Zusammenarbeit beispielsweise wöchentlich, später monatlich. Dabei hat es sich bewährt, ein sogenanntes Joint Operations Committee ins Leben zu rufen, das auch als Ansprechpartner im Fall von Problemen fungiert.
21. Regulatorische Grundlagen und Erwartungen von Inspektoren
Dürfen (GMP-)Überwachungsbehörden CSP inspizieren? Wenn nein, ist das in Zukunft geplant?
Gem. § 64 (1) Nr. 6 unterliegen Betriebe und Einrichtungen der Überwachung durch die zuständigen Behörden, in denen Aufzeichnungen aufbewahrt werden, die die Herstellung, Prüfung, Lagerung, Verpackung, Vertrieb usw. betreffen.
Der Gesetzgeber hat dabei an Papierarchive außerhalb der Betriebsstätte gedacht und an Dokumentationen zu Gewebespenden in Einrichtungen wie Krankenhäusern, jedoch schließt der Wortlaut des Gesetzes auch die elektronische Archivierung der entsprechenden Daten ein, da diese grundsätzlich gem. AMHV und EU GMP Leitfaden zulässig ist.
Seminarempfehlung
Heidelberg14.-17. Mai 2024
Validierung computergestützter Systeme (CV 1) & SPS in der Pharmaindustrie (CV 10)
Grundsätzlich bedarf das AMG an einigen Stellen einer Präzisierung im Hinblick auf den Umgang mit elektronischen Daten, sowie den Prozessen der Digitalisierung und Automatisierung in der Herstellung und Prüfung von Arzneimitteln.
Abbildung 1: P1 = Emergency, P2 = High, P3 = Standard, P4 = Low, Resp. = Response
22. Anforderungen an die Lieferantenbewertung und Lieferantenaudits
Die Informationen zum QS-System und zu Audits, die Lieferanten oder Entwickler von Software und verwendeten Systemen betreffen, sollten Inspektoren auf Nachfrage zur Verfügung gestellt werden. Was macht man, wenn der CSP keine Audits zulässt? Welche Alternativen zum Audit würden akzeptiert?
Sofern qualitätsrelevante Dienstleistungen vom pharmazeutischen Unternehmer an Dritte übertragen werden, sind die Auftragnehmer unbedingt auf ihre Kompetenz und Eignung hin zu bewerten; diese Bewertung muss in schriftlicher Form vorliegen. Diese Verpflichtung erstreckt sich auch auf Dienstleister im Cloud Bereich, für die eine zusammenfassende Bewertung gegebenenfalls auch dem pharmazeutischen Inspektor vorzulegen ist. Globale Cloud Service- Provider treten dabei oft recht arrogant auf und akzeptieren keine Audits.
Als Alternative bietet sich hier ein postalisches Audit an, bei dem ein detaillierter Fragebogen an den CSP übersandt wird in der Hoffnung, dass dieser in ausgefüllter Form zurückgesandt werden wird. Die Beantwortung einer solchen Frageliste ist für den CSP recht aufwendig und nimmt viel Zeit in Anspruch, sofern auf eine exakte und vollständige Beantwortung der einzelnen Fragen Wert gelegt wird. Nach Erhalt des ausgefüllten Fragebogens erfolgt die Bewertung der einzelnen Elemente in einer (kurzen) Zusammenfassung, bei der eine Einstufung des CSP (z.B. freigegeben, eingeschränkt freigegeben, nicht freigegeben) durch die Fachabteilung unter Einbezug der Qualitätssicherung erfolgt.
Weiterhin besteht manchmal die Möglichkeit, wichtige Fragen, die üblicherweise bei einem Audit gestellt werden, in einem Telefongespräch mit dem Qualitätsverantwortlichen des CSP zu klären und in einem Memo festzuhalten, das zusammen mit anderen Dokumenten eine Einstufung zulässt.
Sofern der CSP zu keinerlei Zugeständnissen bereit ist, muss auf Unterlagen, die im Internet verfügbar sind, zurückgegriffen werden. Dabei sind Informationen hilfreich, die eine Tätigkeit des CSP im GMP-Bereich bei anderen pharmazeutischen Unternehmen nachweisen. In diesem Zusammenhang sei auf die Microsoft Azure GxP Guidelines (White paper, July 2020) verwiesen, wo auf ca. 100 Seiten die wichtigsten Qualitätselemente herausgearbeitet werden. Amazon Web Services (AWS) stellt ähnliche Dokumente zur Verfügung, allerdings leider erst nach Vertragsabschluss. Auch in diesem Fall müssen die geprüften Unterlagen summarisch bewertet und eine Einstufung des CSP vorgenommen werden.
23. Qualifizierungs-/Validierungsanforderungen
Welche Validierungsdokumente werden bei einer SaaS Applikation benötigt? Wer liefert welche Unterlagen?
Die Anbieter von Cloud-basierten GxP Anwendungen (SaaS) führen in ihren Werbeversprechen häufig aus, dass das pharmazeutische Unternehmen die kostspieligen und zeitraubenden Validierungsaktivitäten komplett einsparen kann. Diese Aussage ist nur zum Teil richtig, da für das regulierte Unternehmen eine ganze Reihe von Validierungsaktivitäten übrig bleiben, die der Service Provider nicht übernehmen kann bzw. von beiden Parteien durchgeführt werden müssen.
Im Prinzip bieten sich drei Optionen für die Validierung an:
1. Szenario: Volles Vertrauen in den Anbieter Sofern der Cloud Anbieter ein gutes Vertrauensverhältnis mit dem Kunden aufgebaut hat, regelmäßig ohne größere Beanstandungen auditiert wird und dabei Einblick in alle Aktivitäten zulässt, kann sich das pharmazeutische Unternehmen auf die Testung der kritischen Funktionen im User Akzeptanz Test beschränken. Voraussetzung hierfür ist eine sorgfältig durchgeführte funktionale Risikoanalyse, um die kritischen Funktionen zu ermitteln.
2. Szenario: Partielles Vertrauen in den Anbieter In vielen Fällen besteht erst eine kurze vertragliche Bindung zwischen Kunde und Cloud Service-Provider, beim Audit wurden gegebenenfalls größere, aber unkritische Beanstandungen festgestellt und nicht alle Prozesse offengelegt. Hier sollte mit jedem Release vom Kunden ein vollständiger User Akzeptanz Test durchgeführt werden.
3. Szenario: "Auf der sicheren Seite sein" Diese kostspielige Option ist in der konservativen pharmazeutischen Industrie sehr verbreitet, da man kein Risiko im Fall von behördlichen Inspektionen eingehen möchte. Das Pharma-Unternehmen führt mit jedem Release eine komplette Validierung einschließlich umfangreicher Dokumentation durch und benötigt dafür erhebliche Ressourcen.
Aus der Tabelle unten auf der Seite ist ersichtlich, welche Validierungsdokumente vom Kunden bzw. vom Service Provider bereitgestellt werden.
Vor Beginn einer vertraglichen Vereinbarung mit dem Service Provider muss das pharmazeutische Unternehmen den Lieferanten in einer Bewertung (Audit) qualifizieren. Ein entsprechender Audit Bericht muss gegebenenfalls im Falle einer Behördeninspektion vorgelegt werden.
Die bei einer Validierung üblichen ersten Schritte (System Risk Assessment, Electronic Records Assessment und Validation Master Plan) werden durchgeführt, und die Anforderungsspezifikation entwickelt.
Der Service-Provider erstellt für seine Applikation Validierungsplan, funktionale Spezifikation und Designspezifikation. Die funktionale Risikoanalyse ist Aufgabe des Kunden, kann aber vom Service-Provider sehr positiv unterstützt werden, da dieser den besten Einblick in die Funktionen seiner Applikation hat.
Die üblichen IQ/OQ Testaktivitäten werden vom Service-Provider regelmäßig durchgeführt und beim turnusmäßigen Audit vom Kunden stichprobenartig überprüft. In diesem Zusammenhang sind auch die IT-Infrastruktur-Qualifizierungen und -Sicherheitseinstellungen sowie Zertifikate (ISO27001, SOC, etc.) zu prüfen. In vielen Fällen ist die IT-Infrastruktur an eine Drittfirma (z.B. Amazon, Microsoft) ausgelagert.
Der User Akzeptanz Test (UAT) wird von beiden Partnern durchgeführt auf der Basis der vom Service-Provider entwickelten Testfälle, der UAT Bericht durch den Kunden und den Dienstleister, wobei der Bericht des pharmazeutischen Unternehmens ausschlaggebend für die Beurteilung des Validierungserfolgs ist.
Es ist sinnvoll, die Testung mittels automatisierten Testtools durchzuführen, da mit jedem Release (oft 3-4 Releases pro Jahr) ein neuer UAT fällig wird.
24. Grundlagen der Cloud Computing Technologie
Wenn der Pharmazeutische User Daten in der Cloud hat, um welche Systemform handelt es sich? Ist dies gemäß CFR Part 11 ein off enes oder geschlossenes System?
Dies ist anhand der u. g. Definition leicht zu beantworten, auch wenn es sich um eine "On Premise" Anwendung handelt: "Es ist ein offenes System" Die Kontrolle zur Einhaltung der Vorgaben wird vom Cloudprovider durchgeführt. Das Pharmazeutische Unternehmen kann nur über Verträge die entsprechenden Kontrollen einbringen und über Audits prüfen. Daher ist eine direkte Kontrolle nicht möglich!
Definition Part 11 § 11.3:
- Geschlossenes System bedeutet eine Umgebung, in welcher der Systemzugriff durch Personen kontrolliert wird, die für die Inhalte der auf dem System befindlichen Aufzeichnungen verantwortlich sind.
- Offenes System bedeutet eine Umgebung, in welcher der Systemzugriff nicht durch die Personen kontrolliert wird, die für die auf dem System vorhandenen elektronischen Aufzeichnungen verantwortlich ist.
25. Kunden-Lieferanten-Beziehungen
Welche Unterlagen braucht der PU, um eine sichere Migration in die Cloud zu planen?
In der konservativen pharmazeutischen Industrie hat man noch vor zehn Jahren den Einsatz der Cloud Technologie im GxP Bereich abgelehnt, da große Bedenken bezüglich Sicherheit und Vertraulichkeit der Daten bestanden. Mittlerweile ist die Verwendung von Cloud basierten Applikationen (SaaS) und -Infrastruktur (IaaS) an der Tagesordnung, d.h. immer mehr Systeme werden entsprechend migriert. Um eine solche Migration strukturiert ablaufen zu lassen und Fehler zu vermeiden, empfiehlt es sich für das pharmazeutische Unternehmen, die Vorgehensweise in einer SOP festzulegen, in der Rollen, Verantwortung und Vorgehensweise beschrieben sind.
Seminarempfehlung
Heidelberg14./15. Mai 2024
Validierung computergestützter Systeme (CV 1)
Zunächst ist es erforderlich, das Migrationsprojekt klar zu umreißen, mit eindeutigen Definitionen von Pro und Contra Cloud. Der Projektleiter (Process Owner) sollte die im Team ermittelten Anforderungen (Lastenheft, Request for Proposal, RfP) an die möglichen Service Provider übermitteln, um entsprechende Angebote einschließlich laufender- und Lizenz-Kosten zu erhalten.
Aus den Angeboten wird nach Eliminierung der nicht infrage kommenden Anbieter eine sogenannte "Short List" erarbeitet, die eine Basis für die weitere Planung darstellt. Die in der Liste aufgeführten Topkandidaten werden mittels eines Fragen Katalogs zunächst verglichen und gegebenenfalls vor Ort in Augenschein genommen (Pre-Audit). Daraus werden die interessantesten Firmen (ca. 1-3) ausgewählt, bei denen ein Audit vor Ort zur Qualifizierung des Serviceproviders erfolgt. Daraus ergibt sich der "ideale" Vertragspartner, mit dem ein Vertrag abgeschlossen werden kann. Besonderer Wert sollte auf die dem Vertrag angegliederte Qualitätsvereinbarung (Quality Agreement, Statement of Work) gelegt werden, in der mindestens folgende Punkte zu definieren sind:
• Roles & Responsibilities
• Quality System Requirements
• Audits and Regulatory Inspection Support
• Personnel and Training
• Change Management
• SDLC Methodology details
• Non Conformance and CAPA
• Data Governance / Data Privacy
• Security / Encryption
• Validation Deliverables
• RTO / RPO
Der endgültigen Migration in die Cloud sollte eine intensive Pilotphase vorangestellt werden, in der die zukünftigen User die Möglichkeit haben, die Applikation zu testen (SaaS) und Schwachstellen zu identifizieren.
Bei der Projektierung der Migration sollte sich das pharmazeutische Unternehmen darüber Gedanken machen, ob eine firmenspezifische Anpassung (Customizing) wirklich sinnvoll und notwendig ist, da dies bei allen späteren Versionen (Releases) ein erheblicher Kostenfaktor sein wird, da in diesen Fällen nicht nur auf die Standard-Validierungsunterlagen des Serviceproviders zurückgegriffen werden kann, sondern umfangreiche, zeitraubende Arbeiten erforderlich sind. Sofern auf ein umfangreiches Customizing nicht verzichtet werden kann, ist gegebenenfalls einer lokal installierten Applikation der Vorzug zu geben.
Über den Autor:
Dr. Andreas Mangel
... kam 1995 als Fachbereichsleiter zu CONCEPT HEIDELBERG, wo er für die Themenbereiche Sterilproduktion und Computervalidierung verantwortlich ist.
