Fragen und Antworten zum Thema Cloud Computing im GMP-Umfeld - Teil 5
Die Hinwendung zum Cloud Computing ist ein aktueller Trend in der gesamten Wirtschaft. Auch die pharmazeutische Industrie wendet sich verstärkt in diese Richtung. GxP-Anwendungen sind davon nicht unberührt.
Insbesondere finanzielle und organisatorischen Vorteile sprechen für die "Cloud". Allerdings sollte man auch potentielle Gefahren und regulatorische Einschränkungen kennen und beachten. In den nachfolgenden Ausgaben des GMP-Journals werden von 9 Experten aus der Industrie und von Überwachungsbehörden Fragen aus den folgenden GxP-relevanten Themenkreisen beantwortet:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehungen
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Die Experten:
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart
26. Qualifizierungs-/Validierungsanforderungen
Ist der Nachweis der Qualifizierung der IT Infrastruktur bei großen CSP überflüssig?
Nein. Die Regularien unterscheiden in ihren Anforderungen und Bestimmungen nicht zwischen "großen" und "kleinen" Anbietern, zwischen Neulingen und Etablierten, zwischen günstig und teuer.
Die in der Antwort zu Frage 15 getroffenen Aussagen gelten also ebenso für große CSP. Allerdings: Der stabile und sichere Betrieb aller Cloud-Dienste und -Lösungen ist für den CSP der Kern seines Geschäftsmodells! Dies gilt für alle Anbieter, aber für die großen CSP umso mehr. Hier kann das regulierte Unternehmen meist von höheren Standards und einer größeren Professionalität profitieren (es darf jedoch nicht blind darauf vertrauen!).
Seminarempfehlung
Mannheim15.-18. Oktober 2024
Change Control bei computergestützten Systemen (CV 24) und GxP-gerechte IT-Infrastruktur und Virtualisierung (CV 12)
Während die Durchführung einer Lieferantenbewertung mit Hilfe eines Vor-Ort-Audits bei großen CSPs schwierig bis unmöglich ist (in der Regel verhält sich die Kooperationsbereitschaft umgekehrt proportional zur Unternehmensgröße), ist meist das Risiko geringer und viele Verfahren, deren Umsetzung und ggf. Ergebnisse werden bereits in Form von White Papers, Zertifikaten oder Berichten veröffentlicht oder auf Anfrage zur Verfügung gestellt (z.B. Amazons "Whitepaper: Building a solid foundation for GxP-regulated workloads on AWS", Microsofts SOC Reports oder Microsofts Compliance Reports.
Amazon Whitepaper: https://aws.amazon.com/de/blogs/industries/whitepaper-building-a-solid-foundation-for-gxp-regulated-workloads-on-aws/
Microsoft SOC Report: https://servicetrust.microsoft.com/viewpage/SOC
Microsoft Compliance Reports: https://servicetrust.microsoft.com/Documents/ComplianceReports
27. Qualifizierungs-/Validierungsanforderungen
Wie kann die Annex 11-Anforderung nach einer qualifizierten Infrastruktur beim Cloud Provider mit kurzen Produktzyklen umgesetzt werden? Welche Dokumentation wird erwartet?
Annex 11 der EU-GMP-Regeln von Juli 2011 enthält noch nicht das Wort "Cloud", definiert aber in seinem Glossar "IT-Infrastruktur" und beginnt bereits in der Einleitung mit der fundamentalen und eindeutigen Feststellung: "Die Anwendung sollte validiert sein; IT-Infrastruktur sollte qualifiziert sein."
In der zweiten Auflage von GAMP® 5 wird dagegen die Cloud als (möglicher) Teil der IT-Infrastruktur hinreichend berücksichtigt. Ganz generell heißt es dort in Anhang M11- IT-Infrastruktur: "Eine kontrollierte IT-Infrastruktur ist eine Voraussetzung, um sicherzustellen, dass GxP-Anwendungen in einem kontrollierten Zustand betrieben werden können".
Dies gilt so auch für Cloud-Dienste und -Lösungen. Während jedoch die Verantwortung beim regulierten Unternehmen verbleibt, verschieben sich hierbei praktische und operative Aspekte - je nach Art des Dienstes (Iaas, PaaS oder SaaS) - mehr und mehr zum Cloud Service Provider (CSP). Wichtig ist, dass die grundlegenden Anforderungen an IT-Sicherheit, Sicherung und Wiederherstellung, Änderungs- und Konfigurationsmanagement etc. sich dadurch nicht ändern, deren operative Umsetzung erfolgt jedoch mit anderen Mitteln.
Der CSP sollte daher die Einrichtung und den Betrieb einer qualifizierten Infrastruktur mit kurzen Produktzyklen durch entsprechende Vorgehensmodelle (z. B. agile und iterative Änderungen, Virtualisierung, DevOps), durch einen hohen Automatisierungsgrad und durch ergänzende QS-Maßnahmen sicherstellen. Hierzu zählen auch eine Risikobewertung und die Durchführung entsprechender Sicherungs- und Präventivmaßnahmen - all dies sollte im Rahmen einer guten IT-Praxis ohnehin selbstverständlich sein.
Da die verwendeten Komponenten in der Regel hochgradig standardisiert sind, sind die Risiken bei Um- und Ausbau der Cloud oder bei Änderungen der Konfiguration gut beherrschbar und die hohe Dynamik kann nach dem Prinzip "Einmal qualifiziert, vielfach implementiert" umgesetzt werden. Seriöse und professionell agierende CSPs erfüllen die Anforderungen an eine qualifizierte IT-Infrastruktur meist im eigenen Interesse durch Etablierung entsprechender IT-Prozesse und -Richtlinien (z. B. basierend auf ITIL®), auch wenn sie kein besonderes Augenmerk auf GxP-Vorschriften richten.
Seminarempfehlung
Mannheim15./16. Oktober 2024
Change Control bei computergestützten Systemen (CV 24)
Die Herausforderung für das regulierte Unternehmen besteht demnach darin, sich vom CSP die Einhaltung der Anforderungen und Vorschriften vertraglich zusichern zu lassen und diese in geeigneter Weise und gemäß dem ermittelten Risiko zu überprüfen. Dies ist durch diverse Maßnahmen möglich, u. a. die Durchführung einer Lieferantenbewertung und den Abschluss individueller Vereinbarungen zu Betrieb, Verfügbarkeit, Überwachung etc. Die vom CSP individuell oder öffentlich bereitgestellten Informationen (z. B. White Paper, Zertifikate, Auditberichte) unterstützen die Bewertung, die ggf. um ein Lieferantenaudit ergänzt werden sollte.
28. Qualifizierungs-/Validierungsanforderungen
Muss ein SaaS Anbieter, die bei der Serviceerbringung verwendete IT-Infrastruktur in gleicher Weise qualifizieren, wie dies ein Arzneimittelhersteller oder pharmazeutisches Unternehmen machen müsste?
Grundsätzlich gelten für die Qualifizierung der Infrastruktur im GMP-Umfeld die Vorgaben des EU-GMP-Leitfadens und seiner Anhänge. Annex 11: Die Anwendung sollte validiert, die IT-Infrastruktur sollte qualifiziert werden. Die Durchführung der Qualifizierung wird in EU-GMP Annex 11 beschrieben. Wesentliche Hinweise findet man aber insbesondere im AIM der EFG 11 (Aide-Mémoire der EFG 11 - Überwachung computergestützter Systeme) und im Votum V1100202 - Anforderungen an die Aufbewahrung elektronischer Daten. Entsprechend ZLG ist ein Votum eine Stellungnahme einer Expertenfachgruppe zu einem auslegungsfähigen oder erklärungsbedürftigen Sachverhalt.
AIM der EFG 11: Die Qualifizierung von IT-Infrastruktur ist eine klar formulierte Anforderung des Anhangs 11. Mit der Wahrnehmung sind die Systemeigner (in der Regel IT-Abteilungen) befasst. Sofern ‚Cloud Service Provider' (CSP) oder andere Dienstleister die Infrastruktur bereitstellen, hat das keinen Einfluss auf die Anforderung selbst. Ob der CSP seine Infrastruktur qualifiziert hat und der Prozess der Qualifizierung in seinem Qualitätssicherungssystem beschrieben ist, ist im Rahmen der Qualifizierung des Dienstleisters und dem fortwährendem Monitoring durch den RU zu prüfen. Der SaaS Anbieter hat demnach seine Infrastruktur entsprechend EU-GMP Annex 11 und Annex 15 zu qualifizieren.
29. Regulatorische Grundlagen und Erwartungen von Inspektoren
Wenn der Pharmazeutische User Daten in der Cloud hat, um welche Systemform handelt es sich? Ist dies gemäß CFR Part 11 ein offenes oder geschlossenes System?
Die Überwachungsbehörden vertreten in ihren GMP-Inspektionen die Auffassung, dass der sogenannte "Regulated User" (Mitarbeitende/r der pharmazeutischen Industrie) bei Nutzung eines Cloud Services keinen Kontrollverlust erleiden darf. Diese Stellungnahme bezieht sich auf alle angebotenen Dienstleistungen der Service-Provider (IaaS, PaaS, SaaS), die anstelle einer on-premise Infrastruktur/Plattform/Applikation im kontrollierten Bereich Verwendung finden. Besonders kritisch wird dabei SaaS gesehen, wo GxP Daten beim Service Provider in validierten Applikationen gehostet werden.
Die Inspektoren erwarten, dass der pharmazeutische Unternehmer die verschiedenen Service-Provider regelmäßig kontrolliert und Audits durchführt. Dabei wird häufig festgestellt, dass der Dienstleister weitere Unter-Auftragnehmer (Subcontractors) mit Dienstleistungen beauftragt hat, die selbstverständlich auch den Anforderungen der regulierten Industrie genügen müssen. Viele SaaS Provider beziehen Infrastrukturleistungen seitens Amazon Web Service (AWS), Microsoft (Azure) oder Google, die üblicherweise Audits nicht zulassen.
30. Regulatorische Grundlagen und Erwartungen von Inspektoren
Ist es zulässig - und falls ja - unter welchen Bedingungen ist es möglich, Daten außerhalb der EU physisch zu speichern?
In EU-GMP findet man keine Hinweise auf die Physische Aufbewahrungsstätte elektronischer Daten. Schaut man in die AMWHV, findet man folgenden Hinweis:
§ 20 Aufbewahrung der Dokumentation
(1) Alle Aufzeichnungen über den Erwerb, die Herstellung einschließlich der Freigabe, die Prüfung, Lagerung, das Verbringen in den oder aus dem Geltungsbereich des Arzneimittelgesetzes, die Einfuhr oder die Ausfuhr, das Inverkehrbringen einschließlich der Auslieferung sowie Aufzeichnungen über die Tierhaltung und Aufzeichnungen der oder des Stufenplanbeauftragten oder der nach § 19 Abs. 7 Satz 1 entsprechend beauftragten Person sind vollständig und mindestens bis ein Jahr nach Ablauf des Verfalldatums, jedoch nicht weniger als fünf Jahre aufzubewahren. Die Aufbewahrung muss in einem geeigneten Bereich der von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räume erfolgen.
Der zweite Satz bringt nun hinsichtlich der physikalischen Aufbewahrung von elektronischen Daten massive Probleme mit sich. Die muss zunächst so interpretiert werden, dass eine Aufbewahrung außerhalb des Firmengeländes zwangsläufig kaum möglich ist. Dieses Problem wurde von der EFG 11 erkannt und in einem Votum bewertet:
Votum V1100202 - Anforderungen an die Aufbewahrung elektronischer Daten
Entsprechend ZLG ist ein Votum eine Stellungnahme einer Expertenfachgruppe zu einem auslegungsfähigen oder erklärungsbedürftigen Sachverhalt.
Entscheidend ist nun das von der EFG 11 formulierte Ergebnis. Hier heißt es in Punkt 3 "Ergebnis":
Im Falle einer elektronischen Dokumentation ist die Anforderung der Aufbewahrung von E-Records/Dokumenten in von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räumen erfüllt, wenn in den von der Erlaubnis erfassten Räumen mindestens ein Endgerät (z. B. Terminal oder PC nebst Drucker) zur Verfügung steht, so dass ein Zugriff auf die Gesamtheit der Daten und Metadaten möglich ist, lesbare Ausdrucke und Kopien auf Datenträgern erzeugt werden können.
In dem Votum werden dann aber auch weiter Anforderungen an den externen Dienstleister (CSP) formuliert. Insbesondere folgender Hinweis ist zu beachten: Es gelten grundsätzlich die gleichen Anforderungen an einen CSP wie an einen regulierten Nutzer.
Hinweise auf die geographische bzw. politische Situation des externen CSP sind allerdings nicht zu finden. Bleibt also noch das Problem, inwiefern die Aussage der EFG 11 im Votum auch für Standorte außerhalb der EU gilt. Hier hilft ein Blick in das AIM der EFG 11 weiter (Aide-Mémoire der EFG 11 - Überwachung computergestützter Systeme 07121202). Hier findet man einen entscheidenden Hinweis. Und zwar ist im Abschnitt 17 Archivierung folgende Frage formuliert:
17-7 Können Daten in einer anderen Einrichtung als die des Erlaubnisinhabers archiviert werden?
Die Antwort der EFG 11 lautet:
Die Daten können mit Zustimmung der zuständigen Behörde bei einer externen Einrichtung innerhalb der EU archiviert werden. Es gelten die GMP-Vorgaben hinsichtlich Dienstleister-qualifizierung, Durchführung von Audits, u. a. Die archivierten Daten müssen innerhalb einer angemessenen Zeit der zuständigen Behörde zugänglich gemacht werden können (siehe Votum V11002)
Danach ist offensichtlich nach Auffassung der EFG 11 eine Aufbewahrung der Daten außerhalb der EU nicht möglich und selbst innerhalb der EU sollte unbedingt bei der zuständigen Behörde nachgefragt werden.
31. Kunden-Lieferanten-Beziehung
Ist es akzeptabel, wenn ein Service Provider die Einsichtnahme in Unterlagen des Sublieferanten (bspw. IaaS) verweigert, mit der Begründung, dass diese unter die Geheimhaltungspflicht fallen (konkret: Schulungsnachweise)?
Beim Audit eines Serviceproviders müssen alle Informationen gezeigt werden, die mit dem Betrieb einer Applikation im regulierten Bereich in Verbindung stehen. Hierzu zählt die IT-Infrastruktur, die häufig im Rechenzentrum eines Unter-Auftragnehmers betrieben wird. Das Personal dieser Firma muss selbstverständlich auch mit den anwendbaren GMP Regeln (gute Dokumentationspraxis, Datenintegrität, etc.) in Schulungen vertraut gemacht werden, da diese Mitarbeitenden auch GxP Dienstleistungen im Auftrag durchführen.
Es ist daher ratsam, beim Audit des Dienstleisters auf ein Interview von Mitarbeitenden des Subcontractors zu bestehen und dabei auch Schulungsnachweise anzufordern. Bei Trainingsnachweisen im Bereich der Guten Herstellungspraxis besteht generell keine Geheimhaltungspflicht, da ein GxP Training keine vertraulichen Informationen enthält. Weiterhin fallen solche Nachweise nicht unter die personenbezogenen Unterlagen gemäß Datengrundschutzverordnung (DSGVO).
Über den Autor:
Dr. Andreas Mangel
... kam 1995 als Fachbereichsleiter zu CONCEPT HEIDELBERG, wo er für die Themenbereiche Sterilproduktion und Computervalidierung verantwortlich ist.
