Bewertung von Cloud Service Providern aus Behördensicht - Teil II

IT-Aktivitäten werden mehr und mehr an Cloud Service Provider (CSP) ausgelagert. Betroffen davon sind auch GMP-relevante Systeme. Trotz der Auslagerung der Aktivitäten bleibt der Pharmazeutische Unternehmer aber uneingeschränkt in der Verantwortung und muss entsprechende Mechanismen etablieren, um dieser Verantwortung gerecht zu werden.

Sind gängige Zertifizierung (bspw. 27000ff) ein belastbarer Beleg, dass ein Cloudservice Provider (CSP) geeignet ist, bzw. welche Anforderungen muss eine Zertifizierung erfüllen, damit sie für die Eignung eines CSPs eine Rolle spielen kann?

Dass Lieferanten und Dienstleister über ein Qualitätssicherungssystem verfügen müssen, ergibt sich aus EU-GMP Annex 11: "3.4 Die Informationen zum Qualitätssystem und zu Audits, die Lieferanten oder Entwickler von Software und verwendeten Systemen betreffen, sollten Inspektoren auf Nachfrage zur Verfügung gestellt werden."

Welcher Art das Qualitätssicherungssystem sein soll, ist im Annex 11 nicht zu erkennen. Die EFG 11 äußert sich allerdings in Ihrem Votum V1100202 "Anforderungen an die Aufbewahrung elektronischer Daten" zu dieser Thematik.

Hier heißt es: "Im Folgenden sind Anforderungen an die Qualität des CSP und die Datenintegrität (für Daten in Bewegung und in Ruhe) formuliert, die sich so explizit nicht im EU-GMP-Leitfaden wiederfinden, jedoch aus Sicht der EFG 11 als sinnvoll erachtet werden: 

• [...]
• CSP, die vertrauliche Daten oder Daten mit hohen Anforderungen an die Verfügbarkeit in der Verantwortung bearbeiten, müssen über ein zertifiziertes ISMS verfügen (z. B. gemäß DIN 27001)."

Ob sich dies allerdings aus rechtlicher Sicht durchsetzen lässt, sei dahingestellt.

Was ist ein Votum einer Expertenfachgruppe?

Voten werden von Expertenfachgruppen erstellt. Die Mitglieder der Expertenfachgruppen rekrutieren sich aus den Bundesländern. Diese Expertenfachgruppen haben verschiedene Aufgaben, wie beispielsweise Stellungnahmen zu nationalen und europäischen Rechtsvorschriften und Guidelines zu verfassen oder Voten zu erstellen. Ein Votum ist also eine Stellungnahme einer Expertenfachgruppe zu einem erklärungsbedürftigen Sachverhalt. Entsprechend der ZLG (Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten) kann die Stellungnahme die Auslegung einer Rechtsvorschrift im Sinne einer Kommentierung zum Inhalt haben. Ein fachliches Votum kann die Beschreibung eines Standes von Wissenschaft und Technik zu einem bestimmten Sachverhalt sein. Ein Votum rangiert in seiner Verbindlichkeit unterhalb von

• Rechtsvorschriften
• Rechtsprechung
• Verfahrensanweisungen
• Aide mémoire

und sollte bei der rechtlichen und/oder fachlichen Bewertung eines Sachverhaltes berücksichtigt werden.

 Quelle: Votum V1100202 der Expertenfachgruppe 11