Cloud Computing: Inhalt eines SLAs mit einem XaaS-Anbieter

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP)
• Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 20: Was sollte der Inhalt eines SLA (Service Level Agreement) / Vertrages mit einem XaaS-Anbieters sein? - Themenkreis Kunden-Lieferanten-Beziehung

Für die Zusammenarbeit mit einem Cloud Service-Provider ist es unbedingt erforderlich, einen Vertrag (Service Level Agreement) abzuschließen, der die Einzelheiten der Dienstleistung regelt. Es ist dabei ratsam, den kommerziellen Liefervertrag, der die monetären Bedingungen enthält vom pharmazeutischen bzw. IT Teil abzutrennen. Sofern nicht alle Leistungen mit den damit verbundenen Kosten von vornherein vertraglich vereinbart sind, werden diese später vom CSP separat und üblicherweise sehr teuer in Rechnung gestellt.

Bei der Prüfung von Vertragsentwürfen, die vom CSP bereitgestellt werden, ist festzustellen, dass häufig nur allgemeine Formulierungen der Leistungsindikatoren (KPIs) enthalten sind, die dem pharmazeutischen Unternehmer im Falle von Streitigkeiten keine Sicherheit bieten. Es ist also unbedingt erforderlich, sich mit den Einzelheiten der KPIs zu befassen, um ein geeignetes Wording herauszuarbeiten.

Folgende Elemente sollte ein SLA mindestens enthalten:

• Description of the Service to be delivered
• Contact Details and Escalation procedure
• Scope of the agreement with start, end and review dates
• CSP Duties and Responsibilities
• Key Performance Indicators (details of KPIs)
• Responsibilities of the customer
• Service Level (Platin/Gold/Silver/Bronze) Targets e.g.
• Service hours
• Service Availability
• Response and resolution times
• RTO / RPO  (Recovery Time Objective / Recovery Point Objective)
• Service Reporting and Review
• Audit provisions (e.g. every 2nd year)
• Support in case of HA inspections at customer
• Security, Data Privacy and Confidential Information
• Legal Compliance and Resolution of Disputes
• Termination

Das wichtigste Kriterium für die Nutzung eines CSP ist die kontinuierliche Verfügbarkeit des Systems und eine sofortige Reaktion im Falle von Unterbrüchen; dazu sollten RTO (Recovery Time Objective) und RPO (Recovery Point Objective) eindeutig festgelegt werden. Die Reaktionszeit nach Systemausfällen, die als "Incidents" bzw. "Deviations" geloggt werden, sollte am besten tabellarisch eindeutig definiert sein. Dabei ist die Festlegung der eigenen Kritikalität und der Relevanz (P1-P4) mit den entsprechenden Antwortzeiten unabdingbar, siehe Beispiel.

P1 = Emergency, P2 = High, P3 = Standard, P4 = Low, Resp. = Response

Es ist außerdem ratsam, regelmäßige Telefonkonferenzen mit dem CSP aufzusetzen, zu Beginn der Zusammenarbeit beispielsweise wöchentlich, später monatlich. Dabei hat es sich bewährt, ein sogenanntes Joint Operations Committee ins Leben zu rufen, das auch als Ansprechpartner im Fall von Problemen fungiert.

Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing"

Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u. a. das Expertenteam beantwortet hat.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart