Cloud Computing: Validierungsdokumente bei einer SaaS-Applikation; wer liefert welche Unterlagen?
Seminarempfehlung
17.-19. September 2024
Heidelberg
Bei gleichzeitiger Anmeldung zu Block 1 reduziert sich die Teilnahmegebühr
Melden Sie sich jetzt an für
den kostenlosen GMP-Newsletter
Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehung
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Frage 23: Welche Validierungsdokumente werden bei einer SaaS-Applikation benötigt? Wer liefert welche Unterlagen? - Themenkreis Qualifizierungs-/
Validierungsanforderungen
Die Anbieter von Cloud-basierten GxP-Anwendungen (SaaS) führen in ihren Werbeversprechen häufig aus, dass das pharmazeutische Unternehmen die kostspieligen und zeitraubenden Validierungsaktivitäten komplett einsparen kann. Diese Aussage ist nur zum Teil richtig, da für das regulierte Unternehmen eine ganze Reihe von Validierungsaktivitäten übrigbleiben, die der Service Provider nicht übernehmen kann bzw. von beiden Parteien durchgeführt werden müssen.
Im Prinzip bieten sich drei Optionen für die Validierung an:
1. Szenario: Volles Vertrauen in den Anbieter
Sofern der Cloud Anbieter ein gutes Vertrauensverhältnis mit dem Kunden aufgebaut hat, regelmäßig ohne größere Beanstandungen auditiert wird und dabei Einblick in alle Aktivitäten zulässt, kann sich das pharmazeutische Unternehmen auf die Testung der kritischen Funktionen im User Akzeptanz Test beschränken. Voraussetzung hierfür ist eine sorgfältig durchgeführte funktionale Risikoanalyse, um die kritischen Funktionen zu ermitteln.
2. Szenario: Partielles Vertrauen in den Anbieter
In vielen Fällen besteht erst eine kurze vertragliche Bindung zwischen Kunde und Cloud Service-Provider, beim Audit wurden gegebenenfalls größere, aber unkritische Beanstandungen festgestellt und nicht alle Prozesse offen gelegt. Hier sollte mit jedem Release vom Kunden ein vollständiger User Akzeptanz Test durchgeführt werden.
3. Szenario: "Auf der sicheren Seite sein"
Diese kostspielige Option ist in der konservativen pharmazeutischen Industrie sehr verbreitet, da man kein Risiko im Fall von behördlichen Inspektionen eingehen möchte. Das Pharma-Unternehmen führt mit jedem Release eine komplette Validierung einschließlich umfangreicher Dokumentation durch und benötigt dafür erhebliche Ressourcen.
Aus der nachstehenden Tabelle ist ersichtlich, welche Validierungsdokumente vom Kunden bzw. vom Service Provider bereitgestellt werden.
Vor Beginn einer vertraglichen Vereinbarung mit dem Service Provider muss das pharmazeutische Unternehmen den Lieferanten in einer Bewertung (Audit) qualifizieren. Ein entsprechender Audit Bericht muss gegebenenfalls im Falle einer Behördeninspektion vorgelegt werden.
Die bei einer Validierung üblichen ersten Schritte (System Risk Assessment, Electronic Records Assessment und Validation Master Plan) werden durchgeführt, und die Anforderungsspezifikation entwickelt.
Der Service-Provider erstellt für seine Applikation Validierungsplan, funktionale Spezifikation und Designspezifikation. Die funktionale Risikoanalyse ist Aufgabe des Kunden, kann aber vom Service-Provider sehr positiv unterstützt werden, da dieser den besten Einblick in die Funktionen seiner Applikation hat.
Die üblichen IQ/OQ Testaktivitäten werden vom Service-Provider regelmäßig durchgeführt und beim turnusmäßigen Audit vom Kunden stichprobenartig überprüft. In diesem Zusammenhang sind auch die IT-Infrastruktur-Qualifizierungen und -Sicherheitseinstellungen sowie Zertifikate (ISO27001, SOC, etc.) zu prüfen. In vielen Fällen ist die IT-Infrastruktur an eine Drittfirma (z. B. Amazon, Microsoft) ausgelagert.
Der User Akzeptanz Test (UAT) wird von beiden Partnern durchgeführt auf der Basis der vom Service-Provider entwickelten Testfälle, der UAT Bericht durch den Kunden und den Dienstleister, wobei der Bericht des pharmazeutischen Unternehmens ausschlaggebend für die Beurteilung des Validierungserfolgs ist.
Es ist sinnvoll, die Testung mittels automatisierten Testtools durchzuführen, da mit jedem Release (oft 3-4 Releases pro Jahr) ein neuer UAT fällig wird.
Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing"
Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u.a. das Expertenteam beantwortet hat.
Die Experten
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart
