Cloud Computing: Welche Gründe gibt es für die Auswahl des jeweiligen Cloud-Modells (Private Cloud, Community Cloud, Public Cloud)?

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP) Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 3: Welche Gründe gibt es für die Auswahl des jeweiligen Cloud-Modells (Private Cloud, Community Cloud, Public Cloud)? - Themenkreis Grundlagen der Cloud Computing Technologie

Neben kommerziellen Gründen, die im Rahmen von GxP-regulierten Anwendungen hier nicht weiter diskutiert werden sollen, spielen oft praktische Gründe für die Wahl eines Cloud Modells eine Rolle. Insbesondere kleinere Unternehmen mit entsprechend beschränkten IT-Ressourcen tendieren dazu, einen Cloud Service zu nutzen, den sie mit eigenen Mitteln so nicht bereitstellen könnten. Sei es, dass sie nicht über die personelle Ausstattung verfügen, um alle nachgefragten Themen anzubieten, oder dass sie schlicht nicht über das notwendige Know-how (fachlich, technisch, Datensicherheit) verfügen.

Ebenfalls ganz praktische Gründe fördern im GCP-Bereich die dort herrschenden speziellen Bedingungen die Nutzung von Cloud Services: Klinische Studien werden verteilt mit vielen Beteiligten (Krankenhäuser, Ärzte, CMOs, Sponsoren) durchgeführt, meist weltweit. Hinzu kommt, dass die Zusammenstellung der Beteiligten keine feste Gruppe ist, sondern Veränderungen unterliegt. Cloud Services unterstützen mit ihrer universellen Erreichbarkeit via Internet diese Arbeitsweise und sind aufgrund ihrer internationalen Ausrichtung auf einen 24x7 Betrieb ausgelegt.

Ein weiteres Kriterium, das insbesondere bei der Wahl von Cloud Services zu beachten ist, fragt nach den Sicherheitsanforderungen des vom System unterstützen GxP Prozesses. Im Annex 11 wird das pharmazeutische Unternehmen explizit aufgefordert, die erforderlichen Sicherheitsmaßnamen am Risiko auszurichten (EU GMP Annex 11 [12.2]: "The extent of security controls depends on the criticality of the computerised system)".

Das kann bedeuten, dass besonders sensible Daten aus Gründen der GxP-Datenintegrität oftmals nicht in einer Public Cloud verarbeitet werden sollten. Eine derartige Entscheidung erfordert die Zusammenarbeit aller Fachdisziplinen (IT, GxP Verantwortliche, QS), um zu einer bewussten, fachlich begründeten Risikoabschätzung zu gelangen. Hierbei ist insbesondere fundiertes IT-Know-how gefordert, da das Thema "Datensicherheit" sehr komplex sein kann (Verschachtelung von Cloud Services, Redundanzen über mehrere Rechenzentren, verwendete Authentication Provider, …) und einem permanenten Wandel unterliegt.

Sofern der Geschäftsprozess, der von einem computergestützten System unterstützt werden soll, hohe Ansprüche an die Verfügbarkeit von Daten und Funktionen stellt, kann dies einen direkten Einfluss auf die Eignung Cloud-basierter Services haben:

• Sei es, dass allein schon die zusätzliche Abhängigkeit von einer Internetverbindung für eine ‚On Premise' Implementierung spricht, die über das LAN erreichbar ist;

• Während die hoch-redundante Auslegung über mehrere Regionen hinweg, sowie die einfache horizontale Skalierbarkeit ausschlaggebend für die Inanspruchnahme eines Cloud Services sein kann, im Gegensatz zu einer Installation im lokalen Netz.

Insbesondere im GCP Bereich spielen die Anforderungen des Datenschutzes (bspw. bei persönlichen Daten in klinischen Studien) eine essenzielle Rolle. Damit bestimmt der Datenschutz, ob der gewünschte Cloud Service überhaupt in Frage kommt und falls ja, in welchem Land die genutzten Rechenzentren angesiedelt sein müssen.

Auch wenn dem keine GxP-Anforderungen zugrunde liegen, können hohen Ansprüche an die Vertraulichkeit sensibler Daten (bspw. Daten der klinischen Forschung oder aus der Produktentwicklung) ebenfalls darüber entscheiden, ob ein Cloud Service überhaupt in Frage kommt oder mit welchen Einschränkungen.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart