Cloud Computing: Zertifizierung von Cloud Service Providern
Seminarempfehlung
10.-12. Dezember 2024
Heidelberg
Bei gleichzeitiger Anmeldung zu Block 1 reduziert sich die Teilnahmegebühr
Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:
Grundlagen der Cloud Computing Technologie
Regulatorische Grundlagen und Erwartungen von Inspektoren
Kunden-Lieferanten-Beziehung
Anforderungen an den Cloud Service Provider (CSP)
Anforderungen an die Lieferantenbewertung und Lieferantenaudits
Qualifizierungs-/Validierungsanforderungen
Frage 6: Sind gängige Zertifizierung (bspw. 27000ff) ein belastbarer Beleg, dass ein Cloudservice Provider (CSP) geeignet ist, bzw. welche Anforderungen muss eine Zertifizierung erfüllen, damit sie für die Eignung eines CSPs eine Rolle spielen kann? - Themenkreis Anforderungen an den Cloud Service Provider (CSP)
Dass Lieferanten und Dienstleister über ein Qualitätssicherungssystem verfügen müssen, ergibt sich aus EU-GMP Annex 11:
3.4 Die Informationen zum Qualitätssystem und zu Audits, die Lieferanten oder Entwickler von Software und verwendeten Systemen betreffen, sollten Inspektoren auf Nachfrage zur Verfügung gestellt werden.
Welcher Art das Qualitätssicherungssystem sein soll, ist im Annex 11 nicht zu erkennen. Die EFG 11 äußert sich allerdings in Ihrem Votum V1100202 Anforderungen an die Aufbewahrung elektronischer Daten zu dieser Thematik. Hier heißt es:
Im Folgenden sind Anforderungen an die Qualität des CSP und die Datenintegrität (für Daten in Bewegung und in Ruhe) formuliert, die sich so explizit nicht im EU-GMP-Leitfaden wiederfinden, jedoch aus Sicht der EFG 11 als sinnvoll erachtet werden:
- CSP, die vertrauliche Daten oder Daten mit hohen Anforderungen an die Verfügbarkeit in der Verantwortung bearbeiten, müssen über ein zertifiziertes ISMS verfügen (z. B. gemäß DIN 27001).
Ob sich dies allerdings aus rechtlicher Sicht durchsetzen lässt, sei dahingestellt.
Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die das Expertenteam beantwortet hat
Die Experten
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart