Embed Size (px)
Citation preview
Cloud Computing im regulierten Umfeld
Stand August 2014
Dr. Jürgen Schnellmann Senior Sales Manager [email protected] Mobil +49 (0) 173/7844890
Cloud Computing
Seite 2
Inhalt
Freiheit und Möglichkeiten von Cloud Computing ................................................. 3 1
Definition und Begriffsbestimmung ........................................................................ 4 2
Cloud Computing Eigenschaften nach NIST ............................................................ 5 3
Welche Arten von Cloud Computing gibt es? ......................................................... 6 4
4.1 Cloud Computing Arten: Dienste Modell ..................................................................... 7
4.2 Cloud Computing: Nutzer Modell ................................................................................ 8
4.3 Praktische Relevanz für die regulierte Industrie .......................................................... 9
Der Standort macht’s ............................................................................................ 11 5
Regulatorischer Hintergrund nach AMWHV und EU GMP ................................... 13 6
6.1 AMWHV ...................................................................................................................... 14
6.2 EudraLex Vol. 4 Annex 11 ........................................................................................... 15
6.3 EudraLex Vol. 4 Chapter 7 .......................................................................................... 16
Zusammenfassung ................................................................................................ 17 7
Nützliche Links ...................................................................................................... 18 8
Kontakt .................................................................................................................. 19 9
Über den Autor ................................................................................................... 19 10
Profil der Thescon GmbH .................................................................................... 19 11
Cloud Computing
Seite 3
Freiheiten und Möglichkeiten des Cloud Computings 1
Im Allgemeinen verbindet man mit Cloud Computing den Zugriff auf Daten und/oder Dienste „von überall aus über das Internet“, unabhängig vom Endgerät, also vom Client.
Eine Anwendung in der Pharma- und Medizintechnik bedarf besonderer Betrachtung, insbesondere dann, wenn die über die Cloud angebotenen Daten und/oder Dienste die Patienten-sicherheit, die Produktqualität und/oder die Datenintegrität betrifft; hier finden die bekannten Regularien ihre Anwendung.
Über das Internet lässt sich auf Daten und Dienste zugreifen, z. B. auf Emails, auf Dokumente oder auch Musik und Filme, ebenso lassen sich Daten ortsunabhängig speichern. Und dabei ist es egal, ob der Zugriff mit einem Smartphone, einem Unix-Rechner, einem Windows-Laptop oder einem iPad erfolgt: meist erfolgt er über eine frei verfügbare Software, normalerweise über den Browser.
Durch Smartphones und Tablet-PCs erfolgt der Zugriff auch immer häufiger über Apps, also spezielle auf die Bedürfnisse der Cloud-Anwendung zugeschnittene Programme.
Weiterhin ist zu beachten, wo der Cloud Service Provider - also der Lieferant - seinen Sitz hat und wo seine IT-Infrastruktur ansässig ist.
Letzten Endes muss Cloud Computing genauso behandelt werden wie ein ausgelagertes Rechenzentrum, das - je nach Art - reine Rechnerinfrastruktur, ein Betriebssystem in dem Anwendungen noch bestimmt und installiert werden müssen oder einzelne Programme oder Anwendungen zur Verfügung stellt; klassisches Outsourcing oder Offshoring von
Rechenleistung. Wegen unterschiedlicher nationaler Gesetzgebungen (z. B. Datenschutz, Zugriff durch Sicherheits-behörden) kommt somit auch dem Sitz des Cloud Service Providers und dessen IT-Infrastruktur maßgebliche Bedeutung zu.
Cloud Computing
» Zugriff von überall aus
» Zugriff auf Daten und / oder Dienstleistungen
» Zugriff normalerweise über frei verfüg-bare Software (Browser)
» ortsunabhängige Speicherung von Daten
» Sicherheitsfragen (Standort, Regularien)
Cloud Computing
Seite 4
Definition und Begriffsbestimmung 2
Es gibt keine allgemein anerkannte Definition für Cloud Computing. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) begründet man das wie folgt: „In Publikationen oder Vorträgen werden häufig Definitionen verwendet, die sich zwar meist ähneln, aber die doch immer wieder variieren. Eine Definition, die in Fachkreisen meist herangezogen wird, ist die Definition der US-amerikanischen Standardisierungsstelle NIST.“
Die Definition des National Institute of Standards and Technology (NIST), die auch von der European Network and Information Security Agency (ENISA) verwendet wird:
„Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und über-all bequem über ein Netz auf einen ge-teilten Pool von konfigurierbaren Rechnerresourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Inter-aktion zur Verfügung gestellt werden können.“
Auf der Internet-Seite des BSI zum Cloud Computing findet sich eine ähnliche Definition wie die des NIST.
Cloud Computing
Seite 5
Cloud Computing Eigenschaften nach NIST 3
Das NIST definiert weiter auch die fünf essentiellen Eigen-schaften des Cloud Computings:
1. On-demand Self Service: Der Zugriff auf den Dienst läuft automatisch, ohne Interaktion mit dem Cloud-Anbieter ab, genauso wie eine Provisionierung der Ressourcen. Niemand muss beim Anbieter manuell etwas zur Verfügung stellen (abgesehen von der ersten, einmaligen Einrichtung).
2. Broad Network Access: Der Dienst wird über das Internet mit Standard-Mechanismen zur Verfügung gestellt und kann mit (fast) allen Endgeräten genutzt werden.
3. Resource Pooling: In aller Regel wird der Dienst nicht exklusiv einem Abnehmer zur Verfügung gestellt, sondern Vielen, die sich das Angebot teilen. (siehe Hinweis !)
4. Rapid Elasticity: Der Anwender nutzt den Dienst einfach, der ihm je nach Anwendungsbedarf flexibel zur Verfügung gestellt wird.
5. Measured Services: Die Nutzung der Ressourcen des Cloud-Dienstes kann gemessen und überwacht werden und damit auch dem Nutzer zur Verfügung (und in Rechnung) gestellt werden.
Wichtiger Hinweis:
» Mit der Resource Pooling Definition ist auch gleich bereits ein wichtiger Punkt angesprochen: man weiß als Anwender nicht oder zumindest nicht exakt, wo die Daten liegen oder die Datenverarbeitung örtlich stattfindet. Als reguliertes Unternehmen muss man deswegen mit einem Anbieter eine entsprechende Vereinbarung (SLA) abschließen, die genau das regelt: wo werden meine Daten gelagert (und gesichert) und wo findet ggf. eine Datenverarbeitung statt. Ohne diese Möglichkeit ist Cloud Computing im regulierten Umfeld undenkbar!
Cloud Computing
Seite 6
Welche Arten von Cloud Computing gibt es? 4
1. Welche Dienste werden überhaupt zur Verfügung gestellt: z. B. nur Speicherplatz oder bekomme ich auch weitere Funktionen, z. B. eine funktionierende Tabellenkalkulation angeboten? Es werden Dienste von rudimentärer Infrastruktur bis hin zu speziellen Anwendungen zur Verfügung gestellt.
2. Wer hat Zugang zur Cloud, wer kann die Daten nutzen: Die
Bandbreite reicht dabei von einzelnen Nutzern bis hin zum weltweit unbeschränkten Zugriff.
Welche Dienste werden zur Verfügung gestellt?
Wer kann den oder die Dienste nutzen?
» IaaS: Infrastructure as a Service
» PaaS: Platform as a Service
» SaaS: Software as a Service
» ... XaaS Something as a Service
» Public Cloud » Private Cloud » Hybrid Cloud » Community Cloud
(Erläuterungen finden sich auf Seite 8).
Cloud Computing
Seite 7
4.1 Cloud Computing Arten: Dienste Modell
IaaS: Infrastructure as a Service
Zur Verfügung gestellt wird hier die unterste Infrastruktur, der Benutzer greift hier auf die bestehenden Systeme zu und administriert seine Recheninstanzen weitestgehend selbst. Der Hauptunterschied zu herkömmlichen Rechenzentren ist die hohe Skalierbarkeit: Je nach Anforderung können die Recheninstanzen hier beliebig erweitert oder verkleinert werden. Der Nutzer trägt ab dem Betriebssystem aufwärts selbst die Verantwortung für die Instanzen.
PaaS: Platform as a Service
Der Name der Services ist hier Programm, bei Platform as a Service stellt der Cloud-Anbieter auch wieder die Infrastruktur zur Verfügung, hier findet der Nutzer bereits ein fertig konfi-guriertes Betriebssystem vor. Der Kunde lädt nur noch Anwendungen hoch und die Cloud kümmert sich selbständig um die Verarbeitung, Verteilung und ggf. Auslastung.
SaaS: Software as a Service
Diese Art von Cloud Computing ist wohl am bekanntesten: Software wird dem Nutzer nicht als Lizenz verkauft, vielmehr steht die Anwendung lediglich zur Nutzung zur Verfügung (z. B. Google Drive, Salesforce CRM, Office 365). Der Anwender / Nutzer des Cloud Services hat auf den eigentlichen Betrieb der Cloud so gut wie gar keinen Einfluss mehr.
Dieses Modell wird für regulierte Unternehmen am häufigsten in Frage kommen.
Häufig findet man Begriffe wie z. B. Business Process as a Service, Storage as a Service, ERP as a Service o.ä.. Diese werden unter XaaS zusammengefasst, wobei das “X” als Platzhalter benutzt wird.
SaaS
PaaS
IaaS
Netzwerk / Speicher
Hardware
Virtualisierung
Betriebssystem
Daten
Anwendungen
Cloud Computing
Seite 8
4.2 Cloud Computing: Nutzer Modell
Das Nutzer Modell stellt darauf ab, wer überhaupt Zugang zur Cloud bekommt:
Die Public Cloud ist die Bekannteste: Der Anbieter stellt seine Dienste offen und frei über das Internet zur Verfügung, jeder Internetnutzer kann die Dienste nutzen. Typische Beispiele sind z. B. Freemailer oder die Google-Docs.
Die Private Cloud: Der Anbieter stellt seinen Dienst z. B. einem bestimmten Unternehmen zur Verfügung. Hier ist am ehesten zu erkennen, dass es sich beim Cloud Computing (fast) um ein ausgelagertes Rechenzentrum handelt.
Bei der Hybrid Cloud handelt es sich um eine Mischkonstruktion. So können z. B. aus einer Private Cloud Dienste einer Public Cloud genutzt werden: Sensible Daten werden in einer eigenen Private Cloud gehostet, während die Email-Funktion von einen Freemailer genutzt wird.
Die derzeit noch seltenste Form ist die Community Cloud. Hier ist der Nutzerkreis auf eine bestimmte Personengruppe oder wenige Unternehmen beschränkt, die auf die Cloud z. B. im Zuge eines gemeinsamen Projektes zugreifen können. Im Zuge der immer smarter werdenden mobilen Telefone und sogenannter wearables die auch medizinische Daten übertragen, kann sich die Anwendungshäufigkeit aber schon in naher Zukunft ändern.
Public Cloud » Die Services können von jedermann genutzt
werden.
Private Cloud » Die Services und die Infrastruktur unterstehen
einer Institution und werden ihr exklusiv genutzt.
Hybrid Cloud » z. B. werden aus einer Private Cloud heraus
Dienste einer Public Cloud genutzt.
Community Cloud » die Services werden von mehreren Institutionen
mit gleichem Interesse genutzt
Cloud Computing
Seite 9
4.3 Praktische Relevanz für die regulierte Industrie
Je nach Anwendungsbereich kommen für regulierte Unternehmen einige der Dienste Modelle in Frage, am ehesten wohl SaaS oder eine Variante davon als XaaS. Hinsichtlich der Nutzer Modelle kommt die Private Cloud und wohl auch immer mehr die Community Cloud in Frage; immer unter Berück-sichtigung von Datenschutz und den regulatorischen Anforderungen für ausgelagerte Aktivitäten.
Das gewählte Dienste Modell wirkt sich auf die Validierung aus: Liegen alle Daten beim regulierten Unternehmen kann auch die gesamte Dokumentation hier erfolgen. Egal welche Software-kategorie nach GAMP5 angesprochen wird, allen gemein ist das mindestens eine IQ vorausgesetzt wird. Da sich diese aber selbst beim IaaS-Modell nicht mehr im direkten Administrationsbereich des regulierten Unternehmens befinden, muss der Cloud Service Provider diese Aktivitäten übernehmen (siehe auch 6 Regulatorischer Hintergrund).
Die nachgewiesene Qualifikation (z. B. durch ein Audit) des Lieferanten und ein Vertrag welcher die Verantwortung zwischen Lieferant und Nutzer regelt sind die Voraussetzungen für die kontrollierte Nutzung von solchen Diensten.
URS: User Requirement Specification, FS: Functional Specification, DS: Design Specification; IQ: Installation Qualification, OQ: Operational Qualification, PQ: Performance Qualification
Cloud Computing
Seite 10
Aus dem obigen Beispiel lässt sich folgende Matrix erstellen, die beispielhaft die Verantwortung der Validierungsdokumente darstellt: die mit x markierten Dokumente liegen im Verantwortungsbereich vom Cloud Service Provider, die mit o markierten Dokumente werden vom Servicenehmer, dem regulierten Unternehmen verantwortet.
Diese Matrix ist beispielhaft: Selbstverständlich hängen die Verantwortlichkeiten vom Einzelfall ab und ändern sich insbesondere durch Dienstleistungsvereinbarungen, SLAs, Audits und ähnlichem.
Infrastructure as a Service Platform as a Service Software as a Service
Validation Plan o o o
User Requirement Specification o o o
Functional Specification o x x
Design Specification x x x
Installation Qualification x x x
Operational Qualification o x x
Performance Qualification o o o
Validation Report o o o
Cloud Computing
Seite 11
Der Standort macht’s 5
Gerade im Hinblick auf regulierte Unternehmen muss man darauf abstellen, wo die „Cloud“ liegt: es handelt sich hier ja schließlich nach wie vor um einen irdischen Rechner, der im Normalfall den Gesetzen des Landes bzw. der Nation unterliegt, in dem er steht und betrieben wird.
Häufig stammen die Anbieter aus den Vereinigten Staaten von Amerika bzw. betreiben dort ihre Server-Anlagen. Hier ist das „Datenschutzabkommen zwischen der EU und den USA“ („Safe Habor Agreement“) interessant, das aktuell rege diskutiert wird.
Zu unterschiedlich sind die Positionen der EU und der USA:
» Unternehmensdaten, die z. B. bei Cloud-Anbietern wie Amazon, Google, Microsoft oder Apple gelagert werden, sollen für Strafverfolgungszwecke genutzt werden können, ohne Benachrichtigung des betroffenen Unternehmens - so die amerikanische Position -.
» Der Freedom of Information Act (FOIA) der USA soll auch für EU-Bürger ausreichend sein. Praktisch jedoch wird die Einsicht verwehrt, wie man z. B. an dem Streit um die Einsicht in die vom Department of Homeland Security aufbewahrten Flugpassagierdaten sieht.
» In der EU existiert das Recht auf Korrektur, Löschen und Blockieren von personenbezogenen Daten.
» Der in der EU angewandte Begriff der „Verhältnismäßigkeit“ (gespeicherte Daten sollten dem Grund angepasst und nicht zu umfangreich sein) bei der Datennutzung, -speicherung und -analyse stößt in den USA auf Unverständnis.
Der Rechtsweg auf Basis des „US Privacy Act“ gegen potenziell unverhältnismäßige Überwachungsmaßnahmen ist EU-Bürgern aktuell versperrt; er bleibt US-Bürgern vorbehalten.
Angestrebtes, aber noch nicht verabschiedetes Datenschutzabkommen zwischen EU und USA
USA:
» geltendes amerikanisches Recht darf nicht tangiert werden
» Unternehmensdaten für Strafverfolgungszwecke ohne Benachrichtigung nutzen
» FOIA reicht aus, um auch EU-Bürgern Zugang zu US-Behördenakten zu verschaffen
EU:
» Rechte auf Korrektur, Löschen, Blockade personenbezogener Informationen
» Recht auf Schutz personenbezogener Daten
» Datenschutz ist ein Grundrecht
Aktuell: » US Privacy Act nur für US-Bürger; EU-Bürger ist
der Rechtsweg verwehrt » US-Behörden haben Zugriff auf alle Daten » Rechtsunsicherheit / Widerspruch zum EU-Recht » Unterschiedliche Ansichten (Verhältnismäßigkeit)
Cloud Computing
Seite 12
Aufgrund des recht großen Widerspruchs zum EU-Datenschutzrecht herrscht Rechtsunsicherheit, z. B. bei den unterschiedlichen Ansichten zur Verhältnismäßigkeit: Speicherdauer, Weitergabe von Daten an andere Behörden oder Drittstaaten, Aufsichts- und Kontroll-Instanzen und deren Rechte, etc.. Während das EU Recht vorsieht, dass die gespeicherten Daten inkl. Umfang, Dauer, Weitergabe, etc. dem Anlass entsprechen müssen (es muss z. B. nicht der vollständige Lebenslauf von jemanden gespeichert werden, der zu schnell gefahren und dabei erwischt wurde) sehen amerikanischen Behörden eine umfassendere Speicherung vor.
Bei der „Safe Harbor“ Vereinbarung handelt es sich um keinen völkerrechtlichen Vertrag sondern um eine Entscheidung der Europäischen Kommission:
Die EU-Datenschutzrichtlinie 95/46/EG verbietet es grund-sätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EU-Recht ver-gleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EU entsprechen.
Damit Daten weiter fließen konnten hat die Europäische Kommission um 2000 entschieden, das US-Unternehmen dem „Safe Harbor“ beitreten können. Damit verpflichten sich die Unternehmen ein bestimmtes Niveau an Datenschutz einzu-halten; eine Möglichkeit zur Überprüfung der Einhaltung dieser Verpflichtung gibt es allerdings nicht.
Auf Grund des US Patriot Act ist es US-Behörden gestattet, auf Daten von US-Firmen, auch von denjenigen die dem Safe Harbor Abkommen beigetreten sind, zuzugreifen; hinsichtlich der
Niederlassungen und Rechner US-amerikanischer Firmen im Ausland erheben US-Behörden zumindest den Anspruch darauf.
Nicht verkennen sollte man, dass Daten schon lange vor der Einführung von Cloud Computing den Risiken der Ausspähung durch Dritte ausgesetzt waren. Sei es aufgrund unterschiedlicher Rechtsgrundlagen oder im Zuge von kriminellen Aktivitäten wie z. B. Wirtschaftsspionage.
Safe Harbor
» kein völkerrechtlicher Vertrag, sondern eher ein EU-Konstrukt
» US-Firmen verpflichten sich mit „Safe Harbor“ zur Einhaltung eines bestimmten Datenschutz-niveaus
» US-Firmen sind verpflichtet, ihre Daten den US-Behörden preis zu geben
Cloud Computing
Seite 13
Regulatorischer Hintergrund nach AMWHV und EU 6GMP
Es gibt keine Normen, nach der ein Cloud-Anbieter direkt von den für GxP zuständigen Behörden kontrolliert werden könnte. Inspektionen erfolgen hier indirekt über das regulierte Unter-nehmen!
Bei einer Inspektion ist
» die Ist-Situation zu schildern: wer hat Zugriff auf die Cloud, welches Modell wird genutzt, welche Daten sind betroffen.
» über den eindeutig formulierten und umfassenden Dienstleistungsvertrag alle Regelungen wie z. B. Zuständigkeit, Verantwortlichkeit aufzuzeigen
» sowohl die Art und Weise, wie der Dienstleister qualifiziert wurde als auch was qualifiziert wurde nachzuweisen.
Auch die Sicherheitsaspekte (wo liegen die Daten, Zugriffs-steuerung, Sicherheit von Rechenzentrum, Server, Netz, Anwendung, Plattform, Daten, etc.) sollten über die Dienst-leistungsvereinbarung oder die Qualifizierung nachgewiesen sein.
Da das regulierte Unternehmen keinen direkt Einfluss auf die Daten bzw. die Infrastruktur beim Dienstleister hat, muss Cloud Computing wie ein „normales“ ausgelagertes Rechenzentrum behandelt werden. In diesem Zusammenhang kann der Cloud Computing Provider als Lieferant - in diesem Fall Lieferant der Dienstleistung - betrachtet werden: die kritischen Punkte können
nur über Service Level Agreements und / oder Dienstverträgen zufriedenstellend geregelt werden!
Nachstehend werden auszugsweise folgende Regularien betrachtet:
» AMWHV » EU GMP (Vol. 4) und » EU GMP Chapter 7: Outsourced Activities
» Cloud Service Provider unterliegen nicht der Überwachung der für GxP zuständigen Behörden
» Überprüfung daher nur indirekt über das regulierte Unternehmen (Cloud Service Nutzer)
» Im Focus hierbei: » Dienstleistungs- / Abgrenzungsvertrag » Qualifizierung des Cloud Anbieters
» Cloud Computing = Infrastrukturthema
» Risiko bezogen auf Produkt- und Patientensicherheit
Cloud Computing
Seite 14
6.1 AMWHV
Über § 10 AMWHV wird vorgegeben, das "das System ausreichend zu validieren" ist. § 20 schreibt den Ort der Lagerung der Dokumente, in diesem Fall der Daten, vor: gelagert werden müssen diese in den Räumlichkeiten an der Adresse, die in der Erlaubnis steht. - Aus der Vorschrift würde ein Problem entstehen, wenn wir Daten bei einem Cloud-Anbieter lagern würden. Das Votum V11002 (www.zlg.de) der Experten Fach Gruppe 11 (EFG 11) erklärt aber
» das Vorliegen eines validierten Systems,
» eine entsprechende Vereinbarungen (SLA, Dienstleistungsvereinbarung) mit dem Cloud-Anbieter und
» das Vorhandensein eines Terminals in den Räumlichkeiten (Adresse aus Erlaubnis)
als ausreichend, um die Anforderungen des § 20 zu erfüllen.
AMWHV » Die Aufbewahrung muss in […] erfassten
Räumen erfolgen.
EU GMP Vol. 4 - Annex 11 Kapitel 3
» formale Vereinbarungen müssen abgeschlossen sein.
» Kompetenz und Zuverlässigkeit des Lieferanten sind Schlüsselfaktoren
Kapitel 7
» Daten sollten vor Beschädigung geschützt werden. Die Verfügbarkeit, Lesbarkeit und Richtigkeit gespeicherter Daten sollten geprüft werden. Der Zugriff muss gewährleistet sein.
» regelmäßige Sicherungskopien - Möglichkeit der Datenwiederherstellung
Kapitel 12 » Es sollten physikalische und / oder logische
Maßnahmen implementiert sein, um den Zugang zu computergestützten System auf autorisierte Personen zu beschränken.
Cloud Computing
Seite 15
6.2 EudraLex Vol. 4 Annex 11
Die Anwendung soll validiert und die IT Infrastruktur qualifiziert sein:
» Welche Infrastruktur nutzt der Anbieter?
» Wohin gehen die Daten (z. B. BackUp an Drittanbieter?)
» Was passiert nach dem Vertragsende?
Es wird ein Risikomanagement vorausgesetzt. Dabei muss z. B. gewährleistet sein, dass die Daten vor Beschädigung geschützt sind und ein etwaiger Ausfall kompensiert wird.
Regelmäßige Sicherungs- und/oder Backupkopien sind genauso obligatorisch wie das Sicherstellen, das diese gesicherten Daten auch wiedergestellt werden können. Der Zugriff und der Zugang auf das System und die Daten muss auf einen bestimmten Personenkreis beschränkt sein. Der Umfang der Sicherungs-maßnahmen muss der Kritikalität des computergestützten Systems entsprechen.
Ausfälle müssen protokolliert bzw. dokumentiert und veröffentlicht, Ursachen untersucht werden. Viele Provider werden dieser Anforderung ungern nachkommen.
Wie also erfährt man vom Cloud-Anbieter überhaupt davon?
Für ein reguliertes Unternehmen ist es entscheidend, das genau diese Anforderung mit allen Bedingungen in entsprechende Vereinbarungen (SLA) mit dem Cloud-Anbieter eingearbeitet werden. Das regulierte Unternehmen ist nach wie vor verantwortlich für seine Daten!
EU GMP Vol. 4 - Annex 11 Kapitel 13 » Alle Vorfälle, nicht nur Systemausfälle und
Datenfehler, sollten berichtet und bewertet werden. ...
Kapitel 16 » Wenn computergestützte Systeme kritische
Prozesse unterstützten, sollten Vorkehrungen getroffen sein, um die fortlaufende Unterstützung dieser Prozesse im Falle eines Systemausfalls sicherzustellen […]. Diese Verfahren sollten angemessen dokumentiert und getestet werden.
EU GMP Vol. 4 - Kapitel 4 » Es sollten sichere, und soweit angezeigt,
validierte Kontrollmaßnahmen vorhanden sein, mit denen die Vollständigkeit und Richtigkeit der Protokolle während der Aufbewahrungszeit sichergestellt wird.
Cloud Computing
Seite 16
6.3 EudraLex Vol. 4 Chapter 7
Der EU GMP Vol. 4 Kapitel 7 behandelt besonders die aus-gelagerten Aktivitäten („Outsourced Activities“):
» 7.1 - 7.4 behandelt allgemeine Themen, » 7.4 - 7.8 die Anforderungen an den Auftraggeber, also an
das regulierte Unternehmen, » 7.9 - 7.13 die Anforderungen an den Auftragnehmer, also
an den Anbieter des Cloud Services und » 7.14 - 7.17 die Anforderungen an die vertraglichen
Vereinbarungen zwischen den beiden Parteien.
Die Anforderungen an das regulierte Unternehmen lesen sich vertraut, bestehende Regularien werden konsequent ange-wendet:
» Jede ausgelagerte Aktivität muss vom regulierten Unter-nehmen kontrolliert und geprüft werden
» Das regulierte Unternehmen ist verantwortlich für die Kontrolle, das die ausgelagerten Prozesse funktionieren.
» Qualitäts-Risikomanagement muss angewendet werden » Der Cloud-Anbieter muss auch darauf geprüft und aus-
gesucht werden, ob sein Angebot der eigenen Rechtslage und -anforderungen entspricht, für die relevanten Prozesse geeignet ist und er belegen kann, das er über die Kompetenzen verfügt, die Aufgabe zu erfüllen.
Die Aktivitäten des Cloud-Anbieters müssen vom regulierten Unternehmen ebenso wie die Dokumentation des Cloud-Anbieters überwacht und kontrolliert werden.
EU GMP Vol. 4 Chapter 7
» 7.4 The pharmaceutical quality system of the Contract Giver should include the control and review of any outsourced activities. The Contract Giver is ultimately responsible to ensure processes are in place to assure the control of outsourced activities. These processes should incorporate quality risk management principles and notably include:
» 7.5 Prior to outsourcing activities, the Contract Giver is responsible for assessing the legality, suitability and the competence of the Contract Acceptor to carry out successfully the outsourced activities. […]
» 7.7 The Contract Giver should monitor and review the performance of the Contract Acceptor and the identification and implementation of any needed improvement.
» 7.8 The Contract Giver should be responsible for reviewing and assessing the records and the results related to the outsourced activities. […]
Cloud Computing
Seite 17
Zusammenfassung 7
Die Nutzung des Cloud Computings bedeutet für GxP-relevante Prozesse nicht den Wegfall von Qualifizierung und Validierung. Nur kann das regulierte Unternehmen nicht im vollen Umfang (der sich nach dem gewählten Modell bestimmt) selbst aktiv werden, sondern muss den Cloud Service Provider - durch entsprechend enge Zusammenarbeit und Regelungen in Dienst-leistungsvereinbarungen bzw. SLAs in die Pflicht nehmen.
Der große Vorteil vom Cloud Computing ist die Skalierbarkeit und die Erreichbarkeit. Der Zugriff auf Daten ist von nahezu jedem Ort der Welt möglich. Die Einrichtung eines weiteren Systems ist üblicher Weise problemlos möglich, ebenso wie die Erweiterung bestehender Systeme. So stellt eine Erhöhung der Benutzer von 50 auf 200 Anwendern keine große Umstellung seitens des Cloud Nutzers dar. Für non-GxP-Systeme stellt Cloud Computing bereits jetzt eine gute Alternative zum eigenen Rechenzentrum dar.
Gerade für den Mittelstand kann Cloud Computing eine großartige Gelegenheit bieten, Kosten und Aufwand für IT-Infrastruktur zu senken bzw. in einem abschätzbaren Rahmen zu halten. Es zeichnet sich ein Trend ab, nach dem die ersten Cloud Computing Anbieter Systeme in einer validen Umgebung aufbauen (z. B. EMC), was die Nutzung in naher Zukunft auch für GxP-relevante Systeme interessant macht.
Wir beraten Sie gerne bei der Auswahl des richtigen Profils für Ihr Cloud Computing und bei der Entscheidung für den richtigen Provider.
Beschreibung der Ist-Situation » Private Cloud, Public
Cloud (etc.)? » Saas, PaaS, IaaS,
XaaS? » Welche Daten,
welche Prozesse? Wo?
Dienstleistungs-vereinbarung / SLA » Zeitpunkt / Aktualität » Regelungslücken » Überschneidungen /
Eindeutigkeit
» Wichtigster Hebel für Inspektionen!
Qualifizierung des Dienstleisters
» Zeitpunkt » Wer? Team? » Audit,
aussagekräftiger Bericht
» Umfang und Gegenstand
» Zertifizierung? Qualitätssystem?
Sicherheit » Wer hat die Kontrolle? » Wo befinden sich die
Daten, wer sichert sie, wer hat Zugriff?
» Gibt es immer Zugriff? » Sicherheit von
Rechenzentrum, Server, Netz, Anwendung, Plattform, Daten, etc.
Cloud Computing
Seite 18
Nützliche Links 8
1) „Cloud Computing Grundlagen“ beim BSI: https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.html
2) „Cloud Computing” bei der ENISA: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
3) „The NIST Definition of Cloud Computing“ als pdf: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
4) AMWHV Gesetzestext beim BMJ: http://www.gesetze-im-internet.de/amwhv/index.html
5) EFG-Votum V11002 „Anforderung an die Aufbewahrung elektronischer Daten“ als pdf bei der ZLG:
https://www.zlg.de/index.php?eID=tx_nawsecuredl&u=0&file=fileadmin/downloads/AM/QS/V11002.pdf&hash=ab62f5e8cc49d2f2885b5
802415e10c1fef614d0
6) EudraLex, der EU-GMP: http://ec.europa.eu/health/documents/eudralex/index_en.htm
7) EudraLex Vol. 4 Chapter 7, Outsourced Activities als pdf: http://ec.europa.eu/health/files/eudralex/vol-4/vol4-chap7_2012-06_en.pdf
8) Entscheidung zum „sicheren Hafen“ als pdf: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:215:0007:0047:DE:PDF
9) „IETF bezweifelt Vertrauenswürdigkeit von NIST“ bei heise: http://www.heise.de/newsticker/meldung/NSA-Skandal-IETF-bezweifelt-
Vertrauenswuerdigkeit-der-NIST-2042800.html
10) „EU-Parlament stellt Safe-Harbor-Abkommen in Frage“ bei heise: http://www.heise.de/newsticker/meldung/EU-Parlament-stellt-Safe-
Harbor-Abkommen-in-Frage-2059084.html
11) Microsoft verweigert Behörden Zugriff auf Daten aus irischem Rechenzentrum: http://www.golem.de/news/cloud-durchsuchung-
microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html
12) Microsoft denkt über Cloud-Server in Deutschland nach: http://www.rp-online.de/digitales/microsoft-plant-nach-nsa-enthuellungen-eine-
deutsche-cloud-aid-1.4527250
Cloud Computing
Seite 19
Kontakt 9
Für weitere Fragen nehmen Sie gerne Kontakt mit unserem Senior Sales Manager Dr. Jürgen Schnellmann per Email auf: [email protected].
Über den Autor 10
Ralf Eßling beschäftigt sich seit über 10 Jahren mit dem Thema Cloud Computing und seit einiger Zeit auch hinsichtlich der Qualifizierung der Anbieter (Cloud Service Provider). Auch seine Erfahrungen aus Unternehmen im regulierten Umfeld fließen in seine Arbeit ein.
Profil der Thescon GmbH 11
Thescon ist der Beratungsspezialist für die Prozessindustrie. Wir optimieren Ihre Geschäftsprozesse und setzen Ihre Geschäftsstrategien um. Unsere Mitarbeiter führen Ihre Projekte qualifiziert und effizient durch. Aufgrund unserer Spezialisierung bieten wir eine hohe Lösungskompetenz, die uns von anderen Anbietern differenziert und uns ausmacht. Dieser Mehrwert ist Ihr Vorteil. Er lässt Sie sicher an Ihr Ziel kommen und nachhaltig Ihr Geschäft umsetzen. Ob Strategie und Management, Prozesse und Compliance oder Projekte, wir sind auf allen Ebenen Profis. Unser Ziel ist die Tragfähigkeit und die Umsetzbarkeit der Konzepte und der damit verbundene Nutzen für Ihr Unternehmen.
Wir übernehmen Verantwortung und machen Ihr Unternehmen erfolgreicher.
» Name Thescon GmbH
» Hauptsitz Bodenstr. 20 35606 Solms
» Geschäftsführung Dr. Claus Breer Dr. Hans-Werner Velten
» Gegenstand des Unternehmens Organisations- und Prozessberatung für die Prozessindustrie
» Zielmärkte Chemie, Pharma, Kosmetik, Lebensmittel, Medizintechnik
Cloud Computing
Seite 20
© Copyright Thescon GmbH, Solms, 2014
» Alle Rechte vorbehalten.
» Der Inhalt dieses Dokuments unterliegt dem Urheberrecht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen bedürfen der
vorherigen schriftlichen Genehmigung durch die Thescon GmbH, Solms. Jede Vervielfältigung ist nur gestattet unter der Bedingung, dass
dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst erhalten bleibt. Jede Veröffentlichung oder jede Übersetzung
bedarf der vorherigen schriftlichen Einwilligung durch die Thescon GmbH, Solms.
» Für den Namen „Thescon“ besteht Markenschutz.
» Thescon.de, Thescon.net und Thescon.com sind Domänen der Thescon GmbH
» Thescon GmbH | Bodenstr. 20 | 35606 Solms
» Geschäftsführende Gesellschafter: Dr. Claus Breer, Dr. Hans-Werner Velten
» Handelsregister Wetzlar HRB 5472, USt-ID DE 256079719
