Wissen - Life Sciences News - Topics - Downloads - Newsletter
Kontakt
Rob Stijlen
Rob Stijlen
Home | Newsletter | UPDATE 2 | 2017 | Cloud Computing im GxP-regulierten Bereich
19. Juli 2017

Cloud Computing im GxP‐regulierten Bereich Wie Sie Life Sciences spezifische Herausforderungen meistern

Über achtzig Prozent der Unternehmen in der Life Sciences Branche haben bereits eine Cloud Computing Solution oder planen demnächst eine einzuführen – dies zeigte die 2016 von ARCONDIS unter zwölf Unternehmen durchgeführte Umfrage. Aufgrund hoher Unsicherheit bezüglich regulatorischer Anforderungen werden die Dienste aber häufig dort eingesetzt, wo die Risiken hinsichtlich Compliance und Datenschutz gering sind.

 

Mehr Flexibilität durch Cloud‐Lösungen

Cloud Computing hat als einer der bedeutendsten Technologietrends das Potenzial, die Nutzung und Bereitstellung von Informationen nachhaltig zu verbessern.

  • Die Cloud bietet einfache und flexible Möglichkeiten, um neue Funktionen zu implementieren.
  • Sie erlaubt orts‐ und zeitunabhängigen Zugriff auf Daten von allen Endgeräten (Notebook, Smartphone …).
  • Durch Outsourcing von IT Services können die Kosten für Wartung und Betreuung reduziert und Teilverantwortung an Geschäftspartner abgegeben werden (Zugriff auf Know‐how, Technik und Personal).

Je nach Art der Cloud‐Lösung ändern sich die Verantwortlichkeiten für Hardware, Infrastruktur und Software wie beispielsweise die Frage, wer Softwareupdates auf Unbedenklichkeit prüft und entscheidet, ob sie aufgespielt werden dürfen, oder wer für die Schnittstelle zur Cloud verantwortlich ist. Unabhängig von der gewählten Lösung bleibt die Gesamtverantwortung jedoch immer beim Cloud‐Service‐Kunden.

 

Augen auf bei der Wahl des Cloud Computing Anbieters

Um die GxP Compliance sicherzustellen, spielt neben der Art des Servicemodells auch die Wahl des konkreten Serviceanbieters eine erhebliche Rolle. Branchenübergreifende Anbieter konzentrieren sich häufig lediglich auf die technische Bereitstellung der Cloud selbst – für Unternehmen im GxP‐regulierten Bereich reicht das allein aber nicht aus. Auf die Life Sciences spezialisierte Cloud‐Anbieter hingegen fahren eine andere Strategie und verstehen die Sicherstellung der Compliance als Teil ihres Services. Beispielsweise gibt es IaaS‐ und PaaS‐Anbieter, die die Installation Qualification (IQ), Operational Qualification (OQ) und Performance Qualification (PQ) für ihre Kunden durchführen. Ebenso gibt es Anbieter von SaaS‐Lösungen in Clinical und Regulatory, die die IQ und OQ gewährleisten, während der Kunde für das User Acceptance Testing (UAT) mit Fokus auf Daten sowie kundenspezifische Change Requests verantwortlich ist.

 

Cloud Computing

 

Wie sich zeigt, verlagert sich bei der Nutzung von Cloud‐Services der Fokus von der Sicherstellung des GxP‐konformen Betriebs zu einem umfassenden Compliance‐gerechten Supplier Management. Strategisches und qualitätsbezogenes Lieferantenmanagement stärkt die Compliance in vielen kritischen Geschäftsprozessen der Wertschöpfungskette auch über die Cloud hinaus, beispielsweise im Management von CROs bei klinischen Studien oder von CMOs in der Arzneimittelherstellung.

 

Cloud Computing

 

GxP‐ und Non‐GxP‐Hürden meistern

Unabhängig vom gewählten Cloud‐Servicemodell und -Anbieter ist im GxP‐regulierten Bereich eine exakte Risikoabschätzung unerlässlich. Dabei müssen auch der Prozess und die Verantwortlichkeiten zwischen dem Cloud Computing Anbieter und dem Business genau abgestimmt und definiert werden. Im Falle eines externen Cloud‐Anbieters muss im Rahmen eines Audits sichergestellt werden, dass dessen Qualitätssystem valide ist. Zudem empfehlen wir, Rechte und Pflichten beider Parteien für wiederkehrende Dienste in einem Service Level Agreement zu regeln

Neben der Verfügbarkeit der Systeme und Daten müssen auch die Datenintegrität, Vertraulichkeit und der Schutz personenbezogener Daten sichergestellt werden – unabhängig davon, ob die Cloud in einem GxP‐regulierten Bereich eingesetzt wird oder nicht. Auch hier sind die richtige Risikoabschätzung und Umsetzung auf alle Prozesse zentral. Dabei müssen Themen geprüft werden wie der Speicherort personenbezogener Daten, rollenbasierte Zugriffskonzepte, physische Zugangsbeschränkungen, das heisst Schutz vor Zugriff Unbefugter innerhalb und ausserhalb der Cloud, sowie der physische Standort der Server zur rechtlichen Absicherung.

Für die Datenintegrität gelten dieselben Anforderungen wie bei der internen IT. Daten müssen manipulations‐ und löschsicher gespeichert werden. Dabei ist auch die Integrität von Daten beim Transfer von und zum Cloud‐Serviceprovider sicherzustellen. Dies ist besonders dann schwierig, wenn ausgelagerte Systeme zahlreiche Datenschnittstellen aufweisen.

Dass sich diese komplexen Anforderungen unter einen Hut bringen lassen, ist bereits mehrfach bewiesen. So hat ARCONDIS für ein Life Sciences Unternehmen unter Berücksichtigung der regulatorischen Bestimmungen eine cloudbasierte CRM‐Lösung eingeführt. Dabei wurden Aussendienstmitarbeiter mehrerer Business‐Abteilungen mit einer einfach zu bedienenden, touchfähigen Tablet‐Applikation ausgestattet, in welche alle relevanten Systeme wie Master Data Management, Business Intelligence Reporting und externe Datenprovider integriert wurden.

 

Wichtige Fragen, die geklärt werden müssen:

  • Sind die Daten jederzeit verfügbar?
  • Ist die Datenintegrität sichergestellt, das heisst, besteht ein ausreichender Schutz vor Manipulationen?
  • Wie ist der Anbieter intern aufgebaut? Gibt es zum Beispiel ein QMS und ISMS?
  • Welche vertraglichen Garantien werden abgegeben wie bspw. eine Konventionalstrafe, wenn die Verfügbarkeit nicht gegeben ist?
  • Gibt es andere GxP‐Referenzkunden und inwiefern ist GxP‐Wissen beim Serviceprovider vorhanden?
  • Gibt es Sublieferanten? Wenn ja, wie sind ihre QM‐Prozesse aufgebaut?
  • Können die Daten zum Cloud‐Service‐Kunden zurücktransferiert werden?

Dr. André Geiser, Thomas Ritzengruber‐Marlovits


Das könnte Sie auch interessieren: