Cloud Computing im regulierten Umfeld - Stand August 2014 Dr. Jürgen Schnellmann Senior Sales Manager Mobil +49 (0) ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cloud Computing im regulierten Umfeld Stand August 2014 Dr. Jürgen Schnellmann Senior Sales Manager j.schnellmann@thescon.de Mobil +49 (0) 173/7844890
Cloud Computing Inhalt 1 Freiheit und Möglichkeiten von Cloud Computing ................................................. 3 2 Definition und Begriffsbestimmung ........................................................................ 4 3 Cloud Computing Eigenschaften nach NIST ............................................................ 5 4 Welche Arten von Cloud Computing gibt es? ......................................................... 6 4.1 Cloud Computing Arten: Dienste Modell ..................................................................... 7 4.2 Cloud Computing: Nutzer Modell ................................................................................ 8 4.3 Praktische Relevanz für die regulierte Industrie .......................................................... 9 5 Der Standort macht’s ............................................................................................ 11 6 Regulatorischer Hintergrund nach AMWHV und EU GMP ................................... 13 6.1 AMWHV...................................................................................................................... 14 6.2 EudraLex Vol. 4 Annex 11........................................................................................... 15 6.3 EudraLex Vol. 4 Chapter 7 .......................................................................................... 16 7 Zusammenfassung ................................................................................................ 17 8 Nützliche Links ...................................................................................................... 18 9 Kontakt .................................................................................................................. 19 10 Über den Autor ................................................................................................... 19 11 Profil der Thescon GmbH .................................................................................... 19 Seite 2
Cloud Computing 1 Freiheiten und Möglichkeiten des Cloud Computings Im Allgemeinen verbindet man mit Cloud Computing den Zugriff Rechenleistung. Wegen unterschiedlicher nationaler auf Daten und/oder Dienste „von überall aus über das Internet“, Gesetzgebungen (z. B. Datenschutz, Zugriff durch Sicherheits- unabhängig vom Endgerät, also vom Client. behörden) kommt somit auch dem Sitz des Cloud Service Providers und dessen IT-Infrastruktur maßgebliche Bedeutung Eine Anwendung in der Pharma- und Medizintechnik bedarf zu. besonderer Betrachtung, insbesondere dann, wenn die über die Cloud angebotenen Daten und/oder Dienste die Patienten- sicherheit, die Produktqualität und/oder die Datenintegrität betrifft; hier finden die bekannten Regularien ihre Anwendung. Über das Internet lässt sich auf Daten und Dienste zugreifen, z. Cloud Computing B. auf Emails, auf Dokumente oder auch Musik und Filme, ebenso lassen sich Daten ortsunabhängig speichern. Und dabei » Zugriff von überall aus ist es egal, ob der Zugriff mit einem Smartphone, einem Unix- » Zugriff auf Daten und / oder Dienstleistungen Rechner, einem Windows-Laptop oder einem iPad erfolgt: meist erfolgt er über eine frei verfügbare Software, normalerweise » Zugriff normalerweise über frei verfüg-bare über den Browser. Software (Browser) Durch Smartphones und Tablet-PCs erfolgt der Zugriff auch » ortsunabhängige Speicherung von Daten immer häufiger über Apps, also spezielle auf die Bedürfnisse der » Sicherheitsfragen (Standort, Regularien) Cloud-Anwendung zugeschnittene Programme. Weiterhin ist zu beachten, wo der Cloud Service Provider - also der Lieferant - seinen Sitz hat und wo seine IT-Infrastruktur ansässig ist. Letzten Endes muss Cloud Computing genauso behandelt werden wie ein ausgelagertes Rechenzentrum, das - je nach Art - reine Rechnerinfrastruktur, ein Betriebssystem in dem Anwendungen noch bestimmt und installiert werden müssen oder einzelne Programme oder Anwendungen zur Verfügung stellt; klassisches Outsourcing oder Offshoring von Seite 3
Cloud Computing 2 Definition und Begriffsbestimmung Es gibt keine allgemein anerkannte Definition für Cloud Computing. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) begründet man das wie folgt: „In Publikationen oder Vorträgen werden häufig Definitionen verwendet, die sich zwar meist ähneln, aber die doch immer wieder variieren. Eine Definition, die in Fachkreisen meist herangezogen wird, ist die Definition der US-amerikanischen Standardisierungsstelle NIST.“ Die Definition des National Institute of Standards and Technology (NIST), die auch von der European Network and Information Security Agency (ENISA) verwendet wird: „Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und über- all bequem über ein Netz auf einen ge- teilten Pool von konfigurierbaren Rechnerresourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und Auf der Internet-Seite des BSI zum Cloud Computing findet sich eine ähnliche Definition wie die des NIST. mit minimalem Managementaufwand oder geringer Serviceprovider-Inter- aktion zur Verfügung gestellt werden können.“ Seite 4
Cloud Computing 3 Cloud Computing Eigenschaften nach NIST Das NIST definiert weiter auch die fünf essentiellen Eigen- schaften des Cloud Computings: Wichtiger Hinweis: 1. On-demand Self Service: » Mit der Resource Pooling Definition ist Der Zugriff auf den Dienst läuft automatisch, ohne Interaktion mit dem Cloud-Anbieter ab, genauso auch gleich bereits ein wichtiger Punkt wie eine Provisionierung der Ressourcen. Niemand angesprochen: man weiß als Anwender muss beim Anbieter manuell etwas zur Verfügung nicht oder zumindest nicht exakt, wo die stellen (abgesehen von der ersten, einmaligen Daten liegen oder die Datenverarbeitung Einrichtung). örtlich stattfindet. Als reguliertes 2. Broad Network Access: Unternehmen muss man deswegen mit Der Dienst wird über das Internet mit Standard- einem Anbieter eine entsprechende Mechanismen zur Verfügung gestellt und kann mit Vereinbarung (SLA) abschließen, die genau (fast) allen Endgeräten genutzt werden. das regelt: wo werden meine Daten 3. Resource Pooling: gelagert (und gesichert) und wo findet ggf. In aller Regel wird der Dienst nicht exklusiv einem eine Datenverarbeitung statt. Ohne diese Abnehmer zur Verfügung gestellt, sondern Vielen, Möglichkeit ist Cloud Computing im die sich das Angebot teilen. (siehe Hinweis !) regulierten Umfeld undenkbar! 4. Rapid Elasticity: Der Anwender nutzt den Dienst einfach, der ihm je nach Anwendungsbedarf flexibel zur Verfügung gestellt wird. 5. Measured Services: Die Nutzung der Ressourcen des Cloud-Dienstes kann gemessen und überwacht werden und damit auch dem Nutzer zur Verfügung (und in Rechnung) gestellt werden. Seite 5
Cloud Computing 4 Welche Arten von Cloud Computing gibt es? 2. Wer hat Zugang zur Cloud, wer kann die Daten nutzen: Die 1. Welche Dienste werden überhaupt zur Verfügung gestellt: z. Bandbreite reicht dabei von einzelnen Nutzern bis hin zum B. nur Speicherplatz oder bekomme ich auch weitere weltweit unbeschränkten Zugriff. Funktionen, z. B. eine funktionierende Tabellenkalkulation angeboten? Es werden Dienste von rudimentärer Infrastruktur bis hin zu speziellen Anwendungen zur Verfügung gestellt. Welche Dienste werden zur Wer kann den oder die Dienste Verfügung gestellt? nutzen? » IaaS: » Public Cloud Infrastructure as a Service » Private Cloud » PaaS: » Hybrid Cloud Platform as a Service » Community Cloud » SaaS: Software as a Service (Erläuterungen finden sich auf Seite 8). » ... XaaS Something as a Service Seite 6
Cloud Computing 4.1 Cloud Computing Arten: Dienste Modell Häufig findet man Begriffe wie z. B. Business Process as a Service, Storage as a Service, ERP as a Service o.ä.. Diese werden IaaS: Infrastructure as a Service unter XaaS zusammengefasst, wobei das “X” als Platzhalter Zur Verfügung gestellt wird hier die unterste Infrastruktur, der benutzt wird. Benutzer greift hier auf die bestehenden Systeme zu und administriert seine Recheninstanzen weitestgehend selbst. Der Hauptunterschied zu herkömmlichen Rechenzentren ist die hohe Skalierbarkeit: Je nach Anforderung können die Recheninstanzen hier beliebig erweitert oder verkleinert werden. Der Nutzer trägt ab dem Betriebssystem aufwärts selbst die Verantwortung für die Instanzen. SaaS Anwendungen PaaS: Platform as a Service Der Name der Services ist hier Programm, bei Platform as a Daten Service stellt der Cloud-Anbieter auch wieder die Infrastruktur zur Verfügung, hier findet der Nutzer bereits ein fertig konfi- guriertes Betriebssystem vor. Der Kunde lädt nur noch Anwendungen hoch und die Cloud kümmert sich selbständig um PaaS Betriebssystem die Verarbeitung, Verteilung und ggf. Auslastung. SaaS: Software as a Service Diese Art von Cloud Computing ist wohl am bekanntesten: Virtualisierung Software wird dem Nutzer nicht als Lizenz verkauft, vielmehr steht die Anwendung lediglich zur Nutzung zur Verfügung (z. B. Google Drive, Salesforce CRM, Office 365). Der Anwender / Nutzer des Cloud Services hat auf den eigentlichen Betrieb der IaaS Hardware Cloud so gut wie gar keinen Einfluss mehr. Dieses Modell wird für regulierte Unternehmen am häufigsten in Frage kommen. Netzwerk / Speicher Seite 7
Cloud Computing 4.2 Cloud Computing: Nutzer Modell Das Nutzer Modell stellt darauf ab, wer überhaupt Zugang zur Cloud bekommt: Die Public Cloud ist die Bekannteste: Der Anbieter stellt seine Dienste offen und frei über das Internet zur Verfügung, jeder Public Cloud Internetnutzer kann die Dienste nutzen. Typische Beispiele sind » Die Services können von jedermann genutzt z. B. Freemailer oder die Google-Docs. werden. Die Private Cloud: Der Anbieter stellt seinen Dienst z. B. einem Private Cloud bestimmten Unternehmen zur Verfügung. Hier ist am ehesten zu » Die Services und die Infrastruktur unterstehen erkennen, dass es sich beim Cloud Computing (fast) um ein einer Institution und werden ihr exklusiv genutzt. ausgelagertes Rechenzentrum handelt. Hybrid Cloud Bei der Hybrid Cloud handelt es sich um eine Mischkonstruktion. » z. B. werden aus einer Private Cloud heraus So können z. B. aus einer Private Cloud Dienste einer Public Dienste einer Public Cloud genutzt. Cloud genutzt werden: Sensible Daten werden in einer eigenen Private Cloud gehostet, während die Email-Funktion von einen Community Cloud Freemailer genutzt wird. » die Services werden von mehreren Institutionen Die derzeit noch seltenste Form ist die Community Cloud. Hier mit gleichem Interesse genutzt ist der Nutzerkreis auf eine bestimmte Personengruppe oder wenige Unternehmen beschränkt, die auf die Cloud z. B. im Zuge eines gemeinsamen Projektes zugreifen können. Im Zuge der immer smarter werdenden mobilen Telefone und sogenannter wearables die auch medizinische Daten übertragen, kann sich die Anwendungshäufigkeit aber schon in naher Zukunft ändern. Seite 8
Cloud Computing 4.3 Praktische Relevanz für die regulierte Industrie Je nach Anwendungsbereich kommen für regulierte Unternehmen einige der Dienste Modelle in Frage, am ehesten wohl SaaS oder eine Variante davon als XaaS. Hinsichtlich der Nutzer Modelle kommt die Private Cloud und wohl auch immer mehr die Community Cloud in Frage; immer unter Berück- sichtigung von Datenschutz und den regulatorischen Anforderungen für ausgelagerte Aktivitäten. Das gewählte Dienste Modell wirkt sich auf die Validierung aus: Liegen alle Daten beim regulierten Unternehmen kann auch die gesamte Dokumentation hier erfolgen. Egal welche Software- kategorie nach GAMP5 angesprochen wird, allen gemein ist das mindestens eine IQ vorausgesetzt wird. Da sich diese aber selbst beim IaaS-Modell nicht mehr im direkten Administrationsbereich des regulierten Unternehmens befinden, muss der Cloud Service Provider diese Aktivitäten übernehmen (siehe auch 6 Regulatorischer Hintergrund). Die nachgewiesene Qualifikation (z. B. durch ein Audit) des Lieferanten und ein Vertrag welcher die Verantwortung zwischen Lieferant und Nutzer regelt sind die Voraussetzungen für die kontrollierte Nutzung von solchen Diensten. URS: User Requirement Specification, FS: Functional Specification, DS: Design Specification; IQ: Installation Qualification, OQ: Operational Qualification, PQ: Performance Qualification Seite 9
Cloud Computing Aus dem obigen Beispiel lässt sich folgende Matrix erstellen, die beispielhaft die Verantwortung der Validierungsdokumente darstellt: die mit x markierten Dokumente liegen im Verantwortungsbereich vom Cloud Service Provider, die mit o markierten Dokumente werden vom Servicenehmer, dem regulierten Unternehmen verantwortet. Diese Matrix ist beispielhaft: Selbstverständlich hängen die Verantwortlichkeiten vom Einzelfall ab und ändern sich insbesondere durch Dienstleistungsvereinbarungen, SLAs, Audits und ähnlichem. Infrastructure as a Service Platform as a Service Software as a Service Validation Plan o o o User Requirement Specification o o o Functional Specification o x x Design Specification x x x Installation Qualification x x x Operational Qualification o x x Performance Qualification o o o Validation Report o o o Seite 10
Cloud Computing 5 Der Standort macht’s Der Rechtsweg auf Basis des „US Privacy Act“ gegen potenziell unverhältnismäßige Überwachungsmaßnahmen ist EU-Bürgern Gerade im Hinblick auf regulierte Unternehmen muss man aktuell versperrt; er bleibt US-Bürgern vorbehalten. darauf abstellen, wo die „Cloud“ liegt: es handelt sich hier ja schließlich nach wie vor um einen irdischen Rechner, der im Normalfall den Gesetzen des Landes bzw. der Nation unterliegt, Angestrebtes, aber noch nicht in dem er steht und betrieben wird. verabschiedetes Datenschutzabkommen Häufig stammen die Anbieter aus den Vereinigten Staaten von zwischen EU und USA Amerika bzw. betreiben dort ihre Server-Anlagen. Hier ist das „Datenschutzabkommen zwischen der EU und den USA“ („Safe USA: Habor Agreement“) interessant, das aktuell rege diskutiert wird. » geltendes amerikanisches Recht darf nicht Zu unterschiedlich sind die Positionen der EU und der USA: tangiert werden » Unternehmensdaten für Strafverfolgungszwecke » Unternehmensdaten, die z. B. bei Cloud-Anbietern wie ohne Benachrichtigung nutzen Amazon, Google, Microsoft oder Apple gelagert werden, » FOIA reicht aus, um auch EU-Bürgern Zugang zu sollen für Strafverfolgungszwecke genutzt werden können, ohne Benachrichtigung des betroffenen US-Behördenakten zu verschaffen Unternehmens - so die amerikanische Position -. EU: » Der Freedom of Information Act (FOIA) der USA soll auch » Rechte auf Korrektur, Löschen, Blockade für EU-Bürger ausreichend sein. Praktisch jedoch wird die Einsicht verwehrt, wie man z. B. an dem Streit um die personenbezogener Informationen Einsicht in die vom Department of Homeland Security » Recht auf Schutz personenbezogener Daten aufbewahrten Flugpassagierdaten sieht. » Datenschutz ist ein Grundrecht » In der EU existiert das Recht auf Korrektur, Löschen und Blockieren von personenbezogenen Daten. Aktuell: » Der in der EU angewandte Begriff der » US Privacy Act nur für US-Bürger; EU-Bürger ist „Verhältnismäßigkeit“ (gespeicherte Daten sollten dem der Rechtsweg verwehrt Grund angepasst und nicht zu umfangreich sein) bei der » US-Behörden haben Zugriff auf alle Daten Datennutzung, -speicherung und -analyse stößt in den » Rechtsunsicherheit / Widerspruch zum EU-Recht USA auf Unverständnis. » Unterschiedliche Ansichten (Verhältnismäßigkeit) Seite 11
Cloud Computing Aufgrund des recht großen Widerspruchs zum EU- Niederlassungen und Rechner US-amerikanischer Firmen im Datenschutzrecht herrscht Rechtsunsicherheit, z. B. bei den Ausland erheben US-Behörden zumindest den Anspruch darauf. unterschiedlichen Ansichten zur Verhältnismäßigkeit: Nicht verkennen sollte man, dass Daten schon lange vor der Speicherdauer, Weitergabe von Daten an andere Behörden oder Einführung von Cloud Computing den Risiken der Ausspähung Drittstaaten, Aufsichts- und Kontroll-Instanzen und deren durch Dritte ausgesetzt waren. Sei es aufgrund unterschiedlicher Rechte, etc.. Während das EU Recht vorsieht, dass die Rechtsgrundlagen oder im Zuge von kriminellen Aktivitäten wie gespeicherten Daten inkl. Umfang, Dauer, Weitergabe, etc. dem z. B. Wirtschaftsspionage. Anlass entsprechen müssen (es muss z. B. nicht der vollständige Lebenslauf von jemanden gespeichert werden, der zu schnell gefahren und dabei erwischt wurde) sehen amerikanischen Behörden eine umfassendere Speicherung vor. Bei der „Safe Harbor“ Vereinbarung handelt es sich um keinen völkerrechtlichen Vertrag sondern um eine Entscheidung der Europäischen Kommission: Safe Harbor Die EU-Datenschutzrichtlinie 95/46/EG verbietet es grund- sätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in » kein völkerrechtlicher Vertrag, sondern eher ein Staaten zu übertragen, die über kein dem EU-Recht ver- EU-Konstrukt gleichbares Datenschutzniveau verfügen. Dies trifft auf die USA » US-Firmen verpflichten sich mit „Safe Harbor“ zur zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EU entsprechen. Einhaltung eines bestimmten Datenschutz- niveaus Damit Daten weiter fließen konnten hat die Europäische Kommission um 2000 entschieden, das US-Unternehmen dem » US-Firmen sind verpflichtet, ihre Daten den US- „Safe Harbor“ beitreten können. Damit verpflichten sich die Behörden preis zu geben Unternehmen ein bestimmtes Niveau an Datenschutz einzu- halten; eine Möglichkeit zur Überprüfung der Einhaltung dieser Verpflichtung gibt es allerdings nicht. Auf Grund des US Patriot Act ist es US-Behörden gestattet, auf Daten von US-Firmen, auch von denjenigen die dem Safe Harbor Abkommen beigetreten sind, zuzugreifen; hinsichtlich der Seite 12
Cloud Computing 6 Regulatorischer Hintergrund nach AMWHV und EU nur über Service Level Agreements und / oder Dienstverträgen GMP zufriedenstellend geregelt werden! Es gibt keine Normen, nach der ein Cloud-Anbieter direkt von Nachstehend werden auszugsweise folgende Regularien den für GxP zuständigen Behörden kontrolliert werden könnte. betrachtet: Inspektionen erfolgen hier indirekt über das regulierte Unter- » AMWHV nehmen! » EU GMP (Vol. 4) und Bei einer Inspektion ist » EU GMP Chapter 7: Outsourced Activities » die Ist-Situation zu schildern: wer hat Zugriff auf die Cloud, welches Modell wird genutzt, welche Daten sind betroffen. » über den eindeutig formulierten und umfassenden » Cloud Service Provider unterliegen nicht der Dienstleistungsvertrag alle Regelungen wie z. B. Zuständigkeit, Verantwortlichkeit aufzuzeigen Überwachung der für GxP zuständigen Behörden » sowohl die Art und Weise, wie der Dienstleister » Überprüfung daher nur indirekt über das qualifiziert wurde als auch was qualifiziert wurde regulierte Unternehmen (Cloud Service Nutzer) nachzuweisen. » Im Focus hierbei: Auch die Sicherheitsaspekte (wo liegen die Daten, Zugriffs- » Dienstleistungs- / Abgrenzungsvertrag steuerung, Sicherheit von Rechenzentrum, Server, Netz, » Qualifizierung des Cloud Anbieters Anwendung, Plattform, Daten, etc.) sollten über die Dienst- leistungsvereinbarung oder die Qualifizierung nachgewiesen » Cloud Computing = Infrastrukturthema sein. » Risiko bezogen auf Produkt- und Da das regulierte Unternehmen keinen direkt Einfluss auf die Patientensicherheit Daten bzw. die Infrastruktur beim Dienstleister hat, muss Cloud Computing wie ein „normales“ ausgelagertes Rechenzentrum behandelt werden. In diesem Zusammenhang kann der Cloud Computing Provider als Lieferant - in diesem Fall Lieferant der Dienstleistung - betrachtet werden: die kritischen Punkte können Seite 13
Cloud Computing 6.1 AMWHV Über § 10 AMWHV wird vorgegeben, das "das System AMWHV ausreichend zu validieren" ist. § 20 schreibt den Ort der Lagerung » Die Aufbewahrung muss in […] erfassten der Dokumente, in diesem Fall der Daten, vor: gelagert werden Räumen erfolgen. müssen diese in den Räumlichkeiten an der Adresse, die in der Erlaubnis steht. - Aus der Vorschrift würde ein Problem EU GMP Vol. 4 - Annex 11 entstehen, wenn wir Daten bei einem Cloud-Anbieter lagern Kapitel 3 würden. Das Votum V11002 (www.zlg.de) der Experten Fach » formale Vereinbarungen müssen abgeschlossen Gruppe 11 (EFG 11) erklärt aber sein. » das Vorliegen eines validierten Systems, » Kompetenz und Zuverlässigkeit des Lieferanten » eine entsprechende Vereinbarungen (SLA, sind Schlüsselfaktoren Dienstleistungsvereinbarung) mit dem Cloud-Anbieter und Kapitel 7 » das Vorhandensein eines Terminals in den » Daten sollten vor Beschädigung geschützt Räumlichkeiten (Adresse aus Erlaubnis) werden. Die Verfügbarkeit, Lesbarkeit und als ausreichend, um die Anforderungen des § 20 zu erfüllen. Richtigkeit gespeicherter Daten sollten geprüft werden. Der Zugriff muss gewährleistet sein. » regelmäßige Sicherungskopien - Möglichkeit der Datenwiederherstellung Kapitel 12 » Es sollten physikalische und / oder logische Maßnahmen implementiert sein, um den Zugang zu computergestützten System auf autorisierte Personen zu beschränken. Seite 14
Cloud Computing 6.2 EudraLex Vol. 4 Annex 11 Die Anwendung soll validiert und die IT Infrastruktur qualifiziert sein: EU GMP Vol. 4 - Annex 11 Kapitel 13 » Welche Infrastruktur nutzt der Anbieter? » Alle Vorfälle, nicht nur Systemausfälle und » Wohin gehen die Daten (z. B. BackUp an Drittanbieter?) » Was passiert nach dem Vertragsende? Datenfehler, sollten berichtet und bewertet werden. ... Es wird ein Risikomanagement vorausgesetzt. Dabei muss z. B. gewährleistet sein, dass die Daten vor Beschädigung geschützt Kapitel 16 sind und ein etwaiger Ausfall kompensiert wird. » Wenn computergestützte Systeme kritische Regelmäßige Sicherungs- und/oder Backupkopien sind genauso Prozesse unterstützten, sollten Vorkehrungen obligatorisch wie das Sicherstellen, das diese gesicherten Daten getroffen sein, um die fortlaufende auch wiedergestellt werden können. Der Zugriff und der Zugang Unterstützung dieser Prozesse im Falle eines auf das System und die Daten muss auf einen bestimmten Systemausfalls sicherzustellen […]. Diese Personenkreis beschränkt sein. Der Umfang der Sicherungs- Verfahren sollten angemessen dokumentiert maßnahmen muss der Kritikalität des computergestützten und getestet werden. Systems entsprechen. Ausfälle müssen protokolliert bzw. dokumentiert und EU GMP Vol. 4 - Kapitel 4 veröffentlicht, Ursachen untersucht werden. Viele Provider » Es sollten sichere, und soweit angezeigt, werden dieser Anforderung ungern nachkommen. validierte Kontrollmaßnahmen vorhanden sein, Wie also erfährt man vom Cloud-Anbieter überhaupt davon? mit denen die Vollständigkeit und Richtigkeit der Protokolle während der Aufbewahrungszeit Für ein reguliertes Unternehmen ist es entscheidend, das genau sichergestellt wird. diese Anforderung mit allen Bedingungen in entsprechende Vereinbarungen (SLA) mit dem Cloud-Anbieter eingearbeitet werden. Das regulierte Unternehmen ist nach wie vor verantwortlich für seine Daten! Seite 15
Cloud Computing 6.3 EudraLex Vol. 4 Chapter 7 Der EU GMP Vol. 4 Kapitel 7 behandelt besonders die aus- gelagerten Aktivitäten („Outsourced Activities“): EU GMP Vol. 4 Chapter 7 » 7.1 - 7.4 behandelt allgemeine Themen, » 7.4 The pharmaceutical quality system of the » 7.4 - 7.8 die Anforderungen an den Auftraggeber, also an Contract Giver should include the control and das regulierte Unternehmen, review of any outsourced activities. The » 7.9 - 7.13 die Anforderungen an den Auftragnehmer, also Contract Giver is ultimately responsible to ensure an den Anbieter des Cloud Services und » 7.14 - 7.17 die Anforderungen an die vertraglichen processes are in place to assure the control of Vereinbarungen zwischen den beiden Parteien. outsourced activities. These processes should incorporate quality risk management principles Die Anforderungen an das regulierte Unternehmen lesen sich vertraut, bestehende Regularien werden konsequent ange- and notably include: wendet: » 7.5 Prior to outsourcing activities, the Contract » Jede ausgelagerte Aktivität muss vom regulierten Unter- Giver is responsible for assessing the legality, nehmen kontrolliert und geprüft werden suitability and the competence of the Contract » Das regulierte Unternehmen ist verantwortlich für die Acceptor to carry out successfully the outsourced Kontrolle, das die ausgelagerten Prozesse funktionieren. activities. […] » Qualitäts-Risikomanagement muss angewendet werden » Der Cloud-Anbieter muss auch darauf geprüft und aus- » 7.7 The Contract Giver should monitor and gesucht werden, ob sein Angebot der eigenen Rechtslage review the performance of the Contract und -anforderungen entspricht, für die relevanten Acceptor and the identification and Prozesse geeignet ist und er belegen kann, das er über implementation of any needed improvement. die Kompetenzen verfügt, die Aufgabe zu erfüllen. » 7.8 The Contract Giver should be responsible for Die Aktivitäten des Cloud-Anbieters müssen vom regulierten reviewing and assessing the records and the Unternehmen ebenso wie die Dokumentation des Cloud- Anbieters überwacht und kontrolliert werden. results related to the outsourced activities. […] Seite 16
Cloud Computing 7 Zusammenfassung Die Nutzung des Cloud Computings bedeutet für GxP-relevante Beschreibung der Ist- Dienstleistungs- Prozesse nicht den Wegfall von Qualifizierung und Validierung. Nur kann das regulierte Unternehmen nicht im vollen Umfang Situation vereinbarung / SLA (der sich nach dem gewählten Modell bestimmt) selbst aktiv » Private Cloud, Public » Zeitpunkt / Aktualität werden, sondern muss den Cloud Service Provider - durch Cloud (etc.)? » Regelungslücken entsprechend enge Zusammenarbeit und Regelungen in Dienst- » Saas, PaaS, IaaS, » Überschneidungen / leistungsvereinbarungen bzw. SLAs in die Pflicht nehmen. XaaS? Eindeutigkeit Der große Vorteil vom Cloud Computing ist die Skalierbarkeit » Welche Daten, » Wichtigster Hebel für und die Erreichbarkeit. Der Zugriff auf Daten ist von nahezu welche Prozesse? Inspektionen! jedem Ort der Welt möglich. Die Einrichtung eines weiteren Wo? Systems ist üblicher Weise problemlos möglich, ebenso wie die Erweiterung bestehender Systeme. So stellt eine Erhöhung der Benutzer von 50 auf 200 Anwendern keine große Umstellung seitens des Cloud Nutzers dar. Für non-GxP-Systeme stellt Cloud Qualifizierung des Sicherheit Computing bereits jetzt eine gute Alternative zum eigenen Dienstleisters » Wer hat die Kontrolle? Rechenzentrum dar. » Wo befinden sich die » Zeitpunkt Gerade für den Mittelstand kann Cloud Computing eine » Wer? Team? Daten, wer sichert sie, großartige Gelegenheit bieten, Kosten und Aufwand für IT- » Audit, wer hat Zugriff? Infrastruktur zu senken bzw. in einem abschätzbaren Rahmen zu aussagekräftiger » Gibt es immer Zugriff? halten. Es zeichnet sich ein Trend ab, nach dem die ersten Cloud » Sicherheit von Computing Anbieter Systeme in einer validen Umgebung Bericht aufbauen (z. B. EMC), was die Nutzung in naher Zukunft auch für » Umfang und Rechenzentrum, Server, GxP-relevante Systeme interessant macht. Gegenstand Netz, Anwendung, » Zertifizierung? Plattform, Daten, etc. Wir beraten Sie gerne bei der Auswahl des richtigen Profils für Ihr Cloud Computing und bei der Entscheidung für den richtigen Qualitätssystem? Provider. Seite 17
Cloud Computing 8 Nützliche Links 1) „Cloud Computing Grundlagen“ beim BSI: https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.html 2) „Cloud Computing” bei der ENISA: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing 3) „The NIST Definition of Cloud Computing“ als pdf: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf 4) AMWHV Gesetzestext beim BMJ: http://www.gesetze-im-internet.de/amwhv/index.html 5) EFG-Votum V11002 „Anforderung an die Aufbewahrung elektronischer Daten“ als pdf bei der ZLG: https://www.zlg.de/index.php?eID=tx_nawsecuredl&u=0&file=fileadmin/downloads/AM/QS/V11002.pdf&hash=ab62f5e8cc49d2f2885b5 802415e10c1fef614d0 6) EudraLex, der EU-GMP: http://ec.europa.eu/health/documents/eudralex/index_en.htm 7) EudraLex Vol. 4 Chapter 7, Outsourced Activities als pdf: http://ec.europa.eu/health/files/eudralex/vol-4/vol4-chap7_2012-06_en.pdf 8) Entscheidung zum „sicheren Hafen“ als pdf: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:215:0007:0047:DE:PDF 9) „IETF bezweifelt Vertrauenswürdigkeit von NIST“ bei heise: http://www.heise.de/newsticker/meldung/NSA-Skandal-IETF-bezweifelt- Vertrauenswuerdigkeit-der-NIST-2042800.html 10) „EU-Parlament stellt Safe-Harbor-Abkommen in Frage“ bei heise: http://www.heise.de/newsticker/meldung/EU-Parlament-stellt-Safe- Harbor-Abkommen-in-Frage-2059084.html 11) Microsoft verweigert Behörden Zugriff auf Daten aus irischem Rechenzentrum: http://www.golem.de/news/cloud-durchsuchung- microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html 12) Microsoft denkt über Cloud-Server in Deutschland nach: http://www.rp-online.de/digitales/microsoft-plant-nach-nsa-enthuellungen-eine- deutsche-cloud-aid-1.4527250 Seite 18
Cloud Computing 9 Kontakt Für weitere Fragen nehmen Sie gerne Kontakt mit unserem Senior Sales Manager Dr. Jürgen Schnellmann per Email auf: j.schnellmann@thescon.de. 10 Über den Autor Ralf Eßling beschäftigt sich seit über 10 Jahren mit dem Thema Cloud Computing und seit einiger Zeit auch hinsichtlich der Qualifizierung der Anbieter (Cloud Service Provider). Auch seine Erfahrungen aus Unternehmen im regulierten Umfeld fließen in seine Arbeit ein. 11 Profil der Thescon GmbH » Name Thescon GmbH » Hauptsitz Bodenstr. 20 35606 Solms » Geschäftsführung Dr. Claus Breer Dr. Hans-Werner Velten » Gegenstand des Unternehmens Organisations- und Prozessberatung für die Prozessindustrie » Zielmärkte Chemie, Pharma, Kosmetik, Lebensmittel, Medizintechnik Thescon ist der Beratungsspezialist für die Prozessindustrie. Wir optimieren Ihre Geschäftsprozesse und setzen Ihre Geschäftsstrategien um. Unsere Mitarbeiter führen Ihre Projekte qualifiziert und effizient durch. Aufgrund unserer Spezialisierung bieten wir eine hohe Lösungskompetenz, die uns von anderen Anbietern differenziert und uns ausmacht. Dieser Mehrwert ist Ihr Vorteil. Er lässt Sie sicher an Ihr Ziel kommen und nachhaltig Ihr Geschäft umsetzen. Ob Strategie und Management, Prozesse und Compliance oder Projekte, wir sind auf allen Ebenen Profis. Unser Ziel ist die Tragfähigkeit und die Umsetzbarkeit der Konzepte und der damit verbundene Nutzen für Ihr Unternehmen. Wir übernehmen Verantwortung und machen Ihr Unternehmen erfolgreicher. Seite 19
Cloud Computing © Copyright Thescon GmbH, Solms, 2014 » Alle Rechte vorbehalten. » Der Inhalt dieses Dokuments unterliegt dem Urheberrecht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen bedürfen der vorherigen schriftlichen Genehmigung durch die Thescon GmbH, Solms. Jede Vervielfältigung ist nur gestattet unter der Bedingung, dass dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst erhalten bleibt. Jede Veröffentlichung oder jede Übersetzung bedarf der vorherigen schriftlichen Einwilligung durch die Thescon GmbH, Solms. » Für den Namen „Thescon“ besteht Markenschutz. » Thescon.de, Thescon.net und Thescon.com sind Domänen der Thescon GmbH » Thescon GmbH | Bodenstr. 20 | 35606 Solms » Geschäftsführende Gesellschafter: Dr. Claus Breer, Dr. Hans-Werner Velten » Handelsregister Wetzlar HRB 5472, USt-ID DE 256079719 Seite 20
Sie können auch lesen