Cloud Computing im regulierten Umfeld - Stand August 2014 Dr. Jürgen Schnellmann Senior Sales Manager Mobil +49 (0) ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cloud Computing im regulierten Umfeld Stand August 2014 Dr. Jürgen Schnellmann Senior Sales Manager j.schnellmann@thescon.de Mobil +49 (0) 173/7844890
Cloud Computing
Inhalt
1 Freiheit und Möglichkeiten von Cloud Computing ................................................. 3
2 Definition und Begriffsbestimmung ........................................................................ 4
3 Cloud Computing Eigenschaften nach NIST ............................................................ 5
4 Welche Arten von Cloud Computing gibt es? ......................................................... 6
4.1 Cloud Computing Arten: Dienste Modell ..................................................................... 7
4.2 Cloud Computing: Nutzer Modell ................................................................................ 8
4.3 Praktische Relevanz für die regulierte Industrie .......................................................... 9
5 Der Standort macht’s ............................................................................................ 11
6 Regulatorischer Hintergrund nach AMWHV und EU GMP ................................... 13
6.1 AMWHV...................................................................................................................... 14
6.2 EudraLex Vol. 4 Annex 11........................................................................................... 15
6.3 EudraLex Vol. 4 Chapter 7 .......................................................................................... 16
7 Zusammenfassung ................................................................................................ 17
8 Nützliche Links ...................................................................................................... 18
9 Kontakt .................................................................................................................. 19
10 Über den Autor ................................................................................................... 19
11 Profil der Thescon GmbH .................................................................................... 19
Seite 2Cloud Computing
1 Freiheiten und Möglichkeiten des Cloud Computings
Im Allgemeinen verbindet man mit Cloud Computing den Zugriff Rechenleistung. Wegen unterschiedlicher nationaler
auf Daten und/oder Dienste „von überall aus über das Internet“, Gesetzgebungen (z. B. Datenschutz, Zugriff durch Sicherheits-
unabhängig vom Endgerät, also vom Client. behörden) kommt somit auch dem Sitz des Cloud Service
Providers und dessen IT-Infrastruktur maßgebliche Bedeutung
Eine Anwendung in der Pharma- und Medizintechnik bedarf
zu.
besonderer Betrachtung, insbesondere dann, wenn die über die
Cloud angebotenen Daten und/oder Dienste die Patienten-
sicherheit, die Produktqualität und/oder die Datenintegrität
betrifft; hier finden die bekannten Regularien ihre Anwendung.
Über das Internet lässt sich auf Daten und Dienste zugreifen, z. Cloud Computing
B. auf Emails, auf Dokumente oder auch Musik und Filme,
ebenso lassen sich Daten ortsunabhängig speichern. Und dabei » Zugriff von überall aus
ist es egal, ob der Zugriff mit einem Smartphone, einem Unix- » Zugriff auf Daten und / oder Dienstleistungen
Rechner, einem Windows-Laptop oder einem iPad erfolgt: meist
erfolgt er über eine frei verfügbare Software, normalerweise » Zugriff normalerweise über frei verfüg-bare
über den Browser. Software (Browser)
Durch Smartphones und Tablet-PCs erfolgt der Zugriff auch » ortsunabhängige Speicherung von Daten
immer häufiger über Apps, also spezielle auf die Bedürfnisse der
» Sicherheitsfragen (Standort, Regularien)
Cloud-Anwendung zugeschnittene Programme.
Weiterhin ist zu beachten, wo der Cloud Service Provider - also
der Lieferant - seinen Sitz hat und wo seine IT-Infrastruktur
ansässig ist.
Letzten Endes muss Cloud Computing genauso behandelt
werden wie ein ausgelagertes Rechenzentrum, das - je nach Art -
reine Rechnerinfrastruktur, ein Betriebssystem in dem
Anwendungen noch bestimmt und installiert werden müssen
oder einzelne Programme oder Anwendungen zur Verfügung
stellt; klassisches Outsourcing oder Offshoring von
Seite 3Cloud Computing
2 Definition und Begriffsbestimmung
Es gibt keine allgemein anerkannte Definition für Cloud
Computing. Beim Bundesamt für Sicherheit in der
Informationstechnik (BSI) begründet man das wie folgt: „In
Publikationen oder Vorträgen werden häufig Definitionen
verwendet, die sich zwar meist ähneln, aber die doch immer
wieder variieren. Eine Definition, die in Fachkreisen meist
herangezogen wird, ist die Definition der US-amerikanischen
Standardisierungsstelle NIST.“
Die Definition des National Institute of Standards and
Technology (NIST), die auch von der European Network and
Information Security Agency (ENISA) verwendet wird:
„Cloud Computing ist ein Modell, das es
erlaubt bei Bedarf, jederzeit und über-
all bequem über ein Netz auf einen ge-
teilten Pool von konfigurierbaren
Rechnerresourcen (z. B. Netze, Server,
Speichersysteme, Anwendungen und
Dienste) zuzugreifen, die schnell und Auf der Internet-Seite des BSI zum Cloud Computing findet sich eine
ähnliche Definition wie die des NIST.
mit minimalem Managementaufwand
oder geringer Serviceprovider-Inter-
aktion zur Verfügung gestellt werden
können.“
Seite 4Cloud Computing
3 Cloud Computing Eigenschaften nach NIST
Das NIST definiert weiter auch die fünf essentiellen Eigen-
schaften des Cloud Computings:
Wichtiger Hinweis:
1. On-demand Self Service:
» Mit der Resource Pooling Definition ist
Der Zugriff auf den Dienst läuft automatisch, ohne
Interaktion mit dem Cloud-Anbieter ab, genauso auch gleich bereits ein wichtiger Punkt
wie eine Provisionierung der Ressourcen. Niemand angesprochen: man weiß als Anwender
muss beim Anbieter manuell etwas zur Verfügung nicht oder zumindest nicht exakt, wo die
stellen (abgesehen von der ersten, einmaligen Daten liegen oder die Datenverarbeitung
Einrichtung). örtlich stattfindet. Als reguliertes
2. Broad Network Access: Unternehmen muss man deswegen mit
Der Dienst wird über das Internet mit Standard- einem Anbieter eine entsprechende
Mechanismen zur Verfügung gestellt und kann mit Vereinbarung (SLA) abschließen, die genau
(fast) allen Endgeräten genutzt werden.
das regelt: wo werden meine Daten
3. Resource Pooling: gelagert (und gesichert) und wo findet ggf.
In aller Regel wird der Dienst nicht exklusiv einem eine Datenverarbeitung statt. Ohne diese
Abnehmer zur Verfügung gestellt, sondern Vielen,
Möglichkeit ist Cloud Computing im
die sich das Angebot teilen. (siehe Hinweis !)
regulierten Umfeld undenkbar!
4. Rapid Elasticity:
Der Anwender nutzt den Dienst einfach, der ihm
je nach Anwendungsbedarf flexibel zur Verfügung
gestellt wird.
5. Measured Services:
Die Nutzung der Ressourcen des Cloud-Dienstes
kann gemessen und überwacht werden und damit
auch dem Nutzer zur Verfügung (und in Rechnung)
gestellt werden.
Seite 5Cloud Computing
4 Welche Arten von Cloud Computing gibt es?
2. Wer hat Zugang zur Cloud, wer kann die Daten nutzen: Die
1. Welche Dienste werden überhaupt zur Verfügung gestellt: z.
Bandbreite reicht dabei von einzelnen Nutzern bis hin zum
B. nur Speicherplatz oder bekomme ich auch weitere
weltweit unbeschränkten Zugriff.
Funktionen, z. B. eine funktionierende Tabellenkalkulation
angeboten? Es werden Dienste von rudimentärer
Infrastruktur bis hin zu speziellen Anwendungen zur
Verfügung gestellt.
Welche Dienste werden zur Wer kann den oder die Dienste
Verfügung gestellt? nutzen?
» IaaS: » Public Cloud
Infrastructure as a Service » Private Cloud
» PaaS: » Hybrid Cloud
Platform as a Service » Community Cloud
» SaaS:
Software as a Service (Erläuterungen finden sich auf Seite 8).
» ... XaaS
Something as a Service
Seite 6Cloud Computing
4.1 Cloud Computing Arten: Dienste Modell Häufig findet man Begriffe wie z. B. Business Process as a
Service, Storage as a Service, ERP as a Service o.ä.. Diese werden
IaaS: Infrastructure as a Service
unter XaaS zusammengefasst, wobei das “X” als Platzhalter
Zur Verfügung gestellt wird hier die unterste Infrastruktur, der benutzt wird.
Benutzer greift hier auf die bestehenden Systeme zu und
administriert seine Recheninstanzen weitestgehend selbst. Der
Hauptunterschied zu herkömmlichen Rechenzentren ist die hohe
Skalierbarkeit: Je nach Anforderung können die Recheninstanzen
hier beliebig erweitert oder verkleinert werden. Der Nutzer trägt
ab dem Betriebssystem aufwärts selbst die Verantwortung für
die Instanzen.
SaaS Anwendungen
PaaS: Platform as a Service
Der Name der Services ist hier Programm, bei Platform as a Daten
Service stellt der Cloud-Anbieter auch wieder die Infrastruktur
zur Verfügung, hier findet der Nutzer bereits ein fertig konfi-
guriertes Betriebssystem vor. Der Kunde lädt nur noch
Anwendungen hoch und die Cloud kümmert sich selbständig um PaaS Betriebssystem
die Verarbeitung, Verteilung und ggf. Auslastung.
SaaS: Software as a Service
Diese Art von Cloud Computing ist wohl am bekanntesten: Virtualisierung
Software wird dem Nutzer nicht als Lizenz verkauft, vielmehr
steht die Anwendung lediglich zur Nutzung zur Verfügung (z. B.
Google Drive, Salesforce CRM, Office 365). Der Anwender /
Nutzer des Cloud Services hat auf den eigentlichen Betrieb der IaaS Hardware
Cloud so gut wie gar keinen Einfluss mehr.
Dieses Modell wird für regulierte Unternehmen am häufigsten in
Frage kommen.
Netzwerk / Speicher
Seite 7Cloud Computing
4.2 Cloud Computing: Nutzer Modell
Das Nutzer Modell stellt darauf ab, wer überhaupt Zugang zur
Cloud bekommt:
Die Public Cloud ist die Bekannteste: Der Anbieter stellt seine
Dienste offen und frei über das Internet zur Verfügung, jeder Public Cloud
Internetnutzer kann die Dienste nutzen. Typische Beispiele sind » Die Services können von jedermann genutzt
z. B. Freemailer oder die Google-Docs. werden.
Die Private Cloud: Der Anbieter stellt seinen Dienst z. B. einem Private Cloud
bestimmten Unternehmen zur Verfügung. Hier ist am ehesten zu » Die Services und die Infrastruktur unterstehen
erkennen, dass es sich beim Cloud Computing (fast) um ein einer Institution und werden ihr exklusiv genutzt.
ausgelagertes Rechenzentrum handelt.
Hybrid Cloud
Bei der Hybrid Cloud handelt es sich um eine Mischkonstruktion. » z. B. werden aus einer Private Cloud heraus
So können z. B. aus einer Private Cloud Dienste einer Public
Dienste einer Public Cloud genutzt.
Cloud genutzt werden: Sensible Daten werden in einer eigenen
Private Cloud gehostet, während die Email-Funktion von einen Community Cloud
Freemailer genutzt wird. » die Services werden von mehreren Institutionen
Die derzeit noch seltenste Form ist die Community Cloud. Hier
mit gleichem Interesse genutzt
ist der Nutzerkreis auf eine bestimmte Personengruppe oder
wenige Unternehmen beschränkt, die auf die Cloud z. B. im Zuge
eines gemeinsamen Projektes zugreifen können. Im Zuge der
immer smarter werdenden mobilen Telefone und sogenannter
wearables die auch medizinische Daten übertragen, kann sich die
Anwendungshäufigkeit aber schon in naher Zukunft ändern.
Seite 8Cloud Computing
4.3 Praktische Relevanz für die regulierte Industrie
Je nach Anwendungsbereich kommen für regulierte
Unternehmen einige der Dienste Modelle in Frage, am ehesten
wohl SaaS oder eine Variante davon als XaaS. Hinsichtlich der
Nutzer Modelle kommt die Private Cloud und wohl auch immer
mehr die Community Cloud in Frage; immer unter Berück-
sichtigung von Datenschutz und den regulatorischen
Anforderungen für ausgelagerte Aktivitäten.
Das gewählte Dienste Modell wirkt sich auf die Validierung aus:
Liegen alle Daten beim regulierten Unternehmen kann auch die
gesamte Dokumentation hier erfolgen. Egal welche Software-
kategorie nach GAMP5 angesprochen wird, allen gemein ist das
mindestens eine IQ vorausgesetzt wird. Da sich diese aber selbst
beim IaaS-Modell nicht mehr im direkten Administrationsbereich
des regulierten Unternehmens befinden, muss der Cloud Service
Provider diese Aktivitäten übernehmen (siehe auch 6
Regulatorischer Hintergrund).
Die nachgewiesene Qualifikation (z. B. durch ein Audit) des
Lieferanten und ein Vertrag welcher die Verantwortung zwischen
Lieferant und Nutzer regelt sind die Voraussetzungen für die
kontrollierte Nutzung von solchen Diensten.
URS: User Requirement Specification, FS: Functional Specification, DS: Design Specification;
IQ: Installation Qualification, OQ: Operational Qualification, PQ: Performance Qualification
Seite 9Cloud Computing
Aus dem obigen Beispiel lässt sich folgende Matrix erstellen, die beispielhaft die Verantwortung der Validierungsdokumente darstellt: die mit
x markierten Dokumente liegen im Verantwortungsbereich vom Cloud Service Provider, die mit o markierten Dokumente werden vom
Servicenehmer, dem regulierten Unternehmen verantwortet.
Diese Matrix ist beispielhaft: Selbstverständlich hängen die Verantwortlichkeiten vom Einzelfall ab und ändern sich insbesondere durch
Dienstleistungsvereinbarungen, SLAs, Audits und ähnlichem.
Infrastructure as a Service Platform as a Service Software as a Service
Validation Plan o o o
User Requirement
Specification o o o
Functional Specification o x x
Design Specification x x x
Installation Qualification x x x
Operational Qualification o x x
Performance Qualification o o o
Validation Report o o o
Seite 10Cloud Computing
5 Der Standort macht’s Der Rechtsweg auf Basis des „US Privacy Act“ gegen potenziell
unverhältnismäßige Überwachungsmaßnahmen ist EU-Bürgern
Gerade im Hinblick auf regulierte Unternehmen muss man aktuell versperrt; er bleibt US-Bürgern vorbehalten.
darauf abstellen, wo die „Cloud“ liegt: es handelt sich hier ja
schließlich nach wie vor um einen irdischen Rechner, der im
Normalfall den Gesetzen des Landes bzw. der Nation unterliegt, Angestrebtes, aber noch nicht
in dem er steht und betrieben wird. verabschiedetes Datenschutzabkommen
Häufig stammen die Anbieter aus den Vereinigten Staaten von zwischen EU und USA
Amerika bzw. betreiben dort ihre Server-Anlagen. Hier ist das
„Datenschutzabkommen zwischen der EU und den USA“ („Safe USA:
Habor Agreement“) interessant, das aktuell rege diskutiert wird. » geltendes amerikanisches Recht darf nicht
Zu unterschiedlich sind die Positionen der EU und der USA: tangiert werden
» Unternehmensdaten für Strafverfolgungszwecke
» Unternehmensdaten, die z. B. bei Cloud-Anbietern wie ohne Benachrichtigung nutzen
Amazon, Google, Microsoft oder Apple gelagert werden,
» FOIA reicht aus, um auch EU-Bürgern Zugang zu
sollen für Strafverfolgungszwecke genutzt werden
können, ohne Benachrichtigung des betroffenen US-Behördenakten zu verschaffen
Unternehmens - so die amerikanische Position -. EU:
» Der Freedom of Information Act (FOIA) der USA soll auch
» Rechte auf Korrektur, Löschen, Blockade
für EU-Bürger ausreichend sein. Praktisch jedoch wird die
Einsicht verwehrt, wie man z. B. an dem Streit um die personenbezogener Informationen
Einsicht in die vom Department of Homeland Security » Recht auf Schutz personenbezogener Daten
aufbewahrten Flugpassagierdaten sieht. » Datenschutz ist ein Grundrecht
» In der EU existiert das Recht auf Korrektur, Löschen und
Blockieren von personenbezogenen Daten.
Aktuell:
» Der in der EU angewandte Begriff der
» US Privacy Act nur für US-Bürger; EU-Bürger ist
„Verhältnismäßigkeit“ (gespeicherte Daten sollten dem der Rechtsweg verwehrt
Grund angepasst und nicht zu umfangreich sein) bei der » US-Behörden haben Zugriff auf alle Daten
Datennutzung, -speicherung und -analyse stößt in den » Rechtsunsicherheit / Widerspruch zum EU-Recht
USA auf Unverständnis. » Unterschiedliche Ansichten (Verhältnismäßigkeit)
Seite 11Cloud Computing
Aufgrund des recht großen Widerspruchs zum EU- Niederlassungen und Rechner US-amerikanischer Firmen im
Datenschutzrecht herrscht Rechtsunsicherheit, z. B. bei den Ausland erheben US-Behörden zumindest den Anspruch darauf.
unterschiedlichen Ansichten zur Verhältnismäßigkeit:
Nicht verkennen sollte man, dass Daten schon lange vor der
Speicherdauer, Weitergabe von Daten an andere Behörden oder
Einführung von Cloud Computing den Risiken der Ausspähung
Drittstaaten, Aufsichts- und Kontroll-Instanzen und deren
durch Dritte ausgesetzt waren. Sei es aufgrund unterschiedlicher
Rechte, etc.. Während das EU Recht vorsieht, dass die
Rechtsgrundlagen oder im Zuge von kriminellen Aktivitäten wie
gespeicherten Daten inkl. Umfang, Dauer, Weitergabe, etc. dem
z. B. Wirtschaftsspionage.
Anlass entsprechen müssen (es muss z. B. nicht der vollständige
Lebenslauf von jemanden gespeichert werden, der zu schnell
gefahren und dabei erwischt wurde) sehen amerikanischen
Behörden eine umfassendere Speicherung vor.
Bei der „Safe Harbor“ Vereinbarung handelt es sich um keinen
völkerrechtlichen Vertrag sondern um eine Entscheidung der
Europäischen Kommission:
Safe Harbor
Die EU-Datenschutzrichtlinie 95/46/EG verbietet es grund-
sätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in » kein völkerrechtlicher Vertrag, sondern eher ein
Staaten zu übertragen, die über kein dem EU-Recht ver- EU-Konstrukt
gleichbares Datenschutzniveau verfügen. Dies trifft auf die USA » US-Firmen verpflichten sich mit „Safe Harbor“ zur
zu, da diese keine umfassenden gesetzlichen Regelungen
kennen, die den Standards der EU entsprechen.
Einhaltung eines bestimmten Datenschutz-
niveaus
Damit Daten weiter fließen konnten hat die Europäische
Kommission um 2000 entschieden, das US-Unternehmen dem » US-Firmen sind verpflichtet, ihre Daten den US-
„Safe Harbor“ beitreten können. Damit verpflichten sich die Behörden preis zu geben
Unternehmen ein bestimmtes Niveau an Datenschutz einzu-
halten; eine Möglichkeit zur Überprüfung der Einhaltung dieser
Verpflichtung gibt es allerdings nicht.
Auf Grund des US Patriot Act ist es US-Behörden gestattet, auf
Daten von US-Firmen, auch von denjenigen die dem Safe Harbor
Abkommen beigetreten sind, zuzugreifen; hinsichtlich der
Seite 12Cloud Computing
6 Regulatorischer Hintergrund nach AMWHV und EU nur über Service Level Agreements und / oder Dienstverträgen
GMP zufriedenstellend geregelt werden!
Es gibt keine Normen, nach der ein Cloud-Anbieter direkt von Nachstehend werden auszugsweise folgende Regularien
den für GxP zuständigen Behörden kontrolliert werden könnte. betrachtet:
Inspektionen erfolgen hier indirekt über das regulierte Unter- » AMWHV
nehmen! » EU GMP (Vol. 4) und
Bei einer Inspektion ist » EU GMP Chapter 7: Outsourced Activities
» die Ist-Situation zu schildern: wer hat Zugriff auf die Cloud,
welches Modell wird genutzt, welche Daten sind
betroffen.
» über den eindeutig formulierten und umfassenden
» Cloud Service Provider unterliegen nicht der
Dienstleistungsvertrag alle Regelungen wie z. B.
Zuständigkeit, Verantwortlichkeit aufzuzeigen Überwachung der für GxP zuständigen Behörden
» sowohl die Art und Weise, wie der Dienstleister » Überprüfung daher nur indirekt über das
qualifiziert wurde als auch was qualifiziert wurde regulierte Unternehmen (Cloud Service Nutzer)
nachzuweisen.
» Im Focus hierbei:
Auch die Sicherheitsaspekte (wo liegen die Daten, Zugriffs-
» Dienstleistungs- / Abgrenzungsvertrag
steuerung, Sicherheit von Rechenzentrum, Server, Netz,
» Qualifizierung des Cloud Anbieters
Anwendung, Plattform, Daten, etc.) sollten über die Dienst-
leistungsvereinbarung oder die Qualifizierung nachgewiesen » Cloud Computing = Infrastrukturthema
sein.
» Risiko bezogen auf Produkt- und
Da das regulierte Unternehmen keinen direkt Einfluss auf die Patientensicherheit
Daten bzw. die Infrastruktur beim Dienstleister hat, muss Cloud
Computing wie ein „normales“ ausgelagertes Rechenzentrum
behandelt werden. In diesem Zusammenhang kann der Cloud
Computing Provider als Lieferant - in diesem Fall Lieferant der
Dienstleistung - betrachtet werden: die kritischen Punkte können
Seite 13Cloud Computing
6.1 AMWHV
Über § 10 AMWHV wird vorgegeben, das "das System AMWHV
ausreichend zu validieren" ist. § 20 schreibt den Ort der Lagerung » Die Aufbewahrung muss in […] erfassten
der Dokumente, in diesem Fall der Daten, vor: gelagert werden Räumen erfolgen.
müssen diese in den Räumlichkeiten an der Adresse, die in der
Erlaubnis steht. - Aus der Vorschrift würde ein Problem EU GMP Vol. 4 - Annex 11
entstehen, wenn wir Daten bei einem Cloud-Anbieter lagern Kapitel 3
würden. Das Votum V11002 (www.zlg.de) der Experten Fach » formale Vereinbarungen müssen abgeschlossen
Gruppe 11 (EFG 11) erklärt aber
sein.
» das Vorliegen eines validierten Systems, » Kompetenz und Zuverlässigkeit des Lieferanten
» eine entsprechende Vereinbarungen (SLA, sind Schlüsselfaktoren
Dienstleistungsvereinbarung) mit dem Cloud-Anbieter
und Kapitel 7
» das Vorhandensein eines Terminals in den » Daten sollten vor Beschädigung geschützt
Räumlichkeiten (Adresse aus Erlaubnis) werden. Die Verfügbarkeit, Lesbarkeit und
als ausreichend, um die Anforderungen des § 20 zu erfüllen. Richtigkeit gespeicherter Daten sollten geprüft
werden.
Der Zugriff muss gewährleistet sein.
» regelmäßige Sicherungskopien - Möglichkeit der
Datenwiederherstellung
Kapitel 12
» Es sollten physikalische und / oder logische
Maßnahmen implementiert sein, um den Zugang
zu computergestützten System auf autorisierte
Personen zu beschränken.
Seite 14Cloud Computing
6.2 EudraLex Vol. 4 Annex 11
Die Anwendung soll validiert und die IT Infrastruktur qualifiziert
sein: EU GMP Vol. 4 - Annex 11
Kapitel 13
» Welche Infrastruktur nutzt der Anbieter?
» Alle Vorfälle, nicht nur Systemausfälle und
» Wohin gehen die Daten (z. B. BackUp an Drittanbieter?)
» Was passiert nach dem Vertragsende?
Datenfehler, sollten berichtet und bewertet
werden. ...
Es wird ein Risikomanagement vorausgesetzt. Dabei muss z. B.
gewährleistet sein, dass die Daten vor Beschädigung geschützt Kapitel 16
sind und ein etwaiger Ausfall kompensiert wird. » Wenn computergestützte Systeme kritische
Regelmäßige Sicherungs- und/oder Backupkopien sind genauso Prozesse unterstützten, sollten Vorkehrungen
obligatorisch wie das Sicherstellen, das diese gesicherten Daten getroffen sein, um die fortlaufende
auch wiedergestellt werden können. Der Zugriff und der Zugang Unterstützung dieser Prozesse im Falle eines
auf das System und die Daten muss auf einen bestimmten Systemausfalls sicherzustellen […]. Diese
Personenkreis beschränkt sein. Der Umfang der Sicherungs- Verfahren sollten angemessen dokumentiert
maßnahmen muss der Kritikalität des computergestützten
und getestet werden.
Systems entsprechen.
Ausfälle müssen protokolliert bzw. dokumentiert und EU GMP Vol. 4 - Kapitel 4
veröffentlicht, Ursachen untersucht werden. Viele Provider » Es sollten sichere, und soweit angezeigt,
werden dieser Anforderung ungern nachkommen. validierte Kontrollmaßnahmen vorhanden sein,
Wie also erfährt man vom Cloud-Anbieter überhaupt davon? mit denen die Vollständigkeit und Richtigkeit der
Protokolle während der Aufbewahrungszeit
Für ein reguliertes Unternehmen ist es entscheidend, das genau
sichergestellt wird.
diese Anforderung mit allen Bedingungen in entsprechende
Vereinbarungen (SLA) mit dem Cloud-Anbieter eingearbeitet
werden. Das regulierte Unternehmen ist nach wie vor
verantwortlich für seine Daten!
Seite 15Cloud Computing
6.3 EudraLex Vol. 4 Chapter 7
Der EU GMP Vol. 4 Kapitel 7 behandelt besonders die aus-
gelagerten Aktivitäten („Outsourced Activities“): EU GMP Vol. 4 Chapter 7
» 7.1 - 7.4 behandelt allgemeine Themen, » 7.4 The pharmaceutical quality system of the
» 7.4 - 7.8 die Anforderungen an den Auftraggeber, also an Contract Giver should include the control and
das regulierte Unternehmen, review of any outsourced activities. The
» 7.9 - 7.13 die Anforderungen an den Auftragnehmer, also Contract Giver is ultimately responsible to ensure
an den Anbieter des Cloud Services und
» 7.14 - 7.17 die Anforderungen an die vertraglichen
processes are in place to assure the control of
Vereinbarungen zwischen den beiden Parteien. outsourced activities. These processes should
incorporate quality risk management principles
Die Anforderungen an das regulierte Unternehmen lesen sich
vertraut, bestehende Regularien werden konsequent ange-
and notably include:
wendet: » 7.5 Prior to outsourcing activities, the Contract
» Jede ausgelagerte Aktivität muss vom regulierten Unter- Giver is responsible for assessing the legality,
nehmen kontrolliert und geprüft werden suitability and the competence of the Contract
» Das regulierte Unternehmen ist verantwortlich für die Acceptor to carry out successfully the outsourced
Kontrolle, das die ausgelagerten Prozesse funktionieren. activities. […]
» Qualitäts-Risikomanagement muss angewendet werden
» Der Cloud-Anbieter muss auch darauf geprüft und aus- » 7.7 The Contract Giver should monitor and
gesucht werden, ob sein Angebot der eigenen Rechtslage review the performance of the Contract
und -anforderungen entspricht, für die relevanten Acceptor and the identification and
Prozesse geeignet ist und er belegen kann, das er über implementation of any needed improvement.
die Kompetenzen verfügt, die Aufgabe zu erfüllen.
» 7.8 The Contract Giver should be responsible for
Die Aktivitäten des Cloud-Anbieters müssen vom regulierten
reviewing and assessing the records and the
Unternehmen ebenso wie die Dokumentation des Cloud-
Anbieters überwacht und kontrolliert werden. results related to the outsourced activities. […]
Seite 16Cloud Computing
7 Zusammenfassung
Die Nutzung des Cloud Computings bedeutet für GxP-relevante Beschreibung der Ist- Dienstleistungs-
Prozesse nicht den Wegfall von Qualifizierung und Validierung.
Nur kann das regulierte Unternehmen nicht im vollen Umfang Situation vereinbarung / SLA
(der sich nach dem gewählten Modell bestimmt) selbst aktiv » Private Cloud, Public » Zeitpunkt / Aktualität
werden, sondern muss den Cloud Service Provider - durch Cloud (etc.)? » Regelungslücken
entsprechend enge Zusammenarbeit und Regelungen in Dienst- » Saas, PaaS, IaaS, » Überschneidungen /
leistungsvereinbarungen bzw. SLAs in die Pflicht nehmen. XaaS? Eindeutigkeit
Der große Vorteil vom Cloud Computing ist die Skalierbarkeit » Welche Daten, » Wichtigster Hebel für
und die Erreichbarkeit. Der Zugriff auf Daten ist von nahezu welche Prozesse? Inspektionen!
jedem Ort der Welt möglich. Die Einrichtung eines weiteren Wo?
Systems ist üblicher Weise problemlos möglich, ebenso wie die
Erweiterung bestehender Systeme. So stellt eine Erhöhung der
Benutzer von 50 auf 200 Anwendern keine große Umstellung
seitens des Cloud Nutzers dar. Für non-GxP-Systeme stellt Cloud Qualifizierung des Sicherheit
Computing bereits jetzt eine gute Alternative zum eigenen Dienstleisters » Wer hat die Kontrolle?
Rechenzentrum dar. » Wo befinden sich die
» Zeitpunkt
Gerade für den Mittelstand kann Cloud Computing eine » Wer? Team? Daten, wer sichert sie,
großartige Gelegenheit bieten, Kosten und Aufwand für IT- » Audit, wer hat Zugriff?
Infrastruktur zu senken bzw. in einem abschätzbaren Rahmen zu aussagekräftiger » Gibt es immer Zugriff?
halten. Es zeichnet sich ein Trend ab, nach dem die ersten Cloud » Sicherheit von
Computing Anbieter Systeme in einer validen Umgebung
Bericht
aufbauen (z. B. EMC), was die Nutzung in naher Zukunft auch für » Umfang und Rechenzentrum, Server,
GxP-relevante Systeme interessant macht. Gegenstand Netz, Anwendung,
» Zertifizierung? Plattform, Daten, etc.
Wir beraten Sie gerne bei der Auswahl des richtigen Profils für
Ihr Cloud Computing und bei der Entscheidung für den richtigen Qualitätssystem?
Provider.
Seite 17Cloud Computing
8 Nützliche Links
1) „Cloud Computing Grundlagen“ beim BSI: https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.html
2) „Cloud Computing” bei der ENISA: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
3) „The NIST Definition of Cloud Computing“ als pdf: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
4) AMWHV Gesetzestext beim BMJ: http://www.gesetze-im-internet.de/amwhv/index.html
5) EFG-Votum V11002 „Anforderung an die Aufbewahrung elektronischer Daten“ als pdf bei der ZLG:
https://www.zlg.de/index.php?eID=tx_nawsecuredl&u=0&file=fileadmin/downloads/AM/QS/V11002.pdf&hash=ab62f5e8cc49d2f2885b5
802415e10c1fef614d0
6) EudraLex, der EU-GMP: http://ec.europa.eu/health/documents/eudralex/index_en.htm
7) EudraLex Vol. 4 Chapter 7, Outsourced Activities als pdf: http://ec.europa.eu/health/files/eudralex/vol-4/vol4-chap7_2012-06_en.pdf
8) Entscheidung zum „sicheren Hafen“ als pdf: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:215:0007:0047:DE:PDF
9) „IETF bezweifelt Vertrauenswürdigkeit von NIST“ bei heise: http://www.heise.de/newsticker/meldung/NSA-Skandal-IETF-bezweifelt-
Vertrauenswuerdigkeit-der-NIST-2042800.html
10) „EU-Parlament stellt Safe-Harbor-Abkommen in Frage“ bei heise: http://www.heise.de/newsticker/meldung/EU-Parlament-stellt-Safe-
Harbor-Abkommen-in-Frage-2059084.html
11) Microsoft verweigert Behörden Zugriff auf Daten aus irischem Rechenzentrum: http://www.golem.de/news/cloud-durchsuchung-
microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html
12) Microsoft denkt über Cloud-Server in Deutschland nach: http://www.rp-online.de/digitales/microsoft-plant-nach-nsa-enthuellungen-eine-
deutsche-cloud-aid-1.4527250
Seite 18Cloud Computing
9 Kontakt
Für weitere Fragen nehmen Sie gerne Kontakt mit unserem Senior Sales Manager Dr. Jürgen Schnellmann per Email auf:
j.schnellmann@thescon.de.
10 Über den Autor
Ralf Eßling beschäftigt sich seit über 10 Jahren mit dem Thema Cloud Computing und seit einiger Zeit auch hinsichtlich der Qualifizierung der
Anbieter (Cloud Service Provider). Auch seine Erfahrungen aus Unternehmen im regulierten Umfeld fließen in seine Arbeit ein.
11 Profil der Thescon GmbH
» Name Thescon GmbH
» Hauptsitz Bodenstr. 20
35606 Solms
» Geschäftsführung Dr. Claus Breer
Dr. Hans-Werner Velten
» Gegenstand des Unternehmens Organisations- und Prozessberatung für die Prozessindustrie
» Zielmärkte Chemie, Pharma, Kosmetik, Lebensmittel, Medizintechnik
Thescon ist der Beratungsspezialist für die Prozessindustrie. Wir optimieren Ihre Geschäftsprozesse und setzen Ihre Geschäftsstrategien um.
Unsere Mitarbeiter führen Ihre Projekte qualifiziert und effizient durch. Aufgrund unserer Spezialisierung bieten wir eine hohe
Lösungskompetenz, die uns von anderen Anbietern differenziert und uns ausmacht. Dieser Mehrwert ist Ihr Vorteil. Er lässt Sie sicher an Ihr
Ziel kommen und nachhaltig Ihr Geschäft umsetzen. Ob Strategie und Management, Prozesse und Compliance oder Projekte, wir sind auf
allen Ebenen Profis. Unser Ziel ist die Tragfähigkeit und die Umsetzbarkeit der Konzepte und der damit verbundene Nutzen für Ihr
Unternehmen.
Wir übernehmen Verantwortung und machen Ihr Unternehmen erfolgreicher.
Seite 19Cloud Computing
© Copyright Thescon GmbH, Solms, 2014
» Alle Rechte vorbehalten.
» Der Inhalt dieses Dokuments unterliegt dem Urheberrecht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen bedürfen der
vorherigen schriftlichen Genehmigung durch die Thescon GmbH, Solms. Jede Vervielfältigung ist nur gestattet unter der Bedingung, dass
dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst erhalten bleibt. Jede Veröffentlichung oder jede Übersetzung
bedarf der vorherigen schriftlichen Einwilligung durch die Thescon GmbH, Solms.
» Für den Namen „Thescon“ besteht Markenschutz.
» Thescon.de, Thescon.net und Thescon.com sind Domänen der Thescon GmbH
» Thescon GmbH | Bodenstr. 20 | 35606 Solms
» Geschäftsführende Gesellschafter: Dr. Claus Breer, Dr. Hans-Werner Velten
» Handelsregister Wetzlar HRB 5472, USt-ID DE 256079719
Seite 20Sie können auch lesen
