Was bedeutet Lieferantenqualifizierung im GxP-Cloud-Kontext?

Unter Lieferantenqualifizierung im GxP-Umfeld versteht man die systematische, risikobasierte Bewertung, Überwachung und Dokumentation von Cloud-Service-Providern (z. B. SaaS, PaaS oder IaaS), um die Einhaltung regulatorischer Anforderungen sowie die Sicherheit von Patienten, Produkten und Daten sicherzustellen.

Das Positionspapier stellt klar:
Lieferantenqualifizierung ist zwingend erforderlich – ein Vor-Ort-Audit hingegen nicht automatisch.
Ob und in welcher Form Audits durchgeführt werden, soll konsequent aus der Risikobewertung abgeleitet werden.

Zentrale Aussagen des Positionspapiers

Risikobasierter Ansatz statt pauschaler Auditpflicht

SAP und DSAG betonen, dass internationale Regularien (u. a. EU-GMP-Leitfaden, Annex 11, AMWHV, GAMP 5) zwar eine Lieferantenqualifizierung fordern, die konkrete Ausgestaltung jedoch risikobasiert erfolgen muss. Entscheidend sind unter anderem:

• GxP-Relevanz der ausgelagerten Aktivität
• Einfluss auf Produktqualität, Patientensicherheit und Datenintegrität
• Art des Cloud-Services (SaaS, PaaS, IaaS)
• Erfahrung, Reifegrad und Marktstellung des Anbieters

Geteilte Verantwortung zwischen Unternehmen und Cloud-Anbieter

Auch wenn die regulatorische Verantwortung beim GxP-regulierten Unternehmen verbleibt, fordert das Positionspapier eine konsequente Umsetzung der „Shared Responsibility“. Cloud-Service-Provider sollen durch:

• ein etabliertes Qualitätsmanagementsystem,
• transparente Dokumentation und
• standardisierte Nachweise

aktiv zur Risikominimierung beitragen. Diese Nachweise sollten stärker in die Lieferantenbewertung einfließen.

Differenzierte Audit-Strategien

Das Papier ordnet verschiedene Audit-Formen ein – vom einfachen Assessment über Fragebogen-basierte Prüfungen bis hin zu Gruppen- oder Vor-Ort-Audits. Der klare Fokus:
Audit-Aufwände sollen sich an tatsächlichen Risiken orientieren und nicht pauschal erfolgen.

Rolle von SOC2, C5 und SOC2+GxP

Ein wesentlicher Hebel zur Effizienzsteigerung liegt laut SAP und DSAG in der Nutzung standardisierter, unabhängiger Prüfberichte wie SOC2 oder C5.
Als zukunftsweisend wird die Weiterentwicklung zu SOC2+GxP-Berichten beschrieben. Ein SOC2+ Bericht kann um branchenspezifische Anforderungen wie GxP erweitert werden und damit Lücken z.B. bei den Themen Training, Qualifizierung und Verfahrensanweisungen schließen.

Zielbild: Strukturierter, effizienter Qualifizierungsprozess

Das Positionspapier beschreibt einen klar strukturierten Zielprozess – von der Kritikalitätsbewertung über die Sichtung verfügbarer Dokumentation und eine GAP-Analyse bis hin zu abgestuften Folgeschritten.

Dabei wird in dem anvisierten, neuen Prozess zur Lieferantenqualifizierung die Bewertung von zur Verfügung stehender Dokumentation (wie SOC2, C5-Reports) als Mitigation des Lieferantenrisikos vorgeschlagen. Eine eventuelle Lücke zwischen Lieferantendokumentation und Anforderungen des regulierten Unternehmens wird festgestellt und auf dieser Basis des verbleibenden Lieferantenrisikos wird über die Durchführung eines (Vor-Ort-) Audits entschieden.

Das Ergebnis: Umfassende und effektive Lieferantenqualifizierung von Cloud-Service-Providern bei gleichzeitiger Reduktion des Aufwands für notwendige Audits.

Jetzt Positionspapier herunterladen

Das vollständige Positionspapier liefert detaillierte Einblicke in:

• regulatorische Grundlagen,
• konkrete Bewertungs- und Entscheidungslogiken,
• in das Zielbild: Künftiger Ablauf der Lieferantenqualifizierung,
• Praxisbeispiele und empfohlene Prozessschritte.

➡️ Hier können Sie das Positionspapier herunterladen und im Detail nachlesen:

https://impulsant-dsag.de/formate/textbeitrag/lieferantenqualifizierung