Dropbox und FDA 21 CFR Part 11 – ein Überblick
Die Informationen in diesem Artikel richten sich an alle Dropbox-Nutzer, sofern nicht anders angegeben.
Was ist 21 CFR Part 11?
Title 21 der US-amerikanischen Sammlung der Bundesverordnungen CFR (Code of Federal Regulations) regelt Lebensmittel und Arzneimittel in den USA für die Lebensmittel- und Arzneimittelbehörde FDA (Food and Drug Administration), die Drogenbekämpfungsbehörde DEA (Drug Enforcement Administration) und das Büro für Nationale Drogenkontrollpolitik ONDCP (Office of National Drug Control Policy). Part 11 des Title 21 legt die Kriterien dar, unter denen die FDA elektronische Datensätze und Signaturen als glaubhaft, vertrauenswürdig und im Allgemeinen gleichwertig mit Papierdatensätzen und auf Papier handschriftlich angefertigten Signaturen erachtet.
Der Abschnitt „Electronic Records“ unter Part 11 legt die Anforderungen hinsichtlich der Kontrollmechanismen geschlossener und offener elektronischer Buchführungssysteme, sowie die bei der Verknüpfung von Signaturen und elektronischen Datensätzen zu berücksichtigenden Voraussetzungen dar.
Weitere Informationen zu dieser Bestimmung, einschließlich einer Auflistung erforderlicher Verfahren und Kontrollmechanismen, finden Sie auf der Seite Electronic Codes of Regulations. Im August 2003 gab die FDA außerdem Leitlinien für Part 11 heraus.
Inwiefern unterstützt Dropbox mich bei der Erfüllung der Vorgaben unter 21 CFR Part 11 für elektronische Datensätze?
Dropbox hat unabhängige externe Auditoren damit beauftragt, unsere Systeme und Kontrollmechanismen regelmäßig auf Einhaltung der weltweit am weitesten verbreiteten Sicherheitsnormen und -bestimmungen wie SOC 1 und SOC 2 Type II, ISO/IEC 27001 und ISO/IEC 27018 zu prüfen. Diese Audits werden mindestens einmal im Jahr von international anerkannten Audit- und Sicherheitsunternehmen vorgenommen, die ihre Prüfungen unabhängig und mit größter Sorgfalt durchführen.
Auch wenn 21 CFR Part 11 nicht im Kern dieser Audits steht, sind ihr Zweck und ihre Ziele mit denen von Part 11 vergleichbar. Sie sind ebenfalls auf Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Schutz Ihrer Daten ausgerichtet. Obwohl die Einhaltung Ihrer behördlichen Verpflichtungen letztendlich bei Ihnen liegt, können Sie diese Berichte zur Durchführung Ihrer eigenen Risikoanalyse gemäß 21 CFR Part 11 nutzen.
Welche Dropbox-Audits, Berichte und Zertifizierungen können mir bei der Erfüllung der Vorgaben helfen?
Dropbox ermöglicht Kunden, verschiedene Audit-Berichte und Zertifizierungen abzurufen, die die Effektivität der von Dropbox implementierten Kontrollmechanismen bestätigen.
Eine Liste dieser Berichte und Zertifizierungen finden Sie auf unserer Compliance-Seite. Die für 21 CFR Part 11 relevantesten Punkte werden in unserem SOC 3-Bericht und der ISO 27001-Zertifizierung behandelt, die im Dropbox Trust Center bereitgestellt werden. Weitere Einzelheiten zu diesen Kontrollmechanismen finden Sie in unserem SOC 2-Bericht und unserem FDA 21 CFR-Whitepaper, die ebenfalls im Dropbox Trust Center verfügbar sind.
Auf das Dropbox Trust Center zugreifen
Hinweis: Sie können Ihre Dropbox-Anmeldedaten nicht nutzen, um auf das Dropbox Trust Center zuzugreifen.
Sie müssen sich anmelden, um auf alle Berichte und Dokumentationen zugreifen zu können. So fordern Sie Zugriff an:
- Navigieren Sie zu trust.dropbox.com.
- Klicken Sie oben rechts auf Zugriff anfordern.
- Geben Sie Ihre geschäftliche E-Mail-Adresse ein und klicken Sie dann auf Weiter.
- Geben Sie Ihre Daten ein und klicken Sie auf Anfrage senden.
Sobald Sie sich registriert haben, können Sie auf vertrauliche und öffentliche Berichte und Dokumente zugreifen.
Hinweis: Für den Zugriff auf bestimmte private Dokumente müssen Sie möglicherweise eine Geheimhaltungsvereinbarung unterzeichnen. Das ist aber ganz einfach im Trust Center möglich.
Was bedeutet dies für Dropbox Sign und elektronische Signaturen?
Gegenwärtig können Dropbox und Dropbox Sign hinsichtlich elektronischer Signaturen keine Compliance-Unterstützung für 21 CFR Part 11 anbieten.
