Deze leverancierskwaliteitsaanvulling (de “SQA”) wordt aangegaan door en tussen SG Systems, LLC, een vennootschap met beperkte aansprakelijkheid, opgericht en bestaande onder de wetten van de staat Texas, met haar hoofdkantoor gevestigd te 6944 Meadowbriar Lane, Dallas, TX 75230 (“leverancier”), en de persoon of entiteit die de Provider Master Services Agreement (“ ").

Doel. Deze SQA definieert het operationele kwaliteitskader en de verantwoordelijkheden die het gereguleerde gebruik van de software en diensten van de leverancier door de klant ondersteunen. Dit omvat verwachtingen met betrekking tot wijzigingsbeheer, afhandeling van incidenten/kwaliteitsproblemen, auditondersteuning, validatieondersteuning (indien aangeschaft) en implementatieverantwoordelijkheden voor gehoste diensten versus on-premise installaties.

Voor wie is dit bedoeld? Deze SQA wordt doorgaans aangevraagd door klanten die werken volgens GMP/GxP-richtlijnen (bijvoorbeeld farmaceutische productiebedrijven en gereguleerde toeleveringsketens). Klanten die niet aan regelgeving voldoen, hebben doorgaans geen leverancierskwaliteitsaddendum nodig.

Incorporatie. Deze SQA is bedoeld om te worden opgenomen in en beheerst te worden door de Master Services Agreement van de Aanbieder (de “MSA”) gelegen aan https://sgsystemsglobal.com/master-services-agreement/Termen met een hoofdletter die niet in deze SQA zijn gedefinieerd, hebben de betekenis zoals die in de MSA is gegeven.

Geen duplicaten. Wanneer onderwerpen reeds worden geregeld door de MSA (bijvoorbeeld vertrouwelijkheid, beperking van aansprakelijkheid, kosten en algemene beveiligingsverplichtingen), verwijst deze SQA de lezer naar de betreffende MSA-sectie(s) in plaats van deze te herhalen.

1.1 Relatie tot de MSA. Deze SQA vormt een aanvulling op de MSA voor gereguleerde/GxP-accounts en is bedoeld ter ondersteuning van de kwalificatie van leveranciers en de auditverwachtingen. De commerciële voorwaarden, licenties, vertrouwelijkheid, privacy, intellectueel eigendom, garantiebeperkingen, vrijwaringen, beperkingen van aansprakelijkheid en geschillenbeslechting worden geregeld door de MSA (zie bijvoorbeeld MSA §§12-18).

1.2 Wanneer deze SQA van toepassing is. Deze SQA is alleen van toepassing indien ernaar wordt verwezen in een ondertekend bestelformulier/voorstel of een schriftelijke aanvulling die door beide partijen is ondertekend.

1.3 Volgorde van voorrang. In geval van een conflict geldt de volgende volgorde:

• (1) Bestelformulier / Ondertekend voorstel (voor de reikwijdte, de te leveren resultaten, de implementatiekeuzes en commerciële selecties zoals het SLA-niveau);
• (2) Deze SQA (voor gereguleerde kwaliteits- en operationele verplichtingen en gereguleerde ondersteuningsconstructies voor rekeningen); en
• (3) De MSA (voor alle overige voorwaarden, inclusief het juridische/commerciële kader).

1.4 Geen uitbreiding van de aansprakelijkheid. Niets in deze SQA breidt de aansprakelijkheid van de Aanbieder uit tot buiten hetgeen is vastgelegd in de aansprakelijkheidsbeperkingen en uitsluitingen van de MSA (zie MSA §§15–17).

2.1 Binnen het toepassingsgebied. Deze SQA is van toepassing op de software en diensten van de leverancier die door de klant zijn aangeschaft onder de MSA en het toepasselijke bestelformulier/ondertekende voorstel, inclusief (indien van toepassing) gehoste diensten, ondersteuning bij installatie op locatie en ondersteuning voor gereguleerde accounts.

2.2 Buiten het toepassingsgebied. De klant blijft verantwoordelijk voor het kwaliteitssysteem, de standaardwerkprocedures (SOP's), de definities van het beoogde gebruik, het procesontwerp, de gebruikerstraining en de uitvoering/goedkeuring van validaties binnen de omgeving van de klant (zie MSA §7.2 en §10).

2.3 Grens tussen gehoste en on-premise oplossingen. De verantwoordelijkheden met betrekking tot de implementatie hangen af ​​van de implementatie die is geselecteerd in het betreffende bestelformulier/ondertekende voorstel:

• Gehoste services. De provider is verantwoordelijk voor het exploiteren van de gehoste diensten in overeenstemming met de gekozen SLA en de toepasselijke MSA-vereisten (zie MSA §4.2, §9 en §11). De klant blijft verantwoordelijk voor zijn gereguleerde procescontroles, beslissingen over toegangsbeheer en validatie binnen zijn kwaliteitsmanagementsysteem (QMS).
• Installatie op locatie. De klant is verantwoordelijk voor de infrastructuur, beveiliging, back-ups en noodherstel voor de on-premise omgeving, tenzij schriftelijk anders is overeengekomen (zie MSA §4.3 en §9.4). De leverancier levert softwaregerichte ondersteuning en documentatie conform de MSA en eventuele aangeschafte diensten.

3.1 “Gereguleerde rekening” Dit betekent een klantbetrokkenheid waarbij de klant documenten nodig heeft ter kwalificatie van de leverancier en/of formele leveranciersovereenkomsten die in overeenstemming zijn met de GxP-richtlijnen.

3.2 “Kwaliteitsprobleem” Dit betekent een vermoed of bevestigd probleem dat van invloed kan zijn op GxP-relevant gedrag, gegevensintegriteit, traceerbaarheid, controleerbaarheid, beschikbaarheid van gereguleerde activiteiten of gedocumenteerde systeemcontroles.

3.3 “Kwaliteitsevenement” Dit betekent een kwaliteitsprobleem dat is bevestigd of geëscaleerd voor formeel onderzoek en gedocumenteerde herstelmaatregelen, inclusief corrigerende en/of preventieve acties waar nodig.

3.4 “Validatiediensten” Dit betekent betaalde professionele diensten die de klantvalidatieactiviteiten ondersteunen, zoals IQ/OQ-ondersteuning en/of UAT-facilitatie, indien deze expliciet zijn aangeschaft en omschreven in een bestelformulier/ondertekend voorstel (zie MSA §3 en §7.4).

3.5 “SLA-niveau” Dit betekent de selectie van het serviceniveau (indien van toepassing) zoals gespecificeerd in het betreffende bestelformulier/ondertekende voorstel, waarin de beschikbaarheids- en hersteldoelstellingen voor gehoste diensten worden gedefinieerd (zie MSA §11).

3.6 “Gehoste omgeving” Dit verwijst naar de cloudhostingomgeving die is geselecteerd voor de gehoste diensten, zoals AWS, Microsoft Azure of een andere in onderling overleg overeengekomen provider, zoals vermeld in het betreffende bestelformulier/ondertekende voorstel.

4.1 Primair kanaal voor vermoedelijke kwaliteitsproblemen. Klanten dienen vermoedelijke kwaliteitsproblemen te melden via de leveranciersondersteuning op het volgende adres: support@sgsystemsglobal.com.

4.2 Ticketing en traceerbaarheid (“gesloten kringloop”). De standaard operationele procedure van de zorgverlener voor het aannemen en afsluiten van problemen is als volgt:

• Inname: Een e-mail van de klant aan de supportafdeling wordt geregistreerd als een case in het klantenservicesysteem van de provider (Salesforce) en krijgt een case-identificatiecode toegewezen.
• Technische tracking: Wanneer er technische werkzaamheden nodig zijn, maakt Provider een corresponderend werkitem aan in het ontwikkelingvolgsysteem van Provider (Jira) en koppelt dit eraan.
• Oplossing en afsluiting: De provider registreert in het supportdossier de oplossingsnotities, de vrijgavereferenties (indien van toepassing) en de afsluitingsstatus, waarmee de controlecyclus wordt voltooid.

4.3 Doelstellingen voor de respons. Voor gehoste services worden de reactie- en oplossingsdoelstellingen bepaald door de MSA SLA (zie MSA §11.4). Voor installaties op locatie zal de provider zich commercieel redelijke inspanningen getroosten om te reageren in overeenstemming met het ondersteuningsmodel in het toepasselijke bestelformulier/ondertekende voorstel en de MSA (zie MSA §11.2).

4.4 Klantescalatie. Indien er een vermoeden bestaat dat een kwaliteitsprobleem gevolgen heeft voor gereguleerde documenten, auditsporen of het gedrag van systeemcontrolesystemen, dient de klant dit te melden.Mogelijke impact op GxP / gegevensintegriteit" in de onderwerpregel om een ​​goede triage te vergemakkelijken.

5.1 Principe van gedeelde verantwoordelijkheid. Naleving van regelgeving is een gedeelde verantwoordelijkheid. De leverancier ondersteunt het gereguleerde gebruik door middel van softwarecontroles, documentatie en (indien aangeschaft) validatieondersteuningsdiensten. De klant blijft verantwoordelijk voor het beoogde gebruik, configuratiebeslissingen, procedurele controles, training en de uitvoering/goedkeuring van validatie binnen het kwaliteitssysteem van de klant (zie MSA §7.2 en §10).

5.2 Praktische verantwoordelijkheidsverdeling.

5.3 Vertrouwelijkheid en gegevensrechten. Het eigendom, de vertrouwelijkheid en de privacybescherming van klantgegevens worden geregeld door de MSA (zie MSA §12, inclusief §12.3–§12.5, en de DPA indien van toepassing).

6.1 Basisondersteuning (inbegrepen). Tijdens een actief abonnement biedt de Aanbieder redelijke ondersteuning bij vragen over het gedrag en de configuratie van het systeem, en levert standaarddocumentatie en release-opmerkingen als onderdeel van de normale dienstverlening (zie MSA §7.4 en §2.23).

6.2 Zakelijke / betaalde validatiediensten. Voor gereguleerde accounts biedt de aanbieder betaalde validatiediensten aan, waaronder:

• IQ/OQ-ondersteuning: sjabloonpakketten en redelijke ondersteuning op afstand, afgestemd op de uitvoering door de klant in de omgeving van de klant;
• Ondersteuning bij UAT-facilitatie: Planningsondersteuning, coördinatie van de testcyclus, probleemafhandeling/hertestcoördinatie (zoals vastgelegd);
• Gereguleerde ondersteuning bij de implementatie: Gestructureerde ondersteuning bij de overgang, afgestemd op de door de klant geplande validatie-/implementatieaanpak.

6.3 Hoe validatiediensten worden aangeschaft. Validatiediensten zijn niet inbegrepen standaard. Ze worden doorgaans aangeboden voor Enterprise opdrachten worden geprijsd en de omvang ervan wordt gespecificeerd in het toepasselijke bestelformulier/ondertekende voorstel als aanvullende betaalde professionele diensten (zie MSA §3 en §3.6).

6.4 De klant blijft verantwoordelijk. De klant blijft verantwoordelijk voor de uiteindelijke validatiestrategie, de uitvoering, de beoordeling, de goedkeuring en de periodieke evaluatiebeslissingen binnen het kwaliteitssysteem van de klant (zie MSA §7.2 en §10.1).

7.1 Onafhankelijke beoordeling. De aanbieder heeft zijn systeem onafhankelijk laten beoordelen door Dr. Bob McDowall voor afstemming met technische controles die doorgaans geassocieerd worden met 21 CFR deel 11 verwachtingen.

7.2 Toegang tot beoordelingsdocumentatie (geheimhoudingsverklaring vereist). Op verzoek van de klant kan de leverancier de beoordelingsdocumentatie beschikbaar stellen voor interne leverancierskwalificatie en auditondersteuning door de klant, mits:

• De klant heeft de geheimhoudingsovereenkomst (NDA) van de leverancier ondertekend (of de partijen hebben een NDA die aanvaardbaar is voor de leverancier);
• De klant heeft een actief abonnement dat aan alle voorwaarden voldoet; en
• De klant gaat ermee akkoord dat de documentatie vertrouwelijke informatie is en zal worden behandeld volgens de vertrouwelijkheidsbepalingen van de MSA (zie MSA §12).

7.3 Belangrijke beperking. Het bestaan ​​van een onafhankelijke beoordeling ondersteunt de leverancierskwalificatieactiviteiten van de klant, maar vervangt niet de validatieverantwoordelijkheden van de klant of de bepaling van het beoogde gebruik (zie MSA §7.2 en §10.1).

8.1 Gecontroleerde updates. De leverancier beheert software-updates volgens een gecontroleerde wijzigingsaanpak die geschikt is voor gereguleerde omgevingen. Voor de geldende bepalingen inzake wijzigingsbeheer verwijzen wij u naar het gedeelte 'Wijzigingsbeheer en updates' van de MSA (zie MSA §8).

8.2 Implementatie van gehoste services. Voor gehoste services bepaalt de provider het tijdstip van implementatie en geeft deze vooraf bericht over belangrijke updates conform de MSA (zie MSA §8.1), met uitzondering van beveiligingspatches voor noodgevallen (zie MSA §8.4).

8.3 Implementatie op locatie. Bij on-premise installaties bepaalt de klant wanneer updates worden uitgerold naar de klantomgevingen. De provider levert release notes en redelijke ondersteuning om de klant te helpen bij de evaluatie en het testen (zie MSA §8.2 en §8.3).

8.4 Releasedocumentatie. In de release-opmerkingen van de provider worden materiële wijzigingen vermeld en, indien van toepassing, worden validatieoverwegingen opgenomen voor wijzigingen die van invloed kunnen zijn op audit trails, toegangscontroles of gereguleerde workflows (zie MSA §8.3 en §7.4).

9.1 Inname en triage. Vermoedelijke kwaliteitsproblemen worden gemeld via support@sgsystemsglobal.comDe provider zal de situatie beoordelen, zo nodig aanvullende informatie opvragen en de ernst classificeren aan de hand van de ondersteuningsaanpak die is afgestemd op het SLA/ondersteuningsmodel (zie MSA §11.4 voor gehoste services).

9.2 Onderzoek en documentatie. Bij bevestigde kwaliteitsincidenten documenteert de leverancier de onderzoeksnotities, de oorzaken en de status van de herstelmaatregelen in de gekoppelde Salesforce-case en het Jira-werkitem (indien van toepassing).

9.3 Corrigerende en preventieve maatregelen. Waar redelijk en passend, zal de zorgaanbieder corrigerende maatregelen (oplossingen/patches/proceswijzigingen) en preventieve maatregelen implementeren om het risico op herhaling te verminderen. De diepte van het onderzoek en de documentatie kunnen variëren afhankelijk van de ernst en de impact.

9.4 Bedieningselementen aan de klantzijde. De klant is verantwoordelijk voor zijn eigen afwijkingsbeheer, wijzigingsbeheer en impactbeoordeling binnen het kwaliteitsmanagementsysteem van de klant. De leverancier zal de klant redelijkerwijs ondersteunen bij verzoeken om informatie die nodig is voor de beoordeling van de klant, met inachtneming van de vertrouwelijkheid en de MSA (zie MSA §7.2, §7.5 en §12).

10.1 Selectie van de hostingomgeving. Voor gehoste diensten kan de klant de gehoste omgeving selecteren (bijvoorbeeld AWS, Microsoft Azure of een andere in onderling overleg overeengekomen provider) zoals gespecificeerd in het betreffende bestelformulier/ondertekende voorstel.

10.2 De DR- en hersteldoelstellingen zijn afhankelijk van de SLA-tier. Voor gehoste services worden de doelstellingen voor noodherstel en herstel (inclusief RTO/RPO waar van toepassing) bepaald door de SLA-niveau geselecteerd in het bestelformulier / ondertekend voorstel en de MSA SLA-voorwaarden (zie MSA §11.5 en §11.9).

10.3 Beveiliging en incidentrespons. De beveiligingsverplichtingen van de provider en de verplichtingen met betrekking tot de respons op beveiligingsincidenten voor gehoste services worden geregeld door de MSA (zie MSA §9, inclusief §9.2). Voor installaties op locatie is de klant verantwoordelijk voor de beveiliging en beschermingsmaatregelen van de infrastructuur (zie MSA §9.4).

10.4 Gepland onderhoud en uitzonderingen. De beschikbaarheid van gehoste services en de uitzonderingen op de SLA worden beschreven in de MSA (zie MSA §11.10).

11.1 Principe van auditondersteuning. De leverancier zal redelijkerwijs meewerken aan audits van de klant met betrekking tot de softwarecontroles en, voor gehoste diensten, relevante gegevens over dienstverlening/beveiliging, met inachtneming van vertrouwelijkheid en een redelijke planning (zie MSA §7.5 en §12).

11.2 Auditbenadering (standaard efficiënt). Om verstoringen te minimaliseren en gevoelige beveiligingsinformatie te beschermen, ondersteunt Provider de kwalificatie van leveranciers doorgaans met behulp van:

• De standaard documentatie van de leverancier (bijv. release notes en controleoverzichten);
• Antwoorden op de vragenlijst; en
• Gerichte discussies, beperkt tot de systeemgrenzen en de toepasselijke beheersmaatregelen.

11.3 Inspectieondersteuning. Indien de klant de leverancier meldt dat de klant een inspectie door een toezichthoudende instantie ondergaat waarbij de software/diensten van de leverancier mogelijk betrokken zijn, zal de leverancier zich commercieel redelijke inspanningen getroosten om informatieverzoeken met betrekking tot door de leverancier beheerde componenten te ondersteunen, met inachtneming van de vertrouwelijkheid en de MSA.

11.4 Kosten voor buitengewone verzoeken. Indien de klant uitgebreide deelname aan de audit, aangepaste documentatie, activiteiten op locatie of werkzaamheden die verder gaan dan redelijke samenwerking verzoekt, kunnen hiervoor extra kosten en een schriftelijke overeenkomst vereist zijn (conform het model voor professionele diensten in MSA §3 en §7.4).

12.1 Gegevensrechten en vertrouwelijkheid. Het eigendom, de vertrouwelijkheid en de standaard exportondersteuning van klantgegevens worden geregeld door de MSA (zie MSA §12.3–§12.5) en eventuele toepasselijke DPA (zie MSA §12.4).

12.2 Kopie van de SQL-database na beëindiging (gereguleerde accounts). Voor gereguleerde accounts die onder deze SQA vallen, kan de klant bij beëindiging of afloop van het betreffende abonnement, om welke reden dan ook, een kopie van de SQL-database aanvragen die is gekoppeld aan de productieomgeving van de klant. De provider zal de kopie van de SQL-database aan de klant ter beschikking stellen. binnen dertig (30) dagen van beëindiging, op voorwaarde dat:

• De klant dient het verzoek schriftelijk in bij support@sgsystemsglobal.com (of een ander aangewezen ondersteuningskanaal);
• Alle onbetwiste verschuldigde bedragen zijn betaald; en
• Het verzoek is technisch haalbaar binnen de systeemgrenzen en vereist niet dat de Aanbieder gegevens van andere klanten of vertrouwelijke informatie van de Aanbieder openbaar maakt.

12.3 Formaat en levering. De leverancier levert de SQL-databasekopie via een commercieel redelijke methode die geschikt is voor een veilige overdracht. Indien de klant een gespecialiseerd exportformaat, transformatie of aanvullende gegevensextracties nodig heeft die verder gaan dan de standaard databasekopie, kunnen hiervoor extra kosten en een schriftelijke overeenkomst vereist zijn.

12.4 Gehost ophaalvenster. Eventuele aanvullende termijnen voor het ophalen van gegevens na beëindiging en voor het verwijderen van gegevens voor gehoste services worden geregeld door de MSA (zie MSA §5.4). Dit SQA-gedeelte voorziet in een voor gereguleerde accounts specifieke levering (SQL-databasekopie) en breidt de ondersteuningsverplichtingen na beëindiging verder niet uit.

13.1 Hostingproviders. De gehoste diensten worden geleverd via een externe cloudhostingprovider in de geselecteerde hostingomgeving, zoals gespecificeerd in het bestelformulier/ondertekende voorstel.

13.2 Subverwerkers en derden. Het gebruik door de provider van subverwerkers en externe dienstverleners, inclusief de verplichtingen inzake gegevensbescherming, wordt geregeld door de MSA en (indien van toepassing) de DPA (zie MSA §12.4).

13.3 Doorstroming naar beneden. De leverancier zal zich commercieel redelijke inspanningen getroosten om ervoor te zorgen dat de relevante verplichtingen worden doorgegeven aan de betreffende derden die worden ingeschakeld voor de levering van de gehoste diensten, in overeenstemming met de standaardprocedures van de leverancier voor leveranciersbeheer.

14.1-term. Deze SQA treedt in werking zodra deze door middel van een verwijzing is opgenomen in een bestelformulier/ondertekend voorstel (of een ondertekend addendum) en blijft van kracht gedurende de looptijd van het betreffende abonnement(en), tenzij deze eerder wordt beëindigd in overeenstemming met de MSA.

14.2 Amendementen. Eventuele wijzigingen in deze SQA moeten schriftelijk worden vastgelegd en door beide partijen worden ondertekend, conform de vereisten voor MSA-wijzigingen (zie MSA §18.9).

14.2.1 Documentversie. Deze HTML SQA is providerdocument versie 1.10, geldig vanaf 20 april 2026. Het versieblok en het wijzigingslogboek die bij dit document zijn gevoegd, dienen uitsluitend voor documentbeheer en referentiedoeleinden.

14.3 Nuttige MSA-kruisverwijzingen.

• Regelgeving en gedeelde verantwoordelijkheid: MSA §7 en §10
• Wijzigingsbeheer en updates: MSA §8
• Beveiliging en incidentafhandeling: MSA §9
• SLA (gehoste services): MSA §11
• Vertrouwelijkheid en klantgegevens: MSA §12
• Termijn/beëindiging & ophalen van gehoste gegevens: MSA §5
• Professionele diensten / onboarding: MSA §3

14.4 Contact. Voor kwaliteitskwesties, vermoedelijke problemen met de gegevensintegriteit of verzoeken van gereguleerde accounts onder deze SQA kunt u contact opnemen met: support@sgsystemsglobal.com.