Дигиталните здравни приложения (DiGA) предлагат възможност за устойчиво намаляване на огромния натиск, който демографските промени оказват върху системата на здравеопазването. Но преди чувствителните лични данни на пациентите да могат да бъдат електронно обработвани, трябва да се създаде надеждна защита, съответстваща на съответните стандарти за защита на данните. Разглеждайки множеството спецификации, повечето производители на DiGA не биха искали нищо повече от ясни предпазни средства и сертифицирани стандарти, които да им помогнат да влязат в списъка на DiGA - и рано или късно се натъкват на два стандарта в търсенето си: ISO 27001 (информационна сигурност) и ISO 27701 (защита на данните). Но дали съответните сертифицирани системи за управление са достатъчни в условията на DiGA? Отговорът ще намерите в тази публикация в блога.

Loading...

Какво представляват приложенията за цифрово здравеопазване?

Цифровите здравни приложения са цифрови медицински устройства, които помагат при диагностицирането и терапията на заболявания. Освен това те имат за цел да подпомогнат пътя към самостоятелен, насърчаващ здравето начин на живот. Следователно те са "цифрови помощници" в ръцете на пациентите - "приложение по лекарско предписание".

Европейският регламент за медицинските изделия (MDR) класифицира DiGA като медицински изделия от рисков клас I или IIa и ги подлага на строгите разпоредби на "Регламента за цифровите здравни приложения" (DiGAV). Само приложения, които напълно отговарят на тези разпоредби, се включват в директорията DiGA на Германския федерален институт за лекарства и медицински изделия (BfArM).

Какво прави едно приложение за цифрово здравеопазване?

BfArM е определил следните характеристики, на които трябва да отговаря едно медицинско изделие, за да бъде признато като DiGA:

  • Медицинско изделие от рисков клас I или IIa.
  • Основната функция се основава на цифрови технологии
  • Основната цифрова функция има ясно изразена медицинска цел (т.е. не се използва само за отчитане или контрол на изделието)
  • Подпомага откриването, наблюдението, лечението или смекчаването на заболяване или откриването лечението, смекчаването или компенсирането на нараняване или увреждане
  • Не служи като устройство за първична профилактика
  • Използва се от пациента или съвместно с доставчика на здравни грижи, т.е. не се използва единствено от лекаря (отново би попаднало в обхвата на "офис оборудване")

Какво е правното основание за DiGA?

Приложенията за цифрово здравеопазване станаха възможни с приемането на Закона за цифровото здравеопазване (DVG) на 19 декември 2019 г. Оттогава хората със задължително здравно осигуряване имат право да получават DiGA - разговорно наричано "приложение по лекарско предписание".

Подробностите относно процеса на кандидатстване, изискванията и дизайна на DiGA каталога - т.е. формулираното правно основание за цифровите здравни приложения - бяха регламентирани в DiGAV от 8 април 2020 г.

Защо се нуждаем от цифрови здравни приложения?

С демографските промени нуждата от здравни услуги ще се увеличи значително през следващите десетилетия. А това търсене ще доведе до големи предизвикателства за общото здравеопазване с оглед на недостига на лекари и медицински сестри, който вече е налице днес. Цифровизацията има потенциала да намали тежестта върху здравната система в дългосрочен план, а цифровите здравни приложения могат да допринесат значително за това. Същевременно трябва да се вземат предвид изискванията за защита на данните и информационна сигурност.

При разглеждане на изискванията за DiGA обаче бързо става ясно, че те не трябва да се разглеждат изолирано. Те винаги са само един от компонентите в цялостната система за цифрово поддържано здравеопазване. Електронни здравни карти, електронни досиета на пациентите, електронни рецепти - цифровизацията на сектора на здравеопазването вече е в разгара си и се движи напред стъпка по стъпка, за да се определи курсът към съвременно и устойчиво здравеопазване.

Какво трябва да направят производителите, за да получат одобрение DiGA?

Тъй като в областта на медицината обикновено се обработват изключително чувствителни данни за пациентите, усилията, необходими за получаване на одобрение за цифрово здравно приложение, са големи. Заявителите трябва да отговарят на широк кръг от изисквания и да ги документират. Те включват:

  • Положително въздействие върху здравеопазването
  • информационна сигурност
  • Поверителност на данните
  • Оперативна съвместимост
  • Други изисквания за качество (надеждност, защита на потребителите, удобство за потребителите, подкрепа за доставчиците на услуги, качество на медицинското съдържание, безопасност на пациентите)

"От 1 януари 2022 г. внедряването на цялостна система за управление на сигурността на информацията (ISMS) ще стане основно изискване за включване в директорията DiGA."

Как може да се гарантира цифровата сигурност на DiGA?

Днес (по-нататъшното) разработване на цифрови приложения обикновено следва гъвкави и динамични принципи, за да се поддържат възможно най-кратки цикли на издаване. В тази среда цифровата сигурност не може да бъде гарантирана в хода на еднократното валидиране на техническите мерки. Сигурността е непрекъснат процес, който трябва да бъде дълбоко вграден в предприятието.

"Цифрови здравни приложения и защита на данните: обработката на данни за рекламни цели е изключена."

Указание за четене:"Да се обърне внимание на това, че е необходимо да се осигури защита на личните данни: Научете повече за целите на защитата на информационната сигурност в тази статия в блога.

Приложения за цифрово здравеопазване и защита на данните: Какви данни си струва да бъдат защитени в здравеопазването?

Когато се събират данните на една организация, които си струва да бъдат защитени, първоначалният фокус обикновено е върху чувствителната, лична информация, или поне така изисква германският Закон за защита на данните на пациентите. Всъщност обаче цялата информация, която е ценна за компанията и не трябва да попада в неоторизирани ръце, заслужава защита. В допълнение към данните, регулирани от GDPR, това включва и стратегически пътни карти и програмен код, разработен в компанията.

Какво представлява системата за управление на информационната сигурност?

Тъй като сигурността на DiGA не може да бъде гарантирана чрез еднократна проверка, производителите трябва да подхождат стратегически и систематично към темата за информационната сигурност. Решаваща стъпка в този процес е внедряването на система за управление на информационната сигурност (СУИС), като например тази, описана в международния стандарт ISO 27001. Той определя задължителни изисквания за осигуряване, управление, контрол и непрекъснато подобряване на информационната сигурност.

ISO/IEC 27001:2013 | Информационни технологии - Техники за сигурност - Системи за управление на сигурността на информацията - Изисквания. Стандартът е достъпен на уебсайта на ISO.

В приложение 1 към DiGAV се разглежда въпросът за "сигурността като процес" и се изисква от производителите да вградят редица процеси по отношение на ISMS. Те включват например:

  • Оценка на потребностите от защита, при която се определят потребностите от защита на данните, приложенията или системите и се прави повторна оценка след всяка значителна промяна
  • Процеси застратегическо управление наверсии, промени и конфигурации, които помагат за съгласуване на гъвкавите среди за разработка с формализираните процеси на МДП
  • Описи на всички използвани продукти на трети страни, както и подходящи процеси, които гарантират, че свързаната със сигурността информация за компонентите на трети страни е налична своевременно.

 

От 1 януари 2022 г. внедряването на цялостна ISMS ще стане основно изискване за включване в директорията DiGA. В резултат на това в бъдеще от производителите на DiGA ще се изисква да демонстрират ISMS в съответствие с изискванията на серията ISO 27000, включително сертификат.

 

ISO 27001: еталон за информационна сигурност

Международно признатият стандарт ISO 27001 представлява оптимална основа за ефективно прилагане на цялостна стратегия за сигурност в смисъла на структурирана ISMS. Структурата и подходът следват модела на т.нар. структура на високо ниво (СВН) - общата основна структура за системите за управление.

HLS осигурява задължителната основна структура за всички стандарти за процесно ориентирани системи за управление и позволява безпроблемното интегриране на изискванията на стандартите в съществуващата система за управление - и по този начин в общите бизнес процеси на компанията.

Сертифицирана информационна сигурност в съответствие с ISO 27001

Защитете информацията си със система за управление в съответствие с международен стандарт ★ DQS предлага повече от 35 години опит в сертифицирането ★.

Сертифицирането на система за управление на информационните системи в съответствие с ISO 27001 се извършва в съответствие с акредитирана процедура. Като такъв той се счита за доказателство, че са въведени успешна система за управление и подходящи мерки за системна защита на информационните активи. Освен това сертификатът включва ангажимент за непрекъснато подобряване на системата.

Приложения в областта на цифровото здравеопазване: Специален случай за защита на данните

Тъй като данните на пациентите са изключително чувствителни, потребителите на цифрови здравни приложения трябва да могат да разчитат, че правните изисквания относно защитата на данните се спазват по всяко време. За тази цел DiGAV посочва правните изисквания от DSGVO и германския Федерален закон за защита на данните (BDSG). Те се отнасят както за самия производител, така и за всички свързани системи, включително обработващите поръчки, като например доставчици на облачни услуги. В обхвата на DiGAV личните данни могат да се събират само след дадено съгласие и изключително за следните цели:

  1. За предвиденото използване на DiGA от потребителите.
  2. За предоставяне на доказателства за положителни ефекти върху доставките в контекста на тестването на DiGA
  3. За предоставяне на доказателства за целите на ценообразуването, основано на резултатите, от страна на Германската национална асоциация на здравноосигурителните фондове в съответствие с член 134, параграф 1, изречение 3 от Германския социален кодекс, книга 5.
  4. Да се гарантира постоянно техническата функционалност, удобството за потребителя и по-нататъшното развитие на DiGA.

Съгласието за първите три цели може да бъде дадено съвместно, но за четвъртата цел трябва да бъде получено отделно. Обработката на данни за всички други цели (особено за рекламни цели) е изключена. Освен това обработката на данни може да се извършва само в Германия, ЕС или държава, която се счита за равностойна според германското законодателство (например Швейцария). Обработването в трета държава ще изисква решение за адекватност със смислена обосновка.

Приложение 1 към DiGAV съдържа контролен списък с 40 твърдения, които разглеждат както техническото изпълнение, така и организацията на производителя и неговите процеси. Това са съвсем конкретни изисквания за включване в директорията DiGA.

Допълнение: ОРЗД по принцип разрешава обработването на лични данни в рамките на ЕС. Обработването извън ЕС в т.нар. трета държава е разрешено, при условие че в третата държава съществува сравнимо ниво на защита (решение за адекватност съгласно член 45 от ОРЗД). Зад този линк ще намерите списък на държавите, с които съществува споразумение за адекватност.

ISO 27701: разширяване на обхвата на системата за управление на защитата на данните

Тъй като защитата на данните, подобно на информационната сигурност, не може да бъде наблюдавана избирателно, през август 2019 г. беше публикуван стандартът ISO 27701. Той се счита за така нареченото "специфично за сектора допълнение" към ISO 27001 и по този начин изисква съществуването на съответна ISMS. Въпреки това ISO 27701 допълва ISMS със задълбочени критерии за защита на данните и разширява изискванията към системата за управление на информацията за неприкосновеност на личния живот (PIMS).

ISO/IEC 27701:2019 | Техники за сигурност - Разширение на ISO/IEC 27001 и ISO/IEC 27002 за управление на информацията за поверителност - Изисквания и насоки. Стандартът е достъпен от уебсайта на ISO.

Освен това стандартът предоставя конкретни най-добри практики за прилагане на приложимите изисквания за защита на данните - независимо дали става въпрос за европейския регламент за защита на личните данни (GDPR) или за други регионални разпоредби.

Интегрирането на ISO 27701 изрично не гарантира автоматично съответствие с GDPR или германския DSGVO. Въпреки това, поради до голяма степен конгруентната си насоченост, той осигурява добра отправна точка за успешното прилагане на регламентите и улеснява отговорните лица да защитават и обработват надеждно личните данни и да доказват спазването на законовите изисквания.

Друго предимство, което произтича от прилагането на стандарта за защита на данните, е определянето на ясни отговорности в областта на защитата на данните: отговорностите не се разпределят между колегите според натовареността, както е широко популярно, а се следват ясно определени правила със специални лица за контакт - длъжностните лица по защита на данните.

Освен това въвеждането на ISO 27701 изисква ориентиран към риска подход към защитата на данните. Следователно рисковете и вероятността за тяхното възникване трябва да бъдат дефинирани и оценени цялостно, за да може да се оцени нивото на потенциалните щети от самото начало и то да бъде възможно най-ниско.

 

Съответствието със стандарта дава възможност за включване в директорията DiGA

Пречките за включване в директорията DiGA от страна на германския BfArM са високи по основателни причини. Сигурността на информацията и защитата на данните трябва да бъдат гарантирани по всяко време въпреки изключително динамичния характер на цифровия свят. Структурираният и систематичен подход на ISO 27001 и ISO 27701 осигурява на компаниите оптимална основа за управление на данни от всякакъв вид по сигурен и съвместим начин.

Контролните и регулаторните органи също така оценяват добросъвестното прилагане и сертифициране на ISMS и PIMS като знак за по-задълбочено ангажиране със стабилни и устойчиви механизми за защита - това може да има положително въздействие върху евентуални санкции в случай на щети.

Накратко, дори ако сертификацията по ISO 27001 и ISO 27701 сама по себе си не гарантира включване в директорията DiGA, съответните системи за управление покриват до голяма степен контролните списъци на регламента DiGA. Следователно те представляват оптимална отправна точка за определяне на курса за успешно включване в директорията.

 

DQS: Simply leveraging quality.

Сигурността на информацията и защитата на данните са сложни теми, които далеч надхвърлят ИТ сигурността. Те обхващат технически, организационни и инфраструктурни аспекти и засягат изискванията на закона. Системата за управление на информационната сигурност (СУИС) съгласно ISO/IEC 27001, допълнена от система за управление на информацията за неприкосновеността на личния живот (СУПЛ) съгласно ISO/IEC 27701, е подходяща за ефективни мерки за защита.

DQS е вашият специалист по одити и сертифициране на системи за управление и процеси. С над 35-годишен опит и ноу-хау от 2500 одитори в цял свят ние сме вашият компетентен партньор за сертифициране и даваме отговори на всички въпроси, свързани със защитата на данните и информационната сигурност.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Ще се радваме да отговорим на Вашите въпроси

Какви са изискванията за сертифициране по ISO 27001 и 27701? И какво трябва да се свърши? Разберете. Безплатно и без задължение.

Доверие и опит

Забележка: Нашите текстове и брошури са написани изключително от нашите експерти по стандартизация или одитори с дългогодишен опит. Ако имате въпроси относно съдържанието на текстовете или услугите на нашия автор, моля, не се колебайте да се свържете с нас.

Автор
Nadja Goetz

Експерт на DQS за системи за управление в здравеопазването и одити на BSI-KRITIS, одитор и продуктов мениджър за различни стандарти за качество в областта на рехабилитацията, както и в болничната и извънболничната помощ.

Loading...