Digitální zdravotnické aplikace - zvláštní případ ochrany údajů

OBSAH

• Co jsou digitální zdravotnické aplikace?
• Proč potřebujeme digitální zdravotní aplikace?
• Co musí výrobci udělat, aby získali schválení DiGA?
• Jak lze zajistit bezpečnost digitálních aplikací DiGA?
• Jaké údaje o zdravotní péči stojí za to chránit?
• Co je to systém řízení bezpečnosti informací?
• ISO 27001: měřítko pro bezpečnost informací
• A szvláštnípřípad ochrany údajů
• ISO 27701: Rozšíření o systém řízení ochrany dat
• Soulad s touto normou jako základ pro zařazení do katalogu DiGA
• DQS: Prosté využití kvality.

Co jsou to digitální zdravotnické aplikace?

Digitální zdravotní aplikace jsou digitální zdravotnické prostředky, které pomáhají při diagnostice a terapii nemocí. Kromě toho mají podpořit cestu k sebeurčujícímu, zdraví podporujícímu životnímu stylu. Jsou to tedy "digitální pomocníci" v rukou pacientů - "aplikace na předpis".

Evropské nařízení o zdravotnických prostředcích (MDR) klasifikuje DiGA jako zdravotnické prostředky rizikové třídy I nebo IIa a podřizuje je přísným předpisům "nařízení o digitálních zdravotnických aplikacích" (DiGAV). Pouze aplikace, které plně vyhovují těmto předpisům, jsou zařazeny do adresáře DiGA německého Spolkového institutu pro léčiva a zdravotnické prostředky (BfArM).

Co tvoří digitální zdravotnickou aplikaci?

BfArM definoval následující charakteristiky, které musí zdravotnický prostředek splňovat, aby mohl být uznán jako DiGA:

• Zdravotnický prostředek rizikové třídy I nebo IIa.
• Hlavní funkce je založena na digitálních technologiích
• Hlavní digitální funkce má jasný lékařský účel (tj. neslouží pouze ke čtení nebo ovládání prostředku).
• Podporuje detekci, monitorování, léčbu nebo zmírnění onemocnění nebo detekci léčbu, zmírnění nebo kompenzaci zranění nebo postižení.
• Neslouží jako prostředek primární preventivní péče
• Je používán pacientem nebo společně s poskytovatelem zdravotní péče, tj. není používán výhradně lékařem (opět by spadal pod "kancelářské vybavení")

Jaký je právní základ pro DiGA?

Digitální zdravotnické aplikace byly umožněny přijetím zákona o digitální zdravotní péči (DVG) dne 19. prosince 2019. Od té doby mají lidé se zákonným zdravotním pojištěním nárok na DiGA - hovorově označovanou jako "aplikace na předpis".

Podrobnosti o procesu podávání žádostí, požadavcích a podobě adresáře DiGA - tj. formulovaného právního základu pro digitální zdravotní aplikace - byly upraveny v DiGAV z 8. dubna 2020.

Proč potřebujeme digitální zdravotní aplikace?

S demografickými změnami se v příštích desetiletích výrazně zvýší potřeba zdravotnických služeb. A tato poptávka povede k velkým výzvám pro všeobecnou zdravotní péči vzhledem k nedostatku lékařů a zdravotních sester, který panuje již dnes. Digitalizace má potenciál dlouhodobě snížit zátěž zdravotnického systému a digitální zdravotnické aplikace k tomu mohou významně přispět. Zároveň je třeba účinně zohlednit požadavky na ochranu dat a bezpečnost informací.

Při pohledu na požadavky na DiGA je však rychle jasné, že by neměly být zkoumány izolovaně. Jsou vždy jen jednou složkou v celku digitálně podporované zdravotní péče. Elektronické zdravotní karty, elektronické složky pacientů, elektronické recepty - digitalizace zdravotnictví je již v plném proudu a je krok za krokem hnána kupředu, aby určila směr pro moderní a udržitelnou zdravotní péči.

Co musí výrobci udělat, aby získali schválení DiGA?

Vzhledem k tomu, že v oblasti zdravotnictví se obvykle zpracovávají vysoce citlivé údaje pacientů, je úsilí potřebné k získání schválení digitální zdravotnické aplikace vysoké. Žadatelé musí splnit a doložit celou řadu požadavků. Mezi ně patří např:

• Pozitivní dopad na zdravotní péči
• Bezpečnost informací
• Ochrana osobních údajů
• Interoperabilita
• Další požadavky na kvalitu (robustnost, ochrana spotřebitele, uživatelská přívětivost, podpora poskytovatelů služeb, kvalita lékařského obsahu, bezpečnost pacientů).

Jak lze zajistit digitální bezpečnost DiGA?

V současné době se (další) vývoj digitálních aplikací obvykle řídí agilními a dynamickými principy, aby se co nejvíce zkrátily cykly vydávání nových verzí. V tomto prostředí nelze digitální bezpečnost zajistit v rámci jednorázového ověření technických opatření. Bezpečnost je kontinuální proces, který musí být v podniku hluboce zakořeněn.

Digitální zdravotnické aplikace a ochrana údajů: Jaká data se vyplatí chránit ve zdravotnictví?

Při shromažďování údajů organizace, které stojí za to chránit, se obvykle zpočátku soustředíme na citlivé, osobně identifikovatelné informace, nebo to alespoň vyžaduje německý zákon o ochraně údajů pacientů. Ve skutečnosti jsou však hodny ochrany všechny informace, které mají pro společnost hodnotu a nesmí se dostat do nepovolaných rukou. Kromě údajů regulovaných nařízením GDPR sem patří také strategické plány a programový kód vyvinutý ve firmě.

Co je to systém řízení bezpečnosti informací?

Vzhledem k tomu, že bezpečnost DiGA nelze zajistit jednorázovou kontrolou, musí výrobci k tématu bezpečnosti informací přistupovat strategicky a systematicky. Klíčovým krokem v tomto procesu je zavedení systému řízení bezpečnosti informací (ISMS), který je například popsán v mezinárodní normě ISO 27001. Ta definuje závazné požadavky na zajištění, řízení, kontrolu a neustálé zlepšování bezpečnosti informací.

DiGAV se v příloze 1 zabývá otázkou "bezpečnosti jako procesu" a požaduje, aby výrobci zakotvili řadu procesů z hlediska ISMS. Mezi ně patří např:

• Posouzení potřeb ochrany, které určuje potřeby ochrany dat, aplikací nebo systémů a přehodnocuje je po každé významné změně.
• Strategické procesy řízenívydávání verzí, změn a konfigurací, které pomáhají sladit agilní vývojová prostředí s formalizovanými procesy MDR.
• Soupisy všech používaných produktů třetích stran a také příslušné procesy, které zajistí, aby byly informace týkající se bezpečnosti komponent třetích stran k dispozici včas.

Od 1. ledna 2022 se zavedení kompletního systému ISMS stane základním požadavkem pro zařazení do adresáře DiGA. V důsledku toho budou výrobci DiGA v budoucnu povinni prokázat ISMS v souladu s řadou ISO 27000, včetně certifikátu.

ISO 27001: měřítko bezpečnosti informací

Mezinárodně uznávaná norma ISO 27001 tvoří optimální základ pro efektivní zavedení komplexní bezpečnostní strategie ve smyslu strukturovaného systému ISMS. Struktura a přístup se řídí modelem tzv. struktury vysoké úrovně (HLS), což je běžná základní struktura pro systémy řízení.

HLS představuje závaznou základní strukturu pro všechny procesně orientované normy systémů řízení a umožňuje bezproblémovou integraci požadavků normy do stávajícího systému řízení - a tím i do obecných podnikových procesů.

Certifikovaná bezpečnost informací podle normy ISO 27001

Chraňte své informace systémem řízení podle mezinárodní normy ★ DQS nabízí více než 35 let zkušeností s certifikací ★.

Certifikace systému řízení bezpečnosti informací podle normy ISO 27001 se provádí v souladu s akreditovaným postupem. Jako taková je považována za důkaz, že byl zaveden úspěšný systém řízení a vhodná opatření k systematické ochraně informačních aktiv. Certifikát navíc zahrnuje závazek k neustálému zlepšování systému.

Digitální zdravotnické aplikace: Zvláštní případ ochrany údajů

Vzhledem k tomu, že údaje pacientů jsou mimořádně citlivé, musí se uživatelé digitálních zdravotnických aplikací spolehnout na to, že právní požadavky týkající se ochrany údajů jsou vždy dodržovány. Za tímto účelem DiGAV specifikuje právní požadavky z DSGVO a německého spolkového zákona o ochraně údajů (BDSG). Vztahují se jak na samotného výrobce, tak na všechny připojené systémy, včetně zpracovatelů objednávek, jako jsou poskytovatelé cloudových služeb. V rámci DiGAV mohou být osobní údaje shromažďovány pouze po udělení souhlasu a výhradně pro následující účely:

1. Pro zamýšlené použití DiGA uživateli.
2. Pro poskytnutí důkazů o pozitivních účincích nabídky v rámci testování DiGA.
3. K poskytnutí důkazů pro účely stanovení cen na základě výkonnosti Německým národním svazem zdravotních pojišťoven v souladu s § 134 odst. 1 věta 3 německého sociálního zákoníku, kniha 5.
4. Trvale zaručit technickou funkčnost, uživatelskou přívětivost a další vývoj systému DiGA.

Souhlas pro první tři účely může být udělen společně, pro čtvrtý účel je však nutné jej získat samostatně. Zpracování údajů pro všechny ostatní účely (zejména pro reklamní účely) je vyloučeno. Kromě toho může zpracování údajů probíhat pouze v Německu, EU nebo v zemi, která je podle německého práva považována za rovnocennou (například Švýcarsko). Zpracování ve třetí zemi by vyžadovalo rozhodnutí o odpovídající ochraně se smysluplným odůvodněním.

Příloha 1 DiGAV obsahuje kontrolní seznam se 40 výroky, které zohledňují jak technické provedení, tak organizaci výrobce a jeho procesy. Jedná se o velmi konkrétní požadavky pro zařazení do adresáře DiGA.

Dodatek: Nařízení GDPR obecně povoluje zpracování osobních údajů v rámci EU. Zpracování mimo EU v tzv. třetí zemi je povoleno za předpokladu, že ve třetí zemi existuje srovnatelná úroveň ochrany (rozhodnutí o odpovídající ochraně podle článku 45 GDPR). Za tímto odkazem naleznete seznam zemí, se kterými existuje dohoda o odpovídající ochraně.

ISO 27701: Rozšíření o systém řízení ochrany údajů

Vzhledem k tomu, že ochranu údajů, podobně jako bezpečnost informací, nelze sledovat selektivně, byla v srpnu 2019 zveřejněna norma ISO 27701. Je považována za takzvaný "odvětvový doplněk" normy ISO 27001, a vyžaduje tedy existenci odpovídajícího systému řízení bezpečnosti informací. Norma ISO 27701 však doplňuje ISMS o hloubková kritéria ochrany údajů a rozšiřuje požadavky na systém řízení ochrany informací (PIMS).

Norma navíc poskytuje konkrétní osvědčené postupy pro implementaci platných požadavků na ochranu údajů - bez ohledu na to, zda se jedná o evropské nařízení GDPR nebo jiné regionální předpisy.

Integrace normy ISO 27701 výslovně nezajišťuje automatické splnění požadavků GDPR nebo německého DSGVO. Díky svému do značné míry shodnému zaměření však poskytuje dobrý výchozí bod pro úspěšnou implementaci těchto předpisů a usnadňuje odpovědným osobám spolehlivou ochranu a zpracování osobních údajů a prokazování souladu s právními požadavky.

Další výhodou, která přichází s implementací standardu ochrany osobních údajů, je určení jasných odpovědností v oblasti ochrany osobních údajů: odpovědnosti nejsou rozděleny mezi kolegy podle pracovní náplně, jak je všeobecně populární, ale řídí se jasně definovanými pravidly s vyhrazenými kontakty - pověřenci pro ochranu osobních údajů.

Zavedení normy ISO 27701 navíc vyžaduje přístup k ochraně údajů orientovaný na rizika. Rizika a pravděpodobnost jejich výskytu je proto třeba definovat a vyhodnocovat komplexně, aby bylo možné od počátku posoudit míru potenciálních škod a udržet ji na co nejnižší úrovni.

Dodržování standardu určuje směr pro zařazení do adresáře DiGA

Překážky pro zařazení do adresáře DiGA ze strany německého BfArM jsou z dobrých důvodů vysoké. Bezpečnost informací a ochrana dat musí být zaručena za všech okolností, a to i přes vysoce dynamickou povahu digitálního světa. Strukturovaný a systematický přístup norem ISO 27001 a ISO 27701 poskytuje společnostem optimální základ pro bezpečnou a kompatibilní správu dat jakéhokoli druhu.

Kontrolní a regulační orgány také posuzují svědomité zavádění a certifikaci ISMS a PIMS jako známku hlubšího zapojení do robustních a udržitelných ochranných mechanismů - to může mít pozitivní dopad na případné sankce v případě poškození.

Stručně řečeno, i když samotná certifikace ISO 27001 a ISO 27701 nezaručuje zařazení do adresáře DiGA, příslušné systémy řízení do značné míry pokrývají kontrolní seznamy nařízení DiGA. Poskytují proto optimální výchozí bod pro nastavení kurzu pro úspěšné zařazení do adresáře.

DQS: Jednoduše využívat kvalitu.

Bezpečnost informací a ochrana dat jsou komplexní témata, která zdaleka přesahují oblast IT bezpečnosti. Zahrnují technické, organizační a infrastrukturní aspekty a dotýkají se požadavků zákona. Pro účinná ochranná opatření je vhodný systém řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001, doplněný systémem řízení ochrany osobních údajů (PIMS) podle normy ISO/IEC 27701.

Společnost DQS je vaším specialistou na audity a certifikace systémů řízení a procesů. Díky více než 35 letům zkušeností a know-how 2 500 auditorů po celém světě jsme vaším kompetentním certifikačním partnerem a poskytujeme odpovědi na všechny otázky týkající se ochrany údajů a bezpečnosti informací.

Důvěra a odbornost

Poznámka: Naše texty a brožury píší výhradně naši odborníci na normy nebo auditoři s dlouholetou praxí. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro autora, neváhejte se na nás obrátit.