Digitale Gesundheitsanwendungen – Spezialfall Datenschutz

INHALT

• Was sind digitale Gesundheitsanwendungen?
• Warum brauchen wir digitale Gesundheitsanwendungen?
• Was müssen Hersteller tun, um eine DiGA-Zulassung zu erhalten?
• Wie wird die digitale Sicherheit von DiGA sichergestellt?
• Was sind schützenswerte Daten im Gesundheitswesen?
• Was ist ein Informationssicherheits-Managementsystem?
• ISO 27001: Der Maßstab für Informationssicherheit
• Spezialfall Datenschutz
• ISO 27701: Erweiterung um ein Datenschutz-Managementsystem
• Norm-Erfüllung als Weichenstellung für die Aufnahme in das DiGA-Verzeichnis
• DQS-Zertifizierung: Vertrauen durch Erfahrung

Was sind digitale Gesundheitsanwendungen?

Digitale Gesundheitsanwendungen sind digitale Medizinprodukte, die bei der Diagnose und Therapie von Krankheiten helfen. Darüber hinaus sollen sie den Weg zu einer selbstbestimmten, gesundheitsförderlichen Lebensführung unterstützen. Sie sind also „digitale Helfer“ in der Hand der Patientinnen und Patienten – die „App auf Rezept“.

Die europäische Medical Device Regulation (MDR) klassifiziert DiGA als Medizinprodukte der Risikoklasse I oder IIa und unterstellt sie den strengen Vorschriften der „Digitale-Gesundheitsanwendungen-Verordnung“ (DiGAV). Nur Anwendungen, die diese Vorschriften vollumfänglich erfüllen, werden in das DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) aufgenommen.

Was macht eine digitale Gesundheitsanwendung aus?

Das BfArM hat folgende Eigenschaften festgelegt, die ein Medizinprodukt erfüllen muss, um als DiGA anerkannt zu werden:

• Medizinprodukt der Risikoklasse I oder IIa
• Hauptfunktion beruht auf digitalen Technologien
• Digitale Hauptfunktion verfolgt einen klaren medizinischen Zweck (dient also nicht etwa nur zum Auslesen oder Steuern eines Geräts)
• Unterstützt die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen
• Dient nicht der vorbeugenden Primärprävention
• Wird vom Patienten oder gemeinsam mit dem Leistungserbringer genutzt, also nicht ausschließlich vom Arzt (dies würde wiederum unter „Praxisausstattung“ fallen)

Welche rechtliche Grundlage gibt es für DiGA?

Digitale Gesundheitsanwendungen wurden durch das Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) vom 19.12.2019 ermöglicht. Seitdem haben gesetzlich Krankenversicherte einen Anspruch auf die Versorgung mit DiGA – umgangssprachlich auch als „App auf Rezept bezeichnet“.

Die Details zum Antragsverfahren, zu den Anforderungen und zur Ausgestaltung eines DiGA-Verzeichnisses – also die ausformulierte rechtliche Grundlage für Digitale Gesundheitsanwendungen – wurden in der DiGAV vom 8. April 2020 geregelt.

Warum brauchen wir digitale Gesundheitsanwendungen?

Mit dem demografischen Wandel wird der Bedarf an Gesundheitsleistungen in den kommenden Jahrzehnten deutlich zunehmen. Und dieser Bedarf wird mit Blick auf den schon heute herrschenden Ärzte- und Pflegepersonalmangel zu großen Herausforderungen für die allgemeine Gesundheitsversorgung führen. Die Digitalisierung hat das Potenzial, das Gesundheitssystem nachhaltig zu entlasten, und digitale Gesundheitsanwendungen können erheblich dazu beitragen. Zugleich gilt es, Anforderungen an Datenschutz und Informationssicherheit wirksam Rechnung zu tragen.

Betrachtet man die Anforderungen an DiGA, wird allerdings schnell deutlich, dass diese nicht isoliert untersucht werden dürfen. Sie sind stets nur ein Bauteil in der Gesamtheit einer digital gestützten Gesundheitsversorgung. Elektronische Gesundheitskarte, Elektronische Patientenakte, E-Rezepte – die Digitalisierung des Health-Sektors ist bereits in vollem Gange und wird schrittweise vorangetrieben, um die Weichen für eine zeitgemäße und dauerhaft tragfähige Versorgung zu stellen.

Was müssen Hersteller tun, um eine DiGA-Zulassung zu erhalten?

Da im medizinischen Bereich in der Regel hochsensible Patientendaten verarbeitet werden, ist der Aufwand für die Zulassung einer digitalen Gesundheitsanwendung hoch. Antragsteller müssen eine breite Palette von Anforderungen erfüllen und dokumentieren. Hierzu gehören:

• Positiver Versorgungseffekt
• Informationssicherheit
• Datenschutz
• Interoperabilität
• Weitere Qualitätsanforderungen (Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung der Leistungserbringer, Qualität medizinischer Inhalte, Patientensicherheit)

Wie wird die digitale Sicherheit von DiGA sichergestellt?

Die (Weiter-)Entwicklung digitaler Anwendungen folgt heute in der Regel agilen und dynamischen Prinzipien, um die Release-Zyklen so kurz wie möglich zu halten. In diesem Umfeld lässt sich die digitale Sicherheit nicht im Zuge einer einmaligen Validierung der technischen Maßnahmen gewährleisten. Sicherheit ist ein kontinuierlicher Prozess, der tief im Unternehmen verankert sein muss.

Diesen gilt es fortwährend zu überprüfen und zu verbessern. Ziel muss es sein, die Vertraulichkeit, die Integrität und die Verfügbarkeit schützenswerter Daten auf dem aktuellen Stand der Technik durchgehend zu gewährleisten. Die Verarbeitung von personenbezogenen Daten muss einem hohen Sicherheitsniveau erfolgen.

Digitale Gesundheitsanwendungen und Datenschutz: Was sind schützenswerte Daten im Gesundheitswesen?

Bei der Erfassung der schützenswerten Daten eines Unternehmens liegt der Fokus in der Regel zunächst auf sensiblen, personenbezogenen Informationen, so fordert es auch das Patientendaten-Schutz-Gesetz. Faktisch sind aber alle Informationen, die für ein Unternehmen von Wert sind und nicht in unbefugte Hände gelangen dürfen, schützenswert. Neben den DSGVO-regulierten Daten also etwa auch strategische Roadmaps oder der eigenentwickelte Programmcode.

Was ist ein Informationssicherheits-Managementsystem?

Da die Sicherheit einer DiGA nicht durch eine einmalige Überprüfung sichergestellt werden kann, müssen Hersteller das Thema Informationssicherheit strategisch und systematisch angehen. Ein entscheidender Schritt ist dabei die Implementierung eines Informationssicherheits-Managementsystem (ISMS), wie es etwa im internationalen Standard ISO 27001 beschrieben wird. Dieser definiert verbindliche Anforderungen, mit dem die Informationssicherheit sichergestellt, gesteuert, kontrolliert und kontinuierlich verbessert wird.

Die DiGAV adressiert das Thema „Sicherheit als Prozess“ in Anlage 1 und verpflichtet die Hersteller, eine Serie von Prozessen im Sinne eines ISMS zu verankern. Hierzu gehören zum Beispiel:

• Schutzbedarfsanalysen, die den Schutzbedarf von Daten, Anwendungen oder Systemen feststellen und nach jeder wesentlichen Änderung neu bewerten
• Strategische Release-, Change- und Configuration-Management-Prozesse, die dabei helfen, agile Entwicklungsumgebungen mit den formalisierten Prozessen der MDR in Einklang zu bringen
• Verzeichnisse aller verwendeten Produkte Dritter, sowie geeignete Prozesse, um sicherzustellen, dass sicherheitsrelevante Informationen zu Third-Party-Komponenten rechtzeitig verfügbar sind.

Ab dem 1. Januar 2022 wird die Umsetzung eines vollständigen ISMS zu einer Grundanforderung für die Aufnahme in das DiGA-Verzeichnis. Dadurch sind DiGA-Hersteller künftig dazu verpflichtet, ein ISMS gemäß der ISO 27000-Reihe inklusive Zertifikat vorzuweisen.

ISO 27001: der Maßstab für Informationssicherheit

Die international anerkannte Norm ISO 27001 bildet die optimale Grundlage, um eine ganzheitliche Sicherheitsstrategie im Sinne eines strukturierten ISMS wirksam umzusetzen. Aufbau und Herangehensweise folgen dabei dem Modell der sogenannten High Level Structure (HLS), der gemeinsamen Grundstruktur für Managementsysteme.

Die HLS liefert die verbindliche Grundstruktur für alle prozessorientierten Managementsystemnormen und ermöglicht die nahtlose Integration der Normen-Anforderungen in das bestehende Managementsystem – und damit in die allgemeinen Geschäftsprozesse des Unternehmens.

Die Zertifizierung eines ISMS nach ISO 27001 erfolgt gemäß einem akkreditierten Verfahren. Damit gilt sie als Beleg dafür, dass ein erfolgreiches Managementsystem sowie geeignete Maßnahmen implementiert wurden, um die Informationswerte systematisch zu schützen. Darüber hinaus beinhaltet das Zertifikat die Verpflichtung zur fortlaufenden Verbesserung des Systems.

Digitale Gesundheitsanwendungen: Spezialfall Datenschutz

Da Patientendaten äußerst sensibel sind, müssen sich die Nutzer digitaler Gesundheitsanwendungen darauf verlassen können, dass die gesetzlichen Vorgaben zum Datenschutz jederzeit Beachtung finden. Die DiGAV konkretisiert hierfür die rechtlichen Vorgaben aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Sie gelten sowohl für den Hersteller selbst als auch für alle angebundenen Systeme, einschließlich von Auftragsverarbeitern wie Cloud Providern. Im Rahmen einer DiGA dürfen personenbezogene Daten nur nach Einwilligung erhoben werden und ausschließlich zu folgenden Zwecken:

1. Zum bestimmungsgemäßen Gebrauch der DiGA durch die Nutzer
2. Zum Nachweis positiver Versorgungseffekte im Rahmen der DiGA-Testung
3. Zur Nachweisführung im Sinne der erfolgsabhängigen Bepreisung durch den Spitzenverband Bund der Krankenkassen nach §134 Absatz 1 Satz 3 des SGB 5
4. Zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der DiGA

Die Einwilligung der ersten drei Zwecke kann gemeinsam erfolgen, für den vierten Zweck ist diese jedoch separat einzuholen. Die Datenverarbeitung zu allen anderen Zwecken (vor allem zu Werbezwecken) ist ausgeschlossen. Außerdem darf die Datenverarbeitung nur in Deutschland, der EU oder einem laut SGB I gleichgestelltem Staat (zum Beispiel in der Schweiz) erfolgen. Für eine Verarbeitung in einem Drittstaat bedürfte es eines Angemessenheitsbeschlusses mit aussagekräftiger Begründung.

Anlage 1 der DiGAV enthält eine Checkliste mit 40 Aussagen, die sowohl die technische Umsetzung als auch die Organisation des Herstellers und dessen Prozesse berücksichtigen. Dies sind sehr konkrete Anforderungen für eine Listung im DiGA-Verzeichnis.

ISO 27701: Erweiterung um ein Datenschutz-Managementsystem

Da der Datenschutz ähnlich wie die Informationssicherheit nicht nur punktuell überwacht werden kann, wurde im August 2019 die Norm ISO 27701 veröffentlicht. Sie gilt als sogenannte „bereichsspezifische Ergänzung“ zu ISO 27001 und setzt somit das Vorhandensein eines entsprechenden ISMS voraus. ISO 27701 ergänzt das ISMS aber um vertiefte Datenschutzkriterien und erweitert die Anforderungen zum Datenschutzinformations-Managementsystem (Privacy Information Management System, PIMS).

Zusätzlich liefert die Norm konkrete Best-Practices für die Umsetzung geltender Datenschutzvorgaben – unabhängig davon, ob es sich um die europäische DSGVO oder andere regionale Bestimmungen handelt.

Die Integration von ISO 27701 stellt dabei ausdrücklich nicht automatisch die DSGVO-Konformität sicher. Aufgrund ihrer weitgehend deckungsgleichen Ausrichtung liefert sie aber eine gute Ausgangslage für die erfolgreiche Umsetzung der Bestimmungen und macht es Verantwortlichen leicht, personenbezogene Daten zuverlässig zu schützen und zu verarbeiten und die Einhaltung gesetzlicher Bestimmungen zu belegen.

Ein weiterer Vorteil, der mit der Umsetzung der Datenschutznorm einhergeht, ist die Bestimmung klarer Verantwortlichkeiten im Bereich des Datenschutzes: Zuständigkeiten werden nicht, wie weithin beliebt, situationsbedingt nach Arbeitslast unter Kollegen aufgeteilt, sondern folgen klar definierten Regeln mit dedizierten Ansprechpartnern – den Datenschutzbeauftragen.

Darüber hinaus fordert die Einführung von ISO 27701 eine risikoorientierte Auseinandersetzung mit dem Thema Datenschutz. Risiken und ihre Eintrittswahrscheinlichkeiten müssen demnach ganzheitlich definiert und evaluiert werden, um die Höhe des potenziellen Schadens von vornherein einschätzen zu können und so gering wie möglich zu halten.

Norm-Erfüllung als Weichenstellung für die Aufnahme in das DiGA-Verzeichnis

Die Hürden für die Aufnahme in das DiGA-Verzeichnis durch das BfArM sind aus guten Gründen hoch. Informationssicherheit und Datenschutz müssen trotz der hohen Dynamik der Digitalwelt zu jedem Zeitpunkt garantiert sein. Der strukturierte und systematische Ansatz von ISO 27001 und ISO 27701 liefert den Unternehmen die optimale Grundlage, um Daten jeglicher Art sicher und Compliance-konform zu verwalten.

Kontroll- und Regulierungsinstanzen bewerten die gewissenhafte Umsetzung und Zertifizierung von ISMS und PIMS zudem als Zeichen einer vertieften Auseinandersetzung mit robusten und nachhaltigen Schutzmechanismen – das kann sich im Schadensfall positiv auf eventuelle Sanktionierungen auswirken.

Kurz: Auch wenn die Zertifizierung nach ISO 27001 und ISO 27701 selbst noch kein Garant für die Aufnahme in das DiGA-Verzeichnis ist, decken die entsprechenden Managementsysteme die Checklisten der DiGA-Verordnung in weiten Teilen ab. Sie bieten also eine optimale Ausgangslage, um die Weichen für eine erfolgreiche Aufnahme in das Verzeichnis zu stellen.

DQS-Zertifizierung: Vertrauen durch Erfahrung

Informationssicherheit und Datenschutz sind komplexe Themen, die weit über die IT-Sicherheit hinausgehen. Sie umfassen technische, organisatorische und infrastrukturelle Aspekte und berühren Anforderungen des Gesetzgers. Für wirksame Schutzmaßnahmen eignen sich ein Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001, ergänzt um ein Privacy Information Managementsystem (PIMS) nach DIN EN ISO/IEC 27701.

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Unsere Kunden sehen in den Audits eine Chance. Für sie ist das Feedback des unabhängigen Auditors zum Verbesserungspotenzial und Risiken ebenso wertvoll wie ein DQS-Zertifikat als Nachweis ihrer Qualitätsfähigkeit. Damit dies so bleibt, achten wir strikt auf Integrität und Objektivität – mehr dazu lesen Sie in unserer Auditphilosophie.

Vertrauen und Expertise

Hinweis: Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de. 

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.