Las aplicaciones sanitarias digitales (DiGA) ofrecen la oportunidad de aliviar de forma sostenible la enorme presión del cambio demográfico sobre el sistema sanitario. Pero antes de poder procesar digitalmente los datos altamente sensibles de los pacientes, hay que establecer el rumbo para una protección fiable que cumpla las normas de protección de datos adecuadas. A la vista de la plétora de especificaciones, a la mayoría de los fabricantes de DiGA no les gustaría otra cosa que contar con barandillas claras y normas certificables que les ayuden a entrar en la lista DiGA, y tarde o temprano se topan con dos normas en su búsqueda: ISO 27001 (seguridad de la información) e ISO 27701 (protección de datos). Pero, ¿son suficientes los correspondientes sistemas de gestión certificados en el entorno DiGA? Encuentre la respuesta en esta entrada del blog.

Loading...

¿Qué son las aplicaciones sanitarias digitales?

Las aplicaciones sanitarias digitales son dispositivos médicos digitales que ayudan en el diagnóstico y la terapia de enfermedades. Además, pretenden apoyar el camino hacia un estilo de vida autodeterminado y promotor de la salud. Son, por tanto, "ayudantes digitales" en manos de los pacientes: la "aplicación con receta".

El Reglamento Europeo de Productos Sanitarios (MDR) clasifica las DiGA como productos sanitarios de clase de riesgo I o IIa y las somete a la estricta normativa del "Reglamento de Aplicaciones Sanitarias Digitales" (DiGAV). Sólo las aplicaciones que cumplen plenamente esta normativa se incluyen en el directorio DiGA del Instituto Federal Alemán de Medicamentos y Productos Sanitarios (BfArM).

¿Qué es una aplicación sanitaria digital?

El BfArM ha definido las siguientes características que debe cumplir un producto sanitario para ser reconocido como DiGA:

  • Producto sanitario de clase de riesgo I o IIa.
  • La función principal se basa en tecnologías digitales
  • La función digital principal tiene una finalidad médica clara (es decir, no sólo se utiliza para leer o controlar un dispositivo)
  • Apoya la detección, el seguimiento, el tratamiento o la mitigación de enfermedades, o la detección, el tratamiento, la mitigación o la compensación de lesiones o discapacidades
  • No sirve como dispositivo preventivo de atención primaria
  • Es utilizado por el paciente o conjuntamente con el proveedor de asistencia sanitaria, es decir, no exclusivamente por el médico (de nuevo, esto entraría dentro del "equipo de oficina").

¿Cuál es la base jurídica de DiGA?

Las aplicaciones sanitarias digitales fueron posibles gracias a la promulgación de la Ley de Asistencia Sanitaria Digital (DVG) el 19 de diciembre de 2019. Desde entonces, las personas con seguro médico obligatorio tienen derecho a recibir DiGA, coloquialmente denominada "app por prescripción médica".

Los detalles sobre el proceso de solicitud, los requisitos y el diseño de un directorio DiGA -es decir, la base legal formulada para las apps de salud digital- se regularon en el DiGAV del 8 de abril de 2020.

¿Por qué necesitamos aplicaciones sanitarias digitales?

Con el cambio demográfico, la necesidad de servicios sanitarios aumentará significativamente en las próximas décadas. Y esta demanda conllevará importantes retos para la sanidad en general, dada la escasez de médicos y enfermeras que ya existe en la actualidad. La digitalización tiene el potencial de aliviar la carga del sistema sanitario a largo plazo, y las aplicaciones sanitarias digitales pueden contribuir significativamente a ello. Al mismo tiempo, deben tenerse efectivamente en cuenta los requisitos de protección de datos y seguridad de la información.

Loading...

Gestión de Protección de Datos con ISO 27701

La protección de datos en el contexto de la seguridad de la información: ¿un tema apasionante? Más información sobre la norma norma ISO 27701 en nuestro Libro Blanco gratuito .

Sin embargo, al examinar los requisitos de DiGA, enseguida queda claro que no deben examinarse de forma aislada. Siempre son sólo un componente de la totalidad de la asistencia sanitaria con soporte digital. Tarjetas sanitarias electrónicas, expedientes electrónicos de pacientes, recetas electrónicas: la digitalización del sector sanitario ya está en pleno apogeo y se está impulsando paso a paso para marcar el rumbo de una asistencia sanitaria actualizada y sostenible.

¿Qué deben hacer los fabricantes para obtener la autorización DiGA?

Dado que en el ámbito médico se suelen procesar datos muy sensibles de los pacientes, el esfuerzo necesario para obtener la aprobación de una aplicación de salud digital es elevado. Los solicitantes deben cumplir y documentar una amplia gama de requisitos. Entre ellos figuran

  • Impacto positivo en la atención sanitaria
  • Seguridad de la información
  • Privacidad de los datos
  • Interoperabilidad
  • Otros requisitos de calidad (solidez, protección del consumidor, facilidad de uso, apoyo a los proveedores de servicios, calidad del contenido médico, seguridad del paciente).

"A partir del 1 de enero de 2022, la implantación de un SGSI completo se convertirá en un requisito fundamental para la inclusión en el Directorio DiGA."

¿Cómo puede garantizarse la seguridad digital DiGA?

Hoy en día, el desarrollo (posterior) de aplicaciones digitales suele seguir principios ágiles y dinámicos para mantener los ciclos de lanzamiento lo más cortos posible. En este entorno, la seguridad digital no puede garantizarse en el curso de una validación única de medidas técnicas. La seguridad es un proceso continuo que debe estar profundamente arraigado en la empresa.

"Aplicaciones digitales de salud y protección de datos: se excluye el tratamiento de datos con fines publicitarios".

Consejo de lectura: Obtenga más información sobre los Objetivos de Protección de la Seguridad de la Información en este artículo del blog.

Aplicaciones sanitarias digitales y protección de datos: ¿Qué datos merece la pena proteger en la sanidad?

A la hora de recopilar los datos de una organización que merece la pena proteger, la atención inicial suele centrarse en la información sensible y de identificación personal, o eso es lo que exige la Ley alemana de Protección de Datos de Pacientes. En realidad, sin embargo, toda la información que tenga valor para una empresa y no deba caer en manos no autorizadas es digna de protección. Además de los datos regulados por el GDPR, esto también incluye hojas de ruta estratégicas y código de programas desarrollados internamente.

¿Qué es un sistema de gestión de la seguridad de la información?

Dado que la seguridad de un DiGA no puede garantizarse mediante una única comprobación, los fabricantes deben abordar el tema de la seguridad de la información de forma estratégica y sistemática. Un paso crucial en este proceso es la implantación de un sistema de gestión de la seguridad de la información (SGSI), como el descrito en la norma internacional ISO 27001. En ella se definen requisitos vinculantes para garantizar, gestionar, controlar y mejorar continuamente la seguridad de la información.

ISO/IEC 27001:2013 | Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos. La norma está disponible en el sitio web de ISO.

La DiGAV aborda la cuestión de la "seguridad como proceso" en su anexo 1 y exige a los fabricantes que integren una serie de procesos en un SGSI. Entre ellos figuran, por ejemplo

  • Evaluación de las necesidades de protección, que determinan las necesidades de protección de datos, aplicaciones o sistemas y las reevalúan después de cada cambio significativo.
  • Procesosestratégicos de gestión deversiones, cambios y configuraciones que ayuden a alinear los entornos de desarrollo ágiles con los procesos MDR formalizados
  • Inventarios de todos los productos de terceros utilizados, así como procesos adecuados para garantizar que la información relacionada con la seguridad de los componentes de terceros esté disponible en el momento oportuno.

A partir del 1 de enero de 2022, la implantación de un SGSI completo se convertirá en un requisito fundamental para la inclusión en el directorio DiGA. En consecuencia, en el futuro se exigirá a los fabricantes DiGA que demuestren disponer de un SGSI conforme a la serie ISO 27000, incluido un certificado.

ISO 27001: la referencia en seguridad de la información

La norma ISO 27001, reconocida internacionalmente, constituye la base óptima para implantar eficazmente una estrategia de seguridad holística en el sentido de un SGSI estructurado. La estructura y el enfoque siguen el modelo de la llamada Estructura de Alto Nivel (HLS), la estructura básica común para los sistemas de gestión.

La HLS proporciona la estructura básica vinculante para todas las normas de sistemas de gestión orientados a procesos y permite la integración sin fisuras de los requisitos de las normas en el sistema de gestión existente y, por tanto, en los procesos empresariales generales de la empresa.

Seguridad de la información certificada según ISO 27001

Proteja su información con un sistema de gestión conforme a una norma internacional ★ DQS ofrece más de 35 años de experiencia en certificación ★.

La certificación de un SGSI según la norma ISO 27001 se realiza según un procedimiento acreditado. Como tal, se considera la prueba de que se ha implantado con éxito un sistema de gestión y las medidas adecuadas para proteger sistemáticamente los activos de información. Además, el certificado incluye un compromiso de mejora continua del sistema.

Aplicaciones sanitarias digitales: Un caso especial para la protección de datos

Dado que los datos de los pacientes son extremadamente sensibles, los usuarios de aplicaciones sanitarias digitales deben poder confiar en que se respetarán en todo momento los requisitos legales en materia de protección de datos. Para ello, la DiGAV especifica los requisitos legales de la DSGVO y la Ley Federal Alemana de Protección de Datos (BDSG). Se aplican tanto al propio fabricante como a todos los sistemas conectados, incluidos los procesadores de pedidos como los proveedores en la nube. En el ámbito de una DiGA, los datos personales solo pueden recopilarse previo consentimiento y exclusivamente para los siguientes fines:

  1. Para el uso previsto de la DiGA por parte de los usuarios.
  2. Para proporcionar pruebas de los efectos positivos del suministro en el contexto de las pruebas DiGA.
  3. Para aportar pruebas a efectos de la fijación de precios basada en el rendimiento por parte de la Asociación Nacional Alemana de Cajas de Enfermedad, de conformidad con la frase 3 del apartado 1 del artículo 134 del Libro 5 del Código Social alemán.
  4. Garantizar permanentemente la funcionalidad técnica, la facilidad de uso y el desarrollo ulterior de la DiGA.

El consentimiento para los tres primeros fines puede darse conjuntamente, pero debe obtenerse por separado para el cuarto fin. Queda excluido el tratamiento de datos para cualquier otro fin (especialmente con fines publicitarios). Además, el tratamiento de datos sólo puede tener lugar en Alemania, la UE o un país que se considere equivalente según la legislación alemana (por ejemplo, Suiza). El tratamiento en un tercer país requeriría una decisión de adecuación con una justificación significativa.

El anexo 1 de la DiGAV contiene una lista de control con 40 afirmaciones que tienen en cuenta tanto la aplicación técnica como la organización del fabricante y sus procesos. Se trata de requisitos muy concretos para figurar en el directorio DiGA.

Adenda: En general, el GDPR permite el tratamiento de datos personales dentro de la UE. Se permite el tratamiento fuera de la UE en un denominado tercer país, siempre que exista un nivel de protección comparable en el tercer país (decisión de adecuación en virtud del artículo 45 del GDPR). Detrás de este enlace encontrará la lista de países con los que existe un acuerdo de adecuación.

ISO 27701: ampliación para incluir un sistema de gestión de la protección de datos

Dado que la protección de datos, de forma similar a la seguridad de la información, no puede supervisarse de forma selectiva, la norma ISO 27701 se publicó en agosto de 2019. Se considera un denominado "suplemento específico del sector" de la norma ISO 27001 y, por lo tanto, requiere la existencia de un SGSI correspondiente. Sin embargo, la ISO 27701 complementa el SGSI con criterios de protección de datos en profundidad y amplía los requisitos para el Sistema de Gestión de la Información sobre Privacidad (PIMS).

ISO/IEC 27701:2019 | Extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información sobre privacidad - Requisitos y directrices. La norma está disponible en el sitio web de ISO.

Además, la norma proporciona mejores prácticas concretas para implementar los requisitos de protección de datos aplicables, independientemente de si se trata del GDPR europeo u otras normativas regionales.

La integración explícita de la norma ISO 27701 no garantiza automáticamente el cumplimiento del GDPR o de la DSGVO alemana. Sin embargo, debido a su orientación en gran medida congruente, proporciona un buen punto de partida para la implementación exitosa de las regulaciones y facilita a las partes responsables proteger y procesar datos personales de manera confiable y demostrar el cumplimiento de los requisitos legales.

Otra ventaja que conlleva la aplicación de la norma de protección de datos es la designación de responsabilidades claras en el ámbito de la protección de datos: las responsabilidades no se reparten entre los compañeros en función de la carga de trabajo, como es muy habitual, sino que siguen normas claramente definidas con contactos específicos: los responsables de protección de datos.

Además, la introducción de la norma ISO 27701 exige un enfoque de la protección de datos orientado a los riesgos. Por tanto, los riesgos y su probabilidad de ocurrencia deben definirse y evaluarse de forma holística para poder valorar desde el principio el nivel de daño potencial y mantenerlo lo más bajo posible.

El cumplimiento de la norma marca el camino para la inclusión en el directorio DiGA

Los obstáculos para la inclusión en el directorio DiGA por parte del BfArM alemán son elevados por buenas razones. La seguridad de la información y la protección de datos deben estar garantizadas en todo momento, a pesar de la naturaleza altamente dinámica del mundo digital. El enfoque estructurado y sistemático de las normas ISO 27001 e ISO 27701 proporciona a las empresas la base óptima para gestionar los datos de cualquier tipo de forma segura y conforme a las normas.

Los organismos de control y regulación también valoran la aplicación concienzuda y la certificación del SGSI y el PIMS como señal de un compromiso más profundo con mecanismos de protección sólidos y sostenibles, lo que puede repercutir positivamente en posibles sanciones en caso de daños.

En resumen, aunque la certificación ISO 27001 e ISO 27701 no garantiza por sí misma la inclusión en el directorio DiGA, los sistemas de gestión correspondientes cubren en gran medida las listas de comprobación del reglamento DiGA. Por tanto, constituyen un punto de partida óptimo para establecer el rumbo hacia una inclusión satisfactoria en el directorio.

DQS: Simplemente aprovechando la Calidad.

La seguridad de la información y la protección de datos son temas complejos que van mucho más allá de la seguridad informática. Abarcan aspectos técnicos, organizativos e infraestructurales y afectan a requisitos legales. Un sistema de gestión de la seguridad de la información (SGSI) conforme a la norma ISO/IEC 27001, complementado con un sistema de gestión de la información sobre privacidad (SGIP) conforme a la norma ISO/IEC 27701, es adecuado para adoptar medidas de protección eficaces.

DQS es su especialista en auditorías y certificaciones de sistemas y procesos de gestión. Con más de 35 años de experiencia y el know-how de 2.500 auditores en todo el mundo, somos su socio de certificación competente y proporcionamos respuestas a todas las preguntas relacionadas con la protección de datos y la seguridad de la información.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Estamos encantados de responder a sus preguntas

¿Cuáles son los requisitos para la certificaciónISO 27001 e ISO 27701? ¿Y cuánto esfuerzo hay que esperar? Descúbralo. Gratis y sin compromiso.

Confianza y experiencia

Nota: Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con muchos años de experiencia. Si tiene alguna pregunta sobre el contenido del texto o los servicios que ofrecemos a nuestro autor, no dude en ponerse en contacto con nosotros.

Autor
Nadja Goetz

Gerente de producto ISO 9001, así como experta DQS para sistemas de gestión de la salud y auditorías BSI-KRITIS, auditor y gerente de producto para varios estándares de calidad de rehabilitación, así como atención hospitalaria y ambulatoria.

Loading...