Les applications numériques dans le domaine de la santé (DiGA) offrent la possibilité d'alléger durablement l'énorme pression que l'évolution démographique exerce sur le système de santé. Mais avant de pouvoir traiter numériquement les données très sensibles des patients, il faut poser les jalons d'une protection fiable conforme aux normes de protection des données appropriées. Au vu de la pléthore de spécifications, la plupart des fabricants de DiGA ne souhaitent rien de plus que des garde-fous clairs et des normes certifiables pour les aider à s'inscrire sur la liste DiGA - et tôt ou tard, ils tombent sur deux normes dans leur recherche : ISO 27001 (sécurité de l'information) et ISO 27701 (protection des données). Mais les systèmes de gestion certifiés correspondants sont-ils suffisants dans l'environnement DiGA ? Vous trouverez la réponse dans cet article de blog.
CONTENU
- Que sont les applications numériques de santé ?
- Pourquoi avons-nous besoin d'applications numériques de santé ?
- Que doivent faire les fabricants pour obtenir l'approbation DiGA ?
- Comment la sécurité numérique DiGA peut-elle être assurée ?
- Quelles sont les données de santé qui méritent d'être protégées ?
- Qu'est-ce qu'un système de gestion de la sécurité de l'information ?
- ISO 27001 : la référence en matière de sécurité de l'information
- Un cas se casparticulierde la protection des données
- ISO 27701 : Extension à un système de gestion de la protection des données
- La conformité à la norme comme base pour l'inscription au répertoire DiGA
- DQS : La qualité en toute simplicité.
Que sont les applications numériques de santé ?
Les applications numériques de santé sont des dispositifs médicaux numériques qui aident au diagnostic et à la thérapie des maladies. En outre, elles sont destinées à soutenir le chemin vers un mode de vie autodéterminé et favorable à la santé. Elles sont donc des "aides numériques" entre les mains des patients - l'"application sur ordonnance".
Le règlement européen sur les dispositifs médicaux (MDR) classe les DiGA parmi les dispositifs médicaux de la classe de risque I ou IIa et les soumet aux règles strictes du "règlement sur les applications de santé numérique" (DiGAV). Seules les applications qui respectent pleinement cette réglementation sont incluses dans le répertoire DiGA de l'Institut fédéral allemand des médicaments et des dispositifs médicaux (BfArM).
Qu'est-ce qu'une application de santé numérique ?
Le BfArM a défini les caractéristiques suivantes qu'un dispositif médical doit respecter pour être reconnu comme un DiGA :
- Dispositif médical de classe de risque I ou IIa.
- La fonction principale est basée sur les technologies numériques
- La fonction numérique principale a une finalité médicale claire (c'est-à-dire qu'elle n'est pas uniquement utilisée pour lire ou contrôler un dispositif)
- contribue à la détection, au suivi, au traitement ou à l'atténuation d'une maladie ou à la détection, au traitement, à l'atténuation ou à la compensation d'une blessure ou d'un handicap
- ne sert pas de dispositif de soins primaires préventifs
- est utilisé par le patient ou conjointement avec le prestataire de soins de santé, c'est-à-dire qu'il n'est pas utilisé exclusivement par le médecin (là encore, il s'agirait d'un "équipement de bureau").
Quelle est la base juridique de DiGA ?
Les applications numériques de santé ont été rendues possibles par la promulgation de la loi sur les soins de santé numériques (DVG) le 19 décembre 2019. Depuis lors, les personnes bénéficiant de l'assurance maladie obligatoire ont le droit de recevoir la DiGA - appelée familièrement "app sur ordonnance".
Les détails sur le processus de demande, les exigences et la conception d'un répertoire DiGA - c'est-à-dire la base juridique formulée pour les apps de santé numériques - ont été réglementés dans la DiGAV du 8 avril 2020.
Pourquoi avons-nous besoin d'applications numériques de santé ?
Avec l'évolution démographique, le besoin en services de santé va augmenter considérablement au cours des prochaines décennies. Et cette demande entraînera des défis majeurs pour les soins de santé généraux, compte tenu de la pénurie de médecins et d'infirmiers qui sévit déjà aujourd'hui. La numérisation a le potentiel de soulager la charge du système de santé à long terme, et les applications numériques de santé peuvent y contribuer de manière significative. Dans le même temps, les exigences en matière de protection des données et de sécurité des informations doivent être prises en compte de manière efficace.
Si l'on examine les exigences relatives à DiGA, il apparaît rapidement qu'elles ne doivent pas être examinées isolément. Elles ne sont toujours qu'une composante de l'ensemble des soins de santé à support numérique. Cartes de santé électroniques, dossiers médicaux électroniques, ordonnances électroniques - la numérisation du secteur de la santé bat déjà son plein et progresse pas à pas afin de poser les jalons d'une médecine moderne et durable.
Que doivent faire les fabricants pour obtenir l'approbation de la DiGA ?
Étant donné que des données très sensibles sur les patients sont généralement traitées dans le domaine médical, les efforts requis pour obtenir l'approbation d'une application de santé numérique sont élevés. Les candidats doivent répondre à un large éventail d'exigences et les documenter. Celles-ci comprennent
- Un impact positif sur les soins de santé
- la sécurité des informations
- la confidentialité des données
- Interopérabilité
- Autres exigences de qualité (robustesse, protection des consommateurs, convivialité, soutien aux prestataires de services, qualité du contenu médical, sécurité des patients).
"À partir du 1er janvier 2022, la mise en œuvre d'un SMSI complet deviendra une exigence fondamentale pour l'inclusion dans le répertoire DiGA."
Comment assurer la sécurité numérique de DiGA ?
Aujourd'hui, le développement (ultérieur) des applications numériques suit généralement des principes agiles et dynamiques afin de maintenir des cycles de publication aussi courts que possible. Dans cet environnement, la sécurité numérique ne peut pas être assurée dans le cadre d'une validation ponctuelle des mesures techniques. La sécurité est un processus continu qui doit être profondément ancré dans l'entreprise.
"Applications numériques de santé et protection des données : le traitement des données à des fins publicitaires est exclu."
Conseil de lecture: Apprenez-en davantage sur les objectifs de protection de la sécurité de l'information dans cet article de blog.
Applications de santé numérique et protection des données : Quelles sont les données à protéger dans le secteur de la santé ?
Lorsque l'on rassemble les données d'une organisation qui méritent d'être protégées, on se concentre généralement sur les informations sensibles et personnellement identifiables, comme l'exige la loi allemande sur la protection des données des patients. Mais en fait, toutes les informations qui ont de la valeur pour une entreprise et qui ne doivent pas tomber entre des mains non autorisées méritent d'être protégées. Outre les données réglementées par le GDPR, cela inclut également les feuilles de route stratégiques et le code de programme développé en interne.
Qu'est-ce qu'un système de gestion de la sécurité de l'information ?
La sécurité d'un DiGA ne pouvant être assurée par un contrôle ponctuel, les fabricants doivent aborder le sujet de la sécurité de l'information de manière stratégique et systématique. Une étape cruciale de ce processus est la mise en œuvre d'un système de gestion de la sécurité de l'information (SGSI), tel que celui décrit dans la norme internationale ISO 27001. Celle-ci définit des exigences contraignantes pour assurer, gérer, contrôler et améliorer en permanence la sécurité de l'information.
ISO/IEC 27001:2013 | Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences. La norme est disponible sur le site Web de l'ISO.
La DiGAV aborde la question de la "sécurité en tant que processus" dans l'annexe 1 et exige que les fabricants intègrent une série de processus en termes de SMSI. Ceux-ci comprennent, par exemple, les éléments suivants
- L'évaluation des besoins de protection, qui détermine les besoins de protection des données, des applications ou des systèmes et les réévalue après chaque changement significatif.
- Des processus de gestionstratégique desversions, des changements et des configurations, qui aident à aligner les environnements de développement agiles sur les processus formalisés de MDR
- Desinventaires de tous les produits tiers utilisés, ainsi que des processus appropriés pour garantir que les informations relatives à la sécurité des composants tiers sont disponibles en temps voulu.
À partir du 1er janvier 2022, la mise en œuvre d'un SMSI complet deviendra une exigence fondamentale pour l'inclusion dans le répertoire DiGA. Par conséquent, les fabricants de la DiGA devront à l'avenir faire la preuve d'un SMSI conforme à la série ISO 27000, y compris un certificat.
ISO 27001 : la référence en matière de sécurité de l'information
La norme ISO 27001, reconnue internationalement, constitue la base optimale pour la mise en œuvre efficace d'une stratégie de sécurité holistique au sens d'un SMSI structuré. La structure et l'approche suivent le modèle de la "High Level Structure" (HLS), la structure de base commune des systèmes de gestion.
La HLS fournit la structure de base contraignante pour toutes les normes de systèmes de gestion orientées processus et permet l'intégration transparente des exigences des normes dans le système de gestion existant - et donc dans les processus généraux de l'entreprise.
Sécurité de l'information certifiée selon la norme ISO 27001
Protégez vos informations avec un système de gestion conforme à une norme internationale ★ DQS offre plus de 35 ans d'expérience en matière de certification ★.
La certification d'un SMSI selon la norme ISO 27001 est réalisée selon une procédure accréditée. À ce titre, elle est considérée comme la preuve qu'un système de gestion performant et des mesures appropriées ont été mis en œuvre pour protéger systématiquement les actifs informationnels. En outre, le certificat comprend un engagement d'amélioration continue du système.
Applications numériques de santé : Un cas particulier pour la protection des données
Les données des patients étant extrêmement sensibles, les utilisateurs d'applications numériques de santé doivent pouvoir compter sur le respect permanent des exigences légales en matière de protection des données. À cette fin, la DiGAV précise les exigences légales de la DSGVO et de la loi fédérale allemande sur la protection des données (BDSG). Elles s'appliquent à la fois au fabricant lui-même et à tous les systèmes connectés, y compris les processeurs de commandes tels que les fournisseurs de cloud. Dans le cadre d'un DiGA, les données personnelles ne peuvent être collectées qu'après consentement et exclusivement aux fins suivantes :
- Pour l'utilisation prévue du DiGA par les utilisateurs.
- Pour fournir des preuves des effets positifs de l'offre dans le cadre des tests de la DiGA.
- Pour fournir des preuves aux fins de la tarification basée sur les performances par l'Association nationale allemande des caisses d'assurance maladie, conformément à l'article 134 (1), phrase 3 du Code social allemand, livre 5.
- Garantir en permanence la fonctionnalité technique, la convivialité et le développement futur de la DiGA.
Le consentement pour les trois premiers objectifs peut être donné conjointement, mais doit être obtenu séparément pour le quatrième objectif. Le traitement des données à toutes autres fins (notamment à des fins publicitaires) est exclu. En outre, le traitement des données ne peut avoir lieu qu'en Allemagne, dans l'UE ou dans un pays considéré comme équivalent selon le droit allemand (par exemple, la Suisse). Le traitement dans un pays tiers nécessiterait une décision d'adéquation avec une justification significative.
L'annexe 1 de la DiGAV contient une liste de contrôle avec 40 déclarations qui considèrent à la fois la mise en œuvre technique et l'organisation du fabricant et de ses processus. Il s'agit d'exigences très concrètes pour une inscription dans le répertoire DiGA.
Addendum: Le GDPR autorise généralement le traitement des données personnelles au sein de l'UE. Le traitement en dehors de l'UE dans un pays dit tiers est autorisé, à condition qu'un niveau de protection comparable existe dans le pays tiers (décision d'adéquation en vertu de l'article 45 du GDPR). Derrière ce lien , vous trouverez la liste des pays avec lesquels un accord d'adéquation existe.
ISO 27701 : Extension pour inclure un système de gestion de la protection des données
Comme la protection des données, à l'instar de la sécurité de l'information, ne peut pas être contrôlée de manière sélective, la norme ISO 27701 a été publiée en août 2019. Elle est considérée comme un soi-disant "supplément sectoriel" à la norme ISO 27001 et exige donc l'existence d'un SMSI correspondant. Toutefois, la norme ISO 27701 complète le SMSI par des critères approfondis de protection des données et élargit les exigences relatives au système de gestion des informations sur la vie privée (PIMS).
ISO/IEC 27701:2019 | Techniques de sécurité - Extension aux normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion des informations sur la vie privée - Exigences et lignes directrices. La norme est disponible sur le site Web de l'ISO.
En outre, la norme fournit des meilleures pratiques concrètes pour la mise en œuvre des exigences applicables en matière de protection des données - qu'il s'agisse du GDPR européen ou d'autres réglementations régionales.
L'intégration de la norme ISO 27701 ne garantit pas automatiquement la conformité au GDPR ou au DSGVO allemand. Toutefois, en raison de son orientation largement congruente, elle constitue un bon point de départ pour une mise en œuvre réussie de ces réglementations et permet aux parties responsables de protéger et de traiter les données personnelles de manière fiable et de démontrer leur conformité aux exigences légales.
Un autre avantage de la mise en œuvre de la norme de protection des données est la désignation de responsabilités claires dans le domaine de la protection des données : les responsabilités ne sont pas réparties entre les collègues en fonction de la charge de travail, comme cela est largement répandu, mais suivent des règles clairement définies avec des contacts dédiés - les responsables de la protection des données.
En outre, l'introduction de la norme ISO 27701 exige une approche de la confidentialité des données axée sur les risques. Les risques et leur probabilité d'occurrence doivent donc être définis et évalués de manière holistique afin de pouvoir évaluer dès le départ le niveau des dommages potentiels et le maintenir aussi bas que possible.
La conformité à la norme ouvre la voie à l'inscription dans le répertoire DiGA
Les obstacles à l'inclusion dans le répertoire DiGA par le BfArM allemand sont élevés pour de bonnes raisons. La sécurité de l'information et la protection des données doivent être garanties à tout moment, malgré la nature hautement dynamique du monde numérique. L'approche structurée et systématique des normes ISO 27001 et ISO 27701 offre aux entreprises une base optimale pour gérer les données de toute nature de manière sûre et conforme.
Les organismes de contrôle et de réglementation considèrent également la mise en œuvre consciencieuse et la certification des ISMS et PIMS comme le signe d'un engagement plus profond en faveur de mécanismes de protection robustes et durables - ce qui peut avoir un impact positif sur les sanctions éventuelles en cas de dommage.
En résumé, même si la certification ISO 27001 et ISO 27701 ne garantit pas en soi l'inclusion dans le répertoire DiGA, les systèmes de gestion correspondants couvrent dans une large mesure les listes de contrôle du règlement DiGA. Ils constituent donc un point de départ optimal pour poser les jalons d'une inscription réussie dans le répertoire.
DQS : Tirer parti de la qualité, tout simplement.
La sécurité de l'information et la protection des données sont des sujets complexes qui vont bien au-delà de la sécurité informatique. Ils englobent des aspects techniques, organisationnels et infrastructurels et touchent aux exigences de la loi. Un système de gestion de la sécurité de l'information (ISMS) selon ISO/IEC 27001, complété par un système de gestion des informations sur la vie privée (PIMS) selon ISO/IEC 27701, est adapté à des mesures de protection efficaces.
DQS est votre spécialiste des audits et certifications de systèmes et processus de gestion. Avec plus de 35 ans d'expérience et le savoir-faire de 2500 auditeurs dans le monde, nous sommes votre partenaire de certification compétent et apportons des réponses à toutes les questions concernant la protection des données et la sécurité de l'information.
We are happy to answer your questions
Quelles sont les exigences pour la certification ISO 27001 et 27701? Et à quel effort devez-vous vous attendre ? Découvrez-le. Gratuitement et sans engagement.
Confiance et expertise
Remarque: nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs disposant d'une longue expérience. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous contacter.
Bulletin d'information DQS
Nadja Goetz
Experte DQS pour les systèmes de gestion des soins de santé et les audits BSI-KRITIS, auditrice et gestionnaire de produits pour diverses normes de qualité dans le domaine de la réadaptation ainsi que des soins hospitaliers et ambulatoires.