Digitális egészségügyi alkalmazások - Az adatvédelem különleges esete

TARTALOM

• Mik azok a digitális egészségügyi alkalmazások?
• Miért van szükségünk digitális egészségügyi alkalmazásokra?
• Mit kell tennie a gyártóknak a DiGA jóváhagyásához?
• Hogyan biztosítható a DiGA digitális biztonsága?
• Milyen egészségügyi adatokat érdemes védeni?
• Mi az az információbiztonsági irányítási rendszer?
• ISO 27001: az információbiztonság mércéje
• A specialcase for data protection
• ISO 27701: Az adatvédelmi irányítási rendszerrel való bővítés
• A szabványnak való megfelelés, mint alap a DiGA-jegyzékbe való felvételhez
• DQS: A minőség egyszerű kihasználása.

Mik azok a digitális egészségügyi alkalmazások?

A digitális egészségügyi alkalmazások olyan digitális orvosi eszközök, amelyek segítenek a betegségek diagnosztizálásában és terápiájában. Ezen túlmenően a céljuk, hogy támogassák az önrendelkező, egészséget elősegítő életmódhoz vezető utat. Ezek tehát "digitális segítők" a betegek kezében - a "receptre kapható alkalmazás".

Az európai orvostechnikai eszközrendelet (MDR) a DiGA-t az I. vagy IIa. kockázati osztályba tartozó orvostechnikai eszközként sorolja be, és a "digitális egészségügyi alkalmazásokról szóló rendelet" (DiGAV) szigorú szabályozása alá vonja. Csak olyan alkalmazások kerülnek be a német Szövetségi Gyógyszer- és Orvostechnikai Eszközügyi Intézet (BfArM) DiGA-jegyzékébe, amelyek teljes mértékben megfelelnek ezeknek a szabályozásoknak.

Mitől lesz digitális egészségügyi alkalmazás?

A BfArM a következő jellemzőket határozta meg, amelyeknek egy orvostechnikai eszköznek meg kell felelnie ahhoz, hogy DiGA-ként ismerjék el:

• I. vagy IIa. kockázati osztályba tartozó orvostechnikai eszköz.
• Fő funkciója digitális technológiákon alapul
• A fő digitális funkciónak egyértelmű orvosi célja van (azaz nem csak egy eszköz kiolvasására vagy vezérlésére szolgál).
• Támogatja a betegség felismerését, nyomon követését, kezelését vagy enyhítését, illetve a sérülés vagy fogyatékosság felismerését, kezelését, enyhítését vagy kompenzálását.
• Nem szolgál megelőző alapellátási eszközként
• A beteg vagy az egészségügyi szolgáltatóval közösen használja, azaz nem kizárólag az orvos (ez is az "irodai berendezések" közé tartozik).

Mi a jogalapja a DiGA-nak?

A digitális egészségügyi alkalmazásokat a digitális egészségügyi ellátásról szóló törvény (DVG) 2019. december 19-i hatályba lépése tette lehetővé. Azóta a törvényes egészségbiztosítással rendelkezők jogosultak DiGA - a köznyelvben "vényköteles alkalmazásként" emlegetett - szolgáltatásra.

Az igénylési folyamatra, a követelményekre és a DiGA-könyvtár kialakítására - azaz a digitális egészségügyi alkalmazások megfogalmazott jogalapjára - vonatkozó részleteket a 2020. április 8-i DiGAV szabályozta.

Miért van szükségünk digitális egészségügyi alkalmazásokra?

A demográfiai változásokkal az egészségügyi szolgáltatások iránti igény jelentősen meg fog nőni az elkövetkező évtizedekben. Ez az igény pedig az általános egészségügyi ellátás számára komoly kihívásokhoz fog vezetni, tekintettel az orvos- és ápolóhiányra, amely már ma is jellemző. A digitalizáció hosszú távon tehermentesítheti az egészségügyi rendszert, és a digitális egészségügyi alkalmazások jelentősen hozzájárulhatnak ehhez. Ugyanakkor hatékonyan figyelembe kell venni az adatvédelem és az információbiztonság követelményeit.

A DiGA-ra vonatkozó követelményeket vizsgálva azonban gyorsan világossá válik, hogy azokat nem szabad elszigetelten vizsgálni. Ezek mindig csak egy összetevői a digitálisan támogatott egészségügyi ellátás egészének. Elektronikus egészségügyi kártyák, elektronikus betegakták, elektronikus receptek - az egészségügyi ágazat digitalizálása már javában zajlik, és lépésről lépésre halad előre a korszerű és fenntartható egészségügyi ellátás irányának kijelölése érdekében.

Mit kell tennie a gyártóknak a DiGA jóváhagyás megszerzéséhez?

Mivel az orvosi területen általában rendkívül érzékeny betegadatokat dolgoznak fel, a digitális egészségügyi alkalmazások jóváhagyásának megszerzéséhez nagy erőfeszítéseket kell tenni. A kérelmezőknek számos követelménynek kell megfelelniük és dokumentálniuk. Ezek közé tartoznak a következők:

• Pozitív egészségügyi hatás
• Információbiztonság
• Adatvédelem
• Interoperabilitás
• Egyéb minőségi követelmények (robusztusság, fogyasztóvédelem, felhasználóbarátság, a szolgáltatók támogatása, az orvosi tartalom minősége, betegbiztonság).

Hogyan biztosítható a DiGA digitális biztonsága?

Napjainkban a digitális alkalmazások (tovább)fejlesztése általában agilis és dinamikus elveket követ, hogy a kiadási ciklusok minél rövidebbek legyenek. Ebben a környezetben a digitális biztonság nem biztosítható a technikai intézkedések egyszeri validálása során. A biztonság egy folyamatos folyamat, amelyet mélyen be kell építeni a vállalkozásba.

Digitális egészségügyi alkalmazások és adatvédelem: Milyen adatokat érdemes védeni az egészségügyben?

Egy szervezet védendő adatainak összegyűjtésekor a kezdeti hangsúly általában az érzékeny, személyazonosításra alkalmas adatokon van, legalábbis a német betegadatvédelmi törvény ezt írja elő. Valójában azonban minden olyan információ védelemre érdemes, amely értéket képvisel egy vállalat számára, és nem kerülhet illetéktelen kezekbe. A GDPR által szabályozott adatokon kívül ide tartoznak a stratégiai ütemtervek és a házon belül fejlesztett programkódok is.

Mi az az információbiztonsági irányítási rendszer?

Mivel a DiGA biztonságát nem lehet egyszeri ellenőrzéssel biztosítani, a gyártóknak stratégiai és szisztematikusan kell megközelíteniük az információbiztonság témáját. Ennek a folyamatnak az egyik döntő lépése egy olyan információbiztonsági irányítási rendszer (ISMS) bevezetése, mint amilyet az ISO 27001 nemzetközi szabvány leír. Ez kötelező követelményeket határoz meg az információbiztonság biztosítására, kezelésére, ellenőrzésére és folyamatos javítására.

A DiGAV az 1. mellékletben foglalkozik a "biztonság mint folyamat" kérdésével, és előírja a gyártók számára, hogy egy sor folyamatot építsenek be egy ISMS-be. Ezek közé tartoznak például a következők:

• A védelmi szükségletek értékelése, amely meghatározza az adatok, alkalmazások vagy rendszerek védelmi szükségleteit, és minden jelentős változás után újraértékeli azokat.
• Stratégiai kiadási, változás- és konfigurációkezelési folyamatok, amelyek segítenek összehangolni az agilis fejlesztési környezeteket a formalizált MDR-folyamatokkal.
• Aharmadik féltől származó összes felhasznált termék leltára, valamint megfelelő folyamatok annak biztosítására, hogy a harmadik féltől származó komponensekre vonatkozó, biztonsággal kapcsolatos információk időben rendelkezésre álljanak.

2022. január 1-jétől a teljes körű ISMS megvalósítása alapvető követelmény lesz a DiGA-jegyzékbe való felvételhez. Ennek eredményeképpen a DiGA-gyártóknak a jövőben az ISO 27000 sorozatnak megfelelő ISMS-t kell igazolniuk, beleértve a tanúsítványt is.

ISO 27001: Az információbiztonság mércéje

A nemzetközileg elismert ISO 27001 szabvány optimális alapot képez a strukturált ISMS értelmében vett holisztikus biztonsági stratégia hatékony megvalósításához. A struktúra és a megközelítés az úgynevezett magas szintű struktúra (High Level Structure, HLS) modelljét követi, amely az irányítási rendszerek általános alapstruktúrája.

A HLS az összes folyamatorientált irányítási rendszerszabvány számára kötelező alapstruktúrát biztosít, és lehetővé teszi a szabványok követelményeinek zökkenőmentes integrálását a meglévő irányítási rendszerbe - és így a vállalat általános üzleti folyamataiba.

Az ISO 27001 szerinti tanúsított információbiztonság

Védje információit egy nemzetközi szabvány szerinti irányítási rendszerrel ★ A DQS több mint 35 éves tapasztalatot kínál a tanúsítás terén ★.

Az ISO 27001 szerinti ISMS tanúsítása akkreditált eljárás szerint történik. Mint ilyen, bizonyítéknak tekinthető arra, hogy sikeres irányítási rendszert és megfelelő intézkedéseket vezettek be az információs eszközök szisztematikus védelme érdekében. A tanúsítvány emellett magában foglalja a rendszer folyamatos fejlesztésére vonatkozó kötelezettségvállalást is.

Digitális egészségügyi alkalmazások: Az adatvédelem különleges esete

Mivel a betegadatok rendkívül érzékenyek, a digitális egészségügyi alkalmazások felhasználóinak mindenkor számítania kell az adatvédelemre vonatkozó jogi követelmények betartására. E célból a DiGAV meghatározza a DSGVO és a német szövetségi adatvédelmi törvény (BDSG) jogi követelményeit. Ezek mind magára a gyártóra, mind az összes kapcsolódó rendszerre vonatkoznak, beleértve a megbízás feldolgozókat, például a felhőszolgáltatókat is. A DiGAV hatálya alatt személyes adatok gyűjtése csak a hozzájárulás megadása után és kizárólag az alábbi célokra történhet:

1. A DiGA felhasználók általi rendeltetésszerű használatához.
2. A DiGA tesztelésével összefüggésben a pozitív kínálati hatások bizonyítása érdekében.
3. A Német Egészségbiztosítási Pénztárak Országos Szövetsége által a német szociális törvénykönyv 5. könyvének 134. szakasza (1) bekezdésének 3. mondata szerinti teljesítményalapú árképzés céljából történő bizonyítás.
4. A DiGA műszaki funkcionalitásának, felhasználóbarát jellegének és továbbfejlesztésének tartós biztosítása.

Az első három célhoz a hozzájárulás együttesen is megadható, a negyedik célhoz azonban külön-külön kell hozzájárulást kérni. Minden más célú (különösen reklámcélú) adatfeldolgozás kizárt. Ezen túlmenően az adatfeldolgozás kizárólag Németországban, az EU-ban vagy a német jog szerint egyenértékűnek tekintett országban (például Svájcban) történhet. A harmadik országban történő adatfeldolgozáshoz megfelelőségi határozatra lenne szükség, amely érdemi indoklást tartalmaz.

A DiGAV 1. melléklete egy 40 állítást tartalmazó ellenőrző listát tartalmaz, amely mind a technikai megvalósítást, mind a gyártó és folyamatai szervezetét figyelembe veszi. Ezek nagyon konkrét követelmények a DiGA-jegyzékbe való felvételhez.

Kiegészítés: A GDPR általánosságban megengedi a személyes adatok EU-n belüli feldolgozását. Az EU-n kívüli, ún. harmadik országban történő adatkezelés megengedett, feltéve, hogy a harmadik országban hasonló szintű védelem áll fenn (a GDPR 45. cikke szerinti megfelelőségi határozat). E link mögött találja azoknak az országoknak a listáját, amelyekkel létezik megfelelőségi megállapodás.

ISO 27701: Az adatvédelmi irányítási rendszerrel való bővítés

Mivel az adatvédelem az információbiztonsághoz hasonlóan nem ellenőrizhető szelektíven, 2019 augusztusában megjelent az ISO 27701 szabvány. Az ISO 27001 szabvány úgynevezett "ágazatspecifikus kiegészítésének" tekinthető, és így megköveteli a megfelelő ISMS meglétét. Az ISO 27701 azonban mélyreható adatvédelmi kritériumokkal egészíti ki az ISMS-t, és kibővíti az adatvédelmi információkezelési rendszerre (Privacy Information Management System, PIMS) vonatkozó követelményeket.

A szabvány emellett konkrét bevált gyakorlatokat kínál az alkalmazandó adatvédelmi követelmények végrehajtásához - függetlenül attól, hogy az európai GDPR-ről vagy más regionális szabályozásról van szó.

Az ISO 27701 integrálása kifejezetten nem biztosítja automatikusan a GDPR-nak vagy a német DSGVO-nak való megfelelést. Nagymértékben kongruens irányultsága miatt azonban jó kiindulópontot biztosít a szabályozások sikeres végrehajtásához, és megkönnyíti a felelősök számára a személyes adatok megbízható védelmét és feldolgozását, valamint a jogi követelményeknek való megfelelés bizonyítását.

Az adatvédelmi szabvány végrehajtásával járó másik előny az egyértelmű felelősségi körök kijelölése az adatvédelem területén: a felelősségi körök nem a munkatársak között oszlanak meg a munkaterhelés szerint, ahogyan az széles körben elterjedt, hanem egyértelműen meghatározott szabályok szerint, dedikált kapcsolattartókkal - az adatvédelmi tisztviselőkkel.

Ezen túlmenően az ISO 27701 bevezetése az adatvédelem kockázatorientált megközelítését követeli meg. A kockázatokat és azok bekövetkezési valószínűségét tehát holisztikusan kell meghatározni és értékelni, hogy már a kezdetektől fogva fel lehessen mérni a lehetséges károk szintjét, és azt a lehető legalacsonyabban lehessen tartani.

A szabványnak való megfelelés megteremti az alapot a DiGA-jegyzékbe való felvételhez.

A német BfArM által a DiGA-jegyzékbe való felvételnek jó okkal magasak az akadályai. Az információbiztonságot és az adatvédelmet a digitális világ rendkívül dinamikus természete ellenére mindenkor garantálni kell. Az ISO 27001 és az ISO 27701 strukturált és szisztematikus megközelítése optimális alapot biztosít a vállalatok számára bármilyen típusú adat biztonságos és szabályszerű kezeléséhez.

Az ellenőrző és szabályozó szervek az ISMS és a PIMS lelkiismeretes végrehajtását és tanúsítását a robusztus és fenntartható védelmi mechanizmusok iránti mélyebb elkötelezettség jeleként is értékelik - ez pozitív hatással lehet az esetleges szankciókra kár esetén.

Röviden, még ha az ISO 27001 és ISO 27701 tanúsítás önmagában nem is garantálja a DiGA-jegyzékbe való felvételt, a megfelelő irányítási rendszerek nagymértékben lefedik a DiGA-rendelet ellenőrzési listáit. Ezért optimális kiindulópontot jelentenek a címjegyzékbe való sikeres felvételhez.

DQS: Simply leveraging Quality.

Az információbiztonság és az adatvédelem összetett témák, amelyek messze túlmutatnak az IT-biztonságon. Technikai, szervezeti és infrastrukturális szempontokat foglalnak magukban, és érintik a törvényi követelményeket. Az ISO/IEC 27001 szabvány szerinti információbiztonsági irányítási rendszer (ISMS), amelyet az ISO/IEC 27701 szabvány szerinti adatvédelmi információkezelési rendszer (PIMS) egészít ki, alkalmas a hatékony védelmi intézkedésekre.

A DQS az Ön szakembere az irányítási rendszerek és folyamatok auditálásához és tanúsításához. Több mint 35 éves tapasztalatunkkal és világszerte 2500 auditor know-how-jával az Ön kompetens tanúsítási partnere vagyunk, és választ adunk az adatvédelemmel és információbiztonsággal kapcsolatos minden kérdésre.

Bizalom és szakértelem

Megjegyzés: Szövegeinket és brosúráinkat kizárólag sokéves tapasztalattal rendelkező szabványügyi szakértőink vagy auditoraink írják. Ha bármilyen kérdése van a szöveg tartalmával vagy a szerzőnknek nyújtott szolgáltatásainkkal kapcsolatban, kérjük, forduljon hozzánk bizalommal.