Aplikasi kesehatan digital (DiGA) menawarkan peluang untuk secara berkelanjutan mengurangi tekanan besar perubahan demografis pada sistem perawatan kesehatan. Tetapi sebelum data pasien yang sangat sensitif dapat diproses secara digital, tentu saja harus diatur untuk perlindungan yang andal yang sesuai dengan standar perlindungan data yang sesuai. Melihat banyaknya spesifikasi, sebagian besar produsen DiGA tidak menginginkan apa pun selain pagar pembatas yang jelas dan standar yang dapat disertifikasi untuk membantu mereka masuk ke dalam daftar DiGA - dan cepat atau lambat mereka akan menemukan dua standar dalam pencarian mereka: ISO 27001 (keamanan informasi) dan ISO 27701 (perlindungan data). Namun, apakah sistem manajemen bersertifikasi yang sesuai sudah cukup memadai di lingkungan DiGA? Temukan jawabannya dalam posting blog ini.

Loading...

Apa yang dimaksud dengan aplikasi kesehatan digital?

Aplikasi kesehatan digital adalah perangkat medis digital yang membantu dalam diagnosis dan terapi penyakit. Selain itu, aplikasi ini dimaksudkan untuk mendukung jalan menuju gaya hidup yang meningkatkan kesehatan yang ditentukan sendiri. Oleh karena itu, aplikasi ini merupakan "pembantu digital" di tangan pasien - "aplikasi dengan resep".

Peraturan Perangkat Medis Eropa (MDR) mengklasifikasikan DiGA sebagai perangkat medis dengan kelas risiko I atau IIa dan tunduk pada peraturan ketat "Peraturan Aplikasi Kesehatan Digital" (DiGAV). Hanya aplikasi yang sepenuhnya mematuhi peraturan ini yang dimasukkan dalam direktori DiGA di Institut Federal Jerman untuk Obat-obatan dan Alat Kesehatan (BfArM).

 

Apa yang dimaksud dengan aplikasi kesehatan digital?

BfArM telah menetapkan karakteristik berikut yang harus dipenuhi oleh perangkat medis agar dapat diakui sebagai DiGA:

  • Perangkat medis dengan kelas risiko I atau IIa.
  • Fungsi utama didasarkan pada teknologi digital
  • Fungsi digital utama memiliki tujuan medis yang jelas (misalnya, tidak hanya digunakan untuk membaca atau mengontrol perangkat)
  • Mendukung deteksi, pemantauan, perawatan atau mitigasi penyakit atau perawatan deteksi, mitigasi atau kompensasi cedera atau kecacatan
  • Tidak berfungsi sebagai perangkat perawatan primer yang bersifat preventif
  • Digunakan oleh pasien atau bersama-sama dengan penyedia layanan kesehatan, yaitu, tidak secara eksklusif oleh dokter (sekali lagi, ini akan termasuk dalam "peralatan kantor")

 

Apa dasar hukum untuk DiGA?

Aplikasi kesehatan digital dimungkinkan dengan berlakunya Undang-Undang Perawatan Kesehatan Digital (DVG) pada 19 Desember 2019. Sejak saat itu, orang-orang yang memiliki asuransi kesehatan wajib berhak untuk menerima DiGA - bahasa sehari-hari disebut sebagai "aplikasi dengan resep".

Rincian tentang proses aplikasi, persyaratan, dan desain direktori DiGA - yaitu dasar hukum yang dirumuskan untuk aplikasi kesehatan digital - diatur dalam DiGAV pada 8 April 2020.

 

Mengapa kita membutuhkan aplikasi kesehatan digital?

Dengan perubahan demografis, kebutuhan akan layanan kesehatan akan meningkat secara signifikan dalam beberapa dekade mendatang. Dan permintaan ini akan menimbulkan tantangan besar bagi layanan kesehatan umum mengingat kekurangan dokter dan perawat yang sudah lazim terjadi saat ini. Digitalisasi memiliki potensi untuk meringankan beban sistem perawatan kesehatan dalam jangka panjang, dan aplikasi kesehatan digital dapat berkontribusi secara signifikan dalam hal ini. Pada saat yang sama, persyaratan untuk perlindungan data dan keamanan informasi harus diperhitungkan secara efektif.

Loading...

Manajemen Perlindungan Data dengan ISO 27701

Perlindungan data dalam konteks keamanan informasi - topik yang menarik? Lebih banyak pengetahuan ahli tentang Standar ISO 27701 dalam White Paper gratis kami.

Melihat persyaratan untuk DiGA, bagaimanapun, dengan cepat menjadi jelas bahwa mereka tidak boleh diperiksa secara terpisah. Mereka selalu hanya satu komponen dalam totalitas perawatan kesehatan yang didukung secara digital. Kartu kesehatan elektronik, file pasien elektronik, resep elektronik - digitalisasi sektor perawatan kesehatan sudah berjalan lancar dan didorong maju selangkah demi selangkah untuk menentukan arah perawatan kesehatan yang terkini dan berkelanjutan.

 

Apa yang harus dilakukan produsen untuk mendapatkan persetujuan DiGA?

Karena data pasien yang sangat sensitif biasanya diproses di bidang medis, upaya yang diperlukan untuk mendapatkan persetujuan untuk aplikasi kesehatan digital sangat tinggi. Pemohon harus memenuhi dan mendokumentasikan berbagai persyaratan. Ini termasuk:

  • Dampak perawatan kesehatan yang positif
  • Keamanan informasi
  • Privasi data
  • Interoperabilitas
  • Persyaratan kualitas lainnya (ketahanan, perlindungan konsumen, keramahan pengguna, dukungan untuk penyedia layanan, kualitas konten medis, keselamatan pasien)

"Mulai 1 Januari 2022, penerapan ISMS yang lengkap akan menjadi persyaratan mendasar untuk dimasukkan ke dalam Direktori DiGA."

Bagaimana keamanan digital DiGA dapat dipastikan?

Saat ini, pengembangan (lebih lanjut) aplikasi digital biasanya mengikuti prinsip gesit dan dinamis untuk menjaga siklus rilis sesingkat mungkin. Dalam lingkungan ini, keamanan digital tidak dapat dipastikan dalam proses validasi satu kali tindakan teknis. Keamanan adalah proses berkelanjutan yang harus ditanamkan secara mendalam di dalam perusahaan.

"Aplikasi kesehatan digital dan perlindungan data: pemrosesan data untuk tujuan periklanan tidak termasuk."

Tips: Pelajari lebih lanjut tentang Tujuan Perlindungan Keamanan Informasi dalam artikel blog ini.

Aplikasi kesehatan digital dan perlindungan data: Data apa saja yang perlu dilindungi dalam perawatan kesehatan?

Ketika mengumpulkan data organisasi yang perlu dilindungi, fokus awal biasanya pada informasi sensitif dan dapat diidentifikasi secara pribadi, atau seperti yang disyaratkan oleh Undang-Undang Perlindungan Data Pasien Jerman. Namun pada kenyataannya, semua informasi yang bernilai bagi perusahaan dan tidak boleh jatuh ke tangan yang tidak berwenang layak untuk dilindungi. Selain data yang diatur oleh GDPR, ini juga mencakup peta jalan strategis dan kode program yang dikembangkan sendiri.

Apa yang dimaksud dengan sistem manajemen keamanan informasi?

Karena keamanan DiGA tidak dapat dipastikan dengan pemeriksaan satu kali, produsen harus melakukan pendekatan terhadap topik keamanan informasi secara strategis dan sistematis. Langkah penting dalam proses ini adalah penerapan sistem manajemen keamanan informasi (ISMS), seperti yang dijelaskan dalam standar internasional ISO 27001. Ini mendefinisikan persyaratan yang mengikat untuk memastikan, mengelola, mengendalikan, dan terus meningkatkan keamanan informasi.

ISO/IEC 27001:2013 | Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Persyaratan. Standar ini tersedia di situs web ISO.

DiGAV membahas masalah "keamanan sebagai proses" dalam Lampiran 1 dan mengharuskan produsen untuk menanamkan serangkaian proses dalam hal SMKI. Ini termasuk, misalnya:

  • Penilaian kebutuhan perlindungan, yang menentukan kebutuhan perlindungan data, aplikasi, atau sistem dan menilainya kembali setelah setiap perubahan yang signifikan
  • Proses manajemenrilis, perubahan, dan konfigurasistrategis yang membantu menyelaraskan lingkungan pengembangan yang lincah dengan proses MDR yang diformalkan
  • Inventarisasi semua produk pihak ketiga yang digunakan, serta proses yang tepat untuk memastikan bahwa informasi terkait keamanan pada komponen pihak ketiga tersedia secara tepat waktu.

 

Mulai 1 Januari 2022, penerapan ISMS yang lengkap akan menjadi persyaratan mendasar untuk dimasukkan ke dalam direktori DiGA. Akibatnya, produsen DiGA di masa depan akan diminta untuk menunjukkan ISMS sesuai dengan seri ISO 27000, termasuk sertifikat.

 

ISO 27001: Tolok ukur untuk keamanan informasi

Standar ISO 27001 yang diakui secara internasional membentuk dasar optimal untuk menerapkan strategi keamanan holistik secara efektif dalam arti ISMS yang terstruktur. Struktur dan pendekatannya mengikuti model yang disebut High Level Structure (HLS), struktur dasar yang umum untuk sistem manajemen.

HLS menyediakan struktur dasar yang mengikat untuk semua standar sistem manajemen yang berorientasi pada proses dan memungkinkan integrasi tanpa batas dari persyaratan standar ke dalam sistem manajemen yang ada - dan dengan demikian ke dalam proses bisnis umum perusahaan.

Keamanan informasi tersertifikasi menurut ISO 27001

Lindungi informasi Anda dengan sistem manajemen sesuai dengan standar internasional ★ DQS menawarkan pengalaman lebih dari 35 tahun dalam sertifikasi ★.

Sertifikasi SMKI menurut ISO 27001 dilakukan sesuai dengan prosedur yang terakreditasi. Dengan demikian, ini dianggap sebagai bukti bahwa sistem manajemen yang sukses dan langkah-langkah yang tepat telah diterapkan untuk melindungi aset informasi secara sistematis. Selain itu, sertifikat ini juga mencakup komitmen untuk melakukan perbaikan sistem secara berkelanjutan.

 

Aplikasi kesehatan digital: Kasus khusus untuk perlindungan data

Karena data pasien sangat sensitif, pengguna aplikasi kesehatan digital harus dapat mengandalkan persyaratan hukum mengenai perlindungan data yang dipatuhi setiap saat. Untuk tujuan ini, DiGAV menetapkan persyaratan hukum dari DSGVO dan Undang-Undang Perlindungan Data Federal Jerman (BDSG). Persyaratan ini berlaku untuk produsen itu sendiri dan untuk semua sistem yang terhubung, termasuk pemroses pesanan seperti penyedia cloud. Dalam lingkup DiGA, data pribadi hanya dapat dikumpulkan setelah persetujuan diberikan dan secara eksklusif untuk tujuan berikut:

  1. Untuk tujuan penggunaan DiGA oleh pengguna.
  2. Untuk memberikan bukti efek pasokan positif dalam konteks pengujian DiGA
  3. Untuk memberikan bukti untuk tujuan penetapan harga berbasis kinerja oleh Asosiasi Dana Asuransi Kesehatan Nasional Jerman sesuai dengan Pasal 134 (1) Kalimat 3 Kode Sosial Jerman, Buku 5.
  4. Untuk menjamin fungsionalitas teknis, keramahan pengguna, dan pengembangan lebih lanjut DiGA secara permanen.

Persetujuan untuk tiga tujuan pertama dapat diberikan secara bersama-sama, tetapi harus diperoleh secara terpisah untuk tujuan keempat. Pemrosesan data untuk semua tujuan lain (terutama untuk tujuan periklanan) tidak termasuk. Selain itu, pemrosesan data hanya dapat dilakukan di Jerman, Uni Eropa, atau negara yang dianggap setara menurut hukum Jerman (misalnya, Swiss). Pemrosesan di negara ketiga akan memerlukan keputusan kecukupan dengan justifikasi yang berarti.

Lampiran 1 DiGAV berisi daftar periksa dengan 40 pernyataan yang mempertimbangkan implementasi teknis dan organisasi produsen serta prosesnya. Ini adalah persyaratan yang sangat konkret untuk pencantuman dalam direktori DiGA.

Tambahan: GDPR secara umum mengizinkan pemrosesan data pribadi di dalam UE. Pemrosesan di luar UE di negara ketiga yang disebut diizinkan, asalkan tingkat perlindungan yang sebanding ada di negara ketiga (keputusan kecukupan berdasarkan Pasal 45 GDPR). Di balik tautan ini, Anda akan menemukan daftar negara yang memiliki perjanjian kecukupan.

 

ISO 27701: Perluasan untuk menyertakan sistem manajemen perlindungan data

Karena perlindungan data, mirip dengan keamanan informasi, tidak dapat dipantau secara selektif, standar ISO 27701 diterbitkan pada bulan Agustus 2019. Standar ini dianggap sebagai "suplemen khusus sektoral" untuk ISO 27001 dan dengan demikian membutuhkan keberadaan SMKI yang sesuai. Namun, ISO 27701 melengkapi ISMS dengan kriteria perlindungan data yang mendalam dan memperluas persyaratan untuk Sistem Manajemen Informasi Privasi (PIMS).

ISO / IEC 27701: 2019 | Teknik keamanan - Perluasan ISO/IEC 27001 dan ISO/IEC 27002 untuk manajemen informasi privasi - Persyaratan dan pedoman. Standar ini tersedia di situs web ISO.

Selain itu, standar ini memberikan praktik terbaik yang konkret untuk menerapkan persyaratan perlindungan data yang berlaku - terlepas dari apakah itu GDPR Eropa atau peraturan regional lainnya.

Integrasi ISO 27701 secara eksplisit tidak secara otomatis memastikan kepatuhan terhadap GDPR atau DSGVO Jerman. Namun, karena orientasinya yang sebagian besar kongruen, ini memberikan titik awal yang baik untuk keberhasilan penerapan peraturan dan memudahkan pihak yang bertanggung jawab untuk melindungi dan memproses data pribadi secara andal dan menunjukkan kepatuhan terhadap persyaratan hukum.

Manfaat lain yang didapat dari penerapan standar perlindungan data adalah penetapan tanggung jawab yang jelas di bidang perlindungan data: tanggung jawab tidak dibagi di antara kolega berdasarkan beban kerja, seperti yang banyak dilakukan, tetapi mengikuti aturan yang ditetapkan secara jelas dengan kontak khusus - petugas perlindungan data.

Selain itu, pengenalan ISO 27701 membutuhkan pendekatan yang berorientasi pada risiko terhadap privasi data. Oleh karena itu, risiko dan kemungkinan terjadinya harus didefinisikan dan dievaluasi secara holistik agar dapat menilai tingkat potensi kerusakan sejak awal dan menjaganya serendah mungkin.

 

Kepatuhan terhadap standar menentukan arah untuk dimasukkan ke dalam direktori DiGA

Rintangan untuk dimasukkan ke dalam direktori DiGA oleh BfArM Jerman sangat tinggi karena alasan yang baik. Keamanan informasi dan perlindungan data harus dijamin setiap saat meskipun sifat dunia digital sangat dinamis. Pendekatan terstruktur dan sistematis dari ISO 27001 dan ISO 27701 memberi perusahaan dasar yang optimal untuk mengelola data dalam bentuk apa pun dengan cara yang aman dan patuh.

Badan pengawas dan pengatur juga menilai penerapan dan sertifikasi ISMS dan PIMS yang cermat sebagai tanda keterlibatan yang lebih dalam dengan mekanisme perlindungan yang kuat dan berkelanjutan - hal ini dapat berdampak positif pada kemungkinan sanksi jika terjadi kerusakan.

Singkatnya, meskipun sertifikasi ISO 27001 dan ISO 27701 itu sendiri tidak menjamin pencantuman dalam direktori DiGA, sistem manajemen yang sesuai mencakup sebagian besar daftar periksa peraturan DiGA. Oleh karena itu, mereka memberikan titik awal yang optimal untuk menetapkan arah agar berhasil dimasukkan ke dalam direktori.

 

DQS: Simply leveraging Quality.

Keamanan informasi dan perlindungan data adalah topik kompleks yang jauh melampaui keamanan TI. Mereka mencakup aspek teknis, organisasi dan infrastruktur dan menyentuh persyaratan hukum. Sistem manajemen keamanan informasi (ISMS) menurut ISO/IEC 27001, dilengkapi dengan sistem manajemen informasi privasi (PIMS) menurut ISO/IEC 27701, cocok untuk tindakan perlindungan yang efektif.

DQS adalah spesialis Anda untuk audit dan sertifikasi sistem dan proses manajemen. Dengan pengalaman lebih dari 35 tahun dan pengetahuan dari 2.500 auditor di seluruh dunia, kami adalah mitra sertifikasi yang kompeten dan memberikan jawaban atas semua pertanyaan mengenai perlindungan data dan keamanan informasi.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Kami dengan senang hati akan menjawab pertanyaan Anda

Apa saja persyaratan untuk sertifikasi ISO 27001 dan ISO 27701? Berapa banyak upaya yang harus Anda lakukan? Cari tahu di sini gratis dan tanpa kewajiban.

Kepercayaan dan keahlian

Catatan: Teks dan brosur kami ditulis secara eksklusif oleh para ahli atau auditor standar kami dengan pengalaman bertahun-tahun. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, jangan ragu untuk menghubungi kami.

Penulis
Nadja Goetz

Manajer produk ISO 9001 serta ahli DQS untuk sistem manajemen kesehatan dan audit BSI-KRITIS, auditor dan manajer produk untuk berbagai standar kualitas rehabilitasi serta rawat inap dan rawat jalan.

Loading...