Le applicazioni sanitarie digitali (DiGA) offrono l'opportunità di alleviare in modo sostenibile l'enorme pressione del cambiamento demografico sul sistema sanitario. Tuttavia, prima che i dati altamente sensibili dei pazienti possano essere elaborati digitalmente, è necessario impostare una protezione affidabile e conforme agli standard di protezione dei dati. Considerando la pletora di specifiche, la maggior parte dei produttori di DiGA non vorrebbe altro che avere dei paletti chiari e degli standard certificabili che li aiutino a entrare nell'elenco dei DiGA - e prima o poi nella loro ricerca si imbattono in due standard: ISO 27001 (sicurezza delle informazioni) e ISO 27701 (protezione dei dati). Ma i corrispondenti sistemi di gestione certificati sono sufficienti nell'ambiente DiGA? Trovate la risposta in questo post del blog.

Loading...

Cosa sono le applicazioni sanitarie digitali?

Le applicazioni digitali per la salute sono dispositivi medici digitali che aiutano nella diagnosi e nella terapia delle malattie. Inoltre, sono destinate a sostenere il percorso verso uno stile di vita autodeterminato e favorevole alla salute. Sono quindi "aiutanti digitali" nelle mani dei pazienti - la "app su prescrizione".

Il regolamento europeo sui dispositivi medici (MDR) classifica i DiGA come dispositivi medici di classe di rischio I o IIa e li sottopone alle severe norme del "Regolamento sulle applicazioni sanitarie digitali" (DiGAV). Solo le applicazioni pienamente conformi a queste norme sono incluse nell'elenco dei DiGA dell'Istituto federale tedesco per i farmaci e i dispositivi medici (BfArM).

Cosa rende un'applicazione sanitaria digitale?

Il BfArM ha definito le seguenti caratteristiche che un dispositivo medico deve soddisfare per essere riconosciuto come DiGA:

  • Dispositivo medico di classe di rischio I o IIa.
  • La funzione principale è basata su tecnologie digitali
  • La funzione digitale principale ha un chiaro scopo medico (cioè non è utilizzata solo per leggere o controllare un dispositivo).
  • Supporta il rilevamento, il monitoraggio, il trattamento o l'attenuazione di una malattia o il rilevamento, il trattamento, l'attenuazione o il risarcimento di una lesione o di una disabilità.
  • Non serve come dispositivo di assistenza primaria preventiva
  • è utilizzato dal paziente o congiuntamente all'operatore sanitario, cioè non esclusivamente dal medico (anche in questo caso si tratterebbe di "apparecchiature per ufficio").

Qual è la base giuridica del DiGA?

Le applicazioni sanitarie digitali sono state rese possibili dalla promulgazione della legge sull'assistenza sanitaria digitale (DVG) il 19 dicembre 2019. Da allora, le persone con assicurazione sanitaria obbligatoria hanno diritto a ricevere DiGA - colloquialmente chiamata "app su prescrizione".

I dettagli sulla procedura di richiesta, i requisiti e la progettazione di un elenco DiGA - ovvero la base giuridica formulata per le app sanitarie digitali - sono stati regolamentati nella DiGAV dell'8 aprile 2020.

Perché abbiamo bisogno di applicazioni sanitarie digitali?

Con il cambiamento demografico, il bisogno di servizi sanitari aumenterà in modo significativo nei prossimi decenni. Questa domanda comporterà grandi sfide per l'assistenza sanitaria generale, vista la carenza di medici e infermieri già oggi prevalente. La digitalizzazione ha il potenziale per alleggerire il peso del sistema sanitario nel lungo periodo e le applicazioni sanitarie digitali possono contribuire in modo significativo a questo obiettivo. Allo stesso tempo, i requisiti per la protezione dei dati e la sicurezza delle informazioni devono essere presi in considerazione in modo efficace.

Loading...

Gestione della protezione dei dati con ISO 27701

La protezione dei dati nel contesto della sicurezza delle informazioni: un argomento interessante? Maggiori informazioni sullo standard ISO 27701 nel nostro libro bianco gratuito.

Osservando i requisiti per i DiGA, tuttavia, appare subito chiaro che non devono essere esaminati in modo isolato. Sono sempre solo una componente della totalità dell'assistenza sanitaria supportata dalla tecnologia digitale. Carte sanitarie elettroniche, cartelle cliniche elettroniche, prescrizioni elettroniche: la digitalizzazione del settore sanitario è già in pieno svolgimento e viene portata avanti passo dopo passo per tracciare la rotta di un'assistenza sanitaria aggiornata e sostenibile.

Cosa devono fare i produttori per ottenere l'approvazione DiGA?

Poiché nel settore medico vengono solitamente elaborati dati altamente sensibili dei pazienti, l'impegno richiesto per ottenere l'approvazione di un'applicazione di sanità digitale è elevato. I richiedenti devono soddisfare e documentare un'ampia gamma di requisiti. Questi includono

  • Impatto positivo sull'assistenza sanitaria
  • Sicurezza delle informazioni
  • privacy dei dati
  • Interoperabilità
  • Altri requisiti di qualità (robustezza, protezione dei consumatori, facilità d'uso, supporto ai fornitori di servizi, qualità dei contenuti medici, sicurezza dei pazienti).

"A partire dal 1° gennaio 2022, l'implementazione di un ISMS completo diventerà un requisito fondamentale per l'inclusione nella Directory DiGA".

Come si può garantire la sicurezza digitale del DiGA?

Oggi lo sviluppo (ulteriore) delle applicazioni digitali segue solitamente principi agili e dinamici per mantenere i cicli di rilascio il più brevi possibile. In questo ambiente, la sicurezza digitale non può essere garantita nel corso di una convalida una tantum delle misure tecniche. La sicurezza è un processo continuo che deve essere profondamente radicato nell'azienda.

"Applicazioni digitali per la salute e protezione dei dati: è escluso il trattamento dei dati a fini pubblicitari".

Suggerimento di lettura: Per saperne di più sugli obiettivi di protezione della sicurezza informatica, consultate questo articolo del blog.

Applicazioni sanitarie digitali e protezione dei dati: Quali dati vale la pena proteggere nel settore sanitario?

Quando si raccolgono i dati di un'organizzazione che meritano di essere protetti, l'attenzione iniziale si concentra di solito sulle informazioni sensibili e di identificazione personale, come prevede la legge tedesca sulla protezione dei dati dei pazienti. In realtà, però, tutte le informazioni che hanno un valore per un'azienda e che non devono cadere in mani non autorizzate sono degne di essere protette. Oltre ai dati regolamentati dal GDPR, sono compresi anche le roadmap strategiche e il codice dei programmi sviluppati internamente.

Che cos'è un sistema di gestione della sicurezza delle informazioni?

Poiché la sicurezza di un DiGA non può essere garantita da un controllo una tantum, i produttori devono affrontare il tema della sicurezza delle informazioni in modo strategico e sistematico. Un passo fondamentale in questo processo è l'implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS), come quello descritto nello standard internazionale ISO 27001. Questo definisce i requisiti vincolanti per garantire, gestire, controllare e migliorare continuamente la sicurezza delle informazioni.

ISO/IEC 27001:2013 | Information technology - Security techniques - Information security management systems - Requirements. Lo standard è disponibile sul sito web dell'ISO.

La DiGAV affronta la questione della "sicurezza come processo" nell'Allegato 1 e richiede ai produttori di incorporare una serie di processi in termini di ISMS. Questi includono, ad esempio

  • Valutazione delle esigenze di protezione, che determinano le esigenze di protezione di dati, applicazioni o sistemi e le rivalutano dopo ogni modifica significativa.
  • Processistrategici di gestione deirilasci, delle modifiche e delle configurazioni, che aiutano ad allineare gli ambienti di sviluppo agili con i processi MDR formalizzati.
  • inventari di tutti i prodotti di terze parti utilizzati, nonché processi appropriati per garantire che le informazioni relative alla sicurezza sui componenti di terze parti siano disponibili in modo tempestivo.

A partire dal 1° gennaio 2022, l'implementazione di un ISMS completo diventerà un requisito fondamentale per l'inclusione nell'elenco DiGA. Di conseguenza, in futuro i produttori DiGA dovranno dimostrare di avere un ISMS conforme alla serie ISO 27000, con tanto di certificato.

ISO 27001: il punto di riferimento per la sicurezza delle informazioni

Lo standard ISO 27001, riconosciuto a livello internazionale, costituisce la base ottimale per implementare efficacemente una strategia di sicurezza olistica nel senso di un ISMS strutturato. La struttura e l'approccio seguono il modello della cosiddetta High Level Structure (HLS), la struttura di base comune per i sistemi di gestione.

La HLS fornisce la struttura di base vincolante per tutti gli standard dei sistemi di gestione orientati ai processi e consente la perfetta integrazione dei requisiti degli standard nel sistema di gestione esistente, e quindi nei processi aziendali generali.

Sicurezza delle informazioni certificata secondo la norma ISO 27001

Proteggete le vostre informazioni con un sistema di gestione conforme a uno standard internazionale ★ DQS offre oltre 35 anni di esperienza nella certificazione ★.

La certificazione di un ISMS secondo la norma ISO 27001 viene effettuata secondo una procedura accreditata. In quanto tale, è considerata la prova che è stato implementato un sistema di gestione efficace e misure appropriate per proteggere sistematicamente le risorse informative. Inoltre, il certificato include un impegno al miglioramento continuo del sistema.

Applicazioni sanitarie digitali: Un caso speciale per la protezione dei dati

Poiché i dati dei pazienti sono estremamente sensibili, gli utenti delle applicazioni sanitarie digitali devono poter contare sul costante rispetto dei requisiti di legge in materia di protezione dei dati. A tal fine, il DiGAV specifica i requisiti legali del DSGVO e della legge federale tedesca sulla protezione dei dati (BDSG). Tali requisiti si applicano sia al produttore stesso che a tutti i sistemi collegati, compresi gli elaboratori di ordini come i fornitori di cloud. Nell'ambito di un DiGA, i dati personali possono essere raccolti solo previo consenso ed esclusivamente per i seguenti scopi:

  1. Per l'uso previsto del DiGA da parte degli utenti.
  2. Per fornire prove di effetti positivi della fornitura nel contesto dei test DiGA.
  3. Per fornire prove ai fini della determinazione dei prezzi in base alle prestazioni da parte dell'Associazione nazionale tedesca delle casse malattia, ai sensi dell'articolo 134 (1) frase 3 del Codice sociale tedesco, libro 5.
  4. Per garantire in modo permanente la funzionalità tecnica, la facilità d'uso e l'ulteriore sviluppo di DiGA.

Il consenso per i primi tre scopi può essere dato congiuntamente, ma deve essere ottenuto separatamente per il quarto scopo. Il trattamento dei dati per tutti gli altri scopi (in particolare per scopi pubblicitari) è escluso. Inoltre, il trattamento dei dati può avvenire solo in Germania, nell'UE o in un paese considerato equivalente secondo la legge tedesca (ad esempio, la Svizzera). Il trattamento in un Paese terzo richiederebbe una decisione di adeguatezza con una giustificazione significativa.

L'Allegato 1 del DiGAV contiene una lista di controllo con 40 dichiarazioni che considerano sia l'implementazione tecnica che l'organizzazione del produttore e dei suoi processi. Si tratta di requisiti molto concreti per l'inserimento nell'elenco DiGA.

Addendum: il GDPR consente in generale il trattamento dei dati personali all'interno dell'UE. Il trattamento al di fuori dell'UE in un cosiddetto Paese terzo è consentito, a condizione che nel Paese terzo esista un livello di protezione comparabile (decisione di adeguatezza ai sensi dell'articolo 45 del GDPR). A questo link si trova l'elenco dei Paesi con cui esiste un accordo di adeguatezza.

ISO 27701: ampliamento per includere un sistema di gestione della protezione dei dati

Poiché la protezione dei dati, come la sicurezza delle informazioni, non può essere monitorata in modo selettivo, lo standard ISO 27701 è stato pubblicato nell'agosto 2019. È considerata un cosiddetto "supplemento settoriale" alla ISO 27001 e richiede quindi l'esistenza di un ISMS corrispondente. Tuttavia, la ISO 27701 integra l'ISMS con criteri approfonditi di protezione dei dati e amplia i requisiti del Sistema di gestione delle informazioni sulla privacy (PIMS).

ISO/IEC 27701:2019 | Tecniche di sicurezza - Estensione alle norme ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni sulla privacy - Requisiti e linee guida. Lo standard è disponibile sul sito web dell'ISO.

Inoltre, lo standard fornisce best practice concrete per l'implementazione dei requisiti di protezione dei dati applicabili, indipendentemente dal fatto che si tratti del GDPR europeo o di altre normative regionali.

L'integrazione della norma ISO 27701 non garantisce automaticamente la conformità al GDPR o al DSGVO tedesco. Tuttavia, grazie al suo orientamento ampiamente congruente, fornisce un buon punto di partenza per un'implementazione di successo delle normative e rende facile per le parti responsabili proteggere ed elaborare in modo affidabile i dati personali e dimostrare la conformità ai requisiti di legge.

Un altro vantaggio derivante dall'implementazione dello standard di protezione dei dati è la designazione di chiare responsabilità nell'ambito della protezione dei dati: le responsabilità non sono suddivise tra i colleghi in base al carico di lavoro, come ampiamente diffuso, ma seguono regole chiaramente definite con contatti dedicati - i responsabili della protezione dei dati.

Inoltre, l'introduzione della norma ISO 27701 richiede un approccio alla privacy dei dati orientato al rischio. I rischi e la loro probabilità di accadimento devono quindi essere definiti e valutati in modo olistico, per poter valutare il livello di danno potenziale fin dall'inizio e mantenerlo il più basso possibile.

La conformità allo standard costituisce la base per l'inclusione nell'elenco DiGA

Gli ostacoli per l'inclusione nell'elenco DiGA da parte del BfArM tedesco sono elevati per buone ragioni. La sicurezza delle informazioni e la protezione dei dati devono essere garantite in ogni momento, nonostante la natura altamente dinamica del mondo digitale. L'approccio strutturato e sistematico delle norme ISO 27001 e ISO 27701 fornisce alle aziende la base ottimale per gestire i dati di qualsiasi tipo in modo sicuro e conforme.

Anche gli organismi di controllo e di regolamentazione valutano l'implementazione coscienziosa e la certificazione di ISMS e PIMS come un segno di un impegno più profondo nei confronti di meccanismi di protezione solidi e sostenibili - questo può avere un impatto positivo su eventuali sanzioni in caso di danni.

In breve, anche se la certificazione ISO 27001 e ISO 27701 non garantisce di per sé l'inclusione nel repertorio DiGA, i sistemi di gestione corrispondenti coprono in larga misura le liste di controllo del regolamento DiGA. Rappresentano quindi un punto di partenza ottimale per impostare il percorso verso un'inclusione di successo nel repertorio.

DQS: Fare semplicemente leva sulla qualità.

La sicurezza delle informazioni e la protezione dei dati sono argomenti complessi che vanno ben oltre la sicurezza informatica. Comprendono aspetti tecnici, organizzativi e infrastrutturali e toccano i requisiti di legge. Un sistema di gestione della sicurezza delle informazioni (ISMS) secondo la norma ISO/IEC 27001, integrato da un sistema di gestione delle informazioni sulla privacy (PIMS) secondo la norma ISO/IEC 27701, è adatto a garantire misure di protezione efficaci.

DQS è il vostro specialista per gli audit e le certificazioni di sistemi e processi di gestione. Con oltre 35 anni di esperienza e il know-how di 2.500 auditor in tutto il mondo, siamo il vostro partner competente per la certificazione e forniamo risposte a tutte le domande sulla protezione dei dati e sulla sicurezza delle informazioni.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Saremo lieti di rispondere alle vostre domande

Quali sono i requisiti per la certificazione ISO 27001 e 27701? E quanto impegno dovete aspettarvi? Scopritelo. Gratuitamente e senza impegno.

Fiducia e competenza

Nota: i nostri testi e opuscoli sono scritti esclusivamente dai nostri esperti di standard o revisori con molti anni di esperienza. Se avete domande sul contenuto del testo o sui servizi offerti al nostro autore, non esitate a contattarci.

Autore
Nadja Goetz

Product Manager ISO 9001 ed esperto DQS per i sistemi di gestione della salute ed audit BSI-KRITIS, auditor e Product Manager per vari standard della Qualità della riabilitazione e dell'assistenza ospedaliera e ambulatoriale.

Loading...