디지털 건강 애플리케이션(DiGA)은 의료 시스템에 대한 인구 통계학적 변화의 막대한 압력을 지속적으로 완화할 수 있는 기회를 제공합니다. 그러나 매우 민감한 환자 데이터를 디지털 방식으로 처리하기 전에 적절한 데이터 보호 표준을 준수하는 안정적인 보호를 위한 과정이 설정되어야 합니다. 많은 사양을 살펴보면 대부분의 DiGA 제조업체는 DiGA 명단에 오르는 데 도움이 되는 명확한 가이드라인과 인증 가능한 표준 이상을 원하지 않겠죠. 그러나 DiGA 환경에서 해당 인증 관리 시스템으로 충분할까요? 이 블로그 게시물에서 답을 찾아드릴게요.
Loading...
디지털 건강 애플리케이션이란 무엇입니까?
디지털 헬스 애플리케이션은 질병의 진단과 치료를 돕는 디지털 의료기기다. 또한, 스스로 결정하고 건강을 증진하는 라이프스타일로 가는 길을 지원하기 위한 것입니다. 따라서 그들은 환자의 손에 있는 "디지털 도우미", 즉 "처방전 앱"입니다.
유럽 의료 기기 규정(MDR)은 DiGA를 위험 등급 I 또는 IIa의 의료 기기로 분류하고 "디지털 건강 애플리케이션 규정"(DiGAV)의 엄격한 규정을 적용합니다. 이러한 규정을 완전히 준수하는 애플리케이션만 독일 연방 의약품 및 의료 기기 연구소(BfArM)의 DiGA 디렉토리에 포함됩니다.
디지털 건강 애플리케이션을 만드는 것은 무엇입니까?
BfArM은 DiGA로 인정받기 위해 의료 기기가 충족해야 하는 다음과 같은 특성을 정의했습니다.
- 위험 등급 I 또는 IIa의 의료 기기
- 주요 기능은 디지털 기술을 기반으로 합니다
- 주요 디지털 기능은 의료 목적이 명확합니다(즉, 장치를 판독하거나 제어하는 데만 사용되지 않음)
- 질병의 감지, 모니터링, 치료 또는 완화 또는 부상 또는 장애의 감지 치료, 완화 또는 보상을 지원합니다
- 예방적 일차의료기기로서의 역할을 하지 않습니다
- 환자가 사용하거나 의료 서비스 제공자와 공동으로 사용합니다
DiGA의 법적 근거는 무엇입니까?
2019년 12월 19일 디지털 건강 관리법(DVG)이 제정되면서 디지털 건강 애플리케이션이 가능해졌습니다. 그 이후로 법정 건강 보험에 가입한 사람들은 구어체로 "처방전 앱"이라고 하는 DiGA를 받을 자격이 생겼습니다.
DiGA 디렉토리의 신청 절차, 요구 사항 및 디자인, 즉 디지털 건강 앱에 대한 공식적인 법적 근거에 대한 세부 사항은 2020년 4월 8일자 DiGAV에서 규제되었습니다.
디지털 건강 애플리케이션이 필요한 이유는 무엇입니까?
인구 통계학적 변화로 인해 의료 서비스에 대한 필요성은 향후 수십 년 동안 크게 증가할 것입니다. 그리고 이러한 수요는 오늘날 이미 만연해 있는 의사와 간호사의 부족을 고려할 때 일반 의료 분야에 주요 과제로 이어질 것입니다. 디지털화는 장기적으로 의료 시스템의 부담을 덜어줄 잠재력이 있으며 디지털 의료 애플리케이션은 이에 크게 기여할 수 있습니다. 동시에 데이터 보호 및 정보 보안에 대한 요구 사항을 효과적으로 고려해야 합니다.
그러나 DiGA에 대한 요구 사항을 살펴보면 개별적으로 검사해서는 안 된다는 것이 금방 분명해집니다. 그들은 항상 디지털 지원 의료 전체에서 하나의 구성 요소일 뿐입니다. 전자 의료 카드, 전자 환자 파일, 전자 처방 등 의료 부문의 디지털화는 이미 본격화되고 있으며 최신의 지속 가능한 의료를 위한 과정을 설정하기 위해 단계적으로 추진되고 있습니다.
제조업체는 DiGA 승인을 얻기 위해 무엇을 해야 합니까?
매우 민감한 환자 데이터는 일반적으로 의료 분야에서 처리되기 때문에 디지털 건강 응용 프로그램에 대한 승인을 얻는 데 필요한 노력이 높습니다. 지원자는 다양한 요구 사항을 충족하고 문서화해야 합니다. 여기에는 다음이 포함됩니다.
- 긍정적인 건강 관리 영향
- 정보 보안
- 데이터 프라이버시
- 상호 운용성
- 기타 품질 요구 사항(강건성, 소비자 보호, 사용자 친화성, 서비스 제공자 지원, 의료 콘텐츠 품질, 환자 안전)
"2022년 1월 1일부터 완전한 ISMS 구현이 DiGA 디렉토리에 포함되기 위한 기본 요구 사항이 될 것입니다."
DiGA 디지털 보안은 어떻게 보장할 수 있나요?
오늘날 디지털 애플리케이션의 (추가) 개발은 일반적으로 릴리스 주기를 가능한 한 짧게 유지하기 위해 민첩하고 역동적인 원칙을 따릅니다. 이러한 환경에서는 기술적 조치의 일회성 검증 과정에서 디지털 보안을 보장할 수 없습니다. 보안은 기업에 깊숙이 박혀 있어야 하는 지속적인 프로세스입니다.
"디지털 건강 애플리케이션 및 데이터 보호: 광고 목적의 데이터 처리는 제외됩니다."
읽기 팁: 이 블로그 기사에서 정보 보안의 보호 목표에 대해 자세히 알아보세요.
디지털 의료 애플리케이션 및 데이터 보호: 의료 분야에서 보호할 가치가 있는 데이터는 무엇입니까?
보호할 가치가 있는 조직의 데이터를 수집할 때 초기 초점은 일반적으로 민감한 개인 식별 정보에 있으므로 독일 환자 데이터 보호법에서 요구합니다. 그러나 실제로 회사에 가치가 있고 무단으로 유출되어서는 안 되는 모든 정보는 보호할 가치가 있습니다. GDPR에 의해 규제되는 데이터 외에도 여기에는 사내에서 개발된 전략적 로드맵 및 프로그램 코드도 포함됩니다.
정보 보안 관리 시스템이란 무엇입니까?
DiGA의 보안은 일회성 확인으로 보장할 수 없기 때문에 제조업체는 정보 보안이라는 주제에 대해 전략적이고 체계적으로 접근해야 합니다. 이 프로세스의 중요한 단계는 국제 표준 ISO 27001에 설명된 것과 같은 정보 보안 관리 시스템(ISMS)의 구현입니다. 이는 정보 보안을 보장, 관리, 제어 및 지속적으로 개선하기 위한 구속력 있는 요구 사항을 정의합니다.
ISO/IEC 27001:2013 | 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항. 표준은 ISO 웹사이트에서 구할 수 있습니다.
DiGAV는 Annex 1의 "프로세스로서의 보안" 문제를 해결하고 제조업체가 ISMS 측면에서 일련의 프로세스를 내장하도록 요구합니다. 예를 들면 다음과 같습니다.
- 데이터, 애플리케이션 또는 시스템의 보호 요구 사항을 결정하고 중요한 변화가 있을 때마다 이를 재평가하는 보호 요구 사항 평가
- 긴밀한 개발 환경을 공식화된 MDR 프로세스와 일치시키는 데 도움이 되는 전략적 릴리스, 변경 및 구성 관리 프로세스
- 사용된 모든 타사 제품의 인벤토리 및 타사 구성 요소의 보안 관련 정보를 적시에 사용할 수 있도록 하는 적절한 프로세스
2022년 1월 1일부터 완전한 ISMS 구현이 DiGA 디렉토리에 포함되기 위한 기본 요구 사항이 됩니다. 결과적으로 DiGA 제조업체는 향후 인증서를 포함하여 ISO 27000 시리즈에 따라 ISMS를 입증해야 합니다.
ISO 27001: 정보 보안을 위한 벤치마크
국제적으로 공인된 ISO 27001 표준은 구조화된 ISMS 측면에서 전체론적 보안 전략을 효과적으로 구현하기 위한 최적의 기반을 형성합니다. 구조와 접근 방식은 관리 시스템의 공통 기본 구조인 소위 HLS(High Level Structure) 모델을 따릅니다.
HLS는 모든 프로세스 지향 관리 시스템 표준에 대한 구속력 있는 기본 구조를 제공하고 표준 요구 사항을 기존 관리 시스템에 원활하게 통합하여 회사의 일반 비즈니스 프로세스에 통합할 수 있도록 합니다.
ISO 27001에 따라 인증된 정보 보안
국제 표준에 따른 관리 시스템으로 정보를 보호하세요.
DQS는 35년 이상의 인증 경험을 제공합니다.
ISO 27001에 따른 ISMS 인증은 공인된 절차에 따라 수행됩니다. 이처럼 정보자산을 체계적으로 보호하기 위한 성공적인 관리체계와 적절한 조치가 이루어졌다는 증거로 여겨진다. 또한 인증서에는 시스템의 지속적인 개선에 대한 약속이 포함됩니다.
디지털 건강 애플리케이션: 데이터 보호를 위한 특별한 경우
환자 데이터는 매우 민감하기 때문에 디지털 건강 애플리케이션 사용자는 항상 관찰되는 데이터 보호에 관한 법적 요구 사항에 의존할 수 있어야 합니다. 이를 위해 DiGAV는 DSGVO 및 독일 연방 데이터 보호법(BDSG)의 법적 요구 사항을 지정합니다. 이는 클라우드 공급자와 같은 주문 프로세서를 포함하여 제조업체 자체와 연결된 모든 시스템에 모두 적용됩니다. DiGA의 범위 내에서 개인 데이터는 동의가 제공된 후에만 다음 목적을 위해서만 수집될 수 있습니다.
사용자의 의도된 DiGA 사용을 위해 DiGA 테스트 맥락에서 긍정적인 공급 효과의 증거 제공합니다.
독일 사회법 제5권 섹션 134(1) 문장 3에 따라 독일 국립 건강 보험 기금 협회의 성과 기반 가격 책정 목적에 대한 증거를 제공합니다.
기술적 기능, 사용자 친화성 및 DiGA의 추가 개발을 영구적으로 보장합니다.
처음 세 가지 목적에 대한 동의는 공동으로 제공될 수 있지만 네 번째 목적에 대해서는 별도로 얻어야 합니다. 다른 모든 목적(특히 광고 목적)을 위한 데이터 처리는 제외됩니다. 또한 데이터 처리는 독일, EU 또는 독일 법에 따라 동등한 것으로 간주되는 국가(예: 스위스)에서만 수행될 수 있습니다. 제3국에서 처리하는 경우 의미 있는 타당한 이유가 있는 적절성 결정이 필요합니다.
DiGAV의 Annex 1에는 기술적 구현과 제조업체 및 프로세스의 조직을 모두 고려하는 40개의 문이 포함된 체크리스트가 포함되어 있습니다. 이는 DiGA 디렉토리 목록에 대한 매우 구체적인 요구 사항입니다.
부록: GDPR은 일반적으로 EU 내에서 개인 데이터의 데이터 처리를 허용합니다. 제3국에 유사한 수준의 보호가 존재하는 경우 소위 제3국에서 EU 외부 처리가 허용됩니다(GDPR 45조에 따른 적절성 결정). 이 링크 뒤에는 적정성 계약이 존재하는 국가 목록이 있습니다.
ISO 27701: 데이터 보호 관리 시스템을 포함하도록 확장
정보 보안과 마찬가지로 데이터 보호는 선택적으로 모니터링할 수 없기 때문에 ISO 27701 표준은 2019년 8월에 게시되었습니다. ISO 27001에 대한 소위 "섹터별 보충"으로 간주되므로 해당 ISMS의 존재가 필요합니다. 그러나 ISO 27701은 심층 데이터 보호 기준으로 ISMS를 보완하고 개인 정보 관리 시스템(PIMS)에 대한 요구 사항을 확장합니다.
ISO/IEC 27701:2019 | 보안 기술 - 개인 정보 관리를 위한 ISO/IEC 27001 및 ISO/IEC 27002 확장 - 요구 사항 및 지침. 표준은 ISO 웹사이트에서 구할 수 있습니다.
또한 이 표준은 유럽 GDPR 또는 기타 지역 규정에 관계없이 적용 가능한 데이터 보호 요구 사항을 구현하기 위한 구체적인 모범 사례를 제공합니다.
ISO 27701의 통합은 명시적으로 GDPR 또는 독일 DSGVO 준수를 자동으로 보장하지 않습니다. 그러나 대부분 일치하는 방향으로 인해 규정을 성공적으로 구현하기 위한 좋은 출발점을 제공하고 책임 있는 당사자가 개인 데이터를 안정적으로 보호 및 처리하고 법적 요구 사항을 준수함을 쉽게 입증할 수 있습니다.
데이터 보호 표준을 구현함으로써 얻을 수 있는 또 다른 이점은 데이터 보호 영역에서 명확한 책임을 지정하는 것입니다. 널리 사용되는 것처럼 작업 부하에 따라 동료 간에 책임을 나누지 않고 전담 데이터 보호 직원 연락처로 명확하게 정의된 규칙을 따릅니다.
또한 ISO 27701의 도입으로 데이터 프라이버시에 대한 위험 지향적 접근 방식이 필요합니다. 따라서 처음부터 잠재적 손상 수준을 평가하고 가능한 한 낮게 유지할 수 있도록 위험과 발생 확률을 전체적으로 정의하고 평가해야 합니다.
표준 준수는 DiGA 디렉토리에 포함되는 과정을 설정합니다.
독일 BfArM이 DiGA 디렉토리에 포함시키는 데는 상당한 이유가 있습니다. 디지털 세계의 매우 역동적인 특성에도 불구하고 정보 보안 및 데이터 보호는 항상 보장되어야 합니다. ISO 27001 및 ISO 27701의 체계적이고 체계적인 접근 방식은 모든 종류의 데이터를 안전하고 규정을 준수하는 방식으로 관리하기 위한 최적의 기반을 회사에 제공합니다.
통제 및 규제 기관은 또한 ISMS 및 PIMS의 성실한 구현 및 인증을 견고하고 지속 가능한 보호 메커니즘과 더 깊이 관여한다는 신호로 평가합니다. 이는 피해 발생 시 가능한 제재에 긍정적인 영향을 미칠 수 있습니다.
요컨대, ISO 27001 및 ISO 27701 인증 자체가 DiGA 디렉토리에 포함되는 것을 보장하지 않더라도 해당 관리 시스템은 DiGA 규정의 체크리스트를 상당 부분 포함합니다. 따라서 그들은 디렉토리에 성공적으로 포함되기 위한 과정을 설정하기 위한 최적의 출발점을 제공합니다.
DQS: Simply leveraging Quality.
정보 보안 및 데이터 보호는 IT 보안을 훨씬 뛰어넘는 복잡한 주제입니다. 기술, 조직 및 인프라 측면을 포함하고 법의 요구 사항을 다룹니다. ISO/IEC 27701에 따른 개인 정보 관리 시스템(PIMS)으로 보완된 ISO/IEC 27001에 따른 정보 보안 관리 시스템(ISMS)은 효과적인 보호 조치에 적합합니다.
DQS는 관리 시스템 및 프로세스의 감사 및 인증 전문가입니다. 35년 이상의 경험과 전 세계 2,500명의 심사원의 노하우를 보유한 당사는 귀하의 유능한 인증 파트너로서 데이터 보호 및 정보 보안에 관한 모든 질문에 답변을 제공합니다.
Loading...
고객님의 질문에 최선을 다해 답변해 드리겠습니다.
ISO 27001 및 27701 인증을 위한 요구 사항은 무엇입니까? 그리고 얼마나 많은 노력을 기대해야 합니까? 언제든지 문의해주시면 됩니다.
신뢰와 전문성
참고: 당사의 텍스트 및 브로셔는 다년간의 경험을 가진 표준 전문가 또는 감사인이 독점적으로 작성합니다. 텍스트 콘텐츠 또는 저자에 대한 서비스에 대해 궁금한 점이 있으면 언제든지 문의하십시오.
DQS 뉴스레터
최신 정보를 확인하고 뉴스레터를 구독하세요!
저자
나자 괴츠
의료 관리 시스템 및 BSI-KRITIS 감사에 대한 DQS 전문가, 재활, 입원 및 외래 치료의 다양한 품질 표준에 대한 감사자 및 제품 관리자.
Loading...