Digitale gezondheidstoepassingen - Een speciaal geval voor gegevensbescherming

INHOUD

• Wat zijn digitale gezondheidstoepassingen?
• Waarom hebben we digitale gezondheidsapps nodig?
• Wat moeten fabrikanten doen om DiGA goedkeuring te krijgen?
• Hoe kan de digitale veiligheid van DiGA worden gewaarborgd?
• Welke zorggegevens zijn de moeite waard om te beschermen?
• Wat is een managementsysteem voor informatiebeveiliging?
• ISO 27001: de benchmark voor informatiebeveiliging
• Een speciaalgeval voor gegevensbescherming
• ISO 27701: uitbreiding met een beheersysteem voor gegevensbescherming
• Naleving van de norm als basis voor opname in het DiGA-bestand
• DQS: Eenvoudig gebruik van kwaliteit.

Wat zijn digitale gezondheidstoepassingen?

Digitale gezondheidstoepassingen zijn digitale medische hulpmiddelen die helpen bij de diagnose en behandeling van ziekten. Daarnaast zijn ze bedoeld om de weg naar een zelfbepaalde, gezondheidsbevorderende levensstijl te ondersteunen. Het zijn dus "digitale helpers" in de handen van patiënten - de "app op recept".

De Europese verordening inzake medische hulpmiddelen (MDR) classificeert DiGA's als medische hulpmiddelen van risicoklasse I of IIa en onderwerpt ze aan de strenge voorschriften van de "verordening inzake digitale gezondheidstoepassingen" (DiGAV). Alleen toepassingen die volledig voldoen aan deze voorschriften worden opgenomen in het DiGA-bestand van het Duitse Federale Instituut voor Geneesmiddelen en Medische Hulpmiddelen (BfArM).

Wat is een digitale gezondheidstoepassing?

Het BfArM heeft de volgende kenmerken gedefinieerd waaraan een medisch hulpmiddel moet voldoen om als DiGA te worden erkend:

• Medisch hulpmiddel van risicoklasse I of IIa.
• De hoofdfunctie is gebaseerd op digitale technologieën
• De voornaamste digitale functie heeft een duidelijk medisch doel (d.w.z. wordt niet alleen gebruikt om een apparaat uit te lezen of te besturen)
• Ondersteunt de opsporing, bewaking, behandeling of beperking van ziekten of de opsporing, behandeling, beperking of compensatie van verwondingen of handicaps
• Dient niet als preventief hulpmiddel voor eerstelijnszorg
• Wordt gebruikt door de patiënt of samen met de zorgverlener, dus niet uitsluitend door de arts (ook dit zou onder "kantoorapparatuur" vallen)

Wat is de rechtsgrondslag voor DiGA?

Digitale gezondheidstoepassingen zijn mogelijk geworden door de inwerkingtreding van de Wet Digitale Gezondheidszorg (DVG) op 19 dec. 2019. Sindsdien hebben mensen met een wettelijke zorgverzekering recht op DiGA - in de volksmond "app op recept" genoemd.

De details over het aanvraagproces, de vereisten en de vormgeving van een DiGA-gids - dus de geformuleerde wettelijke basis voor digitale gezondheidsapps - zijn geregeld in de DiGAV van 8 april 2020.

Waarom hebben we digitale gezondheidstoepassingen nodig?

Door de demografische veranderingen zal de behoefte aan gezondheidszorg de komende decennia sterk toenemen. En deze vraag zal leiden tot grote uitdagingen voor de algemene gezondheidszorg, gezien het tekort aan artsen en verpleegkundigen dat nu al heerst. Digitalisering heeft het potentieel om de gezondheidszorg op lange termijn te ontlasten, en digitale gezondheidstoepassingen kunnen hier in belangrijke mate toe bijdragen. Tegelijkertijd moet effectief rekening worden gehouden met de vereisten inzake gegevensbescherming en informatiebeveiliging.

Als we echter naar de vereisten voor DiGA kijken, wordt het snel duidelijk dat ze niet geïsoleerd moeten worden bekeken. Ze vormen steeds slechts één onderdeel in het geheel van de digitaal ondersteunde gezondheidszorg. Elektronische gezondheidskaarten, elektronische patiëntendossiers, elektronische recepten - de digitalisering van de gezondheidszorg is al in volle gang en wordt stap voor stap voortgezet om de koers uit te zetten voor een actuele en duurzame gezondheidszorg.

Wat moeten fabrikanten doen om DiGA-goedkeuring te krijgen?

Aangezien in de medische sector meestal zeer gevoelige patiëntgegevens worden verwerkt, zijn er grote inspanningen nodig om goedkeuring te krijgen voor een digitale gezondheidstoepassing. Aanvragers moeten aan een groot aantal eisen voldoen en deze documenteren. Deze omvatten:

• Positieve gevolgen voor de gezondheidszorg
• Informatiebeveiliging
• Privacy van gegevens
• Interoperabiliteit
• Andere kwaliteitseisen (robuustheid, consumentenbescherming, gebruikersvriendelijkheid, ondersteuning van dienstverleners, kwaliteit van medische inhoud, veiligheid van de patiënt)

Hoe kan de digitale veiligheid van DiGA worden gewaarborgd?

De (verdere) ontwikkeling van digitale toepassingen verloopt tegenwoordig meestal volgens agile en dynamische principes om releasecycli zo kort mogelijk te houden. In deze omgeving kan de digitale veiligheid niet worden gewaarborgd tijdens een eenmalige validatie van technische maatregelen. Beveiliging is een continu proces dat diep in de onderneming moet worden verankerd.

Digitale gezondheidstoepassingen en gegevensbescherming: Welke gegevens zijn het beschermen waard in de gezondheidszorg?

Bij het verzamelen van de gegevens van een organisatie die het beschermen waard zijn, ligt de eerste focus meestal op gevoelige, persoonlijk identificeerbare informatie, zo schrijft de Duitse Wet Bescherming Patiëntgegevens voor. Maar in feite is alle informatie die waardevol is voor een bedrijf en niet in handen van onbevoegden mag vallen, beschermenswaardig. Naast de gegevens die door de GDPR worden gereguleerd, omvat dit ook strategische routekaarten en programmacode die intern wordt ontwikkeld.

Wat is een managementsysteem voor informatiebeveiliging?

Aangezien de veiligheid van een DiGA niet kan worden gegarandeerd door een eenmalige controle, moeten fabrikanten het onderwerp informatiebeveiliging strategisch en systematisch benaderen. Een cruciale stap in dit proces is de implementatie van een Information Security Management System (ISMS), zoals beschreven in de internationale norm ISO 27001. Hierin zijn bindende eisen vastgelegd voor het waarborgen, beheren, controleren en continu verbeteren van informatiebeveiliging.

Het DiGAV gaat in bijlage 1 in op "beveiliging als proces" en eist van fabrikanten dat zij een reeks processen inbedden in een ISMS. Deze omvatten bijvoorbeeld

• Beoordeling van beschermingsbehoeften, waarbij de beschermingsbehoeften van gegevens, toepassingen of systemen worden vastgesteld en na elke belangrijke wijziging opnieuw worden beoordeeld.
• Strategische release-, wijzigings- en configuratiebeheerprocessen die helpen om agile ontwikkelingsomgevingen af te stemmen op geformaliseerde MDR-processen
• Inventarissen van alle gebruikte producten van derden, alsmede passende processen om ervoor te zorgen dat beveiligingsgerelateerde informatie over componenten van derden tijdig beschikbaar is.

Vanaf 1 januari 2022 wordt de implementatie van een volledig ISMS een fundamentele vereiste voor opname in het DiGA-bestand. Als gevolg daarvan zullen DiGA-fabrikanten in de toekomst een ISMS conform de ISO 27000-serie moeten aantonen, inclusief een certificaat.

ISO 27001: de maatstaf voor informatiebeveiliging

De internationaal erkende ISO 27001-norm vormt de optimale basis voor een effectieve implementatie van een holistische beveiligingsstrategie in de zin van een gestructureerd ISMS. De structuur en aanpak volgen het model van de zogenaamde High Level Structure (HLS), de gangbare basisstructuur voor managementsystemen.

De HLS biedt de bindende basisstructuur voor alle procesgerichte managementsysteemnormen en maakt een naadloze integratie van de normvereisten in het bestaande managementsysteem - en dus in de algemene bedrijfsprocessen van het bedrijf - mogelijk.

Gecertificeerde informatiebeveiliging volgens ISO 27001

Bescherm uw informatie met een managementsysteem volgens een internationale norm ★ DQS biedt meer dan 35 jaar ervaring in certificering ★.

De certificering van een ISMS volgens ISO 27001 wordt uitgevoerd volgens een geaccrediteerde procedure. Als zodanig geldt het als bewijs dat een succesvol managementsysteem en passende maatregelen zijn geïmplementeerd om informatiemiddelen systematisch te beschermen. Bovendien omvat het certificaat een verbintenis tot voortdurende verbetering van het systeem.

Digitale gezondheidstoepassingen: Een speciaal geval voor gegevensbescherming

Aangezien patiëntengegevens uiterst gevoelig zijn, moeten gebruikers van digitale gezondheidstoepassingen erop kunnen vertrouwen dat de wettelijke voorschriften inzake gegevensbescherming te allen tijde worden nageleefd. Daartoe specificeert de DiGAV de wettelijke vereisten uit de DSGVO en de Duitse federale wet op de gegevensbescherming (BDSG). Zij gelden zowel voor de fabrikant zelf als voor alle aangesloten systemen, inclusief opdrachtverwerkers zoals cloud providers. In het kader van een DiGA mogen persoonsgegevens alleen worden verzameld na toestemming en uitsluitend voor de volgende doeleinden:

1. Voor het beoogde gebruik van de DiGA door gebruikers.
2. Om bewijs te leveren van positieve leveringseffecten in het kader van DiGA-tests.
3. Om bewijs te leveren voor het doel van prestatiegerichte prijsstelling door de Duitse Nationale Vereniging van Ziekenfondsen in overeenstemming met artikel 134 (1) zin 3 van het Duitse Sociaal Wetboek, boek 5.
4. Om de technische functionaliteit, de gebruiksvriendelijkheid en de verdere ontwikkeling van de DiGA blijvend te garanderen.

De toestemming voor de eerste drie doeleinden kan gezamenlijk worden gegeven, maar moet voor het vierde doel afzonderlijk worden verkregen. Gegevensverwerking voor alle andere doeleinden (met name voor reclamedoeleinden) is uitgesloten. Bovendien mag de gegevensverwerking alleen plaatsvinden in Duitsland, de EU of een land dat naar Duits recht als gelijkwaardig wordt beschouwd (bijvoorbeeld Zwitserland). Voor verwerking in een derde land is een adequaatheidsbesluit met een deugdelijke motivering nodig.

Bijlage 1 van het DiGAV bevat een checklist met 40 verklaringen die zowel de technische uitvoering als de organisatie van de fabrikant en zijn processen betreffen. Dit zijn zeer concrete vereisten voor een vermelding in het DiGA-bestand.

Addendum: De GDPR staat over het algemeen verwerking van persoonsgegevens binnen de EU toe. Verwerking buiten de EU in een zogenaamd derde land is toegestaan, mits in het derde land een vergelijkbaar beschermingsniveau bestaat (adequaatheidsbesluit ex artikel 45 GDPR). Achter deze link vindt u de lijst van landen waarmee een adequaatheidsovereenkomst bestaat.

ISO 27701: uitbreiding met een beheersysteem voor gegevensbescherming

Omdat gegevensbescherming, vergelijkbaar met informatiebeveiliging, niet selectief kan worden gecontroleerd, is in augustus 2019 de ISO 27701-norm gepubliceerd. Deze wordt beschouwd als een zogenaamde "sectorspecifieke aanvulling" op ISO 27001 en vereist dus het bestaan van een overeenkomstig ISMS. ISO 27701 vult het ISMS echter aan met diepgaande criteria voor gegevensbescherming en breidt de vereisten voor het Privacy Information Management System (PIMS) uit.

Daarnaast biedt de norm concrete best practices voor het implementeren van toepasselijke gegevensbeschermingseisen - ongeacht of het gaat om de Europese GDPR of andere regionale regelgeving.

De integratie van ISO 27701 garandeert uitdrukkelijk niet automatisch naleving van de GDPR of de Duitse DSGVO. Door de grotendeels congruente oriëntatie biedt het echter een goed uitgangspunt voor een succesvolle implementatie van de regelgeving en maakt het voor verantwoordelijke partijen eenvoudig om persoonsgegevens op betrouwbare wijze te beschermen en te verwerken en de naleving van wettelijke voorschriften aan te tonen.

Een ander voordeel van de implementatie van de gegevensbeschermingsnorm is de aanduiding van duidelijke verantwoordelijkheden op het gebied van gegevensbescherming: de verantwoordelijkheden worden niet onder collega's verdeeld op basis van werklast, zoals algemeen gebruikelijk is, maar volgen duidelijk gedefinieerde regels met speciale contactpersonen - de functionarissen voor gegevensbescherming.

Daarnaast vraagt de invoering van ISO 27701 om een risicogerichte aanpak van gegevensprivacy. Risico's en hun waarschijnlijkheid van optreden moeten daarom holistisch worden gedefinieerd en geëvalueerd om het niveau van potentiële schade vanaf het begin te kunnen beoordelen en zo laag mogelijk te houden.

Naleving van de norm bepaalt de weg naar opname in het DiGA-bestand

De drempels voor opname in het DiGA-bestand door het Duitse BfArM zijn om goede redenen hoog. Ondanks het zeer dynamische karakter van de digitale wereld moeten informatiebeveiliging en gegevensbescherming te allen tijde worden gewaarborgd. De gestructureerde en systematische aanpak van ISO 27001 en ISO 27701 biedt bedrijven de optimale basis om alle soorten gegevens veilig en conform te beheren.

Controle- en regelgevingsinstanties beoordelen de nauwgezette implementatie en certificering van ISMS en PIMS ook als een teken van een diepere betrokkenheid bij robuuste en duurzame beschermingsmechanismen - dit kan een positief effect hebben op mogelijke sancties in geval van schade.

Kortom, ook al garandeert de ISO 27001- en ISO 27701-certificering zelf geen opname in het DiGA-bestand, de overeenkomstige managementsystemen dekken de checklists van de DiGA-verordening in ruime mate. Zij vormen daarom een optimaal uitgangspunt om de koers uit te zetten voor een succesvolle opname in het repertorium.

DQS: Kwaliteit eenvoudigweg als hefboom gebruiken.

Informatiebeveiliging en gegevensbescherming zijn complexe onderwerpen die veel verder gaan dan IT-beveiliging. Zij omvatten technische, organisatorische en infrastructurele aspecten en raken aan wettelijke vereisten. Een Information Security Management System (ISMS) volgens ISO/IEC 27001, aangevuld met een Privacy Information Management System (PIMS) volgens ISO/IEC 27701, is geschikt voor effectieve beschermingsmaatregelen.

DQS is uw specialist voor audits en certificeringen van managementsystemen en processen. Met meer dan 35 jaar ervaring en de knowhow van 2.500 auditors wereldwijd zijn wij uw competente certificeringspartner en geven wij antwoord op alle vragen over gegevensbescherming en informatiebeveiliging.

Vertrouwen en expertise

Opmerking: Onze teksten en brochures worden uitsluitend geschreven door onze normexperts of auditors met jarenlange ervaring. Als u vragen heeft over de inhoud van de tekst of onze diensten aan onze auteur, neem dan gerust contact met ons op.