Cyfrowe aplikacje zdrowotne (DiGA) oferują możliwość trwałego złagodzenia ogromnej presji zmian demograficznych na system opieki zdrowotnej. Zanim jednak wysoce wrażliwe dane pacjentów będą mogły być przetwarzane cyfrowo, należy obrać kurs na niezawodną ochronę zgodną z odpowiednimi standardami ochrony danych. Patrząc na mnogość specyfikacji, większość producentów DiGA nie chciałaby niczego więcej niż jasnych poręczy i certyfikowanych standardów, które pomogłyby im dostać się na listę DiGA - i prędzej czy później natrafiają na dwa standardy w swoich poszukiwaniach: ISO 27001 (bezpieczeństwo informacji) i ISO 27701 (ochrona danych). Ale czy odpowiednie certyfikowane systemy zarządzania są wystarczające w środowisku DiGA? Odpowiedź znajdziesz w tym wpisie na blogu.

Loading...

Czym są cyfrowe aplikacje zdrowotne?

Cyfrowe aplikacje zdrowotne to cyfrowe urządzenia medyczne, które pomagają w diagnostyce i terapii chorób. Ponadto mają one wspierać drogę do samodzielnego, prozdrowotnego stylu życia. Są zatem "cyfrowymi pomocnikami" w rękach pacjentów - "aplikacją na receptę".

Europejskie rozporządzenie w sprawie wyrobów medycznych (MDR) klasyfikuje DiGA jako wyroby medyczne klasy ryzyka I lub IIa i poddaje je ścisłym regulacjom "rozporządzenia w sprawie cyfrowych aplikacji zdrowotnych" (DiGAV). Tylko aplikacje, które są w pełni zgodne z tymi przepisami, znajdują się w katalogu DiGA niemieckiego Federalnego Instytutu Leków i Urządzeń Medycznych (BfArM).

Co sprawia, że aplikacja cyfrowa jest aplikacją zdrowotną?

BfArM określił następujące cechy, które musi spełniać wyrób medyczny, aby został uznany za DiGA:

  • Wyrób medyczny o klasie ryzyka I lub IIa.
  • Główna funkcja oparta jest na technologiach cyfrowych
  • Główna funkcja cyfrowa ma wyraźny cel medyczny (tzn. nie służy wyłącznie do odczytu lub sterowania urządzeniem)
  • Wspomaga wykrywanie, monitorowanie, leczenie lub łagodzenie skutków choroby lub wykrywanie, leczenie lub kompensację urazu lub niepełnosprawności
  • Nie służy jako urządzenie do profilaktycznej opieki podstawowej
  • Jest używane przez pacjenta lub wspólnie z dostawcą usług zdrowotnych, tj. nie jest używane wyłącznie przez lekarza (ponownie, byłoby to objęte "sprzętem biurowym")

Jaka jest podstawa prawna dla DiGA?

Cyfrowe aplikacje zdrowotne stały się możliwe dzięki uchwaleniu 19 grudnia 2019 r. ustawy o cyfrowej opiece zdrowotnej (DVG). Od tego czasu osoby posiadające ustawowe ubezpieczenie zdrowotne mają prawo do otrzymania DiGA - potocznie zwanej "aplikacją na receptę".

Szczegóły dotyczące procesu składania wniosków, wymagań i projektu katalogu DiGA - czyli sformułowanej podstawy prawnej dla cyfrowych aplikacji zdrowotnych - zostały uregulowane w DiGAV z 8 kwietnia 2020 r.

Dlaczego potrzebujemy cyfrowych aplikacji zdrowotnych?

Wraz ze zmianami demograficznymi w najbliższych dekadach znacznie wzrośnie zapotrzebowanie na usługi zdrowotne. A to zapotrzebowanie doprowadzi do poważnych wyzwań dla ogólnej opieki zdrowotnej w związku z powszechnym już dziś niedoborem lekarzy i pielęgniarek. Cyfryzacja ma potencjał, aby w dłuższej perspektywie odciążyć system opieki zdrowotnej, a cyfrowe aplikacje zdrowotne mogą się do tego znacząco przyczynić. Jednocześnie należy skutecznie uwzględnić wymagania dotyczące ochrony danych i bezpieczeństwa informacji.

Patrząc na wymagania dotyczące DiGA, szybko staje się jednak jasne, że nie należy ich rozpatrywać w izolacji. Są one zawsze tylko jednym z elementów w całości wspieranej cyfrowo opieki zdrowotnej. Elektroniczne karty zdrowia, elektroniczne kartoteki pacjentów, e-recepty - cyfryzacja sektora opieki zdrowotnej jest już w pełnym rozkwicie i krok po kroku posuwa się do przodu, aby wyznaczyć kurs na aktualną i zrównoważoną opiekę zdrowotną.

Co muszą zrobić producenci, aby uzyskać zgodę DiGA?

Ponieważ w dziedzinie medycyny przetwarzane są zazwyczaj bardzo wrażliwe dane pacjentów, wysiłek wymagany do uzyskania zatwierdzenia cyfrowej aplikacji zdrowotnej jest duży. Wnioskodawcy muszą spełnić i udokumentować szeroki zakres wymagań. Należą do nich:

  • Pozytywny wpływ na opiekę zdrowotną
  • Bezpieczeństwo informacji
  • Prywatność danych
  • Interoperacyjność
  • Inne wymagania dotyczące jakości (solidność, ochrona konsumenta, łatwość obsługi, wsparcie dla dostawców usług, jakość treści medycznych, bezpieczeństwo pacjenta)

"Począwszy od 1 stycznia 2022 r. wdrożenie kompletnego ISMS stanie się podstawowym wymogiem włączenia do katalogu DiGA".

Jak można zapewnić bezpieczeństwo cyfrowe DiGA?

Dzisiaj (dalszy) rozwój aplikacji cyfrowych zwykle przebiega zgodnie z zasadami zwinności i dynamiki, aby utrzymać cykle wydawnicze tak krótkie, jak to możliwe. W tym środowisku bezpieczeństwo cyfrowe nie może być zapewnione w trakcie jednorazowej walidacji środków technicznych. Bezpieczeństwo to ciągły proces, który musi być głęboko zakorzeniony w przedsiębiorstwie.

"Cyfrowe aplikacje zdrowotne a ochrona danych: przetwarzanie danych w celach reklamowych jest wykluczone".

Wskazówka do czytania: Dowiedz się więcej o celach ochrony bezpieczeństwa informacji w tym artykule na blogu.

Cyfrowe aplikacje zdrowotne a ochrona danych: Jakie dane warto chronić w służbie zdrowia?

Podczas gromadzenia danych organizacji, które warto chronić, początkowo koncentrujemy się zwykle na wrażliwych informacjach umożliwiających identyfikację osób, lub tak wymaga niemiecka ustawa o ochronie danych pacjentów. W rzeczywistości jednak wszystkie informacje, które mają wartość dla firmy i nie mogą dostać się w niepowołane ręce, są warte ochrony. Oprócz danych regulowanych przez GDPR są to również strategiczne mapy drogowe i kod programu opracowany we własnym zakresie.

Czym jest system zarządzania bezpieczeństwem informacji?

Ponieważ bezpieczeństwo DiGA nie może być zapewnione przez jednorazową kontrolę, producenci muszą podejść do tematu bezpieczeństwa informacji strategicznie i systematycznie. Kluczowym krokiem w tym procesie jest wdrożenie systemu zarządzania bezpieczeństwem informacji (ISMS), takiego jak ten opisany w międzynarodowej normie ISO 27001. Określa ona obowiązujące wymagania dotyczące zapewnienia, zarządzania, kontroli i ciągłego doskonalenia bezpieczeństwa informacji.

ISO/IEC 27001:2013 | Technologia informacyjna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania. Norma jest dostępna na stronie internetowej ISO.

DiGAV porusza kwestię "bezpieczeństwa jako procesu" w załączniku 1 i wymaga od producentów osadzenia szeregu procesów w zakresie ISMS. Obejmują one na przykład:

  • Ocena potrzeb ochrony, które określają potrzeby ochrony danych, aplikacji lub systemów i ponownie oceniają je po każdej istotnej zmianie
  • Strategiczne procesy zarządzaniawydaniami, zmianami i konfiguracją, które pomagają dostosować zwinne środowiska programistyczne do sformalizowanych procesów MDR
  • Inwentarze wszystkich używanych produktów stron trzecich, a także odpowiednie procesy zapewniające, że informacje związane z bezpieczeństwem dotyczące komponentów stron trzecich są dostępne w odpowiednim czasie.

 

Od 1 stycznia 2022 r. wdrożenie kompletnego ISMS stanie się podstawowym wymogiem włączenia do katalogu DiGA. W związku z tym producenci DiGA będą w przyszłości zobowiązani do wykazania ISMS zgodnie z serią ISO 27000, w tym certyfikatu.

 

ISO 27001: Wzorzec dla bezpieczeństwa informacji

Uznany na całym świecie standard ISO 27001 stanowi optymalną podstawę do skutecznego wdrożenia holistycznej strategii bezpieczeństwa w rozumieniu ustrukturyzowanego ISMS. Struktura i podejście są zgodne z modelem tzw. High Level Structure (HLS), wspólnej struktury podstawowej dla systemów zarządzania.

HLS stanowi wiążącą strukturę podstawową dla wszystkich zorientowanych procesowo norm systemów zarządzania i umożliwia bezproblemową integrację wymagań norm z istniejącym systemem zarządzania - a tym samym z ogólnymi procesami biznesowymi firmy.

Certyfikowane bezpieczeństwo informacji zgodnie z ISO 27001

Chroń swoje informacje za pomocą systemu zarządzania zgodnego z międzynarodową normą ★ DQS oferuje ponad 35 lat doświadczenia w certyfikacji ★.

Certyfikacja ISMS zgodnie z ISO 27001 jest przeprowadzana zgodnie z akredytowaną procedurą. Jako taka jest uznawana za dowód, że wdrożono skuteczny system zarządzania i odpowiednie środki w celu systematycznej ochrony aktywów informacyjnych. Ponadto certyfikat zawiera zobowiązanie do ciągłego doskonalenia systemu.

 

Cyfrowe aplikacje zdrowotne: Szczególny przypadek ochrony danych

Ponieważ dane pacjentów są niezwykle wrażliwe, użytkownicy cyfrowych aplikacji zdrowotnych muszą mieć pewność, że wymogi prawne dotyczące ochrony danych będą zawsze przestrzegane. W tym celu DiGAV określa wymogi prawne z DSGVO i niemieckiej federalnej ustawy o ochronie danych (BDSG). Mają one zastosowanie zarówno do samego producenta, jak i do wszystkich podłączonych systemów, w tym do podmiotów przetwarzających zlecenia, takich jak dostawcy usług w chmurze. W ramach DiGA dane osobowe mogą być gromadzone wyłącznie po wyrażeniu zgody i wyłącznie w następujących celach:

  1. W celu zamierzonego wykorzystania DiGA przez użytkowników.
  2. W celu dostarczenia dowodów na pozytywne efekty dostaw w kontekście testowania DiGA
  3. Aby zapewnić dowody dla celów ustalania cen w oparciu o wyniki przez Niemiecki Krajowy Związek Kas Chorych zgodnie z § 134 (1) Zdanie 3 Niemieckiego Kodeksu Społecznego, Księga 5.
  4. W celu stałego zagwarantowania funkcjonalności technicznej, przyjazności dla użytkownika i dalszego rozwoju DiGA.

Zgoda na pierwsze trzy cele może być udzielona łącznie, ale na czwarty cel musi być uzyskana oddzielnie. Przetwarzanie danych dla wszystkich innych celów (w szczególności dla celów reklamowych) jest wykluczone. Ponadto przetwarzanie danych może odbywać się wyłącznie w Niemczech, UE lub w kraju uznawanym za równoważny zgodnie z prawem niemieckim (np. w Szwajcarii). Przetwarzanie w państwie trzecim wymagałoby decyzji o adekwatności z istotnym uzasadnieniem.

Załącznik 1 do DiGAV zawiera listę kontrolną z 40 stwierdzeniami, które uwzględniają zarówno techniczną realizację, jak i organizację producenta i jego procesów. Są to bardzo konkretne wymagania dotyczące wpisu do katalogu DiGA.

Uzupełnienie: GDPR generalnie zezwala na przetwarzanie danych osobowych na terenie UE. Przetwarzanie poza UE w tzw. państwie trzecim jest dozwolone, o ile w państwie trzecim istnieje porównywalny poziom ochrony (decyzja adekwatności na podstawie art. 45 GDPR). Za tym linkiem znajdziesz listę państw, z którymi istnieje umowa o adekwatności.

 

ISO 27701: Rozszerzenie o system zarządzania ochroną danych

Ponieważ ochrona danych, podobnie jak bezpieczeństwo informacji, nie może być monitorowana wybiórczo, w sierpniu 2019 r. opublikowano normę ISO 27701. Jest ona traktowana jako tzw. uzupełnienie sektorowe do ISO 27001, a więc wymaga istnienia odpowiedniego ISMS. ISO 27701 uzupełnia jednak ISMS o pogłębione kryteria ochrony danych i rozszerza wymagania dotyczące systemu zarządzania informacją o prywatności (PIMS).

ISO/IEC 27701:2019 | Techniki bezpieczeństwa - Rozszerzenie norm ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o prywatności - Wymagania i wytyczne. Norma jest dostępna na stronie internetowej ISO.

Ponadto norma dostarcza konkretnych najlepszych praktyk w zakresie wdrażania obowiązujących wymogów ochrony danych - niezależnie od tego, czy są to europejskie GDPR, czy inne regulacje regionalne.

Integracja ISO 27701 jednoznacznie nie zapewnia automatycznie zgodności z GDPR lub niemieckim DSGVO. Jednak ze względu na swoją w dużej mierze kongruentną orientację stanowi dobry punkt wyjścia do pomyślnego wdrożenia przepisów i ułatwia odpowiedzialnym stronom niezawodną ochronę i przetwarzanie danych osobowych oraz wykazanie zgodności z wymogami prawnymi.

Kolejną korzyścią, która płynie z wdrożenia standardu ochrony danych, jest wyznaczenie jasnych zakresów odpowiedzialności w obszarze ochrony danych: obowiązki nie są dzielone pomiędzy współpracowników w zależności od obciążenia pracą, jak to jest powszechnie popularne, ale postępują według jasno określonych zasad z dedykowanymi osobami kontaktowymi - inspektorami ochrony danych.

Ponadto, wprowadzenie normy ISO 27701 wymaga podejścia do prywatności danych zorientowanego na ryzyko. Ryzyka i prawdopodobieństwo ich wystąpienia muszą być zatem zdefiniowane i ocenione holistycznie, aby móc od początku ocenić poziom potencjalnych szkód i utrzymać go na jak najniższym poziomie.

 

Zgodność z normą wyznacza drogę do włączenia do katalogu DiGA

Przeszkody dla włączenia do katalogu DiGA przez niemiecki BfArM są wysokie z dobrych powodów. Bezpieczeństwo informacji i ochrona danych muszą być zagwarantowane przez cały czas, pomimo bardzo dynamicznego charakteru świata cyfrowego. Uporządkowane i systematyczne podejście ISO 27001 i ISO 27701 zapewnia firmom optymalną podstawę do zarządzania danymi każdego rodzaju w sposób bezpieczny i zgodny z przepisami.

Organy kontrolne i regulacyjne oceniają również sumienne wdrożenie i certyfikację ISMS i PIMS jako oznakę głębszego zaangażowania w solidne i zrównoważone mechanizmy ochrony - może to mieć pozytywny wpływ na ewentualne sankcje w przypadku wystąpienia szkody.

Podsumowując, nawet jeśli sama certyfikacja ISO 27001 i ISO 27701 nie gwarantuje włączenia do katalogu DiGA, to odpowiadające im systemy zarządzania w dużym stopniu pokrywają listy kontrolne rozporządzenia DiGA. Stanowią one zatem optymalny punkt wyjścia do wyznaczenia kierunku skutecznego włączenia do katalogu.

 

DQS: Simply leveraging Quality.

Bezpieczeństwo informacji i ochrona danych to złożone tematy, które wykraczają daleko poza bezpieczeństwo IT. Obejmują one aspekty techniczne, organizacyjne i infrastrukturalne oraz dotykają wymagań prawnych. System zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO/IEC 27001, uzupełniony o system zarządzania informacją o prywatności (PIMS) zgodny z normą ISO/IEC 27701, jest odpowiedni dla skutecznych środków ochronnych.

DQS jest Państwa specjalistą w zakresie audytów i certyfikacji systemów i procesów zarządzania. Z ponad 35-letnim doświadczeniem i know-how 2500 audytorów na całym świecie, jesteśmy Państwa kompetentnym partnerem w zakresie certyfikacji i zapewniamy odpowiedzi na wszystkie pytania dotyczące ochrony danych i bezpieczeństwa informacji.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Chętnie odpowiemy na Państwa pytania

Jakie są wymagania dotyczące certyfikacji ISO 27001 i 27701? I jak dużego wysiłku musisz się spodziewać? Dowiedz się. Bezpłatnie i bez zobowiązań.

Zaufanie i doświadczenie

Uwaga: Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. standardów lub audytorów z wieloletnim doświadczeniem. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla naszego autora, prosimy o kontakt.

Autor
Nadja Goetz

Ekspert DQS ds. systemów zarządzania w służbie zdrowia i audytów BSI-KRITIS, audytor i menedżer produktu w zakresie różnych standardów jakości w rehabilitacji oraz w opiece stacjonarnej i ambulatoryjnej.

Loading...