As aplicações de saúde digital (Digital health applications - DiGA) oferecem a oportunidade de aliviar de forma sustentável a enorme pressão da mudança demográfica sobre o sistema de saúde. Mas antes que os dados de doentes altamente sensíveis possam ser processados digitalmente, o curso deve ser definido para uma proteção confiável, em conformidade com as normas apropriadas de proteção de dados. Olhando para a infinidade de especificações, a maioria dos fabricantes da DiGA gostaria apenas de ter guardas de segurança claros e normas certificáveis para os ajudar a entrar na lista da DiGA - e mais cedo ou mais tarde deparam-se com duas normas na sua busca: ISO 27001 (segurança da informação) e ISO 27701 (proteção de dados). Mas serão os sistemas de gestão certificados correspondentes suficientes no ambiente DiGA? Encontre a resposta neste post do blog.
CONTEÚDO
- O que são aplicações de saúde digital?
- Porque é que precisamos de aplicações de saúde digitais?
- O que é que os fabricantes têm de fazer para obter a aprovação da DiGA?
- Como pode ser garantida a segurança digital DiGA?
- Que dados de saúde vale a pena proteger?
- O que é um sistema de gestão de segurança da informação?
- ISO 27001: A referência para a segurança da informação
- O caso especial para a proteção de dados
- ISO 27701: Expansão para incluir um sistema de gestão de proteção de dados
- O cumprimento da norma como base para definir o rumo a seguir para inclusão no diretório DiGA
- DQS: Simply leveraging Quality.
O que são aplicações de saúde digital?
As aplicações de saúde digitais são dispositivos médicos digitais que ajudam no diagnóstico e terapia de doenças. Além disso, destinam-se a apoiar o caminho para um estilo de vida auto-determinado e promotor de saúde. Por conseguinte, são "ajudantes digitais" nas mãos dos pacientes - a "aplicação com receita médica".
O Regulamento Europeu de Dispositivos Médicos (MDR) classifica a DiGA como dispositivos médicos de classe de risco I ou IIa e submete-os aos regulamentos rigorosos do "Regulamento de Aplicações de Saúde Digital" (DiGAV). Apenas os pedidos que cumprem integralmente estes regulamentos estão incluídos no diretório DiGA do Instituto Federal Alemão de Medicamentos e Dispositivos Médicos (BfArM).
O que faz uma aplicação digital de saúde?
O BfArM definiu as seguintes características que um dispositivo médico deve satisfazer para ser reconhecido como DiGA:
- Dispositivo médico de classe de risco I ou IIa.
- A função principal baseia-se em tecnologias digitais
- A função digital principal tem uma finalidade médica clara (ou seja, não é apenas usada para ler ou controlar um dispositivo)
- Apoia a detecção, monitorização, tratamento ou diminuição de doenças ou o tratamento de detecção, mitigação ou compensação de lesões ou incapacidade
- Não serve como dispositivo preventivo de cuidados primários
- É utilizado pelo doente ou conjuntamente com o prestador de cuidados de saúde, ou seja, não exclusivamente pelo médico (mais uma vez, isto seria abrangido por "equipamento de escritório")
Qual é a base legal para a DiGA?
As aplicações digitais de saúde foram tornadas possíveis com a promulgação da Lei de Saúde Digital (DVG) em 19 de Dezembro de 2019. Desde então, as pessoas com seguro de saúde legal têm direito a receber DiGA - coloquialmente referido como "aplicação mediante receita médica".
Os detalhes sobre o processo de aplicação, requisitos e a concepção de um diretório DiGA - ou seja, a base jurídica formulada para aplicações de saúde digital - foram regulamentados na DiGAV de 8 de Abril de 2020.
Porque é que precisamos de aplicações de saúde digitais?
Com a mudança demográfica, a necessidade de serviços de saúde irá aumentar significativamente nas próximas décadas. E esta procura levará a grandes desafios para os cuidados de saúde em geral, tendo em conta a escassez de médicos e enfermeiros que já hoje prevalece. A digitalização tem o potencial de aliviar a longo prazo os encargos para o sistema de saúde, e as aplicações digitais de saúde podem contribuir significativamente para isso. Ao mesmo tempo, os requisitos de proteção de dados e segurança da informação devem ser efetivamente tidos em conta.
Gestão de proteção de dados com ISO 27701
Proteção de dados no contexto da segurança da informação - um tema interessante? Mais conhecimento especializado sobre a norma ISO 27701 em nosso White Paper gratuito.
Olhando para os requisitos da DiGA, porém, rapidamente se torna claro que eles não devem ser examinados isoladamente. São sempre apenas um componente na totalidade dos cuidados de saúde suportados digitalmente. Cartões de saúde eletrônicos, ficheiros eletrônicos de doentes, receitas eletrônicas - a digitalização do setor da saúde já está em pleno andamento e está sendo impulsionada passo a passo a fim de definir o rumo para cuidados de saúde atualizados e sustentáveis.
O que é que os fabricantes têm de fazer para obter a aprovação da DiGA?
Uma vez que os dados de pacientes altamente sensíveis são normalmente processados no campo médico, o esforço necessário para obter a aprovação de uma aplicação de saúde digital é elevado. Os candidatos devem satisfazer e documentar uma vasta gama de requisitos. Estes incluem:
- Impacto positivo nos cuidados de saúde
- Segurança da informação
- Privacidade de dados
- Interoperabilidade
- Outros requisitos de qualidade (robustez, proteção do consumidor, facilidade de utilização, apoio aos prestadores de serviços, qualidade do conteúdo médico, segurança dos doentes)
"A partir de 1 de Janeiro de 2022, a implementação de um SGSI completo irá se tornar um requisito fundamental para a inclusão no Diretório DiGA".
Como pode ser garantida a segurança digital DiGA?
Hoje em dia, o (futuro) desenvolvimento de aplicações digitais segue geralmente princípios ágeis e dinâmicos para manter os ciclos de lançamento tão curtos quanto possível. Neste ambiente, a segurança digital não pode ser assegurada no decurso de uma validação única das medidas técnicas. A segurança é um processo contínuo que deve ser profundamente incorporado na empresa.
"Aplicações digitais de saúde e proteção de dados: está excluído o processamento de dados para fins publicitários".
Dica de Leitura: Saiba mais sobre os Objetivos de Proteção da Segurança da Informação neste artigo do blog.
Aplicações digitais de saúde e proteção de dados: Que dados vale a pena proteger nos cuidados de saúde?
Ao recolher os dados de uma organização que vale a pena proteger, o foco inicial é normalmente a informação sensível, pessoalmente identificável, ou assim o exige a Lei Alemã de Proteção de Dados dos Pacientes. Na realidade, porém, toda a informação que é valiosa para uma empresa e que não deve cair em mãos não autorizadas é digna de proteção. Para além dos dados regulados pela GDPR, isto inclui também roteiros estratégicos e código de programa desenvolvido internamente.
O que é um sistema de gestão de segurança da informação?
Uma vez que a segurança de um DiGA não pode ser assegurada por uma verificação única, os fabricantes devem abordar o tema da segurança da informação de forma estratégica e sistemática. Um passo crucial neste processo é a implementação de um sistema de gestão da segurança da informação (SGSI), tal como o descrito na norma internacional ISO 27001. Isto define requisitos vinculativos para garantir, gerir, controlar e melhorar continuamente a segurança da informação.
ISO/IEC 27001:2013 | Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos. A norma está disponível no sítio web da ISO.
A DiGAV aborda a questão da "segurança como processo" no Anexo 1 e exige que os fabricantes incorporem uma série de processos em termos de um SGSI. Estes incluem, por exemplo:
- Avaliação das necessidades de proteção, que determinam as necessidades de proteção de dados, aplicações ou sistemas e reavaliam-nas após cada alteração significativa
- Processos de lançamento estratégico, mudança e gestão de configuração que ajudam a alinhar ambientes de desenvolvimento ágeis com processos de MDR formalizados
- Inventários de todos os produtos de terceiros utilizados, bem como processos adequados para assegurar que a informação relativa à segurança dos componentes de terceiros esteja disponível em tempo útil.
A partir de 1 de Janeiro de 2022, a implementação de um SGSI completo irá se tornar um requisito fundamental para a inclusão no diretório DiGA. Como resultado, os fabricantes da DiGA serão no futuro obrigados a demonstrar um ISMS de acordo com a série ISO 27000, incluindo um certificado.
ISO 27001: A referência para a segurança da informação
A norma ISO 27001 internacionalmente reconhecida constitui a base ideal para a implementação eficaz de uma estratégia de segurança holística no sentido de um SGSI estruturado. A estrutura e a abordagem seguem o modelo da chamada Estrutura de Alto Nível (HLS), a estrutura básica comum para sistemas de gestão.
A HLS fornece a estrutura básica vinculativa para todas as normas de sistemas de gestão orientados para processos e permite a integração perfeita dos requisitos das normas no sistema de gestão existente - e assim nos processos empresariais gerais da empresa.
Segurança de informação certificada de acordo com a norma ISO 27001
Proteja a sua informação com um sistema de gestão de acordo com uma norma internacional ★ A DQS oferece mais de 35 anos de experiência em certificação ★.
A certificação de um SGSI de acordo com a ISO 27001 é realizada em conformidade com um procedimento acreditado. Como tal, é considerada prova de que um sistema de gestão bem sucedido e medidas adequadas foram implementadas para proteger sistematicamente os bens de informação. Além disso, o certificado inclui um compromisso de melhoria contínua do sistema.
Aplicações digitais de saúde: Um caso especial para a proteção de dados
Uma vez que os dados dos pacientes são extremamente sensíveis, os utilizadores de aplicações de saúde digital devem poder confiar que os requisitos legais relativos à proteção de dados são observados a todo o momento. Para este fim, a DiGAV especifica os requisitos legais da DSGVO e da Lei Federal Alemã de Proteção de Dados (BDSG). Aplicam-se tanto ao próprio fabricante como a todos os sistemas ligados, incluindo os processadores de encomendas, tais como os fornecedores de nuvens. No âmbito de uma DiGAV, os dados pessoais só podem ser recolhidos após consentimento e exclusivamente para os seguintes fins:
- Para a utilização prevista da DiGA pelos utilizadores.
- Para fornecer provas de efeitos de fornecimento positivos no contexto dos testes DiGA
- Fornecer provas para efeitos de preços baseados no desempenho pela Associação Nacional Alemã de Caixas de Seguro de Saúde, em conformidade com a Seção 134 (1) Sentença 3 do Código Social Alemão, Livro 5.
- Para garantir permanentemente a funcionalidade técnica, a facilidade de utilização e o desenvolvimento futuro da DiGA.
O consentimento para os três primeiros objetivos pode ser dado conjuntamente, mas deve ser obtido separadamente para o quarto objetivo. O processamento de dados para todos os outros fins (especialmente para fins publicitários) está excluído. Além disso, o tratamento de dados só pode ter lugar na Alemanha, na UE, ou num país considerado equivalente de acordo com a lei alemã (por exemplo, a Suíça). O tratamento num país terceiro exigiria uma decisão de adequação com uma justificação significativa.
O Anexo 1 da DiGAV contém uma lista de verificação com 40 declarações que consideram tanto a implementação técnica como a organização do fabricante e os seus processos. Estes são requisitos muito concretos para uma listagem no diretório da DiGAV.
Adenda: A GDPR permite geralmente o processamento de dados pessoais dentro da UE. É permitido o processamento fora da UE num chamado país terceiro, desde que exista um nível de proteção comparável no país terceiro (decisão de adequação nos termos do Artigo 45 GDPR). Por detrás desta ligação encontra-se a lista de países com os quais existe um acordo de adequação.
ISO 27701: Expansão para incluir um sistema de gestão de proteção de dados
Uma vez que a proteção de dados, semelhante à segurança da informação, não pode ser controlada seletivamente, a norma ISO 27701 foi publicada em Agosto de 2019. É considerada um chamado "suplemento setorial específico" à ISO 27001 e, portanto, exige a existência de um SGSI correspondente. Contudo, a ISO 27701 complementa o SGSI com critérios profundos de proteção de dados e expande os requisitos para o Sistema de Gestão de Informações de Privacidade (PIMS).
ISO/IEC 27701:2019 | Técnicas de segurança - Extensão à ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade - Requisitos e diretrizes. A norma está disponível no sítio web da ISO.
Além disso, a norma fornece melhores práticas concretas para a implementação dos requisitos de proteção de dados aplicáveis - independentemente de serem o GDPR europeu ou outros regulamentos regionais.
A integração da ISO 27701 não garante automaticamente o cumprimento da GDPR ou do DSGVO alemão. Contudo, devido à sua orientação amplamente congruente, proporciona um bom ponto de partida para a implementação bem sucedida dos regulamentos e facilita a proteção e o processamento confiável dos dados pessoais e a demonstração do cumprimento dos requisitos legais por parte dos responsáveis.
Outro benefício que advém da implementação da norma de proteção de dados é a designação de responsabilidades claras na área da proteção de dados: as responsabilidades não são divididas entre colegas de acordo com a carga de trabalho, como é amplamente popular, mas seguem regras claramente definidas com contatos dedicados - os responsáveis pela proteção de dados.
Além disso, a introdução da norma ISO 27701 apela a uma abordagem orientada para o risco em matéria de privacidade de dados. Os riscos e a sua probabilidade de ocorrência devem, portanto, ser definidos e avaliados holisticamente, a fim de se poder avaliar o nível de danos potenciais desde o início e mantê-los tão baixos quanto possível.
O cumprimento da norma define o rumo a seguir para a inclusão no diretório DiGA
Os obstáculos para a inclusão no diretório DiGA pelo BfArM alemão são elevados por boas razões. A segurança da informação e a proteção de dados devem ser sempre garantidas, apesar da natureza altamente dinâmica do mundo digital. A abordagem estruturada e sistemática da ISO 27001 e ISO 27701 fornece às empresas a base ideal para gerir dados de qualquer tipo de forma segura e conforme.
Os organismos de controle e regulamentação também avaliam a implementação conscienciosa e a certificação do SGSI e do PIMS como sinal de um envolvimento mais profundo com mecanismos de proteção robustos e sustentáveis - isto pode ter um impacto positivo em possíveis sanções em caso de danos.
Em suma, mesmo que a própria certificação ISO 27001 e ISO 27701 não garanta a inclusão no diretório DiGA, os sistemas de gestão correspondentes cobrem em grande medida as listas de controle do regulamento DiGA. Por conseguinte, proporcionam um ponto de partida ideal para definir o rumo a seguir para uma inclusão bem sucedida no diretório.
DQS: Simply leveraging Quality.
Segurança da informação e proteção de dados são tópicos complexos que vão muito além da segurança informática. Abrangem aspectos técnicos, organizacionais e infra-estruturais e tocam nos requisitos da lei. Um sistema de gestão da segurança da informação (ISMS) de acordo com a ISO/IEC 27001, complementado por um sistema de gestão da privacidade da informação (PIMS) de acordo com a ISO/IEC 27701, é adequado para medidas de proteção eficazes.
DQS é o seu especialista para auditorias e certificações de sistemas e processos de gestão. Com mais de 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro competente de certificação e fornecemos respostas a todas as questões relativas à proteção de dados e segurança da informação.
Confiança e experiência
Nota: Os nossos textos e brochuras são escritos exclusivamente pelos nossos peritos em normas ou auditores com muitos anos de experiência. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, não hesite em contatar-nos.
Boletim Informativo DQS
Nadja Götz
Gerente de produto ISO 9001, bem como especialista da DQS para sistemas de gestão de saúde e auditorias BSI-KRITIS, auditora e gerente de produto para várias normas de qualidade de reabilitação, bem como atendimento hospitalar e ambulatorial.