Aplicações digitais de saúde - Um caso especial para a protecção de dados

CONTEÚDO

• O que são aplicações de saúde digital?
• Porque é que precisamos de aplicações de saúde digitais?
• O que é que os fabricantes têm de fazer para obter a aprovação da DiGA?
• Como pode ser garantida a segurança digital DiGA?
• Que dados de saúde vale a pena proteger?
• O que é um sistema de gestão de segurança da informação?
• ISO 27001: A referência para a segurança da informação
• A scasoespecialpara a protecção de dados
• ISO 27701: Expansão para incluir um sistema de gestão de protecção de dados
• O cumprimento da norma como base para definir o rumo a seguir para inclusão no directório DiGA
• DQS: Simplesmente alavancar a Qualidade.

O que são aplicações de saúde digital?

As aplicações de saúde digitais são dispositivos médicos digitais que ajudam no diagnóstico e terapia de doenças. Além disso, destinam-se a apoiar o caminho para um estilo de vida auto-determinado e promotor de saúde. Por conseguinte, são "ajudantes digitais" nas mãos dos pacientes - a "aplicação com receita médica".

O Regulamento Europeu de Dispositivos Médicos (MDR) classifica a DiGA como dispositivos médicos de classe de risco I ou IIa e submete-os aos regulamentos rigorosos do "Regulamento de Aplicações de Saúde Digital" (DiGAV). Apenas os pedidos que cumprem integralmente estes regulamentos estão incluídos no directório DiGA do Instituto Federal Alemão de Medicamentos e Dispositivos Médicos (BfArM).

O que faz uma aplicação digital de saúde?

O BfArM definiu as seguintes características que um dispositivo médico deve satisfazer para ser reconhecido como DiGA:

• Dispositivo médico de classe de risco I ou IIa.
• A função principal baseia-se em tecnologias digitais
• A função digital principal tem uma finalidade médica clara (ou seja, não é apenas usada para ler ou controlar um dispositivo)
• Apoia a detecção, monitorização, tratamento ou mitigação de doenças ou o tratamento de detecção, mitigação ou compensação de lesões ou incapacidade
• Não serve como dispositivo preventivo de cuidados primários
• É utilizado pelo doente ou conjuntamente com o prestador de cuidados de saúde, ou seja, não exclusivamente pelo médico (mais uma vez, isto seria abrangido por "equipamento de escritório")

Qual é a base legal para a DiGA?

As aplicações digitais de saúde foram tornadas possíveis com a promulgação da Lei de Saúde Digital (DVG) em 19 de Dezembro de 2019. Desde então, as pessoas com seguro de saúde legal têm direito a receber DiGA - coloquialmente referido como "aplicação mediante receita médica".

Os detalhes sobre o processo de aplicação, requisitos e a concepção de um directório DiGA - ou seja, a base jurídica formulada para aplicações de saúde digital - foram regulamentados na DiGAV de 8 de Abril de 2020.

Porque é que precisamos de aplicações de saúde digitais?

Com a mudança demográfica, a necessidade de serviços de saúde irá aumentar significativamente nas próximas décadas. E esta procura levará a grandes desafios para os cuidados de saúde em geral, tendo em conta a escassez de médicos e enfermeiros que já hoje prevalece. A digitalização tem o potencial de aliviar a longo prazo os encargos para o sistema de saúde, e as aplicações digitais de saúde podem contribuir significativamente para isso. Ao mesmo tempo, os requisitos de protecção de dados e segurança da informação devem ser efectivamente tidos em conta.

Olhando para os requisitos da DiGA, porém, rapidamente se torna claro que eles não devem ser examinados isoladamente. São sempre apenas um componente na totalidade dos cuidados de saúde suportados digitalmente. Cartões de saúde electrónicos, ficheiros electrónicos de doentes, receitas electrónicas - a digitalização do sector da saúde já está em pleno andamento e está a ser impulsionada passo a passo a fim de definir o rumo para cuidados de saúde actualizados e sustentáveis.

O que é que os fabricantes têm de fazer para obter a aprovação da DiGA?

Uma vez que os dados de pacientes altamente sensíveis são normalmente processados no campo médico, o esforço necessário para obter a aprovação de uma aplicação de saúde digital é elevado. Os candidatos devem satisfazer e documentar uma vasta gama de requisitos. Estes incluem:

• Impacto positivo nos cuidados de saúde
• Segurança da informação
• Privacidade de dados
• Interoperabilidade
• Outros requisitos de qualidade (robustez, protecção do consumidor, facilidade de utilização, apoio aos prestadores de serviços, qualidade do conteúdo médico, segurança dos doentes)

Como pode ser garantida a segurança digital DiGA?

Hoje em dia, o (futuro) desenvolvimento de aplicações digitais segue geralmente princípios ágeis e dinâmicos para manter os ciclos de lançamento tão curtos quanto possível. Neste ambiente, a segurança digital não pode ser assegurada no decurso de uma validação única das medidas técnicas. A segurança é um processo contínuo que deve ser profundamente incorporado na empresa.

Aplicações digitais de saúde e protecção de dados: Que dados vale a pena proteger nos cuidados de saúde?

Ao recolher os dados de uma organização que vale a pena proteger, o foco inicial é normalmente a informação sensível, pessoalmente identificável, ou assim o exige a Lei Alemã de Protecção de Dados dos Pacientes. Na realidade, porém, toda a informação que é valiosa para uma empresa e que não deve cair em mãos não autorizadas é digna de protecção. Para além dos dados regulados pela GDPR, isto inclui também roteiros estratégicos e código de programa desenvolvido internamente.

O que é um sistema de gestão de segurança da informação?

Uma vez que a segurança de um DiGA não pode ser assegurada por uma verificação única, os fabricantes devem abordar o tema da segurança da informação de forma estratégica e sistemática. Um passo crucial neste processo é a implementação de um sistema de gestão da segurança da informação (SGSI), tal como o descrito na norma internacional ISO 27001. Isto define requisitos vinculativos para garantir, gerir, controlar e melhorar continuamente a segurança da informação.

A DiGAV aborda a questão da "segurança como processo" no Anexo 1 e exige que os fabricantes incorporem uma série de processos em termos de um SGSI. Estes incluem, por exemplo:

• Avaliação das necessidades de protecção, que determinam as necessidades de protecção de dados, aplicações ou sistemas e reavaliam-nas após cada alteração significativa
• Processos delançamento estratégico, mudança e gestão de configuração que ajudam a alinhar ambientes de desenvolvimento ágeis com processos de MDR formalizados
• Inventários de todos os produtos de terceiros utilizados, bem como processos adequados para assegurar que a informação relativa à segurança dos componentes de terceiros esteja disponível em tempo útil.

A partir de 1 de Janeiro de 2022, a implementação de um SGSI completo tornar-se-á um requisito fundamental para a inclusão no directório DiGA. Como resultado, os fabricantes da DiGA serão no futuro obrigados a demonstrar um ISMS de acordo com a série ISO 27000, incluindo um certificado.

ISO 27001: A referência para a segurança da informação

A norma ISO 27001 internacionalmente reconhecida constitui a base ideal para a implementação eficaz de uma estratégia de segurança holística no sentido de um SGSI estruturado. A estrutura e a abordagem seguem o modelo da chamada Estrutura de Alto Nível (HLS), a estrutura básica comum para sistemas de gestão.

A HLS fornece a estrutura básica vinculativa para todas as normas de sistemas de gestão orientados para processos e permite a integração perfeita dos requisitos das normas no sistema de gestão existente - e assim nos processos empresariais gerais da empresa.

Segurança de informação certificada de acordo com a norma ISO 27001

Proteja a sua informação com um sistema de gestão de acordo com uma norma internacional ★ DQS oferece mais de 35 anos de experiência em certificação ★.

A certificação de um SGSI de acordo com a ISO 27001 é realizada em conformidade com um procedimento acreditado. Como tal, é considerada prova de que um sistema de gestão bem sucedido e medidas adequadas foram implementadas para proteger sistematicamente os bens de informação. Além disso, o certificado inclui um compromisso de melhoria contínua do sistema.

Aplicações digitais de saúde: Um caso especial para a protecção de dados

Uma vez que os dados dos pacientes são extremamente sensíveis, os utilizadores de aplicações de saúde digital devem poder confiar que os requisitos legais relativos à protecção de dados são observados a todo o momento. Para este fim, a DiGAV especifica os requisitos legais da DSGVO e da Lei Federal Alemã de Protecção de Dados (BDSG). Aplicam-se tanto ao próprio fabricante como a todos os sistemas ligados, incluindo os processadores de encomendas, tais como os fornecedores de nuvens. No âmbito de uma DiGAV, os dados pessoais só podem ser recolhidos após consentimento e exclusivamente para os seguintes fins:

1. Para a utilização prevista da DiGA pelos utilizadores.
2. Para fornecer provas de efeitos de fornecimento positivos no contexto dos testes DiGA
3. Fornecer provas para efeitos de preços baseados no desempenho pela Associação Nacional Alemã de Caixas de Seguro de Saúde, em conformidade com a Secção 134 (1) Sentença 3 do Código Social Alemão, Livro 5.
4. Para garantir permanentemente a funcionalidade técnica, a facilidade de utilização e o desenvolvimento futuro da DiGA.

O consentimento para os três primeiros objectivos pode ser dado conjuntamente, mas deve ser obtido separadamente para o quarto objectivo. O processamento de dados para todos os outros fins (especialmente para fins publicitários) está excluído. Além disso, o tratamento de dados só pode ter lugar na Alemanha, na UE, ou num país considerado equivalente de acordo com a lei alemã (por exemplo, a Suíça). O tratamento num país terceiro exigiria uma decisão de adequação com uma justificação significativa.

O Anexo 1 da DiGAV contém uma lista de verificação com 40 declarações que consideram tanto a implementação técnica como a organização do fabricante e os seus processos. Estes são requisitos muito concretos para uma listagem no directório da DiGAV.

Adenda: A GDPR permite geralmente o processamento de dados pessoais dentro da UE. É permitido o processamento fora da UE num chamado país terceiro, desde que exista um nível de protecção comparável no país terceiro (decisão de adequação nos termos do Artigo 45 GDPR). Por detrás desta ligação encontra-se a lista de países com os quais existe um acordo de adequação.

ISO 27701: Expansão para incluir um sistema de gestão de protecção de dados

Uma vez que a protecção de dados, semelhante à segurança da informação, não pode ser controlada selectivamente, a norma ISO 27701 foi publicada em Agosto de 2019. É considerada um chamado "suplemento sectorial específico" à ISO 27001 e, portanto, exige a existência de um SGSI correspondente. Contudo, a ISO 27701 complementa o SGSI com critérios profundos de protecção de dados e expande os requisitos para o Sistema de Gestão de Informações de Privacidade (PIMS).

Além disso, a norma fornece melhores práticas concretas para a implementação dos requisitos de protecção de dados aplicáveis - independentemente de serem o GDPR europeu ou outros regulamentos regionais.

A integração da ISO 27701 não garante automaticamente o cumprimento da GDPR ou do DSGVO alemão. Contudo, devido à sua orientação amplamente congruente, proporciona um bom ponto de partida para a implementação bem sucedida dos regulamentos e facilita a protecção e o processamento fiável dos dados pessoais e a demonstração do cumprimento dos requisitos legais por parte dos responsáveis.

Outro benefício que advém da implementação da norma de protecção de dados é a designação de responsabilidades claras na área da protecção de dados: as responsabilidades não são divididas entre colegas de acordo com a carga de trabalho, como é muito popular, mas seguem regras claramente definidas com contactos dedicados - os responsáveis pela protecção de dados.

Além disso, a introdução da norma ISO 27701 apela a uma abordagem orientada para o risco em matéria de privacidade de dados. Os riscos e a sua probabilidade de ocorrência devem, portanto, ser definidos e avaliados holisticamente, a fim de se poder avaliar o nível de danos potenciais desde o início e mantê-los tão baixos quanto possível.

O cumprimento da norma define o rumo a seguir para a inclusão no directório DiGA

Os obstáculos para a inclusão no directório DiGA pelo BfArM alemão são elevados por boas razões. A segurança da informação e a protecção de dados devem ser sempre garantidas, apesar da natureza altamente dinâmica do mundo digital. A abordagem estruturada e sistemática da ISO 27001 e ISO 27701 fornece às empresas a base ideal para gerir dados de qualquer tipo de forma segura e conforme.

Os organismos de controlo e regulamentação também avaliam a implementação conscienciosa e a certificação do SGSI e do PIMS como sinal de um envolvimento mais profundo com mecanismos de protecção robustos e sustentáveis - isto pode ter um impacto positivo em possíveis sanções em caso de danos.

Em suma, mesmo que a própria certificação ISO 27001 e ISO 27701 não garanta a inclusão no directório DiGA, os sistemas de gestão correspondentes cobrem em grande medida as listas de controlo do regulamento DiGA. Por conseguinte, proporcionam um ponto de partida ideal para definir o rumo a seguir para uma inclusão bem sucedida no directório.

DQS: Simplesmente alavancar a Qualidade.

Segurança da informação e protecção de dados são tópicos complexos que vão muito além da segurança informática. Abrangem aspectos técnicos, organizacionais e infra-estruturais e tocam nos requisitos da lei. Um sistema de gestão da segurança da informação (ISMS) de acordo com a ISO/IEC 27001, complementado por um sistema de gestão da privacidade da informação (PIMS) de acordo com a ISO/IEC 27701, é adequado para medidas de protecção eficazes.

DQS é o seu especialista para auditorias e certificações de sistemas e processos de gestão. Com mais de 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro competente de certificação e fornecemos respostas a todas as questões relativas à protecção de dados e segurança da informação.

Confiança e perícia

Nota: Os nossos textos e brochuras são escritos exclusivamente pelos nossos peritos em normas ou auditores com muitos anos de experiência. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, não hesite em contactar-nos.