Digitálne zdravotnícke aplikácie - osobitný prípad ochrany údajov

OBSAH

• Čo sú to aplikácie digitálneho zdravia?
• Prečo potrebujeme digitálne zdravotné aplikácie?
• Čo musia výrobcovia urobiť, aby získali schválenie DiGA?
• Ako možno zabezpečiť digitálnu bezpečnosť DiGA?
• Aké údaje o zdravotnej starostlivosti sa oplatí chrániť?
• Čo je to systém riadenia bezpečnosti informácií?
• ISO 27001: Referenčná norma pre bezpečnosť informácií
• A sOsobitnýprípad ochrany údajov
• ISO 27701: Rozšírenie o systém riadenia ochrany údajov
• Súlad s normou ako základ pre zaradenie do adresára DiGA
• DQS: Jednoduché využitie kvality.

Čo sú to aplikácie digitálneho zdravia?

Digitálne zdravotnícke aplikácie sú digitálne zdravotnícke zariadenia, ktoré pomáhajú pri diagnostike a terapii chorôb. Okrem toho sú určené na podporu cesty k samostatnému, zdraviu prospešnému životnému štýlu. Sú to teda "digitálni pomocníci" v rukách pacientov - "aplikácia na predpis".

Európske nariadenie o zdravotníckych pomôckach (MDR) klasifikuje DiGA ako zdravotnícke pomôcky rizikovej triedy I alebo IIa a podriaďuje ich prísnym predpisom "nariadenia o digitálnych zdravotníckych aplikáciách" (DiGAV). Do adresára DiGA nemeckého Spolkového inštitútu pre lieky a zdravotnícke pomôcky (BfArM) sa zaraďujú len aplikácie, ktoré plne vyhovujú týmto predpisom.

Čo tvorí digitálnu zdravotnú aplikáciu?

BfArM definoval nasledujúce charakteristiky, ktoré musí zdravotnícka pomôcka spĺňať, aby bola uznaná ako DiGA:

• Zdravotnícka pomôcka rizikovej triedy I alebo IIa.
• Hlavná funkcia je založená na digitálnych technológiách
• Hlavná digitálna funkcia má jasný lekársky účel (t. j. neslúži len na odčítanie alebo ovládanie pomôcky)
• Podporuje zisťovanie, monitorovanie, liečbu alebo zmierňovanie ochorenia alebo zisťovanie liečby, zmierňovanie alebo kompenzáciu zranenia alebo postihnutia
• Neslúži ako preventívna pomôcka primárnej starostlivosti
• Používa ju pacient alebo spoločne s poskytovateľom zdravotnej starostlivosti, t. j. nepoužíva ju výlučne lekár (opäť by to spadalo pod "kancelárske vybavenie")

Aký je právny základ pre DiGA?

Digitálne zdravotnícke aplikácie boli umožnené prijatím zákona o digitálnej zdravotnej starostlivosti (DVG) 19. decembra 2019. Odvtedy majú ľudia so zákonným zdravotným poistením nárok na DiGA - hovorovo nazývanú "aplikácia na predpis".

Podrobnosti o procese podávania žiadostí, požiadavkách a podobe adresára DiGA - t. j. formulovaného právneho základu pre digitálne zdravotné aplikácie - boli upravené v DiGAV z 8. apríla 2020.

Prečo potrebujeme digitálne zdravotné aplikácie?

S demografickými zmenami sa v nasledujúcich desaťročiach výrazne zvýši potreba zdravotníckych služieb. A tento dopyt povedie k veľkým výzvam pre všeobecnú zdravotnú starostlivosť vzhľadom na nedostatok lekárov a zdravotných sestier, ktorý prevláda už dnes. Digitalizácia má potenciál dlhodobo odbremeniť systém zdravotnej starostlivosti a digitálne zdravotnícke aplikácie k tomu môžu významne prispieť. Zároveň je potrebné účinne zohľadniť požiadavky na ochranu údajov a bezpečnosť informácií.

Pri pohľade na požiadavky DiGA je však rýchlo jasné, že by sa nemali skúmať izolovane. Sú vždy len jednou zložkou v celku digitálne podporovanej zdravotnej starostlivosti. Elektronické zdravotné karty, elektronické karty pacientov, elektronické recepty - digitalizácia zdravotníctva je už v plnom prúde a krok za krokom sa ženie dopredu, aby sa určil kurz pre modernú a udržateľnú zdravotnú starostlivosť.

Čo musia výrobcovia urobiť, aby získali schválenie DiGA?

Keďže v oblasti zdravotníctva sa zvyčajne spracúvajú veľmi citlivé údaje o pacientoch, úsilie potrebné na získanie schválenia digitálnej zdravotníckej aplikácie je vysoké. Žiadatelia musia splniť a zdokumentovať širokú škálu požiadaviek. Medzi ne patria:

• pozitívny vplyv na zdravotnú starostlivosť
• bezpečnosť informácií
• ochrana osobných údajov
• interoperabilita
• iné požiadavky na kvalitu (robustnosť, ochrana spotrebiteľa, užívateľská prívetivosť, podpora poskytovateľov služieb, kvalita zdravotníckeho obsahu, bezpečnosť pacientov)

Ako sa dá zabezpečiť digitálna bezpečnosť v systéme DiGA?

V súčasnosti sa (ďalší) vývoj digitálnych aplikácií zvyčajne riadi agilnými a dynamickými princípmi, aby boli cykly vydávania čo najkratšie. V tomto prostredí nie je možné zabezpečiť digitálnu bezpečnosť v rámci jednorazového overenia technických opatrení. Bezpečnosť je nepretržitý proces, ktorý musí byť hlboko zakorenený v podniku.

Digitálne zdravotnícke aplikácie a ochrana údajov: Aké údaje sa oplatí chrániť v zdravotníctve?

Pri zhromažďovaní údajov organizácie, ktoré sa oplatí chrániť, sa zvyčajne spočiatku kladie dôraz na citlivé, osobne identifikovateľné informácie, alebo to aspoň vyžaduje nemecký zákon o ochrane údajov pacientov. V skutočnosti sú však hodné ochrany všetky informácie, ktoré majú pre spoločnosť hodnotu a nesmú sa dostať do nepovolaných rúk. Okrem údajov regulovaných nariadením GDPR sem patria aj strategické plány a programový kód vyvinutý vo firme.

Čo je to systém riadenia informačnej bezpečnosti?

Keďže bezpečnosť DiGA sa nedá zabezpečiť jednorazovou kontrolou, výrobcovia musia k téme bezpečnosti informácií pristupovať strategicky a systematicky. Rozhodujúcim krokom v tomto procese je zavedenie systému riadenia informačnej bezpečnosti (ISMS), ako je napríklad systém opísaný v medzinárodnej norme ISO 27001. Tá definuje záväzné požiadavky na zabezpečenie, riadenie, kontrolu a neustále zlepšovanie informačnej bezpečnosti.

DiGAV sa v prílohe 1 zaoberá otázkou "bezpečnosti ako procesu" a od výrobcov vyžaduje, aby v zmysle ISMS zakotvili rad procesov. Medzi ne patria napr:

• posúdenie potrieb ochrany, ktoré určujú potreby ochrany údajov, aplikácií alebo systémov a prehodnocujú ich po každej významnej zmene
• Strategické procesy riadeniavydávania verzií, zmien a konfigurácií, ktoré pomáhajú zosúladiť agilné vývojové prostredia s formalizovanými procesmi MDR
• Súpisy všetkých používaných produktov tretích strán, ako aj príslušné procesy na zabezpečenie včasnej dostupnosti informácií o komponentoch tretích strán súvisiacich s bezpečnosťou.

Od 1. januára 2022 sa zavedenie úplného systému ISMS stane základnou požiadavkou na zaradenie do adresára DiGA. V dôsledku toho budú výrobcovia DiGA v budúcnosti povinní preukázať ISMS v súlade so sériou ISO 27000 vrátane certifikátu.

ISO 27001: referenčný štandard pre bezpečnosť informácií

Medzinárodne uznávaná norma ISO 27001 tvorí optimálny základ pre efektívne zavedenie komplexnej bezpečnostnej stratégie v zmysle štruktúrovaného systému ISMS. Štruktúra a prístup sa riadia modelom takzvanej štruktúry vysokej úrovne (HLS), ktorá je spoločnou základnou štruktúrou pre systémy riadenia.

HLS predstavuje záväznú základnú štruktúru pre všetky procesne orientované normy systémov riadenia a umožňuje bezproblémovú integráciu požiadaviek noriem do existujúceho systému riadenia - a tým aj do všeobecných podnikových procesov spoločnosti.

Certifikovaná bezpečnosť informácií podľa normy ISO 27001

Chráňte svoje informácie systémom riadenia podľa medzinárodnej normy ★ DQS ponúka viac ako 35 rokov skúseností s certifikáciou ★.

Certifikácia ISMS podľa normy ISO 27001 sa vykonáva v súlade s akreditovaným postupom. Ako taká sa považuje za dôkaz, že bol zavedený úspešný systém riadenia a vhodné opatrenia na systematickú ochranu informačných aktív. Okrem toho certifikát zahŕňa záväzok neustáleho zlepšovania systému.

Aplikácie v oblasti digitálneho zdravia: Osobitný prípad ochrany údajov

Keďže údaje pacientov sú mimoriadne citlivé, používatelia digitálnych zdravotníckych aplikácií sa musia spoľahnúť na to, že zákonné požiadavky týkajúce sa ochrany údajov sa vždy dodržiavajú. Na tento účel DiGAV špecifikuje právne požiadavky z DSGVO a nemeckého spolkového zákona o ochrane údajov (BDSG). Vzťahujú sa na samotného výrobcu aj na všetky pripojené systémy vrátane spracovateľov objednávok, ako sú poskytovatelia cloudových služieb. V rámci DiGAV sa osobné údaje môžu zhromažďovať len po udelení súhlasu a výlučne na tieto účely:

1. Na zamýšľané používanie systému DiGA používateľmi.
2. Na poskytnutie dôkazov o pozitívnych účinkoch ponuky v rámci testovania DiGA
3. Na poskytnutie dôkazov na účely stanovenia cien na základe výkonnosti Nemeckým národným združením zdravotných poisťovní v súlade s § 134 ods. 1 veta 3 nemeckého sociálneho zákonníka, kniha 5.
4. Trvalo zaručiť technickú funkčnosť, užívateľskú prívetivosť a ďalší vývoj systému DiGA.

Súhlas na prvé tri účely je možné udeliť spoločne, ale na štvrtý účel je potrebné ho získať osobitne. Spracovanie údajov na všetky ostatné účely (najmä na reklamné účely) je vylúčené. Okrem toho sa spracúvanie údajov môže vykonávať len v Nemecku, EÚ alebo v krajine, ktorá sa podľa nemeckého práva považuje za rovnocennú (napríklad Švajčiarsko). Spracovanie v tretej krajine by si vyžadovalo rozhodnutie o primeranosti so zmysluplným odôvodnením.

Príloha 1 k smernici DiGAV obsahuje kontrolný zoznam so 40 výrokmi, ktoré zohľadňujú technickú realizáciu aj organizáciu výrobcu a jeho procesov. Ide o veľmi konkrétne požiadavky na zaradenie do zoznamu DiGA.

Doplnenie: GDPR vo všeobecnosti povoľuje spracúvanie osobných údajov v rámci EÚ. Spracovanie mimo EÚ v tzv. tretej krajine je povolené za predpokladu, že v tretej krajine existuje porovnateľná úroveň ochrany (rozhodnutie o primeranosti podľa článku 45 GDPR). Za týmto odkazom nájdete zoznam krajín, s ktorými existuje dohoda o primeranosti.

ISO 27701: Rozšírenie o systém riadenia ochrany údajov

Keďže ochranu údajov, podobne ako bezpečnosť informácií, nemožno monitorovať selektívne, v auguste 2019 bola zverejnená norma ISO 27701. Považuje sa za takzvaný "sektorový doplnok" k norme ISO 27001, a preto vyžaduje existenciu zodpovedajúceho systému ISMS. Norma ISO 27701 však dopĺňa ISMS o hĺbkové kritériá ochrany údajov a rozširuje požiadavky na systém riadenia ochrany osobných údajov (PIMS).

Okrem toho norma poskytuje konkrétne osvedčené postupy na implementáciu platných požiadaviek na ochranu údajov - bez ohľadu na to, či ide o európske nariadenie GDPR alebo iné regionálne predpisy.

Integrácia normy ISO 27701 výslovne nezaručuje automatické dodržiavanie GDPR alebo nemeckého DSGVO. Vďaka svojmu do značnej miery zhodnému zameraniu však poskytuje dobrý východiskový bod pre úspešnú implementáciu nariadení a uľahčuje zodpovedným stranám spoľahlivú ochranu a spracovanie osobných údajov a preukazovanie súladu so zákonnými požiadavkami.

Ďalšou výhodou, ktorá vyplýva zo zavedenia normy na ochranu údajov, je určenie jasných zodpovedností v oblasti ochrany údajov: zodpovednosti sa nerozdeľujú medzi kolegov podľa pracovnej náplne, ako je všeobecne populárne, ale riadia sa jasne stanovenými pravidlami s vyhradenými kontaktnými osobami - zodpovednými za ochranu údajov.

Zavedenie normy ISO 27701 navyše vyžaduje prístup k ochrane údajov orientovaný na riziká. Riziká a pravdepodobnosť ich výskytu sa preto musia definovať a hodnotiť komplexne, aby bolo možné od začiatku posúdiť úroveň potenciálnych škôd a udržať ju na čo najnižšej úrovni.

Súlad s normou určuje smer zaradenia do adresára DiGA

Prekážky pre zaradenie do adresára DiGA nemeckým BfArM sú z dobrých dôvodov vysoké. Bezpečnosť informácií a ochrana údajov musia byť zaručené za každých okolností, a to aj napriek veľmi dynamickej povahe digitálneho sveta. Štruktúrovaný a systematický prístup noriem ISO 27001 a ISO 27701 poskytuje spoločnostiam optimálny základ pre bezpečnú a kompatibilnú správu údajov akéhokoľvek druhu.

Kontrolné a regulačné orgány tiež posudzujú svedomitú implementáciu a certifikáciu ISMS a PIMS ako znak hlbšej angažovanosti v oblasti spoľahlivých a udržateľných ochranných mechanizmov - to môže mať pozitívny vplyv na prípadné sankcie v prípade škody.

Stručne povedané, aj keď samotná certifikácia ISO 27001 a ISO 27701 nezaručuje zaradenie do adresára DiGA, príslušné systémy riadenia do veľkej miery pokrývajú kontrolné zoznamy nariadenia DiGA. Poskytujú preto optimálny východiskový bod na stanovenie kurzu na úspešné zaradenie do adresára.

DQS: Jednoduché využitie kvality.

Bezpečnosť informácií a ochrana údajov sú komplexné témy, ktoré ďaleko presahujú rámec bezpečnosti IT. Zahŕňajú technické, organizačné a infraštruktúrne aspekty a dotýkajú sa požiadaviek zákona. Na účinné ochranné opatrenia je vhodný systém riadenia bezpečnosti informácií (ISMS) podľa normy ISO/IEC 27001 doplnený systémom riadenia ochrany osobných údajov (PIMS) podľa normy ISO/IEC 27701.

Spoločnosť DQS je vaším špecialistom na audity a certifikácie systémov riadenia a procesov. Vďaka viac ako 35 rokom skúseností a know-how 2 500 audítorov na celom svete sme vaším kompetentným certifikačným partnerom a poskytujeme odpovede na všetky otázky týkajúce sa ochrany údajov a bezpečnosti informácií.

Dôvera a odbornosť

Poznámka: Naše texty a brožúry píšu výlučne naši odborníci na normy alebo audítori s dlhoročnými skúsenosťami. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, neváhajte nás kontaktovať.