Digitalne zdravstvene aplikacije - Poseban slučaj za zaštitu podataka

SADRŽAJ

• Šta su digitalne zdravstvene aplikacije?
• Zašto su nam potrebne digitalne zdravstvene aplikacije?
• Šta proizvođači moraju da urade da bi dobili DiGA odobrenje?
• Kako se može obezbediti digitalna bezbednost DiGA?
• Koje zdravstvene podatke vredi zaštititi?
• Šta je sistem upravljanja bezbednošću informacija?
• ISO 27001: Merilo za bezbednost informacija
• Poseban slučaj za zaštitu podataka
• ISO 27701: Proširenje uključivanjem sistema upravljanja zaštitom podataka
• Usklađenost sa standardom kao osnova za postavljanje kursa za uključivanje u DiGA direktorijum
• DQS: Jednostavno korišćenje kvaliteta. 

Šta su digitalne zdravstvene aplikacije?

Digitalne zdravstvene aplikacije su digitalna medicinska sredstva koja pomažu u dijagnostici i terapiji bolesti. Pored toga, oni su namenjeni da podrže put ka samoodređenom načinu života koji promoviše zdravlje. Oni su dakle „digitalni pomagači“ u rukama pacijenata – „aplikacija na recept“.

Evropska uredba o medicinskim sredstvima (MDR) klasifikuje DiGA kao medicinske uređaje klase rizika I ili IIa i podvrgava ih strogim propisima „Uredbe o digitalnim zdravstvenim aplikacijama“ (DiGAV). Samo aplikacije koje su u potpunosti u skladu sa ovim propisima nalaze se u DiGA imeniku Nemačkog saveznog instituta za lekove i medicinska sredstva (BfArM).

Šta čini digitalnu zdravstvenu aplikaciju?

BfArM je definisao sledeće karakteristike koje medicinska sredstva moraju da ispune da bi bio prepoznat kao DiGA:

• Medicinsko sredstvo klase rizika I ili IIa.
• Glavna funkcija je zasnovana na digitalnim tehnologijama
• Glavna digitalna funkcija ima jasnu medicinsku svrhu (tj. ne koristi se samo za očitavanje ili kontrolu uređaja)
• Podržava otkrivanje, praćenje, lečenje ili ublažavanje bolesti ili otkrivanje tretmana, ublažavanje ili kompenzaciju povreda ili invaliditeta
• Ne služi kao preventivni uređaj za primarnu negu
• Koristi ga pacijent ili zajedno sa zdravstvenim radnikom, tj. ne isključivo od strane lekara (opet, ovo bi spadalo u „kancelarijsku opremu“)

Šta je pravni osnov za DiGA?

Digitalne zdravstvene aplikacije su omogućene donošenjem Zakona o digitalnoj zdravstvenoj zaštiti (DVG) 19. decembra 2019. Od tada, osobe sa zakonskim zdravstvenim osiguranjem imaju pravo na DiGA – kolokvijalno nazvanu „aplikacija na recept“.

Detalji o procesu prijave, zahtevima i dizajnu DiGA direktorijuma – odnosno formulisane pravne osnove za digitalne zdravstvene aplikacije – regulisani su DiGAV-om od 8. aprila 2020.

Zašto su nam potrebne digitalne zdravstvene aplikacije?

Sa demografskim promenama, potreba za zdravstvenim uslugama će se značajno povećati u narednim decenijama. A ova potražnja će dovesti do velikih izazova za opštu zdravstvenu zaštitu s obzirom na nedostatak medicinskog osoblja koji je već prisutan danas. Digitalizacija ima potencijal da dugoročno rastereti zdravstveni sistem, a digitalne zdravstvene aplikacije mogu značajno da doprinesu tome. Istovremeno, zahtevi za zaštitu podataka i bezbednost informacija moraju se efikasno uzeti u obzir.

Gledajući zahteve za DiGA, brzo postaje jasno da ih ne treba ispitivati izolovano. Oni su uvek samo jedna komponenta u ukupnosti digitalno podržane zdravstvene zaštite. Elektronske zdravstvene kartice, elektronski kartoni pacijenata, e-recepti – digitalizacija zdravstvenog sektora je već u punom zamahu i napreduje se korak po korak kako bi se postavio kurs za modernu i održivu zdravstvenu zaštitu.

Šta proizvođači moraju da urade da bi dobili DiGA odobrenje?

Pošto se visoko osetljivi podaci o pacijentima obično obrađuju u oblasti medicine, napori potrebni za dobijanje odobrenja za digitalnu zdravstvenu aplikaciju su veliki. Kandidati moraju ispuniti i dokumentovati širok spektar zahteva. Ovo uključuje:

• Pozitivan uticaj na zdravstvenu zaštitu
• Bezbednost informacija
• Privatnost podataka
• Kompatibilnost
• Ostali zahtevi kvaliteta (robusnost, zaštita potrošača, prilagođenost korisnicima, podrška pružaocima usluga, kvalitet medicinskog sadržaja, bezbednost pacijenata)

Kako se može obezbediti DiGA digitalna bezbednost?

Danas (dalji) razvoj digitalnih aplikacija obično sledi agilne i dinamičke principe kako bi ciklusi objavljivanja bili što kraći. U ovom okruženju, digitalna bezbednost se ne može obezbediti tokom jednokratne validacije tehničkih mera. Bezbednost je kontinuiran proces koji mora biti duboko usađen u organizaciju.

Digitalne zdravstvene aplikacije i zaštita podataka: Koje podatke vredi zaštititi u zdravstvu?

Kada se prikupljaju podaci organizacije vredni zaštite, početni fokus je obično na osetljivim informacijama koje mogu da identifikuju ličnosti, ili tako nalaže nemački Zakon o zaštiti podataka o pacijentima. U stvari, sve informacije koje su od vrednosti za kompaniju i koje ne smeju pasti u neovlašćene ruke su vredne zaštite. Pored podataka regulisanih GDPR-om, ovo uključuje i strateške mape puta i programski kod razvijen u kompaniji.

Šta je sistem upravljanja bezbednošću informacija?

Pošto se sigurnost DiGA ne može obezbediti jednokratnom proverom, proizvođači moraju da pristupe temi bezbednosti informacija strateški i sistemski. Ključni korak u ovom procesu je implementacija sistema upravljanja bezbednošću informacija (ISMS), kao što je onaj opisan u međunarodnom standardu ISO 27001. Ovim se definišu obavezujući zahtevi za obezbeđivanje, upravljanje, kontrolu i kontinuirano unapređenje bezbednosti informacija.

DiGAV se bavi pitanjem „bezbednosti kao procesa“ u Aneksu 1 i zahteva od proizvođača da ugrade niz procesa u smislu ISMS-a. To uključuje, na primer:

• Procena potreba za zaštitom, koja utvrđuje potrebe zaštite podataka, aplikacija ili sistema i ponovo ih procenjuje nakon svake značajne promene
• Procesi upravljanja strateškim izdavanjem, promenama i konfiguracijom koji pomažu u usklađivanju agilnih razvojnih okruženja sa formalizovanim MDR procesima
• Inventari svih korišćenih proizvoda trećih strana, kao i odgovarajući procesi kako bi se osiguralo da su informacije vezane za bezbednost o komponentama trećih strana dostupne na vreme.

Od 1. januara 2022. implementacija kompletnog ISMS-a će postati osnovni uslov za uključivanje u DiGA direktorijum. Kao rezultat toga, proizvođači DiGA će u budućnosti morati da pokažu ISMS u skladu sa serijom ISO 27000, uključujući sertifikat.

ISO 27001: Merilo za bezbednost informacija

Međunarodno priznati standard ISO 27001 čini optimalnu osnovu za efikasnu primenu holističke bezbednosne strategije u smislu strukturiranog ISMS-a. Struktura i pristup prate model takozvane strukture visokog nivoa (HLS), zajedničke osnovne strukture za sisteme upravljanja.

HLS obezbeđuje obavezujuću osnovnu strukturu za sve standarde sistema upravljanja orijentisanih na procese i omogućava besprekornu integraciju zahteva standarda u postojeći sistem upravljanja – a time i u opšte poslovne procese kompanije.

Sertifikovana bezbednost informacija prema ISO 27001

Zaštitite svoje informacije pomoću sistema upravljanja prema međunarodnom standardu ★ DQS nudi više od 35 godina iskustva u sertifikaciji ★.

Sertifikacija ISMS-a prema ISO 27001 vrši se u skladu sa akreditovanom procedurom. Kao takav, smatra se dokazom da je sproveden uspešan sistem upravljanja i odgovarajuće mere za sistemsku zaštitu informacionih sredstava. Pored toga, sertifikat uključuje posvećenost stalnom unapređenju sistema.

Digitalne zdravstvene aplikacije: Poseban slučaj za zaštitu podataka

Pošto su podaci o pacijentima izuzetno osetljivi, korisnici digitalnih zdravstvenih aplikacija moraju biti u mogućnosti da se oslone na zakonske zahteve u vezi sa zaštitom podataka koju se poštuju u svakom trenutku. U tu svrhu, DiGAV navodi pravne zahteve iz DSGVO i nemačkog saveznog zakona o zaštiti podataka (BDSG). Primjenjuju se i na samog proizvođača i na sve povezane sisteme, uključujući procesore porudžbina kao što su dobavljači u klaudu. U okviru DiGA, lični podaci se mogu prikupljati samo nakon davanja saglasnosti i isključivo u sledeće svrhe:

1. Za namensku upotrebu DiGA od strane korisnika.
2. Da obezbedi dokaze o pozitivnim efektima snabdevanja u kontekstu DiGA testiranja
3. Da obezbedi dokaze u svrhu određivanja cena zasnovanih na učinku od strane Nemačkog nacionalnog udruženja fondova zdravstvenog osiguranja u skladu sa članom 134 (1) rečenica 3 Nemačkog socijalnog zakonika, knjiga 5.
4. Da trajno garantuje tehničku funkcionalnost, lakoću korišćenja i dalji razvoj DiGA.

Saglasnost za prve tri svrhe može se dati zajednički, a za četvrtu se mora dobiti odvojeno. Obrada podataka u sve druge svrhe (posebno u reklamne svrhe) je isključena. Pored toga, obrada podataka može da se odvija samo u Nemačkoj, EU ili zemlji koja se smatra ekvivalentnom prema nemačkom zakonu (na primer, Švajcarska). Obrada u trećoj zemlji zahtevala bi odluku o adekvatnosti sa smislenim obrazloženjem.

Aneks 1 DiGAV sadrži kontrolnu listu sa 40 izjava koje razmatraju i tehničku implementaciju i organizaciju proizvođača i njegovih procesa. Ovo su vrlo konkretni zahtevi za listing u DiGA direktorijumu.

Dodatak: GDPR generalno dozvoljava obradu ličnih podataka unutar EU. Obrada van EU u takozvanoj trećoj zemlji je dozvoljena, pod uslovom da u trećoj zemlji postoji uporediv nivo zaštite (odluka o adekvatnosti prema članu 45 GDPR). Iza ovog linka ćete pronaći spisak zemalja sa kojima postoji sporazum o adekvatnosti.

ISO 27701: Proširenje uključivanjem sistema upravljanja zaštitom podataka

Pošto zaštita podataka, slično bezbednosti informacija, ne može da se nadgleda selektivno, standard ISO 27701 je objavljen u avgustu 2019. Smatra se takozvanim „sektorskim dodatkom“ ISO 27001 i stoga zahteva postojanje odgovarajućeg ISMS-a. Međutim, ISO 27701 dopunjuje ISMS detaljnim kriterijumima zaštite podataka i proširuje zahteve za Sistem upravljanja informacijama o privatnosti (PIMS).

Pored toga, standard pruža konkretne najbolje prakse za primenu primenljivih zahteva za zaštitu podataka – bez obzira da li su to evropski GDPR ili drugi regionalni propisi.

Integracija ISO 27701 eksplicitno ne obezbeđuje automatski usaglašenost sa GDPR ili nemačkim DSGVO. Međutim, zbog svoje u velikoj meri kongruentne orijentacije, on predstavlja dobru polaznu osnovu za uspešnu primenu propisa i olakšava odgovornim stranama da pouzdano zaštite i obrade lične podatke i pokažu usaglašenost sa zakonskim zahtevima.

Još jedna prednost koju donosi implementacija standarda zaštite podataka je određivanje jasnih odgovornosti u oblasti zaštite podataka: odgovornosti nisu podeljene među kolegama prema obimu posla, kao što je široko popularno, već se poštuju jasno definisana pravila sa posvećenim kontaktima – zaštita podataka.

Pored toga, uvođenje ISO 27701 zahteva pristup privatnosti podataka orijentisan na rizik. Rizici i njihova verovatnoća nastanka moraju se stoga definisati i proceniti holistički kako bi se od samog početka mogao oceniti nivo potencijalne štete i zadržati što je moguće niži.

Usaglašenost sa standardom postavlja kurs za uključivanje u DiGA direktorijum

Prepreke za uključivanje nemačkog BfArM-a u DiGA direktorijumu su visoke iz dobrih razloga. Bezbednost informacija i zaštita podataka moraju biti zagarantovani u svakom trenutku uprkos veoma dinamičnoj prirodi digitalnog sveta. Strukturirani i sistematski pristup ISO 27001 i ISO 27701 pruža kompanijama optimalnu osnovu za upravljanje podacima bilo koje vrste na bezbedan i usaglašen način.

Kontrolna i regulatorna tela takođe ocenjuju savesnu primenu i sertifikaciju ISMS-a i PIMS-a kao znak dubljeg angažovanja sa snažnim i održivim mehanizmima zaštite – to može imati pozitivan uticaj na moguće sankcije u slučaju štete.

Ukratko, čak i ako sama sertifikacija ISO 27001 i ISO 27701 ne garantuje uključivanje u DiGA direktorijum, odgovarajući sistemi upravljanja u velikoj meri pokrivaju kontrolne liste DiGA regulative. Oni stoga pružaju optimalnu polaznu tačku za postavljanje kursa za uspešno uključivanje u imenik.

DQS: Jednostavno korišćenje kvaliteta.

Bezbednost informacija i zaštita podataka su složene teme koje daleko prevazilaze IT bezbednost. Oni obuhvataju tehničke, organizacione i infrastrukturne aspekte i dotiču se zahteva zakona. Sistem upravljanja bezbednošću informacija (ISMS) prema ISO/IEC 27001, dopunjen sistemom za upravljanje informacijama o privatnosti (PIMS) prema ISO/IEC 27701, pogodan je za efikasne mere zaštite.

DQS je vaš specijalista za provere i sertifikaciju sistema menadžmenta i procesa. Sa više od 35 godina iskustva i znanjem 2.500 auditora širom sveta, mi smo vaš kompetentan partner za sertifikaciju i pružamo odgovore na sva pitanja u vezi sa zaštitom podataka i bezbednošću informacija.

Poverenje i stručnost

Napomena: Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili ocenjivači sa dugogodišnjim iskustvom. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, slobodno nas kontaktirajte.