Các ứng dụng y tế kỹ thuật số (DiGA) mang đến cơ hội để giảm các áp lực to lớn của sự thay đổi nhân khẩu học đối với hệ thống chăm sóc sức khỏe một cách bền vững. Nhưng trước khi dữ liệu bệnh nhân có độ nhạy cao có thể được xử lý kỹ thuật số, khóa học phải được thiết lập để bảo vệ đáng tin cậy tuân thủ các tiêu chuẩn bảo vệ dữ liệu thích hợp. Nhìn vào rất nhiều thông số kỹ thuật, hầu hết các nhà sản xuất DiGA không muốn gì hơn ngoài các khuôn khổ rõ ràng và các tiêu chuẩn có thể chứng nhận để giúp họ có mặt trong danh sách DiGA - và họ sẽ tìm thấy hai tiêu chuẩn trong quá trình tìm kiếm : ISO 27001 (bảo mật thông tin) và ISO 27701 (bảo vệ dữ liệu). Nhưng liệu các hệ thống quản lý được chứng nhận tương ứng có đủ trong môi trường DiGA không? Tìm câu trả lời trong bài đăng trên blog này.

Loading...

Các ứng dụng y tế kỹ thuật số là gì?

Ứng dụng sức khỏe kỹ thuật số là các thiết bị y tế kỹ thuật số giúp chẩn đoán và điều trị bệnh. Ngoài ra, chúng còn nhằm hỗ trợ con đường dẫn đến lối sống tự quyết định, nâng cao sức khỏe. Do đó, nó là "người trợ giúp kỹ thuật số" trong tay bệnh nhân - "ứng dụng theo toa".

Quy định về thiết bị y tế của Châu Âu (MDR) phân loại DiGA là thiết bị y tế thuộc loại rủi ro I hoặc IIa và tuân theo các quy định nghiêm ngặt của "Quy định về ứng dụng sức khỏe kỹ thuật số" (DiGAV). Chỉ những ứng dụng tuân thủ đầy đủ các quy định này mới được đưa vào danh mục DiGA của Viện Thuốc và Thiết bị Y tế Liên bang Đức (BfArM).

 

Điều gì tạo nên một ứng dụng y tế kỹ thuật số?

BfArM đã xác định các đặc điểm sau mà thiết bị y tế phải đáp ứng để được công nhận là DiGA:

  • Thiết bị y tế thuộc loại rủi ro I hoặc IIa.
  • Chức năng chính dựa trên công nghệ kỹ thuật số
  • Chức năng kỹ thuật số chính có mục đích y tế rõ ràng (nghĩa là nó không chỉ được sử dụng để đọc hoặc điều khiển một thiết bị)
  • Hỗ trợ phát hiện, theo dõi, điều trị hoặc giảm thiểu bệnh tật hoặc điều trị phát hiện, giảm nhẹ hoặc bồi thường thương tật hoặc tàn tật
  • Không hoạt động như một thiết bị chăm sóc chính dự phòng
  • Được sử dụng bởi bệnh nhân hoặc cùng với nhà cung cấp dịch vụ chăm sóc sức khỏe, tức là, không chỉ bởi bác sĩ (một lần nữa, điều này sẽ thuộc "thiết bị văn phòng")

 

Cơ sở pháp lý cho DiGA là gì?

Các ứng dụng y tế kỹ thuật số đã được thực hiện nhờ việc ban hành luật chăm sóc sức khỏe kỹ thuật số (DVG) vào ngày 19 tháng 12 năm 2019. Kể từ đó, những người có bảo hiểm y tế theo luật định có quyền nhận DiGA - thường được gọi là "ứng dụng theo đơn".

Các chi tiết về quy trình đăng ký, các yêu cầu và thiết kế thư mục DiGA - tức là cơ sở pháp lý được xây dựng cho các ứng dụng sức khỏe kỹ thuật số - đã được quy định trong DiGAV ngày 8 tháng 4 năm 2020.

 

Tại sao chúng ta cần các ứng dụng y tế kỹ thuật số?

Với sự thay đổi về nhân khẩu học, nhu cầu về các dịch vụ chăm sóc sức khỏe sẽ tăng lên đáng kể trong những thập kỷ tới. Và nhu cầu này sẽ dẫn đến những thách thức lớn đối với chăm sóc sức khỏe nói chung trong bối cảnh tình trạng thiếu bác sĩ và y tá đang phổ biến hiện nay. Số hóa có tiềm năng giảm bớt gánh nặng cho hệ thống chăm sóc sức khỏe trong dài hạn và các ứng dụng y tế kỹ thuật số có thể đóng góp đáng kể vào việc này. Đồng thời, các yêu cầu về bảo vệ dữ liệu và bảo mật thông tin phải được tính đến một cách hiệu quả.

Quản lý bảo vệ dữ liệu với ISO 27701

Bảo vệ dữ liệu trong bối cảnh bảo mật thông tin - một chủ đề thú vị?Có thêm kiến thức chuyên môn về tiêu chuẩn ISO 27701  với Sách trắng miễn phí của chúng tôi.

Tuy nhiên, nhìn vào các yêu cầu đối với DiGA, có thể thấy rõ ràng rằng chúng không nên được kiểm tra một cách cô lập. Chúng luôn chỉ là một thành phần trong tổng thể của các dịch vụ chăm sóc sức khỏe được hỗ trợ kỹ thuật số. Thẻ sức khỏe điện tử, hồ sơ bệnh nhân điện tử, đơn thuốc điện tử - quá trình số hóa trong lĩnh vực chăm sóc sức khỏe đã và đang được thúc đẩy từng bước nhằm thiết lập quy trình chăm sóc sức khỏe cập nhật và bền vững.

 

Các nhà sản xuất phải làm gì để được DiGA chấp thuận?

Vì dữ liệu bệnh nhân có độ nhạy cao thường được xử lý trong lĩnh vực y tế, nên nỗ lực cần thiết để được chấp thuận cho một ứng dụng y tế kỹ thuật số là rất cao. Các ứng viên phải đáp ứng và ghi nhận một loạt các yêu cầu. Bao gồm các:

  • Tác động tích cực đến chăm sóc sức khỏe
  • Bảo mật thông tin
  • Bảo mật dữ liệu
  • Khả năng tương tác
  • Các yêu cầu chất lượng khác (tính mạnh mẽ, bảo vệ người tiêu dùng, thân thiện với người dùng, hỗ trợ nhà cung cấp dịch vụ, chất lượng nội dung y tế, an toàn cho bệnh nhân)

"Bắt đầu từ ngày 1 tháng 1 năm 2022, việc triển khai ISMS hoàn chỉnh sẽ trở thành một yêu cầu cơ bản để đưa vào Danh bạ DiGA."

Làm thế nào để đảm bảo an ninh kỹ thuật số DiGA?

Ngày nay, sự phát triển (xa hơn) của các ứng dụng kỹ thuật số thường tuân theo các nguyên tắc linh hoạt và năng động để giữ chu kỳ phát hành càng ngắn càng tốt. Trong môi trường này, không thể đảm bảo an ninh kỹ thuật số trong quá trình xác nhận một lần các biện pháp kỹ thuật. Bảo mật là một quá trình liên tục cần phải đi sâu vào doanh nghiệp.

"Các ứng dụng sức khỏe kỹ thuật số và bảo vệ dữ liệu: xử lý dữ liệu cho mục đích quảng cáo bị loại trừ."

Mẹo Đọc: Tìm hiểu thêm về Mục tiêu Bảo vệ của An toàn Thông tin trong bài viết blog này.

Ứng dụng sức khỏe kỹ thuật số và bảo vệ dữ liệu: Dữ liệu nào đáng được bảo vệ trong chăm sóc sức khỏe?

Khi thu thập dữ liệu đáng được bảo vệ của một tổ chức, trọng tâm ban đầu thường là thông tin nhạy cảm, có thể nhận dạng cá nhân, hoặc do đó luật bảo vệ dữ liệu bệnh nhân của Đức yêu cầu. Tuy nhiên, trên thực tế, tất cả những thông tin có giá trị đối với một công ty và không được rơi vào tay trái phép đều đáng được bảo vệ. Ngoài dữ liệu do GDPR quy định, dữ liệu này cũng bao gồm các lộ trình chiến lược và mã chương trình được phát triển nội bộ.

Hệ thống quản lý an toàn thông tin là gì?

Vì tính bảo mật của DiGA không thể được đảm bảo bằng cách kiểm tra một lần, nên các nhà sản xuất phải tiếp cận chủ đề an toàn thông tin một cách chiến lược và có hệ thống. Một bước quan trọng trong quá trình này là triển khai hệ thống quản lý an toàn thông tin (ISMS), chẳng hạn như được mô tả trong tiêu chuẩn quốc tế ISO 27001. Điều này xác định các yêu cầu ràng buộc để đảm bảo, quản lý, kiểm soát và liên tục cải thiện an ninh thông tin.

ISO/IEC 27001:2013 |Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu. Tiêu chuẩn có sẵn từ trang web của ISO.

DiGAV giải quyết vấn đề "bảo mật như một quy trình" trong Phụ lục 1 và yêu cầu các nhà sản xuất nhúng một loạt các quy trình vào ISMS. Chúng bao gồm, ví dụ:

  • Đánh giá nhu cầu bảo vệ, xác định nhu cầu bảo vệ của dữ liệu, ứng dụng hoặc hệ thống và đánh giá lại chúng sau mỗi thay đổi quan trọng
  • Chiến lược phát hành, thay đổi và quy trình quản lý cấu hình giúp điều chỉnh các môi trường phát triển nhanh nhẹn với các quy trình MDR được chính thức hóa
  • Kiểm kê tất cả các sản phẩm của bên thứ ba đã sử dụng, cũng như các quy trình thích hợp để đảm bảo rằng thông tin liên quan đến bảo mật trên các thành phần của bên thứ ba luôn sẵn có một cách kịp thời.

 

Kể từ ngày 1 tháng 1 năm 2022, việc triển khai ISMS hoàn chỉnh sẽ trở thành một yêu cầu cơ bản để đưa vào thư mục DiGA. Do đó, các nhà sản xuất DiGA trong tương lai sẽ được yêu cầu chứng minh ISMS phù hợp với bộ tiêu chuẩn ISO 27000, bao gồm cả chứng chỉ.

 

ISO 27001: Tiêu chuẩn cho bảo mật thông tin

Tiêu chuẩn ISO 27001 được quốc tế công nhận là cơ sở tối ưu để triển khai hiệu quả một chiến lược bảo mật toàn diện theo nghĩa của một ISMS có cấu trúc. Cấu trúc và cách tiếp cận tuân theo mô hình của cái gọi là Cấu trúc bậc cao (HLS), cấu trúc cơ bản chung cho các hệ thống quản lý.

HLS cung cấp cấu trúc cơ bản ràng buộc cho tất cả các tiêu chuẩn hệ thống quản lý theo định hướng quy trình và cho phép tích hợp liền mạch các yêu cầu tiêu chuẩn vào hệ thống quản lý hiện có - và do đó vào các quy trình kinh doanh chung của công ty.

Chứng nhận bảo mật thông tin theo tiêu chuẩn ISO 27001

Bảo vệ thông tin của bạn với hệ thống quản lý theo tiêu chuẩn quốc tế ★ DQS cung cấp hơn 35 năm kinh nghiệm trong lĩnh vực chứng nhận ★.

Việc chứng nhận ISMS theo ISO 27001 được thực hiện theo một quy trình đã được công nhận. Như vậy, nó được coi là bằng chứng cho thấy một hệ thống quản lý thành công và các biện pháp thích hợp đã được thực hiện để bảo vệ tài sản thông tin một cách có hệ thống. Ngoài ra, chứng chỉ còn bao gồm cam kết cải tiến liên tục hệ thống.

 

Ứng dụng sức khỏe kỹ thuật số: Một trường hợp đặc biệt để bảo vệ dữ liệu

Vì dữ liệu bệnh nhân cực kỳ nhạy cảm, người dùng các ứng dụng y tế kỹ thuật số phải có khả năng dựa vào các yêu cầu pháp lý liên quan đến việc bảo vệ dữ liệu luôn được tuân thủ. Với mục đích này, DiGAV quy định các yêu cầu pháp lý từ DSGVO và Đạo luật Bảo vệ Dữ liệu Liên bang Đức (BDSG). Chúng áp dụng cho cả nhà sản xuất và cho tất cả các hệ thống được kết nối, bao gồm cả bộ xử lý đơn đặt hàng như nhà cung cấp đám mây. Trong phạm vi của DiGA, dữ liệu cá nhân chỉ có thể được thu thập sau khi đã được sự đồng ý và dành riêng cho các mục đích sau:

  1. Đối với mục đích sử dụng DiGA của người dùng.
  2. Để cung cấp bằng chứng về các tác động tích cực của nguồn cung ứng trong bối cảnh thử nghiệm DiGA
  3. Cung cấp bằng chứng cho mục đích định giá dựa trên kết quả hoạt động của Hiệp hội Quỹ Bảo hiểm Y tế Quốc gia Đức theo Mục 134 (1) Câu 3 của Bộ luật Xã hội Đức, Quyển 5.
  4. Để đảm bảo vĩnh viễn chức năng kỹ thuật, thân thiện với người dùng và sự phát triển hơn nữa của DiGA.

Sự đồng ý cho ba mục đích đầu tiên có thể được đưa ra cùng nhau, nhưng phải có được sự đồng ý riêng cho mục đích thứ tư. Xử lý dữ liệu cho tất cả các mục đích khác (đặc biệt là cho mục đích quảng cáo) bị loại trừ. Ngoài ra, việc xử lý dữ liệu chỉ có thể diễn ra ở Đức, Liên minh Châu Âu hoặc một quốc gia được coi là tương đương theo luật pháp Đức (ví dụ: Thụy Sĩ). Quá trình xử lý ở nước thứ ba sẽ yêu cầu một quyết định đầy đủ với sự biện minh có ý nghĩa.

Phụ lục 1 của DiGAV bao gồm một danh sách kiểm tra với 40 tuyên bố xem xét cả việc thực hiện kỹ thuật và tổ chức của nhà sản xuất và các quy trình của nó. Đây là những yêu cầu rất cụ thể đối với một danh sách trong thư mục DiGA.

Phụ lục: GDPR thường cho phép xử lý dữ liệu dữ liệu cá nhân trong Liên minh Châu Âu. Cho phép xử lý bên ngoài EU ở một nước được gọi là nước thứ ba, với điều kiện là nước thứ ba có mức độ bảo vệ tương đương (quyết định đầy đủ theo Điều 45 GDPR). Đằng sau liên kết này, bạn sẽ tìm thấy danh sách các quốc gia có thỏa thuận đầy đủ tồn tại.

 

ISO 27701: Mở rộng để bao gồm một hệ thống quản lý bảo vệ dữ liệu

Vì bảo vệ dữ liệu, tương tự như bảo mật thông tin, không thể được giám sát một cách chọn lọc, tiêu chuẩn ISO 27701 đã được xuất bản vào tháng 8 năm 2019. Nó được coi là cái gọi là "bổ sung theo ngành cụ thể" cho ISO 27001 và do đó yêu cầu sự tồn tại của ISMS tương ứng. Tuy nhiên, ISO 27701 bổ sung ISMS với các tiêu chí bảo vệ dữ liệu chuyên sâu và mở rộng các yêu cầu đối với Hệ thống quản lý thông tin về quyền riêng tư (PIMS).

ISO/IEC 27701:2019 | Kỹ thuật bảo mật - Mở rộng sang ISO / IEC 27001 và ISO / IEC 27002 để quản lý thông tin quyền riêng tư - Các yêu cầu và hướng dẫn. Tiêu chuẩn có sẵn từ trang web của ISO.

Ngoài ra, tiêu chuẩn cung cấp các phương pháp hay nhất cụ thể để thực hiện các yêu cầu bảo vệ dữ liệu hiện hành - bất kể đó là GDPR của Châu Âu hay các quy định khu vực khác.

Việc tích hợp ISO 27701 một cách rõ ràng không tự động đảm bảo tuân thủ GDPR hoặc DSGVO của Đức. Tuy nhiên, do định hướng phần lớn đồng thời, nó cung cấp một điểm khởi đầu tốt để thực hiện thành công các quy định và giúp các bên có trách nhiệm dễ dàng bảo vệ và xử lý dữ liệu cá nhân một cách đáng tin cậy và chứng minh sự tuân thủ các yêu cầu pháp lý.

Một lợi ích khác đi kèm với việc thực hiện tiêu chuẩn bảo vệ dữ liệu là chỉ định trách nhiệm rõ ràng trong lĩnh vực bảo vệ dữ liệu: trách nhiệm không được phân chia giữa các đồng nghiệp theo khối lượng công việc, như phổ biến rộng rãi, nhưng tuân theo các quy tắc được xác định rõ ràng với các liên hệ chuyên dụng - bảo vệ dữ liệu các sĩ quan.

Ngoài ra, sự ra đời của ISO 27701 yêu cầu một cách tiếp cận theo định hướng rủi ro đối với quyền riêng tư của dữ liệu. Do đó, rủi ro và xác suất xuất hiện của chúng phải được xác định và đánh giá một cách tổng thể để có thể đánh giá mức độ thiệt hại tiềm ẩn ngay từ đầu và giữ cho nó ở mức thấp nhất có thể.

 

Việc tuân thủ tiêu chuẩn đặt ra khóa học để đưa vào thư mục DiGA

Rào cản đối với việc đưa vào thư mục DiGA của BfArM Đức là rất cao vì những lý do chính đáng. An ninh thông tin và bảo vệ dữ liệu luôn phải được đảm bảo mặc dù tính năng động cao của thế giới kỹ thuật số. Cách tiếp cận có cấu trúc và hệ thống của ISO 27001 và ISO 27701 cung cấp cho các công ty cơ sở tối ưu để quản lý dữ liệu thuộc bất kỳ loại nào một cách an toàn và tuân thủ.

Các cơ quan quản lý và kiểm soát cũng đánh giá việc thực hiện và chứng nhận ISMS và PIMS một cách tận tâm như một dấu hiệu của sự cam kết sâu sắc hơn với các cơ chế bảo vệ bền vững và mạnh mẽ - điều này có thể có tác động tích cực đến các biện pháp trừng phạt có thể xảy ra trong trường hợp có thiệt hại.

Nói tóm lại, ngay cả khi bản thân chứng chỉ ISO 27001 và ISO 27701 không đảm bảo được đưa vào danh mục DiGA, các hệ thống quản lý tương ứng sẽ bao gồm danh sách kiểm tra của quy định DiGA ở một mức độ lớn. Do đó, chúng cung cấp một điểm khởi đầu tối ưu cho việc thiết lập khóa học để đưa vào danh mục thành công.

 

DQS: Simply leveraging Quality.

Bảo mật thông tin và bảo vệ dữ liệu là những chủ đề phức tạp vượt xa bảo mật CNTT. Chúng bao gồm các khía cạnh kỹ thuật, tổ chức và cơ sở hạ tầng và liên quan đến các yêu cầu của luật pháp. Hệ thống quản lý an ninh thông tin (ISMS) theo ISO / IEC 27001, được bổ sung bởi hệ thống quản lý thông tin về quyền riêng tư (PIMS) theo ISO / IEC 27701, phù hợp với các biện pháp bảo vệ hiệu quả.

DQS là chuyên gia của bạn để đánh giá và chứng nhận các hệ thống và quy trình quản lý. Với hơn 35 năm kinh nghiệm và bí quyết của 2.500 đánh giá viên trên toàn thế giới, chúng tôi là đối tác chứng nhận có năng lực của bạn và cung cấp câu trả lời cho tất cả các câu hỏi liên quan đến bảo vệ dữ liệu và bảo mật thông tin.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Chúng tôi rất vui khi được trả lời những câu hỏi của bạn

Các yêu cầu đối với chứng nhận ISO 27001 và 27701 là gì? Và bạn phải nỗ lực bao nhiêu? Cùng tìm hiểu thông tin hoàn toàn miễn phí 

Tin tưởng và chuyên môn

Lưu ý: Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc đánh giá viên có nhiều năm kinh nghiệm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc các dịch vụ của chúng tôi đối với tác giả của chúng tôi, vui lòng liên hệ với chúng tôi.

 

Tác giả
Nadja Goetz

Chuyên gia DQS về hệ thống quản lý chăm sóc sức khỏe và đánh giá BSI-KRITIS, đánh giá viên và giám đốc sản phẩm về các tiêu chuẩn chất lượng khác nhau trong phục hồi chức năng cũng như chăm sóc bệnh nhân nội trú và ngoại trú.

Loading...

Các bài báo và sự kiện có liên quan

Có thể bạn cũng quan tâm tới điều này

KHÓA ĐÀO TẠO ĐÁNH GIÁ VIÊN TRƯỞNG ISO/IEC 27001:2022 (CQI/IRCA certified)

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt

KHÓA ĐÀO TẠO NHẬN THỨC VÀ ĐÁNH GIÁ VIÊN NỘI BỘ ISO 27001:2022

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt