Beitrag

cert datenschutz? Oder: datenschutz cert? Di 05.05.2020

Anforderungen an Gesundheits-Apps sind da!

Wenn es schnell gehen muss, gerade bei digitalen Gesundheitsanwendungen in Zeiten von Corona, bleibt die Sicherheit Ihrer persönlichen Daten weiterhin ein wertvolles Gut. Hierzu gab es bis vorkurzem keine klaren Vorgaben und Standards.

Apps zur Gesundheitsvorsorge können jetzt als digitale Helfer nach einheitlichen Regeln zugelassen, geprüft und angewendet werden. Besonders die Persönlichkeitsrechte werden hierbei berücksichtigt.

Mit den Vorgaben aus den BSI TR-03161 Sicherheitsanforderungen an digitale Gesundheitsanwendungen (TR) und dem Leitfaden „Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen nach § 139e SGB V (DiGA) für Hersteller, Leistungserbringer und Anwender“ wurden nun entsprechende Prüfgrundlagen und das Vorgehen, wie die Zulassung für alle Beteiligte zu erfolgen hat, veröffentlicht.

Hierbei beschreibt die Technische Richtlinie (TR) das Vorgehen für Entwickler von mobilen Anwendungen im Gesundheitswesen um diese bei der Erstellung sicherer mobiler Apps zu unterstützen. Ein besonderer Fokus wird hierbei auf die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit gelegt. Diese drei Eckpfeiler sind bereits aus dem Informationssicherheitsmanagementsystem ISO 27001 oder aus dem IT-Sicherheitskatalog bekannt. Damit setzt diese TR Mindestanforderung an den sicheren Betrieb einer digitalen Anwendung, die auch ständig weiterentwickelt werden, da sich auch die Bedrohungslage stetig verändert. Eine Zertifizierung von Apps nach dieser Technischen Richtlinie wird zukünftig auch möglich sein.

Es dürfte daher hilfreich sein, diese TR heranzuziehen, um die Anforderungen an Medizinproduktehersteller, die nämlich entsprechende Angaben für die DiGA erstellen müssen heranzuziehen. Die Einhaltung kann durch eine Zertifizierung von einer unabhängigen 3. Stelle als objektiver Nachweis zur Unterstützung der Entwicklung und Kundeninformation genutzt werden.

Im Rahmen des DiGA Verfahrens wird Bezug auf das Sozialgesetzbuch (SGB) Fünftes Buch (V) – Gesetzliche Krankenversicherung genommen. In diesem Zusammenhang wird das Bundesinstitut für Arzneimittel und Medizinprodukte (BfarM) zum Führen eines Verzeichnisses erstattungsfähiger digitaler Gesundheitsanwendungen ermächtigt. Damit wird das BfarM zukünftig die Stelle für den Antrag von Herstellern für Gesundheits-Apps sein, welche dann auch die Antragsunterlagen prüfen wird.

In der DiGA werden im Kern hierzu das Verfahren für die Prüfung der Herstellerangaben zu den geforderten Produkteigenschaften dargelegt. Ebenso definiert es Anforderungsprofile zum Datenschutz und zur Informationssicherheit sowie Nutzerfreundlichkeit und Leistungsfähigkeit, um in das Verzeichnis gemäß SGB V aufgenommen zu werden. Somit besteht Transparenz für die Hersteller, wie und was durch ihn zu erfolgen hat.

Hilfreich für Hersteller ist auch, dass die Eigenschaften einer DiGA als Medizinprodukt nach der Medical Device Directive (MDD), oder Directive 93/42/EEC bzw. nach der neuen EU-Medizinprodukte-Verordnung (MDR) unter Abschnitt 2.1 des DiGA Leitfadens dargelegt werden. Hierbei werden auch Kombinationen mit (optionaler) Hardware und Kombination mit Dienstleistungen betrachtet. Demnach ist z.B. eine App mit einem Brustgurt der Atemaussetzer von Schlafapnoepatienten detektiert und dem Nutzer am nächsten Tag die Zahl der Atemaussetzer in der Nacht meldet, kein Medizinprodukt.

Damit müssen Hersteller von Medizinprodukten, die einen Antrag beim BfarM stellen wollen, die Sicherheit und Funktionstauglichkeit einer DiGA nachweisen, hierbei gehören auch die Checklisten zu den Themen Datenschutz, Informationssicherheit und Qualität, die in der Digitale-Gesundheitsanwendungen-Verordnung (DIGAV) als Anlagen 1 und 2 enthalten sein werden.

Von Matthias Mühlhause in der Rubrik cert News