Digitale Gesundheitsanwendungen: Was DiGA-Betreiber nun beachten müssen

Seit gut zwei Jahren ist es Ärzt:innen und Psychotherapeut:innen möglich, sogenannte „Apps auf Rezept“ zu verschreiben. Damit Patient:innen diese auch sicher nutzen können, müssen digitale Gesundheitsanwendungen (DiGA) bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllen. Festgelegt sind diese in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die mit der 1. DiGAVÄndV um weitere Regelungen ergänzt wurde.

Wir haben für Sie zusammengefasst, welche Voraussetzungen DiGA-Betreiber und Hersteller künftig erfüllen müssen, um im DiGA-Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen gelistet zu werden.
 

Die Anforderungen im Überblick:

• Zulassungsfähiger Penetrationstests für alle Risikoklassen: Waren Penetrationstests zuvor nur für digitale Gesundheitsanwendungen mit erhöhtem Schutzbedarf gefordert, gehören sie seit dem 01.04.2022 zu den Basisanforderungen. Damit sind sie für alle DiGA gleichermaßen verpflichtend. Grundlage für die Pentest-Durchführung bilden das Durchführungskonzept für Penetrationstests des BSI sowie die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.

• Nachweis über ein Informationssicherheits-Managementsystem (ISMS): DiGA-Hersteller müssen ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“ eingeführt haben und dessen Umsetzung belegen. Der Nachweis ist seit dem 01.04.2022 in Form einer ISMS-Zertifizierung zu erbringen. Das entsprechende Zertifikat muss dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Verlangen vorgelegt werden.

• Nachweis der Datensicherheit: Ab dem 01.01.2023 müssen DiGA-Hersteller nachweisen, dass ihre Anwendungen bestimmte technische und organisatorische Anforderungen erfüllen. Diese sind in der Technischen Richtlinie BSI TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen) festgelegt. Demnach erfolgt die Nachweiserbringung über ein Zertifikat gemäß TR-03161.

• Interoperabilität von DiGA mit der ePA: Ab dem 01.01.2023 müssen digitale Gesundheitsanwendungen einen regelmäßigen, automatisierten Export der durch die DiGA erhobenen Daten in die elektronische Patientenakte (ePA) ermöglichen. Die Anforderungen an die semantische und syntaktische Interoperabilität, die damit einhergehen, legt die Kassenärztliche Bundesvereinigung (KBV) fest. 

• Sichere Authentisierung: Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungsmöglichkeit von Versicherten über die digitale Identität eingeführt. Diese muss spätestens bis zum 01.01.2023 umgesetzt sein.

• Nachweis des Datenschutzes: Derzeit muss der Datenschutz einer DiGA nur über die Herstellereigenerklärung nachgewiesen werden. Ab dem 01.04.2023 wird in Bezug auf digitale Gesundheitsanwendungen, die weiterhin im DiGA-Verzeichnis gelistet bleiben möchten, ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz gefordert. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO.

Sie möchten noch mehr über die Anforderungen erfahren? Dann laden wir Sie herzlich zu unserer kostenlosen Infoveranstaltung „DiGA „auf Kasse“ – aber sicher! Anforderungen an Datenschutz & IT-Sicherheit“ ein. Im Rahmen des eineinhalbstündigen Webinars beleuchten wir die bestehenden und neuen Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit, die an erstattungsfähige digitale Gesundheitsanwendungen künftig gestellt werden und erläutern, wie Sie diese mit unseren Dienstleistungen erfüllen können. Unsere erfahrenen Datenschutz- und IT-Sicherheitsexpert:innen beantworten zudem gerne alle Fragen, die sich bei den Teilnehmenden im Laufe der Veranstaltung ergeben.