Zum Inhalt springen

Mit TÜVIT zur Kassenleistung

Digitale Gesundheitsanwendungen (DiGA)

Ihre digitale Gesundheitsanwendung als "App auf Rezept"

Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie gegenüber dem Bundesinstitut für Arzneimittel und Medizin­produkte (BfArM) nachweisen, dass Ihre Anwendung bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Daten­sicherheit erfüllt. Wir begleiten Sie auf Ihrem Weg zur erstattungsfähigen DiGA.

Erfolgreiche Nachweiserbringung

Ihre App auf Rezept: Mit uns erbringen Sie die durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geforderten Nachweise.

Gesundheitsdaten bestmöglich geschützt

Durch Penetrationstests sichern Sie Ihre DiGA bestmöglich gegen Cyber­attacken und Datendiebstähle ab & verhindern Reputationsschäden.

Gestärktes Vertrauen bei Nutzer:innen

Die Umsetzung der DiGA-Sicherheits­an­for­de­rung­en führt gleichzeitig zu einem höheren Vertrauen bei Nutzer:innen in Bezug auf die Sicherheit sensibler Daten.

Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)?

Mit dem Digitale-Versorgung-Gesetz (DVG) wurde die Grundlage für den Leistungsanspruch von Versicherten auf die Versorgung mit digitalen Gesundheitsanwendungen geschaffen. Daran anknüpfend beinhaltet die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) die Voraussetzungen für die Erstattung digitaler Gesundheitsanwendungen (DiGA) durch die Krankenkassen. 

Die Anforderungen beziehen sich dabei insbesondere auf die Aspekte Sicherheit, Qualität, Datenschutz und Datensicherheit.

Ihre Vorteile auf einen Blick

DiGA: IT-Sicherheit, Datenschutz & Datensicherheit

Die Sicherheit von DiGA-Anwendungen ist entscheidend für ihre Zulassung, den Schutz sensibler Gesundheitsdaten und das Vertrauen der Nutzer. Die folgenden Vorteile zeigen, wie gezielte Sicherheitsmaßnahmen nicht nur regulatorische Anforderungen erfüllen, sondern auch Ihre App langfristig schützen.

  • Nachweiserbringung gegenüber dem BfArM
    Damit Ihre App zur Kassenleistung werden kann, erhalten Sie über uns die notwendigen Nachweise.
  • Objektive Analyse von Sicherheitsmaßnahmen
    Ob durch Penetrationstests, Audits oder Analysen, wir nehmen Ihre DiGA sowie Ihr ISMS genau unter die Lupe.
  • Identifizierung & Behebung von Schwachstellen
    Unsere Expert:innen decken mögliche Schwachstellen Ihrer DiGA auf, sodass Sie diese proaktiv schließen können.
  • Kontinuierliche Verbesserung
    Durch das Aufdecken von Optimierungspotenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer DiGA.

  

  • Vertrauen gegenüber Kunden & Geschäftspartnern
    Mit Umsetzung der DiGA-Sicherheitsanforderungen stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.
  • Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co.
    Schützen Sie die sensiblen Gesundheitsdaten Ihrer DiGA bestmöglich vor Hackerangriffen & Datendiebstahl.
  • Reduzierung von IT-Risiken
    Durch Penetrationstests sowie ein ISMS erhöhen Sie die Sicherheit Ihrer DiGA & reduzieren mögliche IT-Risiken.
  • Vermeidung von wirtschaftlichen Schäden
    Durch die Erfüllung der DiGA-Sicherheitsanforderungen beugen Sie finanziellen sowie Reputationsschäden vor. 

  

Gut zu wissen

Anforderungen an die Sicherheit digitaler Gesundheitsanwendungen (DiGA)

Was DiGA-Betreiber und Hersteller wissen müssen

Welche Anforderungen an Datenschutz und IT-Sicherheit müssen digitale Gesundheitsanwendungen (DiGA) erfüllen, um zur „App auf Rezept“ zu werden?

Penetrationstests

Wird für eine Produktversion eine Aufnahme in das DiGA-Verzeichnis beantragt, muss für alle Komponenten – unabhängig vom Schutzbedarf der DiGA – ein Penetrationstest durchgeführt worden sein. 

Der Pentest muss von einer BSI zertifizierten Teststelle durchgeführt werden, verpflichtende Code-Reviews & Whitebox-Tests enthalten und auf dem Durchführungskonzept für Penetrationstests des BSI sowie den OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps basieren.

Wir führen die entsprechenden Tests zur Nachweiserbringung durch und helfen Ihnen dabei, mögliche Sicherheitslücken zu identifizieren und zu schließen.

Zum Pentesting

Nachweis über ein ISMS

Die 1. DiGAV-ÄndV fordert für alle DiGA ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“. 

Wir bieten Ihnen Audits sowie GAP-Analysen an, im Rahmen derer wir überprüfen, ob Sie die notwendigen Zertifizierungsvoraussetzungen erfüllen. 

Zum ISMS

Interoperabilität mit der ePA

DiGA müssen ab dem 01.01.2024 den regelmäßigen, automatisierten Export der durch die DiGA erhobenen Daten in die ePA ermöglichen. 

Die entsprechenden Anforderungen an die semantische und syntaktische Interoperabilität legt die KBV fest. 

Sichere Authentisierung

Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungsmöglichkeit von Versicherten über die digitale Identität eingeführt.

Umgesetzt werden muss diese bis spätestens zum 01.01.2024. 

Datenschutz & Datensicherheit

Ab dem 01.08.2024 ist ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz vorzulegen. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO

Ab dem 01.01.2025 müssen DiGA zudem Anforderungen an die Datensicherheit gemäß § 139e Absatz 10 SGB V erfüllen. Dazu zählt die Technische Richtlinie TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen) des BSI bzw. ein entsprechendes (TR-) Zertifikat. Unsere IT-Sicherheitsexpert:innen prüfen Ihre DiGA nach den Anforderungen der BSI TR-03161 und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung. 

Zum Datenschutz

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen

Häufig gestellte Fragen (FAQ)

Was Sie über DiGA wissen müssen

Digitale Gesundheitsanwendungen (DiGA) sind Medizinprodukte niedriger Risikoklassen, das heißt der Risikoklassen I oder IIa nach Medical Device Regulation (MDR).

Es handelt sich dabei um Apps oder webbasierte Anwendungen, die der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten dienen. Zudem können sie auch in Bezug auf Verletzungen oder Behinderungen zum Einsatz kommen. 

Damit sind DiGAs "digitale Helfer" in der Hand der Patient:innen, die eine gesundheitsbezogene Zweckbestimmung verfolgen und von Ärzt:innen verschrieben sowie durch die Krankenkassen erstattet werden können. 

Folgende Nachweise sind für die Aufnahme ins DiGA-Verzeichnis zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:

  • Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
  • Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
  • Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
  • Nachweis positiver Versorgungseffekte*
  • Nachweis über die Durchführung von Penetrationstests
  • ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
  • Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
  • Ab dem 01.08.2024: Zertifikat nach Artikel 42 der DSGVO

* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.

Den Leitfaden zum Fast-Track-Verfahren finden Sie hier

Wenn Ihr Unternehmen bereits über ein nach der ISO-27000-Reihe bzw. BSI Standard 200-2 zertifiziertes ISMS verfügt, das den gesamten Lebenszyklus Ihrer DiGA einschließt, sollten bereits adäquate Lösungen für die Umsetzung der meisten Anforderungen in der Checkliste zur Datensicherheit in Anlage 1 zur DiGAV für die DiGA und ihren Betrieb umgesetzt sein. Dennoch muss hier eine Verifizierung durch den Hersteller erfolgen und durch entsprechendes Ausfüllen der Checkliste verbindlich dokumentiert werden.

Sicherheit als Prozess: Für jede Änderung der DiGA und/oder der Rahmenbedingungen muss geprüft werden, wie sich dadurch die analysierten Risiken und Bedrohungen verändern und ob die Schutzmaßnahmen noch ausreichend sind. Das muss auch ohne Updates kontinuierlich passieren, z. B. wenn eine Sicherheitsschwachstelle in einer genutzten Bibliothek erkannt wird.

Wenn die Bewertung der Risiken für die Sicherheit der DiGA zu dem Ergebnis kommt, dass es neue Bedrohungen gibt, die durch einen Penetrationstest besser analysierbar oder erkennbar sind, dann sollte ein erneuter Test erfolgen. Wenn nicht, muss kein neuer Penetrationstest durchgeführt werden.

Generell ist jedoch zu bedenken: Ab einem gewissen Zeitpunkt wird typischerweise der Punkt erreicht, an dem ein neuer Penetrationstest angezeigt ist, da sich seit dem letzten Penetrationstest Wesentliches verändert hat. Die Durchführung eines Penetrationstests muss dem BfArM auf Nachfrage nachgewiesen werden.

Warum wir ein starker Partner für Sie sind

Gute Gründe, die für uns sprechen