Mit TÜVIT zur Kassenleistung
Ihre digitale Gesundheitsanwendung als "App auf Rezept"
Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nachweisen, dass Ihre Anwendung bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllt. Wir begleiten Sie auf Ihrem Weg zur erstattungsfähigen DiGA.
Mit dem Digitale-Versorgung-Gesetz (DVG) wurde die Grundlage für den Leistungsanspruch von Versicherten auf die Versorgung mit digitalen Gesundheitsanwendungen geschaffen. Daran anknüpfend beinhaltet die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) die Voraussetzungen für die Erstattung digitaler Gesundheitsanwendungen (DiGA) durch die Krankenkassen.
Die Anforderungen beziehen sich dabei insbesondere auf die Aspekte Sicherheit, Qualität, Datenschutz und Datensicherheit.
Die Sicherheit von DiGA-Anwendungen ist entscheidend für ihre Zulassung, den Schutz sensibler Gesundheitsdaten und das Vertrauen der Nutzer. Die folgenden Vorteile zeigen, wie gezielte Sicherheitsmaßnahmen nicht nur regulatorische Anforderungen erfüllen, sondern auch Ihre App langfristig schützen.
Welche Anforderungen an Datenschutz und IT-Sicherheit müssen digitale Gesundheitsanwendungen (DiGA) erfüllen, um zur „App auf Rezept“ zu werden?
Wird für eine Produktversion eine Aufnahme in das DiGA-Verzeichnis beantragt, muss für alle Komponenten – unabhängig vom Schutzbedarf der DiGA – ein Penetrationstest durchgeführt worden sein.
Der Pentest muss von einer BSI zertifizierten Teststelle durchgeführt werden, verpflichtende Code-Reviews & Whitebox-Tests enthalten und auf dem Durchführungskonzept für Penetrationstests des BSI sowie den OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps basieren.
Wir führen die entsprechenden Tests zur Nachweiserbringung durch und helfen Ihnen dabei, mögliche Sicherheitslücken zu identifizieren und zu schließen.
Die 1. DiGAV-ÄndV fordert für alle DiGA ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“.
Wir bieten Ihnen Audits sowie GAP-Analysen an, im Rahmen derer wir überprüfen, ob Sie die notwendigen Zertifizierungsvoraussetzungen erfüllen.
DiGA müssen ab dem 01.01.2024 den regelmäßigen, automatisierten Export der durch die DiGA erhobenen Daten in die ePA ermöglichen.
Die entsprechenden Anforderungen an die semantische und syntaktische Interoperabilität legt die KBV fest.
Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungsmöglichkeit von Versicherten über die digitale Identität eingeführt.
Umgesetzt werden muss diese bis spätestens zum 01.01.2024.
Ab dem 01.08.2024 ist ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz vorzulegen. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO.
Ab dem 01.01.2025 müssen DiGA zudem Anforderungen an die Datensicherheit gemäß § 139e Absatz 10 SGB V erfüllen. Dazu zählt die Technische Richtlinie TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen) des BSI bzw. ein entsprechendes (TR-) Zertifikat. Unsere IT-Sicherheitsexpert:innen prüfen Ihre DiGA nach den Anforderungen der BSI TR-03161 und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung.
Digitale Gesundheitsanwendungen (DiGA) sind Medizinprodukte niedriger Risikoklassen, das heißt der Risikoklassen I oder IIa nach Medical Device Regulation (MDR).
Es handelt sich dabei um Apps oder webbasierte Anwendungen, die der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten dienen. Zudem können sie auch in Bezug auf Verletzungen oder Behinderungen zum Einsatz kommen.
Damit sind DiGAs "digitale Helfer" in der Hand der Patient:innen, die eine gesundheitsbezogene Zweckbestimmung verfolgen und von Ärzt:innen verschrieben sowie durch die Krankenkassen erstattet werden können.
Folgende Nachweise sind für die Aufnahme ins DiGA-Verzeichnis zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:
* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.
Den Leitfaden zum Fast-Track-Verfahren finden Sie hier.
Wenn Ihr Unternehmen bereits über ein nach der ISO-27000-Reihe bzw. BSI Standard 200-2 zertifiziertes ISMS verfügt, das den gesamten Lebenszyklus Ihrer DiGA einschließt, sollten bereits adäquate Lösungen für die Umsetzung der meisten Anforderungen in der Checkliste zur Datensicherheit in Anlage 1 zur DiGAV für die DiGA und ihren Betrieb umgesetzt sein. Dennoch muss hier eine Verifizierung durch den Hersteller erfolgen und durch entsprechendes Ausfüllen der Checkliste verbindlich dokumentiert werden.
Sicherheit als Prozess: Für jede Änderung der DiGA und/oder der Rahmenbedingungen muss geprüft werden, wie sich dadurch die analysierten Risiken und Bedrohungen verändern und ob die Schutzmaßnahmen noch ausreichend sind. Das muss auch ohne Updates kontinuierlich passieren, z. B. wenn eine Sicherheitsschwachstelle in einer genutzten Bibliothek erkannt wird.
Wenn die Bewertung der Risiken für die Sicherheit der DiGA zu dem Ergebnis kommt, dass es neue Bedrohungen gibt, die durch einen Penetrationstest besser analysierbar oder erkennbar sind, dann sollte ein erneuter Test erfolgen. Wenn nicht, muss kein neuer Penetrationstest durchgeführt werden.
Generell ist jedoch zu bedenken: Ab einem gewissen Zeitpunkt wird typischerweise der Punkt erreicht, an dem ein neuer Penetrationstest angezeigt ist, da sich seit dem letzten Penetrationstest Wesentliches verändert hat. Die Durchführung eines Penetrationstests muss dem BfArM auf Nachfrage nachgewiesen werden.
Gute Gründe, die für uns sprechen
