MENU

Digitale Gesundheitsanwendungen (DiGA): IT-Sicherheit, Datenschutz & Datensicherheit

  • Jetzt zur kostenfreien Informationsveranstaltung anmelden!

Mit TÜViT zur Kassenleistung: Ihre digitale Gesundheitsanwendung als "App auf Rezept"

Damit Ihre digitale Gesundheitsanwendung (DiGA) zur Kassenleistung werden kann, müssen Sie gegenüber dem Bundesinstitut für Arzneimittel und Medizin­produkte (BfArM) nachweisen, dass Ihre Anwendung bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Daten­sicherheit erfüllt.

Wir begleiten Sie auf Ihrem Weg zur erstattungsfähigen DiGA: Durch Pene­tra­tions­tests sowie interne Audits und GAP-Analysen nach ISO 27001 oder BSI IT-Grundschutz. 
  

 Erfolgreiche Nachweiserbringung gegenüber dem BfArM

Ihre App auf Rezept: Wir unterstützen Sie dabei, die durch das Bundesinstitut für Arzneimittel und Medizinprodukte geforderten Nachweise zu erbringen.
  

Sensible Gesundheitsdaten bestmöglich geschützt

Durch Penetrationstests sichern Sie Ihre DiGA bestmöglich gegen Cyber­attacken und Datendiebstähle ab & verhindern Reputationsschäden.
 

 Gestärktes Vertrauen bei Nutzer:innen

Die Umsetzung der DiGA-Sicherheits­an­for­de­rung­en führt gleichzeitig zu einem höheren Vertrauen bei Nutzer:innen in Bezug auf die Sicherheit sensibler Daten.

Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)?

Mit dem Digitale-Versorgung-Gesetz (DVG) wurde die Grundlage für den Leistungsanspruch von Versicherten auf die Versorgung mit digitalen Gesundheitsanwendungen geschaffen. Daran anknüpfend beinhaltet die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) die Voraussetzungen für die Erstattung digitaler Gesundheitsanwendungen (DiGA) durch die Krankenkassen. Die Anforderungen beziehen sich dabei insbesondere auf die Aspekte Sicherheit, Qualität, Datenschutz und Datensicherheit. 

Ihre Vorteile auf einen Blick

Nachweiserbringung gegenüber dem BfArM
Damit Ihre App zur Kassenleistung werden kann, unter­stützen wir Sie mit Blick auf die notwendigen Nachweise.

Vertrauen gegenüber Kunden & Geschäftspartnern
Mit Umsetzung der DiGA-Sicherheits­an­for­de­rung­en stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.

Objektive Analyse von Sicherheitsmaßnahmen
Ob durch Penetrationstests, Audits oder Analysen, wir nehmen Ihre DiGA sowie Ihr ISMS genau unter die Lupe. 

Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co.
Schützen Sie die sensiblen Gesundheitsdaten Ihrer DiGA bestmöglich vor Hackerangriffen & Datendiebstahl.

Identifizierung & Behebung von Schwachstellen
Unsere Expert:innen decken mögliche Schwachstellen Ihrer DiGA auf, sodass Sie diese proaktiv schließen können.

Reduzierung von IT-Risiken
Durch Penetrationstests sowie ein ISMS erhöhen Sie die Sicherheit Ihrer DiGA & reduzieren mögliche IT-Risiken.

Kontinuierliche Verbesserung
Durch das Aufdecken von Opti­mie­rungs­potenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer DiGA.

Vermeidung von wirtschaftlichen Schäden
Durch die Erfüllung der DiGA-Sicherheits­an­for­de­rung­en beugen Sie finanziellen sowie Reputationsschäden vor.

Unsere Leistungen für DiGA-Betreiber & Hersteller

Penetrationstests gegen Ihre digitale Gesundheitsanwendung

Audits nach ISO/IEC 27001 &
IT-Grundschutz

GAP-Analysen nach ISO/IEC 27001 & IT-Grundschutz

Nachweis der Datensicherheit gemäß BSI TR-03161 (in Kürze)

Nachweis des Datenschutzes durch ein Zertifikat nach Artikel 42 DSGVO (in Kürze)

Anforderungen an die Sicherheit digitaler Gesundheitsanwendungen (DiGA)

Aktuell

Penetrationstests

Wird für eine Produktversion eine Aufnahme in das DiGA-Verzeichnis beantragt, muss für alle Kom­po­nenten – unabhängig vom Schutzbedarf der DiGA – ein Penetrationstest durchgeführt worden sein. 

Wir führen die entsprechenden Tests zur Nach­weis­er­bringung durch und helfen Ihnen dabei, mögliche Sicherheitslücken zu identifizieren und zu schließen.

Nachweis über ein ISMS

Die 1. DiGAV-ÄndV fordert für alle DiGA ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“. 

Wir bieten Ihnen Audits sowie GAP-Analysen an und unterstützen Sie so bei der Erfüllung wichtiger Zertifizierungs­voraus­setzungen. 

Ab 01.01.2023

Nachweis der Datensicherheit

DiGA müssen Anforderungen an die Datensicherheit gemäß § 139e Absatz 10 SGB V er­fül­len. Dazu zählt die Technische Richtlinie TR-03161 (An­for­de­rung­en an Anwendungen im Gesundheitswesen) des BSI bzw. ein entsprechendes (TR-) Zertifikat. Wir befinden uns derzeit im Zu­las­sungs­ver­fah­ren, um Prüfungen gemäß BSI TR-03161 durchführen zu können.

Interoperabilität mit der ePA

DiGA müssen ab dem 01.01.2023 den regelmäßigen, automatisierten Export der durch die DiGA erhobenen Daten in die ePA ermöglichen. 

Die entsprechenden Anfor­de­rungen an die semantische und syntaktische Inter­ope­ra­bi­li­tät legt die KBV fest. 



  

Sichere Authentisierung

Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungs­mög­lich­keit von Versicherten über die digitale Identität eingeführt.

Umgesetzt werden muss diese bis spätestens zum 01.01.2023. 
 



  

Ab 01.04.2023

Nachweis des Datenschutzes

Ab dem 01.04.2023 ist ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz vorzulegen. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO. 

Wir befinden uns derzeit im Akkreditierungsverfahren, sodass es uns perspektivisch möglich sein wird, die geforderte Datenschutz-Zertifizierung anzubieten.

Das DiGA-Fast-Track-Verfahren

Das Verfahren zur Aufnahme einer digitalen Gesundheitsanwendung in das DiGA-Verzeichnis ist als zügiger "Fast Track" konzipiert. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit durch das BfArM in etwa drei Monate.
 

FAQ – Häufige Fragen im Überblick

Was sind Digitale Gesundheitsanwendungen (DiGA)?

Digitale Gesundheitsanwendungen (DiGA) sind Medizinprodukte niedriger Risikoklassen, das heißt der Risikoklassen I oder IIa nach Medical Device Regulation (MDR).

Es handelt sich dabei um Apps oder webbasierte Anwendungen, die der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten dienen. Zudem können sie auch in Bezug auf Verletzungen oder Behinderungen zum Einsatz kommen. 

Damit sind DiGAs "digitale Helfer" in der Hand der Patient:innen, die eine gesundheitsbezogene Zweckbestimmung verfolgen und von Ärzt:innen verschrieben sowie durch die Krankenkassen erstattet werden können. 

Welche Nachweise werden für das DiGA-Fast-Track-Verfahren benötigt?

Folgende Nachweise sind für die Aufnahme ins DiGA-Verzeichnis zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:

  • Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
  • Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
  • Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
  • Nachweis positiver Versorgungseffekte*
  • Nachweis über die Durchführung von Penetrationstests
  • ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
  • Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
  • Ab dem 01.04.2023: Zertifikat nach Artikel 42 der DSGVO

* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.

Den Leitfaden zum Fast-Track-Verfahren finden Sie hier

Mein Unternehmen verfügt bereits über ein zertifiziertes ISMS. Reicht das als Nachweis aus?

Wenn Ihr Unternehmen bereits über ein nach der ISO-27000-Reihe bzw. BSI Standard 200-2 zertifiziertes ISMS verfügt, das den gesamten Lebenszyklus Ihrer DiGA einschließt, sollten bereits adäquate Lösungen für die Umsetzung der meisten Anforderungen in der Checkliste zur Datensicherheit in Anlage 1 zur DiGAV für die DiGA und ihren Betrieb umgesetzt sein. Dennoch muss hier eine Verifizierung durch den Hersteller erfolgen und durch entsprechendes Ausfüllen der Checkliste verbindlich dokumentiert werden.

Wir planen, alle 4 Wochen ein Update der DiGA zu verteilen. Muss ich für jedes Update Penetrationstests durchführen?

Sicherheit als Prozess: Für jede Änderung der DiGA und/oder der Rahmenbedingungen muss geprüft werden, wie sich dadurch die analysierten Risiken und Bedrohungen verändern und ob die Schutzmaßnahmen noch ausreichend sind. Das muss auch ohne Updates kontinuierlich passieren, z. B. wenn eine Sicherheitsschwachstelle in einer genutzten Bibliothek erkannt wird.

Wenn die Bewertung der Risiken für die Sicherheit der DiGA zu dem Ergebnis kommt, dass es neue Bedrohungen gibt, die durch einen Penetrationstest besser analysierbar oder erkennbar sind, dann sollte ein erneuter Test erfolgen. Wenn nicht, muss kein neuer Penetrationstest durchgeführt werden.

Generell ist jedoch zu bedenken: Ab einem gewissen Zeitpunkt wird typischerweise der Punkt erreicht, an dem ein neuer Penetrationstest angezeigt ist, da sich seit dem letzten Penetrationstest Wesentliches verändert hat. Die Durchführung eines Penetrationstests muss dem BfArM auf Nachfrage nachgewiesen werden.

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Haben Sie Fragen? Wir helfen gerne!

Weitere Leistungen

IT-Grundschutz
Mit der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz weisen Unternehmen und Behörden nach, dass das Niveau ihrer Informationssicherheit die Anforderungen des BSI erfüllt und ganzheitlich ausgerichtet ist.
Weiterlesen

ISO 27001
Mit einem nach ISO 27001 zertifizierten Informationssicherheits-Managementsystem (ISMS) gewährleisten Sie die Verfügbarkeit, Vertraulichkeit und Integrität von betrieblichen Informationen, Daten und Prozessen.
Weiterlesen

Kritische Infrastrukturen (KRITIS)
Alle zwei Jahre müssen KRITIS-Betreiber gemäß §8a des BSI-Gesetzes belegen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Wir bieten Unternehmen unterschiedliche Leistungen der Nachweiserbringung.
Weiterlesen

Zertifizierte Videosprechstunde
Möchten Videodienstanbieter ihre Dienstleistung offiziell anbieten, müssen sie nachweisen, dass sie die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie an die Informationssicherheit erfüllen.
Weiterlesen