Digitale Gesundheitsanwendungen (DiGA), wie Gesundheits- oder Medizin-Apps, auf Rezept – das ist mittlerweile über das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) möglich. Damit Ihre digitale Gesundheitsanwendung allerdings auch zur Kassenleistung werden kann, müssen Sie als Betreiber oder Hersteller entsprechend nachweisen, dass Ihre Anwendung bestimmte Anforderungen an den Datenschutz und die Datensicherheit erfüllt.
TÜViT unterstützt Sie dabei, die geforderten Nachweise zu erbringen – beispielsweise durch interne Audits zur ISO 27001, Auditierungen zum BSI IT-Grundschutz oder Penetrationstests.
Datenschutz und Datensicherheit nach Stand der Technik
Gerade bei Gesundheitsdaten wie Befunden, Blutwerten oder Medikationsplänen handelt es sich um besonders sensible Daten.
Daher gibt das Digitale Versorgungsgesetz vor, dass DiGA-Hersteller oder -Betreiber Vorgaben erfüllen müssen, die den technischen Datenschutz nach dem Stand der Technik gewährleisten. Dazu ist laut DVG eine Erklärung nach Anlage 1 der DiGAV (Fragebogen gemäß §5 Absatz 6) abzugeben.
Zudem muss jede digitale Gesundheitsanwendung sich einem Penetrationstest unterziehen.
Ab 2022: Zertifizierungspflicht von digitalen Gesundheitsanwendungen
Ab dem 01.04.2022 muss eine ISMS-Zertifizierung nach ISO 27001 oder nach BSI IT-Grundschutz (ISO 27001 auf der Basis von IT-Grundschutz) vorgelegt werden. Von der Zertifizierungspflicht betroffen sind sowohl neu zuzulassende als auch bereits zugelassene DiGA.
Ab dem 01.04.2023 muss darüber hinaus die Erfüllung der Anforderungen an den Datenschutz durch ein Zertifikat nach Art. 42 DSGVO nachgewiesen werden.
Kurzinfo: Digitales Versorgungsgesetz
Das Digitale Versorgungsgesetz (DVG) ist seit dem 19.12.2019 in Kraft. Es bezieht sich auf digitale Gesundheitsanwendungen und umfasst Software und andere auf digitalen Technologien basierende Medizinprodukte mit gesundheitsbezogener Zweckbestimmung (z.B. Apps). Das DVG regelt die Anforderungen an Datenschutz und Datensicherheit, die nachzuweisen sind, damit eine digitale Gesundheitsanwendung in der gesetzlichen Krankenversicherung erstattungsfähig wird.
Das Bundesinstitut für Arzneimittel und Medizinprodukte hat darüber hinaus am 18.03.2022 eine aktualisierte Version des Leitfadens "Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V" veröffentlicht.
Unsere Leistungen für Betreiber und Hersteller von digitalen Gesundheitsanwendungen (DiGa)
- Unterstützung bei der Bewertung der Anforderungen: Im Rahmen des DVG müssen Hersteller von digitalen Gesundheitsanwendungen eine Erklärung nach Anlage 1 (Fragebogen gemäß §5 Absatz 6 DVG) abgeben, die die Erfüllung der Anforderungen belegt. Bei Bedarf unterstützen wir Sie dabei, diese im Rahmen des Fragebogens zu bewerten.
- Assessments zu Datenschutz und Datensicherheit: Sie möchten die Sicherheit Ihrer Anwendung über die Herstellereigenerklärung hinaus durch einen unabhängigen Dritten bewerten lassen? Mit unseren Assessments zu Datenschutz und Datensicherheit erhalten Sie eine objektive Einschätzung des Status quo Ihrer Anwendung.
- Penetrationstests: Sie müssen für Ihre Anwendung die Durchführung eines Penetrationstests nachweisen (und das nicht nur bei erhöhtem Schutzbedarf). Unsere IT-Sicherheitsexperten führen die entsprechenden Tests für die Nachweiserbringung durch und helfen Ihnen dabei, mögliche Sicherheitslücken zu identifizieren und zu schließen.
- ISMS: Mit unseren Prüfdienstleistungen in Form von Gap-Analysen und internen Audits zur ISO 27001 bzw. zum BSI IT-Grundschutz unterstützen wir Sie bei der Erfüllung wichtiger Zertifizierungsvoraussetzungen.
Ebenso führen wir Auditierungen nach BSI IT-Grundschutz zur Erlangung des Zertifikates "ISO 27001 auf der Basis von IT-Grundschutz" durch (sofern wir im Vorfeld keine internen Audits durchgeführt haben).
Haben Sie Fragen? Wir helfen gerne!
Alexander Padberg
Weitere Leistungen
