Digitale Gesundheitsanwendungen (DiGA): IT-Sicherheit, Datenschutz & Datensicherheit

Haben Sie Fragen oder Anmerkungen? Kontaktieren Sie uns!
Jetzt Kontakt aufnehmen!
+49 201 8999-411 E-Mail Kontaktformular

Mit TÜVIT zur Kassenleistung: Ihre digitale Gesundheitsanwendung als "App auf Rezept"

Damit Ihre digitale Gesundheitsanwendung (DiGA) zur Kassenleistung werden kann, müssen Sie gegenüber dem Bundesinstitut für Arzneimittel und Medizin­produkte (BfArM) nachweisen, dass Ihre Anwendung bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Daten­sicherheit erfüllt.

Wir begleiten Sie auf Ihrem Weg zur erstattungsfähigen DiGA: Durch Pene­tra­tions­tests sowie interne Audits und GAP-Analysen nach ISO 27001 oder BSI IT-Grundschutz. 
  

  Erfolgreiche Nachweiserbringung gegenüber dem BfArM

Ihre App auf Rezept: Wir unterstützen Sie dabei, die durch das Bundesinstitut für Arzneimittel und Medizinprodukte geforderten Nachweise zu erbringen.
  

  Sensible Gesundheitsdaten bestmöglich geschützt

Durch Penetrationstests sichern Sie Ihre DiGA bestmöglich gegen Cyber­attacken und Datendiebstähle ab & verhindern Reputationsschäden.
 

  Gestärktes Vertrauen bei Nutzer:innen

Die Umsetzung der DiGA-Sicherheits­an­for­de­rung­en führt gleichzeitig zu einem höheren Vertrauen bei Nutzer:innen in Bezug auf die Sicherheit sensibler Daten.

Jetzt Kontakt aufnehmen
Zum kostenlosen Webinar
Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)? Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)? Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)? Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)?

Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)?

Mit dem Digitale-Versorgung-Gesetz (DVG) wurde die Grundlage für den Leistungsanspruch von Versicherten auf die Versorgung mit digitalen Gesundheitsanwendungen geschaffen. Daran anknüpfend beinhaltet die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) die Voraussetzungen für die Erstattung digitaler Gesundheitsanwendungen (DiGA) durch die Krankenkassen. Die Anforderungen beziehen sich dabei insbesondere auf die Aspekte Sicherheit, Qualität, Datenschutz und Datensicherheit. 

Ihre Vorteile auf einen Blick

DiGA-Sicherheit – Vorteile: Nachweiserbringung gegenüber dem BfArM DiGA-Sicherheit – Vorteile: Nachweiserbringung gegenüber dem BfArM DiGA-Sicherheit – Vorteile: Nachweiserbringung gegenüber dem BfArM DiGA-Sicherheit – Vorteile: Nachweiserbringung gegenüber dem BfArM

Nachweiserbringung gegenüber dem BfArM
Damit Ihre App zur Kassenleistung werden kann, unter­stützen wir Sie mit Blick auf die notwendigen Nachweise.

 

DiGA-Sicherheit – Vorteile: Vertrauen gegenüber Kunden & Geschäftspartnern DiGA-Sicherheit – Vorteile: Vertrauen gegenüber Kunden & Geschäftspartnern DiGA-Sicherheit – Vorteile: Vertrauen gegenüber Kunden & Geschäftspartnern DiGA-Sicherheit – Vorteile: Vertrauen gegenüber Kunden & Geschäftspartnern

Vertrauen gegenüber Kunden & Geschäftspartnern
Mit Umsetzung der DiGA-Sicherheits­an­for­de­rung­en stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.

 

DiGA-Sicherheit – Vorteile: Objektive Analyse von Sicherheitsmaßnahmen DiGA-Sicherheit – Vorteile: Objektive Analyse von Sicherheitsmaßnahmen DiGA-Sicherheit – Vorteile: Objektive Analyse von Sicherheitsmaßnahmen DiGA-Sicherheit – Vorteile: Objektive Analyse von Sicherheitsmaßnahmen

Objektive Analyse von Sicherheitsmaßnahmen
Ob durch Penetrationstests, Audits oder Analysen, wir nehmen Ihre DiGA sowie Ihr ISMS genau unter die Lupe. 

 

DiGA-Sicherheit – Vorteile: Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co. DiGA-Sicherheit – Vorteile: Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co. DiGA-Sicherheit – Vorteile: Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co. DiGA-Sicherheit – Vorteile: Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co.

Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co.
Schützen Sie die sensiblen Gesundheitsdaten Ihrer DiGA bestmöglich vor Hackerangriffen & Datendiebstahl.

 

DiGA-Sicherheit – Vorteile: Identifizierung & Behebung von Schwachstellen DiGA-Sicherheit – Vorteile: Identifizierung & Behebung von Schwachstellen DiGA-Sicherheit – Vorteile: Identifizierung & Behebung von Schwachstellen DiGA-Sicherheit – Vorteile: Identifizierung & Behebung von Schwachstellen

Identifizierung & Behebung von Schwachstellen
Unsere Expert:innen decken mögliche Schwachstellen Ihrer DiGA auf, sodass Sie diese proaktiv schließen können.

 

DiGA-Sicherheit – Vorteile: Reduzierung von IT-Risiken DiGA-Sicherheit – Vorteile: Reduzierung von IT-Risiken DiGA-Sicherheit – Vorteile: Reduzierung von IT-Risiken DiGA-Sicherheit – Vorteile: Reduzierung von IT-Risiken

Reduzierung von IT-Risiken
Durch Penetrationstests sowie ein ISMS erhöhen Sie die Sicherheit Ihrer DiGA & reduzieren mögliche IT-Risiken.

 

DiGA-Sicherheit – Vorteile: Kontinuierliche Verbesserung DiGA-Sicherheit – Vorteile: Kontinuierliche Verbesserung DiGA-Sicherheit – Vorteile: Kontinuierliche Verbesserung DiGA-Sicherheit – Vorteile: Kontinuierliche Verbesserung

Kontinuierliche Verbesserung
Durch das Aufdecken von Opti­mie­rungs­potenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer DiGA.

DiGA-Sicherheit – Vorteile: Vermeidung von wirtschaftlichen Schäden DiGA-Sicherheit – Vorteile: Vermeidung von wirtschaftlichen Schäden DiGA-Sicherheit – Vorteile: Vermeidung von wirtschaftlichen Schäden DiGA-Sicherheit – Vorteile: Vermeidung von wirtschaftlichen Schäden

Vermeidung von wirtschaftlichen Schäden
Durch die Erfüllung der DiGA-Sicherheits­an­for­de­rung­en beugen Sie finanziellen sowie Reputationsschäden vor.

Unsere Leistungen für DiGA-Betreiber & Hersteller


Penetrationstests gegen Ihre digitale Gesundheitsanwendung

 


Audits nach ISO/IEC 27001 &
IT-Grundschutz

 


GAP-Analysen nach ISO/IEC 27001 & IT-Grundschutz

 

TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis der Datensicherheit gemäß BSI TR-03161 TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis der Datensicherheit gemäß BSI TR-03161 TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis der Datensicherheit gemäß BSI TR-03161 TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis der Datensicherheit gemäß BSI TR-03161


Nachweis der Datensicherheit gemäß BSI TR-03161 

TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis des Datenschutzes durch ein Zertifikat nach Artikel 42 DSGVO TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis des Datenschutzes durch ein Zertifikat nach Artikel 42 DSGVO TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis des Datenschutzes durch ein Zertifikat nach Artikel 42 DSGVO TÜVIT-Leistungen für DiGA-Betreiber & Hersteller: Nachweis des Datenschutzes durch ein Zertifikat nach Artikel 42 DSGVO


Nachweis des Datenschutzes durch ein Zertifikat nach Artikel 42 DSGVO 

Anforderungen an die Sicherheit digitaler Gesundheitsanwendungen (DiGA)

Aktuell

Penetrationstests

Wird für eine Produktversion eine Aufnahme in das DiGA-Verzeichnis beantragt, muss für alle Kom­po­nen­ten – unabhängig vom Schutzbedarf der DiGA – ein Pene­tra­tions­test durchgeführt worden sein. 

Wir führen die entsprechenden Tests zur Nach­weis­er­bringung durch und helfen Ihnen dabei, mögliche Si­cher­heitslücken zu identifizieren und zu schließen.

Nachweis über ein ISMS

Die 1. DiGAV-ÄndV fordert für alle DiGA ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grund­schutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“. 

Wir bieten Ihnen Audits sowie GAP-Analysen an und unterstützen Sie so bei der Erfüllung wichtiger Zertifizierungs­voraus­setzungen. 

2024

Interoperabilität
mit der ePA

DiGA müssen ab dem 01.01.2024 den regelmäßigen, auto­ma­ti­sier­ten Export der durch die DiGA erhobenen Daten in die ePA ermöglichen. 

Die entsprechenden Anfor­de­rungen an die semantische und syntaktische Inter­ope­ra­bi­li­tät legt die KBV fest. 

Sichere Authentisierung
 

Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungs­mög­lich­keit von Versicherten über die digitale Identität eingeführt.

Umgesetzt werden muss diese bis spätestens zum 01.01.2024. 

Nachweis des Datenschutzes

Ab dem 01.08.2024 ist ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz vorzulegen. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO. 

Wir befinden uns derzeit im Akkreditierungsverfahren, sodass es uns perspektivisch möglich sein wird, die geforderte Datenschutz-Zertifizierung anzubieten.

2025

Nachweis der Datensicherheit

Ab dem 01.01.2025 müssen DiGA Anforderungen an die Datensicherheit gemäß § 139e Absatz 10 SGB V er­fül­len. Dazu zählt die Technische Richtlinie TR-03161 (An­for­de­rung­en an Anwendungen im Gesundheitswesen) des BSI bzw. ein entsprechendes (TR-) Zertifikat. Wir befinden uns derzeit im Zu­las­sungs­ver­fah­ren, um Prüfungen gemäß BSI TR-03161 durchführen zu können.

Das DiGA-Fast-Track-Verfahren

Das Verfahren zur Aufnahme einer digitalen Gesundheitsanwendung in das DiGA-Verzeichnis ist als zügiger "Fast Track" konzipiert. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit durch das BfArM in etwa drei Monate.
 

Das DiGA-Fast-Track-Verfahren im Überblick Das DiGA-Fast-Track-Verfahren im Überblick Das DiGA-Fast-Track-Verfahren im Überblick Das DiGA-Fast-Track-Verfahren im Überblick

Häufig gestellte Fragen (FAQ):

Was sind eigentlich Digitale Gesundheitsanwendungen (DiGA)?

Digitale Gesundheitsanwendungen (DiGA) sind Medizinprodukte niedriger Risikoklassen, das heißt der Risikoklassen I oder IIa nach Medical Device Regulation (MDR).

Es handelt sich dabei um Apps oder webbasierte Anwendungen, die der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten dienen. Zudem können sie auch in Bezug auf Verletzungen oder Behinderungen zum Einsatz kommen. 

Damit sind DiGAs "digitale Helfer" in der Hand der Patient:innen, die eine gesundheitsbezogene Zweckbestimmung verfolgen und von Ärzt:innen verschrieben sowie durch die Krankenkassen erstattet werden können. 

Welche Nachweise werden für das DiGA-Fast-Track-Verfahren benötigt?

Folgende Nachweise sind für die Aufnahme ins DiGA-Verzeichnis zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:

  • Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
  • Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
  • Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
  • Nachweis positiver Versorgungseffekte*
  • Nachweis über die Durchführung von Penetrationstests
  • ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
  • Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
  • Ab dem 01.08.2024: Zertifikat nach Artikel 42 der DSGVO

* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.

Den Leitfaden zum Fast-Track-Verfahren finden Sie hier

Mein Unternehmen verfügt bereits über ein zertifiziertes ISMS. Reicht das als Nachweis aus?

Wenn Ihr Unternehmen bereits über ein nach der ISO-27000-Reihe bzw. BSI Standard 200-2 zertifiziertes ISMS verfügt, das den gesamten Lebenszyklus Ihrer DiGA einschließt, sollten bereits adäquate Lösungen für die Umsetzung der meisten Anforderungen in der Checkliste zur Datensicherheit in Anlage 1 zur DiGAV für die DiGA und ihren Betrieb umgesetzt sein. Dennoch muss hier eine Verifizierung durch den Hersteller erfolgen und durch entsprechendes Ausfüllen der Checkliste verbindlich dokumentiert werden.

Wir planen, alle 4 Wochen ein Update der DiGA zu verteilen. Muss ich für jedes Update Penetrationstests durchführen?

Sicherheit als Prozess: Für jede Änderung der DiGA und/oder der Rahmenbedingungen muss geprüft werden, wie sich dadurch die analysierten Risiken und Bedrohungen verändern und ob die Schutzmaßnahmen noch ausreichend sind. Das muss auch ohne Updates kontinuierlich passieren, z. B. wenn eine Sicherheitsschwachstelle in einer genutzten Bibliothek erkannt wird.

Wenn die Bewertung der Risiken für die Sicherheit der DiGA zu dem Ergebnis kommt, dass es neue Bedrohungen gibt, die durch einen Penetrationstest besser analysierbar oder erkennbar sind, dann sollte ein erneuter Test erfolgen. Wenn nicht, muss kein neuer Penetrationstest durchgeführt werden.

Generell ist jedoch zu bedenken: Ab einem gewissen Zeitpunkt wird typischerweise der Punkt erreicht, an dem ein neuer Penetrationstest angezeigt ist, da sich seit dem letzten Penetrationstest Wesentliches verändert hat. Die Durchführung eines Penetrationstests muss dem BfArM auf Nachfrage nachgewiesen werden.

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Umer Bhatti

Sales Manager

+49 201 8999-529
u.bhatti@tuvit.de​​​​​​​

Gerald Krebs

Global Account Manager

+49 201 8999-411
g.krebs@tuvit.de