数字医疗应用(DiGA)提供了可持续缓解人口变化对医疗系统造成的巨大压力的机会。但是,在对高度敏感的病人数据进行数字处理之前,必须为符合适当的数据保护标准的可靠保护设定路线。纵观大量的规范,大多数DiGA制造商只希望有清晰的护栏和可认证的标准来帮助他们进入DiGA名册--他们在寻找过程中迟早会遇到两个标准。ISO 27001(信息安全)和ISO 27701(数据保护)。但在DiGA环境中,相应的认证管理系统是否足够?在这篇博文中找到了答案。
什么是数字医疗应用?
数字健康应用是帮助诊断和治疗疾病的数字医疗设备。此外,它们旨在支持通往自我决定的、促进健康的生活方式的道路。因此,它们是患者手中的 "数字帮手"--"处方上的应用"。
欧洲医疗器械法规(MDR)将DiGA归类为风险等级I或IIa的医疗器械,并使其受到"数字健康应用法规"(DiGAV)的严格监管。只有完全符合这些规定的应用才会被列入德国联邦药品和医疗器械研究所(BfArM)的DiGA目录。
什么是数字健康应用?
BfArM定义了医疗设备必须满足以下特征,才能被认定为DiGA。
- 风险等级为I或IIa的医疗设备。
- 主要功能是基于数字技术的
- 主要数字功能有明确的医疗目的(即不仅用于读出或控制一个设备)
- 支持对疾病的检测、监测、治疗或缓解,或对损伤或残疾的检测治疗、缓解或补偿
- 不作为预防性初级保健设备
- 由病人使用或与医疗服务提供者共同使用,即不完全由医生使用(同样,这属于 "办公室设备")。
DiGA的法律依据是什么?
2019年12月19日颁布的《数字医疗法》(DVG)使数字医疗应用成为可能。从那时起,拥有法定医疗保险的人就有权获得DiGA--俗称 "处方上的应用"。
2020年4月8日的DiGAV中规定了申请程序、要求和DiGA目录设计的细节--即制定的数字健康应用程序的法律基础。
为什么我们需要数字健康应用?
随着人口结构的变化,未来几十年对医疗服务的需求将大大增加。而鉴于今天已经普遍存在的医生和护士的短缺,这种需求将导致普通医疗的重大挑战。从长远来看,数字化有可能减轻医疗系统的负担,而数字医疗应用可以为此做出重大贡献。同时,必须切实考虑到数据保护和信息安全的要求。
然而,看看DiGA的要求,我们很快就会发现,不应该孤立地审查它们。它们始终只是数字化支持的医疗服务整体中的一个组成部分。电子健康卡、电子病人档案、电子处方--医疗行业的数字化已经全面展开,并且正在一步步向前推进,以便为最新的和可持续的医疗服务确定方向。
制造商要做什么才能获得DiGA的批准?
由于在医疗领域通常要处理高度敏感的病人数据,因此,要获得数字健康应用的批准,需要付出很大的努力。申请人必须满足并记录一系列的要求。这些要求包括
- 积极的卫生保健影响
- 信息安全
- 数据隐私
- 互操作性
- 其他质量要求(稳健性、消费者保护、用户友好性、对服务提供者的支持、医疗内容的质量、病人安全)。
"从2022年1月1日开始,实施完整的ISMS将成为列入DiGA名录的基本要求。"
如何确保DiGA的数字安全?
今天,数字应用的(进一步)开发通常遵循敏捷和动态的原则,以保持尽可能短的发布周期。在这种环境下,数字安全不能在技术措施的一次性验证过程中得到保证。安全是一个持续的过程,必须深深地嵌入到企业中。
"数字健康应用和数据保护:排除以广告为目的的数据处理。"
阅读提示。在这篇博客文章中了解更多关于信息安全的保护目标。
数字医疗应用和数据保护。在医疗保健领域,哪些数据值得保护?
在收集一个组织值得保护的数据时,最初的重点通常是敏感的、可识别个人身份的信息,德国《患者数据保护法》也是这样要求的。然而,事实上,所有对公司有价值的、不能落入未经授权的人手中的信息都值得保护。除了受GDPR监管的数据外,这还包括战略路线图和内部开发的程序代码。
什么是信息安全管理系统?
由于DiGA的安全性不能通过一次性的检查来保证,制造商必须从战略上和系统上对待信息安全的话题。这个过程中的一个关键步骤是实施信息安全管理系统(ISMS),如国际标准ISO 27001所描述的那样。这规定了确保、管理、控制和持续改进信息安全的约束性要求。
ISO/IEC 27001:2013| 信息技术 - 安全技术 - 信息安全管理系统 - 要求。该标准可从ISO网站获得。
DiGAV在附件1中谈到了 "安全是一个过程 "的问题,并要求制造商在ISMS方面嵌入一系列的过程。这些包括,例如。
- 评估保护需求,确定数据、应用程序或系统的保护需求,并在每次重大变化后重新评估这些需求
- 战略性发布、变更和配置管理流程,有助于使敏捷开发环境与正式的MDR流程保持一致
- 所有使用的第三方产品的清单,以及适当的流程,以确保第三方组件的安全相关信息能够及时获得。
从2022年1月1日起,实施完整的ISMS将成为列入DiGA目录的一个基本要求。因此,DiGA制造商今后将被要求展示符合ISO 27000系列标准的ISMS,包括证书。
ISO 27001: 信息安全的标杆
国际公认的ISO 27001标准构成了在结构化ISMS意义上有效实施整体安全战略的最佳基础。其结构和方法遵循所谓的高层结构(HLS)的模式,是管理系统的共同基本结构。
HLS为所有面向过程的管理系统标准提供了有约束力的基本结构,并能将标准要求无缝整合到现有的管理系统中--从而整合到公司的一般业务流程中。
根据ISO 27001认证的信息安全
用符合国际标准的管理体系来保护您的信息 ★DQS提供超过35年的认证经验 ★.
根据ISO 27001对ISMS的认证是按照一个认可的程序进行的。因此,它被认为是证明了一个成功的管理系统和适当的措施已经被实施,以系统地保护信息资产。此外,该证书还包括对持续改进该系统的承诺。
数字医疗应用。数据保护的一个特殊案例
由于病人数据极为敏感,数字医疗应用的用户必须能够依赖有关数据保护的法律要求,并始终得到遵守。为此,DiGAV规定了DSGVO和德国联邦数据保护法(BDSG)的法律要求。它们既适用于制造商本身,也适用于所有连接的系统,包括订单处理者,如云供应商。在DiGA的范围内,只有在获得同意后才能收集个人数据,并且只能用于以下目的。
- 用于用户对DiGA的预期使用。
- 在DiGA测试的背景下,提供积极供应效果的证据
- 根据《德国社会法典》第5卷第134条第1款第3句,为德国国家健康保险基金协会的绩效定价提供证据。
- 永久保证DiGA的技术功能、用户友好性和进一步发展。
前三个目的的同意可以共同进行,但第四个目的必须单独获得同意。出于其他所有目的(尤其是广告目的)的数据处理被排除在外。此外,数据处理只能在德国、欧盟或根据德国法律被视为等同的国家(如瑞士)进行。在第三国进行处理,需要有充分的理由的决定。
DiGAV的附件1包含了一份包含40项声明的检查清单,考虑了制造商及其流程的技术实施和组织。这些是列入DiGA目录的非常具体的要求。
补遗:GDPR一般允许在欧盟范围内对个人数据进行数据处理。允许在欧盟以外的所谓第三国进行处理,前提是第三国存在相当的保护水平(GDPR第45条规定的充分性决定)。在这个链接 后面,你会发现与之存在充分性协议的国家名单。
ISO 27701:扩展到包括数据保护管理系统
由于数据保护与信息安全类似,不能有选择地进行监控,因此ISO 27701标准于2019年8月发布。它被认为是ISO 27001的所谓 "特定部门的补充",因此需要存在相应的ISMS。然而,ISO 27701用深入的数据保护标准补充了ISMS,并扩大了对隐私信息管理系统(PIMS)的要求。
ISO/IEC 27701:2019- 安全技术 - 隐私信息管理的ISO/IEC 27001和ISO/IEC 27002的扩展 - 要求和指南。该标准可从ISO网站获得。
此外,该标准为实施适用的数据保护要求提供了具体的最佳做法--无论这些要求是欧洲GDPR还是其他地区的法规。
明确整合ISO 27701并不能自动确保符合GDPR或德国DSGVO的要求。然而,由于其基本一致的方向,它为成功实施法规提供了一个很好的起点,使责任方很容易可靠地保护和处理个人数据并证明符合法律要求。
实施数据保护标准带来的另一个好处是在数据保护领域指定了明确的责任:责任不是像广泛流行的那样根据工作量在同事之间划分,而是遵循明确的规则,有专门的联系人--数据保护官员。
此外,ISO 27701的引入要求对数据隐私采取风险导向的方法。因此,必须对风险及其发生的概率进行全面的定义和评估,以便能够从一开始就评估潜在的损害程度,并将其保持在尽可能低的水平。
遵守标准为纳入DiGA目录铺平道路
德国BfArM列入DiGA目录的门槛很高,原因很充分。尽管数字世界具有高度的动态性,但必须随时保证信息安全和数据保护。ISO 27001和ISO 27701的结构化和系统化方法为公司以安全和合规的方式管理任何类型的数据提供了最佳基础。
控制和监管机构也会评估ISMS和PIMS的认真实施和认证,作为深入参与强大和可持续的保护机制的标志--这对发生损害时可能的制裁有积极影响。
简而言之,即使ISO 27001和ISO 27701认证本身并不能保证被列入DiGA目录,但相应的管理系统在很大程度上涵盖了DiGA法规的检查清单。因此,它们为成功列入目录提供了一个最佳起点。
DQS。简单地利用质量。
信息安全和数据保护是复杂的话题,远远超出了IT安全的范围。它们包括技术、组织和基础设施方面,并涉及法律的要求。一个符合ISO/IEC 27001的信息安全管理系统(ISMS),再加上符合ISO/IEC 27701的隐私信息管理系统(PIMS),是适合有效的保护措施。
DQS是您的管理体系和流程的审计和认证专家。凭借超过35年的经验和全球2500名审核员的专业知识,我们是您合格的认证合作伙伴,并为所有关于数据保护和信息安全的问题提供答案。
We are happy to answer your questions
ISO 27001和27701认证的要求是什么?以及你需要付出多少努力?了解一下。免费的,没有义务。
信任和专业知识
注意:我们的文本和手册是由我们的标准专家或具有多年经验的审计师独家撰写的。如果您对文本内容或我们对作者的服务有任何疑问,请随时联系我们。
DQS新闻
娜迪雅 戈特兹
医疗保健管理系统和BSI-KRITIS审核的DQS专家,康复以及住院和门诊护理领域各种质量标准的审核员和产品经理。