DiGA und DiPA: neue Nachweisgrundlage für die Datensicherheit
DiGA und DiPA: neue Nachweisgrundlage für die Datensicherheit unknown
BSI TR-03161 DiGA und DiPA: neue Nachweisgrundlage für die Datensicherheit
17.05.2024 Quelle: Pressemitteilung TÜV IT 2 min Lesedauer
Hersteller von DiGA bzw. DiPA müssen spezielle Datensicherheitskriterien erfüllen. Ab 1. Januar 2025 muss der Nachweis über die Datensicherheit nach der Technischen Richtlinie BSI TR-03161 vorgelegt werden.
Seit drei Jahren haben Patienten die Möglichkeit, so genannte „Apps auf Rezept“ verschrieben zu bekommen. Damit sie diese auch sicher nutzen können, müssen digitale Gesundheitsanwendungen (DiGA) die in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) festgelegten Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllen.
Bisher legte der DiGA-Leitfaden in Bezug auf den Aspekt der Datensicherheit fest, dass die Erfüllung der Anforderungen gemäß § 139e Absatz 10 SGB V durch ein entsprechendes Zertifikat nachzuweisen ist. Nun verkündete das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) offiziell, dass zukünftig die Technische Richtlinie BSI TR-03161 die Grundlage für neue Zertifikate sein wird, mit denen die Datensicherheit einer Anwendung belegt werden kann. Der Nachweis über die Datensicherheit nach der Technischen Richtlinie muss von Herstellern spätestens ab dem 1. Januar 2025 vorgelegt werden. Es empfiehlt sich daher, sich frühzeitig auf die Prüfung und Zertifizierung nach BSI TR-03161 vorzubereiten.
Auch für digitale Pflegeanwendungen gelten die neuen Datensicherheitskriterien
Mit der Aktualisierung der Datensicherheitskriterien für DiGA wurden zeitgleich auch die Anforderungen an digitale Pflegeanwendungen überarbeitet. Auch hier gilt die BSI TR-03161 in Zukunft – und ab dem 01.01.2025 verpflichtend – als Nachweisgrundlage für die Datensicherheit einer Anwendung. Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie in Teilen überarbeitet, sodass sie in einer aktualisierten Version vorliegt.
Als anerkannte Prüfstelle bietet TÜV Informationstechnik (TÜV IT) sowohl Herstellern von digitalen Gesundheits- als auch Pflegeanwendungen die erforderlichen Prüfungen nach den Sicherheitsanforderungen der TR-03161 an.
Zusätzliche Aktualisierung der Datenschutz-Kriterien
Über die BSI TR-03161 hinaus sind auch die Prüfkriterien für die Anforderungen an den Datenschutz bei DiGA und DiPA aktualisiert worden. Nach DiGA-Leitfaden sind diese ab dem 1. August 2024 verpflichtend. Sie umfassen die Anforderungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO), ergänzen diese jedoch noch um erweiterte Anforderungen speziell für DiGA und DiPA.
Da sich das spezifische Datenschutzzertifikat aktuell noch in der Entwicklung durch das BfArM befindet, gibt es zum jetzigen Zeitpunkt noch keine akkreditierten Zertifizierungsstellen zur Durchführung einer Zertifizierung gemäß der Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI. Weiterhin können sich noch Änderungen der Prüfkriterien ergeben. Folglich wird die Vorlage des Datenschutzzertifikates erst offiziell eingefordert, wenn die technischen und organisatorischen Voraussetzungen dafür geschaffen sind.
Dennoch ist es ratsam, sich möglichst zeitig mit den veröffentlichten Datenschutzkriterien auseinanderzusetzen und sich auf diese entsprechend vorzubereiten, da sie die reinen DSGVO-Anforderungen übersteigen. Zu finden sind diese auf der Website des BfArM. Bei der Vorbereitung kann TÜV IT Hersteller in Form von Datenschutz-Reifegrad-Assessments auf Basis der Datenschutzkriterien unterstützen.
Dieser Artikel erschien ursprünglich bei unserem Schwesterportal Devicemed.
(ID:50036007)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.