Änderung der Anforderungen an die Datensicherheit und den Datenschutz für DiGA
Änderung der Anforderungen an die Datensicherheit und den Datenschutz für DiGA

Neben der gesetzeskonformen Zulassung der DiGA als Medizinprodukt, fordert die DiGAV eine sehr sorgfältige Informationssicherheit an.

Die Anlagen I und II der DiGAV beinhalten über 80 Punkte zu datenschutzrechtlichen und sicherheitsrelevanten Fragestellungen, wie gängige Prinzipien, Informationspflichten, Zugriffskontrollen und die Implementierung eines Managementsystems zur Informationssicherheit (ISMS). Diese Fragen müssen alle bei Antragsstellung beantwortet werden.

Ab dem 02.01.2022 wird die Wirksamkeit des Managementsystems zur Informationssicherheit (ISMS) für eine DiGA-Zulassung verpflichtend. Die Anforderungen an die Datensicherheit und den Datenschutz gehen somit weit über den Fragenkatalog der DiGAV hinaus. Hierbei ist es sehr wichtig, den Überblick über unzählige Vorschriften und regulatorischen Anforderungen nicht zu verlieren, da sonst Herausforderungen bei der Zulassung der Produkte drohen können.

Der „BSI Standard 200-2“ und die „ISO 27001“

Um den Anforderungen der Informationssicherheit gerecht zu werden, müssen die „BSI Standard 200-2“ oder die „ISO 27001“ in Betracht gezogen werden. Hiermit werden Mindestanforderung an den sicheren Betrieb einer digitalen Anwendung gesetzt.

Der BSI Standard 200-2 (IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik) entspricht dem Niveau des BSI-IT-Grundschutzes, umfasst 180 Seiten und beschreibt, wie Unternehmen einen Managementsystem zur Informationssicherheit (ISMS) einführen können.

Der Standard umfasst dabei folgende Kapitel:

  • Übersicht über die wichtigsten Schritte (Kapitel 2)
  • Initiierung des „Informationssicherheitsprozesses“ (Kapitel 3)
  • Organisationsstruktur (Kapitel 4)
  • Notwendige Dokumente (Kapitel 5)
  • Vorgehen bei „Basis-Absicherung“; deren Überprüfung (Kapitel 6)
  • Vorgehen bei „Kernabsicherung“ (Kapitel 7) und „Standardabsicherung“ (Kapitel 8)
  • Umsetzung aller Maßnahmen (Kapitel 9)
  • Aufrechterhaltung und Verbesserung des ISMS (Kapitel 10)
  • Zertifizierung nach ISO 27001

Der Schwerpunkt beim BSI-Standard 200-2 liegt auf die Nachbildung der eigenen, zuvor erhobenen und dokumentierten IT-Infrastruktur mittels der einzelnen Grundschutzbausteine und darauffolgend die Umsetzung der in diesen Bausteinen dokumentierten technischen Maßnahmen.

Die ISO 27001 (Sicherheitsverfahren, Informationssicherheitsmanagementsysteme und Anforderungen) beinhaltet 32 verpflichtende Seiten und stellt Anforderungen an ein Managementsystem mit dem Fokus auf die IT-Sicherheit auf. Die ISO 27001 folgt der High-Level-Struktur der ISO 9001 und setzt den Schwerpunkt auf die Informationssicherheits-Risikoanalyse.

Der Hauptteil umfasst folgende Kapitel:

  • Informationssicherheitsmanagementsystem
    • Allgemeine Anforderungen
    • Festlegung und Verwaltung des ISMS
    • Dokumentationsanforderungen
  • Verantwortung des Managements
    • Verpflichtung des Managements
    • Management von Ressourcen
  • Interne ISMS-Audits
  • Managementbewertung des ISMS
    • Allgemeines
    • Eingaben für die Bewertung
    • Ergebnisse für die Bewertung
  • Verbesserung des ISMS
    • Ständige Verbesserung
    • Korrekturmaßnahmen
    • Vorbeugemaßnahmen

Unterschiede der „ISO 27001“ und des „BSI Standards 200-2“

Aufgrund der oben aufgeführten Vorteile kann eine generelle Empfehlung für die ISO 27001 bei der Wirksamkeitsprüfung des Managementsystems zur Informationssicherheit (ISMS) ausgesprochen werden, wobei eine Kombination mit Anleihen aus den Grundschutzkatalogen für die Umsetzung der technischen Sicherheitsmaßnahmen auch empfehlenswert ist.

Zusätzlich haben Firmen, die bereits ein ISO 9001 oder ISO 13485 konformes QM-System etabliert haben, den Vorteil der Vergleichbarkeit mit der ISO 27001 und können sich somit eine Menge Arbeit sparen und die Vorteile eines integrierten Management-Systems nutzen.

Die ISO 27001 ist somit für DiGA-Hersteller, im Vergleich zu BSI 200-2, die wesentlich flexiblere, internationalere und kostengünstigere Norm in der Umsetzung.

Gern unterstützen wir Sie durch Schulungen und Beratung bei allen Schritten die erforderlich sind, damit Sie Ihre DiGA, entsprechend der Änderungen bezüglich der Anforderungen an die Datensicherheit und den Datenschutz, sicher in den Verkehr bringen können. Nehmen Sie Kontakt zu uns auf.

Verfasser dieses Blogartikels ist Özge Kara (Medizinproduktesicherheit)

Quellen:

https://www.datenschutz-kanzlei.info/leistungen/digitale-gesundheitsanwendungen-diga

https://www.greensocks.de/news/detail/news/isoiec-27001-oder-bsi-grundschutz-welches-ist-die-bessere-wahl/

https://www.johner-institut.de/blog/regulatory-affairs/datensicherheit-und-datenschutz-fuer-diga/

Jetzt Anfragen

Kontaktieren Sie uns und stellen Sie eine unverbindliche Anfrage.

Externer QMB – Was ist der Vorteil?

In letzter Zeit wird im Markt zunehmend eine Verwirrung in Bezug auf die Begriffe des Qualitätsmanagementbeauftragten und den Beauftragten der (obersten) Leitung deutlich. Dieser Artikel soll zu einer deutlichen Abgrenzung der beiden Funktionen beitragen. Anforderungen aus der Norm Wenn man in der

MEHR ERFAHREN

MDCG 2022-4: Leitlinie für eine angemessene Überwachung zu den Übergangsbestimmungen gemäß Artikel 120 der MDR

DieMedical Device Coordination Group (MDCG) ist ein von der Medizinprodukteverordnung (EU) 2017/745 (MDR) und der Verordnung für In-vitro-Diagnostika (EU) 2017/746 (IVDR) gefordertes Expertengremium. In diesem Leitfaden werden die Tätigkeiten beschrieben, die von den benannten Stellen im Rahmen der angemessenen Überwachung gemäß Artikel 120 Absatz

MEHR ERFAHREN

Auswechselbare Ausrüstung/Werkzeug

In der Maschinenrichtlinie 2006/42/EG werden die Begriffe auswechselbare Ausrüstung und Werkzeuge verwendet. Beide Begriffe sind nicht leicht voneinander zu unterscheiden, weswegen in diesem Artikel darauf eingegangen wird, wie sie differenziert werden können. Auswechselbare Ausrüstung Auswechselbare Ausrüstungen werden entworfen, um sie mit einer

MEHR ERFAHREN