Neben der gesetzeskonformen Zulassung der DiGA als Medizinprodukt, fordert die DiGAV eine sehr sorgfältige Informationssicherheit an.
Die Anlagen I und II der DiGAV beinhalten über 80 Punkte zu datenschutzrechtlichen und sicherheitsrelevanten Fragestellungen, wie gängige Prinzipien, Informationspflichten, Zugriffskontrollen und die Implementierung eines Managementsystems zur Informationssicherheit (ISMS). Diese Fragen müssen alle bei Antragsstellung beantwortet werden.
Ab dem 02.01.2022 wird die Wirksamkeit des Managementsystems zur Informationssicherheit (ISMS) für eine DiGA-Zulassung verpflichtend. Die Anforderungen an die Datensicherheit und den Datenschutz gehen somit weit über den Fragenkatalog der DiGAV hinaus. Hierbei ist es sehr wichtig, den Überblick über unzählige Vorschriften und regulatorischen Anforderungen nicht zu verlieren, da sonst Herausforderungen bei der Zulassung der Produkte drohen können.
Der BSI Standard 200-2 und die ISO 27001
Um den Anforderungen der Informationssicherheit gerecht zu werden, müssen die "BSI Standard 200-2" oder die "ISO 27001 in Betracht gezogen werden. Hiermit werden Mindestanforderung an den sicheren Betrieb einer digitalen Anwendung gesetzt.
Der BSI Standard 200-2 (IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik) entspricht dem Niveau des BSI-IT-Grundschutzes, umfasst 180 Seiten und beschreibt, wie Unternehmen einen Managementsystem zur Informationssicherheit (ISMS) einführen können.
Der Standard umfasst dabei folgende Kapitel:
- Übersicht über die wichtigsten Schritte (Kapitel 2)
- Initiierung des Informationssicherheitsprozesses (Kapitel 3)
- Organisationsstruktur (Kapitel 4)
- Notwendige Dokumente (Kapitel 5)
- Vorgehen bei Basis-Absicherung; deren Überprüfung (Kapitel 6)
- Vorgehen bei Kernabsicherung (Kapitel 7) und Standardabsicherung (Kapitel 8)
- Umsetzung aller Maßnahmen (Kapitel 9)
- Aufrechterhaltung und Verbesserung des ISMS (Kapitel 10)
- Zertifizierung nach ISO 27001
Der Schwerpunkt beim BSI-Standard 200-2 liegt auf die Nachbildung der eigenen, zuvor erhobenen und dokumentierten IT-Infrastruktur mittels der einzelnen Grundschutzbausteine und darauffolgend die Umsetzung der in diesen Bausteinen dokumentierten technischen Maßnahmen.
Die ISO 27001 (Sicherheitsverfahren, Informationssicherheitsmanagementsysteme und Anforderungen) beinhaltet 32 verpflichtende Seiten und stellt Anforderungen an ein Managementsystem mit dem Fokus auf die IT-Sicherheit auf. Die ISO 27001 folgt der High-Level-Struktur der ISO 9001 und setzt den Schwerpunkt auf die Informationssicherheits-Risikoanalyse.
Der Hauptteil umfasst folgende Kapitel:
- Informationssicherheitsmanagementsystem
- Allgemeine Anforderungen
- Festlegung und Verwaltung des ISMS
- Dokumentationsanforderungen
- Verantwortung des Managements
- Verpflichtung des Managements
- Management von Ressourcen
- Interne ISMS-Audits
- Managementbewertung des ISMS
- Allgemeines
- Eingaben für die Bewertung
- Ergebnisse für die Bewertung
- Verbesserung des ISMS
- Ständige Verbesserung
- Korrekturmaßnahmen
- Vorbeugemaßnahmen
Unterschiede der ISO 27001 und des BSI Standards 200-2
Aufgrund der oben aufgeführten Vorteile kann eine generelle Empfehlung für die ISO 27001 bei der Wirksamkeitsprüfung des Managementsystems zur Informationssicherheit (ISMS) ausgesprochen werden, wobei eine Kombination mit Anleihen aus den Grundschutzkatalogen für die Umsetzung der technischen Sicherheitsmaßnahmen auch empfehlenswert ist.
Zusätzlich haben Firmen, die bereits ein ISO 9001 oder ISO 13485 konformes QM-System etabliert haben, den Vorteil der Vergleichbarkeit mit der ISO 27001 und können sich somit eine Menge Arbeit sparen und die Vorteile eines integrierten Management-Systems nutzen.
Die ISO 27001 ist somit für DiGA-Hersteller, im Vergleich zu BSI 200-2, die wesentlich flexiblere, internationalere und kostengünstigere Norm in der Umsetzung.
Gern unterstützen wir Sie durch Schulungen und Beratung bei allen Schritten die erforderlich sind, damit Sie Ihre DiGA, entsprechend der Änderungen bezüglich der Anforderungen an die Datensicherheit und den Datenschutz, sicher in den Verkehr bringen können. Nehmen Sie Kontakt zu uns auf.
Verfasser dieses Blogartikels ist Özge Kara (Medizinproduktesicherheit)
Quellen:
https://www.datenschutz-kanzlei.info/leistungen/digitale-gesundheitsanwendungen-diga
https://www.johner-institut.de/blog/regulatory-affairs/datensicherheit-und-datenschutz-fuer-diga/
Änderung der Anforderungen an die Datensicherheit und den Datenschutz für DiGA