Wir haben für Sie zusammengefasst, welche Voraussetzungen DiGA-Betreiber und Hersteller künftig erfüllen müssen, um im DiGA-Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen gelistet zu werden.
Die Anforderungen im Überblick:
- Zulassungsfähiger Penetrationstests für alle Risikoklassen: Waren Penetrationstests zuvor nur für digitale Gesundheitsanwendungen mit erhöhtem Schutzbedarf gefordert, gehören sie seit dem 01.04.2022 zu den Basisanforderungen. Damit sind sie für alle DiGA gleichermaßen verpflichtend. Grundlage für die Pentest-Durchführung bilden das Durchführungskonzept für Penetrationstests des BSI sowie die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.
- Nachweis über ein Informationssicherheits-Managementsystem (ISMS): DiGA-Hersteller müssen ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“ eingeführt haben und dessen Umsetzung belegen. Der Nachweis ist seit dem 01.04.2022 in Form einer ISMS-Zertifizierung zu erbringen. Das entsprechende Zertifikat muss dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Verlangen vorgelegt werden.
- Nachweis der Datensicherheit: Ab dem 01.01.2023 müssen DiGA-Hersteller nachweisen, dass ihre Anwendungen bestimmte technische und organisatorische Anforderungen erfüllen. Diese sind in der Technischen Richtlinie BSI TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen) festgelegt. Demnach erfolgt die Nachweiserbringung über ein Zertifikat gemäß TR-03161.
- Interoperabilität von DiGA mit der ePA: Ab dem 01.01.2023 müssen digitale Gesundheitsanwendungen einen regelmäßigen, automatisierten Export der durch die DiGA erhobenen Daten in die elektronische Patientenakte (ePA) ermöglichen. Die Anforderungen an die semantische und syntaktische Interoperabilität, die damit einhergehen, legt die Kassenärztliche Bundesvereinigung (KBV) fest.
- Sichere Authentisierung: Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungsmöglichkeit von Versicherten über die digitale Identität eingeführt. Diese muss spätestens bis zum 01.01.2023 umgesetzt sein.
- Nachweis des Datenschutzes: Derzeit muss der Datenschutz einer DiGA nur über die Herstellereigenerklärung nachgewiesen werden. Ab dem 01.04.2023 wird in Bezug auf digitale Gesundheitsanwendungen, die weiterhin im DiGA-Verzeichnis gelistet bleiben möchten, ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz gefordert. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO.
Sie möchten noch mehr über die Anforderungen erfahren? Dann laden wir Sie herzlich zu unserer kostenlosen Infoveranstaltung "DiGA „auf Kasse“ – aber sicher! Anforderungen an Datenschutz & IT-Sicherheit" am 20. Oktober oder am 17. November 2022 ein. Im Rahmen des eineinhalbstündigen Webinars beleuchten wir die bestehenden und neuen Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit, die an erstattungsfähige digitale Gesundheitsanwendungen künftig gestellt werden und erläutern, wie Sie diese mit unseren Dienstleistungen erfüllen können. Unsere erfahrenen Datenschutz- und IT-Sicherheitsexpert:innen beantworten zudem gerne alle Fragen, die sich bei den Teilnehmenden im Laufe der Veranstaltung ergeben.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de