BAYOOMED
  • Portfolio
    • Mobile Medical Apps
    • Inverkehrbringung
      • Digitale Gesundheitsanwendungen (DiGA)
      • BAYOOCARE
    • Unterstützung
      • Regulatorische Beratung
      • Klinische Bewertung
      • Risikomanagement
      • Qualitätsmanagement
      • Usability Engineering
      • Zulassung
      • Klassifikation
      • Post-Market Surveillance
    • Hidden Capabilities
    • Lösungen
      • Connectivity
      • Cloud-basierte Lösungen
      • Desktop- und webasierte Lösungen
      • Künstliche Intelligenz
      • Cybersecurity
      • Agile Softwareentwicklung
      • Verifikation und Validierung
  • Medical Software
    • Produktentwicklung
      • Anforderungsmanagement
      • Software-Architektur
      • Software Engineering
      • Embedded Software
      • Verifikation und Validierung
  • Über uns
    • Über BAYOOMED
      • Team
      • Zertifizierung (ISO 13485 Zertifikat)
      • YOOme
      • BVMed Mitgliedschaft
    • Über BAYOONET
      • BAYOOSOFT
      • BAYOOTEC
      • BAYOOCARE
      • Mechatronic
    • Success Stories
  • Aktuelles
  • Jobs und Karriere
  • Suche
  • Menü

DiGA Compliant Cloud

Eine DiGA mit einer Cloud-basierten Lösung zu entwickeln, erfordert besondere Sorgfalt bei der Planung. Denn die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) formuliert hohe Anforderungen an die Sicherheit und den Datenschutz von Gesundheits- und personenbezogenen Daten.

von Aaron Rosenthal

Dazu werden in der DiGAV in Anlage 1 und Anlage 2 Fragebögen bereitgestellt, die Hersteller:innen ausfüllen müssen. Dabei sollte das Ziel sein, jede Frage mit „zutreffend“ beantworten zu können. Ist das nicht der Fall, müssen genaue Begründungen dargelegt werden. Der Aufwand für die Umsetzung und Implementierung, um letztlich die Auflagen erfüllen zu können, sollte nicht unterschätzt werden. Insgesamt umfassen die Fragebögen 124 Fragen:

  • Anlage 1 besteht aus 77 Fragen zu Datenschutz und Datensicherheit mit zusätzlichen 9 Fragen, die bei einer DiGA mit sehr hohem Schutzbedarf zum Tragen kommen.
  • Anlage 2 besteht aus 38 Fragen zu Qualität und Interoperabilität.

Sehr hoher Schutzbedarf

Ob eine DiGA einen sehr hohen Schutzbedarf hat, muss mit einer Schutzbedarfsfeststellung ermittelt werden. Dazu wird in der DiGAV auf BSI-Standard 200-2 verwiesen. Dort beschrieben ist eine detaillierte Schutzbedarfsfeststellung sowie Beispielkriterien zur Orientierung. Eines dieser Beispielkriterien ist, Zitat:

“Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Anderenfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen” Quelle: BSI-Standard 200-2

Bei einem sehr hohen Schutzbedarf müssen die zusätzlichen 9 Fragen aus der DiGAV Anlage 1 berücksichtigt werden. Die daraus resultierenden Anforderungen müssen Hersteller:innen schon frühzeitig einplanen. Für eine Cloud-basierte Lösung sind folgende Punkte besonders interessant:

  • Penetrationstest, einschließlich aller Backend-Komponenten
  • Zwei-Faktor-Authentifikation für mindestens den initialen Authentifikationsprozess
  • Verschlüsselung personenbezogener Daten auf Systemen, die nicht in der persönlichen Verfügung der nutzenden Person stehen

Die Art der Verschlüsselung wird allerdings nicht vorgegeben.

Personenbezogene Daten

Für den Umgang mit personenbezogenen Daten gilt in erster Linie die DSGVO (Verordnung (EU)2016/679). Zusätzlich zu beachten sind auch nationale Gesetze, wie z.B. zur Informationssicherheit, zur Nachhaltigkeit, zum “gelebten” Datenschutz und zur faktischen Möglichkeit der Geltendmachung von Ansprüchen gegenüber Hersteller:innen. Die DiGAV fordert auch eine granulare Darlegung aller Standorte der Datenverarbeitung von personenbezogenen Daten, einschließlich externer Systeme und Anbieter:innen. Für alle Standorte müssen DSGVO und nationale Gesetze beachtet werden.

Werden im Rahmen einer DiGA personenbezogene Daten in der Cloud verarbeitet, so müssen Cloud-Anbieter:innen hinsichtlich der DSGVO überprüft werden. Dazu gibt es ein Informationspapier des BfArM mit dem Titel:

“Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e Fünftes Buch Sozialgesetzbuch (SGB V)” Quelle: BfArM

Dort gibt das BfArM eine Einschätzung ab und bieten in einem FAQ konkrete Antworten. Demnach ist eine Verarbeitung personenbezogener Daten außerhalb der EU allein auf Basis von Artikel 46 DSGVO (Standardvertragsklauseln) oder Artikel 47 (Binding Corporate Rules) für DiGA nicht zulässig (vgl. § 4 Abs. 3 DiGAV).

Da das EU-US Privacy Shield Abkommen dafür nicht mehr ausreicht, ist der Einsatz von Dienstleister:innen aus den USA nicht erlaubt. Bei Dienstleister:innen mit Niederlassung in der EU und Mutterkonzern in den USA, ist der Einsatz von Diensten „unter bestimmten Voraussetzungen“ möglich. Die Hauptvoraussetzung ist, dass der Datenfluss von personenbezogenen Daten in die USA vollumfassend ausgeschlossen wird. Die Verantwortung dafür liegt bei den DiGA-Hersteller:innen.

Als eine mögliche Lösung wird die Verschlüsselung der personenbezogenen Daten mit Speicherung der Schlüssel in der EU genannt. Genauere Informationen dazu gibt es allerdings nicht.

Daher wird DiGA-Hersteller:innen empfohlen, im vertrauten Rechtsraum zu operieren und sich beispielsweise für deutsche Cloud-Anbieter:innen an den Richtlinien des BSI Grundschutz und C5 zu orientieren.

Datenschutz und -sicherheit

Zur Datensicherheit werden in der DiGAV Prozesse, wie ein Informationssicherheitsmanagement (ISMS), nach ISO 27000 oder BSI Standard 200-2 und auch konkrete Maßnahmen vorausgesetzt. Für Cloud-basierte Lösungen sind folgende Maßnahmen interessant:

  • Grundsätzliche Verschlüsselung beim Übertragen personenbezogener Daten vom Anwender:innengerät an externe Systeme, nach aktuellem Stand der Technik. Ebenso die Forderung nach Nutzung von TLS, nach 8 Absatz 1 Satz 1 des BSI-Gesetzes

  • Eine DiGA muss die Authentizität von Internetdiensten überprüfen.

  • Session-Management der Benutzer:innen, einschließlich automatischer Invalidierung und Ablauffristen

  • Protokollierung von Zugriffen auf personenbezogene Daten, sowie sicherheitsrelevanter Ereignisse, wie Identifizierung oder Authentifizierung

  • Die automatisierte Auswertung von Protokollierungsdaten, um sicherheitsrelevante Ereignisse zu erkennen und wenn möglich proaktiv zu verhindern

  • Informieren der DiGABenutzer:innens über Updates, z.B. per Push-Nachrichten

  • Getrennte Speicherung gesundheitsbezogener Daten von ausschließlich für die Leistungsabrechnung erforderlichen Daten. Ratsam ist der Einsatz zweier Datenbanken für eine klare Trennung.

  • Als Maßnahme gegen Denial of Service (DoS) und Distributed Denial of Service (DDoS) muss eine Überprüfung aller Eingaben an öffentlich erreichbare Dienste mit definierten Schemata durchgeführt werden.

Weitere Sicherheitsanforderungen gibt es in der Technischen Richtlinie BSI TR-03161. Die darin aufgeführten Prüfaspekte sind nochmals ausführlicher als die Anforderungen der DiGAV, aber widersprechen sich vereinzelt mit Anforderungen der DiGAV.

Im Zweifelsfall sollte die Erfüllung der in der DiGAV formulierten Anforderungen angestrebt werden. Die Technische Richtlinie BSI TR-03161 bezieht sich mehrfach auf die Richtlinien zur Kryptografie BSI TR-02102-1 und BSI TR-02102-2. Wird die Erfüllung der Anforderungen aus BSI TR-03161 angestrebt, muss das rechtzeitig geplant werden. Denn die Auswirkungen auf die Systemarchitektur und Entwicklung der DiGA sollten nicht unterschätzt werden.

Interessant, oder? Teilen Sie den Beitrag doch mit anderen Interessierten.
  • Teilen auf Facebook
  • Teilen auf WhatsApp
  • Teilen auf LinkedIn
  • Per E-Mail teilen

News

  • Cybersecurity für MedizinprodukteDas Fundament Cybersecurity: So schützen Sie Medizinprodukte in der digitalen Ära15. September 2023 - 11:49
  • GitHub Copilot – Kann künstliche Intelligenz (KI) beim Programmieren unterstützen?31. Juli 2023 - 10:10
  • Cybersecurity for medical devices - webinar with Miriam Schulze and Sebastian WittorCybersecurity für Medizinprodukte – Webinar19. Juni 2023 - 14:33
Ansprechpartnerin bei BAYOOMED

Miriam Schulze
CEO

Darmstadt
Europaplatz 5
64293 Darmstadt

München
Aidenbachstraße 54
81379 München

Berlin 
Mariendorfer Damm 1-3
12099 Berlin

Kontakt

Telefon: +49 (0) 6151 – 86 18 – 0
Fax: +49 (0) 6151 – 86 18 – 150

E-mail: info@bayoomed.com
Jobs: jobs@bayoo.net
Presse: presse@bayoo.net

© Copyright - BAYOOMED
  • Kontakt
  • BAYOONET AG
  • Datenschutzerklärung
  • Impressum
BAYOOMED @T4M Holistic Health | Future of Work Event – 28. September bis 01. Oktobe...
Nach oben scrollen