Digitalne zdravstvene aplikacije - Poseban slučaj za zaštitu podataka

SADRŽAJ

• Šta su digitalne zdravstvene aplikacije?
• Zašto trebamo digitalne zdravstvene aplikacije?
• Šta proizvođači moraju uraditi da bi dobili DiGA odobrenje?
• Kako se može osigurati DiGA digitalna sigurnost?
• Koje zdravstvene podatke treba zaštititi?
• Šta je sistem upravljanja sigurnosti informacija?
• ISO 27001: Mjerilo za sigurnost informacija
• Specijalni slučaj zaštite podataka
• ISO 27701: Proširenje da se uključi sistem upravljanja zaštitom podataka
• Usklađenost sa standardom kao osnova za postavljanje kursa za uključivanje u DiGA adresar
• DQS: Simply leveraging Quality.  

Šta su digitalne zdravstvene aplikacije?

Digitalne zdravstvene aplikacije su digitalni medicinski uređaji koji pomažu u dijagnostici i terapiji bolesti. Osim toga, oni su namijenjeni da podrže put ka samoodređenom načinu života koji promoviše zdravlje. Oni su stoga "digitalni pomagači" u rukama pacijenata - "aplikacija na recept".

Evropska uredba o medicinskim uređajima (MDR) klasifikuje DiGA kao medicinske uređaje klase rizika I ili IIa i podvrgava ih strogim propisima "Regulativa digitalnih zdravstvenih aplikacija" (DiGAV). Samo aplikacije koje su u potpunosti u skladu s ovim propisima uključene su u DiGA adresar njemačkog saveznog instituta za lijekove i medicinska sredstva (BfArM).

Šta čini digitalne zdravstvene aplikacije?

BfArM je definisao sljedeće karakteristike koje medicinski uređaj mora ispuniti da bi bio prepoznat kao DiGA:

• Medicinski proizvod klase rizika I ili IIa.
• Glavna funkcija je bazirana na digitalnim tehnologijama
• Glavna digitalna funkcija ima jasnu medicinsku svrhu (tj. ne koristi se samo za očitavanje ili kontrolu uređaja)
• Podržava otkrivanje, praćenje, liječenje ili ublažavanje bolesti ili otkrivanje liječenja, ublažavanje ili kompenzaciju povrede ili invaliditeta
• Ne služi kao preventivni uređaj primarne zdravstvene zaštite
• Koristi ga pacijent ili zajedno sa zdravstvenim radnikom, tj. ne isključivo od strane doktora (opet, ovo bi spadalo u "kancelarijsku opremu")

Koja je zakonska osnova za DiGA?

Digitalne zdravstvene aplikacije omogućene su donošenjem Zakona o digitalnoj zdravstvenoj zaštiti (DVG) 19. decembra 2019. Od tada, osobe sa zakonskim zdravstvenim osiguranjem imaju pravo na DiGA - kolokvijalno nazvanu "aplikacija na recept".

Detalji o procesu prijave, zahtjevima i dizajnu DiGA direktorija - tj. formulisana pravna osnova za digitalne zdravstvene aplikacije - regulisani su DiGAV-om od 8. aprila 2020.

Zašto trebamo digitalne zdravstvene aplikacije?

Sa demografskim promjenama, potreba za zdravstvenim uslugama značajno će se povećati u narednim decenijama. A ova potražnja će dovesti do velikih izazova za opštu zdravstvenu zaštitu s obzirom na nedostatak doktora i medicinskih sestara koji je već prisutan danas. Digitalizacija ima potencijal da dugoročno rastereti zdravstveni sistem, a digitalne zdravstvene aplikacije mogu značajno doprinijeti tome. Istovremeno, zahtjevi za zaštitu podataka i sigurnost informacija moraju se efikasno uzeti u obzir.

Gledajući zahtjeve za DiGA, međutim, brzo postaje jasno da ih ne treba ispitivati izolovano. Oni su uvijek samo jedna komponenta u ukupnosti digitalno podržane zdravstvene zaštite. Elektronske zdravstvene kartice, elektronski kartoni pacijenata, e-recepti - digitalizacija zdravstvenog sektora je već u punom zamahu i napreduje se korak po korak kako bi se postavio kurs za modernu i održivu zdravstvenu zaštitu.

Šta proizvođači moraju uraditi da bi dobili DiGA odobrenje?

Budući da se visoko osjetljivi podaci o pacijentima obično obrađuju u medicinskom području, napori potrebni za dobivanje odobrenja za digitalnu zdravstvenu aplikaciju su veliki. Kandidati moraju ispuniti i dokumentirati širok spektar zahtjeva. To uključuje:

• Pozitivan uticaj na zdravstvenu zaštitu
• Sigurnost informacija
• Privatnost podataka
• Interoperabilnost
• Ostali zahtjevi za kvalitet (robustnost, zaštita potrošača, prilagođenost korisniku, podrška pružaocima usluga, kvalitet medicinskog sadržaja, sigurnost pacijenata)

Kako se može osigurati DiGA digitalna sigurnost?

Danas (dalji) razvoj digitalnih aplikacija obično slijedi agilne i dinamičke principe kako bi ciklusi objavljivanja bili što kraći. U ovom okruženju, digitalna sigurnost se ne može osigurati u toku jednokratne validacije tehničkih mjera. Sigurnost je kontinuiran proces koji mora biti duboko usađen u kompaniju.

Digitalne zdravstvene aplikacije i zaštita podataka: Koje podatke treba zaštititi?

Prilikom prikupljanja podataka organizacije, koji su vrijedni zaštite, početni fokus je obično na osjetljivim informacijama koje mogu identificirati identitet, ili tako nalaže njemački Zakon o zaštiti podataka o pacijentima. U stvari, međutim, sve informacije koje su od vrijednosti za kompaniju i koje ne smiju pasti u neovlaštene ruke vrijedne su zaštite. Pored podataka regulisanih GDPR-om, ovo uključuje i strateške mape puta i programski kod razvijen u kompaniji.

Šta je sistem upravljanja sigurnosti informacija?

Budući da se sigurnost DiGA ne može osigurati jednokratnom provjerom, proizvođači moraju pristupiti temi informacione sigurnosti strateški i sistematski. Ključni korak u ovom procesu je implementacija sistema upravljanja sigurnosti informacija (ISMS), kakav je opisan u međunarodnom standardu ISO 27001. Ovo definiše obavezujuće zahtjeve za osiguranje, upravljanje, kontrolu i kontinuirano poboljšanje sigurnosti informacija.

DiGAV se bavi pitanjem "sigurnosti kao procesa" u Aneksu 1 i zahtijeva od proizvođača da ugrade niz procesa u smislu ISMS-a. To uključuje, na primjer:

• Procjena potreba za zaštitom, koje određuju potrebe zaštite podataka, aplikacija ili sistema i ponovno ih procjenjuju nakon svake značajne promjene
• Procesi upravljanja strateškim izdavanjem, promjenama i konfiguracijom koji pomažu u usklađivanju agilnih razvojnih okruženja s formaliziranim MDR procesima
• Popis svih korištenih proizvoda trećih strana, kao i odgovarajući procesi koji osiguravaju da su informacije vezane za sigurnost o komponentama trećih strana dostupne na vrijeme.

Od 1. januara 2022. implementacija kompletnog ISMS-a postat će osnovni uslov za uključivanje u DiGA adresar. Kao rezultat toga, proizvođači DiGA će u budućnosti morati da pokažu ISMS u skladu sa serijom ISO 27000, uključujući certifikat.

ISO 27001: Mjerilo za sigurnost informacija

Međunarodno priznati standard ISO 27001 čini optimalnu osnovu za efikasnu implementaciju holističke sigurnosne strategije u smislu strukturiranog ISMS-a. Struktura i pristup prate model takozvane strukture visokog nivoa (HLS), zajedničke osnovne strukture za sisteme upravljanja.

HLS obezbjeđuje obavezujuću osnovnu strukturu za sve standarde sistema upravljanja orijentisanih na procese i omogućava besprijekornu integraciju zahtjeva standarda u postojeći sistem upravljanja – a time i u opšte poslovne procese kompanije.

Certificirana sigurnost informacija prema ISO 27001

Zaštitite svoje informacije sistemom upravljanja prema međunarodnom standardu ★ DQS nudi više od 35 godina iskustva u certifikaciji ★

Certifikacija ISMS-a prema ISO 27001 vrši se u skladu sa akreditovanom procedurom. Kao takav, smatra se dokazom da je implementiran uspješan sistem upravljanja i odgovarajuće mjere za sistematsku zaštitu informacijske imovine. Dodatno, certifikat uključuje posvećenost stalnom unaprijeđenju sistema.

Digitalne zdravstvene aplikacije: Specijalni slučaj zaštite podataka

Budući da su podaci o pacijentima izuzetno osjetljivi, korisnici digitalnih zdravstvenih aplikacija moraju se moći osloniti na zakonske zahtjeve u vezi sa zaštitom podataka koji se poštuju u svakom trenutku. U tu svrhu, DiGAV navodi pravne zahtjeve iz DSGVO-a i njemačkog saveznog zakona o zaštiti podataka (BDSG). Primjenjuju se i na samog proizvođača i na sve povezane sisteme, uključujući procesore narudžbi kao što su provajderi u oblaku. U okviru DiGA, lični podaci mogu se prikupljati samo nakon davanja pristanka i isključivo u sljedeće svrhe:

1. Za namjeravanu upotrebu DiGA od strane korisnika.
2. Da pruži dokaze o pozitivnim efektima ponude u kontekstu DiGA testiranja
3. Da pruži dokaze u svrhu određivanja cijena zasnovanih na učinku od strane njemačkog nacionalnog udruženja fondova zdravstvenog osiguranja u skladu sa članom 134 (1) rečenica 3 njemačkog socijalnog zakonika, knjiga 5.
4. Trajno garantovati tehničku funkcionalnost, lakoću korištenja i dalji razvoj DiGA.

Saglasnost za prve tri svrhe može se dati zajednički, ali se mora dobiti odvojeno za četvrtu svrhu. Obrada podataka u sve druge svrhe (posebno u reklamne svrhe) je isključena. Osim toga, obrada podataka se može odvijati samo u Njemačkoj, EU ili zemlji koja se smatra ekvivalentnom prema njemačkom zakonu (na primjer, Švicarska). Obrada u trećoj zemlji zahtijevala bi odluku o adekvatnosti sa smislenim obrazloženjem.

Aneks 1 DiGAV sadrži kontrolnu listu sa 40 izjava koje razmatraju i tehničku implementaciju i organizaciju proizvođača i njegovih procesa. Ovo su vrlo konkretni zahtjevi za listing u DiGA imeniku.

Dodatak: GDPR općenito dozvoljava obradu ličnih podataka unutar EU. Obrada izvan EU u takozvanoj trećoj zemlji je dozvoljena, pod uslovom da u trećoj zemlji postoji uporediv nivo zaštite (odluka o adekvatnosti prema članu 45 GDPR). Iza ovog linka naći ćete listu zemalja sa kojima postoji sporazum o adekvatnosti. 

ISO 27701: Proširenje da se uključi sistem upravljanja zaštitom podataka

Budući da se zaštita podataka, slično sigurnosti informacija, ne može pratiti selektivno, ISO 27701 standard objavljen je u avgustu 2019. Smatra se takozvanim "sektorskim dodatkom" ISO 27001 i stoga zahtijeva postojanje odgovarajućeg ISMS-a. Međutim, ISO 27701 dopunjuje ISMS detaljnim kriterijima zaštite podataka i proširuje zahtjeve za Sistem upravljanja privatnosti informacija (PIMS).

Osim toga, standard pruža konkretne najbolje prakse za implementaciju primjenjivih zahtjeva za zaštitu podataka - bez obzira da li se radi o evropskoj GDPR ili drugoj regionalnoj regulativi.

Integracija ISO 27701 izričito ne osigurava automatski usklađenost sa GDPR ili njemačkim DSGVO. Međutim, zbog svoje umnogome usklađene orijentacije, predstavlja dobru polaznu tačku za uspješnu primjenu propisa i olakšava odgovornim stranama da pouzdano zaštite i obrađuju lične podatke i pokažu usklađenost sa zakonskim zahtjevima.

Još jedna prednost koju donosi implementacija standarda zaštite podataka je određivanje jasnih odgovornosti u oblasti zaštite podataka: odgovornosti se ne dijele među kolegama prema obima posla, kao što je široko popularno, već slijede jasno definisana pravila sa posvećenim kontaktima - referenti zaštite podataka.

Osim toga, uvođenje ISO 27701 poziva na pristup privatnosti podataka orijentisan na rizik. Rizici i njihova vjerovatnoća nastanka moraju se stoga definisati i procijeniti holistički kako bi se od samog početka mogao procijeniti nivo potencijalne štete i zadržati što je moguće niži.

Usklađenost sa setom standarda kao kurs za uključivanje u DiGA adresar

Prepreke za uključivanje njemačkog BfArM-a u DiGA adresar su visoke iz dobrih razloga. Sigurnost informacija i zaštita podataka moraju biti zagarantovani u svakom trenutku uprkos visoko dinamičnoj prirodi digitalnog svijeta. Strukturirani i sistematski pristup ISO 27001 i ISO 27701 pruža kompanijama optimalnu osnovu za upravljanje podacima bilo koje vrste na siguran i usklađen način.

Kontrolna i regulatorna tijela također ocjenjuju savjesnu implementaciju i certifikaciju ISMS-a i PIMS-a kao znak dubljeg angažmana sa robusnim i održivim mehanizmima zaštite – to može imati pozitivan uticaj na moguće sankcije u slučaju štete.

Ukratko, čak i ako sama ISO 27001 i ISO 27701 certifikacija ne garantuje uključivanje u DiGA adresar, odgovarajući sistemi upravljanja u velikoj mjeri pokrivaju kontrolne liste DiGA regulative. Oni stoga pružaju optimalnu polaznu tačku za postavljanje kursa za uspješno uključivanje u adresar.

DQS: Simply leveraging Quality.

Sigurnost informacija i zaštita podataka su složene teme koje nadilaze IT sigurnost. One obuhvataju tehničke, organizacione i infrastrukturne aspekte i dotiču se zahtjeva zakona. Sistem upravljanja sigurnosti informacija (ISMS) prema ISO/IEC 27001, dopunjen sistemom za upravljanje privatnosti informacija (PIMS) prema ISO/IEC 27701, pogodan je za efikasne mjere zaštite.

DQS je vaš stručnjak za audite i certifikaciju sistema upravljanja i procesa. Sa više od 35 godina iskustva i znanjem 2.500 auditora širom svijeta, mi smo vaš kompetentni partner za certifikaciju i pružamo odgovore na sva pitanja u vezi sa zaštitom podataka i sigurnosti informacija.

Povjerenje i ekspertiza

Napomena: Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili auditori sa dugogodišnjim iskustvom. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, slobodno nas kontaktirajte.