Digitalne aplikacije za zdravstveni sustav - Posebna kategorija u zaštiti podataka

CONTENT

• Što su digitalne aplikacije za zdravstveni sustav (DiGA)?
• Zašto trebamo aplikacije za zdravstveni sustav?
• Što proizvođači trebaju učiniti kako bi dobili odobrenje za DiGA aplikaciju?
• Kako omogućiti digitalnu sigurnost za DiGA aplikacije?
• Koje bismo podatke iz zdravstvenog sustava trebali zaštititi?
• Što je sustav upravljanja informacijskom sigurnošću?
• ISO 27001: Mjerilo informacijske sigurnosti
• Posebna kategorija zaštite podataka
• ISO 27701: Proširenje koje uključuje sustav upravljanja zaštitom podataka
• Usklađenost s normom kao temelj za ovlaštene DiGA aplikacije
• DQS: Simply leveraging Quality.  

Što su digitalne aplikacije za zdravstveni sustav?

Digitalne aplikacije za zdravstveni sustav su digitalni medicinski proizvodi koji pomažu u postavljanju dijagnoze i liječenju bolesti. Također, stvorene su kako bi pomogle graditi neovisan i zdrav način života. Stoga su one "digitalni pomagači" u rukama pacijenata - "aplikacija preko uputnice".

Uredba (EU) 2017/745 o medicinskim proizvodima klasificira DiGA aplikacije kao medicinske proizvode klase I ili IIa te one podliježu strogim pravilima Uredbe o digitalnim aplikacijama za zdravstveni sustav ("Digital Health Applications Regulation" - DiGAV). Samo aplikacije koje su u potpunosti usklađene s navedenim pravilima uključene su u skupinu ovlaštenih DiGA aplikacija Njemačkog saveznog instituta za lijekove i medicinske proizvode (BfArM).

Kakva mora biti digitalna aplikacija za zdravstveni sustav?

Njemački savezni institut za lijekove i medicinske proizvode (BfArM) odredio je kriterije koje medicinski proizvod mora zadovoljiti kako bi se mogao nazvati DiGA aplikacijom. To su:

• Medicinski proizvod treba pripadati klasi I ili IIa.
• Glavna funkcija temelji se na digitalnim tehnologijama.
• Glavna digitalna funkcija ima jasnu medicinsku namjenu (tj., ne koristi se isključivo za očitavanje podataka ili upravljanje napravama).
• Pomaže u prepoznavanju, praćenju, liječenju ili ublažavanju bolesti, te u procesu prepoznavanja, liječenja, ublažavanja ili otklanjanja ozlijeda.
• Ne služi kao preventivno sredstvo primarne zdravstvene zaštite.
• Koristi ga pacijent samostalno ili zajedno sa zdravstvenim djelatnikom, tj. ne koristi ga isključivo liječnik (ovo bi pripadalo kategoriji "uredske opreme").

Koja je zakonska osnova za DiGA aplikacije?

Digitalne aplikacije za zdravstveni sustav omogućene su u Njemačkoj nakon donošenja Zakona o digitalnom zdravstvenom sustavu (DVG) 19. prosinca 2019. Od tada osobe s primarnim zdravstvenim osiguranjem imaju mogućnost korištenja DiGA aplikacije - poznatije kao "aplikacija preko uputnice". 

Detalji o postupku prijave, uvjetima i sustavu DiGA aplikacija - odnosno zakonskoj bazi za digitalne aplikacije za zdravstveni sustav - utvrđeni su Uredbom o digitalnim aplikacijama za zdravstveni sustav 8. travnja 2020.

Zašto trebamo aplikacije za zdravstveni sustav?

S obzirom na demografske promjene, tijekom sljedećih desetljeća značajno će se povećati potreba za uslugama zdravstvenog sustava. To će dovesti do brojnih promjena u zdravstvenom sustavu, prije svega do nedostatka liječnika i medicinskog osoblja, s čime se susrećemo već i danas. Digitalizacija pruža mogućnost dugoročnog rasterećenja zdravstvenog sustava, čemu mogu doprinijeti i digitalne aplikacije za zdravstveni sustav. Sve navedeno ukazuje na to da se u obzir trebaju uzeti i zaštita podataka i informacijska sigurnost.

Ipak, zahtjevi za DiGA aplikacije ne bi se trebali promatrati zasebno. Oni su samo jedan dio unutar čitave cjeline koju pokriva digitalizacija zdravstvenog sustava. Elektroničke zdravstvene iskaznice, elektronički kartoni pacijenata, elektroničke uputnice - digitalizacija zdravstvenog sustava već je u svom jeku i ide prema tome da stvori temelje za suvremen i održiv zdravstveni sustav.

Što proizvođači trebaju učiniti kako bi dobili odobrenje za DiGA aplikaciju?

S obzirom na to da se u području zdravstva obično obrađuju izrazito osjetljivi podaci pacijenata, potrebno je uložiti mnogo truda kako bi se dobilo dopuštenje za digitalnu aplikaciju za zdravstveni sustav. Prijavljeni moraju zadovoljavati, kao i dokumentirati različite uvjete. To su:

• Pozitivan utjecaj na zdravstveni sustav
• Informacijska sigurnost
• Privatnost podataka
• Interoperabilnost
• Ostali uvjeti kvalitete (otpornost, zaštita potrošača, pristupačnost, podrška za pružatelje usluga, kvaliteta zdravstvenog sadržaja, sigurnost pacijenata)

Kako omogućiti digitalnu sigurnost za DiGA aplikacije?

Danas je razvoj digitalnih aplikacija sve brži i dinamičniji te se sve manje čeka na njihove nove verzije. U ovakvom okruženju digitalna sigurnost ne može se omogućiti tek kroz jednokratno vrednovanje tehničkih mjera. Sigurnost je neprekidan proces koji mora biti duboko ukorijenjen u određenu organizaciju.

Digitalne aplikacije za zdravstveni sustav i zaštita podataka: Koje je podatke potrebno zaštititi?

Kada govorimo o podacima određene organizacije koje je potrebno zaštititi, u prvi plan dolaze osjetljive, osobne informacije koje se mogu povezati s identitetom, što je u skladu s njemačkim Zakonom o zaštiti podataka pacijenata. U stvarnosti je potrebno zaštititi svaku informaciju koja je nekom poduzeću vrijedna i koja ne bi smjela biti u rukama neovlaštenih osoba. Uz podatke koje regulira Opća uredba o zaštiti podataka (GDPR), ovdje spadaju i podaci vezani za strateški plan i interni programski kod poduzeća.

Što je sustav upravljanja informacijskom sigurnošću?

S obzirom na to da se sigurnost DiGA aplikacija ne može osigurati tek jednokratnom evaluacijom, proizvođači moraju pristupiti informacijskoj sigurnosti strateški i sistematično. Ključan korak u tom procesu je implementacija sustava upravljanja informacijskom sigurnošću (ISMS) kao što je sustav koji je sadržan u međunarodnoj normi ISO 27001. Ona definira obvezne kriterije za osiguravanje, vođenje, kontrolu i stalno usavršavanje informacijske sigurnosti.

Uredba o digitalnim aplikacijama za zdravstveni sustav (DiGAV) ističe pitanje "sigurnosti kao procesa" te traži od proizvođača da pri postavljanju sustava upravljanja informacijskom sigurnošću provedu niz procesa. Neki od njih su:

• Procjena potrebe za zaštitom, koja definira potrebe zaštite podataka, aplikacija ili sustava i koja ih ponovno provjerava nakon svake značajnije promjene
• Strateško postavljanje, promjena i konfiguracija procesa upravljanja koji pomažu uskladiti dinamični svijet inovacija s formalnostima Uredbe o medicinskim proizvodima (MDR)
• Popis svih korištenih proizvoda drugih proizvođača, kao i odgovarajućih procesa kako bi se osigurala laka dostupnost informacija koje se odnose na njihovu sigurnost.

Od 1. siječnja 2022. potpuna implementacija sustava upravljanja informacijskom sigurnošću (ISMS) postat će temeljni uvjet za dobivanje statusa DiGA aplikacije. Stoga će se ubuduće od proizvođača DiGA aplikacija tražiti da posjeduju sustav upravljanja informacijskom sigurnošću (ISMS) u sukladnosti s nizom normi "ISO 27000", kao i certifikat za navedeno.

ISO 27001: Mjerilo informacijske sigurnosti

Međunarodno priznata norma ISO 27001 temelj je za učinkovitu implementaciju sveobuhvatne strategije sigurnosti kada govorimo o strukturiranim sustavima upravljanja informacijskom sigurnošću (ISMS). Njena struktura i pristup oblikovani su po modelu takozvane strukture visoke razine (HLS - High Level Structure), temeljne strukture za upravljanje sustavima.

Struktura visoke razine predstavlja temeljnu strukturu obveznu za sve sustave upravljanja koji su usmjereni na proces, te omogućava laku integraciju zahtjeva standarda u postojeći sustav upravljanja - a time i u općenite procese poslovanja poduzeća.

Certificirana informacijska sigurnost prema normi ISO 27001

Zaštitite vaše informacije sustavom upravljanja prema međunarodnim standardima ★ DQS nudi više od 35 godina iskustva u certifikaciji ★.

Certifikacija sustava upravljanja prema normi ISO 27001 provodi se kroz akreditirani postupak. Kao takva smatra se potvrdom uspješnog sustava upravljanja te dokazom da su provedene odgovarajuće mjere kako bi se sustavno zaštitile informacije. Također, certifikat uključuje i obvezu da će se sustav trajno poboljšavati.

Digitalne aplikacije za zdravstveni sustav: Posebna kategorija u zaštiti podataka

S obzirom na to da su podaci pacijenata izrazito osjetljivi, korisnici digitalnih aplikacija za zdravstveni sustav trebaju se moći osloniti na zakonske odredbe o zaštiti podataka. U tu svrhu, Uredba o digitalnim aplikacijama za zdravstveni sustav (DiGAV) ukazuje na zakonske odredbe iz Opće uredbe o zaštiti podataka (GDPR) i njemačkog saveznog Zakona o zaštiti podataka (BDSG). Oni se odnose i na same proizvođače i na sve povezane sustave, uključujući pružatelje usluga računalstva i ostalih djelatnosti. Prema opsegu djelatnosti DiGA aplikacija, osobni podaci smiju se prikupiti tek nakon davanja suglasnosti i to isključivo s ciljem:

1. Svrhovitog korištenja DiGA aplikacija.
2. Dokazivanja pozitivnog učinka DiGA testiranja.
3. Dokazivanja svrhe naplate po potrošnji koju izdaje Njemačka udruga za financiranje zdravstvenog osiguranja prema Stavku 134 (1) Redak 3 Njemačkog društvenog kodeksa, Knjiga 5. 
4. Trajne garancije tehničke funkcionalnosti, pristupačnosti i daljnjeg razvoja DiGA aplikacija.

Za prva tri cilja suglasnost se može dati istovremeno, ali za četvrti se mora dati zasebno. Za sve drugačije ciljeve (osobito za ciljeve oglašavanja) obrada podataka je onemogućena. Nadalje, podatke je moguće obrađivati u Njemačkoj, Europskoj uniji, ili državama koje se prema njemačkom zakonu smatraju ekvivalentnima (na primjer, Švicarska). Obrada podataka u državi koja nije članica zahtijeva primjenu odluke o odgovarajućoj razini zaštite s važećim objašnjenjem.

Prilog 1 Uredbe o digitalnim aplikacijama za zdravstveni sustav (DiGAV) sadrži listu od 40 stavaka koji se odnose na dvije stvari - tehničku implementaciju te organizaciju proizvođača i procesa. Ovo su konkretni uvjeti koje aplikacija mora zadovoljiti kako bi se mogla smatrati DiGA aplikacijom.

Dodatak: Opća uredba o zaštiti podataka dopušta obradu osobnih podataka unutar Europske unije. Obrada podataka izvan Europske unije u državi koja nije članica (takozvana "treća zemlja") dozvoljena je ukoliko u toj državi postoji odgovarajuća razina zaštite (odluka o odgovarajućoj razini zaštite, Članak 45 Opće uredbe o zaštiti podataka - GDPR). Na poveznici možete pronaći popis država s kojima je sklopljena odluka o odgovarajućoj razini zaštite.

ISO 27701: Proširenje koje uključuje sustav upravljanja zaštitom podataka 

S obzirom na to da se zaštita podataka, kao i informacijska sigurnost, treba pratiti sustavno, u kolovozu 2019. objavljena je norma ISO 27701. Ona se smatra takozvanim "proširenjem za određene sektore" pri normi ISO 27001, stoga uz nju treba postojati odgovarajući sustav upravljanja informacijskom sigurnošću (ISMS). Ipak, standard ISO 27701 nadopunjava ISMS sveobuhvatnijim kriterijima za zaštitu podataka i proširuje zahtjeve za Sustavom upravljanja privatnošću informacija (PIMS).

Također, ova norma donosi konkretne načine implementacije zahtjeva zaštite podataka - bez obzira na to radi li se o europskom GDPR-u ili drugim regionalnim regulativama. 

Integracija standarda ISO 27701 ne znači istodobno i usklađenost s Općom uredbom o zaštiti podataka (GDPR), ali je zbog sličnog opsega dobra osnova za uspješnu implementaciju regulativa. Na taj način stranke mogu pouzdano zaštititi i obrađivati osobne podatke te dokazati usklađenost sa zakonskim odredbama.

Još jedna dobra strana implementacije standarda za zaštitu podataka je jasna raspodjela uloga: zadaci vezani za zaštitu podataka nisu, kao obično, podijeljeni među kolegama ovisno o količini posla, već se njima bave točno određene osobe - službenici za zaštitu podataka.

Uz to, pri uvođenju norme ISO 27701 potrebno je obratiti pažnju na rizike. Rizici i njihova vjerojatnost moraju se definirati i sustavno procjenjivati kako bi se moguća štetnost od samog početka utvrdila i što više uklonila.

Usklađenost s normom kao temelj za ovlaštene DiGA aplikacije

Njemački savezni institut za lijekove i medicinske proizvode (BfArM) s razlogom je postavio visoke kriterije za dobivanje statusa DiGA aplikacije. Informacijska sigurnost i zaštita podataka moraju stalno biti zajamčene unatoč izrazito dinamičnoj naravi digitalnog svijeta. Strukturiranost i sistematičnost normi ISO 27001 i ISO 27701 pružaju poduzećima optimalan temelj za upravljanje najrazličitijim podacima na siguran i usklađen način.

Kontrolna i regulatorna tijela procjenjuju i ciljanu implementaciju i certifikaciju sustava upravljanja informacijskom sigurnošću (ISMS) i sustava upravljanja privatnošću informacija (PIMS), koji su dokaz veće uključenosti u jasne i održive mehanizme zaštite. Ovo može imati pozitivan učinak na moguće sankcije u slučaju štete.

Drugim riječima, čak i ako provođenje certifikacije prema normama ISO 27001 and ISO 27701 ne garantira dobivanje statusa DiGA aplikacije, odgovarajući sustavi upravljanja uvelike zadovoljavaju kriterije Uredbe o digitalnim aplikacijama za zdravstveni sustav. Stoga oni predstavljaju optimalan temelj za dobivanje statusa DiGA aplikacije.

DQS: Simply leveraging Quality.

Informacijska sigurnost i zaštita podataka složene su teme koje sežu izvan okvira računalne sigurnosti. One obuhvaćaju tehničke, organizacijske i infrastrukturne aspekte te se dotiču zakonskih zahtjeva. Za učinkovite mjere zaštite potrebno je uvođenje sustava upravljanja informacijskom sigurnošću (ISMS) prema normi ISO/IEC 27001, uz dodatak sustava upravljanja privatnošću informacija (PIMS) prema normi ISO/IEC 27701. 

DQS je vaš stručnjak za audite i certifikacije sustava i procesa upravljanja. S više od 35 godina iskustva i vještinom 2500 auditora diljem svijeta, mi smo vaš certifikacijski partner te vam dajemo odgovore na sva pitanja o zaštiti podataka i informacijskoj sigurnosti.

Povjerenje i stručnost

Napomena: Naše tekstove i brošure pišu isključivo naši stručnjaci za norme ili auditori s dugogodišnjim iskustvom. Ako imate pitanja za naše autore  o sadržaju tekstova ili o našim uslugama, slobodno nam se obratite.