Цифрові додатки для охорони здоров'я - особливий випадок для захисту даних

ЗМІСТ

• Що таке цифрові додатки для охорони здоров'я?
• Навіщо нам потрібні цифрові додатки для здоров'я?
• Що повинні зробити виробники, щоб отримати схвалення DiGA?
• Як можна забезпечити цифрову безпеку DiGA?
• Які медичні дані варто захищати?
• Що таке система управління інформаційною безпекою?
• ISO 27001: стандарт інформаційної безпеки
• Особливий випадок для захисту даних
• ISO 27701: Розширення для включення системи управління захистом даних
• Відповідність стандарту як основа для включення до каталогу DiGA
• DQS: Simply leveraging Quality.

Що таке цифрові медичні програми?

Цифрові медичні додатки - це цифрові медичні пристрої, які допомагають у діагностиці та терапії захворювань. Крім того, вони призначені для підтримки шляху до самостійного визначення способу життя, що сприяє здоров'ю. Таким чином, вони є "цифровими помічниками" в руках пацієнтів - "додатком за рецептом".

Європейський регламент щодо медичних виробів (MDR) класифікує DiGA як медичні вироби класу ризику I або IIa і підпорядковує їх суворим правилам "Регламенту щодо цифрових медичних додатків" (DiGAV). Тільки додатки, які повністю відповідають цим правилам, включаються до каталогу DiGA Німецького федерального інституту лікарських засобів і медичних виробів (BfArM).

Що таке цифровий додаток для охорони здоров'я?

BfArM визначив наступні характеристики, яким повинен відповідати медичний пристрій, щоб бути визнаним як DiGA:

• Медичний пристрій класу ризику I або IIa.
• Основна функція заснована на цифрових технологіях
• Основна цифрова функція має чітке медичне призначення (тобто вона не використовується лише для зчитування або керування пристроєм)
• Підтримує виявлення, моніторинг, лікування або пом'якшення захворювання або виявлення, лікування, пом'якшення або компенсацію травми чи інвалідності
• Не слугує профілактичним засобом первинної медичної допомоги
• Використовується пацієнтом або спільно з медичним працівником, тобто не виключно лікарем (знову ж таки, це підпадає під категорію "офісне обладнання")

Яка правова основа для DiGA?

Цифрові додатки для охорони здоров'я стали можливими завдяки прийняттю Закону про цифрову охорону здоров'я (DVG) 19 грудня 2019 року. Відтоді люди, які мають державне медичне страхування, мають право на отримання DiGA - в розмовній мові це називається "додаток за рецептом".

Деталі процесу подання заявки, вимоги та дизайн каталогу DiGA - тобто сформульована правова основа для цифрових медичних додатків - були врегульовані в DiGAV від 8 квітня 2020 року.

Навіщо нам потрібні цифрові додатки для охорони здоров'я?

У зв'язку з демографічними змінами потреба в медичних послугах значно зросте в найближчі десятиліття. І цей попит призведе до серйозних викликів для загальної охорони здоров'я з огляду на дефіцит лікарів та медсестер, який спостерігається вже сьогодні. Оцифрування має потенціал для зменшення навантаження на систему охорони здоров'я в довгостроковій перспективі, і цифрові медичні додатки можуть зробити значний внесок у цю справу. Водночас необхідно ефективно враховувати вимоги щодо захисту даних та інформаційної безпеки.

Однак, дивлячись на вимоги до DiGA, швидко стає зрозуміло, що їх не слід розглядати ізольовано. Вони завжди є лише одним з компонентів у загальній системі охорони здоров'я, що підтримується цифровими технологіями. Електронні медичні картки, електронні файли пацієнтів, електронні рецепти - оцифрування сектору охорони здоров'я вже йде повним ходом і крок за кроком просувається вперед, щоб прокласти курс на сучасну і сталу охорону здоров'я.

Що потрібно зробити виробникам, щоб отримати схвалення DiGA?

Оскільки в медичній сфері зазвичай обробляються дуже чутливі дані пацієнтів, зусилля, необхідні для отримання схвалення цифрового медичного додатку, є високими. Заявники повинні відповідати широкому спектру вимог і задокументувати їх. До них відносяться

• Позитивний вплив на охорону здоров'я
• Інформаційна безпека
• Конфіденційність даних
• Інтероперабельність
• Інші вимоги до якості (надійність, захист прав споживачів, зручність для користувачів, підтримка постачальників послуг, якість медичного контенту, безпека пацієнтів)

Як можна забезпечити цифрову безпеку DiGA?

Сьогодні (подальша) розробка цифрових додатків зазвичай відбувається за гнучкими та динамічними принципами, щоб зробити цикли випуску якомога коротшими. У цьому середовищі цифрова безпека не може бути забезпечена в ході одноразової перевірки технічних заходів. Безпека - це безперервний процес, який повинен бути глибоко впроваджений на підприємстві.

Цифрові додатки для охорони здоров'я та захист даних: Які дані варто захищати в охороні здоров'я?

При зборі даних організації, які варто захищати, основна увага зазвичай приділяється чутливій інформації, що ідентифікує особу, або так вимагає німецький Закон про захист даних пацієнтів. Насправді, однак, вся інформація, яка має цінність для компанії і не повинна потрапити в несанкціоновані руки, заслуговує на захист. На додаток до даних, які регулюються GDPR, це також включає стратегічні дорожні карти та програмний код, розроблений власними силами.

Що таке система управління інформаційною безпекою?

Оскільки безпека DiGA не може бути забезпечена одноразовою перевіркою, виробники повинні підходити до теми інформаційної безпеки стратегічно і систематично. Важливим кроком у цьому процесі є впровадження системи управління інформаційною безпекою (СУІБ), подібної до тієї, що описана в міжнародному стандарті ISO 27001. Він визначає обов'язкові вимоги до забезпечення, управління, контролю та постійного вдосконалення інформаційної безпеки.

DiGAV розглядає питання "безпеки як процесу" в Додатку 1 і вимагає від виробників впровадити низку процесів в рамках СУІБ. До них відносяться, наприклад

• Оцінка потреб у захисті, яка визначає потреби в захисті даних, додатків або систем і переоцінює їх після кожної значної зміни
• Стратегічні процеси управління випусками, змінами та конфігурацією, які допомагають узгодити гнучкі середовища розробки з формалізованими процесами MDR
• Інвентаризація всіх використовуваних сторонніх продуктів, а також відповідні процеси для забезпечення своєчасного доступу до інформації, пов'язаної з безпекою, про сторонні компоненти.

З 1 січня 2022 року впровадження повноцінної СУІБ стане основною вимогою для включення в каталог DiGA. Таким чином, виробники DiGA в майбутньому будуть зобов'язані продемонструвати СУІБ відповідно до стандартів ISO серії 27000, включаючи сертифікат.

ISO 27001: еталон інформаційної безпеки

Міжнародно визнаний стандарт ISO 27001 формує оптимальну основу для ефективного впровадження цілісної стратегії безпеки в сенсі структурованої СУІБ. Структура і підхід відповідають моделі так званої структури високого рівня (HLS), загальної базової структури для систем управління.

HLS забезпечує обов'язкову базову структуру для всіх процесно-орієнтованих стандартів систем менеджменту і дозволяє безперешкодно інтегрувати вимоги стандартів в існуючу систему менеджменту - і, таким чином, в загальні бізнес-процеси компанії.

Сертифікована інформаційна безпека відповідно до ISO 27001

Захистіть свою інформацію за допомогою системи управління відповідно до міжнародного стандарту ★ DQS пропонує більш ніж 35-річний досвід у сфері сертифікації ★

Сертифікація СУІБ за стандартом ISO 27001 проводиться відповідно до акредитованої процедури. Таким чином, вона вважається доказом того, що успішна система управління та відповідні заходи були впроваджені для систематичного захисту інформаційних активів. Крім того, сертифікат включає в себе зобов'язання щодо постійного вдосконалення системи.

Цифрові додатки для охорони здоров'я: Особливий випадок для захисту даних

Оскільки дані пацієнтів є надзвичайно чутливими, користувачі цифрових медичних додатків повинні мати можливість покладатися на те, що законодавчі вимоги щодо захисту даних завжди дотримуються. З цією метою DiGAV визначає правові вимоги DSGVO та Федерального закону про захист даних (BDSG). Вони поширюються як на самого виробника, так і на всі підключені системи, включаючи обробників замовлень, таких як хмарні провайдери. В рамках DiGA персональні дані можуть збиратися тільки після отримання згоди і виключно для наступних цілей:

1. Для цільового використання DiGA користувачами.
2. Для надання доказів позитивного впливу пропозиції в контексті тестування DiGA
3. Для надання доказів з метою ціноутворення на основі результатів діяльності Німецької національної асоціації лікарняних кас відповідно до § 134 (1), речення 3 Книги 5 Соціального кодексу Німеччини.
4. Постійно гарантувати технічну функціональність, зручність користування та подальший розвиток DiGA.

Згода на перші три цілі може бути надана спільно, але для четвертої мети необхідно отримати окрему згоду. Обробка даних для всіх інших цілей (особливо в рекламних цілях) виключена. Крім того, обробка даних може відбуватися тільки в Німеччині, ЄС або країні, яка вважається еквівалентною згідно з німецьким законодавством (наприклад, Швейцарія). Обробка даних у третій країні потребує рішення про адекватність з відповідним обґрунтуванням.

Додаток 1 до DiGAV містить контрольний список із 40 тверджень, які враховують як технічну реалізацію, так і організацію виробника та його процесів. Це дуже конкретні вимоги для включення в каталог DiGA.

Доповнення: GDPR загалом дозволяє обробку персональних даних в межах ЄС. Обробка за межами ЄС у так званій третій країні дозволяється за умови, що в третій країні існує порівнянний рівень захисту (рішення про адекватність згідно зі статтею 45 GDPR). За цим посиланням ви знайдете список країн, з якими існує угода про адекватність.

ISO 27701: Розширення для включення системи управління захистом даних

Оскільки захист даних, як і інформаційну безпеку, неможливо контролювати вибірково, у серпні 2019 року було опубліковано стандарт ISO 27701. Він вважається так званим "галузевим доповненням" до ISO 27001 і тому вимагає наявності відповідної СУІБ. Однак ISO 27701 доповнює СУІБ поглибленими критеріями захисту даних і розширює вимоги до системи управління інформацією про конфіденційність (PIMS).

Крім того, стандарт надає конкретні найкращі практики для впровадження застосовних вимог щодо захисту даних - незалежно від того, чи це європейський GDPR, чи інші регіональні нормативні акти.

Інтеграція ISO 27701 явно не забезпечує автоматичну відповідність GDPR або німецькому DSGVO. Однак, завдяки своїй значною мірою конгруентній орієнтації, він є гарною відправною точкою для успішної імплементації регламентів і полегшує відповідальним сторонам надійний захист і обробку персональних даних, а також демонстрацію відповідності вимогам законодавства.

Ще однією перевагою впровадження стандарту захисту даних є чіткий розподіл обов'язків у сфері захисту даних: обов'язки не розподіляються між колегами відповідно до робочого навантаження, як це широко розповсюджено, а виконуються за чітко визначеними правилами за участю спеціально призначених для цього осіб - відповідальних за захист даних.

Крім того, впровадження ISO 27701 вимагає ризик-орієнтованого підходу до захисту даних. Ризики та ймовірність їх виникнення повинні визначатися та оцінюватися комплексно, щоб мати можливість оцінити рівень потенційної шкоди з самого початку та звести його до мінімуму.

Відповідність стандарту відкриває шлях до включення в каталог DiGA

Перешкоди для включення до довідника DiGA німецького BfArM є високими з поважних причин. Інформаційна безпека та захист даних повинні бути гарантовані в будь-який час, незважаючи на дуже динамічний характер цифрового світу. Структурований і системний підхід стандартів ISO 27001 та ISO 27701 надає компаніям оптимальну основу для безпечного та відповідного вимогам управління будь-якими даними.

Контролюючі та регуляторні органи також оцінюють сумлінне впровадження та сертифікацію СУІБ та СУІБ як ознаку більш глибокої взаємодії з надійними та стійкими механізмами захисту - це може позитивно вплинути на можливі санкції у разі заподіяння шкоди.

Коротше кажучи, навіть якщо сертифікація за стандартами ISO 27001 та ISO 27701 сама по собі не гарантує включення до довідника DiGA, відповідні системи менеджменту значною мірою охоплюють контрольні списки регламенту DiGA. Тому вони є оптимальною відправною точкою для встановлення курсу на успішне включення до каталогу.

DQS: Simply leveraging Quality.

Інформаційна безпека та захист даних - це складні теми, які виходять далеко за межі ІТ-безпеки. Вони охоплюють технічні, організаційні та інфраструктурні аспекти, а також зачіпають вимоги законодавства. Система управління інформаційною безпекою (СУІБ) відповідно до ISO/IEC 27001, доповнена системою управління інформацією про конфіденційність (СУІП) відповідно до ISO/IEC 27701, підходить для ефективних захисних заходів.

DQS - це ваш фахівець з аудиту та сертифікації систем менеджменту та процесів. Маючи більш ніж 35-річний досвід і ноу-хау 2 500 аудиторів по всьому світу, ми є вашим компетентним партнером по сертифікації і надаємо відповіді на всі питання, що стосуються захисту даних та інформаційної безпеки.

Довіра та досвід

Примітка: Наші тексти та брошури написані виключно нашими експертами зі стандартів або аудиторами з багаторічним досвідом. Якщо у вас виникли запитання щодо змісту тексту або наших послуг автору, будь ласка, звертайтеся до нас.