Was ist eine Digitalen Gesundheitsanwendungen (DiGA)?
Digitale Gesundheitsanwendungen (DiGA) sind Medizinprodukte der Risikoklasse I oder IIa nach MDR, deren Zweckbestimmung im Wesentlichen digital erreicht wird. DiGA werden auch „Apps auf Rezept“ genannt, da sie rezeptpflichtig und erstattungsfähig sind. Das heißt, dass Nutzer die Kosten für die Verwendung einer DiGA über ihre Gesetzliche Krankenversicherung (GKV) erstattet bekommen. Um eine DiGA verwenden zu können, benötigt ein Nutzer einen Freischaltcode von seiner Krankenkasse.
Wer prüft DiGA?
Damit DiGA über App-Stores als verschreibungspflichtige Medizinprodukte in Verkehr gebracht werden dürfen, müssen sie beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) im DiGA-Verzeichnis gelistet werden. Diese Listung muss vom Hersteller beantragt werden.
Was müssen DiGA-Hersteller beachten?
DiGA-Hersteller müssen neben den Anforderungen an Medizinprodukte noch folgende weitere Anforderungen erfüllen.
1. ISO 27001-Zertifizierung
Sie müssen ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 oder BSI-IT-Grundschutz im Unternehmen eingeführt haben. Dieses ISMS muss Zusatzanforderungen erfüllen, die in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) vorgeben sind.
Achtung: 0815-ISMS nicht gleich DiGA-ISMS!
Lässt man sich für die Vorbereitung eines ISMS auf die Zertifizierung extern beraten, sollte man nicht irgendeinen landläufigen Anbieter wählen, sondern spezialisierte DiGA-Berater, damit das ISMS nicht nur erfolgreich zertifiziert wird, sondern auch der zusätzlichen Prüfung durch das BfArM standhält! Die DiGA-Sicherheitsexperten der Caladan GmbH unterstützen Sie dabei.
2. BSI-Datensicherheits-Zertifizierung
Zusätzlich zur ISO-27001-Zertifizierung müssen DiGA die Anforderungen der Technischen Richtlinie für Digitale Gesundheitsanwendungen des BSI erfüllen. Dieser Anforderungskatalog für verschiedene Arten von Frontends sowie für Backends von DiGA formuliert zahlreiche Kriterien für die Sicherheit aus. Die Erfüllung dieser Anforderung ist in den Risikomanagement-Akten der DiGA als Medizinprodukt gemäß ISO 14971 sowie im ISMS gemäß ISO 27001 sowie in der Datenschutz-Folgenabschätzung (DSFA) der DiGA zu berücksichtigen.
Die Einhaltung der Datensicherheitsanforderungen des BSI muss durch externe Prüfstellen zertifiziert werden. Die DiGA-Sicherheitsexperten der Caladan GmbH können Sie beratend wie ausführend bei der Umsetzung dieser Sicherheitsanforderungen unterstützen.
3. Datenschutz-Zertifikat des BfArM
Die DiGAV formuliert eine lange Reihe von Zusatzanforderungen im Datenschutz an DiGA, die weit über die Regulierungen der DS-GVO und des BDSG hinausgehen. Nur speziell geschulte und erfahrene Datenschutzbeauftragte, wie die Datenschutzexperten der Caladan GmbH können hier verlässlich bei der Umsetzung unterstützen. Neben diesen Zusatzanforderungen müssen die über 70 Seiten umfassenden Datenschutzkriterien des BfArM erfüllt und durch eine Prüfstelle zertifiziert werden.
4. Penetrationstest speziell für DiGA
DiGA-Hersteller sind durch die DiGAV verpflichtet, einen Penetrationstest für die Version ihrer DiGA durchführen zu lassen, für die eine Listung beim BfArM beantragt wird. Dieser Penetrationstest muss dabei genauen Vorgaben der DiGAV und des BSI folgen. Nicht jeder Penetrationstest-Anbieter kann diese Vorgaben mit den von ihm angebotenen Tests erfüllen. Die DiGA-erfahrenen Pen-Tester der Caladan GmbH GmbH stehen Ihnen gerne zur Seite und helfen Ihnen, vor der Einreichung Ihrer DiGA, wie von der DiGAV gefordert, alle Schwachstellen zu finden und zu beseitigen.
Mehr Informationen
Weitere Informationen zu regulatorischen Anforderungen an DiGA bietet der Spitzenverband Digitale Gesundheitsversorgung e.V., in dessen AK Datenschutz die Experten der Caladan GmbH Fördermitglieder sind.