Mit TÜVIT zur Kassenleistung: Ihre digitale Gesundheitsanwendung als "App auf Rezept"
Damit Ihre digitale Gesundheitsanwendung (DiGA) zur Kassenleistung werden kann, müssen Sie gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nachweisen, dass Ihre Anwendung bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllt.
Wir begleiten Sie auf Ihrem Weg zur erstattungsfähigen DiGA: Durch Penetrationstests sowie interne Audits und GAP-Analysen nach ISO 27001 oder BSI IT-Grundschutz.
Erfolgreiche Nachweiserbringung gegenüber dem BfArM
Ihre App auf Rezept: Mit uns erbringen Sie die durch das Bundesinstitut für Arzneimittel und Medizinprodukte geforderten Nachweise.
Sensible Gesundheitsdaten bestmöglich geschützt
Durch Penetrationstests sichern Sie Ihre DiGA bestmöglich gegen Cyberattacken und Datendiebstähle ab & verhindern Reputationsschäden.
Gestärktes Vertrauen bei Nutzer:innen
Die Umsetzung der DiGA-Sicherheitsanforderungen führt gleichzeitig zu einem höheren Vertrauen bei Nutzer:innen in Bezug auf die Sicherheit sensibler Daten.
Was ist die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)?
Mit dem Digitale-Versorgung-Gesetz (DVG) wurde die Grundlage für den Leistungsanspruch von Versicherten auf die Versorgung mit digitalen Gesundheitsanwendungen geschaffen. Daran anknüpfend beinhaltet die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) die Voraussetzungen für die Erstattung digitaler Gesundheitsanwendungen (DiGA) durch die Krankenkassen. Die Anforderungen beziehen sich dabei insbesondere auf die Aspekte Sicherheit, Qualität, Datenschutz und Datensicherheit.
Download Foliensatz "DiGA 'auf Kasse' – aber sicher!"
Im Rahmen mehrerer Infoveranstaltungen haben wir kompakt vermittelt, was DiGA-Betreiber & -Hersteller aktuell wissen müssen. Den dazugehörigen Foliensatz können Sie ab sofort kostenfrei herunterladen.
Inhalte:
- Was ist eine digitale Gesundheitsanwendung (DiGA)?
- Was ist das Fast-Track-Verfahren?
- Welche Anforderungen gibt es an DiGA?
- Zusammenfassung der neuen Anforderungen
- Wie kann die TÜV NORD GROUP mir helfen?
Download
Ihre Vorteile auf einen Blick
Nachweiserbringung gegenüber dem BfArM
Damit Ihre App zur Kassenleistung werden kann, erhalten Sie über uns die notwendigen Nachweise.
Vertrauen gegenüber Kunden & Geschäftspartnern
Mit Umsetzung der DiGA-Sicherheitsanforderungen stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.
Objektive Analyse von Sicherheitsmaßnahmen
Ob durch Penetrationstests, Audits oder Analysen, wir nehmen Ihre DiGA sowie Ihr ISMS genau unter die Lupe.
Schutz gegen potenzielle Cyber-Angriffe, Spionage & Co.
Schützen Sie die sensiblen Gesundheitsdaten Ihrer DiGA bestmöglich vor Hackerangriffen & Datendiebstahl.
Identifizierung & Behebung von Schwachstellen
Unsere Expert:innen decken mögliche Schwachstellen Ihrer DiGA auf, sodass Sie diese proaktiv schließen können.
Reduzierung von IT-Risiken
Durch Penetrationstests sowie ein ISMS erhöhen Sie die Sicherheit Ihrer DiGA & reduzieren mögliche IT-Risiken.
Kontinuierliche Verbesserung
Durch das Aufdecken von Optimierungspotenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer DiGA.
Vermeidung von wirtschaftlichen Schäden
Durch die Erfüllung der DiGA-Sicherheitsanforderungen beugen Sie finanziellen sowie Reputationsschäden vor.
Unsere Leistungen für DiGA-Betreiber & Hersteller
Datenschutz-Reifegrad-Assessment auf Basis der Datenschutzkriterien nach § 139e Absatz 11 SGB V & § 78a Absatz 8 SGB XI
Anforderungen an die Sicherheit digitaler Gesundheitsanwendungen (DiGA)
Welche Anforderungen an Datenschutz und IT-Sicherheit müssen digitale Gesundheitsanwendungen (DiGA) erfüllen, um zur „App auf Rezept“ zu werden? Das erklärt TÜVIT-Experte Tobias Mielke in seinem Kurzvortrag.
Penetrationstests
Wird für eine Produktversion eine Aufnahme in das DiGA-Verzeichnis beantragt, muss für alle Komponenten – unabhängig vom Schutzbedarf der DiGA – ein Penetrationstest durchgeführt worden sein.
Der Pentest muss von einer BSI zertifizierten Teststelle durchgeführt werden, verpflichtende Code-Reviews & Whitebox-Tests enthalten und auf dem Durchführungskonzept für Penetrationstests des BSI sowie den OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps basieren.
Wir führen die entsprechenden Tests zur Nachweiserbringung durch und helfen Ihnen dabei, mögliche Sicherheitslücken zu identifizieren und zu schließen.
Nachweis über ein ISMS
Die 1. DiGAV-ÄndV fordert für alle DiGA ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“.
Wir bieten Ihnen Audits sowie GAP-Analysen an, im Rahmen derer wir überprüfen, ob Sie die notwendigen Zertifizierungsvoraussetzungen erfüllen.
Interoperabilität
mit der ePA
DiGA müssen ab dem 01.01.2024 den regelmäßigen, automatisierten Export der durch die DiGA erhobenen Daten in die ePA ermöglichen.
Die entsprechenden Anforderungen an die semantische und syntaktische Interoperabilität legt die KBV fest.
Sichere Authentisierung
Mit der 1. DiGAV-ÄndV wird die Notwendigkeit einer sicheren Authentisierungsmöglichkeit von Versicherten über die digitale Identität eingeführt.
Umgesetzt werden muss diese bis spätestens zum 01.01.2024.
Nachweis des Datenschutzes
Ab dem 01.08.2024 ist ein Nachweis über die Erfüllung der Anforderungen an den Datenschutz vorzulegen. Dieser erfolgt in Form eines ausgestellten Zertifikates nach Artikel 42 DSGVO.
Nachweis der Datensicherheit
Ab dem 01.01.2025 müssen DiGA Anforderungen an die Datensicherheit gemäß § 139e Absatz 10 SGB V erfüllen. Dazu zählt die Technische Richtlinie TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen) des BSI bzw. ein entsprechendes (TR-) Zertifikat. Unsere IT-Sicherheitsexpert:innen prüfen Ihre DiGA nach den Anforderungen der BSI TR-03161 und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung.
Das DiGA-Fast-Track-Verfahren
Das Verfahren zur Aufnahme einer digitalen Gesundheitsanwendung in das DiGA-Verzeichnis ist als zügiger "Fast Track" konzipiert. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit durch das BfArM in etwa drei Monate.
Häufig gestellte Fragen (FAQ):
Digitale Gesundheitsanwendungen (DiGA) sind Medizinprodukte niedriger Risikoklassen, das heißt der Risikoklassen I oder IIa nach Medical Device Regulation (MDR).
Es handelt sich dabei um Apps oder webbasierte Anwendungen, die der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten dienen. Zudem können sie auch in Bezug auf Verletzungen oder Behinderungen zum Einsatz kommen.
Damit sind DiGAs "digitale Helfer" in der Hand der Patient:innen, die eine gesundheitsbezogene Zweckbestimmung verfolgen und von Ärzt:innen verschrieben sowie durch die Krankenkassen erstattet werden können.
Folgende Nachweise sind für die Aufnahme ins DiGA-Verzeichnis zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:
- Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
- Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
- Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
- Nachweis positiver Versorgungseffekte*
- Nachweis über die Durchführung von Penetrationstests
- ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
- Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
- Ab dem 01.08.2024: Zertifikat nach Artikel 42 der DSGVO
* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.
Den Leitfaden zum Fast-Track-Verfahren finden Sie hier.
Wenn Ihr Unternehmen bereits über ein nach der ISO-27000-Reihe bzw. BSI Standard 200-2 zertifiziertes ISMS verfügt, das den gesamten Lebenszyklus Ihrer DiGA einschließt, sollten bereits adäquate Lösungen für die Umsetzung der meisten Anforderungen in der Checkliste zur Datensicherheit in Anlage 1 zur DiGAV für die DiGA und ihren Betrieb umgesetzt sein. Dennoch muss hier eine Verifizierung durch den Hersteller erfolgen und durch entsprechendes Ausfüllen der Checkliste verbindlich dokumentiert werden.
Sicherheit als Prozess: Für jede Änderung der DiGA und/oder der Rahmenbedingungen muss geprüft werden, wie sich dadurch die analysierten Risiken und Bedrohungen verändern und ob die Schutzmaßnahmen noch ausreichend sind. Das muss auch ohne Updates kontinuierlich passieren, z. B. wenn eine Sicherheitsschwachstelle in einer genutzten Bibliothek erkannt wird.
Wenn die Bewertung der Risiken für die Sicherheit der DiGA zu dem Ergebnis kommt, dass es neue Bedrohungen gibt, die durch einen Penetrationstest besser analysierbar oder erkennbar sind, dann sollte ein erneuter Test erfolgen. Wenn nicht, muss kein neuer Penetrationstest durchgeführt werden.
Generell ist jedoch zu bedenken: Ab einem gewissen Zeitpunkt wird typischerweise der Punkt erreicht, an dem ein neuer Penetrationstest angezeigt ist, da sich seit dem letzten Penetrationstest Wesentliches verändert hat. Die Durchführung eines Penetrationstests muss dem BfArM auf Nachfrage nachgewiesen werden.
Warum wir ein starker Partner für Sie sind
Unabhängigkeit
Expertise
Internationales Expertennetzwerk
Branchenerfahrung
Auf Sie zugeschnitten
