nach oben

Erschienen in:

15.09.2021 | Leitthema

Datenschutz und Informationssicherheit bei digitalen Gesundheitsanwendungen (DiGA)

verfasst von: Dr. André Zilch, Martin Tschirsich

Erschienen in: Bundesgesundheitsblatt - Gesundheitsforschung - Gesundheitsschutz | Ausgabe 10/2021

Einloggen, um Zugang zu erhalten

Zusammenfassung

Die Gewähr von Datenschutz- und Informationssicherheit stellt Hersteller digitaler Gesundheitsanwendungen (DiGA) regelmäßig vor Schwierigkeiten. Ursächlich sind häufig ein geringer Reifegrad in der Organisation der Anwendungsentwicklung und fehlende Expertise an der Schnittstelle zwischen regulatorischen Vorgaben und angewandter Informationssicherheit. Im Ergebnis werden sowohl in der Umsetzung als auch bei der Anforderungsanalyse und im Prozessdesign kritische Fehler gemacht, die es zu vermeiden gilt.

Vorliegend werden Anforderungen und Lösungswege aufgezeigt, die sich aus der Datenschutz-Grundverordnung (DSGVO), dem Stand der Technik, anderen zu berücksichtigenden Vorschriften sowie dem Digitale-Versorgung-Gesetz (DVG) und der entsprechenden Verordnung ergeben. Zur Herleitung konkreter Anforderungen nach Stand der Technik und unter Berücksichtigung des ermittelten Schutzbedarfs in Bezug auf die Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit wird auf wichtige Standards und Normen verwiesen. Im Sinne eines How-to für Hersteller adressieren die Autoren anschließend direkt die wichtigsten Mängel aus den Bereichen Authentisierung, Einwilligung und Autorisierung und geben entsprechende Empfehlungen.

Eine wichtige Brücke zur Überwindung der aufgezeigten Kluft zwischen Anspruch und Wirklichkeit in Sachen Datenschutz und Informationssicherheit sehen die Autoren in der weiteren Unterstützung der Hersteller durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), beispielsweise in Form von Handreichungen. Gleichzeitig ist auch von Herstellern eine weitere Reifung der Anwendungsentwicklungsorganisation zu erwarten. Auch nimmt die Informationssicherheit mit der Ablösung der Medizinprodukterichtlinie (MDD) durch die Medizinprodukteverordnung (MDR) eine bedeutendere Stellung ein.

GKV-Spitzenverband (2021) Positionspapier des GKV-Spitzenverbandes: Anforderungen und Kriterien an Digitale Gesundheitsanwendungen. https://www.gkv-spitzenverband.de/media/dokumente/krankenversicherung_1/telematik/digitales/Positionspapier_DiGA_2021-01-07_barrierefrei.pdf. Zugegriffen: 25. Apr. 2021

Reinvere J (2021) Patientenakten als Waffe. https://www.faz.net/aktuell/feuilleton/datenskandal-in-finnland-dehnt-sich-aus-patientenakten-als-waffe-17177721.html. Zugegriffen: 25. Apr. 2021

BSI (2021) Glossar der Cybersicherheit. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Glossar-der-Cyber-Sicherheit/glossar-der-cyber-sicherheit_node.html. Zugegriffen: 14. Juni 2021

Brönneke JB, Debatin JF, Hagen J, Kircher P, Matthies H (2020) DiGA VADEMECUM: Was man zu Digitalen Gesundheitsanwendungen wissen muss. MWV, Berlin, S 91 CrossRef

Bartels KU, Backer M (2018) Die Berücksichtigung des Stands der Technik in der DSGVO. Datenschutz Datensicherh 42:214–219 CrossRef

International Organization for Standardization (2018) ISO/IEC 27000:2018: Information technology—security techniques—information security management systems—overview and vocabulary

VdS-Verlag (2018) VdS 10000:2018–12 (02) – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), Anforderungen

IT-Sicherheitscluster (2020) ISIS12‑2.02: Informationssicherheit für KMU und KMO Handbuch und Katalog für Unternehmen. V 2.02

Roßnagel A, Sunyaev A, Lins S, Maier N, Teigeler H (2019) AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2. 3.2.1.2 Datenarten mit hohem Schutzbedarfs (Schutzbedarfsklasse 2). https://www.auditor-cert.de/wp-content/uploads/2019/03/Schutzklassenkonzept_v2_final.pdf. Zugegriffen: 14. Juni 2021

10.

Brönneke JB, Debatin JF, Hagen J, Kircher P, Matthies H (2020) DiGA VADEMECUM: Was man zu Digitalen Gesundheitsanwendungen wissen muss. MWV, Berlin, S 88 CrossRef

11.

Roßnagel A, Sunyaev A, Lins S, Maier N, Teigeler H (2019) AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2. 3.2.1.3 Datenarten mit sehr hohem Schutzbedarf (Schutzbedarfsklasse 3). https://www.auditor-cert.de/wp-content/uploads/2019/03/Schutzklassenkonzept_v2_final.pdf. Zugegriffen: 14. Juni 2021

12.

International Organization for Standardization (2013) ISO/IEC 29115:2013: Information technology—security techniques—entity authentication assurance framework

13.

BSI (2019) Technische Richtlinie TR-03107-1: Elektronische Identitäten und Vertrauensdienste im E‑Government. Teil 1: Vertrauensniveaus und Mechanismen. Version 1.1.1. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.html. Zugegriffen: 25. Apr. 2021

14.

BSI (2019) Technische Richtlinie TR-03107-1: Elektronische Identitäten und Vertrauensdienste im E‑Government. Teil 1: Vertrauensniveaus und Mechanismen. Version 1.1.1. S 37. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.html. Zugegriffen: 25. Apr. 2021

15.

FIDO Alliance (2020) FIDO Alliance white paper: multiple authenticators for reducing account recovery needs for FIDO-enabled consumer accounts. https://media.fidoalliance.org/wp-content/uploads/2020/06/FIDO_White_Paper_Multiple_Authenticators_CDWG.pdf. Zugegriffen: 25. Apr. 2021

16.

VG Mainz. Urteil vom 17. Dez. 2020 (Az. 1 K 778/19.MZ)

17.

DSK (2020) Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E‑Mail. Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“. https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf. Zugegriffen: 25. Apr. 2021

18.

Zilch A, Tschirsich M, Brodowski C (2019) „Hacker hin oder her“: Die elektronische Patientenakte kommt! https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt. Zugegriffen: 25. Apr. 2021

19.

DSK (2019) Kurzpapier Nr. 20. Einwilligung nach der DS-GVO. https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf. Zugegriffen: 25. Apr. 2021

20.

BfArM (2020) Das Fast Track Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V. Ein Leitfaden für Hersteller, Leistungserbringer und Anwender. https://www.bfarm.de/SharedDocs/Downloads/DE/Service/Beratungsverfahren/DiGA-Leitfaden.pdf?__blob=publicationFile. Zugegriffen: 25. Apr. 2021

21.

Brönneke JB, Debatin JF, Hagen J, Kircher P, Matthies H (2020) DiGA VADEMECUM: Was man zu Digitalen Gesundheitsanwendungen wissen muss. MWV, Berlin, S 97 CrossRef

22.

Brönneke JB, Debatin JF, Hagen J, Kircher P, Matthies H (2020) DiGA VADEMECUM: Was man zu Digitalen Gesundheitsanwendungen wissen muss. MWV, Berlin, S 100 CrossRef

23.

BfArM (2021) Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e Fünftes Buch Sozialgesetzbuch (SGB V). https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/Datenverarbeitung_au%C3%9Ferhalb_Deutschlands_FAQ.pdf. Zugegriffen: 25. Apr. 2021

24.

The OWASP Foundation (2017) OWASP top 10 – 2017. The ten most critical web application security risks. https://owasp.org/www-project-top-ten/. Zugegriffen: 25. Apr. 2021

25.

Medical Device Coordination Group (2019) MDCG 2019-16: Guidance on cybersecurity for medical devices

26.

Migues S, Steven J, Mike W (2021) Building security in maturity model (BSIMM) – version 11. https://www.bsimm.com/. Zugegriffen: 25. Apr. 2021

Titel: Datenschutz und Informationssicherheit bei digitalen Gesundheitsanwendungen (DiGA)
verfasst von: Dr. André Zilch
Martin Tschirsich
Publikationsdatum: 15.09.2021
Verlag: Springer Berlin Heidelberg
Erschienen in: Bundesgesundheitsblatt - Gesundheitsforschung - Gesundheitsschutz / Ausgabe 10/2021
Print ISSN: 1436-9990
Elektronische ISSN: 1437-1588
DOI: https://doi.org/10.1007/s00103-021-03412-y

Neu im Fachgebiet Allgemeinmedizin

03.02.2023 | Akute Herzinsuffizienz | Nachrichten

Springer Medizin

Datenschutz und Informationssicherheit bei digitalen Gesundheitsanwendungen (DiGA)

Zusammenfassung

Neu im Fachgebiet Allgemeinmedizin

Akute Herzinsuffizienz nach nicht herzchirurgischer Op. minimieren

Corona-Pandemie führte zu Rückgang darmpathogener Erreger

mRNA-Corona-Impfung erhöht Risiko für Guillain-Barré-Syndrom nicht

Lässt sich eine gesunde Darmflora herbeimeditieren?

Newsletter

Newsletter

Springer Medizin

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu diesem Inhalt zu erhalten

Weitere Artikel der Ausgabe 10/2021

Erfahrungen von Herstellern digitaler Gesundheitsanwendungen (DiGA) mit dem Fast-Track-Verfahren des BfArM

Digitale Gesundheitsanwendungen: gesetzliche Einführung patientenzentrierter digitaler Innovationen in die Gesundheitsversorgung

Adhärenz digitaler Interventionen im Gesundheitswesen: Definitionen, Methoden und offene Fragen

Interoperabilität im Gesundheitswesen: auch für digitale Gesundheitsanwendungen (DiGA) verordnet

Medizinische Zwillingsforschung in Deutschland

Ergänzung der Empfehlung „Umgang mit per- und polyfluorierten Alkylsubstanzen (PFAS) im Trinkwasser“ vom 26. August 2020

Neu im Fachgebiet Allgemeinmedizin

Akute Herzinsuffizienz nach nicht herzchirurgischer Op. minimieren

Corona-Pandemie führte zu Rückgang darmpathogener Erreger

mRNA-Corona-Impfung erhöht Risiko für Guillain-Barré-Syndrom nicht

Lässt sich eine gesunde Darmflora herbeimeditieren?

Newsletter

Newsletter