BSI TR-03161 DiGA und DiPA: neue Nachweisgrundlage für die Datensicherheit

Anbieter zum Thema

TÜV Informationstechnik GmbH

Governikus GmbH & Co. KG

Hersteller von DiGA bzw. DiPA müssen spezielle Datensicherheitskriterien erfüllen. Ab 1. Januar 2025 muss der Nachweis über die Datensicherheit nach der Technischen Richtlinie BSI TR-03161 vorgelegt werden.

Seit drei Jahren haben Patienten die Möglichkeit, so genannte „Apps auf Rezept“ verschrieben zu bekommen. Damit sie diese auch sicher nutzen können, müssen digitale Gesundheitsanwendungen (DiGA) die in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) festgelegten Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllen. 

Bisher legte der DiGA-Leitfaden in Bezug auf den Aspekt der Datensicherheit fest, dass die Erfüllung der Anforderungen gemäß § 139e Absatz 10 SGB V durch ein entsprechendes Zertifikat nachzuweisen ist. Nun verkündete das Bundesinstitut für Arzneimittel und Medizin­produkte (BfArM) offiziell, dass zukünftig die Technische Richtlinie BSI TR-03161 die Grundlage für neue Zertifikate sein wird, mit denen die Datensicherheit einer Anwendung belegt werden kann. Der Nachweis über die Datensicherheit nach der Technischen Richtlinie muss von Herstellern spätestens ab dem 1. Januar 2025 vorgelegt werden. Es empfiehlt sich daher, sich frühzeitig auf die Prüfung und Zertifizierung nach BSI TR-03161 vorzubereiten.

Auch für digitale Pflegeanwendungen gelten die neuen Datensicherheitskriterien

Mit der Aktualisierung der Datensicherheitskriterien für DiGA wurden zeitgleich auch die Anforderungen an digitale Pflegeanwendungen überarbeitet. Auch hier gilt die BSI TR-03161 in Zukunft – und ab dem 01.01.2025 verpflichtend – als Nachweisgrundlage für die Datensicherheit einer Anwendung. Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie in Teilen überarbeitet, sodass sie in einer aktualisierten Version vorliegt.

Als anerkannte Prüfstelle bietet TÜV Informationstechnik (TÜV IT) sowohl Herstellern von digitalen Gesundheits- als auch Pflegeanwendungen die erforderlichen Prüfungen nach den Sicherheitsanforderungen der TR-03161 an. 

Zusätzliche Aktualisierung der Datenschutz-Kriterien

Über die BSI TR-03161 hinaus sind auch die Prüfkriterien für die Anforderungen an den Datenschutz bei DiGA und DiPA aktualisiert worden. Nach DiGA-Leitfaden sind diese ab dem 1. August 2024 verpflichtend. Sie umfassen die Anforderungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO), ergänzen diese jedoch noch um erweiterte Anforderungen speziell für DiGA und DiPA.

DiGA

Der lange Weg zur Zertifizierung

Da sich das spezifische Datenschutzzertifikat aktuell noch in der Entwicklung durch das BfArM befindet, gibt es zum jetzigen Zeitpunkt noch keine akkreditierten Zertifizierungsstellen zur Durchführung einer Zertifizierung gemäß der Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI. Weiterhin können sich noch Änderungen der Prüfkriterien ergeben. Folglich wird die Vorlage des Datenschutzzertifikates erst offiziell eingefordert, wenn die technischen und organisatorischen Voraussetzungen dafür geschaffen sind.

Dennoch ist es ratsam, sich möglichst zeitig mit den veröffentlichten Datenschutzkriterien auseinanderzusetzen und sich auf diese entsprechend vorzubereiten, da sie die reinen DSGVO-Anforderungen übersteigen. Zu finden sind diese auf der Website des BfArM. Bei der Vorbereitung kann TÜV IT Hersteller in Form von Datenschutz-Reifegrad-Assessments auf Basis der Datenschutzkriterien unterstützen. 

DiGA-Report des SVDGV

Apps auf Rezept etablieren sich

Digitale Pflegeanwendungen

DiPA: Hohe Hürden erschweren den Start

Dieser Artikel erschien ursprünglich bei unserem Schwesterportal Devicemed.

(ID:50036007)