Nachweis über Datensicherheit: BSI TR-03161 für DiGA- & DiPA-Hersteller ab 2025 verpflichtend
Datensicherheit: BSI TR-03161 als neue Nachweisgrundlage
Seit mittlerweile drei Jahren haben Patient:innen die Möglichkeit, sogenannte „Apps auf Rezept“ verschrieben zu bekommen. Damit sie diese auch sicher nutzen können, müssen digitale Gesundheitsanwendungen (DiGA) die in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) festgelegten Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllen.
Bisher legte der DiGA-Leitfaden in Bezug auf den Aspekt der Datensicherheit fest, dass die Erfüllung der Anforderungen gemäß § 139e Absatz 10 SGB V durch ein entsprechendes Zertifikat nachzuweisen ist. Nun verkündete das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) offiziell, dass zukünftig die Technische Richtlinie BSI TR-03161 die Grundlage für neue Zertifikate sein wird, mit denen die Datensicherheit einer Anwendung belegt werden kann. Der Nachweis über die Datensicherheit nach der Technischen Richtlinie muss von Herstellern spätestens ab dem 1. Januar 2025 vorgelegt werden. Es empfiehlt sich daher, sich frühzeitig auf die Prüfung und Zertifizierung nach BSI TR-03161 vorzubereiten.
Mit der Aktualisierung der Datensicherheitskriterien für DiGA wurden zeitgleich auch die Anforderungen an digitale Pflegeanwendungen überarbeitet. Auch hier gilt die BSI TR-03161 in Zukunft – und ab dem 01.01.2025 verpflichtend – als Nachweisgrundlage für die Datensicherheit einer Anwendung. Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie in Teilen überarbeitet, sodass sie in einer aktualisierten Version vorliegt.
Als anerkannte Prüfstelle bietet TÜV Informationstechnik (TÜVIT) sowohl Herstellern von digitalen Gesundheits- als auch Pflegeanwendungen die erforderlichen Prüfungen nach den Sicherheitsanforderungen der TR-03161 an.
Zusätzliche Aktualisierung der Datenschutz-Kriterien
Über die BSI TR-03161 hinaus sind auch die Prüfkriterien für die Anforderungen an den Datenschutz bei DiGA und DiPA aktualisiert worden. Nach DiGA-Leitfaden sind diese ab dem 01.08.2024 verpflichtend. Sie umfassen die Anforderungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO), ergänzen diese jedoch noch um erweiterte Anforderungen speziell für DiGA und DiPA.
Da sich das spezifische Datenschutzzertifikat aktuell noch in der Entwicklung durch das BfArM befindet, gibt es zum jetzigen Zeitpunkt noch keine akkreditierten Zertifizierungsstellen zur Durchführung einer Zertifizierung gemäß der Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI. Weiterhin können sich noch Änderungen der Prüfkriterien ergeben. Folglich wird die Vorlage des Datenschutzzertifikates erst offiziell eingefordert, wenn die technischen und organisatorischen Voraussetzungen dafür geschaffen sind.
Dennoch ist es ratsam, sich möglichst zeitig mit den veröffentlichten Datenschutzkriterien auseinanderzusetzen und sich auf diese entsprechend vorzubereiten, da sie die reinen DSGVO-Anforderungen übersteigen. Zu finden sind diese auf der Website des BfArM. Bei der optimalen Vorbereitung unterstützt TÜVIT Hersteller in Form von Datenschutz-Reifegrad-Assessments auf Basis der Datenschutzkriterien.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert.
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de