Gut zu wissen: Informationssicherheit für digitale Gesundheitsanwendungen

Digitale Gesundheitsanwendungen können seit Dezember 2019 laut dem Digitale-Versorgung-Gesetz (DVG) von Ärzten oder Psychotherapeuten an gesetzlich Versicherte verschrieben werden. Es gibt nun also Apps auf Rezept. Doch was sich viele Versicherte dabei fragen: Sind meine Daten denn überhaupt sicher, wenn ich die Anwendung eines Drittanbieters für medizinische Zwecke nutze? Gerade in einem sensitiven Bereich wie der Gesundheitsversorgung muss sichergestellt werden, dass Daten und Informationen so verwahrt und verarbeitet werden, dass eine Kompromittierung ausgeschlossen ist. Entsprechende Richtlinien für digitale Gesundheitsanwendungen wurden daher vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verfasst.

Sicherheit als Prozess: Management für Informationssicherheit

Zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher Daten, die in einer DiGA verarbeitet werden, müssen Herstellerfirmen nach dem 1.1. 2022 ein Managementsystem für Informationssicherheit (ISMS) einrichten. Doch auch bis zu diesem Stichtag gilt: Informationssicherheit muss als sich verändernder Prozess verstanden werden, um der hohen Marktdynamik und schnellen Releases gerecht zu werden.

Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) verlangt daher für digitale Gesundheitsanwendungen das Aufsetzen und Etablieren mehrere Prozesse, um die erforderliche Flexibilität und Agilität umzusetzen. 

Eine Schutzbedarfsanalyse ist durchzuführen, um die Schutzbedarfe von Daten, Anwendungen und Systemen festzustellen. Die DiGAV verlangt das Ausfüllen einer Checkliste für Basisanforderungen, aber bei erhöhtem Schutzbedarf auch das Ausfüllen einer Checkliste für Zusatzanforderungen. Wenn es zu Veränderungen an der digitalen Gesundheitsanwendung kommt, so muss diese Strukturanalyse zur Ermittlung der Schutzbedarfe neu durchgeführt werden.

Digitale Gesundheitsanwendungen sind wie alle mobilen Anwendungen schnellen Veränderungen unterworfen, sei es durch Kunden- oder Marktanforderungen. Daher ist ein durchdachtes Release-, Change- und Configuration-Management notwendig. Damit soll sichergestellt werden, dass Updates und Releases in Bezug auf die Regelungen des DVG strukturiert durchgeführt und zusätzlich Neubewertungen von Schutzmaßnahmen und Risiken miteingeschlossen werden.

Wenn digitale Gesundheitsanwendungen Fremdsoftware wie Bibliotheken oder Frameworks nutzt, so sind die Hersteller der jeweiligen DiGA ebenfalls dazu verpflichtet, diese in einem Verzeichnis von genutzten Bibliotheken festzuhalten und entsprechende Marktbeobachtung durchzuführen. Denn die Hersteller der digitalen Gesundheitsanwendungen sind ebenfalls für die Fremdsoftware verantwortlich und müssen sicherheitsrelevante, produktbezogene Informationen bewerten und eventuell entstehende Sicherheitsrisiken für den Nutzer ausschließen.

Technische richtlinie für Digitale Gesundheitsanwendungen des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine ausführliche technische Richtlinie verfasst, um Hersteller von digitalen Gesundheitsanwendungen bei der Informationssicherheit zu unterstützen. Dabei setzt das BSI auf drei Schutzziele: Der Vertraulichkeit, der Integrität und der Verfügbarkeit von Anwendungen.

Denn gerade im Gesundheitsbereich ist es von höchster Priorität, sensible Daten zu schützen. Daten, die einmal nach außen dringen, sind nämlich nicht mehr zu anonymisieren und können aufgrund von bösartigen Eingriffen von außen Einfluss auf Behandlung und Therapie nehmen und somit die Gesundheit des Nutzers gefährden. Daher ist die Sicherheitsfunktionalität einer digitalen Gesundheitsanwendung für das BSI von großer Bedeutung und wird in mehrere Prüfaspekte gegliedert. Darunter fallen Sicherheitsbestimmungen für den Anwendungszweck, die Architektur, den Quellcode, Fremdsoftware, der Verschlüsselung und Authentifizierung, des Datenschutzes, kostenpflichtiger Ressourcen sowie Sicherheitsbestimmungen für Netzwerkkommunikation und Resilienz.

Damit wird sichergestellt, dass Hersteller von DiGAs den strengen Auflagen an die Informationssicherheit gerecht werden und diese auch bei Veränderungen der Anwendung weiterverfolgen.

Wenn Sie mehr Informationen zu diesem komplexen Thema benötigen oder Ihre Anwendungsidee auf Umsetzbarkeit bezüglich Informationssicherheit prüfen möchten, kontaktieren Sie uns für ein unverbindliches Erstgespräch.