Wir haben mit Dr. Martin Neumann, Consultant Life Science bei infoteam, über die Neuerungen aus der Digitalisierungsstrategie des Bundesministeriums für Gesundheit (BMG) und dem neuen DiGA-Leitfaden des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) gesprochen - insbesondere in Hinblick auf mögliche Auswirkungen für Digitale Gesundheitsanwendungen (DiGA).
Welche Neuerungen in Bezug auf Hardware, Datensicherheit, Datenschutz und Cloud-Speicherung bringt der neue DiGA-Leitfaden (Version 3.2) des BfArM mit sich?
Die aktuelle Version 3.2 des DiGA-Leitfadens beinhaltet einige neue Absätze und Änderungen zu den genannten Aspekten, die wir nachfolgend skizzieren:
DiGA in Kombination mit Hardware
Der Leitfaden untersagt den Vertrieb einer DiGA zusammen mit beispielsweise einem Blutdruck- oder kontinuierlich analysierenden Glukosemessgerät. Diese Geräte gelten als Hilfsmittel und unterliegen einem anderen Leistungsanspruch gegenüber der gesetzlichen Krankenversicherung als eine DiGA. Wenn eine DiGA ein Medizingerät oder Wearable nutzt oder nutzen kann, um die anfallenden Daten zu erfassen, sollen die Versicherten nämlich die Möglichkeit haben, eine Hardware ihrer Wahl einzusetzen. Dabei ist allerdings zu beachten, dass die Risikoklasse der Kombination aus DiGA und Medizingerät noch der Definition einer DiGA entspricht, die aktuell lediglich Medizinprodukte der Risikoklasse I oder IIa einschließt, während z. B. kontinuierlich analysierende Glukosemessgeräte im Allgemeinen der Risikoklasse IIb angehören. Die Digitalisierungsstrategie des BMG wird allerdings kurzfristig Bewegung in diese Thematik bringen (siehe Frage 2).
DiGA in Kombination mit menschlicher Begleitung
Das BfArM akzeptiert begleitende Dienstleistungen bei der Nutzung von DiGAs, z. B. Beratung oder Coaching, nur zur Gewährleistung der sicheren Anwendung und zur Wahrung der Patientensicherheit. In geringem Umfang kann menschliche Begleitung zulässig sein; dies soll der Hersteller im Rahmen eines Beratungsgesprächs mit dem BfArM klären können. Zudem widmet sich auch diesem Thema die Digitalisierungsstrategie des BMG (siehe Frage 2).
Datenschutzzertifikat
Die Prüfkriterien für den Datenschutz von DiGAs sind nun festgelegt. Ab dem 01.08.2024 muss der Hersteller durch ein Zertifikat einer dafür akkreditierten Stelle nachweisen, dass seine DiGA die Anforderungen an den Datenschutz erfüllt. Die Kriterien sind auf der Website des BfArM veröffentlicht und gliedern sich in zwölf Themenblöcke, die verschiedene Aspekte der Verarbeitung personenbezogener Daten abdecken:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Nichtverkettbarkeit, Datenminimierung und Speicherbegrenzung, Intervenierbarkeit, Integrität, Richtigkeit und Vertraulichkeit, Rechenschaftspflicht, Wahrnehmung von Verantwortung, Auftragsverarbeitung und Datenübermittlung, Datenschutz-Folgenabschätzung sowie technische und organisatorische Maßnahmen.
Die Kriterien zielen darauf ab, den Schutz personenbezogener Daten zu verbessern. DiGAs müssen künftig nachweislich der Datenschutzgrundverordnung (DSGVO) entsprechen und personenbezogene Daten rechtmäßig, transparent und sicher verarbeiten.
Datensicherheitszertifikat
Die Anforderungen an die Datensicherheit beziehen sich auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller mithilfe einer DiGA verarbeiteten Daten. Dass diese Anforderungen erfüllt sind, müssen Hersteller spätestens ab dem 01.01.2025 über ein Zertifikat nachweisen. Entsprechende Prüf- und Bestätigungsverfahren bietet das BSI ab dem 01.06.2024 an. Welche Anforderungen an die Datensicherheit im Einzelnen nachzuweisen sind, legt das BSI erstmals bis zum 01.01.2024 und dann in der Regel jährlich fest.
Datenverkehr und Speicherungsdauer der Daten
Personenbezogene Daten können bei einem Dienstleister mit Niederlassung in der EU, aber mit Mutterkonzern in den USA nur dann gespeichert werden, wenn sie verschlüsselt sind und der DiGA-Hersteller die Schlüssel selbst (oder über einen Treuhanddienstleister) in der EU oder einem Drittland (mit Angemessenheitsbeschluss) speichert. Eine direkte Aufbewahrung der Schlüssel beim Dienstleister mit US-Mutterkonzern ist jedoch ausdrücklich ausgeschlossen.
Die Speicherdauer von Daten ist laut DSGVO bekanntlich durch den Zweck ihrer Verarbeitung begrenzt. Der Zweck der Verarbeitung und damit auch der Speicherung von Patientendaten entfällt, sobald die Verordnung der DiGA ausläuft. Neu ist, dass die Daten in dem Zeitraum bis zum Erhalt einer Folgeverordnung (sog. „Grace-Period“) gespeichert bleiben dürfen, um die Versorgungskontinuität zu gewährleisten. Diese zusätzliche längere Speicherdauer wird auf ein Drittel des Verordnungszeitraums begrenzt. Im Fall von Einmallizenzen dürfen Daten für die Dauer von 365 Tagen gespeichert werden; nach dreimonatiger Inaktivität sind die Daten zu löschen.
Was ergibt sich aus der Digitalisierungsstrategie des BMG für die DiGA-Branche?
Die vom Bundesministerium für Gesundheit erarbeitete Digitalisierungsstrategie für das Gesundheitswesen und die Pflege vom März 2023 sieht folgende Änderungen vor:
- Ausweitung auf Risikoklasse IIb: DiGAs werden auf Risikoklasse IIb ausgeweitet.
- Hybride Versorgungsprozesse: Es ist geplant, DiGAs als Teil einer leitlinienorientierten Versorgung mit analogen Interventionen zu verzahnen und dadurch hybride Versorgungsprozesse zu etablieren.
- Telemedizinische Leistungen: DiGAs sollen künftig auch umfassendere telemedizinische Versorgungskonzepte unter Einbeziehung von Ärztinnen und Ärzten abbilden können.
- Datenaustausch mit der elektronischen Patientenakte (ePA): DiGAs sollen Daten mit der ePA austauschen dürfen, um sie für Forschungszwecke nutzen zu können und damit die digitale Gesundheitsdatenforschung voranzubringen. Ziel des BMG ist es, dass 80 Prozent aller gesetzlich Versicherten bis 2025 über eine ePA verfügen.
Wie kann infoteam konkret unterstützen?
Mit den Fallstricken und Herausforderungen bei der DiGA-Entwicklung sind wir bestens vertraut. Insbesondere hinsichtlich des Datenschutzes und der Datensicherheit (z. B. Umsetzung der Anforderungen nach DSGVO und BSI TR-03161) gewährleisten wir den höchsten Standard und decken gemeinsam mit unseren Partnern den Weg von der Idee bis zur Listung im „DiGA-Verzeichnis“ vollständig ab. Von Beginn an beachten wir für unsere Kunden die Anforderungen und Änderungen auf technologischer ebenso wie auf regulatorischer Seite und unterstützen bei der strategischen Planung. Kurz gesagt: Wir bieten die komplette Entwicklung von DiGAs quasi „schlüsselfertig“ an.
Hier erfahren Sie mehr zu Digitalen Gesundeheitsanwendungen bei infoteam.
