Die EN ISO 13485 ist die Norm, die ein Qualitätsmanagementsystem für Medizinprodukte (QMS) beschreibt. Eine etabliertes QMS ist die Voraussetzung für ein Konformitätsbewertungsverfahren, mit dem eine DiGA zu einem erstattungsfähigen Medizinprodukt wird.

Der Aufbau eines Managementsystems nach ISO/IEC 27001 versetzt eine Organisation in die Lage, Daten und Informationen von Kunden und anderen Parteien wirksam zu schützen, deren Rechte und Interessen zu wahren und so die gesetzlichen Anforderungen zu erfüllen. Mit einem zertifizierten ISMS weist die Organisation nach, dass sie die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Werte schützt.

Die ISO 27799 beinhaltet Ergänzungen zur ISO/IEC 27001 die bei der Einführung eines ISMS im Gesundheitswesen zu beachten sind. Sie wendet sich damit an Anwender, die mit Gesundheitsdaten umgehen und berücksichtigt die besonderen Anforderungen und Umgebungsbedingungen im medizinischen Bereich. In dieser Norm werden viele detaillierte Vorschläge zur Erweiterung der allgemeinen Schutz-Maßnahmen aus der ISO/IEC 27001 dargestellt und auch ergänzende Maßnahmen aufgeführt.

Für die DIN EN ISO 27799 gibt es keine getrennte Zertifizierung, die besonderen Anforderungen werden im Rahmen der ISO/IEC 27001 mit überprüft.

Penetrationstests, liefern wertvolle Daten zum Status der Verwundbarkeit von Systemen unter realen Bedingungen. Penetrationstests sind eine starke Ergänzung zu einem Managementsystem für die Informationssicherheit (ISMS). Sie sind für digitale Gesundheitsanwendungen verbindlich vorgeschrieben. Die zugrundeliegende Richtlinie ist die TR03161.

Die hier vorgestellte Kombination ist für Hersteller von DiGA und deren Auftragsentwickler (Software) relevant und durch die DiGAV verpflichtend.

Um Ihnen mehr Information und eine solide Hilfestellung zu geben, hat unsere Muttergesellschaft GUTcert einen Leitfaden und eine Checkliste entwickelt.

Mit dem Digitale-Versorgung-Gesetz (DVG) wurde das Sozialgesetzbuch V so geändert, dass eine neue Gruppe von Medizinprodukten, die „Digitalen Gesundheitsanwendungen” erstattungsfähig wurden. Mit der „Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung“ (DiGAV) wurden die Vorgaben für die DiGA konkretisiert. Hersteller von DiGA müssen gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte BfArM eine Zertifizierung nachweisen für

• Informationssicherheitsmanagementsysteme: ISO/IEC 27001 (ab 01.04.2022) und
• Medizinprodukte- Qualitätsmanagementsysteme DIN EN ISO 13485:2021
• Zusätzlich werden nach § 139e SGB V Zertifikate benötigt für
• die Datensicherheit nach BSI Vorgaben (ab 01.01.2023) und
• den Datenschutz (ab 01.04.2023)

Für die Zertifizierung zu Datensicherheit und Datenschutz sind noch keine abschließenden Verfahren benannt. Wir werden an dieser Stelle über weitere Aktualisierungen informieren.

Nutzen Sie den Vorteil der gemeinsamen Zertifizierung durch GUTcert und Berlin Cert: Mit einem kombinierten Zertifizierungsverfahren sparen Sie zusätzlichen Aufwand, über den gesamten Prozess begleitet Sie Ihr persönlicher Ansprechpartner.