MenüZurück
Wird geladen.

15.06.2022

22:00

Gesundheitsdaten

Herstellerverbände kritisieren neue BSI-Richtlinie

Von: Annette Dönisch

BVMed, Bitkom und SVDGV kritisieren, dass die Richtlinie für mehr Datensicherheit zu spät komme. Die Nutzerfreundlichkeit der Anwendungen werde zu wenig berücksichtigt.

Herstellerverbände kritisieren, dass die Nutzerfreundlichkeit zu wenig berücksichtig werde. obs

Richtlinien für Digitale Gesundheitsanwendungen

Herstellerverbände kritisieren, dass die Nutzerfreundlichkeit zu wenig berücksichtig werde.

Berlin Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Anforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Das Amt habe Erkenntnisse, dass „beispielsweise mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme über Schwachstellen im Bereich der IT-Sicherheit verfügen“, teilt das BSI auf Anfrage von Handelsblatt Inside mit.

Das BSI habe nun Sicherheitsanforderungen für Gesundheitsanwendungen verfasst, um Hersteller und Betreiber dabei zu unterstützen, Schwachstellen bei der Entwicklung zu begegnen, heißt es weiter. Grundsätzlich seien Gesundheitsdaten als besonders schützenswert zu betrachten. Das BSI hat daher in der vergangenen Woche drei sogenannte Technische Richtlinien veröffentlicht: Für mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme.

Herstellerverbände üben Kritik

Der Bundesverband Medizintechnologie (BVMed), der die Hersteller von Medizintechnik vertritt, kritisiert, dass die Richtlinie erst jetzt veröffentlicht wurde. Der Verband geht davon aus, dass die Richtlinie für DiGA-Hersteller ab dem 1. Januar 2023 verpflichtend ist. Die Zeit für Hersteller von DiGA und DiPA, um die Anforderungen bis zum Jahresende zu erfüllen, sei nun zu kurz. Es gebe auch keine akkreditierten Zertifizierungsstellen. „Hier bedarf es deshalb an längeren Übergangsfristen“, teilt der BVMed Handelsblatt Inside mit. Auch der Digitalverband Bikom spricht sich für eine Verlängerung der Frist aus.

Sowohl der BVMed, Bitkom als auch der Spitzenverband digitale Gesundheitsversorgung (SVDGV) betonen gegenüber Handelsblatt Inside, dass DiGA von Menschen mit Krankheiten verwendet werden. Sie müssten daher nachweisen, besonders nutzerfreundlich zu sein. „Dieses hohe Gut sollten wir auf keinen Fall durch gewisse Vorgaben an Datensicherheit gefährden“, teilt der SVDGV mit.

Auch Bitkom schreibt: „Die Sicherheitsanforderungen durch das BSI schießen für DiGA an manchen Stellen über das Ziel hinaus.“ Bestimmte Anmeldeverfahren, etwa eine Zwei-Faktor-Authentifizierung, seien zwar Standard, würden für Patientinnen und Patienten aber eine unnötige hohe Hürde darstellen. „Gefragt sind innovative Kriterien, die Sicherheit und Nutzerfreundlichkeit in Einklang bringen“, fordert der Digitalverband.

BSI-Richtlinie für weitere Anwendungen

Eine erste Version der BSI-Richtlinie TR-03161 für mobile Anwendungen wurde bereits 2020 veröffentlicht. Sie ist unter anderem für die elektronische Patientenakte (ePA) und das E-Rezept verpflichtend, teilt die Gematik auf Anfrage mit. Die aktuelle Version erweitert die Anforderungen an mobile Anwendungen um die Bereiche Web-Anwendungen und Hintergrundsysteme.

Die Fachanwältin für Medizinrecht und Sozialrecht Charlotte Guckenmus erläutert die Aufteilung der Richtlinien. „Neu ist, dass viel tiefgründigere Regelungen geschaffen wurden“, sagt Guckenmus zu Handelsblatt Inside. Unterschieden werde zwischen Anwendungen für mobile Endgeräte (Smartphones), für Web-Anwendungen (Anwendungen auf dem PC) als auch Hintergrundsysteme. Hintergrundsysteme könnten etwa eine App auf dem Smartphone mit einer Anwendung auf dem Computer vernetzen.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×