Skip to content

A quick question to start with

How secure are apps on prescription?

How safe are prescription apps? Find out the answer on #explore.

Eine isometrische Illustration zeigt vernetzte medizinische Technologien auf türkisem Hintergrund, darunter Stethoskop, Tablet, Mikroskop, DNA-Helices und Medikamente. Die gepunkteten Verbindungslinien zwischen den Objekten symbolisieren die digitale Vernetzung im modernen Gesundheitswesen und Telemedizin.

19. November 2020

Health care is becoming ever more digital: Since the beginning of October, in Germany doctors have been permitted to prescribe certain apps alongside tablets, therapies and prostheses. Tobias Kippert from TÜViT explains what conditions a medicine app needs to satisfy before a health insurance provider will be willing to pay for it and how things stand with the security of such applications.

 

Privacy and Security of DiGA Apps

Wie werden die Apps hinsichtlich Datenschutz und Sicherheit überprüft?

Wie bei allen anderen Anforderungen muss der Antragsteller gemäß der DiGA-Verordnung Angaben zu Datenschutz und Sicherheit in Form einer Selbsterklärung vorlegen. Diese Erklärung wird anschließend vom BfArM auf Plausibilität geprüft. Das Bundesinstitut stützt sich dabei ausschließlich auf die von den Herstellern bereitgestellten Informationen und führt keine eigenen Sicherheits- und Datenschutzprüfungen durch. Ob die Apps tatsächlich so sicher sind, wie behauptet wird, lässt sich nicht abschließend nachweisen. Tatsächlich haben IT-Sicherheitsforscher einige dieser Apps bereits genauer unter die Lupe genommen und Schwachstellen entdeckt. So konnten sie beispielsweise mithilfe der Funktion „Passwort vergessen“ feststellen, ob eine bestimmte E-Mail-Adresse auf der Plattform für Patienten mit Angststörungen registriert war, und daraus Rückschlüsse auf entsprechende psychische Probleme ziehen. Zudem war der an die betreffenden E-Mail-Adressen gesendete Zurücksetzungscode nur vier Zeichen lang und 24 Stunden lang gültig. Durch automatisches Durchprobieren vieler verschiedener Codes wäre es möglich gewesen, das Passwort zu ändern und das Konto zu übernehmen. Der Hersteller gibt an, dieses Problem inzwischen behoben zu haben. Doch solche negativen Berichte können natürlich das Vertrauen der Öffentlichkeit in diese digitalen Gesundheitsanwendungen ernsthaft beeinträchtigen.

Wie lässt sich dieses Problem angehen?

Eine Möglichkeit wäre, eine unabhängige dritte Partei mit der Prüfung zu beauftragen. Im Idealfall würde die App einem Penetrationstest unterzogen, um mögliche Schwachstellen in der Datensicherheit aufzudecken, damit diese anschließend behoben werden können. Auch eine allgemeine Überprüfung der Datensicherheits- und Datenschutzmaßnahmen wäre sinnvoll. Natürlich können solche komplexen Tests für die Start-ups, die so oft für die Entwicklung dieser Apps verantwortlich sind, eine große finanzielle Hürde darstellen. Sie können jedoch auch dafür sorgen, dass die Selbsterklärung, die sie beim BfArM einreichen wollen, von einer unabhängigen dritten Partei geprüft wird. Da der Fragebogen zur Selbsterklärung sehr detailliert ist, wäre es auch auf dieser Grundlage möglich, den Auditprozess gemeinsam mit dem App-Hersteller durchzugehen. Es ist davon auszugehen, dass die Datensicherheit ab Januar 2022 zumindest durch ein ISMS-Zertifikat nachgewiesen werden muss. App-Hersteller sollten jedoch bereits jetzt IT-Sicherheitsexperten hinzuziehen, um das Risiko eines Vertrauensverlusts aufgrund potenzieller Sicherheitslücken abzuwenden, und sie sollten gut auf die ISMS-Zertifizierung vorbereitet sein.

Which apps are covered by health insurance

Which apps have been available on prescription since October? 

Tobias Kippert: The health insurance companies now accept all those apps that have been included in the “DiGA” directory after scrutiny by the Federal Institute for Drugs and Medical Devices (Bundesinstitut für Arzneimittel und Medizinprodukte, BfArM). DiGA stands for “digitale Gesundheitsanwendung” (“digital health application”). To date, five apps and web applications have been listed in this DiGA directory. They are aimed at people who are struggling with conditions including tinnitus, insomnia, obesity, panic disorders and osteoarthritis. In principle, any application that can help with mental or physical problems and meets the legal requirements can be included in this directory.

And what are the specific requirements for an app to be recognised as a “digital health application”?

The first requirement is that the application has already been CE-certified as a medical device. The manufacturer must then apply to the Federal Institute for Drugs and Medical Devices (BfArM) for inclusion. On the basis of this self-disclosure and the submitted documents, the BfArM verifies within three months whether the app meets the requirements for security, functionality, data protection, information security, quality and interoperability as set out in the Digital Health Applications Regulation (DiGAV). The manufacturer must also demonstrate “positive therapeutic effects” for the application. In other words, it has to prove that the app is actually medically effective. If it hasn’t yet carried out the required studies but meets all the other requirements, it may also apply for provisional inclusion. The necessary studies must then be submitted within one year. In exceptional cases, this period may be extended.

#explore - The Online Magazine by TÜV NORD

This is an article from #explore. #explore is a digital journey of discovery into a world that is rapidly changing. Increasing connectivity, innovative technologies, and all-encompassing digitalization are creating new things and turning the familiar upside down. However, this also brings dangers and risks: #explore shows a safe path through the connected world.