Protection des données et sécurité informatique pour les dispositifs médicaux et DiGA
Les solutions de santé numériques font l’objet d’une surveillance particulière : les autorités, les organismes payeurs et les patients attendent les normes les plus élevées en matière de protection des données de santé sensibles. BAYOOCARE vous accompagne pour répondre à ces exigences de manière systématique et démontrable – de la conception initiale à l’exploitation courante de vos dispositifs médicaux, logiciels en tant que dispositifs médicaux et applications numériques de santé.
Votre valeur ajoutée
Nous vous apportons la sécurité juridique et la clarté organisationnelle. Vous pouvez prouver que vous respectez les exigences du MDR/IVDR, du RGPD, de la BDSG et, pour les applications numériques de santé, du DVG, du DiGAV et des directives techniques du BSI. Au lieu de maintenir des systèmes parallèles pour la qualité, la sécurité de l’information et la protection des données, vous établissez un système de gestion intégré qui exploite les synergies et évite les redondances. Vous réduisez les risques de responsabilité, renforcez la confiance des patients et augmentez l’acceptation par les organismes payeurs, les organismes notifiés et l’Institut fédéral des médicaments et des dispositifs médicaux.
Exigences réglementaires : Protection des données et sécurité informatique en tant qu’obligation légale
Dans le secteur de la santé, les exigences en matière de protection des données à caractère personnel sont particulièrement strictes. Le RGPD définit les données de santé comme des données de catégorie spéciale nécessitant une protection accrue. Le MDR et l’IVDR exigent explicitement une sécurité informatique conforme à l’état de l’art pour tous les dispositifs médicaux – y compris les logiciels en tant que dispositifs médicaux et les systèmes en réseau.
Les applications numériques de santé sont soumises à des obligations supplémentaires : La loi sur les soins numériques et la DiGAV définissent en détail la manière dont la protection et la sécurité des données doivent être mises en œuvre, du consentement légitime à la minimisation des données, en passant par l’authentification, le cryptage et la journalisation.
Depuis le 1er avril 2022, un système de gestion de la sécurité de l’information conforme à la norme ISO 27001 ou à la norme ISO 27001 basée sur IT-Grundschutz (norme BSI 200-2) est requis pour figurer dans l’annuaire DiGA. Le BfArM exige à cet effet un certificat correspondant. En outre, depuis le 1er janvier 2025, les fabricants de DiGA doivent satisfaire aux exigences de la directive technique BSI TR-03161 et en apporter la preuve par un certificat.
Les organismes notifiés et les auditeurs attendent une approche systématique conforme aux normes reconnues. Ceux qui ne répondent pas à ces exigences risquent des retards d’homologation, des écarts lors des audits et, dans le pire des cas, des sanctions en vertu du RGPD ou des obligations imposées par les autorités de contrôle.
Nous ne considérons pas la protection des données et la sécurité informatique de manière isolée, mais comme une partie intégrante de votre organisation existante. Notre approche allie conformité réglementaire et pragmatisme de mise en œuvre.
Analyse de la situation de départ et des exigences
Nous clarifions avec vous quelles exigences réglementaires et normatives s’appliquent concrètement à votre portefeuille de produits – par exemple MDR, IVDR, DSGVO, BDSG, DiGAV, directives BSI et normes comme ISO 27001, IEC 81001-5-1, IEC 62304 ou ISO 82304. Sur cette base, nous identifions les lacunes dans les processus, documents et mesures techniques existants et développons un plan d’action prioritaire.
Mise en place ou extension du système de gestion
De nombreux fabricants disposent déjà d’un système de gestion de la qualité conforme aux normes ISO 13485 ou ISO 9001. Nous étendons ce système de manière ciblée à la sécurité de l’information et à la protection des données, de sorte que vous établissiez un système de gestion intégré plutôt que des structures parallèles. Cela inclut la définition des rôles et des responsabilités, comme les responsables de la sécurité de l’information et les responsables de la protection des données, l’élaboration de directives et de procédures, des concepts de formation pour vos collaborateurs ainsi que des lignes de rapport et des voies d’escalade claires.
Analyse systématique des risques
Ensemble, nous identifions les actifs pertinents : données des patients et des utilisateurs, applications, systèmes dorsaux, interfaces avec des systèmes tiers et des services en nuage.
Nous évaluons les menaces telles que l’accès non autorisé, la fuite de données, les ransomwares, les attaques par déni de service distribué et les vulnérabilités techniques.
Sur cette base, nous définissons des mesures de protection organisationnelles et techniques appropriées, en nous basant sur des modèles reconnus tels que ISO 27001, IT-Grundschutz ou le guide de l’institut Johner sur la sécurité informatique.
Ancrage dans le cycle de vie du produit
La protection des données et la sécurité informatique sont obligatoirement intégrées dans toutes les phases du cycle de vie du produit – de la définition des objectifs et des exigences à la validation, au lancement et à la surveillance du marché, en passant par l’architecture, l’implémentation et la vérification. Nous vous aidons à mettre en œuvre la sécurité par la conception et la confidentialité par la conception, à établir des pratiques de développement logiciel sûres et des stratégies de test axées sur la sécurité, telles que l’analyse de code, le test flou et les tests d’intrusion. Nous vous accompagnons également dans la mise en place de processus réglementés pour les mises à jour, les correctifs et la gestion des incidents.
Preuve et capacité d’audit
Nous nous chargeons de la mise en place de la documentation nécessaire : évaluations des risques, listes de traitement, descriptions des mesures techniques et organisationnelles, concepts de sécurité, rapports sur les tests et les audits ainsi que les affectations aux exigences réglementaires telles que les check-lists DiGAV.
Vous créez ainsi une preuve compréhensible vis-à-vis des organismes notifiés, des autorités de surveillance de la protection des données, des auditeurs et du BfArM.
Nos services de protection des données et de sécurité informatique pour les dispositifs médicaux, les DiGA et les solutions de santé en réseau comprennent :
Nous prenons en charge la conception et l’introduction d’un système de gestion de la sécurité de l’information selon la norme ISO 27001 ou sur la base du BSI-IT-Grundschutz. Nous intégrons la sécurité de l’information et la protection des données dans les systèmes de gestion de la qualité existants, par exemple selon ISO 13485 ou ISO 9001. Nous créons et optimisons des directives, des processus et des instructions de travail concernant la sécurité de l’information, la protection des données et le développement sécurisé de logiciels.
Nous réalisons ou animons des analyses de risques axées sur la protection des données et la sécurité informatique, y compris la définition et la hiérarchisation des mesures. Nous vous conseillons sur les mesures de sécurité techniques, telles que les concepts d’accès, le cryptage, la journalisation, les stratégies de sauvegarde et le durcissement des systèmes. Nous accompagnons les audits internes et externes, soutenons les projets de certification tels que ISO 27001 ou BSI TR-03161, ainsi que les audits réglementaires et les preuves à fournir au BfArM.
Offres d’approfondissement spécialisé
La protection des données et la sécurité informatique pour les dispositifs médicaux et les DiGA soulèvent de nombreuses questions. Nous avons répondu aux plus fréquentes pour vous – des exigences ISMS à la certification ISO-27001 en passant par les obligations des fabricants de DiGA. Votre question ne figure pas dans la liste ? N’hésitez pas à nous contacter.
