The undetected trap? Die Black Box der neuen DiGA-Anforderungen

Bei medXteam stehen klinische Daten im Mittelpunkt. In diesem Kontext führen wir als CRO nicht nur klinische Prüfungen mit Medizinprodukten gemäß MDR und ISO 14155 durch, sondern bieten auch sämtliche weiteren Möglichkeiten und Formen der Datenerhebung an. Dieses Mal geht es in diesem Kontext erneut um das Thema der DiGA. Auch hier werden Daten erhoben. Doch dieses Mal steht die Frage im Mittelpunkt: Welche potenziellen Herausforderungen verbergen sich hinter den DiGA-Anforderungen für die Hersteller?

Abkürzungen

BSI             Bundesamt für Sicherheit in der Informationstechnik

DiGA           Digitale Gesundheitsanwendung

ePA             Elektronische Patientenakte

KBV             Kassenärztliche Bundesvereinigung

MDR            Medical Device Regulation; EU-Verordnung 2017/745

QMS            Qualitätsmanagementsystem

Zugrundeliegende Regularien

EU-Verordnung 2017/745 (MDR)
Medizinprodukte-Durchführungsgesetz (MPDG)
ISO 14155
ISO 27001
DiGA Leitfaden V3.4
Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG)
EU-Verordnung 2016/679 (DSGVO)
Technische Richtlinie TR-03161

1. Einleitung

Als digitale Anwendungen im Gesundheitswesen haben DiGAs (Digital Health Applications) in den letzten Jahren an Bedeutung gewonnen. Sie können dazu beitragen, die medizinische Versorgung zu verbessern und den Zugang zu Gesundheitsdienstleistungen zu erleichtern. Sie bieten Patienten die Möglichkeit, ihre Gesundheit zu überwachen und Krankheiten zu managen, während Ärzte wertvolle Daten erhalten, um bessere Entscheidungen zu treffen.

Jedoch birgt der regulatorische Kontext der DiGAs neben den Chancen für Patienten und medizinisches Personal auf der anderen Seite auch Herausforderungen für die Hersteller dieser Produkte. So wurden bereits zahlreiche Anforderungen definiert, welche zu bestimmten Fristen von Herstellen umgesetzt und mit entsprechendem Nachweis belegt werden müssen. Durch diese Anforderungen, welche wir in diesem Beitrag näher beleuchten werden, werden Hersteller unter anderem vor die Kernfrage der Klassifizierung ihres medizinischen Software-Produkts gestellt. Während zum aktuellen Stand die meisten DiGAs als Klasse-I-Produkt eingestuft werden, resultiert womöglich eine Höherklassifizierung aus der Implementierung der neuen Anforderungen. Dabei handelt es sich nicht nur um eine grundsätzlich regulatorische Thematik, auch die Zertifizierung des Qualitätsmanagementsystems (QMS), die resultierende Kosten- und auch Zeitfrage sowie die Argumentation gegenüber Investoren bilden wichtige Säulen dieser Betrachtung.

Berücksichtigt man die Debatte unseres letzten Blog-Beitrags, weshalb Ärzte bei der Verschreibung von DiGAs primär zurückhaltend agieren, so kommt die Frage auf, in welcher Relation die immensen Herausforderungen zu dem potenziellen Nutzen der digitalen Anwendungen in Zukunft stehen werden.

2. Regulatorische Anforderungen an DiGA-Hersteller

Bereits zum aktuellen Stand gilt es als DiGA-Hersteller, einige Anforderungen im Rahmen der Produktentwicklung sowie der unternehmensinternen Prozesse bereits umzusetzen. Das folgende Kapitel beleuchtet sowohl die aktuell geltenden als auch zukünftig umzusetzenden Anforderungen, welche maßgeblich auf dem DiGA-Leitfaden beruhen.

2.1 Geltende Anforderungen

Alle Hersteller benötigen bereits aktuell ein Informationssicherheits-Managementsystem. Es ist sowohl die Etablierung/Implementierung als auch die Zertifizierung als Nachweis gefordert. Es gibt zwei Optionen: gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“.

Aus dem Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) geht zudem hervor, dass unabhängig vom Schutzbedarf der DiGA ein Penetrationstest für alle Komponenten durchgeführt werden muss. Penetrationstests zählen zu den „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ der Anlage 1. Als Basis für die Testkonzeption sind das Durchführungskonzept für Penetrationstests des BSI sowie die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken heranzuziehen. Dem BfArM muss auf Verlangen ein Nachweis über die Durchführung der entsprechenden Tests vorgelegt werden.

2.2 Was kommt nun wann neu dazu?

Die sichere Authentisierung von Versicherten über die digitale Identität muss bis spätestens zum 01.01.2024 implementiert werden. Ursprünglich sollte diese Anforderung bis zum 01.01.2023 implementiert worden sein. Jedoch haben die Krankenkassen bis zum 01.01.2024 die Frist zur Erstellung der digitalen Identität:

"Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477)
§ 291 Elektronische Gesundheitskarte:
 (8) Spätestens ab dem 1. Januar 2024 stellen die Krankenkassen den Versicherten ergänzend zur elektronischen Gesundheitskarte auf Verlangen eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung, die die Vorgaben nach Absatz 2 Nummer 1 und 2 erfüllt und die Bereitstellung von Daten nach § 291a Absatz 2 und 3 durch die Krankenkassen ermöglicht."

Ab dem 01.01.2024 muss ein regelmäßiger, automatisierter Export der durch die DiGA erhobenen Daten in die elektronische Patientenakte (ePA) gewährleistet sein. Die kassenärztliche Bundesvereinigung (KBV) legt die entsprechenden Anforderungen an die semantische und syntaktische Interoperabilität fest.

Ein Nachweis in Form eines Zertifikates nach Artikel 42 DSGVO (Verordnung (EU) 2016/679) über die Erfüllung der Anforderungen an den Datenschutz muss ab dem 01.08.2024 vorhanden sein.

"Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477)
§ 139e Verzeichnis für digitale Gesundheitsanwendungen; Verordnungsermächtigung:
(11) Das Bundesinstitut für Arzneimittel und Medizinprodukte legt im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstmals bis zum 31. März 2022 und dann in der Regel jährlich die Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz nach Absatz 2 Satz 2 Nummer 2 fest. Der Nachweis der Erfüllung der Anforderungen an den Datenschutz durch den Hersteller ist ab dem 1. August 2024 durch Vorlage eines anhand der Prüfkriterien nach Satz 1 ausgestellten Zertifikates nach Artikel 42 der Verordnung (EU) 2016/679 zu führen."

Die technische Richtlinie TR-03161 umfasst die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Anforderungen an Anwendungen im Gesundheitswesen und ist Bestandteil der Anforderungen an die Datensicherheit einer DiGA nach § 139e Absatz 10 SGB V. Ab dem 01.01.2025 ist ein entsprechendes Zertifikat vorzulegen.

"Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477)
§ 139e Verzeichnis für digitale Gesundheitsanwendungen; Verordnungsermächtigung:
(10) Das Bundesamt für Sicherheit in der Informationstechnik legt im Einvernehmen mit dem Bundesinstitut für Arzneimittel und Medizinprodukte und im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstmals bis zum 1. Januar 2024 und dann in der Regel jährlich die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an die Datensicherheit nach Absatz 2 Satz 2 Nummer 2 fest. Das Bundesamt für Sicherheit in der Informationstechnik bietet ab dem 1. Juni 2024 Verfahren zur Prüfung der Einhaltung der Anforderungen nach Satz 1 sowie Verfahren zur Bestätigung der Einhaltung der Anforderungen nach Satz 1 durch entsprechende Zertifikate an. Der Nachweis der Erfüllung der Anforderungen an die Datensicherheit durch den Hersteller ist spätestens ab dem 1. Januar 2025 unter Vorlage eines Zertifikates nach Satz 2 zu führen."

3. Weitere Anforderungen

Grundsätzlich gelten auch für digitale Gesundheitsanwendungen sämtliche regulatorische Anforderungen, welche allgemein für alle Medizinprodukte Anwendung finden. So muss auch für eine digitale Gesundheitsanwendung eine technische Dokumentation erstellt werden, welche zum Nachweis der Erfüllung der grundlegenden Sicherheits- und Leistungsanforderungen der MDR herangezogen wird. Jeder Hersteller eines Medizinproduktes benötigt basierend auf den geltenden Regularien ein QMS, welches auf der ISO 13485 basiert. Dies gilt seit Inkrafttreten der MDR ebenfalls für Hersteller eines Klasse-I-Produkts.

Doch das Spektrum der Anforderungen im digitalen Umfeld wächst weiter. So steht nun beispielsweise ergänzend der Aspekt im Raum, ob eine Form des 14-tägigen Rückgaberechts für die Patienten nach initialer Verschreibung der DiGA eingeführt werden soll.

4. Konsequenzen dieser neuen Anforderungen

Welche Konsequenzen bringen diese zusätzlichen Anforderungen möglicherweise mit sich? Hierzu sei gesagt, dass die Fristen zum jetzigen Stand noch in der Zukunft liegen, weshalb der tatsächliche Umgang mit möglichen Konsequenzen für die Hersteller noch einem hypothetischen Raum gleicht. Realistische Erfahrungswerte werden erst in den kommenden Monaten zu sammeln sein. Dennoch erscheint vor allem ein Aspekt bei Betrachtung der Anforderungen besonders heikel: die Klassifizierung. Die Klassifizierung einer Software basiert grundsätzlich erstmal auf den Klassifizierungsregeln aus Anhang VIII der MDR. Zusätzlich gibt es jedoch gültige Guidance-Dokumente, welche unterstützend herangezogen werden können. Die Regel 11 gibt vor, dass „Software, die dazu bestimmt ist, Informationen zu liefern, die zu Entscheidungen für diagnostische oder therapeutische Zwecke herangezogen werden, zur Klasse IIa [gehört]“.

Stellen Sie sich nun folgendes hypothetisches Szenario vor: Sie als Hersteller haben erfolgreich alle geforderten Exportfunktionalitäten sowie Interoperabilitätsanforderungen umgesetzt. Es ist nun sowohl möglich, einen regelmäßigen und automatisierten Export der mit Ihrer DiGA erhobenen Daten in die ePA des Individuums durchzuführen, als auch gewisse Informationen aus der DiGA als Patient zu exportieren. Ihr DiGA-Konzept beinhaltet unter anderem die Bereitstellung von Material zu Übungen, welche die Patienten zuhause durchführen sollen. Nehmen wir nun an, Frau Müller bekommt Ihre DiGA verschrieben und nutzt diese daraufhin fleißig. Die entsprechend erhobenen Daten werden der ePA von Frau Müller zugeführt, ihr behandelnder Arzt hat somit Zugriff auf diese Daten. Zusätzlich exportiert sich Frau Müller den von Ihnen als Hersteller generisch bereitgestellten Inhalt, welcher ebenfalls Daten zu der individuellen Anwendung von Frau Müller enthält. Beim nächsten Arztbesuch von Frau Müller kommt die Nutzung der DiGA zur Sprache (sowohl der Export von Frau Müller als auch die Daten in der ePA stehen zur Verfügung), woraufhin ihr behandelnder Arzt ihr nahelegt, in ihrem expliziten Erkrankungsfall die Übung Nr. 5 nicht mehr durchzuführen. Somit sind wir laut Regel 11 in der Theorie betrachtet in einem Szenario gelandet, in welchem die DiGA Informationen geliefert hat, die den Arzt dazu bewegt haben, Therapieempfehlungen gegenüber Frau Müller auszusprechen. Das Resultat des Szenarios: aus einem Klasse-I-Produkt wurde durch die Implementierung der Anforderungen ein Klasse-IIa-Produkt.

In den folgenden Kapiteln werden die möglichen Folgen einer solchen Klassifizierung detailliert betrachtet.

4.1 Zertifizierung

Wir haben bereits erläutert, dass seit Inkrafttreten der MDR jeder Hersteller eines Medizinprodukts über ein QMS verfügen muss. Jedoch gilt erst für Hersteller ab einem Klasse IIa Produkt, dass dieses QMS auch zertifiziert werden muss. Für Klasse-I-Hersteller reicht das Aufsetzen und Leben einer solchen Prozessstruktur aus. Sollte somit eine Höherklassifizierung aus den Anforderungen resultieren, muss Ihr QMS zertifiziert werden, damit Sie als Hersteller weiterhin die geltenden Regularien einhalten. Explizit vor dem Hintergrund der Fristen zur MDR-Transition stellt dieser Aspekt wohl mit den zeitkritischsten Faktor dar und Bedarf einer umgehender Auseinandersetzung mit möglichen Klassifizierungsfolgen für Ihr Produkt.

4.2 Kostenfrage/Investoren

Bereits die geltenden Anforderungen ziehen hohe Kosten für die Hersteller nach sich. So gilt es nicht nur ein erfolgreiches Audit der Implementierung des Informationssicherheits-Managementsystems (ISMS) zu absolvieren, auch der Weg der Datenerhebung bis zur erfolgreichen Listung der DiGA ist ein langer und kostenintensiver. Durch die weiteren umzusetzenden Anforderungen kommt nun ein zusätzlicher Kostenblock auf die Hersteller zu, welche wirtschaftlich betrachtet oftmals von der Bereitschaft ihrer Investoren abhängen.

4.3 Technische Dokumentation

Die technische Dokumentation liegt als Nachweis der Erfüllung der grundlegenden Sicherheits- und Leistungsanforderungen der MDR jedem Medizinprodukt zugrunde. Wesentliche Bestandteile dieser technischen Dokumentation umfassen unter anderem das Risikomanagement sowie die Gebrauchstauglichkeitsakte mit den entsprechenden Tests zur Anwendung des Produkts. Im Falle einer Software bildet ebenfalls die Softwareakte einen großen Baustein der Dokumentation. Diese umfasst sowohl die Definition der Anforderungen als auch die tatsächliche Umsetzung in Form der Architektur sowie weitere relevante Prozessdokumentation zur Verifizierung und Validierung der erfolgreichen Entwicklung. Der Detailgrad dieser technischen Dokumentation insbesondere in Bezug auf die Softwareakte hängt unter anderem von der Klassifizierung des Softwareprodukts ab. Sollte somit eine Höherklassifizierung resultieren, gilt es ebenfalls, die technische Dokumentation entsprechend zu überarbeiten, was Kosten mit sich bringt und ggf. Ressourcen im Unternehmen zeitweise bindet. Außerdem muss diese dann ebenfalls von einer Benannten Stelle zertifiziert werden, der Hersteller kann nicht mehr die EU-Konformitätserklärung selbst ausstellen.

5. Relation zum letzten Blogbeitrag

In unserem letzten Blogbeitrag wurde die Zurückhaltung der Ärzte bezüglich der Verschreibung von DiGAs näher betrachtet. Denn trotz zahlreicher Vorteile von DiGAs sind viele Ärzte zögerlich, diese zu verschreiben. Ein Grund dafür ist, dass sie sich nicht sicher sind, ob DiGAs tatsächlich wirksam sind. Es gibt auch Bedenken hinsichtlich der Sicherheit von DiGAs sowie der Datensicherheit. Ein weiterer Faktor ist der Mangel an Zeit und Ressourcen, um Patienten in der Verwendung von DiGAs zu unterstützen. Darüber hinaus sind viele Ärzte besorgt über die zusätzliche Belastung durch die Verschreibung und Überwachung von DiGAs. Und nicht zuletzt die Sorge, ob die Kostenübernahme durch die Krankenkassen wirklich gesichert ist oder ob ein entsprechendes Rezept zu einem Regress führen kann.

Die zuvor beschriebenen Anforderungen an DiGAs beziehen sich weitestgehend auf die Sicherheit und vor allem die Datensicherheit der in Verkehr gebrachten Anwendungen, womit zumindest ein Aspekt der Verschreibungszurückhaltung adressiert würde. Jedoch resultiert aus der Implementierung der Anforderungen ebenfalls ein großes unternehmerisches Risiko für die Hersteller. Betrachtet man den zusätzlichen Kostenblock für die Umsetzung all dieser Aspekte und bezieht gleichermaßen den Tatbestand mit ein, dass die Verschreibung der erfolgreich gelisteten DiGA womöglich nur schleppend voranschreiten könnte, so rutscht der Break-even-Point immer weiter in die Ferne und die Wirtschaftlichkeit der Entwicklung solcher DiGAs muss stark hinterfragt werden.

6. Fazit/Schlussfolgerung

DiGAs haben das Potenzial, die medizinische Versorgung zu verbessern und den Zugang zu digitalen Gesundheitsanwendungen für Patienten zu erleichtern. Den enormen Chancen dieser Produkte stehen jedoch immense Herausforderungen vor allem für die Hersteller gegenüber.

Als maßgebliche Konsequenz der Implementierung der beleuchteten Anforderungen konnten wir die Frage nach der resultierenden Klassifizierung der DiGA identifizieren. Dies betrifft sowohl Hersteller, welche sich noch in der initialen Entwicklung ihres Produkts befinden, als auch solche, die bereits eine vorläufige oder endgültige Listung ihrer DiGA erreicht haben. Die möglicherweise resultierende Höherklassifizierung zieht weitreichende Folgen nach sich – dies betrifft sowohl die Zertifizierung des Qualitätsmanagementsystems und der technischen Dokumentation als auch sämtliche betriebswirtschaftliche Aspekte (z. B. Kosten, Zeit, Investoren). Somit sollten die Hersteller sich zunächst eben dieser Fragestellung nach der korrekten zukünftigen Klassifizierung ihres Medizinprodukts widmen, um weitere Schritte in die Wege leiten zu können.

Die eingangs gestellte Frage, in welcher Relation die immensen Herausforderungen zu dem potenziellen Nutzen der digitalen Anwendungen in Zukunft stehen werden, lässt sich nicht abschließend beantworten. Die Implementierung der Anforderungen gilt es erst zu den definierten Fristen umzusetzen, sodass die resultierenden Konsequenzen für die Hersteller erst in den kommenden Monaten deutlich werden. Die Betrachtung der Vielzahl an Anforderungen zeigt jedoch deutlich, dass die starke Regulierung dieser besonderen Art von medizinischem Software-Produkt dringend hinterfragt werden sollte. Schlussendlich gilt es, dem Patienten einen Mehrwert zu liefern und diesen im Alltag bei der Bewältigung seiner Erkrankungen zu unterstützen und zu begleiten.

7. Wie wir Ihnen helfen können

Gern unterstützen wir Sie im Hinblick auf eine erfolgreiche Listung Ihrer DiGA mittels einer frühzeitigen Evaluierung der Produktklassifizierung basierend auf Ihren geplanten Features.

Ob überhaupt und wenn ja welche klinische Prüfung unter welchen Voraussetzungen und gemäß welchen Anforderungen durchgeführt werden muss, klären wir bei medXteam im Rahmen der Pre-Study Phase: In 3 Schritten ermitteln wir die richtige und kosteneffiziente Strategie in Bezug auf die in Ihrem Fall erforderliche klinische Datenerhebung.

Wenn eine klinische Prüfung durchgeführt werden soll, müssen zuvor grundlegende Sicherheits- und Leistungsanforderungen erfüllt sein. Die Daten aus der klinischen Prüfung münden dann in die klinische Bewertung, die wiederum die Basis für Post-Market-Clinical-Follow-up (PMCF)-Aktivitäten (einschließlich einer PMCF-Studie) darstellt.

Außerdem benötigen alle Hersteller von Medizinprodukten ein Qualitätsmanagementsystem (QMS), auch bei der Entwicklung von Produkten der Klasse I.

Wir unterstützen Sie  während Ihres kompletten Vorhabens mit Ihrem Medizinprodukt, beginnend bei einer kostenlosen Erstberatung, Hilfe bei der Einführung eines QM Systems, Studienplanung und Durchführung bis hin zur Technischen Dokumentation - immer mit primärem Bezug auf die klinischen Daten zum Produkt: von Anfang an bis zum Ende.

Haben Sie jetzt schon erste Fragen?

Eine kostenfreie Erstberatung erhalten Sie hier: kostenlose Erstberatung