Die Technische Richtlinie TR-03161

Ein Leitfaden für sichere Gesundheitsanwendungen (DiGA)

Die Technische Richtlinie TR-03161 enthält detaillierte Anforderungen für Anwendungen im Gesundheitswesen, insbesondere für Digitale Gesundheitsanwendungen (DiGA). Ziel dieser Richtlinie ist es, DiGA-Herstellern einen umfassenden Leitfaden zur Implementierung sicherer Lösungen zu bieten. Denn weil DiGA sensible und persönliche Daten speichern, ist die Einhaltung eines hohen Sicherheitsstandards unerlässlich.

Aufbau der Richtlinie TR-03161

Die TR-03161 ist in mehrere Dokumente unterteilt, die sich auf verschiedene Arten von Anwendungen konzentrieren:

Mobile Anwendungen

Web-Anwendungen

Hintergrund-systeme

Diese Dokumente enthalten eine Vielzahl von Prüfaspekten, die in verschiedene Bereiche unterteilt sind. Die Richtlinie beschreibt nicht nur die Methodik der Prüfung, sondern liefert auch detaillierte Testcharakteristiken zu jedem Aspekt.

Diese Testcharakteristiken erläutern, wie die Anforderungen durch Prüfende bewertet werden. Dabei reichen die Themen von der Prüfung des Quellcodes und der Datenarchitektur über die Authentifizierung von Nutzer:innen bis hin zur sicheren Einrichtung der notwendigen Infrastruktur und der Kommunikation zwischen den Systemen.

Derzeit gibt es nur wenige Prüfstellen, die eine TR-03161 Prüfungen durchführen können.

Umsetzung der Richtlinie

DiGA-Hersteller müssen frühzeitig erkennen, welche Anforderungen bereits erfüllt sind und wo noch Handlungsbedarf besteht. Ein erster Schritt ist die Durchführung einer GAP-Analyse, um den aktuellen Stand zu dokumentieren. Dies ermöglicht es ihnen, gezielt Maßnahmen zu ergreifen, um Lücken zu schließen.

Alle Anforderungen sollten dokumentiert werden und nachvollziehbar sein. Dies erleichtert sowohl den Herstellern als auch den Prüfenden die Beurteilung, ob alle Aspekte erfüllt sind.

Gemäß den Vorgaben des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) muss eine Zertifizierung nach TR-03161 spätestens ab dem 1. Januar 2025 vorliegen. Eine frühzeitige Vorbereitung auf die Prüfung und Zertifizierung ist daher entscheidend und sollte frühzeitig eingeplant werden.

Änderungen durch die Richtlinie TR-03161

Die TR-03161 bringt für Hersteller von DiGA und Gesundheitsanwendungen einige wichtige Änderungen und Vorgaben mit sich:

AUTHENTIFIZIERUNG UND AUTHENTISIERUNG

Vorgeschrieben ist unter anderem die Zwei-Faktor-Authentifizierung sowie die erneute Authentifizierung für bestimmte Funktionen der App.
BENUTZERKONTO

Benutzerkonten müssen über den Benutzernamen und den DiGA-Freischaltcode zurückgesetzt werden können. Kund:innen sollten ihre DiGA-Codes für eventuell lange Verordnungszeiträume (bis zu 12 Monate) aufbewahren.
SICHERHEITSHINWEISE

Bei der Verwendung unsicherer Anmeldeverfahren muss ein entsprechender Dialog angezeigt werden, um den Nutzenden auf die Unsicherheit hinzuweisen. Dies gilt auch für weit verbreitete biometrische Authentifizierungsverfahren.
USABILITY

Einige Maßnahmen können die Benutzerfreundlichkeit beeinträchtigen, sind jedoch notwendig, um die Sicherheit zu gewährleisten.
GERÄTEINFORMATIONEN

Kund:innen werden über die Verwendung unsicherer Geräte informiert.
NUTZERSESSIONS UND ZUSTIMMUNGEN

Es gibt detaillierte Vorgaben zur Einsicht in Nutzersessions und zur Einholung von Zustimmungen innerhalb der DiGA.
SPEICHERUNG UND KOMMUNIKATION

Die Anforderungen an die Speicherung und Kommunikation von Daten der Nutzer:innen sind weitaus strenger.

TR-03161 – gar nicht so kompliziert, oder?

Bist Du unsicher, wie Du die Anforderungen der Richtlinie TR-03161 für Deine DiGA umsetzen sollst oder benötigst Du einen Readiness-Check?

Wir unterstützen Dich gerne dabei, alle Anforderungen der Richtlinie zu erfüllen – ob beratend an Deiner Seite oder als Dein Partner, der Deine DiGA normkonform realisiert.

Hier findest Du einen Übersicht über unseren DiGA-Service – oder kontaktiere uns doch einfach direkt.

Wie der Zertifizierungsprozess bis zur Deadline am 1. Januar 2025 vorangeht? Wir teilen unsere Erkenntnisse auch weiterhin mit Dir.

jetzt kontaktieren