Nicht nur für DiGA-Hersteller ist die Regelung zum C5-Testat aus dem DigiG relevant:
Betroffen sind laut SGB V alle “Leistungserbringer im Sinne des Vierten Kapitels und Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter”. Dazu gehören zum Beispiel auch Anbieter von Praxissoftware. Nicht eingeschlossen sind Anbieter von allgemeinen Gesundheitsapps, die nicht zum Leistungskatalog der gesetzlichen Krankenkassen gehören.
Die neuen verpflichtenden Fristen betreffen in erster Linie die Auswahl des Cloud-Anbieters, der die Gesundheitsdaten verarbeitet:
Diese Cloud-Anbieter müssen…
- seit Juli 2024 ein sogenanntes C5-Testat (Typ 1) und
- ab Juli 2025 ein C5-Testat (Typ 2) vorweisen.
Ein Problem ist aktuell die geringe Auswahl an Cloud-Anbietern mit C5-Testat, oder dass vorhandene C5-Testate eines Cloud-Anbieters nicht zwingend auch den Einsatzbereich Gesundheitsdaten umfassen.
Der C5-Prüfkatalog umfasst 17 Themengebiete mit insgesamt 125 Kriterien, die teilweise auch durch andere Standards erfüllt werden. Für die Verarbeitung von Gesundheitsdaten führt an der Testierung für Cloud-Anbieter aktuell kaum ein Weg vorbei. Eine Einzelprüfung der Kriterien über bereits vorliegende Zertifikate ist zwar möglich, allerdings sehr aufwändig und gegebenenfalls nicht lückenlos möglich. So deckt zum Beispiel eine Zertifizierung nach ISO 27001 nicht alle Aspekte eines C5-Testats ab.Die Komplexität eines solchen Audits wird klar beim Blick in die vom BSI veröffentlichte Kreuzreferenztabelle unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2022_Referenztabelle_ISO27001.html