§ 8 DiPAV

(1) Das Bundesinstitut für Arzneimittel und Medizinprodukte kann von dem Hersteller die Vorlage von Zertifikaten verlangen, die die Erfüllung der Anforderungen nach den §§ 3, 4 und 6 ganz oder teilweise nachweisen, insbesondere, sofern entsprechende Zertifikate aufgrund von Sicherheits-, Qualitäts- oder Umweltnormen bereits vorgesehen sind oder sonstige anerkannte Zertifikate zum Nachweis der Anforderungen nach den §§ 3, 4 und 6 geeignet sind. Die nach Satz 1 vorzulegenden Zertifikate sollen zum Zeitpunkt der Übermittlung an das Bundesinstitut für Arzneimittel und Medizinprodukte in der Regel nicht älter als zwölf Monate sein. Durch die Vorlage eines Zertifikates nach Satz 1 gilt der Nachweis der Anforderungen nach den §§ 3, 4 und 6 in dem durch das Zertifikat angegebenen Umfang grundsätzlich als erbracht. § 3 Absatz 3 und § 4 Absatz 2 bleiben unberührt. (2) Der Nachweis nach Absatz 1 erfolgt unter Vorlage eines Zertifikates einer nach den Vorgaben der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30). 30) für diese Tätigkeit akkreditierten Zertifizierungsstelle. Das Bundesinstitut für Arzneimittel und Medizinprodukte darf auf seinen Internetseiten bekannt machen, welche Zertifikate geeignet sind, die Erfüllung der Anforderungen nach den §§ 3, 4 und 6 zu belegen. (3) Der Hersteller weist die Erfüllung der Anforderungen an die Datensicherheit nach § 5 Absatz 2 Nummer 1 ab dem in § 139e Absatz 10 Satz 3 des Fünften Buches Sozialgesetzbuchzbuch genannten Datum durch Vorlage eines Zertifikates nach § 78a Absatz 7 des Elften Buches Sozialgesetzbuch nach. Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an die Datensicherheit zudem ergänzend die Vorlage eines geeigneten Zertifikates oder Nachweises über ein Informationssicherheitsmanagementsystem verlangen. Der Hersteller ist verpflichtet, das Zertifikat nach Satz 1 unverzüglich vorzulegen, wenn die Verfahren nach § 78a Absatz 7 des Elften Buches Sozialgesetzbuch zur Verfügung stehen. Bis zum Vorliegen der Verfahren weist der Hersteller abweichend von Satz 1 die Erfüllung der zu gewährleistenden Anforderungen an die Datensicherheit durch eine Erklärung nach § 4 Absatz 6 Satz 2 der Digitale Gesundheitsanwendungen-Verordnung nach. Erfolgt der Nachweis der Erfüllung der Anforderungen an die Datensicherheit abweichend von Satz 1 zunächst durch eine Erklärung nach Satz 4, kann das Bundesinstitut für Arzneimittel und Medizinprodukte ergänzend die Vorlage von Berichten über die Durchführung von Penetrationstests oder die Vorlage von Sicherheitsgutachten über die Komponenten und Dienste der digitalen Pflegeanwendung verlangen.

(4) Der Hersteller weist die Erfüllung der Anforderungen an den Datenschutz nach § 5 Absatz 2 Nummer 2 durch ein Zertifikat nach § 78a Absatz 8 des Elften Buches Sozialgesetzbuch nach. Die Zertifizierungsstelle nach § 78a Absatz 8 des Elften Buches Sozialgesetzbuch muss für die Erstellung des Zertifikates nach § 39 des Bundesdatenschutzgesetzes akkreditiert und zugelassen sein. Der Hersteller ist verpflichtet, das Zertifikat nach Satz 1 unverzüglich vorzulegen, wenn ein Zertifikat nach § 78a Absatz 8 des Elften Buches Sozialgesetzbuch zur Verfügung steht. Bis zum Vorliegen der Verfahren weist der Hersteller abweichend von Satz 1 die Erfüllung der zu gewährleistenden Anforderungen an den Datenschutz durch eine Erklärung nach § 4 Absatz 6 Satz 2 der Digitale Gesundheitsanwendungen-Verordnung nach. Erfolgt der Nachweis der Erfüllung der Anforderungen an den Datenschutz abweichend von Satz 1 zunächst durch eine Erklärung nach Satz 4, kann das Bundesinstitut für Arzneimittel und Medizinprodukte ergänzend die Vorlage von weiteren Nachweisen oder Gutachten verlangen.