"Die massgeblichen Standards müssen nach Möglichkeit bereits verbreitet sein"

Interview: Fridel Rickenbacher

Die Aufgabenverteilung innerhalb der Gemeinschaften der Leistungs­erbringer, die Umsetzung der Datensicherheit im Rahmen der ­vorgesehenen Zertifizierung und die Wahl von Normen, die genügend ­Flexibilität ermöglichen, um künftigen Technologieentwicklungen ­Rechnung tragen zu können, gehören für Ursula Widmer zu den Haupt­herausforderungen der EPDG-Umsetzung.

Artikel erschienen in Swiss IT Magazine 2016/10

     

In welchen Bereichen bestehen die grössten Herausforderungen der EPDG-Umsetzung?
Ursula Widmer: Die grundlegende Herausforderung besteht darin, dass die gesetzlichen Rahmenbedingungen, die technischen Systeme sowie die Organisationen und die Prozesse so ausgestaltet werden müssen, dass sie den unterschiedlichen Ansprüchen der verschiedenen Stakeholder optimal Rechnung tragen. Zu diesen zählen unter anderem Patienten, medizinische Leistungserbringer und ihre Organisationen, Anbieter und Betreiber von technischen Lösungen, kantonale Gesundheitsbehörden oder das Bundesamt für Gesundheit BAG. Naturgemäss stehen diese Ansprüche oft bis zu einem gewissen Grad im Widerspruch. So muss zum Beispiel für die Leistungserbringer wie Ärzte und Spitäler die Handhabung im medizinischen Alltag möglichst einfach und mit möglichst wenig Aufwand verbunden sein. Dies kann jedoch in einem Konflikt mit der Anforderung zur Wahrung des Datenschutzes und der Datensicherheit stehen.
Viel wird hier davon abhängen, ob es gelingen wird, die Aufgabenverteilung zwischen den im EPDG vorgesehenen Gemeinschaften von Leistungserbringern und den einzelnen, einer solchen Gemeinschaft angehörenden Leistungserbringern sinnvoll auszugestalten. Das EPDG bietet erheblichen Spielraum, damit die Beteiligten praktikable Lösungen realisieren können.
Serie EPDG
Am 29. Juni wurde die Anhörung des Ausführungsrechts zum Bundesgesetz über das elektronische Patientendossier (EPDG) abgeschlossen. 2017 soll das Gesetz in Kraft treten. Es stellt grundlegende Weichen für die Digitalisierung des Schweizer Gesundheitswesens. Das swissICT Magazin beleuchtet in einer Serie Technologie- und Security-Aspekte des Gesetzes aus unterschiedlichen Blickwinkeln. Den Anfang macht die ehemalige Präsidentin der Information Security Society Switzerland ISSS.ch, die Rechtsanwältin Dr. Ursula Widmer.
Wie beurteilen Sie den grundsätzlichen Widerspruch zwischen den mehr oder weniger starren Vorgaben von Gesetz und Verordnungen und den sich laufend dynamisch entwickelnden technologischen Innovationen?
Das EDPG und dessen Ausführungsvorschriften sind im Wesentlichen technologieneutral formuliert. Das heisst, es werden keine konkreten technischen Lösungen und Produkte vorgegeben, sondern die Anforderungen definiert, welche von den eingesetzten Technologien zu erfüllen sind. Andererseits ist es für das Funktionieren des elektronischen Patientendossiers als eines Netzwerks von zahlreichen verschiedenen Teilnehmern, in dessen Zentrum eine dezentrale Datenbank steht, zwingend, dass die Interoperabilität sichergestellt ist. Auch sonst müssen einheitliche Standards etwa in Bezug auf die Formate und die Sicherheit eingehalten werden. Die Situation ist vergleichbar mit Telekommunikationsnetzen, wo durch die Normen des ETSI (European Telecommunications Standards Institute) für zahlreiche technische Aspekte einheitliche Vorgaben detailliert definiert werden, welche von den Betreibern von Telekommunikationsnetzen und den Herstellern von Telekommunikationsgeräten einzuhalten sind. Ein anderes Beispiel ist das Internet, wo durch die RFCs (Requests for Comments) einheitlich zu beachtende Standards vorgegeben werden, ohne die eine Kommunikation zwischen einzelnen Rechnern innerhalb des aus zahlreichen Teilnetzen aufgebauten Internet gar nicht möglich wäre.
Wichtig ist, dass in Bezug auf die Festlegung von Standards und weiterer Vorgaben, welche die im Zusammenhang mit dem EPDG massgeblichen einheitlichen Anforderungen definieren, genügend Flexibilität besteht, um künftigen Entwicklungen Rechnung tragen zu können. Dies ist insoweit gewährleistet, als die konkreten Vorgaben über die Verordnung des EDI über das elektronische Patientendossier festgelegt werden. Diese Departementsverordnung kann in einem wesentlich einfacheren Verfahren angepasst werden, als es für Verordnungen des Bunderates oder für das EPDG selbst möglich ist. Wichtig ist auch, dass bei der Wahl der massgeblichen Standards darauf geachtet wird, dass diese nach Möglichkeit bereits bekannt und verbreitet sind. In dieser Beziehung hat die Information Security Society Switzerland ISSS, deren Präsidentin ich bis im Mai dieses Jahres war, in ihrer Stellungnahme zu den Ausführungsvorschriften beispielsweise darauf hingewiesen, dass die im Entwurf vorgesehene Norm ISO/IEC 29115:2013(E) betreffend die Sicherheit von elektronischen Identifikationsmitteln durch andere Normen zu ersetzen ist, welche bei den beteiligten Kreisen bereits verbreitete Beachtung gefunden haben.
Können mit der neuen Gesetzgebung die für die Patienten wichtigen Themen Datenschutz und Datensicherheit hinreichend geregelt und umgesetzt werden?
Dem Datenschutz und der Datensicherheit werden im EPDG und in dessen Ausführungsvorschriften, so wie sie in die Vernehmlassung gegeben wurden, hohes Gewicht eingeräumt. Die Gemeinschaften der Leistungserbringer, bei denen die Verantwortung für die Führung des elektronischen Patientendossiers liegt, werden sich zertifizieren lassen müssen. Damit ist von Gesetzes wegen ein Mechanismus implementiert, der es erlaubt, die Umsetzung der gesetzlichen Anforderungen bezüglich Datenschutz und Datensicherheit durchzusetzen und zu kontrollieren.


Wie stufen Sie die Sicherheit und Resilienz von den gemäss Gesetz zwingend in der CH betriebenen Gemeinschafts-Systemen ein?
Da mit Ausnahme der bekannten Piloten noch keine Systeme bestehen, lassen sich deren Sicherheit und Resilienz auch nicht konkret beurteilen. Letztlich wird es darauf ankommen, wie im Rahmen der Zertifizierung, wie sie für die Gemeinschaften und die von ihnen eingesetzten Systeme vorgesehen sind, den im EPPDG und dessen Ausführungsvorschriften gestellten Anforderungen betreffend Datensicherheit Rechnung getragen wird.
Stehen die vorgesehene informationelle Selbst- und Mit-Bestimmung der Patienten bezüglich ihrer Daten im Widerspruch zu den grundsätzlichen Digitalisierungs-Zielen von eHealth oder sind sie eine Chance?
Gemäss EPDG ist die Einrichtung eines elektronischen Patientendossiers für die Patienten freiwillig. Bereits in diesem Grundsatzentscheid kommt die informationelle Selbstbestimmung zur Geltung. Aufgrund dieser Freiwilligkeit hängt der Erfolg des elektronischen Patientendossiers von der Akzeptanz bei den Patienten ab. Diese Akzeptanz wiederum ist zu einem entscheidenden Teil davon abhängig, dass die Patienten auf der einen Seite im Sinne der informationellen Selbstbestimmung festlegen können, welche Daten im elektronischen Patientendossier für wen zugänglich sind. Auf der anderen Seite müssen sie darauf vertrauen können, dass diejenigen, welche Zugang zu ihren Daten haben, im Umgang mit diesen an die Grundsätze des Datenschutzes gebunden sind. Die informationelle Selbstbestimmung und der Datenschutz stellen damit im EPDG-Konzept integrierende Elemente des Gesamtsystems "Elektronisches Patientendossier" dar.
Gibt es bereits erste Erkenntnisse, wie sich der eHealth-Bereich durch das EPDG verändern wird?
Aktuell ist noch mehr oder weniger alles im Fluss. Das gilt sowohl für die rechtlichen Rahmenbedingungen, wo die Ausführungsvorschriften zum EPDG noch nicht definitiv feststehen, wie auch für die Organisation der Gemeinschaften von Leistungserbringern, die sich noch in der Aufbauphase befinden. Eine Entwicklung, die in dieser Form nicht unbedingt zu erwarten war, zeichnet sich jedoch ab: Die Bildung von Gemeinschaften erfolgt zurzeit schwergewichtig auf der Ebene einzelner Kantone oder in der Kooperation mehrerer Kantone.
Da das elektronische Patientendossier in der Ausprägung gemäss dem EPDG und dessen Ausführungsvorschriften Neuland darstellt, wird man zu Beginn aufmerksam beobachten, wie sich dessen Einführung entwickelt. Sollte sich herausstellen, dass die rechtlichen Rahmenbedingungen den praktischen Gegebenheiten nicht angemessen sind, wird man auch rasch Änderungen vornehmen müssen.

Dr. Ursula Widmer

Rechtsanwältin, Anwaltskanzlei Dr. Widmer & Partner, Spezialisierungen im Telekommunikations-, Informatik-/Internet-Bereich, Lehrbeauftragte ETHZ und Universität Bern, ehemalige Präsidentin Information Security Society Switzerland ISSS.ch




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER