Das neue Bundesgesetz über das elektronische Patientendossier (EPDG) soll 2017 in Kraft treten. Welche Auswirkungen hat das für die verschiedenen Akteure? Darüber informierten sich rund 230 Vertreterinnen und Vertreter von Spitälern, Krankenkassen, Behörden, Industrie, Forschung und Pharma. Die Vielfalt der Teilnehmenden spiegelte sich auch in den Referaten wider:
Datenschutz und Datensicherheit im EPDG
Nicolai Lütschg, Projektleiter EPDG beim Bundesamt für Gesundheit BAG, ging zu Beginn seines Referats auf die Strategie des Bundesrates „Gesundheit2020“ ein. Diese sieht vier Handlungsfelder vor: Chancengleichheit, Lebensqualität, Transparenz und Versorgungsqualität. Den letzten beiden Feldern ist die Einführung und Förderung des elektronischen Patientendossiers zugeschrieben – mit dem übergeordneten Ziel, den stärkeren Einsatz von eHealth voranzutreiben. Dabei spielen Datenschutz und Datensicherheit eine zentrale Rolle. Nicolai Luetschg erläuterte die verschiedenen Sicherheitsmerkmale, die das EPDG für Patientinnen und Patienten, Gesundheitsfachpersonen, die dezentrale Architektur und die Zertifizierung vorsieht. Er sieht den Datenschutz und die Datensicherheit als absolut kritisch für die Akzeptanz des elektronischen Patientendossiers. Deshalb arbeitet das Bundesamt für Gesundheit BAG eng mit der Industrie, Datenschützern und der Zivilgesellschaft zusammen. Als grösste Herausforderung sieht Lütschg den Spagat zwischen Wirtschaftlichkeit und Sicherheit.
Sicherheitspanne bei der Einführung des elektronischen Patientendossiers im Kanton Wallis
Die ehemalige Datenschutzbeauftragte des Kantons Wallis, Prof. Ursula Sury, Hochschule Luzern – Informatik, referierte über die Einführung des elektronischen Patientendossiers im Kanton Wallis. Dieser plante als zweiter Kanton das elektronische Patientendossier per 1. September 2015 einzuführen. Doch bereits vor der Einführung wies die Piratenpartei Schweiz auf die Sicherheitslücken hin, die mit Hilfe einer externen Prüfung festgestellt wurde:
- Veraltete Standards bei der Verschlüsselung der Webseiten
- Einsatz von Google Analytics
Die Komplexität des Projekts, mangelhafte Kontrolle und ein völlig unzureichendes Budget für die Datenschutzkommission nannte Prof. Ursula Sury als Gründe dafür, dass die Sicherheitslücken so spät bemerkt wurden. Die Lessons Learned formulierte sie zum Schluss ihres Referats wie folgt:
- Datenschutz und Datensicherheit ist Chefsache
- Sorgfältige Planung des Konzepts
- Bewusstsein fürs Thema haben
Kontrollierter Einsatz des elektronischen Patientendossiers
Prof. Dr. Günter Karjoth von der Hochschule Luzern ging in seinem Referat unter anderem auf die Herausforderung ein, wie der Zugriff auf das elektronische Patientendossier im Behandlungskontext in eine technische Lösung umgewandelt werden kann. Er stellte als „State of the Art“ das Konzept der rollenbasierten Zugriffskontrolle vor und erläuterte die Herausforderungen, die die komplexe Rechtevergabe mit sich bringt:
- Zeitliche Beschränkung der Rechte
- Definition von rollen und Gruppen
- Schreibrechte
- Stellvertreterregelung
Gemäss Karjoth sind neben dem komplexen Rechtesystem auch die Integration in bestehen Informationssysteme, die Vielzahl von Akteuren und die Governance und Accountability weitere Herausforderungen die es mit der Einführung des elektronischen Patientendossiers zu meistern gilt.
Fallbeispiel: Tirol Spitäler
Ing. Mag. Christian Stark, IT-Projektleiter Klinische Informationssysteme, Tirol Kliniken GmbH, informierte über die österreichische Elektronische Gesundheitsakte (ELGA), die im Dezember 2015 in zwei Bundesländern gestartet ist. Gemäss Christian Stark ähnelt das Konzept, das der ELGA zu Grunde liegt, demjenigen der Schweiz stark, jedoch gibt es ein paar Ausnahmen: Im Gegensatz zur freiwilligen Anmeldung für das elektronischen Patientendossier in der Schweiz ist in Österreich jede und jeder Teilnehmer/in der ELGA – ausser er oder sie nutzt die Möglichkeit eines Opt-Outs.
Die ELGA ist für das gesamte österreichische Gesundheitswesen verpflichtend. Jedoch dürfen darin bis anhin nur ausgewählte Inhalte registriert werden. Beispielsweise dürfen pathologische Ergebnisse aufgrund fehlender Guidelines noch nicht in der ELGA einsehbar sein. «Denn was passiert, wenn der Patient oder die Patientin den Befund sieht, bevor der Arzt es ihm oder ihr erklären kann?», fragt Christian Stark das Publikum. Der erfahrene IT-Projektleiter gibt der Schweiz am Ende seines Referats folgenden Tipp mit auf den Weg:
«Fängt frühzeitig an – es ist sehr komplex!»
Wissen austauschen
Während der Pausen sprachen Experten von RCA Security, der Hochschule Luzern und der Healthbank in Kurzreferaten über ihre Erkenntnisse. Der Nachmittag bot den Teilnehmerinnen und Teilnehmern die Gelegenheit, ihr Wissen in drei Breakout Sessions zu erweitern und sich mit anderen Expertinnen und Experten zu vernetzen. Die abschliessende Podiumsdiskussion rundete die zweite Durchführung der Information Security in Health Conference ab. Unter der Leitung von Moderatorin Constanze Jecker diskutierten vier Experten aus verschiedenen Perspektiven die Herausforderungen und Aussichten des Elektronischen Patientendossiers: Martin Pfister (Gesundheitsdirektor Kanton Zug), Christian Peter (geschäftsführender Partner HEP & Partner GmbH), Urs Stoffel (eHealth - Sicherheitsinfrastruktur und Datenerhebung, FMH) und Adrian Schmid (Leiter «eHealth Suisse»).
