Das Gesundheitswesen durchlebt zurzeit einen grossen Wandel. Prozesse werden digitalisiert, Systeme und medizinische Geräte werden vernetzt und in Kürze wird es mit dem elektronischen Patientendossier (EPD) einen standardisierten Austausch zwischen Leistungserbringer und Patienten und eine organisationsübergreifende Ablage von digitalen Gesundheitsdaten geben. Gleichzeitig nehmen Cyber-Angriffe auf Organisationen im Zusammenhang mit der Gesundheitsversorgung stark zu. Zudem hat die Pandemie im Zusammenhang mit Covid-19 eindrücklich gezeigt, wie wichtig ein gut funktionierendes Gesundheitswesen ist und welche Auswirkungen die Digitalisierung des Gesundheitswesens und eHealth-Projekte auf die Bewältigung der Herausforderungen haben oder haben könnten.

«Unter dem Begriff «eHealth» werden alle elektronischen Gesundheitsdienste zusammengefasst: Mit elektronischen Mitteln werden im Gesundheitswesen die Abläufe verbessert und die Beteiligten vernetzt.»eHealth Suisse

Ausgangslage

Am 15. April 2017 trat das Bundesgesetz über das elektronische Patientendossier (EPDG) in Kraft, welches die Rahmenbedingungen für die Einführung und Verbreitung des elektronischen Patientendossiers regelt. Das Gesetz sieht vor, dass sich Gesundheitseinrichtungen wie Spitäler, Rehakliniken und Psychiatrien sowie Geburtshäuser und Pflegeheime einer zertifizierten Gemeinschaft oder Stammgemeinschaft anschliessen. Die Stammgemeinschaften stellen den dazugehörigen Gesundheitseinrichtungen zertifizierte Prozesse und Informationssysteme zur Verfügung.

Damit eine solche Gemeinschaft oder Stammgemeinschaft zertifiziert werden kann, muss sie die gesetzlich vorgegebenen technischen und organisatorischen Zertifizierungsvoraussetzungen, kurz TOZ, erfüllen. In diesen Zertifizierungsvoraussetzungen ist unter anderem auch vorgegeben, wie der Datenschutz und die Datensicherheit zu gewährleisten sind. Da es sich bei den Daten im EPD um Gesundheitsdaten und demnach um besonders schützenswerte Daten nach Datenschutzgesetz handelt, sind die Anforderungen an die Gemeinschaften und Stammgemeinschaften entsprechend hoch.

Eine Organisation, die sich dieser Herausforderung angenommen hat, ist der Verein eSANITA. Der gemeinnützige Verein mit über 160 Mitgliedern in den Kantonen Graubünden, Glarus, St. Gallen sowie Appenzell Inner- und Ausserrhoden hat sich die Digitalisierung von Kommunikation und Prozessen im Gesundheitswesen zum Ziel gesetzt. Im Rahmen dessen hat der Verein eine Stammgemeinschaft gegründet, welche zukünftig unter anderem das EPD in der Ostschweiz anbietet.

Aufbau des Managementsystems für Datenschutz und Datensicherheit

Um die hohen Anforderungen im Zusammenhang mit dem Datenschutz und der Datensicherheit systematisch und nachhaltig umzusetzen, hat der Verein eSANITA in den vergangenen zwei Jahren mit Unterstützung der Fachspezialisten von Redguard ein Managementsystem für Datenschutz und Datensicherheit (DSDS-MS) aufgebaut. Das besagte Managementsystem umfasst alle beteiligten Organisationen (Stammgemeinschaft, Gesundheitseinrichtungen und Dienstleister). Es definiert die notwendigen Rollen und die damit verbundenen Verantwortlichkeiten und besteht aus Vorgaben und Umsetzungsanforderungen, Prozessen zur Aufrechterhaltung des Sicherheitsniveaus sowie Aktivitäten zur Sensibilisierung der beteiligten Personen. Das Managementsystem erfüllt alle relevanten Anforderungen aus den TOZ und orientiert sich an der international anerkannten Normenreihe ISO/IEC 27000.

Zusammenarbeit mit Erfolg

Grundlage für die Zusammenarbeit bildete das von Redguard entwickelte Referenz-Managementsystem für Datenschutz und Datensicherheit im EPD. Das Referenzsystem wurde mit den Erfahrungen aus der Erstellung der Umsetzungshilfe für eHealthSuisse, ergänzt mit praktischer Projekterfahrung aus dem Gesundheitswesen, vorgängig erarbeitet. Die Umsetzung im Umfeld des Vereins eSANITA bestand demnach in erster Linie darin, die Blueprints entsprechend den technischen und organisatorischen Rahmenbedingungen anzupassen. Besagte Anpassungen sind in enger Zusammenarbeit mit den verantwortlichen Personen des Vereins eSANITA und den Fachspezialisten der Redguard erfolgt.

Die intensive und konstruktive Zusammenarbeit zwischen dem Verein eSANITA und Redguard hat letztendlich seinen Teil zum Erfolg beigetragen. Am 18. Dezember 2020 durfte der Verein eSANITA als erste kantonsübergreifende Stammgemeinschaft in der Schweiz das Zertifikat von KPMG entgegennehmen, welches dem Verein bescheinigt, dass die Stammgemeinschaft die Zertifizierungsanforderung und entsprechend auch die Anforderungen an den Datenschutz und die Datensicherheit erfüllt.

«Mit der Expertise von Redguard bringen wir nicht nur unseren Verein eSANITA, sondern auch die uns angeschlossenen Gesundheitseinrichtungen in technischer sowie auch prozessualer und organisatorischer Sicht auf ein höheres Sicherheitsniveau.»Richard Patt, Geschäftsführer eSANITA

Zurzeit unterstützt Redguard den Verein eSANITA bei der Operationalisierung des DSDS-Managementsystems sowie beim Onboarding der beteiligten Gesundheitseinrichtungen. Dem baldigen Start des elektronischen Patientendossiers in der Ostschweiz – unter Einhaltung der hohen Sicherheitsstandards – steht also nichts mehr im Wege.

Ein Blick in die Zukunft mit Redguard

Durch einen parlamentarischen Vorstoss, welcher am 26. September 2019 vom Nationalrat und am 08. März 2021 vom Ständerat angenommen wurde, wird der Bundesrat beauftragt, per Gesetz in Zukunft alle Leistungserbringer bzw. Gesundheitsfachpersonen zu verpflichten, sich einer solchen zertifizierten Gemeinschaft oder Stammgemeinschaft anzuschliessen. Damit erhält nicht nur das EPD schweizweit mehr Relevanz, auch die Gesundheitseinrichtungen sowie die Gesundheitsfachpersonen selbst müssen sich vermehrt mit den Themen Datenschutz und Datensicherheit auseinandersetzen.

Gehören auch Sie dazu? Mit unseren kompetenten Fachspezialisten an Ihrer Seite unterstützen wir Sie gerne bei der proaktiven Umsetzung der datenschutz- und sicherheitsrelevanten Anforderungen rund um das EPD. Nebst Stammgemeinschaften unterstützen wir auch stationäre und ambulante Gesundheitseinrichtungen im Zusammenhang mit dem EPD.