Inter­pel­la­ti­on Feri (17.3531): Digi­ta­li­sie­rung im Gesund­heits­we­sen

Eingereichter Text

Es ist nichts dage­gen ein­zu­wen­den, wenn Post, SBB, UBS, Swis­s­com, Credit Suis­se oder wei­te­re Fir­men eine E-ID her­aus­ge­ben. Das tun sie ja bereits und wenn sich die­se Unter­neh­men dar­um bemü­hen, ihren E-ID-Ser­vice zu ver­bes­sern und zu ver­ein­heit­li­chen, so kann man das nur begrü­ssen. Das Ver­trau­en in einen E-ID-Ser­vice ist zen­tral und muss vom Staat selbst (oder von einem beauf­trag­ten Drit­ten) sicher­ge­stellt wer­den. Schliess­lich geht es bei der E-ID um die Grund­satz­fra­ge, wie die bestehen­den Daten­in­fra­struk­tu­ren des Staa­tes respek­ti­ve staats­na­her Betrie­be für die All­ge­mein­heit erschlos­sen wer­den sol­len. Des­halb stellt sich die Fra­ge des Ver­trau­ens gegen­über E-ID beson­ders auch im Gesund­heits­we­sen.

Ich bit­te des­halb den Bun­des­rat, fol­gen­de Fra­gen zu beant­wor­ten:

  1. Wie kann der Pati­ent, die Pati­en­tin wirk­lich sicher gehen, dass auch mit E-ID der Daten­schutz gewähr­lei­stet ist?
  2. Was unter­nimmt er für die Inte­gra­ti­on der staat­li­chen digi­ta­len Iden­ti­tät (E-ID) als ver­trau­ens­för­dern­de Mass­nah­me und als Grund­la­ge zur Sicher­heit bei der Digi­ta­li­sie­rung im Gesund­heits­we­sen?
  3. Gibt es bereits eine Chan­cen-Risi­ken-Ana­ly­se in Bezug auf die Digi­ta­li­sie­rung im Gesund­heits­we­sen?

Stellungnahme des Bundesrats vom 30. August 2017

  1. Die heu­te für die Zer­ti­fi­zie­rung von Her­aus­ge­bern von Iden­ti­fi­ka­ti­ons­mit­teln gül­ti­gen Schutz­pro­fi­le und ISO-Nor­men (z. B. ISO/IEC 27001:2013 und ISO/IEC 29115:2013) mes­sen dem Daten­schutz und der Daten­si­cher­heit eine gro­sse Bedeu­tung zu; dies nicht nur auf der tech­ni­schen Ebe­ne, son­dern auch bezüg­lich das in die Her­aus­ga­be eines Iden­ti­fi­ka­ti­ons­mit­tels invol­vier­te Per­so­nal sowie betref­fend die ein­zu­hal­ten­den Pro­zes­se. Damit wird sicher­ge­stellt, dass adäquat auf sicher­heits­re­le­van­te Ereig­nis­se wie die Kom­pro­mit­tie­rung des Iden­ti­fi­ka­ti­ons­mit­tels reagiert wird. Die­se Schutz­pro­fi­le und Stan­dards gel­ten glei­cher­ma­ssen für pri­va­te wie für staat­li­che Her­aus­ge­ber von Iden­ti­fi­ka­ti­ons­mit­teln. Die Ein­hal­tung die­ser Anfor­de­run­gen wird bereits heu­te im Aus­füh­rungs­recht zum Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier (EPDG, SR 816.1) für Iden­ti­fi­ka­ti­ons­mit­tel, die zum Zugriff auf das elek­tro­ni­sche Pati­en­ten­dos­sier ver­wen­det wer­den dür­fen, ein­ge­for­dert (Art. 23 der Ver­ord­nung über das elek­tro­ni­sche Pati­en­ten­dos­sier, EPDV, SR 816.11). Die zukünf­ti­gen Aus­füh­rungs­be­stim­mun­gen zum Bun­des­ge­setz über aner­kann­te elek­tro­ni­sche Iden­ti­fi­zie­rungs­ein­hei­ten (E-ID-Gesetz) wer­den das Schutz­ni­veau der EPDV respek­tie­ren und wider­spie­geln. Damit wird sicher­ge­stellt wer­den, dass Iden­ti­fi­ka­ti­ons­mit­tel nach dem E-ID-Gesetz mit dem EPDG und des­sen Rechts­nor­men kon­form sind.
  2. Der Bun­des­rat hat vom 22. Febru­ar 2017 bis zum 29. Mai 2017 die Ver­nehm­las­sung E-ID-Gesetz durch­ge­führt. Die­ser Ent­wurf sieht vor, dass geeig­ne­te pri­va­te oder öffent­li­che Her­aus­ge­ber von Iden­ti­fi­ka­ti­ons­mit­teln von einer Aner­ken­nungs­stel­le auf Bun­des­ebe­ne eine Zulas­sung zur Her­aus­ga­be von staat­lich aner­kann­ten elek­tro­ni­schen Iden­ti­fi­ka­ti­ons­mit­teln erlan­gen kön­nen. Dabei sol­len bei­spiels­wei­se auch bereits exi­stie­ren­de oder sich im Auf­bau befin­den­de Syste­me, wie etwa die Pro­jek­te von Post und SBB sowie Ban­ken und Swis­s­com, vom Bund aner­kannt wer­den kön­nen. Die so aner­kann­ten Iden­ti­fi­ka­ti­ons­mit­tel wer­den zu gege­be­ner Zeit auch im Gesund­heits­we­sen ein­ge­setzt wer­den kön­nen. Bis das E-ID-Gesetz in Kraft ist, wer­den die Her­aus­ge­ber der für die Zugrif­fe auf das elek­tro­ni­sche Pati­en­ten­dos­sier vor­ge­schrie­be­nen elek­tro­ni­schen Iden­ti­fi­ka­ti­ons­mit­tel das im EPDG defi­nier­te Zer­ti­fi­zie­rungs­ver­fah­ren durch­lau­fen müs­sen. Die­ses Ver­fah­ren ist – ähn­lich wie beim E-ID-Gesetz – auf die bestehen­den Rege­lun­gen im Bereich der elek­tro­ni­schen Signa­tu­ren abge­stimmt, so dass für aner­kann­te Her­aus­ge­ber von Iden­ti­fi­ka­ti­ons­mit­teln Syn­er­gi­en bei den ver­lang­ten Zer­ti­fi­zie­run­gen ent­ste­hen.
  3. Bund und Kan­to­ne arbei­ten seit 10 Jah­ren an der Umset­zung der “Stra­te­gie eHe­alth Schweiz” vom 27. Juni 2007. Im Rah­men die­ser Arbei­ten wur­den stets auch die Chan­cen und Risi­ken der Digi­ta­li­sie­rung dis­ku­tiert und die Ergeb­nis­se die­ser Dis­kus­sio­nen im Rah­men der lau­fen­den Arbei­ten berück­sich­tigt. So wur­de z. B. bei der Erar­bei­tung der recht­li­chen Grund­la­gen für das elek­tro­ni­sche Pati­en­ten­dos­sier den The­men Daten­schutz und Daten­si­cher­heit ein beson­de­res Augen­merk geschenkt. Auch bei der Erar­bei­tung der Emp­feh­lun­gen von eHe­alth Suis­se, der Kom­pe­tenz- und Koor­di­na­ti­ons­stel­le von Bund und Kan­to­nen, zum Umgang mit mHe­alth-Anwen­dun­gen wie Gesund­heits-Apps oder so genann­ten “Weara­bles” wie Fit­ness­arm­bän­der war die Dis­kus­si­on der Chan­cen und Risi­ken die­ser neu­en Tech­no­lo­gie wie auch der Fra­gen rund um die The­men Daten­schutz und Daten­si­cher­heit die Grund­la­ge für die For­mu­lie­rung der Emp­feh­lun­gen (vgl. www.e-health-suisse.ch > Gemein­schaf­ten & Umset­zung > eHe­alth Akti­vi­tä­ten > mHe­alth).

Im Übri­gen wird des­halb im Rah­men der Umset­zung der Stra­te­gie “Digi­ta­le Schweiz”, die der Bun­des­rat im April 2016 ver­ab­schie­det hat, zur­zeit gemein­sam von Bund und Kan­to­nen die “Stra­te­gie eHe­alth Schweiz 2.0” erar­bei­tet (vgl. u.a. Stel­lung­nah­me des Bun­des­ra­tes zu 17.3435 Po Heim. Digi­ta­le Gesund­heits­agen­da. Chan­cen und Risi­ken sowie zu 17.3434 Po Graf-Lit­scher. Poten­ti­al und Rah­men­be­din­gun­gen für die digi­ta­le Nach­hal­tig­keit im Gesund­heits­we­sen).
Zudem wer­den im Rah­men der natio­na­len Cyber-Risi­ko-Stra­te­gie (NCS) und der natio­na­len Stra­te­gie zum Schutz kri­ti­scher Infra­struk­tu­ren (SKI) die Resi­li­enz des kri­ti­schen Teil­sek­tors “Ärzt­li­che Betreu­ung und Spi­tä­ler” mit Fokus auf Ver­wund­bar­kei­ten der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gi­en und auf Cyber­ri­si­ken unter­sucht und Mass­nah­men zu deren Ver­bes­se­rung aus­ge­ar­bei­tet. Die­se Arbei­ten wer­den regel­mä­ssig aktua­li­siert, um geän­der­ten Rah­men­be­din­gun­gen (z. B. Ein­satz und Nut­zung neu­er Tech­no­lo­gi­en im Bereich der Iden­ti­fi­ka­ti­ons­mit­tel) Rech­nung zu tra­gen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.