Interpellation Feri (17.3531): Digitalisierung im Gesundheitswesen
Eingereichter Text
Es ist nichts dagegen einzuwenden, wenn Post, SBB, UBS, Swisscom, Credit Suisse oder weitere Firmen eine E‑ID herausgeben. Das tun sie ja bereits und wenn sich diese Unternehmen darum bemühen, ihren E‑ID-Service zu verbessern und zu vereinheitlichen, so kann man das nur begrüssen. Das Vertrauen in einen E‑ID-Service ist zentral und muss vom Staat selbst (oder von einem beauftragten Dritten) sichergestellt werden. Schliesslich geht es bei der E‑ID um die Grundsatzfrage, wie die bestehenden Dateninfrastrukturen des Staates respektive staatsnaher Betriebe für die Allgemeinheit erschlossen werden sollen. Deshalb stellt sich die Frage des Vertrauens gegenüber E‑ID besonders auch im Gesundheitswesen.
Ich bitte deshalb den Bundesrat, folgende Fragen zu beantworten:
- Wie kann der Patient, die Patientin wirklich sicher gehen, dass auch mit E‑ID der Datenschutz gewährleistet ist?
- Was unternimmt er für die Integration der staatlichen digitalen Identität (E‑ID) als vertrauensfördernde Massnahme und als Grundlage zur Sicherheit bei der Digitalisierung im Gesundheitswesen?
- Gibt es bereits eine Chancen-Risiken-Analyse in Bezug auf die Digitalisierung im Gesundheitswesen?
Stellungnahme des Bundesrats vom 30. August 2017
- Die heute für die Zertifizierung von Herausgebern von Identifikationsmitteln gültigen Schutzprofile und ISO-Normen (z. B. ISO/IEC 27001:2013 und ISO/IEC 29115:2013) messen dem Datenschutz und der Datensicherheit eine grosse Bedeutung zu; dies nicht nur auf der technischen Ebene, sondern auch bezüglich das in die Herausgabe eines Identifikationsmittels involvierte Personal sowie betreffend die einzuhaltenden Prozesse. Damit wird sichergestellt, dass adäquat auf sicherheitsrelevante Ereignisse wie die Kompromittierung des Identifikationsmittels reagiert wird. Diese Schutzprofile und Standards gelten gleichermassen für private wie für staatliche Herausgeber von Identifikationsmitteln. Die Einhaltung dieser Anforderungen wird bereits heute im Ausführungsrecht zum Bundesgesetz über das elektronische Patientendossier (EPDG, SR 816.1) für Identifikationsmittel, die zum Zugriff auf das elektronische Patientendossier verwendet werden dürfen, eingefordert (Art. 23 der Verordnung über das elektronische Patientendossier, EPDV, SR 816.11). Die zukünftigen Ausführungsbestimmungen zum Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (E‑ID-Gesetz) werden das Schutzniveau der EPDV respektieren und widerspiegeln. Damit wird sichergestellt werden, dass Identifikationsmittel nach dem E‑ID-Gesetz mit dem EPDG und dessen Rechtsnormen konform sind.
- Der Bundesrat hat vom 22. Februar 2017 bis zum 29. Mai 2017 die Vernehmlassung E‑ID-Gesetz durchgeführt. Dieser Entwurf sieht vor, dass geeignete private oder öffentliche Herausgeber von Identifikationsmitteln von einer Anerkennungsstelle auf Bundesebene eine Zulassung zur Herausgabe von staatlich anerkannten elektronischen Identifikationsmitteln erlangen können. Dabei sollen beispielsweise auch bereits existierende oder sich im Aufbau befindende Systeme, wie etwa die Projekte von Post und SBB sowie Banken und Swisscom, vom Bund anerkannt werden können. Die so anerkannten Identifikationsmittel werden zu gegebener Zeit auch im Gesundheitswesen eingesetzt werden können. Bis das E‑ID-Gesetz in Kraft ist, werden die Herausgeber der für die Zugriffe auf das elektronische Patientendossier vorgeschriebenen elektronischen Identifikationsmittel das im EPDG definierte Zertifizierungsverfahren durchlaufen müssen. Dieses Verfahren ist – ähnlich wie beim E‑ID-Gesetz – auf die bestehenden Regelungen im Bereich der elektronischen Signaturen abgestimmt, so dass für anerkannte Herausgeber von Identifikationsmitteln Synergien bei den verlangten Zertifizierungen entstehen.
- Bund und Kantone arbeiten seit 10 Jahren an der Umsetzung der “Strategie eHealth Schweiz” vom 27. Juni 2007. Im Rahmen dieser Arbeiten wurden stets auch die Chancen und Risiken der Digitalisierung diskutiert und die Ergebnisse dieser Diskussionen im Rahmen der laufenden Arbeiten berücksichtigt. So wurde z. B. bei der Erarbeitung der rechtlichen Grundlagen für das elektronische Patientendossier den Themen Datenschutz und Datensicherheit ein besonderes Augenmerk geschenkt. Auch bei der Erarbeitung der Empfehlungen von eHealth Suisse, der Kompetenz- und Koordinationsstelle von Bund und Kantonen, zum Umgang mit mHealth-Anwendungen wie Gesundheits-Apps oder so genannten “Wearables” wie Fitnessarmbänder war die Diskussion der Chancen und Risiken dieser neuen Technologie wie auch der Fragen rund um die Themen Datenschutz und Datensicherheit die Grundlage für die Formulierung der Empfehlungen (vgl. www.e‑health-suisse.ch > Gemeinschaften & Umsetzung > eHealth Aktivitäten > mHealth).
Im Übrigen wird deshalb im Rahmen der Umsetzung der Strategie “Digitale Schweiz”, die der Bundesrat im April 2016 verabschiedet hat, zurzeit gemeinsam von Bund und Kantonen die “Strategie eHealth Schweiz 2.0” erarbeitet (vgl. u.a. Stellungnahme des Bundesrates zu 17.3435 Po Heim. Digitale Gesundheitsagenda. Chancen und Risiken sowie zu 17.3434 Po Graf-Litscher. Potential und Rahmenbedingungen für die digitale Nachhaltigkeit im Gesundheitswesen).
Zudem werden im Rahmen der nationalen Cyber-Risiko-Strategie (NCS) und der nationalen Strategie zum Schutz kritischer Infrastrukturen (SKI) die Resilienz des kritischen Teilsektors “Ärztliche Betreuung und Spitäler” mit Fokus auf Verwundbarkeiten der Informations- und Kommunikationstechnologien und auf Cyberrisiken untersucht und Massnahmen zu deren Verbesserung ausgearbeitet. Diese Arbeiten werden regelmässig aktualisiert, um geänderten Rahmenbedingungen (z. B. Einsatz und Nutzung neuer Technologien im Bereich der Identifikationsmittel) Rechnung zu tragen.