Interpellation Graf-Litscher (16.3462): Die Sicherheit der elektronischen Patientendaten gewährleisten
Im Rat noch nicht behandelt
Eingereichter Text
Der Bundesrat wird gebeten, folgende Fragen zu beantworten:
1. Sind die gemäss dem Bundesgesetz über das elektronische Patientendossier (EPDG) im elektronischen Patientendossier abgespeicherten Patientendaten vor einem missbräuchlichen Zugriff sicher, sodass ein zweiter “Fall Wallis” verhindert werden kann?
2. Sind Patientendaten in elektronisch geführten Krankengeschichten bei ambulanten und stationären Leistungserbringern vor missbräuchlichen Zugriffen ausreichend geschützt, dass Hackerangriffe in Zukunft keinen Erfolg haben?
3. Braucht es zusätzliche Rechtsgrundlagen für die Sicherheit der Daten auf nationaler oder kantonaler Ebene für elektronische Patientendossiers und elektronische Krankengeschichten?
4. Kann der Bund gemäss EPDG nationale Hackerangriffe simulieren? Oder fällt die Durchführung von Hackerangriffen in die Kompetenz der Kantone und braucht es dazu eine explizite Rechtsgrundlage?
Begründung
Die obligatorische Einführung des elektronischen Patientendossiers für den stationären Sektor rückt näher. Das EPDG und die entsprechenden Verordnungen sollen im 1. Quartal 2017 in Kraft treten. Im Vorfeld der Einführung sind folgende Probleme aufgetreten:
1. Der Kanton Wallis hat das elektronische Patientendossier nicht wie geplant, im September 2015 eingeführt. Dies aufgrund von Sicherheitsbedenken des kantonalen Datenschützers. Es wurden schwerwiegende Sicherheitsprobleme in der Verschlüsselung der Webseiten festgestellt.
2. Cyber-Kriminelle griffen Arztpraxen an. Die Hacker verschlüsseln elektronische Patientendaten, um diese unbrauchbar zu machen. Gegen Geld entschlüsseln die Hacker die Patientendaten wieder.
Den grössten Nutzen wird das elektronische Patientendossier dann entfalten, wenn Gesundheitsfachpersonen und Patienten dieses benutzen, die Dossiers mit behandlungsrelevanten Daten gefüllt werden. Wesentliche Voraussetzung hierfür ist das Vertrauen der Beteiligten ins System. Gemäss einer Umfrage des “Tages-Anzeigers” vom 28. Mai 2016 sind mehr als 90 Prozent der Teilnehmer der Auffassung, dass ihre Patientendaten von ihrem Arzt nicht genügend geschützt werden. Der elektronische Austausch von Patientendaten wird nur ein Erfolg, wenn sowohl Gesundheitsfachpersonen als auch Patienten respektive die Bevölkerung überzeugt sind, dass dieser Austausch so sicher wie möglich abläuft. Die Zeit bis zum Inkrafttreten des EPD sollte genutzt werden, um Sicherheitsbedenken auszuräumen.
Stellungnahme des Bundesrats vom 31. August 2016
Die Patientendaten in den von ambulanten und stationären Leistungserbringern elektronisch geführten Krankengeschichten (sogenannte “Primärsysteme” der Spitäler und Arztpraxen) sind bezüglich Datenschutz von denjenigen im elektronischen Patientendossier (sogenanntes “Sekundärsystem”) zu unterscheiden. Erstere unterliegen den Bestimmungen des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) oder bei Einrichtungen mit öffentlichem Leistungsauftrag den jeweiligen kantonalen Datenschutzgesetzen (vgl. Antwort 3). Das Bundesgesetz vom 19. Juni 2015 über das elektronische Patientendossier (EPDG; SR 816.11) regelt die Voraussetzungen für die Bearbeitung der Daten des elektronischen Patientendossiers, welche über eine separate technische Infrastruktur erfolgt. Ergänzend hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Leitfäden veröffentlicht: Beispielsweise den Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich (Juli 2002) und den Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (August 2015), welche sich auf das DSG und die entsprechende Verordnung beziehen.
1. Missbräuchliche Zugriffe auf elektronische Datenverarbeitungssysteme können nie mit hundertprozentiger Sicherheit ausgeschlossen werden. Dies gilt auch für die Daten des elektronischen Patientendossiers. Die Entwürfe der Ausführungsbestimmungen zum EPDG, zu denen das Eidgenössische Departement des Innern (EDI) vom 22. März 2016 bis zum 29. Juni 2016 die Anhörung (verfügbar unter www.admin.ch > Bundesrecht > Vernehmlassungen > Abgeschlossene Vernehmlassungen und Anhörungen > 2016 > EDI) durchgeführt hat, enthalten technische und organisatorische Vorgaben (auf Art. 12 Abs. 1 Bst. b EPDG basierende Zertifizierungsvoraussetzungen), um die primären Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten) zu erreichen. Die Vorgaben fordern von den zu zertifizierenden Gemeinschaften und Stammgemeinschaften insbesondere Massnahmen zur Prävention und zur Detektion von und zur Reaktion auf Sicherheitsereignisse. Darunter sind Massnahmen wie beispielsweise die regelmässige Überprüfung von Sicherheitsschwachstellen oder Massnahmen zur Erkennung von Angriffen zu verstehen. Auch die im “Fall Wallis” erkannten Risiken und Bedrohungen wurden berücksichtigt. Die Umsetzung und Einhaltung der Zertifizierungsvoraussetzungen durch die Gemeinschaften und Stammgemeinschaften sowie auch durch die Herausgeber von Identifikationsmitteln wird durch akkreditierte Zertifizierungsstellen überprüft werden. Zusätzlich wird “eHealth Suisse”, das Koordinationsorgan von Bund und Kantonen, Empfehlungen für die EPDG-konforme Umsetzung von Datenschutz und Datensicherheit zu Händen der betroffenen Akteure erarbeiten.
2./3. Elektronische Krankengeschichten (Primärsysteme), unterliegen den einschlägigen eidgenössischen oder kantonalen datenschutzrechtlichen Bestimmungen. Gemäss aktuellem Kenntnisstand des Bundesrates entspricht das allgemeine Sicherheitsniveau im Gesundheitswesen leider noch nicht demjenigen anderer Branchen (z. B. Finanzen, Versicherungen, Verwaltung). Der Bundesrat sieht hier Handlungsbedarf.
Für das elektronische Patientendossier (Sekundärsystem), werden die Vorgaben zu Datenschutz und Datensicherheit auf nationaler Ebene in den Bestimmungen des EPDG und im noch zu erlassenden Ausführungsrecht geregelt (vgl. Antwort 1). Die Einhaltung dieser und anderer Vorgaben wird in Zukunft regelmässig über die obligatorische Zertifizierung der Akteure (Gemeinschaften, Stammgemeinschaften, Herausgeber von Identifikationsmitteln) überprüft werden (vgl. Antwort 1). Weiterhin gelten, soweit anwendbar, die Bestimmungen des DSG. Am 15. Mai 2013 hat der Bundesrat zudem den Umsetzungsplan für die “Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS)” verabschiedet. Es wurde geprüft, ob anwendbares Recht die nötigen Grundlagen für den Schutz gegen Cyber-Risiken enthält (Massnahme 16 des NCS). Die Massnahme wurde 2014 abgeschlossen und ergab keinen Bedarf nach koordinierenden Regelungen. Der Bundesrat erachtet zusätzliche Rechtsgrundlagen als derzeit nicht notwendig.
Zu erwähnen ist, dass der Bundesrat am 1. April 2015 das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt hat, ihm bis Ende August 2016 einen Vorentwurf für eine Revision des DSG zu unterbreiten; mit dem Ziel, die Hoheit von Personen über ihre Daten allgemein zu stärken sowie die Transparenz der Bearbeitung personenbezogener Daten zu erhöhen.
4. Das EPDG enthält keine Grundlage für Aktivitäten des Bundes zur Überprüfung von Datenschutz und Datensicherheit direkt bei den Akteuren und Systemen des elektronischen Patientendossiers. Im Rahmen des Zertifizierungsverfahrens (vgl. Antwort 1) kann die Zertifizierungsstelle sogenannte Penetrationstests zur aktiven Schwachstellensuche zur Anwendung bringen. Ausserhalb dieser Verfahren besteht für den Bund keine Möglichkeit, derartige Aktivitäten durchzuführen. Davon unbenommen kommt für die zivilrechtlich konstituierten Gemeinschaften und Stammgemeinschaften das DSG zur Anwendung. Der EDÖB als zuständige Aufsichtsbehörde besitzt im Rahmen des Geltungsbereiches des DSG die Kompetenz, Abklärungen durchzuführen und Empfehlungen auszusprechen. Weitergehende Entscheidkompetenzen für den EDÖB sind in der DSG-Revision vorgesehen. Kantonale Datenschutzgesetze kommen für die Datenbearbeitung im elektronischen Patientendossier folglich nicht zur Anwendung und den kantonalen Datenschutzaufsichtbehörden obliegt hier keine Aufsichtskompetenz.