Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

ISSS Stellungnahme zum Ausführungsrecht zum Bundesgesetz über das elektronische Patientendossier (EPDG)

Das Bundesgesetz über das elektronische Patientendossier (EPDG) wurde vom Parlament im Juni 2015 genehmigt und es wurde kein Referendum dagegen ergriffen. In der Folge hat das Eidgenössischen Departement des Innern (EDI) bzw. das Bundesamt für Gesundheit (BAG) die Entwürfe für die Ausführungsvorschriften erarbeitet. Im März 2016 wurde über diese eine Anhörung eröffnet. ISSS hat Ende Juni fristgerecht ihre Stellungnahme eingereicht. Die Stellungnahme ist auf der ISSS Website publiziert.

Die Ausführungsvorschriften zum EPDG umfassen 2 Verordnungen des Bundesrates sowie 1 Verordnung des EDI mit dazugehörigen Anhängen. Für den Bereich Informationssicherheit sind zwei dieser drei Verordnungen relevant.

Es ist dies einmal die Bundesratsverordnung über das elektronische Patientendossier (EPDV), welche die Erstellung und den Betrieb des elektronischen Patientendossier, insbesondere die Vertraulichkeitsstufen für die darin enthaltenen Daten, Zugriffsberechtigungen, die Vergabe und Verwaltung der Patientenidentifikationsnummer, die Rolle der Gemeinschaften und Stammgemeinschaften, die Identifikationsmittel für den Zugriff durch Patienten und Gesundheitsfachpersonen auf das elektronische Patientendossier und die Zertifizierung der Herausgeber von Identifikationsmitteln, die Akkreditierung von Zertifizierungsstellen und das Zertifizierungsverfahren regelt.

Zum anderen ist die Verordnung des EDI über das elektronische Patientendossier (EPDV-EDI), welche zusammen mit ihren Anhängen die EPDV mit weiteren Detailregelungen ergänzt, insbesondere bezüglich des Aufbaus der Patientenidentifikationsnummer und des Vorgehens bei deren manuellen Erfassung, der Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften mittels so genannter Technischer und Organisatorischer Zertifizierungsvoraussetzungen (TOZ), der Metadaten, Austauschformate und Integrationsprofile, welche im Zusammenhang mit dem elektronischen Patientendossier zu verwenden sind, um einen interoperablen und sicheren Datenaustausch sicherzustellen, sowie bezüglich der Vorgaben für den Schutz der Identifikationsmittel, das heisst die technischen Anforderungen an die Identifikationsmittel.

Für die Ausarbeitung der ISSS Stellungnahme haben 17 ISSS Mitglieder sehr intensiv anlässlich von drei Telefonkonferenzen und drei schriftlichen Durchgängen an der Erarbeitung der Stellungnahme mitgewirkt und ihre Expertise auf ihren Spezialgebieten eingebracht.

Die Stellungnahme der ISSS konzentriert sich auf die EPDV sowie auf die TOZ, welche im Anhang 2 zur EPDV-EDI geregelt sind und beschränkt sich auf diejenigen Punkte, welche direkt im Zusammenhang mit der ICT-Sicherheit und dem Datenschutz stehen.

Wesentliche Punkte, welche in der ISSS Stellungnahme angesprochen werden, betreffen bezüglich der EPDV die bessere Verankerung der Wahrung der Integrität als Anforderung im Zusammenhang mit der Datenhaltung sowie die Definition der Anforderungen bezüglich der Identifikationsmittel, wo insbesondere darauf hingewiesen wird, dass es im Hinblick auf die rasche Einführung ohne die Vermeidung unnötiger Kosten wichtig ist, sich an bereits allgemein bekannten Anforderungen zu orientieren, wie der eCH-0170 Norm, dem geregelten Zertifikat gemäss ZertES oder eIDAS gemäss der EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen, was erlaubt, bereits vorhandene Identifikationsmittel wie die HPC (Health Professional Card), SuisseID oder Mobile ID einzusetzen, und auf Vorgaben gemäss einem völlig neuen Standard wie der Norm ISE/IEC 291115, welche im Entwurf EPDV vorgesehen ist, zu verzichten.

Im Zusammenhang mit den Zertifizierungsanforderungen (TOZ) für Gemeinschaften und Stammgemeinschaften enthält die ISSS Stellungnahme zahlreiche Präzisierungsvorschläge, so z.B. betreffend die Anforderungen in Bezug auf das Löschen von Daten, das von den Gemeinschaften zu implementierende Datenschutz- und Datensicherheitsmanagementsystem, das Erkennen von und die Meldepflicht bei Sicherheitsvorfällen, den Umgang mit Sicherheitsschwachstellen, die Kommunikationssicherheit bei Netzwerken und Netzwerkdiensten und die Verfügbarkeit und die Vernichtung von Datensicherungen.

An dieser Stelle möchte ich mich, als Lead der ISSS Task Force Ausführungsvorschriften EPDG, ganz herzlich bei den Mitgliedern der Task Force für ihre wertvolle und effiziente Mitarbeit bedanken. Es war eine grosse Herausforderung, den sportlichen Zeitplan einzuhalten und gleichzeitig eine grosse Freude, mit den folgenden qualifizierten Experten arbeiten zu dürfen:
Konrad Bähler, Petra Breitling, Philine Brinkmann, Daniel Burgwinkel, Robert De Brot, Peter E. Fischer, Hans Herriger, Beat Lehmann, Doron Moritz, Peter Nussbaumer, Thomas Reich, Fridel Rickenbacher, Carl Rosenast, Simon Schneiter, Thomas Selzam und Steven Stalder.
ISSS auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter