Digitale Gesundheitsdaten
«Datenschutz darf keine
Preisfrage sein»
Gesundheitsdaten zu schützen war schon immer Pflicht. Mit zunehmender Digitalisierung bekommt dieses Thema noch mehr Aufmerksamkeit. Leistungserbringer und IT-Dienstleister sind gleichermassen gefordert.
Text: Roger Welti, Bilder: ©iStock, ©Alamy, ©Keystone, 14. Dezember 2017
Das elektronische Patientendossier (EPD) liefert den Steilpass für Diskussionen über Datenschutz und Datensicherheit im Gesundheitswesen – am Stammtisch ebenso wie unter Fachleuten. Gemäss Swiss eHealth Barometer 2017 vertrauen 65 Prozent der Bevölkerung den Stellen, die rund ums EPD mit Patientendaten arbeiten und diese schützen müssen – kein schlechter Wert. Skeptischer sind die Gesundheitsfachpersonen. 35 Prozent der Ärzte und 42 Prozent der Apothekerinnen würden ihren Patienten aus Datenschutzgründen kein EPD anbieten. Wo liegen die Herausforderungen beim Schutz elektronischer Patientendaten? Wir haben nachgefragt – beim Bundesamt für Gesundheit (BAG), bei Leistungserbringern und auf Seiten der IT-Dienstleister.
Paradigmenwechsel fördert Sensibilität
Die Digitalisierung des Gesundheitswesens und insbesondere das EPD verändern die Kräfteverhältnisse im Umgang mit medizinischen Daten nachhaltig. Erstmals erhält der Patient Einsicht in seine Daten und kann den Zugriff auf diese selber regeln. Vorbei die Zeiten, in denen eine nicht näher definierte Gruppe von Personen Zugriff auf die Gesundheitsdaten eines Patienten hatte – ohne dessen Wissen notabene. «Wir erleben einen Paradigmenwechsel», sagt denn auch Salome von Greyerz, Leiterin der Abteilung Gesundheitsstrategien im BAG. «Dieser zwingt die Leistungserbringer dazu, noch mehr Sensibilität für das Thema Datenschutz zu entwickeln.»
Mit dem Bewusstsein ist es aber nicht getan. Es müssen technische Lösungen her, die den neuen Anforderungen genügen. «Die Anforderungen an die Authentifizierung werden im Spital und bei anderen Leistungserbringern zunehmen», ist sich von Greyerz bewusst. Die neuen Login-Prozesse müssten kompatibel sein mit den Behandlungsabläufen, um nicht an Effizienz und Qualität einzubüssen. «Es gibt sehr erfolgreiche Beispiele dafür, dass Leistungserbringer und erfahrene Technologiepartner dank intensiver und konstruktiver Zusammenarbeit überzeugende Lösungen hierfür finden», sagt von Greyerz.
Auslagerung an Profis prüfenswert
Gratis gibt es diese Lösungen allerdings nicht, das weiss auch das BAG. Zu den anfallenden Kosten hat Salome von Greyerz eine dezidierte Meinung: «Datenschutz darf keine Preisfrage sein.» Wenn der gesetzlich geforderte Minimalstandard für den Datenschutz Kosten verursache, so müssten die Leistungserbringer diese in den Tarifverhandlungen einbringen.
Bei den IT-Dienstleistern beurteilt das BAG die Sensibilität für und das Know-how zum Datenschutz und zur Datensicherheit als ausgesprochen hoch. Der Erpressungstrojaner «Wanna-Cry» und andere Zwischenfälle hätten aber gezeigt, dass gerade in kleineren Spitälern und wohl auch in Heimen und Arztpraxen noch einige Angriffsflächen in den Primärsystemen bestehen. «Die Verlagerung der Datenspeicherung von lokalen Systemen in die Cloud kann da ein probates Mittel sein», sagt von Greyerz. Bei der anstehenden Aktualisierung der eHealth-Strategie des Bundes würden zudem Empfehlungen und flankierende Massnahmen formuliert, um die Leistungserbringer beim Thema Datensicherheit zu unterstützen.
Ambulanter Sektor fordert Vergütung
Der Wissensaufbau muss auch gemäss Yvonne Gilli von der FMH ein wichtiges Ziel sein. Mit der Digitalisierung stellten sich niedergelassenen Ärztinnen und Ärzten neue Herausforderungen betreffend Speicherung, Verwaltung und Austausch von Daten. «Bezüglich Medizininformatik fehlt grundsätzlich viel Know-how in der Schweiz. Es müsste dringend aufgebaut werden – und zwar auf universitärem Niveau», so Gilli.
Mit Know-how alleine ist es gemäss Gilli aber nicht getan. Die niedergelassenen Ärzte seien auf die Vergütung der von ihnen geleisteten Informatikdienstleistungen angewiesen – also auch für ihren Aufwand zum Schutz von elektronischen Patientendaten. «Diese sind in den bestehenden Entschädigungssystemen aber nicht abgebildet», so Gilli. In keinem Land der Welt habe die nachhaltige Förderung der Digitalisierung in der ambulanten Praxistätigkeit ohne öffentliche Mitfinanzierung funktioniert. Gilli: «Das wird auch für die Schweiz gelten, obwohl derzeit der politische Willen dazu fehlt.»
Interesse der Praxispatienten bislang gering
Während die Leistungserbringer in Sachen Datenschutz und -sicherheit einige Hausaufgaben zu erledigen haben, sei das Interesse der Patienten an dem Thema offenbar noch nicht so gross, sagt Yvonne Gilli von der FMH. «Herr und Frau Schweizer sind in erster Linie daran interessiert, ihre Daten elektronisch zur Verfügung zu haben. Konkrete Fragen zu Datenschutz und Datensicherheit stellen sie zurzeit noch wenig.»
Im stationären Bereich kann keine generelle Aussage zum Interesse der Patienten am Thema Datenschutz gemacht werden. «Im Rahmen der Schweizerischen Krebsstrategie ist aber zum Beispiel bei Onkologie-Patienten eine erhöhte Sensibilisierung zu erkennen», sagt Caroline Piana Leiterin Geschäftsbereich Tarife, eHealth beim Spitalverband H+.
Vielmehr als nur eine Frage der IT
Spitäler haben es bezüglich Patientendaten mit einer besonderen Herausforderung zu tun. Diese Daten fallen in den unterschiedlichsten IT-Systemen an. Oft sind diese nicht untereinander verknüpft, was etwa bei Angriffen von aussen von Vorteile sein kann. «Ein Nachteil liegt aber darin, dass die Übersicht über alle Patientendatensammlungen und deren Zusammenzug ins EPD für die Spitäler schwieriger ist», erklärt Piana. Die Spitalführung muss die notwendigen organisatorischen, technischen und prozessorientierten Vorgehen definieren, bevor die Mitwirkung an einer EPD-Plattform möglich ist. «Die Schnittstelle hin zu einer EPD-Plattform ist somit nicht nur ein IT-technisches Projekt, sondern trifft das Spital als Unternehmung ganzheitlich, auch von der Organisation und den Prozessen her», betont Piana.
Wie steht es um das nötige Know-how zum Thema Datenschutz in den Schweizer Spitälern. Der Verband H+ unterstreicht, dass die Sicherheit von Patientendaten ja nicht erst mit der Digitalisierung wichtig werde. Piana: «Die Spitäler verfügen über eigene Datenschutzverantwortliche oder suchen die Mitwirkung anerkannter Experten.» Eine Herausforderung im Rahmen des EPD sei es, genügend Spitalpersonal mit dem notwendigen Fachwissen zu haben. H+ wird in diesem Bereich entsprechende Ausbildungsangebote anbieten.
Jede Spitalführung muss für sich entscheiden, ob sie das Wissen zum Thema Datenschutz intern selbst bereitstellen will, sich hierzu mit andern Spitälern zusammenschliesst oder via externe Experten die Unterstützung sicherstellt. «Die Spitäler müssen im Rahmen einer Risikoanalyse fortlaufend prüfen, ob die Datensicherheit und -verfügbarkeit eher über interne oder externe Ressourcen oder eine Mischung davon effizient gewährleistet werden kann», sagt Piana.
Cyberabwehr-Team und Datenschutzbeauftragter
Die Komplexität der juristischen und technischen Fragen rund um den Datenschutz führt also dazu, dass Schweizer Leistungserbringer auch auf die Unterstützung von erfahrenen Partnern zählen. Dies mag ein Grund dafür sein, dass sich die geplanten ICT-Ausgaben von Spitälern und Heimen in den kommenden Jahren klar vom internen Betrieb zu externen Services verschieben, wie eine kürzlich erschienene Studie zeigt.
IT-Dienstleister bieten den Akteuren im Schweizer Gesundheitswesen Know-how und technische Lösungen, welche diese selber nicht bereitstellen können oder wollen. Swisscom etwa kann dabei auf eine jahrelange Erfahrung im Umgang mit Datensicherheit zurückgreifen. So verfügt der Konzern unter anderem über mehr als 100 Security Experten. Wie wichtig der IT-Dienstleister die Sicherheit der Patientendaten nimmt, zeigt auch der Umstand, dass Swisscom für den Health-Bereich einen eigenen Datenschutzbeauftragten beschäftigt. Martin Smock wacht über die Einhaltung aller Gesetze und Vorgaben. Er steht in regelmässigem Austausch mit dem BAG und ist der Ansprechpartner für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
«Der Schutz von Daten und der Privatsphäre von Kunden und Patienten hat für uns höchste Priorität», betont Smock. Als IT-Dienstleister sei man klar dem Grundsatz verpflichtet, dass Gesundheitsdaten besonders geschützt werden müssen und von Swisscom nicht ausgewertet werden. Die Hoheit und Rechte an den Daten verbleiben in jedem Fall beim Patienten. Smock: «Mit unserer Technologie tragen wir dazu bei, dass die Patienten ihre Rechte auch tatsächlich durchsetzen können.»
Mit Sicherheit mehr Schutz
Die Herausforderungen an die Sicherheit und den Schutz von Daten in Spitälern und Heimen sind zahlreich. Wir haben die sieben grössten Herausforderungen zusammengestellt – und wertvolle Tipps dazu!
> 7 Tipps für Spitäler und Heime
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?