Informationssicherheit und Datenschutz beim E-Patientendossier
Welche Massnahmen in Bezug auf Informationssicherheit des Patientendossiers schreibt das Gesetz vor? Wo liegen die Stolpersteine? Welche Erfahrungen aus der Praxis gibt es bereits? Informationssicherheit und Datenschutz sind Knackpunkte bei der Einführung des digitalen Datenverkehrs im Gesundheitswesen. Dazu kommt der zunehmende Kostendruck, dem die Leistungserbringer ausgesetzt sind. Vermittlungskompetenz zwischen Politik, Technik, Gesundheitswesen und Medizin wird wichtiger denn je.
Im Juni 2015 wurde das Bundesgesetz zum elektronischen Patientendossier (EPDG) von beiden eidgenössischen Räten verabschiedet, 2017 soll es in Kraft gesetzt werden. Seitdem herrscht eine gewisse Verunsicherung, was die Leistungsträger an Vorbereitung zu erbringen haben. Über die operativen und finanziellen Herausforderungen gibt es vieles zu lesen. Was dagegen etwas im Hintergrund bleibt, ist die Frage nach Datensicherheit und Datenschutz; teilweise bekommt man den Eindruck, dass diese Themen bewusst ignoriert werden.
Worauf kommt es an?
Stellen Sie sich vor, die verschriebene Medikation wurde irrtümlich oder absichtich geändert: Dies kann fatale Folgen haben! Wenn Daten im Notfall nicht zur Verfügung stehen, kann nicht situationsgerecht behandelt werden, auch dies wäre fatal. Zuletzt ist die Authentizität der Daten wichtig: Wer hat die Daten erfasst, mutiert, gelöscht etc.? Dies ist für die Nachvollziehbarkeit und allfällige Sanktionierung wichtig. In letzter Zeit werden vermehrte Fälle von Lösegeldforderungen nach Infektion durch „ransomware“ bekannt, auch im Spitalbereich. Spitäler werden erpressbar oder erleiden direkt Schaden – dagegen gilt es sich zu wehren!
Was braucht es dafür?
Derzeit führt die Hochschule Luzern eine Studie im Spital Schwyz durch, um mögliche Defizite und Risiken zu ermitteln und Massnahmen zu deren Mitigation zu empfehlen. Erste Ergebnisse zeigen, dass gerade kleinere Spitäler nicht die Ressourcen wie grosse Zentrumskliniken haben, um die Migration isoliert zu planen. Sie sind dazu auf externe Dienstleister angewiesen. Wir als Hochschule begleiten dies durch Studien und Gutachten, um einen Beitrag zur Qualität beizusteuern.
Wir möchten aber auch unseren Beitrag zur Schulung betroffener Leistungserbringer anbieten. Wir wissen wie schwierig es für Personen aus dem Gesundheitswesen ist, sich mit dieser neuen, fremden und komplexen Materie zu befassen. In einer eintägigen Konferenz am Dienstag, 14. Juni 2016 im Zentrum Dorfmatt Rotkreuz ZG geben Expertinnen und Experten aus dem Bundesamt für Gesundheit, Spitälern, der Hochschule und der Praxis Hilfestellung, um sich den kommenden Herausforderungen stellen zu können. Hauptziel der Information Security in Health Conference ist es deshalb, dass Anwender, Anbieter, Patienten und Entscheidungstragende sinnvoller miteinander sprechen lernen. Nur so wird eine praxisgerechte Umsetzung der gesetzlichen Vorgaben möglich sein. Weitere Informationen finden Sie auf: www.hslu.ch/infosec-health.
Dr. rer. nat. Peter E. Fischer, Leiter Kompetenzzentrum Informationssicherheit, Hochschule Luzern – Informatik
