Datenschutz und Datensicherheit sind für das EPD zentral. Das Datenschutzgesetz und das Bundesgesetz über das elektronische Patientendossier stellen beides sicher.
Interner Link: Die häufigsten Fragen und Antworten zu Sicherheit und Datenschutz
Rechtsgrundlagen
Das EPD unterliegt dem Datenschutzgesetz (DSG), dem EPDG und den kantonalen Gesetzen. Stammgemeinschaften, die ihre Dienstleistungen auch Personen mit ausländischer Staatsangehörigkeit anbieten, unterliegen zudem der Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Die EPDV-EDI legt die technischen und organisatorischen Voraussetzungen für eine Zertifizierung fest, namentlich die Überprüfung der Identität, der beruflichen Qualifikationen, des Zugangs zu Dokumenten sowie der Sicherheitsmassnahmen. Die Gemeinschaften sind für deren Umsetzung verantwortlich und werden regelmässig von der Zertifizierungsstelle kontrolliert.
Externer Link: Der Anhang 2 des EPDV-EDI
Das Factsheet zeigt die wesentlichen Datensicherheit- und Datenschutzmassnahmen auf Ebene der Anwendung, der Technik und der Organisation.
Externer Link: Factsheet: Top 10 Sicherheitsmassnahmen (312 KB, 06.10.23)
Die Umsetzungshilfe beschreibt, wie die (Stamm-)Gemeinschaften die Anforderungen des DSG, des EPDG und der EPDV-EDI umsetzen können.
Externer Link: Umsetzungshilfe: Datenschutz und Datensicherheit im EPD (2.6 MB, 06.10.23)
Kontrolle und Zertifizierung
Das Bundesgesetz über das elektronische Patientendossier
(EPDG), das seit dem 15. April 2017 in Kraft ist, schreibt vor, wie das EPD organisiert und technisch abgesichert sein muss. Jeder EPD-Anbieter, die sogenannten Gemeinschaften und Stammgemeinschaften wird geprüft, zertifiziert und regelmässig kontrolliert. Nur zertifizierte EPD-Anbieter dürfen das offizielle Zertifizierungszeichen verwenden. Zusammen bilden sie den sogenannten «EPD-Vertrauensraum».
Das Zertifizierungsverfahren wurde von KPMG, einer von der Schweizerischen Akkreditierungsstelle SAS akkreditierten unabhängigen Zertifizierungsstelle, durchgeführt. Das BAG begleitet den Prozess als Schema-Eigner. Die Zertifizierung wird in regelmässigen Abständen erneuert, um zu überprüfen, ob die Vorgaben einhalten werden.
Externer Link: Weitere Informationen zu den Zertifizierungsvoraussetzungen
Externer Link: Weitere Informationen zum Zertifizierungsverfahren
Anforderungen der Zertifizierung
Die gesetzlichen Anforderungen (vgl. Anhang 2 zur Verordnung des EDI über das elektronische Patientendossier, EPDV-EDI) beinhalten über 400 Zertifizierungskriterien und umfassen folgende Regelungsbereiche:
Für Gemeinschaften:
- allgemeine Verwaltung
- Datenhaltung und Datenübertragung
- Zugangsportal für Gesundheitsfachpersonen
- Datenschutz und die Datensicherheit
- Kontaktstelle für Gesundheitsfachpersonen
Für Stammgemeinschaften zusätzlich:
- Information der Patientinnen und Patienten
- Einwilligungserklärung
- Verwaltung der Patientinnen und Patienten
- Zugangsportal für Patientinnen und Patienten
- von den Patientinnen und Patienten erfasste Daten
- Kontaktstelle für Patientinnen und Patienten
- Aufhebung des EPD