Technische Interoperabilität

Architektur EPD Schweiz

Die technische Architektur des elektronische Patientendossier (EPD) besteht aus zentralen technischen Komponenten des Bundes sowie mehreren untereinander vernetzten Gemeinschaften und Stammgemeinschaften.

Im Kontext des EPD ist eine Gemeinschaft eine organisatorische Einheit von Gesundheitsfachpersonen und deren Einrichtungen, die sich zusammenschliessen und gemeinsam das EPD anbieten. Stammgemeinschaften sind Gemeinschaften, wo Patientinnen und Patienten ihr EPD eröffnen und verwalten können. 

Die zusammengeschlossenen Organisationen bilden einen Vertrauensraum mit hohen Anforderungen an den Datenschutz und die Datensicherheit, welche durch eine Zertifizierung nach dem Gesetz über das EPD (EPDG) regelmässig geprüft werden. Auch die Schnittstellen zwischen den IT-Systemen und dem EPD sind normiert und basieren auf international und national etablierten Standards im medizinischen Umfeld.

Auch die Herausgeber von elektronischen Identifikationsmitteln für das Login beim EPD müssen im Rahmen der Zertifizierung die Einhaltung des hohen Schutzniveaus nachweisen.

Interner Link: Weitere Informationen zu den (Stamm-)Gemeinschaften

Interner Link: Weitere Informationen zu den zertifizierten Herausgebern von elektronischen Identifikationsmitteln

Die Schweiz orientiert sich beim Aufbau des EPD an international und national etablierten Standards. Dabei setzt sie unter anderem auf die Standardisierungsinitiative «Integrating the Healthcare Enterprise» (IHE). Die Initiative hat das Ziel, weltweit den Datenaustausch und die Interoperabilität von IT-Systemen im Gesundheitswesen zu verbessern. Die etablierten Vorgaben kommen auch beim EPD zum Einsatz und werden, wenn nötig, in der Verordnung weiter präzisiert. Die nachfolgende Grafik bildet die Integrationsprofile ab, welche die relevanten Softwarekomponenten und deren Schnittstellen definieren.

Externer Link: Übersicht Integrationsprofile EPD (609 KB, 04.10.23)

Externer Link: Reifegrad Integrationsprofile EPD (423 KB, 26.09.24)


Die Beschreibung der EPD-Architektur soll es externen eHealth- und Medizininformatik-Experten ermöglichen, die Funktionsweise und das Zusammenspiel der verschiedenen technischen Komponenten des EPD besser zu verstehen.

Externer Link: EPD-Architektur (354 KB, 01.02.24)

Nationale EPD-Komponenten

Der Bund betreibt zentrale Abfragedienste für Daten, welche für die technische Kommunikation zwischen den Gemeinschaften notwendig sind. Beispielsweise geben die zentralen Dienste Auskunft darüber, welche registrierten Gesundheitsfachpersonen, Gruppen von Gesundheitsfachpersonen und ihre Organisationen am EPD teilnehmen. So wissen die Patientinnen und Patienten, wem sie Zugriffsrechte vergeben können.

Gesundheitsfachpersonen, Gruppen von Gesundheitsfachpersonen und ihre Organisation(en), die an das EPD angeschlossen sind, sind auf das Verzeichnisdienst HPD gelistet. Dafür müssen Gesundheitseinrichtungen mindestens eine Gesundheitsfachperson pro Einrichtung als EPD-Benutzer nennen. Die Patientinnen und Patienten können Zugriffsrechte an die im HPD registrierten Gesundheitsfachpersonen und Gruppen von Gesundheitsfachpersonen erteilen oder spezifisch Personen vom Zugriff auf ihr EPD ausschliessen.

Dieses Verzeichnis vom BAG enthält die technischen Informationen von allen Geräten (Endpunkte), der zertifizierten (Stamm-)Gemeinschaften, die mit dem EPD-Vertrauensraum verbunden sind. Damit können die Systeme der EPD-Plattformen jederzeit verifizieren, mit welchen Systemen sie sich verbinden und dürfen gesichert Daten austauschen.

Im MDI werden die für das EPD relevanten Metadaten in einem technisch verarbeitbaren Format bereitgestellt, sodass die Informationen von einem IT-System lesbar sind.

Die Zentrale Ausgleichsstelle des Bundes stellt die AHV-Nummer aus und verwaltet diese in ihrer Personendatenbank. Diese Datenbank wurde erweitert, um auch sektorielle Personenidentifikationsnummern auszugeben. Ein Sektor ist das EPD. Die nationale Patientenidentifikationsnummer, die sogenannte Electronic Patient Record – Sectorial Person Identification Number (EPR-SPID) wird auf Antrag vergeben, wenn ein neues EPD eröffnet wird. Sie dient dem Auflösen von innerhalb der Gemeinschaften verwendeten Identifikationsnummern einer EPD-Inhaberin oder eines EPD-Inhabers sowie zur technischen Durchsetzung von Zugriffsrechten. Die AHV-Nummer darf im Kontext des EPD lediglich zur Abfrage der EPR-SPID verwendet werden. Aus der EPD-SPID allein kann die AVHN13 nicht abgeleitet werden.

Objekt-Identifikatoren (OID, Object Identifier) sind Zahlenketten zur weltweit eindeutigen Kennzeichnung von Objekten aller Art wie zum Beispiel Institutionen, IT-Systeme, Dokumente, Nachrichten, Zertifikate oder Klassifikationen.
Diese OIDs spielen in der Umsetzung der eHealth-Architektur eine wichtige Rolle für die technische und semantische Interoperabilität. Das BAG hat entschieden, dass alle im EPD-Kontext verwendeten OIDs von den Gemeinschaften und ihren angeschlossenen Gesundheitseinrichtungen in einem nationalen OID-Register registriert sein müssen. Dieses OID-Register wird von der Stiftung RefData verwaltet. eHealth Suisse hat im April 2010 ein OID-Konzept verabschiedet. Das Konzept regelt den Umgang mit OIDs im schweizerischen Gesundheitswesen.

OID werden auch technisch für die eindeutige Identifikation von Objekten bei der Arbeit mit dem EPD benötigt:
Für die Datenkommunikation zwischen den Gemeinschaften werden sie für die eindeutige Kennung der technischen Endpunkte verwendet. Gesundheitseinrichtungen oder auch Gruppen von Gesundheitsfachpersonen innerhalb der Organisationen werden damit eindeutig identifiziert. Die OID einer Gruppe von Gesundheitsfachpersonen ist für die Erteilung von Zugriffsrechten durch die Patientin oder den Patienten sowie für die spätere Ermittlung von Zugriffsrechten der einzelnen Mitglieder auf ein EPD erforderlich.

Externer Link: Konzept: Objekt-Identifikatoren OID (719 KB, 03.10.23)

Externer Link: Factsheet: Objekt-Identifikatoren OID (153 KB, 19.09.23)

Externer Link: OID-Register

Externer Link: Stiftung RefData

EPD-Komponenten der (Stamm-)Gemeinschaften

Der Aufbau der technischen Infrastruktur der Gemeinschaften und Stammgemeinschaften unterscheidet sich nur wenig. Stammgemeinschaften müssen zusätzlich ein Patientenportal sowie eine Datenbank für die Speicherung und die Verwaltung der Berechtigungskonfigurationen auf die EPDs der Patientinnen und Patienten anbieten.

Eine Datenbank in der die technischen Systeme der angeschlossenen Leistungserbringer und die zentralen Komponenten der EPD-Plattformen die Patientenidentifikationsnummern verwalten und abfragen können.

Bei der Bereitstellung von medizinischen Daten im EPD werden im Dokumentenregister die Dokumentenmetadaten wie der Dokumententitel, die bereitstellende Person, die Fachrichtung und weitere Angaben sowie der Verweis auf das eigentliche Dokument in der Dokumentenablage gespeichert. Im Dokumentenregister werden auch die verschiedenen Versionen von Dokumenten verwaltet. Bei einer EPD-Abfrage erhält die Benutzende eine Liste der gefundenen Ergebnisse mit den Metadaten aus dem Dokumentenregister. Dann kann das gewünschte Dokument aus der Dokumentenablage abgerufen werden.

In dieser Ablage werden die Dokumente in den EPDs der Patientinnen und Patienten gespeichert.

Jede (Stamm-)Gemeinschaft muss alle für das EPD registrierten Gesundheitsfachpersonen verwalten und sicherstellen, dass diese nur über eine zwei-Faktor-Authentisierung in das EPD-System gelangen. Die Stammgemeinschaften müssen zusätzlich alle Identitäten ihrer Patientinnen und Patienten verwalten und deren zwei-Faktor-Authentisierung sicherstellen. Sowohl die Patientinnen und Patienten als auch die Gesundheitsfachpersonen benötigen dafür eine elektronische Identität (E-ID).

Jede (Stamm-)Gemeinschaft muss ein Zugangsportal für seine registrierten Gesundheitsfachpersonen bereitstellen, sofern diese nicht direkt über ihr Primärsystem auf das EPD zugreifen. Das Zugangsportal ermöglicht den Gesundheitsfachpersonen die Einsicht in die EPD-Dokumente ihrer Patientinnen und Patienten.

Jede Stammgemeinschaft muss ihren Patientinnen und Patienten ein Patientenportal anbieten, über welches sie Einsicht in ihre EPD-Dokumente und die Zugriffsprotokolle auf das EPD erhalten sowie die Zugriffsberechtigungen verwalten können. Zusätzlich sollen die Patientinnen und Patienten via Patientenportal eigene Dokumente in ihr EPD einstellen können.

Diese Software-Komponente innerhalb der (Stamm-)Gemeinschaft muss sicherstellen, dass alle Berechtigungseinstellungen der EPD-Nutzenden korrekt umgesetzt werden. Insbesondere dürfen nicht berechtigte Personen keine medizinischen Daten einsehen können.

Diese Software-Komponente innerhalb der (Stamm-)Gemeinschaft muss sicherstellen, dass alle Aktionen in einem EPD korrekt protokolliert werden und bei Bedarf der Patientin oder dem Patienten lesefreundlich aufbereitet im Patientenportal dargestellt werden. Das betrifft insbesondere alle erfolgreichen und versuchten Zugriffe auf die EPD-Dokumente des Patienten. Das Zugriffsprotokoll wird 10 Jahre lang aufbewahrt.

Elektronische Identität (E-ID) für das Login beim EPD

Das Bundesgesetz über das EPD schreibt eine strenge Überprüfung der persönlichen Identitäten vor, auch «starke Authentisierung» genannt. Sie gilt für alle EPD-Benutzenden, sowohl für die registrierten Gesundheitsfachpersonen als auch für die Patientinnen und Patienten, die ein EPD eröffnen. Für die Authentisierung sollen Patientinnen und Patienten, sowohl Gesundheitsfachpersonen einen zwei Stufen Prozess durchgehen und brauchen dafür ein Smartphone. Nach der Eingabe von Benutzername und Passwort, muss die Identität durch einen Code, der per SMS geschickt wird, oder einer App-Notiz (notification) verifiziert werden. Andere zweistufige Authentifizierungsverfahren sind für Gesundheitseinrichtungen möglich, z.B. mit einer Chipkarte, wenn sie einen "Single Sign On"-Prozess für die Nutzung des EPD in ihren Primärsystemen eingerichtet haben.

Der zwei Stufen Prozess ermöglicht einerseits, nachzuvollziehen, wer wann welche Aktionen durchgeführt hat. Das ist wichtig für eine korrekte Protokollierung und für die Nachvollziehbarkeit für die Patientinnen und Patienten. Die elektronische Identität verbessert durch die strikte Eingangskontrolle auch die Sicherheit des gesamten Systems. Der Bund legt durch das Gesetz und die Verordnung fest, welcher technische Sicherheitslevel mindestens erfüllt sein muss, um elektronische Identitäten herausgeben zu können. Die Herausgeber von elektronischen Identitäten müssen ein Zertifizierungsverfahren durchlaufen.