Hervorragend geschützte Gesundheitsdaten

Das Bundesgesetz über den Datenschutz zählt neben den religiösen Überzeugungen oder den weltanschaulichen und politischen Ansichten auch Informationen über die eigene Gesundheit zu den «besonders schützenswerten Personendaten». Und die Verordnung über das elektronische Patientendossier hält fest, dass «für die Speicherung und Übertragung der Daten Verschlüsselungsverfahren nach aktuellem Stand der Technik verwendet werden» müssen. Nur schon diese beiden Textstellen belegen, dass die Sicherheit der Gesundheitsdaten im EPD durch einen strengen gesetzlichen Rahmen vorgegeben ist.

Alle acht EPD-Anbieter in der Schweiz haben sich an die rechtlichen Vorgaben zu halten – und werden durch unabhängige Prüfstellen regelmässig umfassend kontrolliert. Nur wenn sie alle Anforderungen des Zertifizierungskatalogs erfüllen, erhalten die EPD Anbieter ein Zertifikat. Es stellt somit sicher, dass die Anbieter sehr hohe Sicherheitsstandards einhalten. Und dass die Dokumente der Nutzerinnen und Nutzer – im sogenannten EPD-Vertrauensraum – zuverlässig abgelegt und vor ungewollten Zugriffen geschützt sind.

Der Vertrauensraum ist dank einem ausgeklügelten Verschlüsselungsverfahren (das auf den sogenannten Transport-Layer-Security[TLS]-Protokollen gründet) vom Internet isoliert. Die Anbieter nutzen ausschliesslich gesicherte Kommunikationsverbindungen und betreiben einen hohen Aufwand, um mit sowohl technischen wie auch organisatorischen Massnahmen den Vertrauensraum zu schützen. Zu den technischen Massnahmen gehört zum Beispiel die Zwei-Faktor-Authentifizierung: Die Nutzerinnen und Nutzer müssen neben ihrem persönlichen Passwort auch einen Bestätigungscode eingeben, den sie auf Anfrage auf ihrem Mobiltelefon erhalten. Zu den organisatorischen Massnahmen hingegen zählt, dass die Anbieter verpflichtet sind, ihre Mitarbeitenden zu schulen. So haben nur diejenigen Personen Zugang zum EPD, die über eine Grundausbildung zum Umgang mit besonders schützenswerten Personendaten verfügen.

Die EPD-Anbieter beauftragen auch hoch spezialisierte Firmen (sogenannte White Hat Hackers), ihre Systeme auf potenzielle Sicherheitsschwachstellen abzuklopfen. Und schliesslich erhöht auch der Umstand, dass das EPD regional umgesetzt wird, die Datensicherheit, denn so sind die Gesundheitsdaten nicht an einem zentralen Ort gespeichert, sondern dezentral über das ganze Land verteilt. Dabei ist gesetzlich vorgeschrieben, dass sich die Datenspeicher in der Schweiz befinden müssen. So können die Unternehmen, die die Daten speichern, nicht von einer ausländischen Behörde zur Herausgabe von Daten gezwungen werden.

Die Nutzerinnen und Nutzer bestimmen selber, wer die in ihrem EPD abgelegten Informationen einsehen kann. Sie können verschiedenen Gesundheitsfachpersonen – etwa ihrer Hausärztin oder ihrem Hausarzt – einen Zugriff erteilen. Das System sieht dabei sogar verschiedene Vertraulichkeitsstufen vor.

Jede und jeder kann auch selber bestimmen, wie lange die eigenen Gesundheitsdaten im EPD aufbewahrt werden. Die Verordnung schreibt vor, dass die Daten nach 20 Jahren vernichtet werden müssen, doch den Nutzerinnen und Nutzern bleibt es selbstverständlich vorbehalten, ihre Daten jederzeit zu löschen – oder aber die Löschfrist aufzuheben.

Der Zugriff auf die persönlichen Gesundheitsdaten bleibt dem Arbeitgeber, der Krankenversicherung und den Behörden verwehrt. Weil sich jede Person vor dem Zugriff auf ein EPD eindeutig identifizieren muss, kann das System ein Zugriffsprotokoll erstellen, das festhält, wer zu welchem Zeitpunkt Dokumente abgerufen oder neue Dokumente abgelegt hat. Dieses Zugriffsprotokoll kann nur von der Nutzerin oder vom Nutzer eingesehen werden. Es erlaubt jeder und jedem, einen allfälligen missbräuchlichen Zugriff rasch aufzudecken – und strafrechtlich verfolgen zu lassen, denn solche missbräuchlichen Zugriffe werden geahndet und mit einer hohen Busse bestraft.

Auch wenn der Vertrauensraum technisch einwandfrei vom Internet abgetrennt ist, funktioniert er nur, wenn die einzelnen Nutzerinnen und Nutzer die Zugangsinformationen für ihr EPD geheim halten und nicht an andere Personen weitergeben. Die Sicherheit der im EPD abgelegten Dokumente hängt auch davon ab, dass die Zugriffsrechte mit Sorgfalt und Bedacht vergeben werden. Und dass sich das Passwort für das EPD von den für andere Dienste verwendeten Passwörtern unterscheidet.