Cybersecurity im Gesundheitswesen

Eine erste Diagnose

Die Debatte im Schweizer Gesundheitswesen dreht sich um steigende Kosten und Krankenkassenprämien, Versorgungssicherheit, den gleichberechtigten Zugang zur Gesundheitsversorgung und den Fachkräftemangel. Gefordert werden schnelle Reformen, um bürokratische Ineffizienz zu bekämpfen. Besonders oft erwähnt werden die dringend notwendige Digitalisierung, die Standardisierung – insbesondere im Datenaustausch – und der Einsatz von künstlicher Intelligenz (KI).

Dabei geht oft vergessen, dass das Gesundheitswesen bereits heute stark von IT-Systemen abhängt. In Spitälern, Arztpraxen und bei anderen Branchenakteuren fallen massenhaft elektronische Daten an. Diese sind oft sensibel und schützenswert – und allzu oft unzureichend geschützt.¹

KI gilt als Schlüsseltechnologie für Automatisierung und mehr Effizienz. Doch sie birgt neue Herausforderungen wie Datenqualität und -sicherheit. Damit KI Gesundheitsdaten sinnvoll nutzen kann, müssen diese relevant, präzise und vom Eigentümer für diesen Verarbeitungszweck freigegeben sein. Zudem erfordert KI enorme Rechen- und Speicherkapazitäten. Deshalb werden leistungsfähige Modelle in der Regel aus der Cloud bezogen. Zwar könnte man auch versuchen, die KI zu den Daten zu bringen. Im dezentralen Gesundheitssystem der Schweiz ist es jedoch zielführender, die Daten zur KI in eine Cloud zu bringen. Diese könnte auch eine private Cloud sein.

Die Ursache

Im Gesundheitswesen fehlen übergreifende, verpflichtende Mindestanforderungen für den Grundschutz der Informations- und Kommunikationstechnologien (IKT), eine systematische, koordinierte Überprüfung des Schutzniveaus und eine Meldepflicht für erfolgreiche Cyberangriffe. Das Fehlen eines verbindlichen IKT-Minimalstandards gefährdet nicht nur den Datenschutz, sondern auch die Betriebssicherheit und die Resilienz medizinischer Einrichtungen.

Zwar stuft die nationale Strategie zum Schutz kritischer Infrastrukturen (SKI) ²im Anhang 1 das Gesundheitswesen, die medizinische Versorgung, Labordienstleistungen, Chemie und Heilmittel als kritische Infrastruktur ein. In der revidierten Fassung hält sie in Kapitel 7.1 fest: «Die Umsetzung der nationalen SKI-Strategie erfolgt dezentral im Rahmen der bestehenden Strukturen und Zuständigkeiten. Insbesondere liegt die Verantwortung für die Resilienz der kritischen Infrastrukturen bei den Betreiberinnen und den sektoriellen Fach-, Aufsichts- und Regulierungsbehörden.» Neu hinzugekommen ist 2023 die Geschäftsstelle SKI im Bundesamt für Bevölkerungsschutz (BABS). Diese muss für die «übergeordnete Koordination» der Umsetzungsarbeiten sorgen. Im Gesundheitsbereich sind gemäss SKI-Strategie das BAG, das BABS und weitere Stellen wie Bundesamt für wirtschaftliche Landesversorgung (BWL) und Swissmedic für die Umsetzung zuständig. Das Parlament hat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Frühjahrssession 2025 für den 1. April 2025 in Kraft gesetzt.

Das BWL hat bis 2024 IKT-Mindeststandards für verschiedene Bereiche der kritischen Infrastrukturen publiziert. Diese Zuständigkeit ist seit 1.1.2024 auf das Bundesamt für Cybersicherheit (BACS) übergegangen. Derzeit gibt das BACS allerdings nur Empfehlungen für Private, KMU und Behörden, jedoch keine verbindlichen IKT-Minimalstandards heraus.

Das BAG hat für die Datensicherheit im elektronischen Patientendossier (EPD) einen umfassenden Sicherheitsstandard und ein Zertifizierungsverfahren festgelegt. Das bedeutet, dass sich die Betreibenden des EPD und die Stammgesellschaften von einer akkreditierten Prüfstelle in einem aufwändigen Verfahren prüfen und zertifizieren lassen müssen. Reicht das aus?

In der Realität sind die Gesundheitsdaten der Patient:innen sehr fragmentiert und befinden sich bei der Ärzteschaft, im Spital, bei den Versicherungen (Grund- und Zusatzversicherung), beim Kanton (für die Kostenübernahme) und bei den Labors. Das EPD setzt zwar sehr hohe Sicherheitsstandards an, ist aber heute freiwillig und noch nicht die zentrale Ablage für elektronische Patientendaten, die es einmal werden soll. Zusätzlich sind viele der im Gesundheitswesen notwendigen Prozesse, Infrastrukturen und Dienstleistungen an Drittfirmen ausgelagert.

Wer betreibt die IKT-Infrastruktur im Gesundheitswesen?

Im Rahmen der Analyse der SKI-Strategie wurde erhoben, wie stark die verschiedenen Bereiche der kritischen Infrastruktur von Auslagerungen an IT-Dienstleistende betroffen sind und diese somit ebenfalls als kritische Infrastruktur gelten. Sowohl Versicherungen als auch Krankenkassen, Ärzt:innen und Spitäler sind sehr stark, Labors etwas weniger und die chemisch-pharmazeutische Industrie wiederum etwas stärker von externen IT-Dienstleistenden abhängig (vgl. Abbildung).

Aus dem Factsheet zum kritischen Teilsektor IT-Dienstleistungen (Quelle: SKI-Strategie)

Wer darf über Gesundheitsdaten von Personen verfügen?

Grundsätzlich verfügt jede zu versorgende Person über ihre eigenen medizinischen Daten. In die Bearbeitung ihrer Gesundheitsdaten muss sie nämlich ausdrücklich einwilligen. Ein Grossteil dieser Daten sind allgemeine sowie besonders schützenswerte Personendaten gemäss Datenschutzgesetz. Nach Art. 321 des Strafgesetzbuches gehört die medizinische Fachperson einem Berufsstand mit Berufsgeheimnis an. Daten über die Gesundheit unterstehen damit zudem dem Arztgeheimnis. Das bedeutet, dass die behandelnde Fachperson im Fall einer Weitergabe schutzwürdiger Patientendaten bei der Auswahl, der Instruktion und der Überwachung der Hilfsperson die nötige Sorgfalt aufzeigen muss. Sie muss sicherstellen, dass die Hilfsperson – also auch die IT-Dienstleister - die Daten nur so bearbeitet, wie sie es selbst tun dürfte. Auch müsste sich die behandelnde Fachperson vergewissern, dass die Daten verschlüsselt übermittelt werden und keine Unbefugten darauf zugreifen können. In der Praxis sieht das häufig so aus, dass die zu versorgende Person keinen Überblick hat, wo überall ihre Daten gespeichert sind und wer darauf zugreifen kann. Ob das ärztliche Fachpersonal seiner Sorgfaltspflicht zur Instruktion und Überwachung der Hilfspersonen tatsächlich nachgekommen ist, prüft niemand.

Wer überwacht den Schutz der Patientendaten?

Zuständig sind wie erwähnt Bund, Kantone und Betreibende. Also viele und somit gleichermassen niemand – mit wenigen Ausnahmen:

Zusatzversicherungen werden von der Finanzmarktaufsicht FINMA beaufsichtigt. Dabei muss diese in erster Linie überprüfen, ob die Produkte der Krankenzusatzversicherungen finanziell stabil und die Versicherten vor Missbräuchen geschützt sind.³Der Schutz der Versichertendaten und die Cyberresilienz sind nicht explizit erwähnt, werden aber dazu gerechnet und regelmässig geprüft.
Beim EPD gibt es klare Vorgaben des BAG (e-Health Suisse) und eine Prüfung mit Zertifizierung durch eine akkreditierte Prüfstelle, insbesondere für die Stammgemeinschaften und Betreibenden der technischen Infrastruktur.

Für Arztpraxen, Spitäler, Grundversicherer, Labors und IT-Dienstleistende im Gesundheitswesen gibt es keine verbindlichen Vorgaben – nur Empfehlungen – für den IKT-Grundschutz. Zudem fehlt eine systematische Überwachung.

Zusammenfassung der Diagnose

Die Leistungserbringer, bei denen ein Grossteil der Gesundheitsdaten entsteht, nutzen eigene IT und IT-Dienstleister. Die IKT-Sicherheit wird vom Betreibenden allerdings nur ungenügend umgesetzt und überwacht. Ein anwendbarer und verbindlicher IKT-Minimalstandard für das Gesundheitswesen fehlt und jeder IT-Dienstleister hat eigene Ansätze, was angemessener Schutz von Gesundheitsdaten bedeutet.
Die zu versorgende Person bestimmt zwar per Gesetz, wer ihre Gesundheitsdaten bearbeiten und darauf zugreifen darf. Allerdings hat sie wenig Mitspracherecht beim Leistungserbringer, den angemessenen Schutz ihrer Daten einzufordern. Zwar gibt es den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und kantonale Datenschutzbeauftragte doch fehlen spezialisierte Organisationen, die sich im Auftrag der zu versorgenden Person für den angemessenen Schutz der Gesundheitsdaten im Spital, bei der Ärzteschaft und insbesondere bei den IT-Dienstleister der Spitäler und Ärzt:innen einsetzen. Nicht zuletzt überfordert die aktuelle Herangehensweise die Patient:innen oder lässt ihnen keine andere Wahl, als Zustimmung zur eingeforderten, meist undifferenzierten Verwendung der Daten zu gewähren.
Die «sektorielle Fach-, Aufsichts- und Regulierungsbehörde», wie es die SKI vorsieht, ist aktuell auf mehrere Akteure verteilt, nicht greifbar und somit nicht handlungsfähig. Hier fehlt eine funktionierende Überwachung der Leistungserbringer, wie das die FINMA für die Zusatzversicherungen und die Zertifizierungsstelle für das EPD übernehmen.

Die Therapie

Aus der fachlichen Sicht sind für Informationssicherheit und Cybersecurity die Vorgehensweisen und Massnahmen nach den Industriestandards des National Institute of Standards and Technology (NIST) oder ISO 27’000 klar und schlüssig definiert. Es muss lediglich ein branchenspezifischer Minimalstandard definiert werden, damit nicht jeder Leistungserbringer und IT-Dienstleister das «anwendbare Mass an IKT-Sicherheit» selbst interpretieren und festlegen kann, sondern dass ein regelbasierter, prüfbarer IKT-Minimalstandard vorliegt. Die Massnahmen lassen sich in Sofortmassnahmen und mittelfristige Massnahmen unterteilen:

Sofortmassnahmen

Als Erstes muss die in der SKI-Strategie definierte sektorielle Fach-, Aufsichts- und Regulierungsstelle für den IKT-Grundschutz im Gesundheitswesen operationalisiert werden. Die aktuell verteilten Zuständigkeiten von BAG, BABS, BACS und FINMA sollen eine Task-Force «Informationssicherheit und Cyberresilienz im Gesundheitswesen» bündeln. Dazu kann sich die Schweiz am Cybersecurity Certification Framework der European Union Agency for Cybersecurity (ENISA) orientieren. Das Framework sieht vor, dass sich Produkte, Prozesse und Services zertifizieren lassen. Dabei ist vorgesehen, dass Behörden, Branchen wie das Gesundheitswesen und Expert:innen einen Anforderungskatalog definieren, eine Validierung für Anbietende und Dritte definieren sowie die Überprüfung durch Dritte regeln. Das kann auch die Akzeptanz ausländischer Zertifizierungen umfassen. Man kann sich dazu an Deutschland orientieren, wo sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale Zertifizierungsautorität für die Umsetzung und Aufsichtsführung etabliert hat. Diese Aufgabe könnte das BACS in der Schweiz übernehmen.

Es braucht einen Mindeststandard für Informationssicherheit und Cyberresilienz für das gesamte Gesundheitswesen. Dieser soll zum einen prinzipienbasiert die Governance regeln, wie sie im NIST Framework 2.0 angefügt wurde, oder gemäss ISO 27’000 als Information Security Management System für klare Rollen und Verantwortlichkeiten sorgen. Zum anderen sollen ein regelbasierter Kontroll- und Anforderungskatalog die wesentlichen Kernelemente wie Netzwerksicherheit, Identitäts- und Zugriffsmanagement, End-Point-Security, Gerätesicherheit, Applikationssicherheit und Cloud Security beinhalten.

Sobald die nationale Zertifizierungsstelle und der IKT-Minimalstandard zusammen mit einem Prüfprogramm erstellt sind, kann die Umsetzung des Standards für Leistungserbringer und IKT-Anbietende in Kraft gesetzt und nach einer Übergangsfrist überprüft werden. Diese Aufgabe kann die nationale Zertifizierungsstelle selbst übernehmen oder an geeignete Dritte delegieren.

Mittelfristige Massnahmen

Ein Data-Governance-Modell soll die Anforderungen der verschiedenen Anspruchsgruppen an Gesundheitsdaten koordinieren. Gesundheitsdaten sollen nach klaren Regeln verarbeitet, redundante Datenhaltung reduziert und Transparenz darüber geschaffen werden, wer zu welchem Zweck auf die Daten zugreift.

An erster Stelle steht der Nutzen der Daten für die Patient:innen selbst
Es folgt die Verbesserung der Qualität und die Steigerung der Effizienz der Leistungserbringung.
Schliesslich geht es um das Thema Forschung und Weiterentwicklung der Medizin. Patient:innen sollen über Opt-in oder Opt-out selbst entscheiden können, ob ihre Daten für die Forschung genutzt werden dürfen. Hier braucht es Standards, da die Forschung meist von kommerziell orientierten Unternehmen aus der Pharmaindustrie zusammen mit Universitäten durchgeführt wird. Somit müssen klare Abgrenzungen für die Nutzung der Daten für Forschung und klinische Studien oder für Marketing- und Werbezwecke definiert und durchgesetzt werden.

Die Verantwortlichen müssen Transparenz darüber schaffen, ob Patientendaten zur Gewinnoptimierung ohne explizite Zustimmung der betroffenen Personen oder zur Verbesserung der medizinischen Versorgung genutzt werden. Das kann Anreize schaffen, dass die Pharmaindustrie die Betroffenen für die Nutzung ihrer Gesundheitsdaten sogar entschädigt.

Es soll explizit festgelegt werden, dass alle Patient:innen ein EPD mit den wesentlichen Grund- und Falldaten für eine effektive und effiziente Notfallversorgung haben. Insbesondere Blutwerte, aktuelle Medikamentenliste, Allergien, Impfungen und andere nötige Informationen sollten aktuell und für Notfalldienste verfügbar sein. Auch Eckdaten der letzten Behandlungen und Untersuchungen sollten den Ärzt:innen, die sich um das Wohl der zu versorgenden Person kümmern, zugänglich sein, um redundante Datenerfassungen zu vermeiden. Die Voraussetzung für eine breite Nutzung des EPD sind:

Die e-ID als übergreifendes Identifikationsmittel: Die e-ID des Bundes soll nach derzeitigem Plan 2026 verfügbar sein. Patient:innen sollen mit einer vertrauenswürdigen, staatlich ausgestellten e-ID auf ihre Patientendaten zugreifen können, ebenso das Gesundheitswesen. Ohne eine vertrauenswürdige e-ID ist es schwierig, das EPD voranzutreiben und einen sicheren Zugriff zu gewährleisten.
Digitalisierung und Umsetzung der «Digital Health»: Eine flächendeckende Digitalisierung des Gesundheitswesens muss verordnet werden; sie erfolgt nicht einfach so.

Einem EPD für alle Patient:innen steht nichts im Weg, wenn die Daten elektronisch bearbeitet und Medienbrüche abgebaut werden, wenn der Grundschutz der Gesundheitsdaten gewährleistet und die Data Governance geregelt sind und wenn eine vertrauenswürdige e-ID für Patient:innen und Leistungserbringer eingeführt ist. So lassen sich Effizienzgewinne an die Patient:innen weitergeben. Diese können gemeinsam mit den Leistungserbringern mithelfen, die steigenden Kosten einzudämmen und die Qualität auszubauen.

Bereits heute nutzen verschiedene Spitäler, Arztpraxen und Versicherungen Cloud-Dienste, sei es Microsoft Office 365 oder Fachanwendungen in einem Software-as-a-Service-Modell. Ein Cloud-Dienst ist weder grundsätzlich sicherer oder unsicherer als die Datenverarbeitung in einem eigenen oder ausgelagerten Datencenter. Wesentlich ist, dass sich der IT-Dienstleister und der Leistungserbringer über die Bedrohungen und daraus abgeleiteten Risiken aus einer Cloud-Nutzung im Klaren sind und eine formelle Risikobeurteilung vorliegt. Der methodische Ansatz dazu ist hinreichend bekannt: Für «normale» Personendaten gemäss dem geltenden Datenschutzgesetz muss eine Datenschutz-Folgenabschätzung durchgeführt werden, um geeignete Schutzmassnahmen zu identifizieren und umzusetzen. Folglich würde es sich aufdrängen, dass ein von Bund und allen Kantonen gemeinsam für Gesundheitsdaten definiertes Schutzprofil für Public-Cloud-Nutzung erstellt wird und zusammen mit ausgewählten IT-Dienstleister wirksam umgesetzt und überwacht wird. Insbesondere sind für die Nutzung der Public Cloud für Gesundheitsdaten die folgenden Punkte zu klären:

a. Verschlüsselung und Schlüsselmanagement
Es muss geklärt werden, ob und unter welchen Voraussetzungen einem Anbietenden einer Public Cloud vertraut werden kann und dessen Verschlüsselung sowie das Schlüsselmanagement genutzt werden soll. Für das Schweizer Gesundheitswesen könnte alternativ eine vertrauenswürdige Drittpartei die Verschlüsselung und/oder das Schlüsselmanagement festlegen, einführen und betreiben. Es macht allerdings wenig Sinn, dass jeder Leistungserbringer und jede Versicherung dieses Problem eigenständig mit seinem IT-Dienstleister regelt und so eine Vielzahl von unterschiedlichen Lösungen entstehen. Im Fall eines unsachgemässen Betriebs des Schlüsselmanagements sind die Daten unwiderruflich verloren.

b. Überwachung der Cloud-Konfiguration und des Betreibers
Public-Cloud-Dienste haben umfassende Sicherheitsmerkmale, die lediglich aktiviert und richtig konfiguriert werden müssen. Es ist allerdings illusorisch anzunehmen, dass dies am Anfang eines Projektes einmal richtig konfiguriert und dann für den Rest der Betriebszeit so belassen werden kann. Einerseits werden Cloud-Dienste permanent aktualisiert. Andererseits muss sichergestellt werden, dass die Sicherheit des Cloud-Dienstes nicht unabsichtlich oder böswillig geschwächt wird. Deshalb müssen Fachspezialist:innen die sicherheitsrelevanten Einstellungen permanent überwachen.

c. KI-Nutzung in der Cloud
Einerseits drängt sich die Nutzung von KI in einer Public Cloud auf, da diese typischerweise so aufgebaut ist, dass sie ausreichend Ressourcen für alle Nutzenden bereitstellt und zunehmend KI integriert ist. Andererseits müssen Daten zur Bearbeitung in der Public Cloud entschlüsselt und die KI-Modelle mit Daten trainiert werden. Nutzt man also eine KI in einer Public Cloud, lässt sich der Zugriff auf die Daten nicht mehr wirksam einschränken, da die KI die Daten unter ihre Kontrolle gebracht hat. Grundsätzlich müssen die Verantwortlichen sicherstellen, dass die KI sowie die Daten im Einklang mit einer breit abgestützten KI-Regulierung bearbeitet werden. Folglich müssten die Daten für die KI in der Public Cloud anonymisiert werden, damit kein Rückschluss auf eine zu versorgende Person mehr möglich ist und die Daten trotzdem aussagekräftig sind. Das ist ein Dilemma mit den heutigen Messmethoden, die ein so detailliertes Profil einer zu versorgenden Person liefern, dass Rückschlüsse schlecht verhindert werden können. KI-Modelle in einer privaten Cloud sind die Alternative, erfordern aber kostspielige Hardware und Energie für den Betrieb in einem Schweizer Data Center.

Das Fazit

Die Informationssicherheit und die Cyberresilienz des Gesundheitswesens haben sich in den letzten Jahren nicht verbessert, obwohl die Herausforderungen zugenommen haben. Mit dem aktuellen Ansatz sind Patientendaten nicht angemessen geschützt. An die Eigenverantwortung der Betreibenden zu appellieren, um die Strategie zum Schutz kritischer Infrastrukturen im Gesundheitswesen umzusetzen, greift zu kurz. Ohne branchenspezifische, regelbasierte Vorgaben, klare Zuständigkeiten und die Überwachung durch eine nationale Aufsichtsstelle für Cybersecurity wird sich die Situation nicht verbessern.

Gefragt sind nun Taten und nicht Worte. Schützenswerte Daten und Patienteninformationen werden immer zahlreicher, ebenso die Teilnehmenden im Gesundheitswesen. Die Daten werden digital geteilt und an verschiedensten Stellen gespeichert. Patient:innen haben Übersicht und Kontrolle über die Gesundheitsdaten längst verloren. Zudem fehlen die Mittel, diese zu verwalten. Das Gesundheitssystem wird mit Prämien und Steuergeldern finanziert. In der Regel bestimmt, wer bezahlt. So liegt ein Teil der Verantwortung auch bei den Auftraggebenden und den Geldgebenden. Alle Beteiligten müssen den Wandel einfordern, die notwendigen Veränderungen aber auch akzeptieren. Informationssicherheit und Datenschutz werden derzeit vor allem als Kostentreiber betrachtet, die man lieber einsparen möchte. Die Verantwortlichen müssten gute Informationssicherheit und Datenschutz als «Preis für die Geschäftstätigkeit im Gesundheitswesen» verstehen – nicht als vermeidbare Mehrkosten.

Die nächsten Schritte

Drei wichtige Branchenakteure können schon heute zur Tat schreiten:

Sie sollen per Gesetz über ihre Daten verfügen können und müssen sich kritisch hinterfragen, ob sie das aktuell können und wollen. Dazu sollten sie ihre Ärzt:innen auffordern, die Gesundheitsdaten angemessen zu schützen und dafür zu sorgen, dass dies auch der IT-Dienstleister tut. In einer direkten Demokratie steht es jedem Bürger frei, die Gesundheitsdirektion oder den Datenschutzbeauftragten der Region zu kontaktieren und Zweifel zu äussern, wenn dem Thema Datenschutz von Patientendaten seiner Meinung nach zu wenig Beachtung geschenkt wird oder Leistungserbringer keine Auskünfte geben. Wir, die Bürger müssen mitwirken, um über die Politik, in den Abstimmungen und in der Eigenwahrnehmung die Zukunft des Gesundheitswesens mitzugestalten, ohne den Schutz der Gesundheitsdaten zu vernachlässigen. Zumindest müssen die Akteure die aktuellen Gesetze und Standards zum Datenschutz einhalten. Falls dies im Gesundheitswesen nicht möglich oder gewünscht ist, braucht es klar definierte Ausnahmen.

Eine Taskforce muss den Auftrag für die «sektoriellen Fach-, Aufsichts- und Regulierungsbehörden» umsetzen. Dazu braucht es eine nationale Regulierungs- und Aufsichtsstelle für Cybersecurity. Es gibt bereits viele Ansätze, aber noch keinen Durchbruch. Vorzugsweise erhält das BACS zusätzlich zur Kompetenz als Beratungs- und Meldestelle auch jene als Standardisierungs- und Aufsichtsstelle. Sollten dem BACS die Ressourcen und das Fachwissen dazu fehlen, kann es das über Public Private Partnerships mit Ressourcen aus der Privatwirtschaft kompensieren.

Die Aufsichtsgremien und Verwaltungsräte, das kantonale Amt für Gesundheit und die Leistungserbringer müssen ihre Verantwortung zur Oberaufsicht für eine geeignete Organisation und zur Einhaltung der Compliance ernst nehmen und nachvollziehbar umsetzen. Dazu gehören der Schutz der Patientendaten und die Einhaltung der Meldepflicht. Insbesondere müssen IT-Dienstleister sowie Hilfspersonen der Leistungserbringer und Versicherungen besser instruiert und beaufsichtigt werden so dass ein IKT-Minimalstandard nachvollziehbar eingehalten wird. Die Gesundheitsbranche hat zahlreiche Verbände und Organisationen, die mithelfen sollen, den IKT-Minimalstandard branchenspezifisch festzulegen, umzusetzen und zu prüfen.

Mittelfristig gilt es das schwierige Konstrukt der Datenverantwortung zwischen Patient:innen, Ärzteschaft, Leistungserbringern, Kostenträgern und Datenschutzbeauftragten zu vereinfachen und in nachvollziehbaren Anwendungsfällen abzubilden. Mit der e-ID ab 2026 erhalten die Einwohner:innen der Schweiz eine digitale Identität. Damit kann es das EPD nutzen und selbst prüfen oder jemanden dazu bevollmächtigen, die Zugriffe auf die Gesundheitsdaten zu regeln und zu überwachen. Patient:innen sollen wissen, welche Gesundheitsdaten wo gespeichert sind und welche Leistungserbringer diese nutzen.

Voraussetzung für eine durchgängige Digitalisierung des Gesundheitswesens ist das EPD als Plattform für die Falldaten der zu versorgenden Person, für Basisdaten wie Allergien, Impfungen und die aktuelle Medikation. Diese Daten lassen sich für die Verbesserung der Dienstleistungsqualität, der Forschung oder weitere Zwecke nutzen – allerdings nur, wenn Informationssicherheit und Governance gewährleistet sind und die Patient:innen wissen, wer die Daten zu welchem Zweck nutzt.

¹Vgl. «Analyse der Cybersicherheit von Klinikinformationssystemen (KIS)», Nationales Testinstitut für Cybersicherheit, 23. Januar 2025

² Vgl. «Nationale Strategie zum Schutz Kritischer Infrastrukturen (SKI)», Schweizerischer Bundesrat, 16. Juni 2023

³Vgl. «Die FINMA und die Krankenzusatzversicherung», FINMA, 1. Januar 2023