Digitale Gesundheitsanwendungen: Cybersicherheit und Datenschutzvorgaben
Options
BORIS DOI
Date of Publication
June 26, 2024
Publication Type
Report
Division/Institute
Language
German
Description
Die verstärkte Nutzung digitaler Technologien im Gesundheitswesen, die Produktion und Verknüpfung von immer mehr schützenswerten und besonders schützenswerten Daten sowie die Entstehung neuer Geschäftsmodelle rücken zwei Themen in den Fokus: Cybersicherheit und Datenschutz. Bei Cybersicherheit geht es um Massnahmen, die die Integrität, Vertraulichkeit und die Verfügbarkeit der Daten stärken sollen. Dabei steht insbesondere die Verbesserung des Schutzes von Informationssystemen vor Angriffen von innen und aussen im Fokus. Bei Datenschutz geht es um den Schutz der individuellen Privatsphäre vor missbräuchlicher Datenverarbeitung sowie die Einhaltung des Rechts auf informationelle Selbstbestimmung, des Persönlichkeitsrechts bei der Datenverarbeitung, beziehungsweise um den Schutz der personenbezogenen Daten. Ziel dieses Berichtes ist es eine Reihe vordefinierter Fragestellungen des Bundesamtes für Gesundheit zu klären und bei der Schaffung eines Verständnisses zu unterstützen, um Herausforderungen im Bereich des Datenschutzes und der Cybersicherheit bei digitalen Gesundheitsanwendungen (dGA) speziell im Bereich der Kostenübernahme durch die obligatorische Krankenpflegeversicherung (OKP) zu verstehen. Dies insbesondere um gegebenenfalls notwendige regulatorische Änderungen anzustossen oder zu ergreifen.
Das dreistufige Vorgehen zur Erstellung dieses Berichtes sah eine Konzeptionsphase, eine Interview- und Recherchephase und eine Analysephase vor. Mit einer ersten Literaturrecherche wurde das Grundverständnis der aktuellen Situation geschaffen. In der zweiten Phase wurden Schlüsseldokumente weiter vertieft und kritische Aspekte und Unklarheiten mit semi-strukturierten Interviews abgedeckt. In der abschliessenden Analysephase wurden Perspektiven der Verwaltung, der Verbände der Leistungszahler, Leistungserbringer, Patienten und Hersteller einbezogen und entsprechende Handlungsempfehlungen formuliert.
Der Fachbericht verortet die Rolle des Bundesamts für Gesundheit (BAG) im sich ständig verändernden Feld der Digitalisierung von Gesundheit. Der Bericht beschreibt, welche aktuellen rechtlichen Vorgaben dGAs sicherer machen und die Privatsphäre Einzelner besser schützen sollen. Er weist ferner aus, inwieweit auch Stellen der Verwaltung die Themen Cybersicherheit und Datenschutz künftig mehr in den Blick nehmen können.
Basierend auf den durchgeführten Analysen, den Einblicken in den Interviews und der Beantwortung der spezifischen Fragen wurden Handlungsempfehlungen mit kurz- und langfristigem Horizont für die Verwaltung und weitere Stakeholdergruppen entwickelt.
Kurzfristige Handlungsempfehlungen (unter 3 Jahren):
- Bei den Stakeholdern bestehen Unsicherheiten bezüglich Einordnung, Vergütung, Verantwortlichkeiten und weiteren Aspekten. Die meisten Stakeholder zeigten sich jedoch offen und interessiert an einem Austausch mitzuwirken, der zum Beispiel im Rahmen von moderierten Stakeholderworkshops des BAGs durchgeführt werden könnte. Die Ausgestaltung eines solchen Workshops und auch der spezifische Beitrag der Stakeholder müsste im Weiteren noch definiert werden. Teile dieses Berichtes könnten für die Vorbereitung eine Grundlage bilden.
- Basierend auf den Analysen der Autoren besteht kein Änderungsbedarf in Bezug auf Datenschutz und Cybersicherheit auf Gesetzes- und Verordnungsebene des Heilmittelgesetzes (HMG, SR 810.30) sowie des Bundesgesetzes über die Krankenversicherung (KVG, SR 832.10) mit Verordnung über die Krankenversicherung (KVV, SR 832.102) und Krankenpflege-Leistungsverordnung (KLV, 832.112.31). Bei allen allfälligen Anpassungen ist zu beachten, dass Schweiz-spezifische Änderungen, zusätzliche Anforderungen aus Sicht der Hersteller darstellen und daher negative Implikationen auf die Versorgungssicherheit als auch auf den Zugang zu neuartigen Technologien haben könnten.
- Das Grundlagendokument Operationalisierung der Kriterien «Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit» sollte bezüglich dGAs spezifiziert und um die Themen Cybersicherheit und Datenschutz ergänzt werden. Im Dokument müsste eine methodische Ergänzung vorgenommen werden, die darlegt, wie diese Elemente in den Prüfprozess einbezogen werden.
- Die bestehenden Antragsprozesse und -dokumente sollten präzisiert werden, dass diese dGAs besser gerecht werden. Zum Beispiel könnte eine Erklärung des Herstellers über die Einhaltung der Datenschutzanforderungen vom BAG im Rahmen der Entscheidung über die Vergütung eingefordert werden sowie in Abstimmung mit dem Bundesamt für Cybersicherheit (BACS) spezifische Fragen zur Cybersicherheit und mit dem Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) spezifische Fragen zum Datenschutz entwickelt werden. Vorab sollte im BAG jedoch im Grundsatz klären, ob die Verantwortung für Cybersicherheit und Datenschutz beim BAG liegt. Neben dem vom BAG publizierten Dokument zur Operationalisierung der Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit (WZW) Kriterien gibt es keine explizite gesetzliche Verpflichtung für diese Aufgaben.
Handlungsempfehlungen mit einem langfristigen Zeithorizont (über 3 Jahren):
- Um der Komplexität der Themen Cybersicherheit und Datenschutz gerecht zu werden, sollte ein kontinuierlicher Austausch zwischen der Bundesverwaltung, Kantonen und den verschiedenen Stakeholdern etabliert werden. Möglich wäre auch die Schaffung eines neuen gesundheitssektorspezifischen Zentrums für Informationsaustausch und Analyse (ähnlich dem Information Sharing and Analysis Center [ISAC] der EU) oder auch die Integration in bestehende Strukturen, zum Beispiel eHealth Suisse. Dabei ist darauf zu achten, dass bestehende Gefässe und Initiativen genutzt werden und keine Doppelstrukturen aufgebaut werden.
- Die Kantone könnten eine Harmonisierung der Anforderungen für die Zulassung und Überwachung von nach kantonalem Recht zugelassenen Abgabestellen für Mittel und Gegenstände anstreben, um schweizweit eine einheitliche Struktur- und Prozessqualität zu garantieren. Dies ist für dGAs umso wichtiger, da kantonale Abgabestellen für dGAs ohne Hürden schweizweit agieren können.
Die Verbände der Leistungserbringer, Versicherer und Hersteller sollten Instrumente entwickeln, mit denen sie ihre Mitglieder über die gesetzlichen Vorgaben im Bereich Cybersicherheit und Datenschutz zielgruppengerecht informieren können.
Das dreistufige Vorgehen zur Erstellung dieses Berichtes sah eine Konzeptionsphase, eine Interview- und Recherchephase und eine Analysephase vor. Mit einer ersten Literaturrecherche wurde das Grundverständnis der aktuellen Situation geschaffen. In der zweiten Phase wurden Schlüsseldokumente weiter vertieft und kritische Aspekte und Unklarheiten mit semi-strukturierten Interviews abgedeckt. In der abschliessenden Analysephase wurden Perspektiven der Verwaltung, der Verbände der Leistungszahler, Leistungserbringer, Patienten und Hersteller einbezogen und entsprechende Handlungsempfehlungen formuliert.
Der Fachbericht verortet die Rolle des Bundesamts für Gesundheit (BAG) im sich ständig verändernden Feld der Digitalisierung von Gesundheit. Der Bericht beschreibt, welche aktuellen rechtlichen Vorgaben dGAs sicherer machen und die Privatsphäre Einzelner besser schützen sollen. Er weist ferner aus, inwieweit auch Stellen der Verwaltung die Themen Cybersicherheit und Datenschutz künftig mehr in den Blick nehmen können.
Basierend auf den durchgeführten Analysen, den Einblicken in den Interviews und der Beantwortung der spezifischen Fragen wurden Handlungsempfehlungen mit kurz- und langfristigem Horizont für die Verwaltung und weitere Stakeholdergruppen entwickelt.
Kurzfristige Handlungsempfehlungen (unter 3 Jahren):
- Bei den Stakeholdern bestehen Unsicherheiten bezüglich Einordnung, Vergütung, Verantwortlichkeiten und weiteren Aspekten. Die meisten Stakeholder zeigten sich jedoch offen und interessiert an einem Austausch mitzuwirken, der zum Beispiel im Rahmen von moderierten Stakeholderworkshops des BAGs durchgeführt werden könnte. Die Ausgestaltung eines solchen Workshops und auch der spezifische Beitrag der Stakeholder müsste im Weiteren noch definiert werden. Teile dieses Berichtes könnten für die Vorbereitung eine Grundlage bilden.
- Basierend auf den Analysen der Autoren besteht kein Änderungsbedarf in Bezug auf Datenschutz und Cybersicherheit auf Gesetzes- und Verordnungsebene des Heilmittelgesetzes (HMG, SR 810.30) sowie des Bundesgesetzes über die Krankenversicherung (KVG, SR 832.10) mit Verordnung über die Krankenversicherung (KVV, SR 832.102) und Krankenpflege-Leistungsverordnung (KLV, 832.112.31). Bei allen allfälligen Anpassungen ist zu beachten, dass Schweiz-spezifische Änderungen, zusätzliche Anforderungen aus Sicht der Hersteller darstellen und daher negative Implikationen auf die Versorgungssicherheit als auch auf den Zugang zu neuartigen Technologien haben könnten.
- Das Grundlagendokument Operationalisierung der Kriterien «Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit» sollte bezüglich dGAs spezifiziert und um die Themen Cybersicherheit und Datenschutz ergänzt werden. Im Dokument müsste eine methodische Ergänzung vorgenommen werden, die darlegt, wie diese Elemente in den Prüfprozess einbezogen werden.
- Die bestehenden Antragsprozesse und -dokumente sollten präzisiert werden, dass diese dGAs besser gerecht werden. Zum Beispiel könnte eine Erklärung des Herstellers über die Einhaltung der Datenschutzanforderungen vom BAG im Rahmen der Entscheidung über die Vergütung eingefordert werden sowie in Abstimmung mit dem Bundesamt für Cybersicherheit (BACS) spezifische Fragen zur Cybersicherheit und mit dem Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) spezifische Fragen zum Datenschutz entwickelt werden. Vorab sollte im BAG jedoch im Grundsatz klären, ob die Verantwortung für Cybersicherheit und Datenschutz beim BAG liegt. Neben dem vom BAG publizierten Dokument zur Operationalisierung der Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit (WZW) Kriterien gibt es keine explizite gesetzliche Verpflichtung für diese Aufgaben.
Handlungsempfehlungen mit einem langfristigen Zeithorizont (über 3 Jahren):
- Um der Komplexität der Themen Cybersicherheit und Datenschutz gerecht zu werden, sollte ein kontinuierlicher Austausch zwischen der Bundesverwaltung, Kantonen und den verschiedenen Stakeholdern etabliert werden. Möglich wäre auch die Schaffung eines neuen gesundheitssektorspezifischen Zentrums für Informationsaustausch und Analyse (ähnlich dem Information Sharing and Analysis Center [ISAC] der EU) oder auch die Integration in bestehende Strukturen, zum Beispiel eHealth Suisse. Dabei ist darauf zu achten, dass bestehende Gefässe und Initiativen genutzt werden und keine Doppelstrukturen aufgebaut werden.
- Die Kantone könnten eine Harmonisierung der Anforderungen für die Zulassung und Überwachung von nach kantonalem Recht zugelassenen Abgabestellen für Mittel und Gegenstände anstreben, um schweizweit eine einheitliche Struktur- und Prozessqualität zu garantieren. Dies ist für dGAs umso wichtiger, da kantonale Abgabestellen für dGAs ohne Hürden schweizweit agieren können.
Die Verbände der Leistungserbringer, Versicherer und Hersteller sollten Instrumente entwickeln, mit denen sie ihre Mitglieder über die gesetzlichen Vorgaben im Bereich Cybersicherheit und Datenschutz zielgruppengerecht informieren können.
File(s)
| File | File Type | Format | Size | License | Publisher/Copright statement | Content | |
|---|---|---|---|---|---|---|---|
| 240626 101 BAG Abschlussbericht_CS_DS.pdf | text | Adobe PDF | 1.27 MB | published |