Unklarheiten bei der Zertifizierung führen zu Startschwierigkeiten und Mehrkosten beim elektronischen Patientendossier
20.3595 · Interpellation · 2020-06-11
Departement des Innern
Erledigt
Wortlaut
Ich bitte den Bundesrat, folgende Fragen zu beantworten:
1. In der EPDG-Botschaft werden die Kosten der Zertifizierung einer Stammgemeinschaft auf 100 000 Schweizer Franken geschätzt. Trifft es zu, dass die effektiven Kosten bis zu 1 Million Schweizer Franken betragen?
2. Weshalb wurden die TOZ und weitere Zertifizierungsvorgaben während laufender Zertifizierungsverfahren angepasst? Trifft es zu, dass das BAG, die Akkreditierungsstelle und die Zertifizierungsstellen über den 15. April 2020 hinaus Gespräche über die Prüflogik und Prüftiefe führen? Wann liegen die verbindlichen Vorgaben vor?
3. Trifft es zu, dass die Zertifizierungsstellen bereits professionell geprüfte Infrastrukturen der Technikprovider weiteren technischen Sicherheitsprüfungen unterziehen müssen?
4. Wann rechnet der Bundesrat damit, dass die erste Stammgemeinschaft und wann die letzte die Zertifizierung abgeschlossen hat?
5. Wie gross ist nach heutigen Erkenntnissen der finanzielle Aufwand für den Aufbau, die Zertifizierung und den Betrieb einer Stammgemeinschaft? Welche Folgen hat die Kostensteigerung der Zertifizierung für die Finanzierung der Stammgemeinschaften?
6. Die Aufbaukosten sind durch erweiterte Zertifizierungsanforderungen stark gestiegen. Was unternimmt der Bundesrat, um die Anschubinvestitionen zu schützen und zu verhindern, dass Stammgemeinschaften den Betrieb einstellen müssen? Sind die Mittel der Anschubfinanzierung im Falle einer Betriebsaufgabe oder Fusion mit einer anderen Stammgemeinschaft zurückzubezahlen?
7. Sind zertifizierte elektronische Identitäten für das EPD verfügbar und was kosten diese? Verfügen nun alle Stammgemeinschaften über zertifizierte elektronische Identitäten für Patienten und Gesundheitsfachpersonen?
8. Wie beurteilt der Bundesrat die Idee, dass es aus Sicherheitsüberlegungen reichen würde, einzig die Plattformbetreiber zu zertifizieren?
Begründung
Gemäss dem Bundesgesetz über das Elektronische Patientendossier (EPDG) mussten sich alle Akutspitäler, Reha-Kliniken und stationäre Psychiatrien bis zum 15. April 2020 einer zertifizierten Stammgemeinschaft anschliessen. Der Termin musste verschoben werden, weil die Zertifizierung noch nicht abgeschlossen werden konnte. Rund einen Monat vor dem Starttermin vom 15. April 2020, hat das EDI die bisher letzte Aktualisierung der "Technischen und organisatorischen Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften" (TOZ) publiziert.
Stellungnahme des Bundesrates
Das elektronische Patientendossiergesetz (EPDG; SR 816.1) verlangt eine Zertifizierung von Stammgemeinschaften und Gemeinschaften, um einerseits den Datenschutz und die Datensicherheit, und andererseits eine technische und semantische Interoperabilität sicherzustellen. Eine solche komplexe Zertifizierung von Organisationen, neuen Software-Applikationen und IT-Infrastrukturen hat es so in der Schweiz noch nie gegeben. Somit haben die Erfahrungen gefehlt, um die zeitlichen und finanziellen Dimensionen in der Botschaft zum EPDG (BBl 2013 5321) exakt zu definieren oder vorauszusagen. Die letzten Jahre seit Verabschiedung und Inkraftsetzung des EPDG haben gezeigt, dass alle Stakeholder diese Komplexität unterschätzt haben. Es ist richtig, dass das Bundesamt für Gesundheit (BAG) deswegen manche kleinen Anpassungen an den Zertifizierungsvorgaben vornehmen musste. Diese waren jedoch nie substantiell und alle involvierten Akteure, insbesondere die Zertifizierungsstellen und Stammgemeinschaften, wurden immer transparent informiert und in die Diskussionen und Entscheidfindungen einbezogen.
1. Die Kosten für die Zertifizierung wurden im Vorfeld von allen Beteiligten zu tief eingeschätzt. Das BAG hat zum jetzigen Zeitpunkt keine Kenntnis über die konkret aufgelaufenen Kosten. Es ist davon auszugehen, dass im Einzelfall die damals geschätzten CHF 100'000 klar überschritten werden.
2. Alle für die Zertifizierung relevanten rechtlichen Grundlagen sind vorhanden und seit langem bekannt. Die per 15. April 2020 vorgenommene letzte Revision der Anhänge der Verordnung des EDI vom 22. März 2017 über das elektronische Patientendossier (EPDV-EDI; SR 816.111) war eine Revision zu Gunsten der Stammgemeinschaften, da hier aus den Zertifizierungsverfahren resultierende Unklarheiten präzisiert wurden.
3. Die Prüfung der Infrastrukturen erfolgt im Rahmen des für das EPDG relevanten Geltungsbereichs. Der Entscheid, ob die "bereits geprüften Infrastrukturen" überprüft werden, hängt davon ab, ob die Elemente der Infrastruktur innerhalb oder ausserhalb des Geltungsbereichs liegen.
4. Die aktuell vorliegende Planung geht von der ersten Zertifizierung im Herbst 2020 aus. Weitere Stammgemeinschaften folgen bis zum Jahresende 2020. Die letzte Zertifizierung sollte Mitte 2021 abgeschlossen sein.
5. Die Planung der Kosten liegt in der Verantwortung der jeweiligen Stammgemeinschaft, welche aufgrund ihrer Struktur und ihres Reifegrades zu unterschiedlichen Grössenordnungen gelangen werden. Zum jetzigen Zeitpunkt liegen keine verlässlichen Angaben vor um diese Frage beantworten zu können.
6. Das BAG begleitet und unterstützt die Stammgemeinschaften seit Beginn der Aufbauarbeiten. Die Anschubfinanzierung war die ersten drei Jahre seit Inkrafttreten im EPDG selbst geregelt (Artikel 20-23) und wurde in Übereinstimmung der entsprechend anwendbaren Artikel gewährt. Die Mittel der Anschubfinanzierung müssen im Falle einer Fusion mit einer anderen Stammgemeinschaft nicht zurückgezahlt werden. Bei einer Betriebsaufgabe muss eine Nicht-Erfüllung des Vertrags geprüft werden.
7. Aktuell sind zwei Herausgeber von Identifikationsmitteln nach EPDG zertifiziert. Die Kosten sind Bestandteil der individuellen Vereinbarungen zwischen den Herausgebern und den Stammgemeinschaften und sind daher nicht öffentlich. Die Beschaffung von Identifikationsmitteln liegt in der Verantwortung der Stammgemeinschaften. Unseres Wissens wird jede zertifizierte Gemeinschaft zum Start entsprechende Verträge abgeschlossen haben.
8. Die Stammgemeinschaften sind die Anbieter des EPD und daher für die Umsetzung der Vorgaben, insbesondere auch zu Datensicherheit/-schutz, gemäss EPDG verantwortlich. Die Plattformbetreiber sind im Rahmen des Betriebs von den Stammgemeinschaften beauftragt, gewisse Dienstleistungen zu erbringen. Die Überprüfung der Umsetzung aller Vorgaben gemäss EPDG bedingen also zwingend die Prüfung bzw. die Zertifizierung der Stammgemeinschaft. Eine Plattform-Zertifizierung kann grundsätzlich diskutiert werden. Dafür bedarf es jedoch einer Revision des EPDG.
Antwort des Bundesrates.