Finanzkontrolle kritisiert Sicherheitslücken beim EPD

In der Theorie kann schon heute jede in der Schweiz wohnhafte Person ein elektronisches Patientendossier (EPD) eröffnen. Bis Ende April haben dies auch rund 110'000 Personen getan, erklärt die Koordinierungsstelle eHealth Suisse. Unter anderem um die Akzeptanz des EPD zu erhöhen, hat der Bundesrat eine Revision des Bundesgesetzes über das EPD angestossen. Sie soll Ende 2025 dem Parlament vorgelegt werden.

Im Vorfeld nahm sich die Eidgenössische Finanzkontrolle (EFK) der Neuausrichtung des EPD an. Während ihrer Prüfung im Januar dieses Jahres gab es jedoch noch zu viel unerledigte Arbeit an dem Thema. Das zuständige Bundesamt für Gesundheit (BAG) hatte zwar bereits Abklärungen gemacht. Diese seien aber noch unvollständig gewesen, so die EFK.

Das BAG habe den Finanzkontrolleuren zwar mitteilen können, dass es durch die EPD-Einführung mit grossen Mehrkosten rechne, aber das Amt habe die Mehraufwände nur exemplarisch schätzen lassen. Beispielsweise müsse bei den rund 17'500 ambulanten Ärztinnen und Ärzten mit jährlichen Zusatzkosten zwischen 5 und 350 Millionen Franken gerechnet werden, so das BAG. Für die EFK zeige die erhebliche Bandbreite die grosse Unsicherheit bei den Kostenfolgen. Die Aufwandschätzungen für viele andere Arten der rund 55'000 betroffenen Gesundheitseinrichtungen fehlten sogar vollständig, kritisiert die EFK.

Die Zusatzaufwendungen müssten jedoch primär von den Gesundheitseinrichtungen und den Stammgemeinschaften getragen werden, doppelt die Finanzkontrolle nach. Der Bund übernehme nur einen zweistelligen Millionenbetrag, um die angedachte zentrale EPD-Infrastruktur neu aufzubauen, plus zwei Millionen Franken jährlich für die Weiterentwicklung. Welche Kosten bei den übrigen Betroffenen anfallen, konnte das BAG im Januar nicht beziffern.

Ob und wie der Nutzen des neu ausgerichteten EPD erreicht werden kann, war laut der EFK im Januar ebenfalls nicht zu ermitteln. Die Kontrolleure äussern Verständnis dafür, dass der Nutzen im komplexen Gesundheitswesen nicht auf Frankenbeträge geschätzt werden kann. Jedoch habe das BAG auch grundsätzlich nicht aufzeigen können, welcher konkrete Nutzen durch die verschiedenen Massnahmen erreicht werden soll. Damit verfügten weder Bundesrat noch Parlament über ausreichend Informationen, um im November über die Revision zu entscheiden.

Die Ämterkonsultation im Januar habe zudem Schwächen offenbart beim Datenschutz und der Datensicherheit des EPD. Wie die EFK schreibt, führt etwa Anschluss aller ambulanten Leistungserbringenden an das EPD zu einer viel grösseren Angriffsfläche. Mit Blick auf die geplante zentrale Datenspeicherung würden Cyberangriffe attraktiver, wenn hochsensible Daten in grosser Menge an einem Ort vorhanden sind.

Das BAG habe im Januar keine Angaben zu den neuen Sicherheitsanforderungen machen können, weder zur Architektur und Konzeption der Infrastruktur noch zu den geplanten Verantwortlichkeiten. So blieben bei den Finanzkontrolleuren auch zur Cybersicherheit viele Fragen offen.