LUKS: Politik nimmt KIS Epic unter die Lupe

Seit 2019 ist am Luzerner Kantonsspital das Klinikinformationssystem (KIS) des US-Anbieters Epic im Einsatz. Das LUKS und die Insel Gruppe waren die ersten Schweizer Spitäler, welche Epic beschafften und in Betrieb nahmen. Letzte Woche hat sich mit dem Unispital Zürich (USZ) eine weitere grosse Klinik für diese Software entschieden.

Es sind teure Anschaffungen: 66 Millionen Franken wurden vom LUKS für Epic budgetiert, 80 Millionen von der Insel Gruppe. 94,8 Millionen beträgt die Vergabesumme des USZ für einen Zeitraum von zehn Jahren.

In Zürich sorgte das KIS im Vorfeld des USZ-Entscheids für eine dringliche Anfrage im Parlament. Und auch in Luzern musste sich der Regierungsrat mit dem Thema Epic befassen. Kantonsrat Bernhard Steiner (SVP) und zahlreiche Mitunterzeichnende reichten im März eine Anfrage «über die Weiterentwicklung und den Datenschutz beim Klinikinformationssystem LUKiS (Epic) am Luzerner Kantonsspital» ein.

Der Regierungsrat hat diese jetzt beantwortet. Zum Stand der Weiterentwicklung schreibt er: «Wie die übrigen Software-Plattformen wird Epic vom LUKS regelmässig aktualisiert und stetig den Anforderungen der Kliniken sowie der medizinischen Entwicklung angepasst und erweitert.»

Mit Epic könnten gemäss LUKS nach Bedarf zunehmend auch intelligente Softwareanwendungen genutzt werden. Das KIS habe auch zu einer Vereinheitlichung der Systemlandschaft geführt.

So sei insbesondere Anfang 2024 das Spital Nidwalden in die IT des LUKS inklusive Epic integriert worden.

Die Kantonsrätinnen und Kantonsräte wollten auch wissen: «Ist es korrekt, dass die Individualisierung der Software so weit fortgeschritten ist, dass eine direkte Weiterentwicklung durch das Mutterhaus Epic erschwert oder ausgeschlossen ist?»

Nach Angaben des LUKS war und ist die «Release-Fähigkeit» von Epic am Spital jederzeit gewährleistet, so der Regierungsrat. Seit 2019 seien insgesamt zehn Updates und im Jahr 2024 eine grosse Veränderung an der Benutzeroberfläche ohne nennenswerte Probleme durchgeführt worden.

Das LUKS selber nehme keine Veränderungen am Quellcode von Epic vor. In den letzten Jahren habe man einige wenige Change Requests in Auftrag gegeben, die von Epic Systems umgesetzt wurden.

Allerdings habe das LUKS bei der KIS-Einführung gewisse Epic-Standards des Basis-Systems, die primär an den amerikanischen Bedürfnissen ausgerichtet sind, nicht übernommen. «Die Einhaltung dieser Standards ist Voraussetzung, um gewisse Module von Epic hindernisfrei übernehmen und ohne Abstriche davon profitieren zu können. Künftig wird sich das LUKS deshalb möglichst an die Epic-Standards halten, um eine direkte Weiterentwicklung durch das Mutterhaus zu ermöglichen», schreibt der Regierungsrat. Eine unabhängige Weiterentwicklung des Klinikinformationssystems sei derzeit aber nicht vorgesehen.

Der Luzerner Regierungsrat betont ebenso wie die Zürcher Kantonsregierung, dass Betrieb und Weiterentwicklung des KIS grundsätzlich in die Zuständigkeit des jeweiligen Spitals fallen. «Das Gesundheits- und Sozialdepartement lässt sich vom LUKS im Rahmen des Beteiligungscontrollings über besondere Vorkommnisse, Entwicklungen und Herausforderungen bei der Weiterentwicklung von Epic bei Bedarf informieren.»

Zu den Themen Datenschutz und -sicherheit gab es vor der parlamentarischen Anfrage im Januar 2025 bereits eine Petition eines LUKS-Patienten an die Staatskanzlei. Mit dieser befasste sich die Kommission Gesundheit, Arbeit und soziale Sicherheit (GASK) in einem Bericht vom April. Das Gremium holte dafür Stellungnahmen des Nationalen Testinstituts für Cybersicherheit (NTC), des Datenschutzbeauftragten des Kantons Luzern und des LUKS ein. Das NTC hatte im Januar verschiedene Klinikinformationssysteme geprüft und bei allen Schwachstellen gefunden – darunter auch bei Epic.

«Das LUKS muss dem oder der Beauftragten für den Datenschutz unverzüglich unbefugte Datenbearbeitungen melden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen», heisst es im Bericht. Gäbe es «Stillhaltevereinbarungen» in den Verträgen zwischen dem LUKS und dem Softwarehersteller Epic, welche der Melde- und Informationspflicht entgegenstehen, wäre dies ein klarer Gesetzesverstoss.

Der Datenschutzbeauftragte gehe davon aus, dass das LUKS die vertraglichen Vereinbarungen mit Epic auf Konformität mit kantonalem Recht und Bundesrecht überprüft und Anpassungen in den Verträgen verlangt hat, sollte dies notwendig gewesen sein. Gemäss Stellungnahme des LUKS bestehe keine «Stillhaltevereinbarung» mit dem KIS-Hersteller.

Zudem führe das LUKS selbst regelmässige Tests der Software durch. Ausserdem arbeite das Spital seit Jahren auch mit den Cybersecurity-Stellen des Bundes zusammen.

Auf den Bericht der GASK verweist auch der Regierungsrat. «Gemäss LUKS sind in organisatorischer Hinsicht die Vorgaben des Datenschutzes in den einschlägigen internen Weisungen und Richtlinien festgehalten, und die Mitarbeitenden werden regelmässig geschult», hält er weiter fest. Auf Seiten Technik würden alle Zugriffe protokolliert. Die Einhaltung der gesetzlichen Vorgaben des Datenschutzes, der Datensicherheit und des Berufsgeheimnisses liege in der Verantwortung des LUKS.