Das EDI-Podium 2023 vom 30. Juni im Luzerner Kantonsratssaal stand ganz im Zeichen des nDSG, das ohne Übergangsfrist per 1. September 2023 in Kraft treten wird. Was ändert sich für das Gesundheitswesen? In ihrem Referat geben Hellmuth Brandt von x-tention Informationstechnologie AG und André Baumgart vom Verband Zürcher Krankenhäuser (VZK) eine Einsicht in ihre Zusammenarbeit.

Die Frage, die Mitarbeitende des Gesundheitswesens momentan bewegt: Bringt das revidierte Datenschutzgesetz des Bundes viele Änderungen? Hellmuth Brandt und André Baumgart berichteten über ihre erfolgreiche Zusammenarbeit und gaben eine Einschätzung für die Zukunft ab. Dass Datenschutz nicht gleich Datenschutz ist, ist anhand des Beispiels des Kantons Zürich gut ersichtlich. Muss man sich z. B. den Blinddarm entfernen lassen und dafür im Spital bleiben, so unterliegen diese Daten anderen Bestimmungen als diejenigen Daten einer Person, die sich ambulant den Finger nähen lässt. Spitäler im kantonalen Leistungsauftrag, sogenannte Listenspitäler, unterliegen in den stationären Behandlungen dem kantonalen Datenschutzrecht, während ambulante Behandlungen dem Datenschutz des Bundes unterliegen. Was bedeutet dies also in Hinsicht auf nDSG?

x-tention, die Beraterseite
Hellmuth Brandt ist «leidenschaftlicher Datenschützer» – eine Passion, die seine Faszination für die Arbeit als Informatiker ideal ergänzt. Aus diesem Grund sind für ihn die Neuerungen sowie die damit verbundenen Herausforderungen sehr spannend. «Ich mag es», sagt er über das neue Datenschutzgesetz, «und es bringt unter dem Strich nur wenig Änderungen für Spitäler im kantonalen Leistungsauftrag.»

In seiner Funktion als Berater Informationssicherheit und Datenschutz bei x-tention sieht er den Datenschutz im Spannungsfeld zwischen verschiedenen Bereichen wie IT, Datenschutz, Informationssicherheit sowie dem Marketing und dem Geschäftsbetrieb. «All diese Sparten müssen eine gemeinsame Sprache finden, um miteinander kommunizieren und arbeiten zu können.» Diese Sprachfindung sei Sache der Geschäftsleitung, die zwischen den Bereichen vermitteln und diese Haltung auch vorleben müsse. «Sonst funktioniert es nicht. Genau deshalb ist die Einführung und Einhaltung von Standards auch so wichtig. Die Informationen, die wir aus den Daten schöpfen können, müssen bestmöglich geschützt werden.» Aus diesem Grund bietet x-tention Unterstützung mittels Vorlagenpaketen zu Datenschutz und Informationssicherheit, die speziell für Schweizer Krankenhäuser entwickelt wurden und leicht individuell anpassbar sind.

VKZ, die Kundenseite
Auch Dr. André Baumgart, Leiter Qualität Patienten- und Informationssicherheit Verband Zürcher Krankenhäuser (VKZ), ist für klare Richtlinien. Der VKZ nahm und nimmt das Knowhow von x-tention  gerne in Anspruch. Was den aktuellen Status der Implementierung in Zürcher Spitälern angeht, ist Baumgart zuversichtlich gestimmt. «Wir beim VZK sind mittendrin in der Projektumsetzung. Teilweise war und ist es sehr mühsam, nicht nur wegen Covid. Ein häufiges Problem: fehlende HR-Ressourcen in den Spitälern. Zudem wollen viele Spitäler möglichst frei sein und keine permanenten Beraterteams neben sich wissen.

Im Vergleich zum letzten Jahr beobachten wir jedoch eine merkliche qualitative Verbesserung. Die Projektanforderungen und technische, operationelle und personelle (TOP-)Massnahmen sind klarer respektive fix zur Umsetzung definiert, der Leitfaden wird aktuell umgesetzt und damit sind bereits 50 – 60 % der Anforderungen der ISO27001 erfüllt. Auch werden Awareness-Kampagnen durchgeführt. Der Datenschutz ist im Bewusstsein der Mitarbeitenden angekommen, auch im operativen Bereich.»

Rückblick und Ausblick
Hellmuth Brandt fasst zusammen: «Die Zusammenarbeit mit dem ZVK ist zwar intensiv und interessant, macht aber viel Spass. Auch, wenn noch nicht alle Institutionen hundertprozentig am Ziel sind – es ist wichtig, dass sich die Spitäler auf den Weg machen. Fertig wird man ja sowieso nie.» Dr. André Baumgart blickt in die Zukunft: «Das erste Ziel ist sicher, den vorliegenden Leitfaden komplett umzusetzen. In einem weiteren Schritt werden die Standards gesteigert, schlussendlich werden wohl ISO-Zertifizierungen gefordert werden.» Es gibt noch viel zu tun, aber man ist auf dem richtigen Weg.

Dos beim Datenschutz

• Datenschutz und Informationssicherheit leben und vorleben
• Jährliche Ist-Analyse
• Priorisiert anhand der Ist-Analyse vorgehen
• Abgestimmt auf verfügbare Ressourcen planen
• Geschäftsleitung aktiv einbeziehen und dauerhafte Verantwortungsübernahme zur Sicherstellung des Stands der Technik fordern.
• Laufend Awareness schaffen und halten
• Botschafter für Datenschutz und Informationssicherheit in der gesamten Organisation definieren und aktiv einbeziehen

Don’ts

• Datenschutz, Informationssicherheit sind nicht nur ein Projekt
• Einfach einmal anfangen
• Alles auf einmal anfangen wollen
• Übersteuern der täglichen Aufgaben durch das Projekt
• Geschäftsleitungsaussagen einfach folgen
• Risikozuweisung ausserhalb der Geschäftsführung akzeptieren
• Belegschaftsschulungen & Trainings >30 Minuten
• Aussagen wie «Datenschutz verbietet» oder «Informationssicherheit verbietet» ohne weitere Begründung zu akzeptieren

Download Präsentation (PDF)