Elektronisches Patientendossier und Zertifizierung

Alle Patientendaten jederzeit und überall elektronisch verfügbar – auf einer zertifizierten Grundlage.

Bestimmte Prozessabläufe wurden in den letzten drei Jahren komplett digitalisiert wie z.B. Patienten-Onboarding, Gesundheitsfachpersonen-Onboarding (GFP), Identifikation und Authentifikation des Bürgers resp. Patienten für den Erhalt der elektronischen ID.

Mit dem Bundesgesetz über das elektronische Patientendossier (EPD) sollen die Qualität der medizinischen Behandlung gestärkt, die Behandlungsprozesse verbessert, die Patientensicherheit erhöht und die Effizienz des Gesundheitssystems gesteigert sowie die Gesundheitskompetenz der Patienten gefördert werden. Uni-Spitäler, Privatspitäler, Regiospitäler, Rehakliniken, Psychiatrien,

Pflege- und Altersheime, Arztpraxen, Labore und Radiologien, Spitex sowie Geburtshäuser sind verpflichtet sich einer (Stamm)-Gemeinschaft anzuschliessen oder eine zu gründen.

Das EPDG legt die rechtlichen Voraussetzungen fest, unter denen die im elektronischen Patientendossier enthaltenen medizinischen Daten bearbeitet werden können.

Die daraus abgeleiteten technischen und organisatorischen Mindestanforderungen muss jede (Stamm)Gemeinschaft mit ihren EPD Software Plattform Providern gewährleisten und angeschlossene Gesundheitseinrichtungen zertifizieren lassen. KPMG zertifiziert alle Stammgemeinschaften und sämtliche Gesundheitseinrichtungen innerhalb der Schweiz.

Matthias Bossardt

Partner, Leiter Cyber & Digital Risk Consulting

KPMG Switzerland

Reto P. Grubenmann

Director, Leiter der Zertifizierungsstelle

KPMG Switzerland

Anspruchsgruppen

Stamm- und Gemeinschaften inkl. EPD Software Plattform Provider

Die Grafik zeigt, dass viele Stamm-, und Gemeinschaften (inkl. EPD Software Plattform Provider) zu den Anspruchsgruppen gehören. Nebst den medizinischen Leistungserbringern, zählen administrative Gruppen wie kantonale Gesundheitsdepartments, das BAG und Supportfirmen, um einige zu nennen, auch dazu.

Elektronisches Patientendossier Anspruchsgruppen

Mögliche Risiken im Bereich e-Patientendossier

Ungenügende Sicherheitsmassnahmen der Informations- und Kommunikationssysteme
Verlust von sensitiven Patientendaten
Missbräuchliche Datenzugriffe
Mangelhafte Geschäftsprozesse oder Transaktionen, mangelhafter Schutz der verarbeiteten Informationen
Cyber-Angriffe (unautorisierte Zugriffe auf Kernsysteme)

Versagen / Unzulänglichkeit von Management Systemen und Strukturen
Software Fehlkonfigurationen
Verlust von sensitiven, besonders schützenswerten Patientendaten
Datenentnahme in Spitälern und IT Support Gesellschaften

Wie läuft das KPMG Zertifizierungsaudit ab?

Konformitäts-/ GAP-Assessment

Vor dem Zertifizierungsaudit führt KPMG bei Ihnen in einem Pre-Audit ein Assessment mit ausgewählten Prüfzielen durch, um Sie auf die Zertifizierung vorzubereiten und allfällige Gaps und Risiken zu identifizieren.

Zertifizierungsaudit gemäss EPDV (EDI) TOZ-Anhang 2

KPMG prüft das EPD gemäss den administrativen und technischen Mindestanforderungen (u.a. ToD, TOE). Aus diesem Audit resultiert die EPDV-Zertifizierung durch KPMG und eine offizielle «Eidgenössische Bestätigung» sowie eine Beglaubigung des Bundesamts für Gesundheit (BAG).

Wiederholungsaudits

Für Jahr 2 und Jahr 3 werden Wiederholungsaudits zur Aufrechterhaltung der Anforderungen aus der EPDV (EDI) TOZ-Anhang 2 durchgeführt.

Elektronisches Patientendossier Vorgehensweise Zertifizierungsstelle

Analyse der Fachthemen

Die angezeigte Grafik veranschaulicht die verschiedenen Fachthemen, welche gemäss den Ausführungsbestimmungen der EPDV (EDI) TOZ-Anhang 2 in einem Zertifizierungsaudits analysiert werden.

Die Fachthemen lassen sich in folgende Bereiche einteilen:

Organisation, Recht, Prozesse
IT, Betrieb und Unterhalt
Software Konfiguration
Sicherheitsschutz in der ICT Server Infrastruktur

Elektronisches Patientendossier Fachthemenanalyse

Zertifizierungsstellen SCESm 0071 und SCESp 0127

EPDV (EDI) TOZ-Anhang 2
Elektronisches Patientendossier, technische und organisatorische Zertifizierungsvoraussetzungen für Stamm- / Gemeinschaften.

EPDV (EDI) IdP-Anhang 8
Aufbau von Identity Providern (IdP) für Gesundheitsfachpersonen (GFP) und für Patienten für die Ausstellung von Identifikationsmitteln im Bereich.

Erfüllen Sie Kundenanforderungen, staatliche Vorschriften und Normen mit Leichtigkeit.

Zertifizierungsdienstleistungen

Beratung Cyber- und digitale Risiken

KPMG verfügt über ausgewiesene Fachspezialisten, die Audits im Bereich ICT- und Software-Testing, Engineering und Compliance durchführen und detailliert über die spezifischen Anforderungen des EPDG informiert sind.

Zudem kann KPMG auf grosses Wissen zurückgreifen, das in verschiedenen Projekten im Software-Engineering, Cyber-Risk und Healthcare Bereich gewonnen wurde.

Resilient bleiben, schnell reagieren und Geschäftskontinuität gewährleisten. Wir helfen Ihnen dabei.

Cyber & Digital Risk Beratung