Elektronisches Patientendossier und Zertifizierung

Alle Patientendaten jederzeit und überall elektronisch verfügbar – auf einer zertifizierten Grundlage.

Bestimmte Prozessabläufe wurden in den letzten drei Jahren komplett digitalisiert wie z.B. Patienten-Onboarding, Gesundheitsfachpersonen-Onboarding (GFP), Identifikation und Authentifikation des Bürgers resp. Patienten für den Erhalt der elektronischen ID.

Mit dem Bundesgesetz über das elektronische Patientendossier (EPD) sollen die Qualität der medizinischen Behandlung gestärkt, die Behandlungsprozesse verbessert, die Patientensicherheit erhöht und die Effizienz des Gesundheitssystems gesteigert sowie die Gesundheitskompetenz der Patienten gefördert werden. Uni-Spitäler, Privatspitäler, Regiospitäler, Rehakliniken, Psychiatrien,

Pflege- und Altersheime, Arztpraxen, Labore und Radiologien, Spitex sowie Geburtshäuser sind verpflichtet sich einer (Stamm)-Gemeinschaft anzuschliessen oder eine zu gründen. Das EPDG legt die rechtlichen Voraussetzungen fest, unter denen die im elektronischen Patientendossier enthaltenen medizinischen Daten bearbeitet werden können.

Die daraus abgeleiteten technischen und organisatorischen Mindestanforderungen muss jede (Stamm)Gemeinschaft mit ihren EPD Software Plattform Providern gewährleisten und angeschlossene Gesundheitseinrichtungen zertifizieren lassen. KPMG zertifiziert alle Stammgemeinschaften und sämtliche Gesundheitseinrichtungen innerhalb der Schweiz. 

• Ungenügende Sicherheitsmassnahmen der Informations- und Kommunikationssysteme
• Verlust von sensitiven Patientendaten
• Missbräuchliche Datenzugriffe
• Mangelhafte Geschäftsprozesse oder Transaktionen, mangelhafter Schutz der verarbeiteten Informationen
• Cyber-Angriffe (unautorisierte Zugriffe auf Kernsysteme)

• Versagen / Unzulänglichkeit von Management Systemen und Strukturen
  
• Software Fehlkonfigurationen
• Verlust von sensitiven, besonders schützenswerten Patientendaten
• Datenentnahme in Spitälern und IT Support Gesellschaften

Konformitäts-/ GAP-Assessment

Vor dem Zertifizierungsaudit führt KPMG bei Ihnen in einem Pre-Audit ein Assessment mit ausgewählten Prüfzielen durch, um Sie auf die Zertifizierung vorzubereiten und allfällige Gaps und Risiken zu identifizieren.

Zertifizierungsaudit gemäss EPDV (EDI) TOZ-Anhang 2

KPMG prüft das EPD gemäss den administrativen und technischen Mindestanforderungen (u.a. ToD, TOE). Aus diesem Audit resultiert die EPDV-Zertifizierung durch KPMG und eine offizielle «Eidgenössische Bestätigung» sowie eine Beglaubigung des Bundesamts für Gesundheit (BAG).

Wiederholungsaudits

Für Jahr 2 und Jahr 3 werden Wiederholungsaudits zur Aufrechterhaltung der Anforderungen aus der EPDV (EDI) TOZ-Anhang 2 durchgeführt.

Die angezeigte Grafik veranschaulicht die verschiedenen Fachthemen, welche gemäss den Ausführungsbestimmungen der EPDV (EDI) TOZ-Anhang 2 in einem Zertifizierungsaudits analysiert werden.

Die Fachthemen lassen sich in folgende Bereiche einteilen:

• Organisation, Recht, Prozesse
• IT, Betrieb und Unterhalt
• Software Konfiguration
• Sicherheitsschutz in der ICT Server Infrastruktur 

EPDV (EDI) TOZ-Anhang 2

Elektronisches Patientendossier, technische und organisatorische Zertifizierungsvoraussetzungen für Stamm- / Gemeinschaften.

EPDV (EDI) IdP-Anhang 8

Aufbau von Identity Providern (IdP) für Gesundheitsfachpersonen (GFP) und für Patienten für die Ausstellung von Identifikationsmitteln im Bereich.

KPMG verfügt über ausgewiesene Fachspezialisten, die Audits im Bereich ICT- und Software-Testing, Engineering und Compliance durchführen und detailliert über die spezifischen Anforderungen des EPDG informiert sind.

Zudem kann KPMG auf grosses Wissen zurückgreifen, das in verschiedenen Projekten im Software-Engineering, Cyber-Risk und Healthcare Bereich gewonnen wurde.