Legalize / Schweiz / Verordnung

Verordnung vom 22. März 2017 über das elektronische Patientendossier (EPDV)

Typ Verordnung

Veröffentlichung 2017-03-22

Status In Kraft

Ministerium Bundeskanzlei

Quelle Fedlex

Änderungshistorie JSON API

¹ über das elektronische gestützt auf das Bundesgesetz vom 19. Juni 2015 Patientendossier (EPDG), verordnet:

1. Kapitel: Vertraulichkeitsstufen und Zugriffsrechte

Art. 1 Vertraulichkeitsstufen

¹ Die Patientin oder der Patient kann die medizinischen Daten des elektronischen Patientendossiers einer der folgenden drei Vertraulichkeitsstufen zuordnen:

a. normal zugänglich;

b. eingeschränkt zugänglich;

c. geheim.

² Nimmt die Patientin oder der Patient keine Zuordnung vor, so werden neu eingestellte Daten der Vertraulichkeitsstufe «normal zugänglich» zugeordnet, es sei denn, die Gesundheitsfachperson ordnet sie der Vertraulichkeitsstufe «eingeschränkt zugänglich» zu.

Art. 2 Zugriffsrechte

¹ Die Patientin oder der Patient kann Gesundheitsfachpersonen oder Gruppen von Gesundheitsfachpersonen entweder das Zugriffsrecht auf die Vertraulichkeitsstufe «normal zugänglich» oder das Zugriffsrecht auf die Vertraulichkeitsstufen «normal zugänglich» und «eingeschränkt zugänglich» erteilen.

² In medizinischen Notfallsituationen können auch Gesundheitsfachpersonen, denen die Patientin oder der Patient kein Zugriffsrecht erteilt hat, auf die Daten der Vertraulichkeitsstufe «normal zugänglich» zugreifen. Die Patientin oder der Patient wird innert angemessener Frist über den Notfallzugriff informiert.

³ Tritt eine Gesundheitsfachperson einer Gruppe bei, so erhält sie das der Gruppe erteilte Zugriffsrecht. Verlässt eine Gesundheitsfachperson eine Gruppe, so wird ihr dieses Zugriffsrecht entzogen.

Art. 3 Dauer der Zugriffsrechte

¹ Die Zugriffsrechte für Gesundheitsfachpersonen gelten bis zum Entzug durch die Patientin oder den Patienten.

² Die Zugriffsrechte für Gruppen von Gesundheitsfachpersonen müssen von der Patientin oder dem Patienten befristet werden.

Art. 4 Optionen der Patientinnen und Patienten

Die Patientin oder der Patient kann:

a. festlegen, welcher Vertraulichkeitsstufe neu eingestellte medizinische Daten zugeordnet werden;

b. einzelne Gesundheitsfachpersonen vom Zugriff auf ihr oder sein elektronisches Patientendossier ausschliessen;

c. festlegen, dass sie oder er über den Eintritt von Gesundheitsfachpersonen in Gruppen, denen sie oder er ein Zugriffsrecht erteilt hat, informiert wird;

d. die Zugriffsrechte für Gesundheitsfachpersonen nach eigenem Ermessen befristen;

e. das Zugriffsrecht bei medizinischen Notfallsituationen auf die Vertraulichkeitsstufe «eingeschränkt zugänglich» erweitern oder den Zugriff ausschliessen;

f. eine Stellvertretung benennen;

g. Gesundheitsfachpersonen ihrer oder seiner Stammgemeinschaft ermächtigen, die ihnen erteilten Zugriffsrechte höchstens im gleichen Umfang an weitere Gesundheitsfachpersonen oder Gruppen von Gesundheitsfachpersonen zu übertragen.

2. Kapitel: Patientenidentifikationsnummer

Art. 5 Format

¹ Die Patientenidentifikationsnummer besteht aus einer Basisnummer, einer Identifikationsnummer und einer Prüfziffer. Sie darf keinerlei Rückschlüsse auf die Patientin oder den Patienten zulassen.

² Das Eidgenössische Departement des Innern (EDI) legt die Vorgaben für den Aufbau der Patientenidentifikationsnummer und für die Berechnung der Prüfziffer fest.

Art. 6 Antrag auf Vergabe

¹ Die Patientenidentifikationsnummer wird auf Antrag einer Stammgemeinschaft durch die Zentrale Ausgleichsstelle (ZAS) vergeben.

² Die Stammgemeinschaft stellt der ZAS folgende Daten für die Vergabe der Patientenidentifikationsnummer zur Verfügung:

a. den Namen;

b. die Vornamen;

c. das Geschlecht;

d. das Geburtsdatum;

e. die Versichertennummer nach Artikel 50 c des Bundesgesetzes vom 20. De-

² zember 1946 über die Altersund Hinterlassenenversicherung.

³ Reichen die zur Verfügung gestellten Daten für die Vergabe nicht aus, so kann die ZAS bei der Stammgemeinschaft zusätzliche Daten verlangen.

Art. 7 Abfrage und Erfassung

¹ Gemeinschaften und Stammgemeinschaften können die Patientenidentifikationsnummer bei der ZAS über ein elektronisches Abrufverfahren abfragen.

² Die Patientenidentifikationsnummer darf nur manuell erfasst werden, wenn eine Kontrolle der Prüfziffer durchgeführt wird.

Art. 8 Annullierung

¹ Wird ein elektronisches Patientendossier aufgehoben, so wird die entsprechende Patientenidentifikationsnummer in der Identifikationsdatenbank der ZAS annulliert.

² Die ZAS informiert die Gemeinschaften und Stammgemeinschaften über die Annullierung der Patientenidentifikationsnummer.

³ Eine annullierte Patientenidentifikationsnummer darf nicht erneut vergeben werden.

3. Kapitel: Gemeinschaften und Stammgemeinschaften

1. Abschnitt: Gemeinschaften

Art. 9 Objektidentifikator und Verwaltung

¹ Gemeinschaften müssen beim Dienst zur Abfrage der Objektindentifikatoren (OID) nach Artikel 42 für sich sowie für die ihnen angehörenden Gesundheitseinrichtungen einen OID beantragen.

² Sie müssen die ihnen angehörenden Gesundheitseinrichtungen, Gesundheitsfachpersonen und Gruppen von Gesundheitsfachpersonen verwalten. Dazu müssen sie insbesondere:

a. deren Eintritt und deren Austritt regeln;

b. die Gesundheitsfachpersonen identifizieren und deren berufliche Qualifikation überprüfen;

c. für Gruppen von Gesundheitsfachpersonen einen OID vergeben, der auf dem OID der Gesundheitseinrichtung basiert;

d. die Aktualisierung der Daten im Dienst zur Abfrage der Gesundheitseinrichtungen und Gesundheitsfachpersonen nach Artikel 41 sicherstellen;

e. sicherstellen, dass Gesundheitsfachpersonen sich für den Zugriff auf das elektronische Patientendossier mit Identifikationsmitteln authentifizieren, die von einem nach Artikel 31 zertifizierten Herausgeber herausgegeben wurden;

f. die Patientinnen und Patienten auf deren Verlangen über Eintritte von Gesundheitsfachpersonen in Gruppen von Gesundheitsfachpersonen informieren.

Art. 10 Datenhaltung und Datenübertragung

¹ Gemeinschaften müssen sicherstellen, dass:

a. die Artikel 1 und 2 Absatz 2 umgesetzt werden;

b. medizinische Daten des elektronischen Patientendossiers von anderen Datenbeständen getrennt gespeichert werden;

c. für die Speicherung und Übertragung der Daten Verschlüsselungsverfahren nach aktuellem Stand der Technik verwendet werden;

d. die von den Gesundheitsfachpersonen im elektronischen Patientendossier erfassten medizinischen Daten nach 20 Jahren vernichtet werden;

e. bei einer Aufhebung des elektronischen Patientendossiers nach Artikel 21 sämtliche Daten vernichtet werden.

² Auf Verlangen der Patientin oder des Patienten müssen sie zudem sicherstellen, dass:

a. bestimmte auf diese oder diesen bezogene medizinische Daten im elektronischen Patientendossier nicht erfasst werden;

b. Daten von der Vernichtung nach Absatz 1 Buchstabe d ausgenommen werden;

c. bestimmte auf diese oder diesen bezogene medizinische Daten aus dem elektronischen Patientendossier vernichtet werden.

³ Das EDI legt die technischen und organisatorischen Vorgaben für die Datenhaltung und die Datenübertragung fest. Es regelt insbesondere:

a. die zu verwendenden Metadaten;

b. die zu verwendenden Austauschformate;

c. die zu verwendenden Integrationsprofile;

d. die Vorgaben betreffend die Protokolldaten.

⁴ Es kann bestimmen, dass die Vorgaben nach Absatz 3 in der Originalsprache veröffentlicht werden und auf eine Übersetzung in die Amtssprachen verzichtet werden kann.

⁵ Es kann das Bundesamt für Gesundheit (BAG) ermächtigen, die Vorgaben nach Absatz 3 dem Stand der Technik anzupassen.

Art. 11 Zugangsportal für Gesundheitsfachpersonen

Das EDI legt die Anforderungen an das Zugangsportal für Gesundheitsfachpersonen fest, insbesondere in Bezug auf die Bereitstellung und den Abruf von Daten sowie auf die Barrierefreiheit.

Art. 12 Datenschutz und Datensicherheit

¹ Gemeinschaften müssen ein risikogerechtes Datenschutzund Datensicherheitsmanagementsystem betreiben. Dieses muss insbesondere folgende Elemente umfassen:

a. ein System zur Erkennung von und zum Umgang mit Sicherheitsvorfällen;

b. ein Inventar der Informatikmittel und Datensammlungen;

c. die Datenschutzund Datensicherheitsanforderungen an die angeschlossenen Gesundheitseinrichtungen und Dritte.

² Die Gemeinschaften bezeichnen eine Datenschutzund Datensicherheitsverantwortliche oder einen Datenschutzund Datensicherheitsverantwortlichen.

³ Sie müssen die im Datenschutzund Datensicherheitsmanagementsystem als sicherheitsrelevant eingestuften Vorfälle dem BAG melden.

⁴ Das EDI legt die technischen und organisatorischen Anforderungen in Bezug auf Datenschutz und Datensicherheit fest.

⁵ Die Datenspeicher müssen sich in der Schweiz befinden und dem Schweizer Recht unterstehen.

Art. 13 Kontaktstelle für Gesundheitsfachpersonen

Die Gemeinschaften müssen eine Kontaktstelle bezeichnen, die die Gesundheitsfachpersonen im Umgang mit dem elektronischen Patientendossier unterstützt.

2. Abschnitt: Stammgemeinschaften

Art. 14 Zusätzliche Anforderungen für Stammgemeinschaften

Stammgemeinschaften müssen in Ergänzung zum 1. Abschnitt die Vorgaben dieses Abschnitts einhalten.

Art. 15 Information der Patientin oder des Patienten

¹ Vor der Eröffnung eines elektronischen Patientendossiers muss die Stammgemeinschaft die Patientin oder den Patienten insbesondere über folgende Punkte informieren:

a. den Zweck des elektronischen Patientendossiers;

b. die Datenbearbeitung;

c. die Folgen der Einwilligung und die Möglichkeit sowie die Folgen des Widerrufs;

d. die Erteilung der Zugriffsrechte.

² Sie muss der Patientin oder dem Patienten Datenschutzund Datensicherheitsmassnahmen empfehlen.

Art. 16 Einwilligung

Die Stammgemeinschaft hat von der Patientin oder dem Patienten die Einwilligung zur Führung eines elektronischen Patientendossiers einzuholen. Diese muss von der Patientin oder vom Patienten unterzeichnet sein.

Art. 17 Verwaltung

¹ Stammgemeinschaften müssen:

a. die Eröffnung, die Verwaltung und die Aufhebung des elektronischen Patientendossiers regeln;

b. die Patientin oder den Patienten identifizieren;

c. sicherstellen, dass Patientinnen und Patienten und deren Stellvertretung sich für den Zugriff auf das elektronische Patientendossier mit Identifikationsmitteln authentifizieren, die von einem nach Artikel 31 zertifizierten Herausgeber herausgegeben wurden;

d. eine Patientenidentifikationsnummer anfordern;

e. Prozesse zum Wechsel der Stammgemeinschaft vorsehen.

² Sie müssen die Umsetzung von Artikel ² Absätze 1 und 3 sowie Artikel 3 und 4 sicherstellen.

Art. 18 Zugangsportal für Patientinnen und Patienten

Das EDI legt die Anforderungen an das Zugangsportal für Patientinnen und Patienten fest, insbesondere in Bezug auf:

a. die Umsetzung der Artikel 1–4, namentlich die Darstellung der Zusammensetzung der Gruppen von Gesundheitsfachpersonen;

b. die Darstellung der Protokolldaten;

c. die Erfassung und den Abruf von Daten;

d. die Barrierefreiheit.

Art. 19 Von Patientinnen und Patienten erfasste Daten

Das EDI legt die Anforderungen an den Umgang mit den von Patientinnen und Patienten erfassten medizinischen Daten fest.

Art. 20 Kontaktstelle für Patientinnen und Patienten

Stammgemeinschaften müssen eine Kontaktstelle bezeichnen, die die Patientinnen und Patienten im Umgang mit ihrem elektronischen Patientendossier unterstützt.

Art. 21 Aufhebung des elektronischen Patientendossiers

¹ Ein elektronisches Patientendossier wird von der Stammgemeinschaft aufgehoben, wenn die Patientin oder der Patient die Einwilligung widerruft. Die Widerrufserklärung ist während zehn Jahren aufzubewahren.

² Die Stammgemeinschaft darf ein elektronisches Patientendossier frühestens zwei Jahre nach dem Tod eines Patienten oder einer Patientin aufheben.

³ Wird ein elektronisches Patientendossier aufgehoben, so muss die Stammgemeinschaft innert angemessener Frist sämtliche Zugriffsrechte auf das Patientendossier entziehen und die ZAS sowie alle Gemeinschaften informieren.

3. Abschnitt: Evaluation und Forschung

Art. 22

¹ Gemeinschaften und Stammgemeinschaften müssen dem BAG regelmässig Daten für die Evaluation nach Artikel 18 EPDG in pseudonymisierter Form zur Verfügung stellen.

² Das EDI legt die zu liefernden Daten und die Fristen fest.

³ Das BAG kann die Daten der Abfragedienste nach Artikel 39 zu Evaluationsund Forschungszwecken bearbeiten.

⁴ Es kann von den Zertifizierungsstellen und von den zertifizierten Stellen die für die Zertifizierung oder Rezertifizierung relevanten Unterlagen einfordern.

4. Kapitel: Identifikationsmittel

Art. 23 Anforderungen

Das Identifikationsmittel muss:

³ a. der Vertrauensstufe ³ der Norm ISO/IEC 29115:2013(E) entsprechen;

b. so aufgebaut sein, dass es nur von der berechtigten Person verwendet werden kann;

c. ein Authentifizierungsverfahren nach dem aktuellen Stand der Technik mit mindestens zwei Authentifizierungsfaktoren verwenden; und

d. eine Gültigkeitsdauer von höchstens fünf Jahren aufweisen.

Art. 24 Identitätsprüfung

¹ Der Herausgeber des Identifikationsmittels muss die Identität der antragstellenden Person überprüfen. Diese muss sich mit einem Ausweis nach dem Ausweisgesetz

⁴ vom 22. Juni 2001 oder einem Ausweis nach den Artikeln 41–41 b des Ausländer-

⁵ gesetzes vom 16. Dezember 2005 ausweisen oder einen mit einer qualifizierten

⁶ elektronischen Signatur nach dem Bundesgesetz vom 18. März 2016 über die elektronische Signatur signierten Antrag auf elektronischem Weg einreichen.

² Die Prüfung der Identität der antragstellenden Person kann an Dritte delegiert werden.

Art. 25 Daten

¹ Der Herausgeber des Identifikationsmittels weist der antragstellenden Person einen eindeutigen Identifikator zu.

² Er ordnet anhand des Identitätsnachweises nach Artikel 24 Absatz 1 der antragstellenden Person die folgenden Daten zu:

a. den Namen;

b. die Vornamen;

c. das Geschlecht;

d. das Geburtsdatum;

e. die Nummer des Identitätsnachweises.

³ Soll das Identifikationsmittel auch als Nachweis der beruflichen Qualifikation einer Gesundheitsfachperson verwendet werden, so muss er diesem zusätzlich folgende Daten zuordnen:

⁷ ); a. die eindeutige Identifikationsnummer (GLN

b. die durch einen Abgleich mit einem eidgenössischen oder kantonalen Register überprüfte berufliche Qualifikation.

⁴ Er kann die Angaben nach den Absätzen 1, 2 Buchstaben a–d und 3 zur Identifizierung an Gemeinschaften und Stammgemeinschaften übermitteln.

⁵ Er informiert die antragstellende Person über die Sicherheitsvorkehrungen, die sie im Umgang mit dem Identifikationsmittel treffen muss.

⁶ Er speichert die Daten auf Datenspeichern, die sich in der Schweiz befinden und dem Schweizer Recht unterstehen.

Art. 26 Erneuerung

¹ Das Identifikationsmittel kann vor Ablauf seiner Gültigkeitsdauer erneuert werden.

² Der Herausgeber überprüft bei der Erneuerung des Identifikationsmittels die Identität der antragstellenden Person.

Art. 27 Sperrung

Die Inhaberin oder der Inhaber kann das Identifikationsmittel jederzeit vorübergehend oder unwiderruflich sperren lassen.

5. Kapitel: Akkreditierung

Art. 28 Anforderungen

¹ Stellen, die Gemeinschaften, Stammgemeinschaften und Zugangsportale zertifizieren, müssen für die Auditierung und Zertifizierung von Managementsystemen akkreditiert sein durch:

a. die Schweizerische Akkreditierungsstelle (SAS) nach der Akkreditierungs-

⁸ und Bezeichnungsverordnung vom 17. Juni 1996 ;

b. eine ausländische Akkreditierungsstelle, die Mitglied der European cooperation for Accreditation ist; oder

c. eine von der Schweiz gestützt auf ein internationales Abkommen anerkann-

⁹ ten Akkreditierungsstelle.

² Stellen, die Herausgeber von Identifikationsmitteln zertifizieren, müssen für die Auditierung und Zertifizierung von Produkten, Prozessen und Dienstleistungen

¹⁰ akkreditiert sein durch eine Stelle nach Absatz 1 Buchstabe a, b oder c.

³ Die Zertifizierungsstellen müssen über eine festgelegte Organisation und ein festgelegtes Kontrollverfahren verfügen. Darin müssen insbesondere geregelt sein:

a. die Kriterien, nach denen die Einhaltung der Zertifizierungsvoraussetzungen überprüft werden;

b. der Ablauf des Verfahrens, insbesondere das Vorgehen bei festgestellten Unregelmässigkeiten.

⁴ Die Zertifizierungsstellen müssen für die Prüfung der Datenübertragung zwischen Gemeinschaften und Stammgemeinschaften das vom BAG zur Verfügung gestellte Zertifizierungstestsystem verwenden.

⁵ Das EDI legt die Mindestanforderungen an die Qualifikation des Personals, das Zertifizierungen durchführt, fest.

Art. 29 Verfahren

Die Schweizerische Akkreditierungsstelle zieht für das Akkreditierungsverfahren und die Nachkontrolle sowie für die Sistierung oder den Entzug einer Akkreditierung das BAG bei.

6. Kapitel: Zertifizierung

1. Abschnitt: Voraussetzungen

Art. 30 Gemeinschaften und Stammgemeinschaften

¹ Gemeinschaften werden zertifiziert, wenn sie die Vorgaben der Artikel 9–13 erfüllen, Stammgemeinschaften, wenn sie die Vorgaben der Artikel 9–21 erfüllen.

² Das EDI konkretisiert die Zertifizierungsvoraussetzungen nach den Artikeln 9–21.

Die offiziellen Rechtstexte der Schweizerischen Eidgenossenschaft sind gemäss Art. 5 Abs. 1 lit. a–c des Urheberrechtsgesetzes (URG) gemeinfrei. Dieses Dokument ersetzt nicht die amtliche Publikation in der Amtlichen Sammlung (AS) oder im Bundesblatt (BBl). Für eventuelle Ungenauigkeiten bei der Konvertierung in dieses Format wird keine Haftung übernommen.