Verordnung vom 6. Dezember 2022 über das elektronische Gesundheitsdossier (EGDV)

Aufgrund von Art. 3 Abs. 2, Art. 4 Abs. 3, Art. 5 Abs. 4, Art. 6 Abs. 7, Art. 9 Abs. 4 und Art. 18 des Gesetzes vom 7. Mai 2021 über das elektronische Gesundheitsdossier (EGDG), LGBl. 2021 Nr. 213, verordnet die Regierung:

I. Allgemeine Bestimmungen

Art. 1

Gegenstand

Diese Verordnung regelt in Durchführung des Gesetzes das Nähere über das elektronische Gesundheitsdossier, insbesondere:

• a) die darin verarbeiteten administrativen Daten;

• b) die Grundsätze der Datenverarbeitung, insbesondere die Ausübung der Versicherten- und Teilnehmerrechte, die Zugriffsberechtigungen sowie die Identifikation und Authentifizierung der Zugriffsberechtigten;

• c) die Datenspeicherung und -abfrage im Behandlungsfall;

• d) die besonderen Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit.

Art. 2

Bezeichnungen

Unter den in dieser Verordnung verwendeten Personen-, Berufs- und Funktionsbezeichnungen sind Angehörige des weiblichen und männlichen Geschlechts zu verstehen.

II. Elektronisches Gesundheitsdossier

A. Administrative Daten

Art. 3

Datenerfassung und -bereitstellung

1) Das Amt für Gesundheit erfasst im elektronischen Gesundheitsdossier für jeden Versicherten die folgenden administrativen Daten:

• a) Vor- und Nachname;

• b) Adresse;

• c) persönliche Identifikationsnummer (IDN);

• d) Geburtsdatum;

• e) Angaben zur Grundversicherung.

2) Das Amt für Gesundheit kann Dritte unter Beachtung der Datenschutzgesetzgebung mit der Bereitstellung administrativer Daten nach Abs. 1 beauftragen.

B. Datenverarbeitung

Art. 4

Ausübung der Versicherten- und Teilnehmerrechte

1) Die Versicherten bzw. Teilnehmer können elektronisch über das Zugangsportal der eHealth-Plattform oder schriftlich gegenüber dem Amt für Gesundheit Widersprüche und Widerrufe nach Art. 6 des Gesetzes einbringen sowie von ihren Teilnehmerrechten nach Art. 7 Abs. 2 des Gesetzes Gebrauch machen. Sie können zudem schriftlich gegenüber dem Amt für Gesundheit die Eintragung eines bevollmächtigten Stellvertreters im elektronischen Gesundheitsdossier veranlassen.

2) Die Wahrnehmung der Rechte nach Abs. 1 hat schriftlich unter Verwendung eines vom Amt für Gesundheit zur Verfügung gestellten elektronischen Antragformulars zu erfolgen.

3) Das Amt für Gesundheit hat im Rahmen der Prüfung des Antrags insbesondere die eindeutige Identität der Antragsteller nach Massgabe von Art. 8 festzustellen.

4) Das Amt für Gesundheit hat die mit der Ausübung der Rechte nach Abs. 1 verbundenen Handlungen nach positiver Prüfung eines vollständig eingereichten Antrags im elektronischen Gesundheitsdossier einzutragen; die Handlungen werden erst mit ihrer Eintragung wirksam.

5) Bis zur Vollendung des 14. Lebensjahres erfolgt die Ausübung der Versicherten- und Teilnehmerrechte von Minderjährigen durch den gesetzlichen Vertreter. Die Vertretungsbefugnis ist auf schriftlichen Antrag des gesetzlichen Vertreters im elektronischen Gesundheitsdossier einzutragen. Im Übrigen finden Abs. 2 bis 4 sinngemäss Anwendung.

Art. 5

a) Freischaltung durch den Teilnehmer

1) Teilnehmer ermöglichen EGD-Gesundheitsdienstleistern zum Zwecke der Datenverarbeitung den Zugriff auf ihre Daten des elektronischen Gesundheitsdossiers mittels Freischaltung:

• a) in elektronischer Form über das Zugangsportal der eHealth-Plattform; oder

• b) im Rahmen der Inanspruchnahme einer Behandlungsdienstleistung beim jeweiligen EGD-Gesundheitsdienstleister durch:

• 1. Ausweisung über die elektronische Identität nach dem E-Government-Gesetz (eID); oder

• 1. eine schriftliche Zustimmungserklärung, die der EGD-Gesundheitsdienstleister in der Patientendokumentation ablegt.

2) Teilnehmer können elektronisch über das Zugangsportal der eHealth-Plattform einen oder mehrere EGD-Gesundheitsdienstleister des besonderen Vertrauens bestimmen, die unabhängig von der Inanspruchnahme einer Behandlungsdienstleistung Zugriff auf das elektronische Gesundheitsdossier haben.

3) Bis zur Vollendung des 14. Lebensjahres des Teilnehmers erfolgt die Freischaltung nach Abs. 1 sowie die Bestimmung eines EGD-Gesundheitsdienstleisters nach Abs. 2 durch den gesetzlichen Vertreter.

Art. 6

b) Umfang der Zugriffsberechtigung

1) Aufgrund der durch die eHealth-Plattform standardmässig festgelegten generellen Zugriffsberechtigungen dürfen nachstehende EGD-Gesundheitsdienstleister auf folgende Daten des elektronischen Gesundheitsdossiers zugreifen und diese im Rahmen des Datenzugriffs verarbeiten:

• a) EGD-Gesundheitsdienstleister nach Art. 2 Abs. 1 Bst. c Ziff. 1 bis 4 des Gesetzes sowie Chiropraktoren und Zahnärzte auf sämtliche durch das elektronische Gesundheitsdossier verfügbar gemachte Gesundheitsdaten und genetische Daten nach Art. 5 des Gesetzes;

• b) Apotheker auf Medikationsdaten betreffend verschreibungspflichtige sowie nicht verschreibungspflichtige Arzneimittel.

2) Die Abfrage von Gesundheitsdaten und genetischen Daten nach Art. 5 des Gesetzes ist ab Freischaltung durch den Teilnehmer innerhalb folgender Fristen zulässig:

• a) bei EGD-Gesundheitsdienstleistern nach Art. 2 Abs. 1 Bst. c Ziff. 1 bis 4 des Gesetzes sowie bei Chiropraktoren und Zahnärzten innerhalb einer Frist von 28 Tagen;

• b) bei EGD-Gesundheitsdienstleistern des besonderen Vertrauens nach Art. 5 Abs. 2 innerhalb einer Frist von 365 Tagen;

• c) bei Apothekern innerhalb einer Frist von 24 Stunden.

Art. 7

Zugriffsberechtigung des Amtes für Gesundheit

1) Das Amt für Gesundheit darf vorbehaltlich Abs. 2 nur insoweit auf Daten des elektronischen Gesundheitsdossiers zugreifen, als dies erforderlich ist, um insbesondere zu gewährleisten:

• a) die Durchsetzung der von Versicherten oder Teilnehmern beantragten Widerspruchs- und Widerrufsrechte nach Art. 6 des Gesetzes; oder

• b) die Durchsetzung der von Teilnehmern beantragten Teilnehmerrechte nach Art. 7 des Gesetzes.

2) Das Amt für Gesundheit darf im Rahmen der Erfüllung seiner Aufgaben nach Abs. 1:

• a) in den Fällen nach Abs. 1 Bst. a im elektronischen Gesundheitsdossier verfügbar gemachte Gesundheitsdaten und genetische Daten nach Art. 5 des Gesetzes weder verlangen noch auf diese zugreifen oder diese verarbeiten;

• b) in den Fällen nach Abs. 1 Bst. b auf sämtliche im elektronischen Gesundheitsdossier verfügbar gemachten Gesundheitsdaten und genetischen Daten nach Art. 5 des Gesetzes zugreifen oder diese verarbeiten, wobei der Datenzugriff und die Datenverarbeitung auf das erforderliche Mass zu beschränken sind.

Art. 8

a) Teilnehmer und ihre Stellvertreter

1) Die Authentifizierung der Teilnehmer oder ihrer Stellvertreter im Zugangsportal der eHealth-Plattform oder gegenüber dem Amt für Gesundheit erfolgt auf Grundlage der eID.

2) Zur Sicherstellung der eindeutigen Identität von Teilnehmern oder ihren Stellvertretern, die über keine eID verfügen, kann das Amt für Gesundheit im Rahmen der Erfüllung seiner Aufgaben nach Art. 7 Abs. 1 folgende Nachweise verlangen:

• a) eine Kopie eines amtlichen Lichtbildausweises;

• b) die IDN.

3) EGD-Gesundheitsdienstleister dürfen zur Sicherstellung der eindeutigen Identität des Teilnehmers im Rahmen der Ausübung von Tätigkeiten nach Art. 10 folgende Daten des Teilnehmers verarbeiten:

• a) Vor- und Nachname;

• b) Adresse;

• c) Geburtsdatum;

• d) Geschlecht;

• e) IDN.

Art. 9

b) EGD-Gesundheitsdienstleister

1) Die Authentifizierung der EGD-Gesundheitsdienstleister und der Personen im Sinne von Art. 4 Abs. 2 Bst. c des Gesetzes im Zugangsportal der eHealth-Plattform erfolgt auf Grundlage der eID.

2) Wird der Zugriff auf die eHealth-Plattform über eine integrierte Schnittstelle gewährt, so sind die von den EGD-Gesundheitsdienstleistern verwendeten Praxis- oder Klinikinformationssysteme mittels eines personifizierten Benutzers zu authentifizieren; dabei ist ein dem Stand der Technik entsprechendes Sicherheitsverfahren anzuwenden. Der EGD-Gesundheitsdienstleister hat bei einem Zugriff mittels eines personifizierten Benutzers sicherzustellen, dass der Benutzer sowohl auf Institutions- als auch auf persönlicher Ebene eindeutig identifiziert und protokolliert werden kann.

3) Die technischen Anforderungen an eine Schnittstelle nach Abs. 2 richten sich nach Art. 8 und 9 des Gesetzes und werden vom Amt für Gesundheit auf seiner Internetseite veröffentlicht. EGD-Gesundheitsdienstleister haben dem Amt für Gesundheit auf Verlangen einen Nachweis über die Erfüllung dieser Anforderungen zu erbringen.

Art. 10

Datenspeicherung und -abfrage im Behandlungsfall

1) Das Amt für Gesundheit veröffentlicht die technischen und organisatorischen Vorgaben für die Datenspeicherung und -übertragung, insbesondere die zu verwendenden Austauschformate, auf seiner Internetseite.

2) EGD-Gesundheitsdienstleister haben Gesundheitsdaten und genetische Daten nach Art. 5 Abs. 2 des Gesetzes im Behandlungsfall innerhalb von 90 Tagen nach ihrer Erhebung im elektronischen Gesundheitsdossier des Teilnehmers zu speichern.[^1]

3) EGD-Gesundheitsdienstleister sind nach Massgabe von Art. 6 berechtigt, die im elektronischen Gesundheitsdossier des Teilnehmers gespeicherten Daten nach Art. 5 Abs. 2 des Gesetzes abzufragen.

Art. 10a [^2]

Datenauswertung zur Überprüfung der Speicherpflicht

Das Amt für Gesundheit kann zum Zweck der Überprüfung der Pflicht zur Datenspeicherung im Behandlungsfall nach Art. 5 Abs. 2 des Gesetzes für jeden EGD-Gesundheitsdienstleister nach Art. 2 Abs. 1 Bst. c des Gesetzes die jeweilige Anzahl an gespeicherten Dokumenten pro Monat auswerten.

III. Besondere Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit

Art. 11

Mitteilung bei fehlender Zugriffsberechtigung

Greifen EGD-Gesundheitsdienstleister, die über keine Zugriffsberechtigung verfügen, auf das elektronische Gesundheitsdossier eines Teilnehmers zu, so erhält dieser unverzüglich nach dem Zugriff eine entsprechende Mitteilung in seinem elektronischen Gesundheitsdossier.

Art. 12

Auditierung von Praxis- und Klinikinformationssystemen

1) Das Amt für Gesundheit kann jederzeit Dritte beauftragen, eine Auditierung der von den EGD-Gesundheitsdienstleistern verwendeten Praxis- oder Klinikinformationssysteme vorzunehmen, um zu prüfen, ob diese insbesondere die Anforderungen nach Art. 8 und 9 des Gesetzes erfüllen und die internationalen Standards für die Nutzung des elektronischen Gesundheitsdossiers eingehalten werden.

2) Wird im Rahmen der Auditierung festgestellt, dass das verwendete Praxis- oder Klinikinformationssystem eines EGD-Gesundheitsdienstleisters mangelhaft ist, kann das Amt für Gesundheit Beanstandungen aussprechen und unter Setzung einer angemessenen Frist Massnahmen zur Wiederherstellung des rechtmässigen Zustands anordnen.

IV. Schlussbestimmung

Art. 13

Inkrafttreten

Diese Verordnung tritt am 1. Januar 2023 in Kraft.

Zugriffsberechtigung der EGD-Gesundheitsdienstleister

Authentifizierung und Identifikation

Fürstliche Regierung: gez. Dr. Daniel Risch Fürstlicher Regierungschef

[^1]: Art. 10 Abs. 2 abgeändert durch LGBl. 2024 Nr. 70.

[^2]: Art. 10a eingefügt durch LGBl. 2024 Nr. 70.