Der vom Bundesrat genehmigte Bericht geht aus einer Datenschutzerhebung zu den besonderen Formen der obligatorischen Krankenversicherung hervor, die sich um drei Fragen drehte. Bei der ersten Frage ging es darum, welche Daten zu welchen Zwecken und gegebenenfalls über welche Informationskanäle zwischen Versicherern und Arztpersonen ausgetauscht werden. Die zweite Frage befasste sich mit den von den Krankenversicherern getroffenen technischen und organisatorischen Massnahmen zum Schutz heikler Daten. Die dritte Frage betraf die Möglichkeiten der Versicherer, auf die IT-Systeme der Arztpraxen zuzugreifen.
Gesicherter Informationsaustausch
In allen angesprochenen Punkten gelangt der Bericht zum Schluss, dass die Kompetenzen des Bundesamtes für Gesundheit (BAG) und des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB für die Ausübung der Aufsicht über die Krankenversicherer ausreichend sind und den Datenschutz bei besonderen Versicherungsformen gewährleisten.
Die Erhebung zeigt, dass Patientendaten und Daten zu medizinischen Leistungen zwischen Krankenversicherern, Facharztpersonen und Hausarztpersonen gesichert ausgetauscht werden. Zudem entsprechen die technischen und organisatorischen Massnahmen zur Gewährleistung des Schutzes heikler Daten den geforderten Standards. Dies zeigt sich insbesondere daran, dass die Versicherer den Kreis der Personen mit autorisiertem Zugriff auf die Patientendaten kontrollieren und dass der gesicherte Mailversand überwiegt. Schliesslich geht aus der Erhebung hervor, dass der Versicherer keinesfalls Zugang zu den IT-Systemen der Hausarztpraxen hat.
Dritte Erhebung seit 2009
Der vom Bundesrat genehmigte Bericht stützt sich auf die Ergebnisse der dritten Datenschutzerhebung seit 2009. Die erste Erhebung, mit der einem Postulat Folge gegeben wurde, ergab, dass in mehreren Punkten noch Verbesserungsbedarf besteht. Infolgedessen wurde ein Kreisschreiben erlassen und zwischen 2011 und 2012 eine zweite Erhebung durchgeführt, die eine deutliche Verbesserung, aber auch immer noch zu schliessende Lücken aufzeigte. Der Bundesrat hatte daher 2013 das BAG und den EDÖB beauftragt, im Rahmen ihrer Aufsichtstätigkeit dafür zu sorgen, dass die noch bestehenden Mängel behoben und die gesetzlichen Vorgaben zum Datenschutz umgesetzt werden. In der Folge führten der EDÖB und das BAG zwischen 2013 und 2019 zahlreiche Kontrollen durch. (pm/hzi/sec)