Das sagt die Luzerner Regierung zum Datenschutz des Epic-KIS am Kantonsspital
Seit über 5 Jahren arbeitet das Luzerner Kantonsspital mit Epic, einem US-amerikanischen Klinikinformationssystem. Nach einer parlamentarischen Anfrage und einer Petition beantwortete der Luzerner Regierungsrat unlängst ein paar kritische Fragen zu dessen Sicherheit und Datenschutz.
Das Klinikinformationssystem (KIS) des US-amerikanischen Anbieters Epic gibt in der Politik zu reden. In Luzern etwa reichten Parlamentarier aus dem Kantonsrat eine Anfrage ein. Zudem erhielt der Kanton auch eine Petition aus der Bevölkerung. Sie nahm Bezug auf einen vom Nationalen Testinstitut für Cybersicherheit (NTC) durchgeführten Test mehrerer KIS-Systeme, der auch kritische Schwachstellen offenbarte.
Verantwortung liegt beim Spital
Das Luzerner Kantonsspital (LUKS) führte Epic im Herbst 2019 ein und migrierte damit mehrere separate Plattformen auf ein einheitliches System.
Sowohl in der vom Regierungsrat beantworteten parlamentarischen Anfrage als auch in der von der kantonsrätlichen Kommission Gesundheit, Arbeit und soziale Sicherheit (GASK) verfassten Stellungnahme zur Petition kommt das Thema Datenschutz ausführlich zur Sprache. Für das LUKS bestehe eine Melde- und Informationspflicht bei einem Sicherheitsvorfall. Das Spital müsse etwa unbefugte Datenbearbeitungen der kantonalen Behörde für Datenschutz unverzüglich melden, "wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen", schreibt die GASK. Auch die betroffenen Personen müsse das LUKS informieren, wenn es zu deren Schutz erforderlich sei oder der Datenschutzbeauftragte dies verlange.
Gleiches schreibt auch der Regierungsrat. Unter Berufung auf Auskünfte des LUKS fügt er hinzu, das Spital halte in organisatorischer Hinsicht die Vorgaben des Datenschutzes in den einschlägigen internen Weisungen und Richtlinien fest. Ausserdem schule es Mitarbeitende regelmässig und – als technische Massnahme – protokolliere sämtliche Aktivitäten und Transaktionen. Dabei hält es unter anderem "die Identität der zugreifenden Person sowie Datum, Uhrzeit, Ereignis und Anlass der Zugriffe" fest.
Der Regierungsrat hält in der Stellungnahme fest, dass das LUKS dafür verantwortlich sei, die gesetzlichen Vorgaben des Datenschutzes, der Datensicherheit und des Berufsgeheimnisses einzuhalten. Zur Einführung des Systems habe der damalige Datenschutzbeauftragte das KIS geprüft. Das LUKS "hat bei allen Vorhaben eine Risikoabwägung hinsichtlich der Wahrung der Grund- und Persönlichkeitsrechte vorzunehmen und gegebenenfalls die kantonale Datenschutzbeauftragte einzubeziehen".
Keine Stillhaltevereinbarung mit Epic
Die Verfasser der Anfrage an den Regierungsrat – Politiker Bernhard Steiner und eine Reihe Mitunterzeichnender – erkundigen sich noch genauer, wie Epic mit Patientendaten umgeht. "Es gibt Beispiele, dass medizinische Daten über Epic weltweit für Studien und Publikationen zugänglich sind, ohne dass transparent wäre, wer Zugriff hat, wer die Daten nutzt und wer die Kontrolle darüber ausübt", schreiben sie dazu.
Darauf erwidert der Regierungsrat, die Nutzung von medizinischen Daten für die Forschung und Studien durch Spitäler erfolge unabhängig des KIS. Das LUKS hole bei seinen Patientinnen und Patienten vorgängig den so genannten "Generalkonsent" und damit die Einwilligung zur Verwendung der gesundheitsbezogenen Daten und Proben ein. Somit könne der Patient der Verwendung zustimmen, diese aber auch verweigern. Ferner würden Daten vorgängig verschlüsselt oder anonymisiert, bevor sie in ein Forschungsprojekt einfliessen. Und schliesslich brauche es für jedes Forschungsprojekt die Bewilligung einer Ethikkommission.
In seinem Cybersecurity-Prüfbericht gab das NTC Spitälern unter anderem die Empfehlung, beim Beschaffen von KIS-Lösungen einseitige Geheimhaltungserklärungen zugunsten der Hersteller abzulehnen. Dass das LUKS eine solche "Stillhaltevereinbarung" unterzeichnet haben könnte ("die alle Security-Probleme unter den Teppich wischt"), bereitet dem Petitionär sorgen. Er fordert die Regierung auf, entsprechende Verträge unverzüglich aufzulösen.
In diesem Punkt beruhigt die Kantonsratskommission: "Gemäss Stellungnahme des LUKS besteht keine "Stillhaltevereinbarung" mit dem Hersteller des betriebenen Klinikinformationssystems", schreibt sie in ihrer Antwort. Zudem teste das Spital die Software auch selber. Dabei gehe es etwa um Prävention, Schutz, Erkennung, Abwehr von Vorfällen respektive um die Wiederherstellung der Systeme im Ereignisfall. Das LUKS arbeite zudem seit Jahren auch mit den Cybersecurity-Stellen des Bundes zusammen.
Übrigens gründeten 18 Schweizer Spitäler und Kliniken unlängst einen Verein zur Abwehr von Cyberangriffen. Ziel ist es, ein Frühwarnsystem zur Erkennung von IT-Risiken für das Gesundheitswesen zu etablieren. Zudem geht es den Mitgliedern um mehr Verhandlungsmacht im Rahmen von ICT-Beschaffungen, wie sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Best of Swiss Apps 2025 geht in die Verlängerung
Ein Gourmet im Fast-Food-Restaurant
Das sagt die Luzerner Regierung zum Datenschutz des Epic-KIS am Kantonsspital
So setzen Verwaltungen KI sicher und sinnvoll ein
Cyberkriminelle greifen Apple-User über Whatsapp an
Cyberkriminelle täuschen mit bekannten Persönlichkeiten
Swissbit angelt sich G-Data-Urgestein
Das sind die schnellsten Fahrer der Netzmedien Sommer Party 2025
Falsche Captchas verbreiten Schadsoftware
