HIN: «Die elektronische Identität ist mehr als ein Ausweis»

Die Tinte unter den Verträgen ist gerade erst getrocknet: Vor wenigen Wochen haben die Föderation der Schweizer Psychologinnen und Psychologen (FSP) und die Health Info Net AG (HIN) ihre partnerschaftliche Zusammenarbeit ausgebaut. Als dritter Partner ist nun zudem die Ärztekasse mit von der Partie. Im Zentrum der Partnerschaft steht die sichere Kommunikation und Übermittlung vertraulicher Daten. Markus Gloor, Projektleiter bei HIN, erklärt, welche Vorteile sich für FSP-Mitglieder ergeben und wieso es sich lohnt, dass Psychologinnen und Psychologen ihre elektronische Identität («myFSP eID») spätestens jetzt in Betrieb nehmen. 

Markus Gloor, HIN hat sich auf die Fahne ­geschrieben, die Kommunikation im Gesundheitswesen sicherer zu machen. Welche Rolle spielt da die Zusammenarbeit mit der FSP?
Wir arbeiten mit der FSP seit Jahren erfolgreich zusammen. Viele haben bereits eine E-Mail-Adresse von HIN, mit der sie vertrauliche Daten sicher mit Patienten, Klientinnen, Krankenkassen oder Spitälern teilen können. Einige nutzen diese auch schon als eID für geschützte Online-Anwendungen, um auf sensible Inhalte zuzugreifen. Diese Dienste werden in Zukunft noch wichtiger, zum Beispiel im Hinblick auf das elektronische Patientendossier. Dass wir unsere Partnerschaft nun vertiefen, fördert das gegenseitige Vertrauen zusätzlich und kann dazu verhelfen, die Psychologinnen und Psychologen noch besser im Gesundheitswesen und somit auch in der Gesellschaft zu verankern. Mit 9000 Mitgliedern ist die FSP nach der FMH der zweitgrösste Berufsverband, mit dem wir eine Partnerschaft pflegen, die auch eine eigene Lösung für die elektronische Identifizierung beinhaltet. Das ist für uns schon eine grosse Sache.

Was sind die Ziele dieser Partnerschaft?
Die wichtigsten Grundpfeiler sind der sichere Datenaustausch via E-Mail sowie die Einführung der elektronischen Identität, welche die FSP für alle Mitglieder im Rahmen der Mitgliedschaft anbietet. Mit der myFSP eID können sich Psychologinnen und Psychologen der FSP gegenüber Partnerorganisationen in der Schweiz ausweisen. Zusätzlich sind auch ein E-Learning-Modul zum Thema Datensicherheit sowie die Software «Variante I» der Ärztekasse für die elektronische Abrechnung und Führung der Klientendossiers im Angebot enthalten. 

Neu wird HIN alle E-Mail-Adressen, die mit @psychologie.ch enden, verwalten. Welche ­Änderung ergibt sich daraus für die Nutzerinnen und Nutzer?
Kurz gesagt, kommen die Nutzerinnen und Nutzer von @psychologie.ch-Adressen damit in den Genuss von HIN-Mail. Durch die Überführung ins Rechenzentrum von HIN werden alle diese Adressen – die ganze sogenannte E-Mail-Domäne @psychologie.ch – Teil des HIN Vertrauensraums. Das bedeutet konkret: Alle E-Mails von diesen Adressen an andere HIN-geschützte Adressen und umgekehrt werden automatisch verschlüsselt übermittelt. Auch mit Dritten ausserhalb des HIN-Vertrauensraums können Nutzerinnen und Nutzer einer @psy­chologie-Adresse so datenschutzkonform kommunizieren. Der Empfänger erhält dann die E-Mail verschlüsselt und kann sie mit einem SMS-Code öffnen. Das ist insbesondere praktisch beim Austausch mit den Patienten, Klientinnen oder Kunden. Der Ablauf ist ähnlich, wie wenn Sie mit Ihrer Bank vertrauliche Daten austauschen.

Wieso ist das sicherer?
Wenn Sie eine E-Mail über eine ungeschützte Adresse versenden, dann ist das wie bei einer Postkarte: Im Prinzip kann sie jeder lesen, der absichtlich oder per Zufall Ihren Mailverkehr verfolgt. Wenn Ihre Adresse etwa über einen Server in den USA läuft, wissen Sie nicht genau, wer Ihre Mails lesen kann und wo sie gespeichert werden. Bei HIN ist es wie bei einem eingeschriebenen Brief: Ihre Daten werden physisch auf unseren Servern in der Schweiz gespeichert. Von dort kann nur die Person sie abholen, für die der Inhalt bestimmt ist. Zudem werden die Daten auf dem Weg von Ihrem Computer zu HIN und von dort zum Empfänger verschlüsselt übertragen. Würde jemand sie unterwegs abfangen, könnte er mit den verschlüsselten Daten nichts anfangen. 

Was muss ich als Nutzer unternehmen, damit meine @psychologie.ch-Adresse künftig besser geschützt ist?
Die Nutzerinnen und Nutzer werden seit Dezember eingeladen, sich bei HIN zu registrieren. Dann durchlaufen Sie den Anmeldeprozess für die myFSP eID. Die Mitglieder werden benachrichtigt, sobald die eigentliche «Züglete» anläuft. Dabei werden die E-Mail-Adressen vom bisherigen Provider übernommen und der Verkehr künftig über die HIN-Server abgewickelt. Das ist notwendig, weil der aktuelle Anbieter eine solche Verschlüsselung nicht selbst vornehmen kann. Da keine Daten automatisch übernommen werden, werden die Mitglieder mit Anleitungen versorgt und der Support von HIN steht für Unterstützung bereit. Hier profitieren wir von unserer 25-jährigen Erfahrung, die HIN zum Branchenstandard im Gesundheitswesen gemacht hat.

Neben dem sicheren Mail-Verkehr spielt auch die elektronische Identität eine wichtige Rolle. Was kann dieser digitale Ausweis?
Je mehr wir uns im digitalen Raum bewegen, desto wichtiger ist es, dass Systeme – oder auch Kontakte, die wir nie physisch getroffen haben – uns zweifelsfrei identifizieren und erkennen können, ob wir zum Zugriff berechtigt sind. Es ist wichtig zu wissen, dass es keine sichere E-Mail ohne elektronische Identität gibt. Die myFSP eID ist aber mehr als ein digitaler Personenausweis. Sie erfasst weitere Merkmale – neben Namen und E-Mail-Adresse unter anderem Diplome und Fachtitel – und bezeugt so die Qualifikation der Psychologin oder des Psychologen. Das ist nicht nur «nice to have»: Wer beispielsweise in Zukunft mit dem Anordnungsmodell über die Grundversicherung abrechnen will, erhält eine zertifizierte Lösung für die digitale Kommunikation. Die elektronische Übermittlung der Rechnungsdaten kann zudem über die Software der Ärztekasse sicher abgewickelt werden. Das gilt ebenso für die Bewirtschaftung von elektronischen Patientendossiers. Aber auch für Lösungen für sichere Videokonsultationen, wie sie in der psychologischen Beratung immer wichtiger werden. Da bieten wir gemeinsam mit der FSP nun eine Lösung aus einer Hand. 

Und wie läuft die Identifikation vor dem ­Bildschirm ab?
Nachdem die persönlichen Angaben abgeschlossen sind, wird im nächsten Schritt die Identität überprüft. Die Psychologin sitzt dabei vor ihrem Computer oder Smartphone. Einer unserer Mitarbeiter führt sie per Videoanruf durch den Identifikationsprozess. Die Psychologin wird ihren Ausweis in die Kamera halten und dabei fotografiert. Zur Überprüfung nennt sie den Bestätigungscode, den sie per SMS erhalten hat. Wenn alles in Ordnung ist, wird anschliessend die eID erstellt.

Wie lange dauert die Anmeldung ungefähr und welche Unterlagen sollte ich zur Hand haben?
Für die Videoidentifikation benötigen Sie einen Computer oder ein anderes Endgerät mit Kamera und Internetzugang, ausserdem ein Mobiltelefon für den SMS-Code. Zur Hand haben müssen Sie einen gültigen Ausweis – Identitätskarte, Pass oder Ausländerausweis – und, wenn Sie eine haben, Ihre GLN. Die Details dazu erhalten aber alle Mitglieder rechtzeitig per E-Mail.  Die Videoidentifikation selbst dauert rund zehn Minuten, für die ganze Anmeldung würde ich eine halbe Stunde reservieren.

Lohnt sich eine Anmeldung auch, wenn ich zum Beispiel als Organisationspsychologe ­ausschliesslich mit Firmen zusammenarbeite?
Auf jeden Fall, zumal das Basispaket ja im Mitgliederbeitrag inbegriffen ist. Das umfasst nicht nur das 
@psychologie.ch-Postfach, sondern zum Beispiel auch den elektronischen Mitgliederausweis, das eLearning-Portal von HIN und das Angebot der Ärztekasse. Auch in der Kommunikation mit Firmen geht es letztlich immer um Personen und um potenziell schützenswerte Daten. Ein sicherer Datenaustausch ist deshalb auch eine wichtige Voraussetzung für das Vertrauen. Psychologinnen und Psychologen sind wie Ärzte an das Berufsgeheimnis gebunden. Es geht dabei nicht nur um Datenschutz, sondern um das Vertrauen der Patienten, Klientinnen und Kunden. Schliesslich werden auch in Human-Resources-Abteilungen oder in der Beratung Gespräche geführt, E-Mails geschrieben und Dokumente übermittelt, die sensible und vertrauliche Informationen beinhalten. Damit gelten hier ähnliche Anforderungen an die Vertraulichkeit und den Datenschutz wie im medizinischen und therapeutischen Bereich. 

Können Sie ein Beispiel machen?
Angenommen, ein Datensatz mit der Kranken­geschichte eines Bundesrats wird gestohlen und geleakt. Wenn dort steht, dass er im Spital war, weil er sich beim Skifahren ein Bein gebrochen hat, dann wird das wohl keine grosse Geschichte. Vielleicht stand es sogar schon in der Presse – man sieht es ja. Wenn nun aber Ausschnitte aus Gesprächen mit einem Psychotherapeuten zu einer Depression oder einem Burnout bekannt werden, gelangen intime Details an die Öffentlichkeit, die dort nie gegen den Willen der Person auftauchen dürften. Klar gibt es auch somatische Krankheiten, bei denen das der Fall ist. Die Verletzung des Gesetzes ist aber in beiden Fällen die gleiche: Es geht immer um besonders schützenswerte Personendaten.

Sind die Daten denn bei HIN absolut sicher?
Auch wir können keinen hundertprozentigen Schutz bieten, aber wir machen alles, was technisch und menschlich möglich ist, um den Umgang mit sensiblen Daten so sicher zu machen, wie es eben geht. Aus Erfahrung wissen wir, dass die meisten Fehler von Menschen gemacht werden. Deshalb investieren wir auch viel in die Schulung und Weiterbildung.

Wo sind meine Daten gespeichert?
HIN speichert alle Daten physisch in der Schweiz. Es gibt also keine Daten in der Cloud oder im Ausland. 

Für die FSP ist wichtig, dass sich in den kommenden Monaten möglichst viele Mit­glieder anmelden. Aus Ihrer Erfahrung mit Ärztinnen und Ärzten: Wer ist am schwersten zu ­überzeugen?
Meine Generation (lacht). Man könnte meinen, dass viele ältere Personen Mühe oder Vorbehalte gegenüber der Technologie haben. Doch nicht selten sind Personen im Pensionsalter die Ersten, die sich melden. Sie haben Zeit und wollen einfach mal ausprobieren, wie das funktioniert, sind neugierig. Bei der Generation der Digital Immigrants gibt es einige, die schon früh auf digitale Technologien umgestiegen sind. Andere hingegen blieben eher skeptisch und meinen nun, sich zehn Jahre vor der Pensionierung nicht mehr darum kümmern zu müssen. Aber da könnten sie sich täuschen, wenn beispielsweise auch Patientinnen und Klienten vermehrt für Datenschutz sensibilisiert sind und entsprechende Fragen stellen.