Verordnung
über das elektronische Patientendossier
(EPDV)

¹ Ge­mein­schaf­ten müs­sen ein ri­si­ko­ge­rech­tes Da­ten­schutz- und Da­ten­si­cher­heits­ma­na­ge­ment­sys­tem be­trei­ben. Die­ses muss ins­be­son­de­re fol­gen­de Ele­men­te um­fas­sen:

a.

ein Sys­tem zur Er­ken­nung von und zum Um­gang mit Si­cher­heits­vor­fäl­len;

b.

ein In­ven­tar der In­for­ma­tik­mit­tel und Da­ten­samm­lun­gen;

c.

die Da­ten­schutz- und Da­ten­si­cher­heits­an­for­de­run­gen an die an­ge­schlos­se­nen Ge­sund­heits­ein­rich­tun­gen und Drit­te.

² Die Ge­mein­schaf­ten be­zeich­nen ei­ne Da­ten­schutz- und Da­ten­si­cher­heits­ver­ant­wort­li­che oder einen Da­ten­schutz- und Da­ten­si­cher­heits­ver­ant­wort­li­chen.

³ Sie müs­sen die im Da­ten­schutz- und Da­ten­si­cher­heits­ma­na­ge­ment­sys­tem als si­cher­heits­re­le­vant ein­ge­stuf­ten Vor­fäl­le dem BAG mel­den.

⁴ Das EDI legt die tech­ni­schen und or­ga­ni­sa­to­ri­schen An­for­de­run­gen in Be­zug auf Da­ten­schutz und Da­ten­si­cher­heit fest.

⁵ Die Da­ten­spei­cher müs­sen sich in der Schweiz be­fin­den und dem Schwei­zer Recht un­ter­ste­hen.