In der Schweiz sind seit 1919 die für das Gesundheitswesen in den Kantonen zuständigen Regierungsmitglieder in einem Koordinationsorgan vereinigt: der Gesundheitsdirektorenkonferenz GDK. Zweck dieser Konferenz ist es, die Zusammenarbeit zwischen den 26 Kantonen, dem Bund und weiteren wichtigen Organisationen des Gesundheitswesens zu fördern. Auch Vertreter aus dem Fürstentum Liechtenstein nehmen an den Sitzungen der GDK teil.
Neben der gesamtschweizerischen Konferenz gibt es auch regionale Konferenzen wie die "Gesundheitsdirektorenkonferenz Ost" (GDK-Ost). Die GDK-Ost koordiniert die Zusammenarbeit und die Strategie im Gesundheitswesen der in ihr vertretenen Kantone. Im Herbst 2005 beauftragte die GDK-Ost eine Arbeitsgruppe E-Health unter St. Galler Leitung damit, die Möglichkeiten für E-Health in der Ostschweiz aufzuzeigen. E-Health ist die Unterstützung der Beziehungen und Prozesse zwischen den Beteiligten im Gesundheitswesen durch vernetzte elektronische Medien. Als ein erstes Projekt wurde die elektronische Unterstützung der Abläufe für die "Kostengutsprache" vorgeschlagen. Denn die Kostengutsprache ist ein Prozess, der zwar auf einfachen Regeln basiert, mit seinen papierbasierten Formularen und vielen Beteiligten in unterschiedlichen Organisationen aber oft sehr langsam abläuft.
Zum besseren Verständnis wird das Konzept der Kostengutsprachen hier zunächst kurz erläutert: Krankenversicherungen tragen selten die ganzen Behandlungskosten eines Patienten. Für den Teil, den die Krankenversicherungen nicht tragen, erhält ein Spital vom Wohnsitzkanton des Patienten einen Betrag als Entschädigung zugesprochen. Eine Kostengutsprache wird dann notwendig, wenn ein Patient in einem Spital behandelt werden soll, das nicht im Wohnsitzkanton des Patienten liegt. Der Wohnsitzkanton muss Behandlung und Aufenthalt seiner Patienten zwar vergüten, die Vergütung muss jedoch mittels Kostengutsprache bewilligt werden. Dabei sind die Entschädigungen für die Spitäler in jedem Kanton unterschiedlich hoch. Für eine solche ausserkantonale Hospitalisierung muss die Gesundheitsdirektion des Wohnkantons die Gründe prüfen, die den Versicherten berechtigen, sich in einem ausserkantonalen Spital behandeln zu lassen. Da die Gründe für eine medizinische Behandlung aus Sicht des Datenschutzes schützenswerte Personendaten sind, muss in dem Verfahren sichergestellt werden, dass nur berechtigte Personen Zugriff auf die persönlichen Informationen erhalten.
Aus dem Vorschlag der Arbeitsgruppe wurde ein Auftrag der GDK-Ost an die Abraxas Informatik AG. Es wurde die elektronische Service-Plattform (eSP) entwickelt, auf welcher die "elektronische Kostengutsprache" (eKOGU) als Service angeboten wird. eKOGU ist seit Anfang 2009 auf der elektronischen Service-Plattform in Betrieb. Neben Spitälern und Gesundheitsdirektionen können auch Arztpraxen und andere im Gesundheitswesen involvierte Stellen den eKOGU-Service nutzen.

Vorstellung der Geschäftspartner

Auftraggeber
In der GDK-Ost sind die Kantone Appenzell Innerrhoden, Appenzell Ausserrhoden, Glarus, Graubünden, St. Gallen, Schaffhausen, Thurgau, Zürich und das Fürstentum Liechtenstein zusammengeschlossen. Vertreten werden die Kantone jeweils durch die für das Gesundheitswesen verantwortlichen Regierungsmitglieder. Sie können in Absprache mit den Kantonsregierungen Aufträge im Bereich Gesundheitswesen erteilen. Auftraggeber für das Projekt "elektronische Kostengutsprache" (eKOGU) sind die Kantone der Gesundheitsdirektorenkonferenz Ost sowie der Kanton Tessin. Das Fürstentum Liechtenstein ist an eKOGU nicht beteiligt.

Business Software Anbieter
Die Abraxas Informatik AG ist ein etabliertes Schweizer ICT-Unternehmen mit breitem Leistungsangebot für öffentliche Verwaltungen und Organisationen im staatlichen Umfeld sowie in ausgewählten Segmenten für Privatunternehmen. Das Unternehmen mit Hauptsitz in St. Gallen hat weitere Niederlassungen in Zürich, Frauenfeld, Lausanne und Winterthur. In den Geschäftsfeldern Geschäftsprozessintegration, Fachanwendungen und Services bietet Abraxas den Kunden sämtliche relevanten Dienstleistungen aus einer Hand: von Consulting über Applikationsentwicklung und Implementierung bis hin zu Infrastrukturbereitstellungen und Betriebsleistungen.

Auf den eKOGU-Service auf der elektronischen Service-Plattform (eSP) konnten bisher nur Personen zugreifen, die zum Zweck der Sicherstellung des Datenschutzes eine der beiden folgenden Voraussetzungen erfüllten: Sie mussten entweder über einen speziell gesicherten Client-Rechner für interaktive Webzugriffe auf die eSP verfügen oder mit dem Informationssystem ihrer Organisation (Server) an einer Austauschplattform angeschlossen sein, die speziell für den automatisierten Datenaustausch im Gesundheitswesen vorgesehen ist.
Die speziell gesicherten Client-Rechner stehen hauptsächlich in Arztpraxen und ermöglichen eine interaktive Nutzung der Dienste auf der eSP. Auf ihnen ist der sogenannte "ASAS-Client" installiert. Der ASAS-Client (Arpage Security and Access Services) ist ein Softwareprodukt der Firma Arpage AG in Küsnacht. Den ASAS-Client kann man sich als einen Browser mit besonderen Sicherheitsmerkmalen vorstellen. Er basiert wie die SuisseID auf Zertifikaten und garantiert die Vertraulichkeit, Authentizität und Sicherheit der Daten bei der Übertragung. Ein ASAS-Client ist auf eine Rechnerhardware ausgestellt und nicht auf eine natürliche Person, wie es bei der SuisseID der Fall ist. Mit dem ASAS-Client kann ausser auf die eSP auch auf die gesicherte Extranet-Plattform im Schweizer Gesundheitswesen HIN (Health Info Net) zugegriffen werden. HIN ermöglicht den Austausch von Daten zwischen vielen Leistungserbringern und Kostenträgern im Gesundheitswesen. HIN kann als eine Art "Closed User Group" gesehen werden: Nur mit einem ASAS-Client kann auf HIN und die daran angeschlossenen Dienste zugegriffen werden.
Für den Austausch von Daten zwischen den Anwendungssystemen der Akteure im Gesundheitswesen werden von den Intermediären MediData AG und H-Net AG spezielle Austauschplattformen betrieben. An sie sind grössere Spitäler und Krankenversicherer direkt angeschlossen, sodass in einem System erfasste Daten automatisch an ein anderes übermittelt werden können.

Geschäftssicht und Prozesse
Der Anfang 2009 in Betrieb genommene eKOGU-Service auf der eSP unterstützt den elektronischen Austausch der Daten für Kostengutsprachen und den Prozessablauf mit Regeln und Workflowfunktionen. Das soll hier einleitend veranschaulicht werden: Ein Spital hat verschiedene Kostenträger. Nebst Gesundheitsdirektionen für die ausserkantonale Behandlung sind dies z.B. die Krankenkassen (Grund- und Zusatzversicherung), die Schweizerische Unfallversicherungsanstalt SUVA, die Invaliden Versicherung (IV) oder ein Sozialamt. Auch stellen nicht immer nur Spitäler und Ärzte die Anträge auf Kostengutsprache, sondern auch andere Leistungserbringer, wie Heime, Gefängnisse und weitere.
Die Beteiligten können im Prozess für die Kostengutsprache in zwei Gruppen eingeteilt werden: in die Gruppe der Leistungserbringer und die Gruppe der Kostenträger (vgl. Abb. 1). Der eKOGU-Service unterstützt zurzeit die Abwicklung der Kostengutsprache zwischen Leistungserbringern wie Spitälern und den kantonalen Gesundheitsdirektionen als Kostenträgern.

Abb. 1: Business-Szenario eKOGU-Service auf der elektronischen Service-Plattform

Mit der im Jahr 2010 lancierten SuisseID können sich alle am Business-Szenario beteiligten Rollen an der eSP authentifizieren. Dadurch wurde der Personenkreis, der den eKOGU-Service nutzen kann, vergrössert. Der Zugriff kann mit der SuisseID von einem gewöhnlichen Webbrowser aus direkt auf die eSP erfolgen. Der Kreis der Nutzer, die mit der Authentifizierung durch die SuisseID hinzugekommen sind, umfasst in erster Linie die Stellen in öffentlichen Verwaltungen, die zwar an eKOGU partizipieren wollen, aber nicht die ganze Funktionalität der spezialisierten Dienste benötigen. Dabei bietet die SuisseID eine vergleichbare Sicherheit in Bezug auf die Authentifizierung von Personen, die auf die eSP zugreifen. Wie beim Zugriff auf das Netzwerk von HIN mit dem ASAS-Client müssen sich Personen ebenfalls bei einer Zulassungsstelle identifizieren und einen Pass oder eine Identitätskarte vorweisen.
Für den Zugriff mit der SuisseID muss sich eine Person zuerst auf der eSP registrieren. Dazu muss die Person schon im Besitz einer bereits aktivierten SuisseID sein. Der Registrierungsprozess läuft als ein Service auf der eSP. Im ersten Schritt des Registrierungsprozesses muss die antragstellende Person ein Webformular ausfüllen. Im Webformular müssen Name, Vorname, Organisation, E-Mail-Adresse und Telefonnummer eingegeben werden. Im zweiten Schritt muss mittels SuisseID eine Authentisierung durchgeführt werden. Dazu muss die antragstellende Person den SuisseID-Anbieter auswählen, von dem sie ihre SuisseID bezogen hat. Mit der Bestätigung des Anbieters kann die SuisseID automatisch auf ihre Gültigkeit geprüft werden. Ist die Prüfung erfolgreich, werden Name, Vorname und SuisseID-Nummer aus dem Zertifikat zu den bereits erfassten Angaben hinzugefügt. Der Registrierungsantrag wird automatisch gespeichert und zur weiteren Bearbeitung freigegeben. Mitarbeitende von Abraxas prüfen nun die gemachten Angaben. Sie klären bei der angegebenen Organisation ab, ob die betreffende Person bei der Organisation arbeitet und auf den eKOGU-Service zugreifen darf.
Ist die Prüfung erfolgreich, wird auf der eSP ein Nutzerkonto angelegt. Dem Nutzerkonto werden die entsprechenden Berechtigungen und die SuisseID-Nummer zugewiesen. Nach dem Anlegen des Nutzerkontos wird die antragstellende Person per E-Mail informiert, dass das Konto nun angelegt ist und mit der SuisseID auf den eKOGU-Service zugegriffen werden kann.
Tritt ein Nutzer aus einer Organisation aus, z.B. wegen Kündigung des Arbeitsverhältnisses oder einer Änderung des Aufgabengebietes, liegt es in der Verantwortung der Organisation des Nutzers, dass die Berechtigungen auf eKOGU gelöscht werden. Die Organisation kann die Löschung der Berechtigungen auf eKOGU von Abraxas vornehmen lassen oder eine in der Organisation mit der Nutzerverwaltung beauftragte Person nimmt die Löschung vor. Auf der eSP können einem Nutzerkonto Berechtigungen für die Nutzerverwaltung zugewiesen werden. Die Berechtigungen erlauben die Änderung und Löschung von Nutzerrechten, jedoch nicht das Anlegen neuer Nutzerkonten.

Anwendungssicht
Wie schon im Kapitel "Entscheidung für die SuisseID" erwähnt, können Beteiligte auch ohne SuisseID auf die eSP zugreifen (vgl. Abb. 2). Sie verwenden dazu entweder einen Webbrowser auf einem Rechner, der mit dem ASAS-Client ausgerüstet ist, oder sie sind mit dem Informationssystem ihrer Organisation an einer Austauschplattform wie MediData oder H-Net angeschlossen. Über diese Austauschplattformen können Nachrichten im XML-Format ausgetauscht werden. Die XML-Nachrichten müssen dabei nach den vom "Forum Datenaustausch" entwickelten Schemata aufgebaut sein. Zu den vom Forum verabschiedeten Standards gehört z.B. das XML-Format für die elektronische Leistungsabrechnung für Ärzte und Spitäler [Forum Datenaustausch, 2010].
Ein angeschlossenes Informationssystem kann z.B. ein ERP-System sein, das für den Einsatz in der Gesundheitsbranche eingerichtet wurde. Oder es kann ein Krankenhaus-Informationssystem (KIS) sein, wie es in grösseren Spitälern im Einsatz ist [Adam, 1980].

Abb. 2: Anwendungssicht ohne SuisseID

Für den interaktiven und dialogbasierten Zugriff via Webbrowser wird neu entweder ein ASAS-Client von HIN oder eine SuisseID benötigt.
Die Funktionsweise des ASAS-Clients ist ähnlich wie bei der SuisseID. Ein Rechner mit ASAS-Client ist automatisch am Netzwerk HIN angemeldet. Die Verbindung ist dabei mittels VPN-Verschlüsselung (Virtual Private Network) gesichert. Beim Zugriff auf die eSP werden die Nutzerinformationen durch HIN übergeben und der zum ASAS-Client auf der eSP registrierte Nutzer wird automatisch angemeldet. HIN gewährleistet, dass nur berechtigte Nutzer auf die eSP zugreifen können. Die Verbindung zwischen HIN und eSP ist ebenfalls durch VPN gesichert.
Dabei ist zu beachten, dass faktisch der Rechner mit dem ASAS-Client und nicht die Person identifiziert werden. Während die Zertifikate der SuisseID eine Person ausweisen, ist das Zertifikat beim ASAS-Client auf einen Rechner ausgestellt und fest auf ihm installiert. Einen ASAS-Client erhält nur, wer nachweislich eine bestimmte Rolle oder Funktion innehat. Eine Funktion kann z.B. durch die Zulassung als praktizierender Arzt belegt sein. Eine zulässige Rolle wäre die Beteiligung an den administrativen Prozessen einer Funktion im Gesundheitswesen.
Mit der SuisseID ist der Zugriff auf die eSP ohne spezielle Netzwerkanbindung möglich (vgl. Abb. 3). Voraussetzung ist, dass die Person auf der eSP registriert ist (vgl. Kapitel "Geschäftssicht und Prozesse").
Bei der einmaligen Registrierung wird die Authentisierung mit identifizierenden Merkmalen eingesetzt [Quade, 2010: S. 20]. Danach können sich die registrierten Nutzer über die einfache Authentisierung direkt auf der eSP anmelden. Die eSP prüft beim Identity Provider/Claim Assertion Services (IdP/CAS) der SuisseID-Anbieter die Gültigkeit der verwendeten SuisseID
Die Kommunikation zwischen Webbrowser und eSP wird via TLS (Transport Layer Security) mit einem 1024bit langen Schlüssel gesichert. Für den Austausch der Daten wird das in der SuisseID-Spezifikation definierte Verfahren auf Basis der Security Assertion Markup Language (SAML) eingesetzt [Bürge, Zweiacker, 2010: S. 36].

Abb. 3: Anwendungssicht mit SuisseID

Die eSP ist modular nach einem Baukastensystem aufgebaut. Je nach Anforderungen des zu unterstützenden Service können die benötigten Module zusammengestellt werden. Die Module sind in Bereiche eingeteilt (vgl. Abb. 4). Viele Module können wiederverwendet werden – so auch die Authentisierung mit der SuisseID. Die Datenübertragung kann über MediData, H-Net oder für andere Anwendungsbereiche auch über Sedex erfolgen. Nur einzelne Module im Bereich Businesslogik und Daten werden spezifisch für einzelne Services wie eKOGU bereitgestellt.

Abb. 4: Baukastensystem der elektronischen Service-Plattform (© Abraxas Informatik AG)

 

Investitionsentscheidung
Die Entscheidung von Abraxas, auf Basis der SuisseID eine weitere Zugriffsmöglichkeit auf die eSP zu implementieren, wurde vom Auftraggeber GDK-Ost begrüsst. In den für die Kostengutsprache zuständigen kantonalen Stellen wird teilweise der ASAS-Client eingesetzt. Der ASAS-Client erfordert jedoch für die Nutzung Änderungen an den Rechnern, den Kommunikationssystemen und der Netz-Firewall, die von den Sicherheitsrichtlinien der Kantone nicht vorgesehen sind. Die Installation eines ASAS-Clients muss von den für die Sicherheit zuständigen kantonalen Stellen bewilligt werden. Für den Einsatz der SuisseID sind hingegen keine Änderungen an den Kommunikationssystemen der Kantone notwendig.
Vor der Lancierung der SuisseID wurde über andere interaktive Zugriffsmöglichkeiten auf den eKOGU-Service diskutiert. Eine davon ist die "Health Professional Card" (HPC) [FMH Swiss Medical Association, 2010]. Die HPC ist eine Smartcard ähnlich der SuisseID. Im bestehenden Kontext hat sie jedoch den Nachteil, dass sie nicht allen am Prozess Beteiligten zugänglich ist, da sie nur auf Ärztinnen und Ärzte ausgestellt wird. Besitzer der HPC können sich aber nach den bestehenden Verfahren via HIN authentifizieren und über den ASAS-Client auf eKOGU zugreifen.
Für die Implementierung der SuisseID wurde von Abraxas eine grobe Aufwandschätzung gemacht. Für die technische Implementierung wurden zehn Personentage geschätzt. Eine Risikoabschätzung oder eine Return-on-Investment-Berechnung wurde nicht durchgeführt.

Entstehung und Einführung der Lösung
Für die Entwicklung der SuisseID-Zugriffsmöglichkeit wurde das Java Software Development Kit (SDK) verwendet, das vom Staatssekretariat für Wirtschaft SECO bereitgestellt wurde. Die vom SDK benötigten Teile wurden mit minimalen Anpassungen übernommen.
Die Möglichkeit, sich mit der SuisseID an der eSP anzumelden, wird von Abraxas aktiv auf den zur Verfügung stehenden Kanälen beworben. Sie wird in Produktbeschreibungen und auf der Abraxas-Website beschrieben sowie in Präsentationen über die eSP erwähnt.

Laufender Unterhalt und geplante Weiterentwicklung
Neben dem üblichen betrieblichen Unterhalt wie Datensicherung und Nutzerverwaltung benötigt das System keinen Unterhalt.
Eine geplante Weiterentwicklung sieht vor, dass neben den vorgestellten Rollen auch Leistungsempfänger, d.h. Patienten, auf das System zugreifen können, denn in einigen Kantonen sind die Patienten am Prozess der Kostengutsprache beteiligt. Geplant ist auch, einen eKOGU-Service für weitere Leistungserbringer und Kostenträger aufzubauen. Weitere Leistungserbringer wie z.B. Heime holen Kostengutsprachen bei Kostenträgern wie Sozialämtern ein.
Zukünftig sollen den Kostenträgern nach erfolgter Leistungserbringung nicht nur Kostengutsprachen, sondern auch Rechnungen elektronisch zugestellt werden können. Zur Rechnungsprüfung sollen Tarifmodelle hinterlegt werden können, um die Rechnungsprüfung zu automatisieren. Zusätzlich sind Schnittstellen zu verbreiteten Buchhaltungslösungen geplant, damit die Zahlungsauslösung ebenfalls vereinfacht wird.

Die Nutzer von eKOGU schätzen die Vorteile des elektronisch unterstützten Prozesses ? vor allem die Möglichkeit jederzeit nachzusehen, bei welcher Stelle eine bestimmte Kostengutsprache gerade in Bearbeitung ist und wie viele Kostengutsprachen momentan bearbeitet werden.
Von den zehn grossen Spitälern in der GDK-Ost arbeiten Ende 2010 sechs mit eKOGU, in erster Linie mit dessen Webinterface. Die noch nicht angeschlossenen Spitäler warten noch auf den XML-Standard für die Kostengutsprache, die vom Forum Datentausch voraussichtlich Anfang 2011 verabschiedet wird. Nach der Verabschiedung werden die Softwarelieferanten der Spitäler den XML-Standard in ihre Produkte aufnehmen. Ab dem 3. Quartal 2011 werden die ersten Spitäler mit der Umsetzung der eKOGU-Anbindung über XML via H-Net oder MediData starten (vgl. Kapitel "Anwendungssicht").
Von den an eKOGU angeschlossenen Organisationen wurden im Jahr 2009 rund 8'000 Kostengutsprachen über eKOGU abgewickelt. In den ersten drei Quartalen 2010 waren es bereits rund 11'000 Kostengutsprachen. Mit dem Anschluss der weiteren Spitäler wird das Volumen nochmals um mindestens 4'000 Kostengutsprachen pro Jahr steigen.
Von der Authentisierung mit der SuisseID wird erwartet, dass ein grösserer Kreis an Nutzern in den bisher angeschlossenen Organisationen mit eKOGU arbeiten wird. Seitens Gesundheitsdirektionen und öffentlichen Verwaltungen wird eine höhere Flexibilität bei der Einbindung neuer Mitarbeitenden erwartet.
Die Kantonsärzte, die meist auch praktizierende Ärzte sind, werden bei der Prüfung der Kostengutsprachen unabhängiger von einem bestimmten Arbeitsplatzrechner. Mit der SuisseID können sie die Prüfung der Kostengutsprachen von verschiedenen Standorten aus durchführen, z.B. auch auf ihrem mobilen Rechner.

Nach Auffassung von Abraxas ist die SuisseID eine Lösung, die aufgrund ihrer Universalität, Offenheit und einfachen Integrierbarkeit eine breite Anwendung finden wird. Dagegen weisen die spezialisierten Netze und Austauschplattformen für E-Health und E-Government in der Praxis relativ hohe Einstiegshürden auf und werden nur von speziellen Gruppen mit hohem Involvement genutzt. Mit der SuisseID benötigen die Nutzer keine aufwendige Anbindung an eine spezialisierte Austauschplattform oder ein Netzwerk, sondern können über einen einfachen Internetzugang auf Dienste wie den eKOGU-Service zugreifen. Zudem kann die SuisseID universell für verschiedene Dienste genutzt werden, was ihre Verbreitung erleichtern sollte.

Spezialitäten der Lösung
Der modulare Aufbau der eSP hat die Aufnahme des zusätzlichen Authentisierungsverfahrens mit der SuisseID sehr erleichtert (vgl. Kapitel "Anwendungssicht").

Lessons Learned
Der eKOGU-Service wurde im Auftrag und gemäss den Anforderungen der GDK-Ost erstellt. Die Anforderungen der weiteren Beteiligten wurden nicht von Anfang an vollständig identifiziert. Im Projektverlauf kam es deshalb zur Aufnahme zusätzlicher Anforderungen der Spitäler. Aus deren Sicht sind die Gesundheitsdirektionen nur eine Gruppe von mehreren Kostenträgern. Ausserdem gibt es weitere Leistungserbringer, die denselben Kostenträgern Kostengutsprachen und Rechnungen zustellen. Der Markt ist insgesamt grösser als ursprünglich angenommen. Im weiteren Ausbau der Plattform wurden die weiteren Bedürfnisse erkannt und der eKOGU-Service flexibler gestaltet. So kann veränderten Anforderungen neuer Anwendungsbereiche einfacher entsprochen werden.

Literatur

Adam, Johannes (1980): Mathematik und Informatik in der Medizin. Berlin: VEB Verlag Volk und Gesundheit.
Bürge, Urs; Zweiacker, Marc (2010): SuisseID Specification V1.3. Bern: Staatssekretariat für Wirtschaft SECO.
FMH Swiss Medical Association (2010): "FMH-HPC – zukunftsweisender Mitgliederausweis". Abgerufen am 20.10.2010 von http://www.fmh.ch/service/mitgliederausweis_hpc.html.
Forum Datenaustausch (2010): "XML-Standards". Abgerufen am 20.10.2010 von http://www.forum-datenaustausch.ch/xmlstandards.htm.
Quade, Michael (2010): Fachbeitrag "Was ist die SuisseID?", in: Quade, Michael; Wölfle, Ralf; (2010): SuisseID in der Praxis - Grundlagen und Fallstudien zum elektronischen Identitätsnachweis der Schweiz, Basel: edition gesowip, 2010. S. 13-34.