Einordnung im Kontext sektorübergreifender Digitalisierung: Die digitale Transformation im Gesundheitswesen ist ohne verlässliche digitale Identitäten nicht denkbar. Ob Zugriff auf das elektronische Patientendossier (EPD), telemedizinische Leistungen oder rollenbasierte Schnittstellen zu Spital-IT und Praxissoftware – überall entstehen Abhängigkeiten von Identitäts- und Berechtigungsinfrastrukturen. Doch im Gegensatz zu rein technischen IT-Systemen sind digitale Identitäten institutionelle Konstrukte: Sie verbinden Benutzer, Rollen, Prozesse und regulatorische Vorgaben. Entsprechend ist ihre Gestaltung keine technische Frage allein, sondern eine Governance-Aufgabe zwischen Sicherheit, Nutzbarkeit und Rechtskonformität.
Spannungsfelder in der Steuerung digitaler Identitäten: Die Praxis zeigt, dass digitale Identitäten im Gesundheitswesen oft an drei zentralen Schnittstellen unter Druck geraten:
- Sicherheitsanforderung vs. Alltagstauglichkeit Hohe Authentifizierungsstufen (z. B. Zwei- oder Drei-Faktor-Modelle) erhöhen die Sicherheit, können jedoch den klinischen Betrieb behindern – etwa bei Notfalleinsätzen, Rotationen oder bei mobilen Zugriffsszenarien. Hier braucht es differenzierte Sicherheitsprofile nach Kontext und Rolle.
- Rechtskonformität vs. Prozessrealität Das revDSG sowie das EPDG verlangen eindeutig zuordenbare, personalisierte Identitäten. In der Praxis werden jedoch weiterhin Sammelaccounts, Stationslogins oder technische Workarounds genutzt – oft mangels skalierbarer Lösungen für Delegation, Stellvertretung oder temporäre Zugriffe.
- Zentrale Identitäten vs. föderierte Strukturen Der föderale Aufbau des Schweizer Gesundheitswesens erschwert zentrale Identitätsstrategien. Unterschiedliche Systeme, Anbieter und Trägerorganisationen führen zu Fragmentierung, mehrfacher Registrierung und mangelnder Interoperabilität über Institutionsgrenzen hinweg.
Governance-Ansätze für ein robustes Identitätsmanagement: Ein tragfähiges Identitätsmanagement im Gesundheitswesen erfordert eine Balance zwischen operativer Effizienz, technischer Sicherheit und regulatorischer Klarheit. Elementar sind:
- Einheitliche Identitäts- und Berechtigungsmodelle, abgestimmt auf Rollen, Prozesse und Schutzbedarfe (z. B. via IAM oder RBAC-Systeme)
- Interoperable Identitätsinfrastrukturen, die föderierte Logiken unterstützen – z. B. über eID-kompatible Authentifizierung (gemäss EPDG) oder gezielte SSO-Strategien
- Klare Regelwerke für Identitätslebenszyklus, z. B. Onboarding, Rollenwechsel, Re-Zertifizierung und Entzug von Zugriffsrechten
- Auditierbarkeit und Nachvollziehbarkeit, etwa durch vollständige Protokollierung sicherheitsrelevanter Aktionen und standardisierte Review-Prozesse
Besondere Beachtung verdient dabei die Trennung von personenbezogener Identität (z. B. für medizinische Verantwortung) und systembezogener Funktion (z. B. technische Benutzer oder Systemagenten) – insbesondere in automatisierten Prozessen oder KI-basierten Entscheidungswegen.
Fazit: Digitale Identitäten sind kein IT-Werkzeug – sie sind Infrastrukturfaktor der Versorgung: Im digitalen Gesundheitswesen sind Identitäten mehr als Zugangsschlüssel – sie sind integraler Bestandteil klinischer, administrativer und regulatorischer Steuerung. Wer sie nur aus der Sicherheitsperspektive betrachtet, übersieht ihre Wirkung auf Prozesse, Verantwortlichkeit und Patientensicherheit. Eine zukunftsfähige Identitätsstrategie verbindet technische Robustheit mit institutioneller Anschlussfähigkeit – und wird damit zum strategischen Fundament sektorübergreifender Versorgung.