Jump to content

Christina Czeschik

Aktives Mitglied
  • Gesamte Inhalte

    6
  • Benutzer seit

  • Letzter Besuch

Über Christina Czeschik

  • Rang
    Aktives Mitglied

Weitere Informationen

  • Tätigkeit
    Ärztin/Arzt
  • Fachrichtung
    nicht aufgeführt
  • Webseite
  • Über mich
    Dr. med. Christina Czeschik, M.Sc. (Medizinische Informatik, Datenschutz, IT-Seminare)

    Ich bin Ärztin und habe 2013 an der Beuth-Hochschule Berlin einen Master of Science in Medizinischer Informatik gemacht. Die Zusatzbezeichnung Medizinische Informatik wurde nach einer Prüfung von der Ärztekammer Nordrhein anerkannt.Christina Czeschik

    Neben der klinischen Medizin habe ich im Bereich systematische Literaturrecherche und evidenzbasierter Medizin (EbM) gearbeitet, an der Entwicklung von diagnostischen Algorithmen und Konstruktion und Anwendung von medizinischen Datenbanken. Über drei dieser Gebiete – EbM, Datenbanken und Rechnernetze – habe ich zusammen mit Petra Sauer (Datenbanken) und Matthias Lindhorst (Rechnernetze) in unserem Lehrbuch Medizinische Informatik kompakt geschrieben. Drüben auf turingfish.net blogge ich über interessante Fundstücke aus der Medizintechnik und Neurowissenschaften.

Letzte Besucher des Profils

Der "Letzte Profil-Besucher"-Block ist deaktiviert und wird anderen Benutzern nicht angezeit.

  1. Mit der Datensicherung ist es wie mit dem Sport: Sie ist oft das Objekt guter Vorsätze, die aber selten konsequent in die Tat umgesetzt werden. Teil des Problems ist sicher, dass man wir alle insgeheim davon ausgehen, ein Datenverlust werde nur die anderen treffen – so, wie man auch annimmt, dass nur andere krank werden. Aber diese Annahme ist nicht erst seit der aktuellen Ransomware-Epidemie gefährlich. Eine Festplatte kann auch ohne Vireninfektion jederzeit defekt sein – und die damit verlorenen Daten sind bares Geld wert. Ziele der Datensicherung Datensicherung in der Arztpraxis hat zwei Ziele: Die Daten nach einem Datenverlust möglichst schnell und möglichst vollständig wiederherstellen zu können, damit weitergearbeitet werden kann und keine abrechnungsrelevanten Daten verloren gehen. Die gesetzlichen Aufbewahrungsfristen zu erfüllen. Je mehr medizinische Informationen von der Papierakte in den Computer wandern, desto wichtiger wird auch dieses Ziel der Datensicherung. Im täglichen Betrieb steht bei einem akuten Datenverlust jedoch sicherlich das erste Ziel im Vordergrund: Den Schaden so weit zu beheben, dass die Patientenversorgung fortgesetzt werden kann und nicht allzu viele Daten für die Abrechnung verloren sind. Wie gut dieses Ziel erreicht werden kann, lässt sich anhand von zwei Größen messen: Recovery Point Objective (RPO) Recovery Time Objective (RTO) Jeder Zusammenbruch des Systems mit Datenverlust führt zu zwei Problemen: Die Daten aus der Vergangenheit müssen wieder hergestellt werden und der Betrieb muss weitergehen. Der Punkt in der Vergangenheit, bis zu dem die Daten wiederhergestellt werden können und nach dem die Daten unwiederruflich verloren sind, wird als RPO bezeichnet. Dies ist normalerweise der Zeitpunkt, zu dem das letzte Backup gemacht wurde. Wenn Du also am Dienstag abend um 18 Uhr das letzte Backup durchgeführt hast und am Mittwoch vormittag um 10 Uhr das System abstürzt, beträgt das RPO 16 Stunden. Wenn am Freitag nachmittag um 17 Uhr das letzte Backup gelaufen ist und das System am Montag morgen um 9 Uhr abstürzt, beträgt das RPO 64 Stunden. Hier sieht man, dass das RPO kein direktes Maß dafür ist, wie viele Daten verloren gehen – im zweiten Beispiel können das durchaus weniger Daten sein als im ersten Beispiel, weil das Wochenende dazwischen lag und vor dem Absturz nur eine Stunde Praxisbetrieb herrschte. Das RTO gibt an, in welchem Zeitrahmen der normale Betrieb wieder hergestellt werden kann. Wenn also im obigen Beispiel am Montag morgen um 9 Uhr das System abstürzt und zur Nachmittagssprechstunde um 15 Uhr wieder normal eingesetzt werden kann, dann betrug das RTO 6 Stunden. Auch hier gilt wieder: Ein hohes RTO entspricht nicht immer einem großen Verlust an Betriebszeit, wenn beispielsweise ein Wochenende dazwischen liegt. Trotzdem kann man von der Faustregel ausgehen: Je niedriger RPO und RTO, desto besser – und desto aufwändiger bzw. teurer. Je häufiger Backups durchgeführt werden, desto kürzer ist das RPO – jedenfalls im Durchschnitt. Auch, wenn Du nur einmal wöchentlich ein Backup durchführst, kannst Du das Glück haben, dass der Systemabsturz nur zehn Minuten nach dem letzten Backup passiert. Das ist aber weniger wahrscheinlich als wenn Du einmal täglich ein Backup machst. Das RTO hängt von der Art Deines Systems und von Geschick und Verfügbarkeit Deines technischen Supports ab. Lösungen, die ein niedriges RTO versprechen, sind tendenziell teurer: Wenn Du einen Supportvertrag abgeschlossen hast, der Dir eine Antwortzeit von einer Stunde garantiert, dann ist Dein System schneller wieder lauffähig als wenn Du Dich selbst darum kümmerst, nachdem Du mit Hilfe von Papierdokumentation erst einmal die ganze Sprechstunde abgearbeitet hast. RPO und RTO sind also stets ein Kompromiss zwischen dem, was man sich wünscht und dem, was man dafür ausgeben will. Sinnvoll sind in einer Arztpraxis aber auf jeden Fall ein RPO und RTO von jeweils unter einem Tag, besser nur einigen Stunden. Praktische Datensicherungsstrategie Wichtiger als die perfekte Datensicherungsstrategie zu finden: Eine Strategie festzulegen, die in der Praxis tatsächlich eingehalten wird. Sie darf also nicht zu sehr mit dem täglichen Geschäft in Konflikt geraten. Wenn sich niemand wirklich verantwortlich fühlt und lediglich der gute Vorsatz besteht, an irgendeinem Tag einmal wöchentlich nach Feierabend ein Backup zu machen, wird dies von Woche zu Woche mehr vernachlässigt werden. In einer Datensicherungsstrategie müssen folgende Dinge konkret festgelegt werden: Wer ist für das Backup verantwortlich? Vertretung? Beispielsweise die Praxismanagerin, bei Urlaub oder Krankheit die Praxisinhaberin. Welche Daten sollen gesichert werden? Mindestens das Datenverzeichnis der Praxisverwaltungsprogramms und das Verzeichnis mit der Korrespondenz. Eher zu großzügig sichern als zu sparsam. Wann sollen die Daten gesichert werden? Es gibt Lösungen, bei denen ständig eine zweite Version der aktuellen Daten vorgehalten wird, ein sogenannter Mirror. Dies ist jedoch teuer und für eine Arztpraxis in der Regel nicht notwendig. Eine mindestens tägliche Datensicherung ist aber zu empfehlen. Auf welche Medien sollen die Daten gesichert werden? Die Daten können über das Netzwerk gesichert werden, beispielsweise auf einen separaten Server oder ein NAS (siehe unten), oder auf einen externen Datenträger. Empfehlenswert ist eine Kombination aus beidem. Speicherung auf einen Server ist komfortabel und kann schnell wieder hergestellt werden. Server können zudem mit einem sogenannten RAID-System arbeiten: Einer Kombination aus Festplatten, bei der der Inhalt immer noch lesbar bleibt, wenn eine oder mehrere Platten ausfallen, so dass sie rechtzeitig vor Datenverlust ausgetauscht werden können. Ein ans Netz angeschlossener Server ist aber auch infektionsgefährdet, wenn ein Virus ins System gerät. Ein kleiner Server, der ausschließlich der Datenspeicherung dient, wird als NAS (Network-attached storage) bezeichnet. Er ist eine mögliche Ergänzung der Datensicherungsstrategie. Aber Vorsicht: Einige Hersteller liefern ihre NAS mit voreingestelltem automatischem Backup in die Cloud aus, das für den Benutzer nicht sehr transparent gemacht wird und schwierig bis gar nicht abzustellen ist. Solche Lösungen sollte man aus Gründen des Datenschutzes vermeiden. Zudem sollte man daran denken, dass auch ein NAS befallen werden kann, wenn das System mit einem Virus infiziert wird. Ein externer Datenträger hat den Vorteil, dass er außerhalb der Praxis aufbewahrt werden kann. So bleiben die Daten auch bei einem Einbruch oder einem Feuer erhalten. Externe Datenträger können beispielsweise USB-Festplatten, USB-Sticks oder auch Magnetbänder sein. Letztere sind in der Benutzung relativ langsam, der Inhalt bleibt aber anders als bei anderen Medien über Jahrzehnte stabil. Ebenfalls sicher vor Schäden und Einbrüchen in der Praxis sind die Daten in einem externen Rechenzentrum. Ein solches können sich im ambulanten Bereich nur große MVZ leisten. Auch kleinere Praxen können aber Verträge mit Anbietern von Rechenzentren abschließen, in denen die Daten sicher und gesetzeskonform gespeichert werden (hierzu muss unter anderem ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden). Eine vierte Möglichkeit ist das Backup in eine Cloud, das jedoch einige Sicherheitsprobleme mit sich bringt (siehe unten). Ob und wie werden die Medien verschlüsselt? Verschlüsselung ist Pflicht, wenn die Daten in eine Cloud gesichert werden. („Es gibt keine Cloud, nur die Computer anderer Leute.“) Zur Verschlüsselung gibt es eine Auswahl verschiedener Werkzeuge, beispielsweise TrueCrypt. Vorsicht: Wenn Du Dich entscheidest, Deine Backups zu verschlüsseln, verbessert das den Datenschutz, verschlechtert aber den Komfort des Backup-Prozesses. Wenn Euer Praxisteam beim Durchführen der Backups nachlässig wird, weil die Verschlüsselung so aufwändig zu benutzen ist, tut Ihr Euch damit keinen Gefallen. Wenn beispielsweise auf einer externen Festplatte gesichert wird und diese sicher aufgehoben wird (etwa im Tresor), dann ist eine Verschlüsselung nicht notwendig. Wo werden die Medien sicher aufbewahrt? Die Backupmedien sollten sicher sein vor Diebstahl und Unglücksfällen (Feuer, Wasserschaden). Beides kann etwa mit einem ausreichend guten Tresor erreicht werden. Da es unwahrscheinlich ist, dass Praxis und Wohnung gleichzeitig abbrennen, empfiehlt es sich zudem, eine Kopie stets an einem anderen Ort als der Praxis aufzubewahren. Auch diese zweite Kopie muss entsprechend gesichert sein, also nicht offen im Arbeitszimmer liegen, sondern beispielsweise eingeschlossen im heimischen Tresor. Wie lange werden die Medien aufbewahrt? Hier kommen unter Umständen die gesetzlichen Aufbewahrungsfristen ins Spiel (10 oder 30 Jahre), wenn die Dokumentation nur elektronisch vorliegt. Hier muss man daran denken, dass die Daten nicht nur unleserlich werden können, sondern auch Techniken veralten – viele moderne Computer haben beispielsweise kein CD-ROM-Laufwerk mehr. Magnetbänder sind eine bewährte Art der Langzeitspeicherung. Wenn man andere Medien verwendet, müssen sie regelmäßig umkopiert werden. Wenn keine gesetzlichen Aufbewahrungsfristen beachtet werden müssen, kann eine First-in-first-out-Strategie verwendet werden: Die jeweils ältesten Backups werden – beispielsweise nach drei Monaten – mit neuen Backups überschrieben. Eine andere Möglichkeit ist das Großvater-Vater-Sohn-Prinzip: Es wird einmal im Monat auf das „Großvater“-Medium gesichert, einmal in der Woche (z.B. freitags) auf das „Vater“-Medium und täglich auf das „Sohn“-Medium. So könnte man beispielsweise für die sechs zurückliegenden Monate jeweils ein Magnetband archiviert haben, für die wöchentlichen Backups externe Festplatten und für die täglichen Backups Verzeichnisse auf dem Server. Wer testet wie und wie oft, ob die alten Sicherheitskopien noch lesbar sind? Da elektronische Daten mit der Zeit unleserlich werden können, sollte auch dann gelegentlich probeweise eine Wiederherstellung (Rücksicherung) der Daten gemacht werden, wenn kein Datenverlust eingetreten ist. Hier muss natürlich aufgepasst werden, dass keine aktuellen Dateien überschrieben werden. Die Rücksicherung kann beispielsweise an einem dafür vorgesehenen Computer erfolgen, in einem festgelegten Intervall (beispielsweise einmal pro Monat). Alle Daten oder nur neue Daten sichern? Man unterscheidet drei Vorgehensweisen zur Datensicherung: Voll-Backup – alle Daten werden gesichert Differenzielles Backup – nur die Daten, die im letzten Voll-Backup nicht enthalten sind, werden gesichert Inkrementelles Backup – nur die Daten, die seit dem letzten inkrementellen Backup hinzugekommen sind, werden gesichert Das Voll-Backup benötigt den meisten Speicherplatz, ist aber am einfachsten und zuverlässigsten wiederherzustellen. Zudem ist es bei den anderen Backup-Arten schwierig, Daten aus den Backups zu löschen (weil sie beispielsweise privat sind oder weil Speicherplatz freigestellt werden soll). Eine gute Strategie ist beispielsweise ein wöchentliches Voll-Backup mit zusätzlich täglichem inkrementellen oder differenziellen Backup. Professionelle Lösung oder Eigenkonstruktion? Je nachdem, wie IT-affin Praxisinhaber und Team sind, kann eine Datensicherungsstrategie auch selbst umgesetzt werden. Hierbei sollten folgende Punkte beachtet werden: Die Datensicherung wird oft aus dem Grund selbst gemacht, weil Geld eingespart werden soll. An der Hardware sollte jedoch nicht gespart werden: Billig-Hardware macht auf lange Sicht oft mehr Probleme, als es das eingesparte Geld am Anfang rechtfertigt. Für die Software gilt das nicht unbedingt: Viele gute Lösungen, insbesondere für das Linux-Betriebssystem, aber auch für Windows, sind Open Source und damit kostenlos. Wenn nur eine Person in der Praxis sich mit der Datensicherung auskennt: Was passiert, wenn diese Person ausfällt? Wenn es sich um eine Mitarbeiterin handelt: Was, wenn sie kündigt oder in Ruhestand geht? Wenn es die Praxisinhaberin selbst ist: Was, wenn die Praxis an einen Nachfolger übergeben wird? Es sollten daher immer mindestens zwei Personen mit den Feinheiten der Praxis-IT vertraut sein. Je mehr Daten gesichert werden müssen, desto höher sind die Ansprüche an Hardware und Abläufe. Die Datensicherung einer Hausarztpraxis ist einfacher umzusetzen als die einer radiologischen Praxis. Die Datensicherung darf nicht im Alltagsgeschäft untergehen. Bei Eigenlösungen besteht immer die Gefahr, dass andere Dinge dringender erscheinen. Bei einem Ausfall der IT seid Ihr im Zweifelsfall gleichzeitig damit beschäftigt, den Betrieb aufrechtzuerhalten und den Fehler zu suchen. Dies ist eine stressige Situation, die nicht unbedingt zu besonnenem und analytischem Handeln führt. Man sollte sich diese Doppelbelastung rechtzeitig klarmachen. Bei der Beauftragung eines Dienstleisters fallen regelmäßige Kosten an. Dafür kann man sich bei einem guten Dienstleister jedoch darauf verlassen, dass die Einsatzfähigkeit des Systems schnell wiederhergestellt wird. Je nach Vertrag werden hierfür auch gewisse Garantien ausgesprochen. Es lohnt sich, mehrere Dienstleister zu vergleichen: Wie ist der versprochene Leistungsumfang? Mit wem könnt Ihr Euch ein gutes Arbeitsverhältnis vorstellen? Wenn Ihr einen vertrauenswürdigen Dienstleister habt, hält dieser Euch im Ernstfall den Rücken frei und Ihr könnt Euch derweil auf die Patientenversorgung konzentrieren. Die schlechteste Möglichkeit ist, die Aufgabe an einen nicht-professionellen Dritten auszulagern, beispielsweise einen Informatikstudenten aus dem Bekanntenkreis. Die Gefahr ist hoch, dass dieser im Ernstfall nicht erreichbar ist oder nicht genau weiß, was er tut. Der Zugriff eines Dritten auf die Praxis-IT muss ohnehin immer vertraglich geregelt werden (Auftragsdatenverarbeitung) und sollte nicht jemandem gewährt werden, der es nur „nebenher“ macht. Schnell wieder einsatzfähig mit Snapshots Ein Snapshot ist ein Abbild eines kompletten Dateisystems zu einem bestimmten Zeitpunkt. Man kann anhand eines Snapshots beispielsweise die Konfiguration eines Servers sichern, um ihn im Fall eines Schadens schnell wieder einsatzfähig zu machen. Werkzeuge hierfür sind unter Windows beispielsweise das kostenpflichte Drive Snapshot, unter macOS das ebenfalls kostenpflichtige Volume Snapshot und unter Linux der Logical Volume Manager LVM (Paket lvm2 für Ubuntu). Zum Nutzen von Snapshots haben wir Thomas Klug befragt, Geschäftsführer des Medizin-IT-Dienstleisters datenstrom aus Remscheid. Er sagt: „Mit Hilfe eines Snapshots kann ein beschädigtes System schnell wieder einsatzfähig gemacht werden. Wir hatten kürzlich erst den Fall einer Praxis, deren Server von Ransomware befallen wurde. Zu unserer Sicherheitsstrategie gehörte glücklicherweise ein zweiter Server, der nicht ohne weiteres vom Netzwerk aus zugänglich war, so dass er von der Ransomware verschont blieb. Diesen haben wir mit Hilfe des Snapshots zum primären Server der Praxis gemacht. Nach zwei Stunden konnte die Patientenversorgung wieder aufgenommen werden. Wenn erst ein neuer Server aufgesetzt und Daten von externen Medien rückgesichert werden müssen, kann die Ausfallzeit auch einen ganzen Tag betragen. Kürzlich hatten wir sogar einen Fall, in dem die gesamte IT-Ausrüstung eines Praxis ausgeräumt wurde und nur externe Sicherheitskopien vorlagen – die Praxis konnte erst nach einer Woche den normalen Betrieb wieder aufnehmen. Mittlerweile wurde dort auf ein moderneres Datensicherungskonzept umgestellt.“ Das RTO (die Zeit, bis der Betrieb wieder aufgenommen werden kann – siehe auch Abbildung) kann also durch das Arbeiten mit Snapshots deutlich verkürzt werden. Noch deutlicher sind die Vorteile eines Snapshots bei der Verbesserung des RPO. Das RPO, wie oben besprochen, gibt an, wie alt der aktuellste Datensatz ist, der gerettet werden kann. Dazu Thomas Klug: „Die Snapshots können so eingestellt werden, dass im laufenden Betrieb mit geöffneter Datenbank alle 15 Minuten eine inkrementelle Sicherung durchgeführt wird. Im Ernstfall gehen daher maximal die Daten der letzten 15 Minuten verloren.“ Vorbeugende Hygiene gegen Systemabstürze Zum Schluss noch einmal zurück zur Ransomware und anderen Schädlingen. Tatsächlich ist die Wiederherstellung eines Backups – von ganz wenigen Ausnahmen abgesehen – die einzig realistische Chance, eine Infektion mit einem Cryptotrojaner zu „behandeln“. Aber auch Vorbeugung ist möglich: Hier sind die gleichen Maßnahmen empfehlenswert, die auch dem Schutz vor anderen Viren dienen.
  2. Die schnelle elektronische Kommunikation hat unser Privatleben bereits revolutioniert. Mal eben per SMS mitteilen, dass man zehn Minuten später zur Verabredung kommt, oder per WhatsApp den Einkaufszettel an den Partner schicken, der noch auf der Arbeit ist: Der Gewinn an Komfort ist beträchtlich. Verständlicherweise möchten Patienten diesen Komfort auch im Gesundheitssystem wiederfinden. Warum im Minutentakt mehrere Anrufe in die Hausarztpraxis tätigen, in der Hoffnung, dass gerade eine Arzthelferin am Platz ist, wenn man stattdessen in 30 Sekunden eine WhatsApp-Nachricht mit dem Rezeptwunsch schicken kann? So denken viele Patienten, und da den Ärzten die Zufriedenheit ihrer Patienten am Herzen liegt, bemühen sie sich, ihnen entgegenzukommen. Erwartungen der Patienten: E-Mail als Selbstverständlichkeit, Instant Messaging als Bonus Eine Suche auf dem Arztbewertungsportal Jameda nach dem Stichwort WhatsApp zeigt: Auf den Seiten von über 200 Ärzten deutschlandweit erwähnen Patienten WhatsApp. In den allermeisten Fällen äußern sie sich lobend über die Möglichkeit, mit der Ärztin oder dem Arzt per WhatsApp zu kommunizieren. Dies spiegelt sich meist auch in guten Bewertungen der Praxis mit vier bis fünf Sternen im Jameda-System. Nur selten wird WhatsApp in negativem Zusammenhang erwähnt: So bewertet ein Patient das Angebot des Arztes, sein Testergebnis per WhatsApp abzufragen, als unprofessionell. Überwiegend beziehen sich negative Wertungen aber darauf, dass Patienten zuweilen den Eindruck haben, dass Praxismitarbeiter ihren privaten WhatsApp-Nachrichten mehr Aufmerksamkeit schenken als ihnen. Die Kommunikation per SMS wird in den Patientenkommentaren auf Jameda vorwiegend im Zusammenhang mit Terminerinnerungen diskutiert. Patienten finden auch diese Möglichkeit komfortabel und loben sie in der Regel. Wenn man die Kommentare zum Thema E-Mail auswertet, fällt das Bild deutlich anders aus: Die Erreichbarkeit per E-Mail wird kaum je als positives Merkmal einer Praxis hervorgehoben, sondern fehlende Erreichbarkeit negativ kommentiert. Die schnelle Beantwortung von E-Mails an die Praxisadresse wird offenbar als Selbstverständlichkeit erwartet – so wie auch gute telefonische Erreichbarkeit kaum gelobt, sondern schlechte kritisiert wird. (Im Folgenden sind übrigens unverschlüsselte E-Mails gemeint, wenn kurz von „E-Mails“ die Rede ist.) Eine Auswahl der Gründe, die Patienten für den Wunsch nach elektronischer Kommunikation nennen: Erreichbarkeit des Arztes am Wochenende und nach Feierabend, geringere Wartezeiten am Telefon, geringere Wartezeiten auf Rezepte in der Praxis und Vermeidung von langen Anfahrtswegen. Teilweise sind diese Beweggründe auch aus Sicht des Arztes durchaus nachvollziehbar. Zudem kann beispielsweise eine Verringerung des Anrufvolumens die Anmeldung entlasten und den Praxisablauf reibungsloser gestalten. Darf man jedem Patientenwunsch nachkommen? Einige Wünsche und Vorstellungen der Patienten müssen aber hinterfragt werden: Tatsächlich gibt es Kollegen, die auch am Wochenende und nach Feierabend per Instant Messenger (WhatsApp und ähnliche) oder E-Mail für ihre Patienten erreichbar sind. Hier stellt sich jedoch die Frage, ob das im Sinne der Work-Life-Balance des Arztes nachhaltig ist. Das gilt vor allem, wenn Patienten sich auf dem privaten Smartphone des Arztes melden! Wenn es sich dagegen nicht um eine vom Arzt nur tolerierte Kontaktaufnahme auf dem privaten Handy handelt, sondern den Patienten bewusst angeboten wird, außerhalb der Sprechstundenzeiten (vielleicht auf einem Diensthandy) Kontakt per E-Mail, SMS oder Instant Messenger aufzunehmen, stellt sich natürlich die Frage nach der Abrechnung. Mehr dazu erfährst Du weiter unten in diesem Artikel. Der oben genannten Auswertung von Jameda-Kommentaren zufolge gibt es nicht wenige Patienten, die eine regelrechte Fernbehandlung per Instant Messenger oder E-Mail erwarten. Wenn diese nicht erfolgt, reagieren sie zuweilen empört. Es muss aber klar festgehalten werden, dass – außerhalb von wenigen Modellprojekten – immer noch ein erstmaliger persönlicher Kontakt zwischen Arzt und Patient Voraussetzung einer Behandlung ist. Ausländische Anbieter wie DrEd haben versucht, diese Regel aufzuweichen, und haben dafür in der Vergangenheit viel Kritik eingesteckt. In vielen Fällen ist eine Fernbehandlung zwar möglich (und es drängen auch bereits Mitbewerber von DrEd auf den Markt) – es ist aber nicht ratsam, nach eigenem Ermessen den gesetzlichen Rahmen zu verlassen. Pflichten der Arztpraxis: Zuverlässigkeit und Datenschutz Auch Ärzte tragen jedoch die Verantwortung für einige Missverständnisse: Wenn eine Kontakt-Mailadresse auf der Praxishomepage steht, kann der Patient zu recht erwarten, dass E-Mails, die an diese Adresse gehen, beantwortet werden – selbst wenn es nur mit dem Hinweis ist, dass vertrauliche Informationen nicht per E-Mail verschickt werden. Ärzte sollten als Dienstleister und Lotsen der Patienten die Verantwortung dafür übernehmen, dass die Kommunikation zwischen ihnen vertraulich und innerhalb des gesetzlichen Rahmens abläuft. Das heißt, wenn ein Patient eine ungeeignete Form der Kommunikation wie beispielsweise WhatsApp vorschlägt oder verlangt, ist es Aufgabe des Arztes, den Patienten auf die damit verbundenen Probleme hinzuweisen und alternative Angebote zu machen. Datenschutz, Haftung und Abrechnung Wenn man seinen Patienten die Möglichkeit zur elektronischen Kommunikation anbieten möchte, sind drei Fragen zu klären: Datenschutz – Wie kann ich sicher und vertraulich mit dem Patienten kommunizieren? Haftung – In welchen Fällen darf ich fernbehandeln, ohne meine Sorgfaltspflicht zu verletzen? Abrechnung – Wird meine Kommunikation mit dem Patienten bezahlt oder arbeite ich umsonst? Diese drei Themen werden wir im Folgenden genauer anschauen. Welche Kommunikationsverfahren sind sicher? Technisch gesehen handelt es sich weder bei herkömmlicher E-Mail noch bei SMS um eine sichere, also Ende-zu-Ende-verschlüsselte, Kommunikationsform. Das bedeutet, die Informationen sind hier weniger sicher als beispielsweise in einem herkömmlichen, verschlossenen Brief. Welche Informationen dürfen über diese unsicheren Wege verschickt werden? Unproblematisch sind alle Informationen zur Praxisorganisation – die ja in den meisten Fällen auch öffentlich auf der Webseite der Praxis stehen. Beginn und Ende der Termin- oder offenen Sprechstunde, Parkmöglichkeiten und Anreise mit öffentlichen Verkehrsmitteln, über all dies darf der Patient über jedes der genannten Medien informiert werden. Wie steht es mit Terminvereinbarungen und der beliebten Terminerinnerung per SMS oder E-Mail? Oft kann schon aus der Art des Termins hergeleitet werden, aus welchem Grund der Arzt aufgesucht wird. Zudem nennt der Patient in der Terminanfrage in der Regel seine Erkrankung oder den Vorstellungsgrund. Es handelt sich also um vertrauliche Daten, die nicht per E-Mail, SMS oder WhatsApp verschickt werden sollten. Reine Terminvereinbarungen und Terminerinnerungen per SMS sind weniger kritisch. Im Prinzip ist ja die Tatsache, dass ein Patient einen bestimmten Termin hat, auch durch Beobachtung des Praxiseingangs herauszufinden, und das Verschicken von Postkarten mit Terminerinnerungen ist ebenfalls schon lange im Alltag etabliert, so dass das Risiko, dass Datenschützer daran Anstoß nehmen, nicht null, aber relativ gering ist. Sicherheitshalber sollte das schriftliche Einverständnis eines jeden Patienten vor Nutzung von SMS oder E-Mail eingeholt werden. In einige Praxisverwaltungsprogramme ist auch bereits der automatische Versand von Erinnerungen per SMS oder E-Mail integriert. Ebenfalls praktisch: Hier wird in der Regel beim ersten Versand gefragt, ob eine Einverständniserklärung des Patienten vorliegt. Was, wenn der Patient eine vertrauliche Anfrage über SMS/Mail/WhatsApp schickt? Klar ist: Die Nachricht des Patienten sollte in jedem Fall beantwortet werden. Nachrichten, die im elektronischen Nirwana verschwinden, machen einen unorganisierten und unprofessionellen Eindruck. Wenn Du auf Nummer sichergehen möchtest, kannst Du mit einem Hinweis antworten, dass Du per E-Mail/SMS/WhatsApp keine Behandlungsanlässe besprechen möchtest und um telefonische oder persönliche Kontaktaufnahme bittest. WhatsApp: Berufliche Nutzung ausgeschlossen WhatsApp ist übrigens ein Sonderfall: Die Entwickler werben zwar mit Ende-zu-Ende-Verschlüsselung – jedoch gibt es keinen Mechanismus, mit dem festgestellt wird, dass der Gesprächspartner tatsächlich derjenige ist, der er zu sein scheint. Andere Apps wie beispielsweise Threema haben dies so umgesetzt, dass man vor Beginn der Kommunikation (einmalig bzw. nach Neuinstallation des Messengers) einen Barcode vom Handy des Gegenübers scannen muss. Hinzu kommt, dass WhatsApp laut Geschäftsbedingungen nur für den privaten Einsatz zugelassen ist. Wenn Du WhatsApp für berufliche Zwecke nutzt und dabei „unerwünschte Nebenwirkungen“ auftreten wie zum Beispiel ein Datenleck an die Öffentlichkeit, dann kann WhatsApp damit alle Verantwortung von sich weisen. WhatsApp hat zwar das Potenzial der beruflichen Nutzung erkannt und arbeitet zur Zeit an einer WhatsApp-Business-Version, die zunächst in Indien auf den Markt kommen wird. Der Berichterstattung zufolge soll diese aber eher neue Möglichkeiten im Anzeigengeschäft eröffnen. Einfacher gesagt: Private Kunden sollen mehr Werbung zu sehen bekommen. Es ist nicht zu erwarten, dass WhatsApp Business bessere Datenschutzbedingungen mitbringen wird. Facebook: Keine vertraulichen Angaben posten Als Arztpraxis auf Facebook präsent zu sein, ist dagegen auch nach den Geschäftsbedingungen von Facebook möglich. Dies sollte man aber nur nutzen, um nützliche Informationen zur Praxis und Organisation zu posten, wie etwa Adresse, Telefonnummer und Sprechzeiten. Keinesfalls dürfen medizinische Befunde über Facebook verschickt werden: Nur allzu leicht können Inhalte geteilt werden, und nicht jeder Patient (und nicht jeder Praxismitarbeiter) ist sich darüber im Klaren, dass die Vertraulichkeit auf Facebook von den Einstellungen der Privatsphäre abhängig ist. Selbst, wenn man die Verschlüsselung im Facebook-Messenger aktiviert, sind die Nachrichten nicht sicherer als bei WhatsApp: Es fehlt hier wie dort die Garantie, dass der Gegenüber der ist, der er vorgibt zu sein. Wenn Deine Arztpraxis auf Facebook oder in anderen sozialen Netzwerken präsent sein will, dann gilt: Alle Angaben, die Ihr auch auf Eurer Praxiswebseite veröffentlichen würdet, sind bei Facebook gut aufgehoben. So weit also zu den unsicheren Verfahren. Was sind nun die sicheren Alternativen? Verschlüsselte E-Mails: Sicher, aber anfangs aufwändig Konventionelle E-Mail und SMS sind nicht Ende-zu-Ende-verschlüsselt. Datenschützer vergleichen oft: Eine unverschlüsselte E-Mail ist so vertraulich wie eine Postkarte. Ein hohes Sicherheitsniveau bieten dagegen mit PGP oder S/MIME verschlüsselte E-Mails. Um diese mit dem Patienten auszutauschen, muss man sich ein Schlüsselpaar generieren und dem Patienten den öffentlichen Schlüssel aus diesem Paar zukommen lassen. Sowohl Praxis als auch Patient brauchen dabei einen E-Mail-Client, der die Verschlüsselung beherrscht (dies lässt sich auch per Plugin nachrüsten). Die meisten Patienten werden die Notwendigkeit dazu nicht erkennen und zu dem zusätzlichen Aufwand nicht bereit sein. Ein weiterer Nachteil: In der lange erwarteten Telematik-Infrastruktur soll zwar eine Möglichkeit zur verschlüsselten E-Mail-Kommunikation zwischen Ärzten (KOM-LE) etabliert werden – diese schließt aber nicht die verschlüsselte Kommunikation mit Patienten ein. Mit S/MIME oder PGP verschlüsselte E-Mails an oder von Patienten lassen sich nicht über das Praxisverwaltungsprogramm verschicken. Ein verschlüsselter Messenger: Threema Work Einen guten Ruf unter Datenschützern hat die schweizerische App Threema. Sie bietet nicht nur Ende-zu-Ende-Verschlüsselung, sondern auch Authentifizierung des Gesprächspartners durch Scannen eines Barcodes. Die Features der App sind grundsätzlich die gleichen wie die von WhatsApp: Anlegen von Gruppen, Teilen von Fotos und Videos, Sprachanrufe und anderes. Es handelt sich also um eine vollwertige WhatsApp-Alternative. Nachdem bekannt wurde, dass WhatsApp von Facebook gekauft wurde, hatte Threema denn auch einen deutlichen Zustrom von Nutzern, die um die Sicherheit ihrer Kommunikation fürchteten. Wie WhatsApp ist das herkömmliche Threema aber auch nur für die private Nutzung vorgesehen. Als Alternative für berufliche Anwender gibt es Threema Work. Dieses hat zusätzliche Features und kann beispielsweise mit einem zentralen Verzeichnis synchronisiert und für jedes Unternehmen individualisiert werden. Es kostet in der Basisversion einmalig 4,60 EUR (Threema für Privatpersonen: 2,99 EUR). In höheren Versionen wird ein Preis von 1,30 EUR bzw. 1,80 EUR pro Monat und Nutzer fällig. Threema Work kann mit privaten Threema-Nutzern kommunizieren, so dass beispielsweise das Versenden von Befunden von einer Threema-Work-Instanz der Praxis an den privaten Threema-Account eines Patienten denkbar ist. Ein weiterer Vorteil: Für die Praxismitarbeiter bleibt die private Kommunikation von der beruflichen Kommunikation getrennt. So ist etwa das Risiko geringer, aus Versehen private Fotos an Patienten oder vertrauliche Befunde an private Kontakte weiterzuleiten. Die Identifikation als Threema-Nutzer erfolgt nicht mit der Handynummer, sondern mit einer Kennung, die aus Buchstaben und Zeichen besteht. Diese kann zwischen dem Threema-Work-Nutzer in der Arztpraxis und dem Patienten ausgetauscht werden. Es besteht also nicht die Notwendigkeit, die berufliche oder gar private Handynummer des Arztes herauszugeben. Nachteil: Threema ist in keines der gängigen Praxisverwaltungssysteme integriert. Von Seiten der Threema-Entwickler ist nicht geplant, eine Version für das deutsche Gesundheitssystem herauszubringen. Auch eine Desktop-App gibt es nicht. Dedizierte Apps und Portale für das Gesundheitswesen Die Videosprechstunde wird zwar stets als Paradebeispiel für die Telemedizin genannt – aber eine Videoverbindung ist keine Voraussetzung für eine zielführende Kommunikation zwischen Arzt und Patient. Telemedizin-Vorreiter DrEd aus Großbritannien hat seine Videosprechstunde sogar mangels Nachfrage eingestellt und arbeitet nun nur noch mit textbasierten Fragebögen. DrEd und seine Mitbewerber sind aber insofern besonders, als dass sie die ärztliche Leistung gleich mit anbieten. Welche Möglichkeiten hat nun eine Ärztin oder ein Arzt in Deutschland, mit einer speziell aufs Gesundheitswesen zugeschnittenen App mit den Patienten zu kommunizieren? Die folgende Liste zeigt nur einen Ausschnitt des aktuellen Angebots. Mein Arzt direkt ist ein Internet-Portal, in dem Ärzte und Patienten sich in einem Online-Sprechzimmer treffen können. Mit Hilfe von individuellen Zugangscodes wird sichergestellt, dass tatsächlich nur der eingeladene Patient das Sprechzimmer betreten kann. Neben einer Einrichtungspauschale von 49,90 EUR werden eine Grundgebühr von 19,90 EUR pro Monat und eine Umsatzbeteiligung für die Rechnungsabwicklung fällig. Das Honorar pro Fall kann der Arzt dabei selbst festlegen und mit seiner Antwort zusammen mitteilen. Die Auszahlung erfolgt durch Mein Arzt direkt. Wie steht es um den Datenschutz? Auf der Webseite wird angegeben, dass die Daten zuverlässig verschlüsselt würden, jedoch ohne weitere Details zu nennen. Ob es sich um eine sichere Ende-zu-Ende-Verschlüsselung handelt, ist also unklar. PVS-Anbieter medatixx hat eine Patientenapp im Programm, die natürlich auch in die firmeneigenen PVS eingebunden ist, und zwar als Teil der Kommunikationslösung x.comcenter: x.patient. Neben einem Messenger enthält x.patient ein Vitalparameter-Tagebuch, einen Medikationsplan mit Erinnerungsfunktion und eine automatische Folgerezeptanforderung. Wie andere medatixx-Lösungen scheint die App mit Benutzerfreundlichkeit zu punkten und ist nahtlos in das PVS eingebunden. Zur Verschlüsselung gibt es aber auch hier keine konkreten Informationen – Ende zu Ende? Ein weiterer Nachteil: Nicht jeder interessierte Arzt wird gleich das PVS wechseln wollen, um per App mit Patienten zu kommunizieren. Mit großen Ambitionen startete Klara (ehemals Goderma) in Deutschland: Geplant war eine Diagnostik-App, die jedoch in Deutschland unter anderem am Fernbehandlungsverbot scheiterte. Die Gründer wechselten auf zwei Arten ihre Strategie: Klara ist nun eine Kommunikations App – und man scheint sich vollkommen auf den US-amerikanischen Markt eingeschossen zu haben. Klara hat einige Features, die auch deutsche Praxismanagerinnen nützlich fänden: Beispielsweise kann automatisch berechnet werden, wieviel Prozent der Patienten ihren Termin nicht einhalten. Für deutsche Praxen ist eine Zusammenarbeit mit Klara, die mittlerweile in New York sitzen, leider keine Option, so lange Klara nicht dem US-europäischen Datenschutzabkommen Privacy Shield beigetreten ist. Der sichere Messenger MediOne ist speziell für das Gesundheitswesen angepasst und stellte eine sichere Alternative zu Whats-App dar: die Kommunikation ist Ende-zu-Ende verschlüsselt und kann entsprechend den Datenschutzanforderungen der DSGVO in der Arztpraxis / MVZ eingesetzt werden. Patienten können ohne großen Aufwand die App installieren, in der Arztpraxis wird die Software auf einem stationären PC benutzt. Zukunftsmusik: Was sollte eine Arzt-Patienten-App eigentlich leisten können? Keine der bisher besprochenen Lösungen fügt sich nahtlos in die Prozesse einer Arztpraxis ein – und auf Patientenseite sind zumindest die sicheren Lösungen gleichzeitig nicht komfortabel genug. Um Ärzten und MFAs den Alltag tatsächlich zu erleichtern, sollte eine App zur elektronischen Patientenkommunikation folgende Funktionen bereitstellen: Sie sollte sich auch von einem stationären Desktop-Rechner (oder Laptop) aus bedienen lassen. Idealerweise sollte sie auch mit dem PVS verzahnt sein. Damit verbunden: Nachrichten sollen von mehreren Mitgliedern des Praxisteams bearbeitet werden können, nicht nur vom Besitzer oder Benutzer des einen Praxis-Smartphones (oder privaten Smartphones des Arztes). Sie sollte mit einer Verschlüsselung arbeiten, die den Namen auch verdient: Also Ende-zu-Ende, mit Authentifizierung der Gesprächspartner. Sie sollte für den Patienten einfach vom Smartphone aus zu nutzen sein, mit minimalem Installations- oder Anmeldungsaufwand. Sie sollte für den Patienten kostenlos sein – und idealerweise auch für den Arzt. Wir werden diesen Bereich im Auge behalten und hoffen, Euch bald eine Lösung präsentieren zu können! Damit zum nächsten Thema: Wenn man für sich eine sichere und komfortable App identifiziert hat, muss als nächstes entschieden werden, in welchen Fällen und mit welchen Patienten sie zum Einsatz kommen soll. Wann darf ich fernberaten oder fernbehandeln? Die Möglichkeit der Fernberatung muss man verantwortungsvoll einsetzen: Größer als bei der persönlichen Vorstellung ist hier das Risiko, wichtige Hinweise auf schwere Erkrankungen zu übersehen oder die Dringlichkeit einer Erkrankung falsch einzuschätzen. Laut einer Statistik des Start-ups Klara führen 20% der elektronischen Kommunikation zwischen Arzt und Patient zu einer persönlichen Vorstellung des Patienten. Der genaue Prozentsatz ist sicher sehr von den demographischen Merkmalen der Patienten abhängig. Mit der Anordnung einer persönlichen Vorstellung sollte man aber eher zu großzügig als zu sparsam sein. Dass vor einer Fernbehandlung zumindest einmal ein persönlicher Kontakt zwischen Arzt und Patient stattgefunden haben sollte – das oft kritisierte „Fernbehandlungsverbot“ – ist sicher eine gute Faustregel. Ein unbekannter Patient ist unter Umständen eine tickende Zeitbombe, wenn er im elektronischen Anamnesegespräch wichtige Vorerkrankungen verschweigt, die im persönlichen Gespräch möglicherweise durch körperliche Zeichen aufgefallen wären. Bei einem bekannten Patienten gibt es eine ganze Reihe von Anlässen, die sich für die elektronische Konsultation eignen: Wundkontrollen (fotografisch) Verlaufskontrollen von Hauterkrankungen Fragen zur Medikamenteneinnahme Fragen zu vom Patienten oder Pflegedienst gemessenen Vitalwerten (Blutdruck, Blutzucker, INR-Wert) Besprechung des weiteren Vorgehens nach Krankenhausaufenthalt oder Facharztbesuch Verlaufskontrolle von Gesundheitsstörungen, die evtl. eine Überweisung zum Facharzt oder ins Krankenhaus notwendig machen (LWS-Schmerzen, Sodbrennen, Restless Legs) Übermittlung von Befunden inkl. Laborergebnissen Wenn sich hier Komplikationen andeuten – Wundinfekt, Blutdruckspitzen oder ähnliches – muss eine persönliche Vorstellung vereinbart werden. Nicht geeignet für die elektronische Konsultation sind Anlässe, bei denen entweder ein schwerwiegender Verlauf möglich ist und zeitnah ausgeschlossen werden muss, oder Erkrankungen, zu denen noch kein persönlicher Arzt-Patienten-Kontakt stattgefunden hat, zum Beispiel : Akute, erstmalig aufgetretene Symptome, wie Brustschmerzen, Atemnot oder auch Beschwerden im Rahmen eines grippalen Infekts Blutdruck- und Blutzuckerentgleisungen Herzrhythmusstörungen (Arrhythmie) oder Herzfrequenzstörungen (Bradykardie, Tachykardie) Akut aufgetretene neurologische Ausfälle Dies ist keine erschöpfende Aufzählung. Im Einzelfall muss stets vorsichtig abgewogen werden, ob eine persönliche Konsultation angezeigt ist, um schwerwiegende Verläufe rechtzeitig zu erkennen. Wie kann man elektronische Kommunikation abrechnen? Nach GOÄ können die Nummern 1 (Beratung) und 3 (eingehende Beratung, mind. 10 min) auch für die Beratung „per Fernsprecher“ abgerechnet werden. Dies lässt sich auch auf die elektronische Kommunikation verallgemeinern. Voraussetzung ist auch hier, dass der Erstkontakt nicht nur elektronisch erfolgt ist. Obwohl für Telefonate Zuschläge für Unzeiten erhoben werden können: A – außerhalb der Sprechstunde, B – zwischen 20 und 22 Uhr sowie zwischen 6 und 8 Uhr, C – zwischen 22 und 6 Uhr sowie D – samstags, sonn- und feiertags, wird in Bezug auf E-Mail und Instant Messaging eher davon abgeraten, da auch eine asynchrone Bearbeitung der Nachrichten, beispielsweise am Montagmorgen, möglich ist. Nach EBM können sogenannte „mittelbare“ Arzt-Patienten-Kontakte dann abgerechnet werden, wenn es entweder im Quartal keinen anderen Kontakt gab (Ziffer 01435) oder die Inanspruchnahme unvorhergesehen und zur Unzeit erfolgt (Ziffer 01100 / 01101). Was mittelbare Patientenkontakte sind, wird in den Allgemeinen Bestimmungen der KBV definiert: Kontakte, bei denen sich Arzt und Patient nicht am selben Ort befinden, soweit dies berufsrechtlich zulässig ist. Wie wir oben schon festgestellt haben, ist die elektronische Kommunikation zulässig, soweit sie zuverlässig verschlüsselt ist, könnte also als mittelbarer Kontakt theoretisch wie oben abgerechnet werden. Aber: Wegen des Fernbehandlungsverbots muss zuvor ein Patientenkontakt stattgefunden haben – und wenn dieser im gleichen Quartal war, wird die Ziffer 01435 wiederum gestrichen. Die Abrechnungsmöglichkeiten nach EBM sind also eher mager. Anders bei der Videosprechstunde. Diese stellt Arzt und Patient weitere Medien zur Verfügung, um ein vollständiges Bild des Behandlungsanlasses zu zeichnen: Bild und Ton. Durch die Vorgaben des E-Health-Gesetzes hat auch eine abrechenbare Leistungsziffer nach EBM in die Gebührenordnung Einzug gehalten.
  3. 50% aller E-Mails sind Spam Das geht aus einer Studie von Symantec hervor. Diese hat ebenso ermittelt, dass jeder berufliche E-Mail-Nutzer pro Tag im Durchschnitt 42 E-Mails erhält. Im Schnitt 21 davon sind Spam: Es geht also um „Business Opportunities“ in Nigeria, die Sie nicht interessieren, oder um verschreibungspflichtige Medikamente aus dem Ausland, nach denen Sie nie gefragt haben. Schon seit E-Mail zum allgemeinen Kommunikationsmittel geworden ist, wird über das Ärgernis Spam geklagt. Fest steht aber: Wenn eine Spam-E-Mail nicht auch gelegentlich einmal den gewünschten Erfolg zeigen würde, dann gäbe es das Phänomen nicht. Eine Studie der UC San Diego hat gezeigt, dass die Betreiber einen bestimmten Spam-Netzwerks mit ihrem Tun 7000 US-Dollar pro Tag einnehmen. Die Chefs der Operation nehmen dabei mit Hilfe eines Virus fremde Computer ein, die sie dann anweisen, in ihrem Auftrag die Spam-Mails zu versenden. Dies bezeichnet man auch als Botnetz. Ein solches Botnetz kann viele Hunderte von Millionen Spam-Nachrichten pro Tag verschicken. Die Forscher stellten in „ihrem“ Botnetz fest, dass 28 einzelne Mails von insgesamt 350 Millionen tatsächlich zu einem Kauf – beispielsweise von Viagra oder Haarwuchsmittel – führten. Diese geringen Erfolgsquoten genügen, um das Spam-Business profitabel zu halten. Spam nicht nur auf E-Mail beschränkt Tatsächlich ist E-Mail-Spam aber leicht rückläufig: Während Spam jetzt gerade 50% aller Nachrichten ausmacht, waren es 2013 noch 66%. Für diesen Rückgang gibt es vermutlich zwei Gründe: Spamfilter halten so viele der Spam-Mails ab, dass weniger Mails tatsächlich gelesen werden und noch weniger zu einem Kauf führen. Und die Spammer weichen zunehmend auf andere soziale Kanäle aus. Das Phänomen Spam hat mittlerweile nämlich praktisch jedes soziale Netzwerk – Facebook, WhatsApp, Twitter, Xing & Co. – erreicht. Die Urheber des Spam gehen dabei in der Regel so vor, dass sie die Konten echter Mitglieder übernehmen und den Spam an deren Freunde senden, aber auch sogenannte Wegwerf-Konten einrichten, die häufig gewechselt werden. Spammer nutzen hier auch die eingebauten Funktionen sozialer Netzwerke: So kann dort Spam beispielsweise auch speziell an Mitglieder bestimmter Gruppen oder mit bestimmten demographischen Merkmalen versandt werden. Wie funktioniert ein Spamfilter? Einer der Gründe, warum Spam sich von E-Mails in die sozialen Netzwerke verlagert: Die Spamfilter für E-Mail-Postfächer werden immer besser. Spamfilter sind Programme, die jede einzelne ankommende E-Mail begutachten. Dabei betrachten sie drei Bereiche: Ist der Absender ein bekannter Spammer? Oder hat er ein Postfach bei einem Provider, der viele Spammer beheimatet? Stehen im Header (Kopf) der E-Mail verdächtige Informationen? Liest sich der Textkörper der E-Mail wie eine Spam-Mail? Die erste Frage ist für ein Computerprogramm am leichtesten zu beantworten – es braucht hier nur seine Liste von verdächtigen Absendern durchzugehen, die sogenannte Blacklist. Zusätzlich vergeben manche Filter „Strafpunkte“ für E-Mails, die in der Empfängeradresse nur eine Mailadresse, aber keinen Namen stehen haben, also etwa robert.koch@gmail.com statt „Robert Koch“ robert.koch@gmail.com. Auch bei Punkt zwei – der Analyse des Headers – kommen Blacklists zum Einsatz. Der Header der E-Mail beinhaltet die Empfänger- und Absenderadressen, die Adresse, an die geantwortet werden soll, die IP-Adressen der Server, über die die E-Mail zugestellt wurde, und einiges mehr an technischen Informationen. Verdächtige Hinweise im Header: Ist die Reply-to-Adresse eine andere als die Absenderadresse? Das könnte darauf hindeuten, dass der Absender weder Antworten noch Fehlermeldungen erhalten will, weil er Tausende oder Millionen von E-Mails verschickt hat. Wird versucht, eine respektable Domain nachzuahmen, beispielsweise g00gle.com statt google.com oder gnnail.com statt gmail.com? Die Analyse des Textkörpers ist schließlich am schwierigsten – denn sogar Menschen können hier eine Spam- oder Phishing-E-Mail nicht immer eindeutig identifizieren. Gute Spamfilter greifen hier auf Machine Learning und künstliche Intelligenz zurück. Das heißt: Der Filter wird mit einer riesigen Menge an echten E-Mails trainiert. Zu jeder dieser Mails bekommt er mitgeteilt, ob es sich um eine Spam- oder um eine vertrauenswürdige E-Mail handelt. Er lernt so anhand statistischer Methoden von selbst, anhand welcher Merkmale er die beiden am besten unterscheiden kann. Dies können zum Beispiel bestimmte Schlüsselwörter sein („free“, „kostenlos“, „viagra“, „click here“, „sofortkredit“ und ähnliche), viele Links oder Links zu bekannten verdächtigen Webseiten, besonders bunte Farben im HTML oder – im Gegenteil – Text in Schriftgröße 0, den Spamversender manchmal in ihre Mails einbetten. Wie trainiere ich meinen Spamfilter? Aktuelle Spamfilter werden immer auf dem Mailserver aktiv, also bevor Du Deine E-Mails auf den Computer heruntergeladen hast. Sie können dazu entweder auf dem Server selbst installiert sein – viele E-Mail-Provider haben bereits gute Spamfilter laufen – oder in Deinem E-Mail-Client. Von Deinem Client aus stellt der Filter dann eine Verbindung zu Deinem E-Mail-Postfach auf dem Server her und tut dort seine Arbeit. So enthalten beispielsweise Windows Outlook und Mozilla Thunderbird schon Spamfilter, die nach einer gewissen Trainingsphase relativ zuverlässig arbeiten. Diese Trainingsphase solltest Du von Hand unterstützen: Jedes Mal, wenn eine unerkannte Spam-Nachricht in Deinem Postfach landet, solltest Du sie manuell als „Spam“ markieren. Dies hilft dem Spamfilter, in Zukunft noch zuverlässiger Spam und vertrauenswürdige E-Mails voneinander zu unterscheiden. Im bei Mozilla Thunderbird eingebauten Spamfilter funktioniert dies beispielsweise, indem Du das Flammensymbol der verdächtigen Nachricht durch einen Klick aktivierst (siehe Abbildung). Wichtig: Wenn Du einmal eine E-Mail fälschlicherweise als Spam markiert hast, mache dies auf jeden Fall wieder rückgängig – sonst lernt Dein Filter etwas Falsches, und Du erhöhst das Risiko, dass harmlose E-Mails im Spamfilter landen. Auch von der anderen Seite – der Seite der vertrauenswürdigen Absender und E-Mails – her kann man den Spamfilter trainieren. So werden in der Regel Adressen aus dem eigenen Adressbuch automatisch von der Spamfilterung ausgenommen. Man kann daneben auch vertrauenswürdige Domains definieren, so dass dann kein Absender von dieser Domain mehr dem Spamfilter zum Opfer fällt. Bei Spam gilt, ähnlich wie bei Computerviren: Zwischen Angreifern und Verteidigern läuft ein ständiges Katz-und-Maus-Spiel. Sobald die Entwickler von Spamfiltern eine zuverlässige Methode entdeckt haben, um Spam zu identifizieren, versuchen die Spamurheber, diese auszuhebeln. Da aber die neuesten Filter „live“ mitlernen, fällt dies den Spamabsendern immer schwerer. Spam öffnen oder nicht? Nicht jede Spam-E-Mail enthält nur lästige, aber harmlose Sonderangebote. Spam bringt dabei vor allem zwei Gefahrenquellen ins Spiel: Malware – also Viren, Würmer und Trojaner – und Phishing-Attacken. Malware kannst Du Dir schon durch das Öffnen eines E-Mail-Anhangs einfangen. Auch eine scheinbar harmlose Word-Datei kann sogenannte Makroviren beinhalten, die den Rechner schon beim Anklicken des Anhangs befallen. Ebenfalls streng verboten: Auf Links klicken. Hier kannst Du Dir sowohl einen Virus holen als auch Opfer einer Phishing-Attacke werden (mehr zum Phishing weiter unten). Im Prinzip kann sogar das Anschauen einer HTML-E-Mail zu einer Infektion führen. Moderne E-Mail-Clients deaktivieren aber aus diesem Grund in der Regel alle aktiven Inhalte von HTML-Mails, so dass der reine Textinhalt dann gefahrlos betrachtet werden kann. Wenn Du Dir nicht sicher bist, ob Dein E-Mail-Client dies tut, halte Dich besser an die Faustregel: Verdächtige E-Mails nicht öffnen. Wie erkenne ich eine Phishing-Mail? Eine besonders gefährliche Art von Spam sind Phishing-Mails. Diese ähneln in Inhalt und Aufmachung offiziellen Mails, beispielsweise von Deinem Telekommunikationsanbieter oder Paketdienst. Typischerweise enthalten diese Mails einen Link, mit dem Du Dich bei der entsprechenden Firma einloggen sollst. Als „Motivation“ dient dabei beispielsweise eine gefälschte Rechnung, der zufolge Du einen hohen Betrag nachzahlen sollst oder erstattet bekommst. Dies ist der Köder, mit der der Täter "fischt". Auch gern genommen: Man fordert Dich auf, Dich zum Ändern Deines Passworts einzuloggen, weil man eine Sicherheitslücke in der Passwortdatenbank gefunden habe. Erst, wenn Du dieser Aufforderung nachkommst, gerät Dein Passwort wirklich in falsche Hände, nämlich in die der „Phisher“. Diese geben sich große Mühe, um passend zu den offiziell wirkenden Phishing-Mails auch scheinbar seriöse Webseiten zu gestalten, auf denen Du dann versuchen sollst, sich einzuloggen. Die Webseite wird jedoch nicht von Deinem Provider oder Deiner Bank betrieben, sondern von den Betrügern selbst: Das heißt, diese halten nach Deinem Login-Versuch Deine Benutzerdaten in den Händen. Man muss zugeben: Phishing-Mails werden immer ausgefeilter und sind oft nur noch schwer von offiziellen Mails zu unterscheiden. Mit einigen Merkmalen verraten sich die Täter jedoch immer wieder: - Grammatik- und Rechtschreibfehler. Auch wenn Deine Bankberaterin gelegentlich mal ein Komma vergisst – ein mit Rechtschreibfehlern gespicktes Schreiben oder eines, in dem „der“, „die“ und „das“ wild durcheinandergeworfen werden, stammt mit ziemlicher Sicherheit nicht von ihr. - Unspezifische Anrede. Verdächtig ist nicht nur „Sehr geehrte Damen und Herren“ oder „Sehr geehrte Kunden“, sondern auch, wenn der erste Teil Deiner E-Mail-Adresse als Anrede verwendet wird, beispielsweise: „Lieber rmueller“. - Drohungen und Eile. Wenn die Sperrung Deiner Kreditkarte droht, dann wird Deine Bank Dich anrufen statt eine pampige E-Mail zu schreiben (sonst solltest Du vielleicht die Bank wechseln). Wenn der Absender Zeitdruck vortäuscht, ist dies immer als verdächtig zu werten. - Fremde Empfängeradresse. Wenn Deine eigene Adresse gar nicht im Empfängerfeld steht, sondern eine Adresse, die Du nicht kennst, ist dies ebenfalls höchst verdächtig auf Phishing oder Spam im Allgemeinen. - Falsche Empfängeradresse. Du hast Dich bei Paypal mit Ihrer Web.de-Adresse registriert, die angebliche Mail von Paypal trifft aber bei Deiner T-Online-Adresse ein? Ebenfalls unseriös. - Kleine Abweichungen in URLs und E-Mail-Adressen. Phisher hoffen darauf, dass Du nur flüchtig liest und nicht bemerkst, dass Yahoo! natürlich nicht unter der URL yah00.com zu finden ist. Oft werden auch Absenderadressen bei großen Providern verwendet, zum Beispiel dhl-kundenservice@gmail.com – der echte DHL-Kundenservice hat natürlich eine Adresse bei der Domain @dhl.de. Das gilt auch für Webadressen: Große Unternehmen lassen nicht immer, aber fast immer, alle ihre Aktivitäten über eine einzige große Domain laufen. So ist der Kundenservice von Paypal unter www.paypal.com/de/selfhelp/contact/email zu finden, nicht unter www.paypal-kundenservice.de. Im Zweifel gilt: Folge den Anweisungen in der E-Mail nicht. Wenn Du sichergehen willst, ob Deine Bank Dir eine E-Mail geschrieben hat, dann ruf sie an oder schreibe eine E-Mail an eine Dir bekannte Adresse dort. Wenn Du versehentlich doch einen Link in einer Phishing-Mail angeklickt hast, gib auf keinen Fall Deine Daten ein. Wenn Du es doch getan hast, musst Du das dort verwendete Passwort in allen Deinen Accounts, in denen Du es auch benutzt, ändern. Auch aus diesem Grund wird empfohlen, nie das gleiche Passwort für mehr als ein Konto zu verwenden. Wie sind Deine Erfahrungen mit Spam und Phishing-Mails? Ist Deine Praxis schon einmal Ziel einer Phishing-Attacke geworden? Hast Du weitere Tipps zur digitalen Selbstverteidigung?
  4. Ihre Patienten suchen Ihre Arztpraxis Website Die Generation Wählscheibentelefon wird ersetzt durch die Generation Skype: Im Jahr 2014 betrug der Anteil der Internetnutzer unter den Senioren bereits 67%. Bis vor einigen Jahren konnte man sich für das Marketing in der Arztpraxis noch darauf zurückziehen, dass die ältere Generation – die nun mal den Löwenanteil der Patienten in den Arztpraxen und Wartezimmern ausmacht – einfach noch nicht online ist. Somit, so lautete oft die Schlussfolgerung, musste auch die eigene Praxis keine Homepage unterhalten: „Die Patienten finden mich auch so.“ Ist das heute noch so? Nicht nur, dass unter den Senioren der Anteil der Internetnutzer steigt: Die sogenannten „Digital Natives“, also Menschen, die bereits mit dem Internet aufgewachsen sind, stehen heute mitten im Berufsleben, sind oft gut ausgebildet, sie sind im Vergleich zu Älteren und Nicht-Internetnutzern häufig privat versichert. Sie sind es gewohnt, bei jeder wichtigen (und so mancher unwichtigen) Entscheidung als allererstes das Internet zu Rate zu ziehen. Es gibt mehr als einen Weg, sich von Patienten im Internet finden zu lassen: Neben einem Eintrag in ein klassisches Branchenbuch, wie die Gelben Seiten, stehen Sie in der Regel auch ohne Ihr Zutun schon in Ärztebewertungsportalen wie Jameda. Bei beiden Alternativen sind Ihre Gestaltungs- und Einflussmöglichkeiten nicht vorhanden oder allenfalls gering. Anders bei der eigenen Webseite: Hier haben Sie freie Hand und so viel Platz, um Ihre Praxis darzustellen, wie Sie möchten. Schritt für Schritt zur eigenen Arztpraxis Webseite „Moment mal!“, sagen Sie an dieser Stelle vielleicht. „Was ist mit dem Werbeverbot?" "Wer programmiert mir die Seite, wieviel kostet das und was ist, wenn ich mal was geändert haben will?" "Und außerdem weiß ich gar nicht, ob ich mein Foto und die Fotos meines Teams überhaupt im Internet haben will…“ Klar: an ein paar gesetzliche Grundlagen muss man sich halten – diese sind aber überschaubar. Ansonsten lassen Sie sich ruhig vom KISS-Prinzip leiten: Keep it short and simple. Um eine Webseite zu erstellen, muss man heutzutage nicht mehr programmieren können, und Sie können auch durchaus eine attraktive Seite ganz ohne Fotos oder anderen Schnickschnack haben. Wenn Sie alles perfekt machen wollen, mehrere Fototermine mit Ihrem Team vereinbaren, Angebote von Webdesignern und Textern einholen, Hosting-Angebote vergleichen und ein Wordpress-Seminar an der Volkshochschule belegen, dann ist das Risiko hoch, dass Patienten Sie auch nächstes Jahr um diese Zeit noch nicht im Internet finden. Um es noch einmal deutlich zu sagen: Eine funktionale und erreichbare Webseite, die keinen Designpreis gewinnt, aber Ihren Patienten Ihre Anschrift und Sprechzeiten zeigt, ist besser als die hypothetische beste Webseite der Welt, deren Fertigstellung immer wieder nach hinten verschoben wird! Betrachten Sie das Projekt Praxiswebsite als ein flexibles, das Sie stets entsprechend Ihrem Bedarf und Ihren Ressourcen pflegen und überarbeiten können. Ihre erste Priorität sollte sein, erst einmal im Internet für Ihre Patienten sichtbar zu werden um grundlegende Informationen anzubieten: Adresse, Öffnungszeiten und Telefonnummer. Zu diesem Zweck geben wir Ihnen hier einen kurzen Leitfaden an die Hand, der Sie bei den ersten Schritten begleiten wird. 1. Für eine Domain entscheiden Die Domain ist die Adresse, unter der Ihre Seite im Browser zukünftig erreichbar sein wird. Wenn Sie sicherstellen, dass Ihr Name oder der Ihrer Einrichtung in der Domain auftaucht, werden Sie später leichter von Patienten gefunden, die nach Ihnen suchen. Beispiel: www.praxis-dr-muster.de oder www.mvz-musterstrasse.de. 2. Bei einem Homepage-Baukasten anmelden Ein sogenannte Homepage-Baukasten ist ein von einer Firma angebotener Dienst, bei dem die eigene Webseite weitgehend automatisch erstellt wird. Man muss lediglich seine gewünschte Domain eingeben, sich für ein bestimmtes Design entscheiden und natürlich hinterher die Inhalte erstellen – also beispielsweise die Praxisöffnungszeiten und das Impressum. Zwei beliebte Baukastensysteme sind beispielsweise Wordpress und Jimdo. (Wordpress ist eigentlich ein sehr umfangreiches System zur Verwaltung von Webseiten, das Sie als Fortgeschrittene auch auf einem eigenen Server installieren können. Das ist aber für unsere Zwecke nicht notwendig, daher das nur als Randbemerkung.) Bei beiden Systemen können Sie während des Anmeldeprozesses Ihre gewünschte Domain angeben. Falls diese nicht mehr frei sein sollte, versuchen Sie geringfügige Abwandlungen – also beispielsweise www.praxisdrmuster.de oder www.dr-muster-berlin.de statt www.praxis-dr-muster.de. 3. Für ein Design entscheiden Nach der Anmeldung werden Ihnen mehrere Webseiten-Designs zur Auswahl vorgestellt. Nehmen Sie eins, das Ihnen gefällt – keine Angst, Sie können es stets im Nachhinein noch ändern. Bei Wordpress sind Sie am besten bedient, wenn Sie die Designkategorie „Eine Willkommensseite für meine Webseite“ auswählen: Dann werden Ihnen solche Designs angezeigt, die nicht darauf angewiesen sind, dass Sie regelmäßig eine News-Seite aktualisieren. 4. Kostenlos oder kostenpflichtig? Sowohl Wordpress als auch Jimdo bieten auch kostenlose Webseiten. Hier ist keine eigene Domain enthalten, sondern nur eine sogenannte Subdomain, beispielsweise www.praxisdrmuster.wordpress.com. Zudem finanzieren sich solche Angebote durch Werbeeinblendungen, machen also auf Ihre Patienten einen wenig professionellen Eindruck. Sie wählen daher am besten die günstigste der kostenpflichtigen Versionen, die z.B. bei Wordpress 2,99 EUR im Monat kostet. Wenn Sie später einmal mehr Wünsche an Ihre Webseite haben sollten, die mit dem preiswertesten Plan nicht mehr zu erfüllen sind, können Sie immer noch upgraden. 5. Inhalte erstellen Ihre Webseite sollte neben dem Impressum (siehe nächster Punkt) mindestens eine Seite haben, um einen Nutzwert für Patienten zu haben: Name, Anschrift und Telefonnummer Ihrer Praxis mit Facharztbezeichnung und etwaigen Gebietsbezeichnungen sowie Öffnungs-/Sprechzeiten. Darüber hinaus können Sie natürlich auch weitere Seiten erstellen beziehungsweise die Inhalte auf mehrere Seiten aufteilen. Eine erste (kleine) Zusammenstellung von Seiten wäre beispielsweise: Sprechzeiten Leistungen Anfahrt und Kontakt 6. Impressum und Datenschutzerklärung nicht vergessen Jetzt sind wir bei den oben schon erwähnten rechtlichen Anforderungen: Ihre Webseite braucht ein Impressum und eine Datenschutzerklärung, und es muss von der Startseite aus erreichbar sein (also durch einen Link im Hauptmenü oder in der Fußzeile). Dies ist normalerweise automatisch der Fall – kontrollieren Sie es aber sicherheitshalber und fügen Sie, wenn nötig, die Seite von Hand zum Menü hinzu. Was muss ins Impressum? Kurz gesagt, Name und Kontaktinformationen des für die Webseite Verantwortlichen – also Ihr Name und Ihre Anschrift mit Telefonnummer und E-Mail-Adresse. Zusätzlich die zuständige Landesärztekammer und (wenn es keine reine Privatpraxis ist) zuständige KV, die Berufsbezeichnung Arzt, Umsatzsteuernummer (wenn vorhanden), Links auf die für Sie geltende Berufsordnung und das Heilberufegesetz sowie der Hinweis, dass Sie auch inhaltlich für die Webseite verantwortlich sind. Falls Sie Links auf andere Webseiten setzen (was in diesem Schritt-für Schritt-Guide nicht enthalten ist), sollten Sie auch einen Haftungsausschluss mit aufnehmen. Ein Muster-Impressum finden Sie beispielsweise bei der KV-Nordrhein (https://www.kvno.de/10praxis/30honorarundrecht/30recht/10internet/webimpresssum/index.html). Was muss in die Datenschutzerklärung? Eine Datenschutzerklärung ist notwendig, wenn Sie auf Ihrer Webseite die Daten der Besucher sammeln, sei es über Cookies oder ein Kontaktformular. Die Datenschutzerklärung legt den Besuchern Ihrer Webseite dar, inwiefern ihre Daten gespeichert und/oder weitergegeben werden und wie sie dies verhindern können (beispielsweise durch Ausschalten der Cookies). Bezüglich des Inhaltes kann man sich an der Musterdatenschutzerklärung der Stiftung Gesundheit orientieren. 7. Bonus Ihre Webseite ist online? Herzlichen Glückwunsch! An dieser Stelle können Sie das Projekt erst einmal wieder eine Weile liegenlassen und sich anderen Dingen zuwenden. Wenn Sie aber für das Projekt Praxiswebseite Feuer gefangen haben, gibt es eine Reihe von Ergänzungen, die Sie als nächstes in Angriff nehmen können: Einbinden einer kleinen Anfahrtskarte (Google Maps, Anleitung siehe dort) in Ihre Kontaktseite Einbinden eines Kontaktformulars in Ihre Kontaktseite Erstellung eines Blogs, d.h. einer Sammlung von Newsmeldungen, in dem Sie beispielsweise Ihre Urlaubszeiten und Vertretung posten, die Impfsaison ankündigen oder auf Änderungen der Sprechzeiten hinweisen Abdruck der Adresse Ihrer Praxiswebseite auf Ihren Visitenkarten oder Privatrezepten Schauen Sie sich auch ruhig einmal die Webseiten Ihrer Kollegen an. Was können Sie für sich selbst übernehmen, was gefällt Ihnen weniger gut? Ihre Erfahrungen zum Praxismarketing Haben Sie gute oder schlechte Erfahrungen mit einem der genannten Systeme gemacht? Wurden Sie von Patienten schon auf Ihre Homepage angesprochen? Können Sie den Kollegen, die die Webseite lieber erstellen lassen möchten, einen guten Webdesigner empfehlen? Stellen Sie jetzt Ihre Fragen oder Kommentare Über die Autorin Dr. med. Christina Czeschik, M.Sc. Medizinische Informatik, Datenschutz, IT-Seminare Ich bin Ärztin für Medizinische Informatik (Ärztekammer Nordrhein) und Mitherausgeberin und Autorin der Bücher "Medizinische Informatik kompakt", "Gut gerüstet gegen Überwachung im Web" und "Literatursuche mit PubMed". MIt dem Team von serapion medical schreibe ich über Themen aus E-Health, Medizinischer Informatik und Medizintechnik und führe Workshops zu E-Health- und IT-Themen für Ärztinnen und Ärzte durch. Mehr dazu auf serapion medical: E-Health für Ärzte
×
×
  • Neu erstellen...

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten.

Datenschutzerklärung

Wenn Dir Teramed gefällt, melde Dich kostenlos an.

Erhalte sofort Zugriff auf alle QM-Vorlagen und die Möglichkeit, Fragen im Forum zu stellen.

Anmelden Kostenlos verbinden

 Erst einmal weiterlesen, später vielleicht...