< vorheriger Artikel

KV-SaveNet: Ein paar Bemerkungen zur Verantwortung


Datenaustausch zwischen Arzt- oder Psychotherapeuten-Praxen, Kliniken oder KV gingen traditionell über Post oder Fax. Inzwischen wird auch über Internet versandt. Die KV will ab 2011 die Abrechnung online statt über Diskette oder CD. Auch auf den klassischen Wegen kann es Verlust oder Missbrauch geben. Um ein Mehrfaches leichter könnte Datenmissbrauch bei Benutzung des Internet geben.

Die KV wollte wohl den sichersten Weg gehen, indem sie zunächst KV-SaveNet favorisierte, eine Lösung, bei der ein spezieller Router installiert wird, der ein virtuelles privates Netzwerk (VPN) herstellt. Nur mit einer autorisierten Gegenstelle werden Datenpakete ausgetauscht, die so stark verschlüsselt sind, dass sie auf dem Weg zwar abgefangen, aber nicht gelesen werden können. Die Praxis selbst braucht dann nichts mehr für die Sicherheit der Daten tun, falls sie diese intern korrekt handhabt.

Wenn man KV-SaveNet nur zur Quartalsabrechnung nutzen würde, wäre das allerdings so, als würde man mit dem Sattelschlepper einmal im Quartal eine Zündholzschachtel transportieren. Das wäre vom Aufwand und von den Kosten her sicher keine empfehlenswerte Lösung. Immerhin haben einzelne KVen inzwischen einfachere und preiswertere Lösungen vorgesehen oder im Einsatz. Am einfachsten und genauso effektiv wie KV-SaveNet wären ein lediglich per Software eingerichtetes VPN.

Nun kam KV-SaveNet sogar selbst ins Visier der Kritik (siehe Ärztezeitung vom 21.10.2010). Das Problem ist eigentlich naheliegend. Beim KV-SaveNet werden Sicherheitsprobleme lediglich ausgelagert: auf einen Provider, eine Firma also. Was kann dort alles los sein?

Sehen wir das Ganze einmal grundsätzlicher: Der- oder diejenige, die schützenswerte Daten haben oder weitergeben, tragen Verantwortung. Wo er oder sie sich mit der Sicherung der Daten nicht auskennen, kann/muss er/sie Verantwortung abgeben. Weil sich relativ wenige KollegInnen im Bereich des Internet wirklich auskennen, sehen sich die Kassenärztlichen Vereinigungen genötigt, Vorgaben und Vorschriften zu geben. Die Weitergabe von Verantwortung muss bezahlt werden. Das ist in unserer arbeitsteiligen Gesellschaft so. Wenn man sich aber so wenig auskennt, dass man nicht ermessen kann, wieviel der Aufwand wert ist, den man kauft, kann man ausgenutzt werden. Wenn man nicht ermessen kann, ob die bezahlte Verantwortungsweitergabe überhaupt zu dem gewünschten Ergebnis (Datensicherheit) führt, kann man zwar Schuldige suchen, hat aber in der Sache nichts davon.

Seit den Anfängen des allgemein zugänglichen Internet gibt es eine Alternative zum bezahlten Verantwortungsabgeben: das Teilen von Verantwortung. Im Bereich der Datensicherheit wird dabei ein Weg gegangen, der ziemlich konträr zum oben angedeuteten steht. Programme, Datenverbindungen sind so durchsichtig gestaltet, dass sie im Prinzip jeder (Kundige) überprüfen kann. Das ist auch das Besondere an Open Source. Nicht dass es kostenlos zu haben ist, sondern dass der Einblick in die Quellen und Vorgänge offen ist. Die Fachleute nennen das, was dann stattfinden kann "Peer Review". Nicht nur "böse", sondern auch "gute" Hacker machen sich dran, Lücken und Fehler zu finden. [1]

Unter uns Psychotherapeuten scheinen mir aber die Kenntnisse und Ahnungen bezüglich Internet außergewöhnlich schwach. Wir könnten längst unter uns den Einsatz verschlüsselter E-Mails verbreiten. Eine solche Verschlüsselung würde auch völlig ausreichen, um einmal im Quartal eine Datei an die KV zu schicken. Verantwortung (Response-Ability) heißt, die eigenen Fähigkeiten zu sehen und nötigenfalls aufzubessern. Wenn wir Verantwortung für Datensicherheit ernst nehmen, brauchen wir als Berufsstand mehr Kompetenzen in diesen Anwendungen. Warum gibt es unter den Psychotherapeuten noch keine Community als Teil des "Web-of-Trust" der PGP-kompatiblen Schlüssel?

Gerhard Kugler, Bensheim



[1]Ich profitiere hier von einer Mail von Karsten Bräckelmann auf meine Anfrage in der Mailingliste der DaLUG (Linux User Group Darmstadt).

 


Zurück