Hallo Dorphin,
wir haben Lemniscus als reine online Lösung konzipiert. Die Synchronisierung, wie du sie dir vorstellst, funktioniert so nicht. Gerade da Thema Kollisionserkennung geht nur "online", eine nachträgliche Konfliktauflösung ist in dem Bereich Terminierung wenig Sinnvoll. Terminkalender, die so funktionieren, haben nicht die Anforderung der Kollisionsfreiheit - diese Anforderung sind wir nicht bereit aufzugeben.
Mit Desktop-Versionen kommen auch die lokalen Probleme, die wir heute im Support nicht abdecken müssen. Das Gesamtsystem wird somit sowohl im Betrieb, im Support als auch in der Entwicklung komplexer.
Wir sehen aktuell auch keine Vorteile darin, eine Desktop-Version anzubieten. Die gefühlte Sicherheit rechtfertigt nicht den Aufwand. Schliesslich wären die Desktop-Versionen lediglich Caches - die Umsetzung einer echten Peer-To-Peer Lösung würde das ganze um mehrere Dimensionen verkomplizieren und heute eine Neuentwicklung von Lemniscus bedeuten.
Zurück zu deinen Fragen:
1) Gibt es die Möglichkeit bei einem Verbindungsausfall auch offline auf die Daten zuzugreifen? Oder muss ich dann solange die Praxis zumachen?
Wir empfehlen hier eine mobile Internetverbindung als Fall-Back-Lösung. Die Termine können per iCalender-Abo auf Desktop und mobile Geräte abonniert werden (wir unterscheiden zwischen Abonnement und Synchronisation). Somit ist der Terminkalendar auf den Geräten vorhanden, auch wenn kein Internet da ist. Es können allerdings keine Termine vergeben oder verschoben werden, es können keine Patienten angelegt oder bearbeitet werden, es können keine Rechnungen erstellt werden.
Da du auch offline behandeln kannst, gehe ich davon aus, dass du die Praxis nicht zumachen musst.
Viele Therapeuten haben ein Tablett samt Internetvertrag als Backup.
Damit hat man sowohl für Internet- als auch für Hardwarestörungen eine Ausweichlösung, kann also nahtlos weitermachen.
2) Kann ich die Daten lokal Backupen? (Ihr könntet gehackt werden oder Pleite gehen etc.)
Die Daten können exportiert werden.
Es ist kein Systembackup, das wieder eingespielt werden kann.
3) Werden die Daten verschlüsselt bei Euch abgespeichert?
Wir betreiben "encryption at transfer" und "encryption at rest". Also ja. Und wenn ich hier noch ein bisschen dick auftragen kann: wir betreiben Lemniscus auf zwei physisch getrennten Rechenzentren gleichzeitig, die Datenbank wird gespiegelt betrieben. Unsere Anwendungs-Server werden in der Regeln nicht länger als 2 Tage betrieben und dann gleich durch neue ersetzt - dadurch umgehen wir die Alterung der Systeme.
4) Hat L. zugiff auf die Patientendaten?
4) Kann L. im Falle einens Teamview-Supports Patientendaten einsehen?
Ich beantworte die beiden 4er Punkte zusammen.
Administratoren haben Zugriff auf die Datenbanken - anders wäre ein Betrieb nicht möglich. Ein Datenherrschaftswechsel findet nicht statt.
Dank Pseudonymisierung ist eine strukturierte Darstellung der Daten, so wie der Therapeut diese kennt, auf unserer Seite nicht vorhanden.
Deswegen benötigen wir für knifflige Supportanfragen Teamviewer auf dem Rechner des Therapeuten,
um dem Therapeuten beim Arbeiten über die Schulter zu schauen.
Vorgehensweise:
- der Therapeut meldet sich mit einem Problem, das wir nicht per Mail oder Telefon geklärt bekommen
- es wird ein Termin für eine Fernwartung vereinbart
- der Therapeut startet Teamviewer auf seinem Rechner
- per Telefon und per Teamviewer zeigt uns der Therapeut das Problem auf seinem Rechner und wir besprechen das ganze.
Wir schauen also nicht auf das System (wir haben nichts, worauf man sich per Teamviewer verbinden könnte), sonder auf den Rechner des Therapeuten. Unsere Server sind Linux-Maschinen ohne graphische Oberfläche.
5) Bedeutet die Aussage:"Lemniscus befindet sich gegenwärtig im Prozess einer DSGVO-Zertifizierung." Das L. nicht in allen Belangen Datenschutzkonform arbeitet?
Nein, das ist nicht korrekt.
Wir haben schon 2013 mit den Therapeuten eine AVV abgeschlossen, also dafür gesorgt, dass die rechtlichen Voraussetzungen erfüllt wurden. Wir haben auch schon vor dem inkrafttreten der DS-GVO unsere Verträge auf die neue Rechtsprechung aktualisiert.
Eine DS-GVO Zertifizierung ist keine Pflicht und es gibt heute auch keine offizielle Zertifizierung.
Wir wollen nicht länger warten und wollen uns jetzt schon von einer Auditor Zertifizieren lassen, auch wenn diese Zertifizierung noch nicht offiziell ist. Sobald es in Deutschland akkreditierte Zertifizierungsstellen gibt, werden wir uns auch darum kümmern.
Parallel treiben wir die Zertifizierungen für die GoBD voran. Auch hier besteht keine Pflicht, wir haben uns einfach dafür entschieden.