• Auf Heilpraktiker-Foren gibt es einen großen internen Bereich für Heilpraktiker. In diesem geschützten Bereich können Realfälle der Praxis oder andere sensible Themen diskutiert werden.


    Es befinden sich momentan über 2800 Themen mit über 48000 Beiträgen darin. Ein wertvolles Nachschlagewerk nicht nur für Heilpraktiker die erst begonnen haben, sondern auch für die gestandenen die schon über jahrelange Erfahrung verfügen.

    Nähere Informationen unter: Interner Bereich für Heilpraktiker - Info

Gedanken zum Thema online oder nicht sein - ist das noch die Frage?

pgtaboada

Papick G. Taboada
Forumsunterstützer
Ort
Karlsruhe
Status
Interessierte(r)
Gerade wenn wir (lemniscus) auf Tour auf Kongressen sind, werden wir mit der Aussage konfrontiert:

Online?
Nein, da bin ich ja von dem Anbieter und dem Internet abhängig - das ist ja ganz schlecht!

Sicher - wer kein oder ein sehr unzuverlässiges Internet in der Praxis hat, wird eine online Praxisverwaltung nicht einsetzen können. So wie jemand, der keinen Rechner in der Praxis hat, Probleme haben wird, Rechnungen schreiben zu können, außer, er hat eine Schreibmaschine oder er greift zu Füller und Papier. Es gibt nunmal Dinge, die schliessen sich gegenseitig aus.

Hat man aber Internet in der Praxis - was wirklich sehr oft der Fall ist - dann kommt eine online Praxisverwaltung in Frage.

Viel zu oft wird diese Option nicht näher betrachtet, angeblich
  • ist das Internet gefährlich, da gibt es zu viele Hacker, da ist
  • die unsägliche Abhängigkeit zu einem Anbieter und
  • die unsägliche Abhängigkeit vom Internet, ausserdem
  • ist die Cloud doch datenschutztechnisch gar nicht erlaubt!
Was ist an diesen Punkten dran? Als Betreiber einer online Praxissoftware für Heilpraktiker, Osteopathen, usw. haben wir uns zu diesen Themen ein paar Gedanken gemacht….

Die “Cloud”

Fangen wir mit dem letzten und einfachstem Punkt an: die Cloud. Der Begriff Cloud steht heute für alles, was irgendwie mit dem Internet zu tun hat. Das gab es schon vor vielen Jahren, nur hatte es da noch keinen so schicken Namen. Als wir mit der Entwicklung von Lemniscus anfingen, nannte sich das ganze “Webanwendungen” und man hat ganz einfach nur “Server in einem Rechenzentrum” angemietet. Im Rechenzentrum erkauft man sich die besseren Leitungen, die Klimatisierung, die Gebäudesicherung, die Brandschutzanlage und viel wichtiger: das Know-How, das Ganze effizient zu betreiben.

Dann wurden Webanwendungen umgetauft - der neue Name war “SaaS”, was für “Software as a Service” steht. Die Infrastruktur im Rechenzentrum nannte man dann “IaaS” und “PaaS”, also “Infrastructure as a Service” und “Platform as a Service”. Heute nennt man das ganze “Cloud Computing” oder kurz einfach nur Cloud.

Kleiner Exkurs für Leute mit IT-Migrationshintergrund oder auch -Vorschädigung: die Virtualisierung hat Fortschritte gemacht, es werden mehr Möglichkeiten angeboten, so dass man auch komplexere Systeme in modernen Rechenzentren betreiben kann. Das bei Endanwendern bekannte “ich habe einen virtuellen Server bei Hetzner gebucht” ist nicht das, was man bei modernen Rechenzentren unter IaaS und PaaS versteht - komplexe Anwendungen die den Fokus auf Skalierbarkeit und Ausfallsicherheit haben, werden nicht lapidar auf einem virtuellem Server betrieben.

Das Thema Datenschutz war bereits mit dem Bundesdatenschutzgesetz (BDSG), heute erweitert durch die Datenschutzgrundverordnung (DS-GVO), eindeutig geregelt, und fällt unter den Begriff “Auftragsdatenverarbeitung” (ADV).

Das Thema Datensicherheit wird gerne mit dem Datenschutz verwechselt. Diese Frage ist nicht so einfach wie die Frage zum Datenschutz zu beantworten. Bei der Datensicherheit geht es darum, wie gut die Daten auf dem Server des Betreibers aufgehoben und geschützt sind. Im Gegensatz zum Computer zu Hause, werden auf den Servern einer online Praxisverwaltung weder Email-Programme zum Lesen von Nachrichten oder Browser benutzt, um Seiten im Netz zu besuchen. Die meisten Anbieter nutzen Linux als Betriebsystem und haben nicht einmal eine grafische Oberfläche. Somit funktionieren die meisten Angriffsszenarien durch Computer-Viren bei solchen Servern nicht (da kein Email-Anhang geöffnet werden kann oder eine manipulierte Website besucht werden kann). Oder anders ausgedrückt: die Sicherheitslücke “Mensch” fällt bei einer serverbetriebenen Software weg.

Wer die Nerven hatte, diesem Text bis hierher seine volle Aufmerksamkeit zu schenken, stellt sich jetzt vermutlich die Frage, wie es dann zu den ganzen Nachrichten von “gehackten Servern” kommen kann, wenn das doch so viel sicherer ist als der Computer zu Hause. Die bekanntesten Ursachen für solche feindlichen Server-Übernahmen sind veraltete Systeme, die nicht dem neuesten Sicherheitsstandard entsprechen. Hier geht es also in der Regel um Sicherheitslücken, die bekannt werden. Der böse Hacker sucht nicht genau den einen Server aus, er durchforstet das Internet nach Systemen mit bekannten Lücken und macht damit einen Rundumschlag auf alles, was nicht aktualisiert wurde. Veraltete WordPress-Installationen sind prädestiniert für einen solchen Angriff und fallen wie die Blätter im Herbst.

Heißt: wenn in einem Server keine bekannten standardisierten Systeme als Basis für eine Software verwendet werden, können auch keine Angriffe darauf erfolgen. Daraus ergibt sich dann die nächste Frage: Wieso benutzen dann Websiten-Betreiber nicht einfach alle solche nicht-standardisierten Systeme und sind somit vor den meisten Standard - Angriffen geschützt? Weil das aufwendig ist… zeitintensiv…damit teuer… und vor allem aber ein sehr großes Know-How bei den Entwicklern die Basis bilden muss.

Hier muss der Therapeut das Vertrauen haben, dass der Anbieter genug Erfahrung mit der Entwicklung und dem Betrieb von Webanwendungen hat. Bei Lemniscus kommen weder Standardprodukte wie Wordpress zum Einsatz und wir setzen kein PHP ein - so dass diese Angriffsvektoren bei uns auch keine Wirkung haben - und wir haben schon viele Jahre praktische Erfahrung mit der Entwicklung und dem Betrieb von unternehmenskritischen Anwendungen gesammelt - ich persönlich bin jahrelang Referent und Dozent im IT-Bereich und war viele Jahre als Software-Architekt und Berater für namhafte Unternehmen in Deutschland tätig.

Ganz wichtiger Punkt ist Schaffung einer Vertrauensbasis - wie Transparent ist der Anbieter? Wir bei Lemniscus sind sehr aktiv: Newsmeldungen, Status-Meldungen, öffentliche Verfügbarkeits-Überwachung, online Community Forum, Facebook-Fanpage und ein paar Male im Jahr sind wir sogar auf Tour.

Der Mythos der Abhängigkeit -
Online und offline Anwendungen haben doch das gleiche Problem

Abhängigkeit zu einem Anbieter

Jeder Therapeut, der mit einer Praxissoftware arbeitet, wird früher oder später feststellen, dass eine Abhängigkeit zu einem Anbieter entstanden ist. Denn jedes Tool tickt ein bisschen anders, und jedes Tool hat Auswirkungen auf den Praxisablauf. Jeder, der einmal die Praxissoftware gewechselt hat merkt, wie sich größtenteils unbemerkt die Abläufe der Praxis leicht um die Bedienungsmarotten eines Programms herum falten. Sicher gibt es Programme, die mehr oder weniger wie eine Kopie des anderen erscheinen, und nahezu die gleiche Bedienung präsentieren. Gerade die Vertreter, die konzeptionell im Bedienungsmuster der späten 90er Jahre stecken geblieben sind, ähneln sich doch sehr. Damals galt es schon als innovativ, wenn man in Eingabemasken gewagt hat, die Hintergrundfarbe etwas blumiger zu gestalten.

Das zeigt, dass auch bei offline Anwendungen eine Abhängigkeit zu einem Anbieter besteht - schliesslich dreht sich die Welt weiter, rechtliche Anforderungen ändern bzw. verschärfen sich: als Anwender ist man davon abhängig, dass ein Anbieter sein Produkt weiterentwickelt. Zum Beispiel hat ein bekannter Softwarehersteller aus der Heilpraktikerbranche vor DS-GVO und GoBD das Handtuch geworfen, und bisher glückliche Anwender sind jetzt auf der Suche nach Alternativen, die die Anforderungen der neuen Rechtssprechung erfüllen. Wenn eine Abhängigkeit so oder anders gegeben ist, dann stellt sich eher die Frage: wie zukunftssicher ist der Anbieter aufgestellt, wie finanziert sich die Entwicklung? Gerade die Frage nach dem Finanzierungsmodell ist wichtig: wovon lebt der Anbieter? Jeder Anbieter hat eine andere Vorstellung davon, was Zukunftssicherheit bedeutet. Anbieter, die vom reinen Lizenzverkauf leben, sind vom Wachstum abhängig. Anbieter, die ein Mietpreis-Modell haben, werden von Ihren Anwendern kontinuierlich finanziert und benötigen eine Mindestmenge an Anwendern, um wirtschaftlich zu sein - sind aber irgendwann nicht mehr vom Wachstum abhängig. Anbieter, die über Werbung die Entwicklung finanzieren, sind von vergleichsweise wenigen Akteuren (Werbetreibenden) abhängig, die keine Bindung zum Produkt haben, sondern nur Interesse daran haben, eine werbewirksame Zielgruppe zu erreichen. Findet sich eine werbewirksamere Möglichkeit für diese Akteure, gibt es keinen Grund, am Werbebudget festzuhalten und das Finanzierungsmodell kann ins Wanken geraten. Jeder Anbieter ist mit Sicherheit von seinem Finanzierungsmodell überzeugt und letztlich ist für ihn nur eine Frage wichtig: lohnt sich der Aufwand? Kann er von seinem Produkt leben?

Abhängigkeit vom Internet

Ja, eine online Praxisverwaltung ist vom Internet abhängig. Hat die Praxis keinen Internetzugang, ist eine online Praxisverwaltung ganz einfach keine Option.

Die Kritik, die wir üblicherweise zu hören bekommen, richtet sich aber häufig nicht an das “nicht Vorhandensein von Internet” - viel mehr sind die Internet - Ausfälle gemeint: also die Praxis hat theoretisch Internet, in der Praxis will das aber nicht so klappen, wie in der Werbung dargestellt. Nicht selten ist hier ein in die Jahre gekommener Router der Schuldige, ganz selten ist es eine betagte Windows-Installation, die mehr als nur Netzwerkprobleme hat. In wenigen Fällen ist tatsächlich der Internetanbieter Schuld an der Misere - so die Erfahrung, die wir gemacht haben.

Das generelle Problem mit der Wartung

Ist es das Internet, der Router oder gar der Rechner, der spinnt? - das eigentliche Problem ist grundsätzlich die IT-Abhängigkeit, in die man rutscht, wenn man sich auf das Abenteuert der elektronischen Datenverarbeitung einlässt. Viele Einzelkämpfer begeben sich in eine (recht ungesunde) Abhängigkeit von Bekannten oder Familienangehörigen, die sie initial bei der IT-Einrichtung unterstützt haben. Damit ist es aber nicht getan. Genau wie beim Auto fallen hin und wieder und leider auch manchmal häufiger Wartungs- und Reparaturarbeiten an. Den Ölwechsel muss man beim Auto genauso machen wie das Betriebssystem- Update am Rechner. Wenn die Warnleuchte am Armaturenbrett und die Festplatte kaputt ist, müssen beide nunmal ersetzt werden.

Bei online Lösungen ist der oben schon erwähnte Aufwand der Wartung des Systems in der Verantwortung des Softwarebetreibers: Updates werden eingespielt, wenn man selbst gemütlich im Bett schläft oder einfach nur sein Leben genießt. Wenn man die Software das nächste Mal benutzt, ist alles schon erledigt - und bestenfalls bekommt man nichts mit.

Denn das ist, neben der Weiterentwicklung des Systems, unsere Aufgabe: Wartung und Pflege und Betrieb der Server. Betreibt man eine Praxissoftware “in den eigenen vier Wänden”, dann ist man selber für alles zuständig.

Denn auch in den eigenen vier Wänden gelten die Anforderungen der GoBD und der DS-GVO. Technische und organisatorische Maßnahmen müssen dokumentiert, umgesetzt und überwacht werden. Hat man zum Beispiel kein Datensicherungskonzept, dass einem vor einer Datenpanne bewahren kann, dann hat man dieses entweder dokumentiert, oder entgegen der Dokumentation nicht korrekt gehandelt. In beiden Fällen ist man fahrlässig mit den Daten der Patienten umgegangen, denn entweder ist kein Datensicherungskonzept dokumentiert (das ist nicht gut), oder man hat sich nicht an die Dokumentation gehalten und keine Datensicherung durchgeführt (das ist ganz sicher noch weniger gut).

Das generelle Problem mit "einem Problem"

Hinfallen kann jeder, die Frage ist, wie schnell kann man wieder aufstehen.

Lemniscus hat inzwischen so eine breite Anwenderbasis, dass es statistisch gesehen nur noch eine Frage der Zeit war, bis der Blitz irgendwo einschlägt. Und tatsächlich - im wahrsten Sinne des Wortes zweimal sogar, … zwei Meldungen haben wir bekommen. Der Rechner hat das Rendezvous mit dem Himmelsstrom nicht überlebt. Um bei der Autoanalogie von weiter oben zu bleiben: ist nach Reifenpanne das Ersatzrad einsatzfähig bzw. überhaupt vorhanden??!! Habe ich ein aktuelles, einsatzbereites Backup meiner Daten, die auf dem Rechner waren??!!

Was passiert eigentlich bei einem Hardwareausfall oder Betriebssystemabsturz in der Praxis? Sind die Updates aktuell, wie viele Daten sind verloren gegangen? Die Daten einer Stunde oder die Daten einer Woche? Ist das schon eine meldepflichtige Datenpanne? Haben wir überhaupt eine Sicherungskopie? Neben der Problematik mit der Hard- und Software, die ausfallen können, gibt es noch ganz andere Risikoquellen: was ist, wenn der Rechner gestohlen wird? Was ist, wenn man sich einen Virus/ einen Trojaner einfängt? Mit etwas Glück ist die Sicherungskopie weder vom Diebstahl noch vom Trojaner erwischt worden und es gilt jetzt “einfach nur”, das System wiederherzustellen.

Was aber, wenn die Software online betrieben wird? Hat man im Beispiel von Lemniscus ein Tablett und ein Mobildatenvertrag, so hat man unverzüglich sowohl eine Ersatz-Internetleitung als auch eine Ersatz-Hardware. Man kann praktisch nahtlos ohne Ausfall weiterarbeiten.

Was aber, wenn die Störung nicht im Internet, sondern beim Online-Software-Anbieter stattfindet? Die Antwort ist recht einfach: wie gut, dass man sich dann nicht selber um das Problem kümmern muss. Denn Ausfälle können immer passieren - die Frage ist nur, wie ist der Umgang des Anbieters mit einer solchen Situation. Ist er vorbereitet?

Als Cloud-Anbieter hat man für den Ausfall zu planen. Wir IT-Menschen kennen an dieser Stelle Begriffe wie “Standby”, “Fail-Over” und “Disaster Recovery Time”. Das es dafür Namen gibt, lässt eigentlich tief blicken. Es zeigt, dass dieses Problem häufig genug gelöst werden durfte. In einfachen Worten: ein ausfallsicherer Betrieb wird dadurch ermöglicht, dass mehrere Server und sogar mehrere Rechenzentren im Einsatz hat. Im krassen Gegensatz zu dieser Vorgehensweise steht die “wir haben einen Server”-Lösung. Auf diesem werden dann Datenbank, Anwendung und schlimmstenfalls weitere Dienste betrieben. Knallt es irgendwo auf dem Server, dann ist gleich alles weg - ein Fail-Over gibt es nicht bzw. ist zeitaufwendig, weil man einen anderen Server erst aufsetzen bzw. auf Fehlersuche gehen muss: die Ausfallzeiten werden eher in Stunden als in Minuten gerechnet.

Auch hier möchte ich kurz darauf eingehen, wie wir es bei Lemniscus handhaben: Lemniscus ist ein komplexes System und besteht aus mehreren Servern, die jeweils bestimmte Aufgaben übernehmen. Dieses komplexe System gibt es von uns gleich zweimal: auf zwei physisch getrennten Rechenzentren - sollte auch mal bei uns der Blitz einschlagen. ;) Zugegeben - ein Blitz würde dem Rechenzentrum vermutlich nichts antun, da der Betreiber hoffentlich nicht nur in seiner Dokumentation Blitzableiter, Feuermelder und Sprenkleranlagen vorweisen kann, und dennoch… Beide Systeme werden zeitgleich betrieben, der Anwender merkt gar nicht, dass die Daten während einer Sitzung mal von einem und mal von dem anderen Rechenzentrum geliefert werden. Tagsüber betreiben wir in der Regel mehr Anwendungs-Server als nachts: das System kann selber ermitteln, wie viele benötigt werden. Dadurch werden täglich alte durch neue, frisch aufgesetzte Anwendungs-Server ersetzt. Die Datensicherung der gedoppelten Datenbank-Server gibt uns die Möglichkeit, eine Sicherung eines beliebigen Zeitpunktes (sekundengenau) der letzten 35 Tage zu laden.

Gibt es ein Fazit?

Nächstes Jahr, also 2019, feiern wir 50 Jahre Internet, 48 Jahre eMail, 29 Jahre Web. Im Jahr 1970 wurde in Deutschland das erste Mal ein Datenschutzgesetz beschlossen. Das, was wir heute mit der DS-GVO erleben, gibt es in Deutschland in fast genau dieser Form seit 2009, das sind nächstes Jahr dann praktisch 10 Jahre Datenschutzgesetz.

Daher ist es vielleicht nicht angebracht, von „neuen Medien“ oder gar vom „neuen Datenschutz“ zu sprechen, nur weil wir alle die letzten Jahrzehnte verschlafen haben und jetzt „online digital sicher machen müssen”.

Gerade durch und dank dem DS-GVO Wirbel der letzten Monate werden die Therapeuten dazu gezwungen, sich kritisch mit dem Thema EDV auseinanderzusetzen. Und das ist gut und gehört ebenso zu einer Praxis, wie das kaufmännische Handeln und gute Behandlungen.

Eines steht fest: beide Vorgehensweisen - also egal ob online oder offline - haben Vor- und Nachteile. Eine pauschale Verteufelung des einen oder anderen Ansatzes wird der Sache nicht gerecht.

Die Cloud ist nicht schlecht, ganz sicher nicht - es kommt, wie immer, auf die Umsetzung an - Cloud ist nunmal nicht gleich Cloud, das wäre viel zu einfach. Das gleiche gilt auch für die Nutzung einer Anwendung auf dem eigenem Rechner: die ist mit Sicherheit auch nicht immer die beste Lösung.
 
Zuletzt bearbeitet:
Zurück
Oben