Digitale Kommunikation in der Arztpraxis Teil 1: Fax und E-Mail
Brief, Fax, E-Mail, Messenger, KIM: Die Kommunikation wird immer in digitaler. Was gibt es dabei eigentlich zu beachten? Während es in Teil 1 um Fax und E-Mail geht, widme ich mich in Teil 2 der Kommunikation im Medizinwesen, kurz KIM, sowie den Messengern.
Fax
Das Fax ist als vermeintlich sicheres Kommunikationsmittel in Arztpraxen weit verbreitet. Jedoch ist die sichere und vertrauliche Datenübermittlung per Fax ein Trugschluss. Beim Fax besteht zunächst durch Vertippen bei der Zielnummer immer die Gefahr, dass das Dokument beim falschen Empfänger ankommt. Das weit größere Problem besteht jedoch darin, dass die Inhalte grundsätzlich offen und unverschlüsselt übermittelt werden. Der Telefaxverkehr ist daher wie ein Telefongespräch abhörbar.
Mit dem Wandel weg von Analog- und ISDN-Anlagen hin zu IP-basierten Systemen, hat sich zwar die Technologie verändert, aber das Problem ist geblieben. Denn nun werden die Daten in der Regel unverschlüsselt über das Internet verschickt. Oftmals kommen Faxe auch nicht mehr auf einem Faxgerät an, sondern werden als E-Mail an den Empfänger weitergeleitet. Hierbei kann zwar durch technische Maßnahmen die Sicherheit erhöht werden. Es gilt jedoch: Der Versand von Gesundheitsdaten per Fax ist nicht sicher genug!
Weitere interessante Links zum Thema:
> Datensicherheit beim Telefaxverkehr (Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen)
E-Mail ist (noch) die am weitesten verbreitete digitale Kommunikationsform. Fast jeder Bundesbürger hat eine E-Mail-Adresse. Doch wie sieht es hier mit der Sicherheit aus?
Eine E-Mail, die unverschlüsselt verschickt wird, ist wie eine Postkarte, die jeder lesen kann. Die Vertraulichkeit/Sicherheit kann erhöht werden, indem die Postkarte in einen Briefumschlag gesteckt und zugeklebt wird. Wenn der Briefumschlag allerdings geöffnet wird, ist der Inhalt lesbar und die Vertraulichkeit somit nicht mehr gewahrt.
Angewandt auf eine E-Mail bedeutet dies, dass eine sogenannte Transportverschlüsselung (SSL, TLS) genutzt wird. Bei manchen E-Mail-Providern muss dies explicit so eingestellt werden. Andere erlauben von vornherein nur den verschlüsselten Abruf.
Doch so wie mit krimineller Energie ein verschlossener Briefumschlag geöffnet werden kann, so kann auch die Transportverschlüsselung der E-Mail kompromittiert werden. Die nächste Sicherheitsstufe besteht also darin, den Brief in Geheimschrift zu verfassen, die nur der Empfänger lesen kann. Für eine E-Mail heißt dies, dass nicht nur der Transportcontainer, sondern auch der Inhalt verschlüsselt wird und vom Empfänger nur mit dem richtigen Schlüssel entschlüsselt werden kann. Das klingt kompliziert, und ja, das ist es auch.
Ich selbst habe mich vor einigen Jahren mit dem Thema beschäftigt und versucht, die komplette E-Mail-Verschlüsselung ans Laufen zu bringen. Und obwohl ich eine gewisse IT-Affinität habe, ist es mir nicht befriedigend gelungen. Hinzu kommt, dass beide Seiten, also Sender und Empfänger der E-Mail, ihr System entsprechend konfiguriert haben müssen. Da es jedoch kaum jemand benutzt, weil es so kompliziert einzurichten ist, bieten sich nur wenige Gelegenheiten, auf diese sichere Weise zu kommunizieren. Das ist somit nur etwas für IT-Nerds.
Viele Arztpraxen verfügen über eine Praxishomepage mit einem Kontaktformular oder Formularen zur Bestellung von Rezepten und Überweisungen. Auch hier kommt die Nachricht aus dem Formular per E-Mail in der Praxis an. Im ersten Schritt erfolgt die Kommunikation jedoch zwischen Browser und Webserver. Auch diese Kommunikation muss verschlüsselt erfolgen. Erreicht wird dies durch ein SSL-Sicherheitszertifikat für die Website. Der Webserver leitet die Nachricht in der Regel an einen E-Mail-Server weiter und kann von dort mit einem E-Mail-Programm, einer App oder im Browser abgefragt werden.
Wir befinden uns also in einem Dilemma. Die am weitesten verbreitete digitale Kommunikationsform ist nicht sicher genug, um vertrauliche Informationen auszutauschen!
Betrachten wir die Situation aus rein rechtlicher Sicht, dann sollten Sie in Ihrer Praxis nicht per E-Mail mit Patienten oder Kollegen kommunizieren. Das erscheint im digitalen Zeitalter jedoch wirklichkeitsfern. Daher nutzen viele Praxen doch dieses Medium. Sie und Ihr Praxispersonal sollten sich des Risikos aber immer bewusst sein.
Nun könnte die Übermittlung unauffälliger Laborbefunde an einen Patienten für unkritisch angesehen werden. Das Ergebnis eines HIV-Tests, insbesondere wenn er positiv ist, ist das sicher nicht. Auch Befunde oder Briefe, die sich auf die psychische Gesundheit beziehen, sollten nicht per E-Mail verschickt werden. Schließlich sind viele psychische Erkrankungen mit einem gesellschaftlichen Tabu belegt. Was nun als kritisch oder unkritisch einzustufen ist, ist leider nicht immer einfach zu beantworten. Erarbeiten Sie dazu mit Ihrem Praxisteam einen Handlungsrahmen und informieren Sie auch Ihre Patienten darüber, dass die Kommunikation per E-Mail nicht sicher/vertraulich ist. Idealerweise holen Sie von den Patienten vorab eine Einwilligungerklärung ein, in der Sie über das Risiko informieren. Aber das ist natürlich wieder mit einem zusätzlichen administrativen Aufwand verbunden.
Um auch noch der Datenschutzgrundverordnung (DSGVO) Genüge zu tun, sollten Sie außerdem mit dem E-Mail-Provider einen Vertrag zur Auftragsverarbeitung abschließen.
Auf den Sicherheitsaspekt für die Praxis-IT möchte ich hier nur kurz eingehen. Tragen Sie dafür Sorge, dass eine virenverseuchte E-Mail nicht Ihre komplette Praxissoftware infizieren kann. Zu den Schutzmaßnahmen gehören dabei auch regelmäßige Mitarbeiterschulungen.
Das sollten Sie bei der Kommunikation per E-Mail in der Arztpraxis beachten:
- Installation eines SSL-Zertifikats auf der Praxiswebsite
- Einschaltung der Transportverschlüsselung beim Abruf/Versand von E-Mails
- Abwägung, ob der Inhalt der E-Mail oder ein angehängtes Dokument dem Patienten schaden könnte, wenn es öffentlich bekannt würde
- Sichere Einbindung der E-Mail-Kommunikation in die Praxis-IT
Weitere interessante Links zum Thema:
> Fragen und Antworten zur Datenschutz-Grundverordnung (DS-GVO) und Datenschutz in der Arztpraxis (KV Bayern, Stand: 17.03.2020)
> Mit Sicherheit gut behandelt: E-Mail
> E-Mail Verschlüsselung in der Praxis (Bundesamt für Sicherheit in der Informationstechnik)