KIM Nachrichten und IT-Sicherheitsgedanken
KIM steht für „Kommunikation im Medizinwesen“. Es ist ein Nachrichten-Dienst für BehandlerInnen im Rahmen der gesetzlichen Gesundheitsversorgung.
Da KIM Teil der Telematik-Infrastruktur (TI) ist, sind VertragsärztInnen und VertragspsychotherapeutInnen dazu verpflichtet, diesen Dienst zur Kommunikation mit anderen BehandlerInnen zu verwenden.
Und das ist auch gut so!
KIM-Nachrichten sind im Grunde E-Mails, die über speziell gesicherte Systeme innerhalb des TI-Netzes versendet werden. Jede von der KBV zugelassene Praxisverwaltungssoftware unterstützt den Abruf von KIM-Nachrichten.
BehandlerInnen können auf diesem Wege verschlüsselt Therapiedaten, Befunde o.ä. austauschen. Inklusive angehängter Dokumente oder Bilder. Das es diese Möglichkeit zur Kommunikation gibt ist aus Datenschutz-Sicht wunderbar. Es kommt leider immernoch vor, dass BehandlerInnen untereinander Informationen über normale E-Mails austauschen. Diese Nachrichten sind dann allerdings unverschlüsselt und damit prinzipiell von „jedermann“ lesbar.
Aaaaaber:
Wie jede E-Mail können auch KIM-Nachrichten Viren enthalten. Die angehängten Dokumente stammen schließlich von einem Arbeitsplatz der Praxis, manch BehandlerIn wird auch Dokumente per KIM versenden, die ihm/ihr von PatientInnen weitergeleitet wurden.
PDFs, Bilddateien und natürlich auch Office-Dateien (erkennbar an der Endung .docx, .odf oder bspw .xlsx) können Viren, Trojaner oder andere Schadsoftware enthalten. Dessen müssen sich alle Beteiligte bewusst sein.
Eine Frage der Haftung
InhaberInnen ambulanter Praxen sind für die IT-Sicherheit ihrer Systeme verantwortlich. Wenn nun Praxis A an Praxis B eine KIM-Nachricht sendet und diese Nachricht Schadsoftware enthält, würde Praxis A die Praxis B möglicherweise mit einem Virus infizieren. Daraus ließe sich ein Schadenersatzanspruch ableiten. Die InhaberIn von Praxis A wäre für den entstandenen Schaden in Praxis B verantwortlich, es wird also doppelt teuer und problematisch.
Die einzige Lösung
Es ist klar, dass eine 100% Sicherheit in IT-Systemen nicht garantiert werden kann. Allerdings können sich die Praxen aus meinem Beispiel sicherheitstechnisch und damit auch rechtlich absichern: setzen sie die KBV IT-Sicherheitsrichtlinie nach §75b SGB V in Ihrer Praxis um und dokumentieren Sie die Umsetzung gut.
Praxis A könnte damit nachweisen, dass sie alles technisch mögliche unternommen hat, um den Schaden zu vermeiden. Das hilft 100% im Prozess.
Praxis B könnte damit gleichwohl nachweisen alles getan zu haben, um die eigenen Systeme vor Bedrohungen zu schützen und nachweisen, dass es ohne den Virus aus Praxis A frei von Schaden gewesen wäre. Das hilft ebenso im Falle eines gerichtlichen Schadenersatzverfahrens.
Der Fall ist nicht einfache Theorie
Es ist im Grunde ausgeschlossen, dass es solche Fälle nicht schon gegeben hat. Nicht umsonst hat die Zeitschrift „KVS Mitteilungen“ der kassenärztlichen Vereinigung Sachsen in diesem Monat einen Artikel zu dem Thema gebracht. Auf Nachfrage habe ich erfahren, dass dem Bericht ein realer Fall zugrunde liegt.
Wie die meisten Datenschutzverstöße auch, werden solche Fälle allerdings selten in die Öffentlichkeit getragen, sondern außergerichtlich beigelegt. Gerade Praxen werden sich aus Angst vor Haftungsforderungen davor hüten Datenschutzverstöße publik zu machen.
Bei dieser Gelegenheit möchte ich daran erinnern, dass auch ambulante Praxen dazu verpflichtet sind mögliche Datenschutzverstöße mit potenziell hohem Risiko innerhalb von 72h an die zuständigen Aufsichtsbehörden zu melden.Tun Sie das bitte! Ich wäre an Ihrer Stelle lieber der Präzedenzfall für einen gemeldeten Datenschutzvorfall, als für den Entzug der kassenärztlichen Zulassung. Ersteres kann man viel einfacher managen 😉