Interview: Praxisverwaltungssysteme – im Web und trotzdem sicher

Der ambulante Sektor scheint sich mit dem Einsatz digitaler Tools manchmal besonders schwer zu tun. Daran sind Entwickler sicher nicht ganz schuldlos: Viele existierende Programme glänzen nicht gerade durch Benutzerfreundlichkeit.

Das Startup RED Medical ist angetreten, nicht nur ein benutzerfreundliches Praxisverwaltungsprogramm auf den Markt zu bringen, sondern auch ein sicheres. Sicherheit und Nutzerfreundlichkeit stehen als Ziele bei der Softwareentwicklung oft in Konflikt miteinander. Wie das Team von RED Medical beide unter einen Hut bringt – und die Hintergrundgeschichte dazu – das lesen Sie im folgenden Interview mit den beiden Gründern, Jochen Brüggemann und Alexander Wilms.


Wie sind Sie beide in die Branche gekommen?

AW: Rettungsdienst während des Studiums, dann erster Job im Bereich Krankenhaus-Informationssysteme, dazu eine niedergelassene Allgemeinmedizinerin als Frau – die Medizin und das Thema Arztsoftware begleiten mich seit fast 30 Jahren. Als ich damals das erste Mal die Arztsoftware in unserer Praxis sah, dachte ich mir, dass das doch besser gehen müsste.Dieses Zitat tweetenÜber die Jahre habe ich mich beruflich immer mit Software befasst, und der Wunsch, selbst eine bessere Arztsoftware zu machen, war immer latent vorhanden. Daher habe ich keine fünf Sekunden gezögert, bei der Entwicklung von RED Medical mitzumachen. Unsere Praxis war die erste, in der RED Medical eingesetzt wurde – die Anfangsschwierigkeiten am eigenen Leib mitzuerleben war hart, aber ungemein lehrreich. Einige unserer Ideen waren nicht praxistauglich, vieles hat sich bewährt und wurde über die Jahre laufend verfeinert.

JB: Mein Vater, Großvater und Onkel sind bzw. waren niedergelassene Ärzte. Als Kind einer Arztfamilie war ich also von klein auf mit der Medizin in Kontakt. Mich hat aber schon immer die Informatik noch mehr interessiert. Und so kam es, dass ich 1986 mit 17 Jahren für meinen Vater und meine Onkel die erste Software entwickelt habe. Mit diesem Programm konnten die Ärzte jeden Abend die GO-Nummern des Tages in den Computer tippen und waren so das erste Mal in der Lage eine Abschätzung Ihres Praxisumsatzes weit vor der eigentlichen Abrechnung vorzunehmen. Damals eine Revolution!

Die “Optomed-Praxisstatistik” erfreute sich großer Beliebtheit unter den Ärzte und schnell waren wir bei über 1.000 Anwendern bundesweit. Dazu kamen dann sehr bald noch Programme für die Privatliqiuidation und die Finanzanalyse bis wir im Jahr 1994 das erste KBV-zertifizierte Windows-Programm entwickelt haben. Nach einer Fusion mit der Firma ALBIS kam dieses Programm unter dem Namen “Albis on Windows” sehr schnell unter die TOP 10 der Arztprogramme und befindet sich dort übrigens auch heute noch.

Dieser Screenshot hier ist zwar nicht aus den allerersten Anfängen von ALBIS, aber tatsächlich hat sich an der Oberfläche seit den 90ern nicht wirklich etwas verändert. Das Patientenbild von mir stammt allerdings aus der damaligen Zeit…

ALBIS Screenshot

Und wie ging es dann mit RED Medical los?
JB:
Man setzt sich an seinen Schreibtisch und denkt lange nach. Dann schreibt man die erste Zeile Programmcode. Tatsächlich haben wir ziemlich schnell angefangen, zu programmieren, denn am Anfang haben wir sehr viel Grundlagenforschung betrieben. Wir brauchten einen Prototypen des Systems, denn wir mussten für eine Reihe offener Fragen im Bereich der Verschlüsselung und des Betriebs im Rechenzentrum Lösungen finden. Ein webbasiertes System mit verschlüsselten Daten hatte vor uns noch niemand gebaut, und es gab beispielsweise keine Erfahrungswerte im Bereich der Skalierung – wir wussten zunächst nicht, wie viele Server wir brauchen würden.

AW: Wenn ich darüber nachdenke, fehlt uns der typische Startup-Gründungsmythos – wir hätten die ersten Zeilen Code in Jochens Garage schreiben sollen. Aber im Ernst, wir wussten aus unserer langen Erfahrung schon ziemlich genau, was wir machen wollten. Am Anfang war es schwierig, aber nach sechs Monaten haben wir bei der KBV die erste Zertifizierung beantragt.

JB: Wir haben aber nicht nur programmiert, sondern daneben auch noch die Datenschutz-Zertifizierung vorangetrieben. Das Siegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gilt als Goldstandard, es gibt andere Siegel, die man einfacher bekommen kann, aber wir wollten ganz bewußt dieses. Das ULD ist im Gegensatz zu anderen Zertifizierern als öffentliche Dienststelle unabhängig und erteilt das Gütesiegel nur dann, wenn alle ihre Bedingungen erfüllt sind. Und wir wollten eine unabhängige Bestätigung, dass unser Datensicherheits-Konzept funktioniert und auch rechtlich Bestand hat, schon im Interesse unserer Benutzer. Dass das ULD sehr konsequent dem Datenschutz verpflichtet ist, bekamen wir zu spüren. Nachdem wir den ersten Katalog mit Anforderungen abgearbeitet hatten, wähnten wir uns schon am Ziel. Aber dann ging der Vorgang zur Leitungsebene des ULD und es kamen noch zwei weitere Runden mit Anforderungen, die es in sich hatten. Letztlich hat uns das ULD gezwungen, den Datenschutz weitaus strenger zu handhaben als wir das ursprünglich vorhatten. RED Medical hat davon ungeheuer profitiert. Um letztlich die Unterschrift von Dr. Thilo Weichert auf dem Zertifikat zu bekommen, haben wir fast ein Jahr gebraucht.Dieses Zitat tweeten

Welche Veränderungen haben Sie in den letzten 20 Jahren in Arztpraxen und bei ihren digitalen Werkzeugen beobachtet?

JB: Die Systeme sind in den letzten 20 Jahren vor allem komplexer und umfangreicher geworden, und das oft nicht zum Wohle der Anwender. Updates dauern länger und die Anforderungen an Hardware und Netzwerke sind sprunghaft gestiegen. Wie bei komplexen Systemen oft üblich, ist allerdings auch die Anfälligkeit gestiegen. Die Klagen über langsame und instabile Systeme hört man überall.

Datenbanktechnologien und -designs, die ihren Ursprung vor 20 Jahren haben, sind mit den Datenmengen, die in der Zwischenzeit in den Arztpraxen angehäuft wurden, schlichtweg überfordert. Hier wird dann nur noch an den Symptomen herumgedoktert, statt das eigentliche Problem zu lösen. Das ist also so, als würde man einem alten Wagen über die Jahre einen neuen Motor verpassen, das Radio austauschen und die Sitze erneuern. Ein schickes, modernes und schnelles Auto wird da trotzdem nicht draus.

Gibt es auch Dinge, die sich erstaunlich wenig verändert haben?

JB: Wir haben in den letzten Jahren unglaubliche Veränderungen in der Informationstechnologie gesehen – das Internet hat viele Branchen wie den Einzelhandel komplett auf den Kopf gestellt, Smartphones sind aus unserem Leben nicht mehr wegzudenken. In den Arztpraxen findet sich davon aber so gut wie gar nichts wieder – der letzte große Umbruch bei den eingesetzten Systemen war die Umstellung auf Windows in den 90er Jahren. Datenaustausch mit Kollegen oder Patienten findet immer noch über Papier und Fax statt, und alle Initiativen, das zu ändern, wie der e-Arztbrief, die Videosprechstunde oder die Telematik-Infrastruktur, haben sich nicht durchgesetzt.

Die Probleme hier sind vielschichtig und abhängig vom jeweiligen Projekt ganz unterschiedlich gelagert. Der e-Arztbrief hat sich bis heute nicht durchgesetzt, weil die Umsetzung in den verschiedenen Systemen einfach zu schlecht ist. Die Anwender wollen mit Ihnen nicht arbeiten. Hier rächen sich einfach die Designfehler der Vergangenheit. Darüber hinaus werden diese Module von vielen Softwarehäusern dazu benutzt, um Ihre Kunden weiter zu schröpfen. Sie sind schlichtweg zu teuer. Last but not least hat es viel zu lange an einheitlichen Standards gefehlt. Inkompatibilitäten zwischen den einzelnen Systemen machen jedes Kommunikationsinstrument unbrauchbar.

Am Ende ist es wie beim Telefon - es hat sich erst richtig durchgesetzt, als es es eine genügend große Menge an Leuten gab, die man anrufen konnte.Dieses Zitat tweeten

Bei der Telematikinfrastruktur hat das Projekt einfach zu lang gedauert. Inzwischen ist die dort verwendete Technik veraltet und nicht mehr zeitgemäß. Das Konzept stammt noch aus der Zeit Ende der 90er, als es beispielsweise noch keine Smartphones gab. Den Wunsch, als Patient die eigenen Gesundheitsdaten auf dem Handy einzusehen, hatte man einfach nicht bedacht. Anstatt das jetzt nachträglich mit hohem technischen Aufwand auf das bestehende Konzept draufzusetzen, hätte man neu konzipieren müssen. Es wird unserer Meinung nach ein Sterben auf Raten geben. Ein einfaches Ausknipsen des Systems, was ohne Zweifel das beste wäre, traut sich inzwischen keiner mehr. Dafür ist dort inzwischen schon zu viel Geld verschwendet worden, und kein Politiker möchte die Schuld auf sich nehmen.

RED Medical Arztsoftware

Der Videosprechstunde fehlt im Moment der monetäre Anreiz. Im aktuellen EBM ist die Digitalisierung überhaupt noch nicht berücksichtigtDieses Zitat tweeten – momentan wird der direkte Arzt-Patienten-Kontakt deutlich besser honoriert. Warum soll ein niedergelassener Arzt, dessen Wartezimmer voll ist, sich mit einem System beschäftigen, dass ihn nur Zeit und Geld kostet, dafür aber nicht abgerechnet werden kann. Wir bei RED Medical haben zumindest den Kostenfaktor gelöst, indem wir unser System gratis anbieten. Jeder, der es ausprobieren möchte, kann sich auf unserer Homepage dafür registrieren. Bei der Abrechenbarkeit sind aber auch wir auf den Gesetzgeber angewiesen.

Worin sehen Sie im Moment das drängendste Problem bei der Digitalisierung in Arztpraxen?

JB: Die Anforderungen an Ärztinnen und Ärzte sind höher geworden: Ärztemangel, komplexere Behandlungspfade, eine alternde Bevölkerung.Dieses Zitat tweeten IT-Systeme müssen den Betrieb in einer Praxis heute ganz anders unterstützen als früher, sie müssen überall und jederzeit verfügbar sein, und sie müssen einfach funktionieren. Dabei sind die heutigen Systeme viel komplizierter als die Einplatz-Anlagen, aus denen sie vor zwanzig Jahren hervorgegangen sind.  Der Betrieb der eigenen IT muss endlich von den ohnehin überladenen Schultern der Ärztinnen und Ärzte genommen werden. Ihr Auto warten und reparieren Sie ja auch nicht selbst, sondern lassen das von Spezialisten machen. Was Sie heute brauchen, ist eine Software als Service, die immer und überall genutzt werden kann, die immer aktuell ist und bei der die Daten sicher sind.

Insbesondere der letzte Punkt wird in den aktuellen Diskussionen gerne ignoriert. Die Politik glaubt, dass der Schutz persönlicher Daten ein Hemmnis der wirtschaftlichen und gesellschaftlichen Weiterentwicklung ist. Die Folgen einer Lockerung sind heute aber überhaupt nicht absehbarDieses Zitat tweeten – denken Sie nur an die Hackerangriffe der jüngsten Zeit. Und auch technologisch gibt es mittlerweile viele Möglichkeiten, Daten sinnvoll zu nutzen, ohne deren Schutz zu beeinträchtigen.

Die meisten Fachleute glauben immer noch, dass verschlüsselte Daten nur noch sehr eingeschränkte Verwendungsmöglichkeiten haben. Verschlüsselung wird vielleicht zur Absicherung von Kommunikationswegen oder eines Backups verwendet. Das war es dann aber auch. Wir bei RED Medical haben es geschafft, ein komplexes Praxisverwaltungsystem, dem es an keiner der liebgewonnenen Funktionen mangelt, auf Basis verschlüsselter Daten zu bauen.Dieses Zitat tweeten Dazu war es notwendig, auf der Serverseite die verschlüsselten Daten nicht nur simpel zu speichern, sondern diese auch durchsuchbar zu machen, ohne deren Inhalt zu kennen. Auf dieses Weise können wir alle Anforderungen  einer Arztpraxis mit einem im Rechenzentrum gehosteten System abbilden. Quasi der Traum eines jeden Arztes. Vollständig verschlüsselte Daten und eine komplett outgesourcte Technik. Wir haben sie geschafft, die Quadratur des Kreises.

Hier sind wir mit RED Medical nicht nur technisch gesehen Vorreiter, sondern erfüllen auch durch das inzwischen mehrfach bestätigte Gütesiegel des Unabhängigen Landeszentrums für Datenschutz den Goldstandard in Deutschland.

Was ist für Sie wichtig, wenn Sie selbst Patient sind?

JB: Ich möchte als mündiger Patient meine medizinische Behandlung heute aktiv mitgestalten. Dazu benötige ich meine persönlichen Gesundheitsdaten wie Laborbefunde oder Röntgenbilder. Da ich wenig Zeit habe, möchte ich nicht wegen jeder Kleinigkeit stundenlang im Wartezimmer sitzen, sondern alle Vorteile der elektronischen Kommunikation mit meinen behandelnden Ärztinnen und Ärzten nutzen. Gleichzeitig möchte ich aber auch Herr meiner Daten sein. Als Patient möchte ich nicht, dass sensitive Informationen über meine Gesundheit in die Hände Dritter gelangen. Denn es ist nicht abzusehen ist, ob mir daraus nicht langfristig ein Schaden entsteht. Hier mangelt es oft noch am Problembewusstsein – man sieht meist immer nur die kurzfristigen Folgen. Aber Gesundheitsdaten sind auch langfristig wertvoll – wer sagt mir, ob ich in 20 Jahren nicht mehr voll krankenversichert werde, weil ich heute rauche oder im Moment Übergewicht habe?

Ihr persönliches Highlight während der Arbeit an RED Medical?

AW: An besonderen Momenten fallen mir gleich mehrere ein. Der schöne Nachmittag, als ich das Gebäude der Kassenärztlichen Vereinigung in Berlin verließ und nach einem Jahr harter Arbeit wusste, dass wir die erste Zertifizierung bestanden hatten. Der Moment, als meine Frau, unsere erste Kundin, mir ganz beiläufig mitteilte, dass sie den Bescheid der ersten in RED durchgeführten Abrechnung von der KV bekommen hatte. Oder gerade heute, als mir ein Kunde am Telefon sagte, dass er so einfach mit RED Medical zurecht kommt

Red Medical KBV Zukunftspraxis

Gibt es eine bestimmte Einsicht, von der Sie sich wünschen würden, dass sie sich unter allen Ärztinnen und Ärzten durchsetzt? Oder unter allen IT-Fachleuten?

JB: Wie schon bereits erwähnt, müssen sich effektiver Datenschutz (im Sinne des § 203 StGB) und Online-Medizin nicht widersprechen. Tatsächlich sind Patientendaten, die mit den gängigen und weltweit geprüften Crypto-Algorithmen Ende-zu-Ende verschlüsselt wurden, in einem Rechenzentrum sogar sicherer, als wenn sie unverschlüsselt auf einem Offline-Server in der Arztpraxis liegen. In die Praxis kann man einbrechen und den Server mitnehmen. Dann sind die Daten in der Hand von Kriminellen. Verschlüsselte Daten kann man nicht stehlen, wenn der Schlüssel nur in der Hand des Arztes liegt. Das Prinzip ist genauso simpel wie sicher. Jede Praxis hat einen eigenen Schlüssel, mit dem alle Daten verschlüsselt werden. Jeder Nutzer erhält über sein Kennwort Zugriff auf diesen Schlüssel. Kryptographische Funktionen stellen sicher, dass niemand anderes, auch wir nicht, diesen Schlüssel lesen kann. Darüber hinaus muss jedes Gerät und jeder Rechner von dem aus auf die Praxisdaten zugegriffen wird, im Rahmen eine 2-Faktor-Authentifizierung freigeschaltet werden. Selbst wenn also das Kennwort eines Nutzers in falsche Hände geraten sollte, ist ein Lesen der Patientendaten von einem nicht freigeschaltetetem Endgerät immer noch nicht möglich.

Wir erklären jedem, den es interessiert, gerne im Detail, wie dies funktioniert. Denn unsere Sicherheit beruht auf einem sicheren Design und nicht auf Verschleierung – der Informatiker würde sagen:

Security by design, not security by obscurity.