Elektronische Gesundheitskarte und Telematikinfrastruktur
Anwendungssteckbrief
Prüfvorschrift
Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens
| Anwendung Version | Wert nicht identifizierbar |
| Anwendung Status | freigegeben |
Historie Anwendungssteckbrief
| Version |
Stand |
Kap. |
Grund der Änderung, besondere Hinweise |
Bearbeiter |
|---|---|---|---|---|
| 1.1.0 |
15.05.19 |
freigegeben |
gematik |
|
| 1.1.1 | 28.06.19 | Aktualisierung auf R3.1.1 | gematik | |
| 02.10.19 | 2 | Aktualisierung Dokumentenversionen R3.1.2 | gematik | |
| 1.1.3 | 02.03.20 | Aktualisierung auf R3.1.3 | gematik |
Inhaltsverzeichnis
1 Einführung
1.1 Zielsetzung und Einordnung des Dokumentes
Dieser Anwendungssteckbrief verzeichnet verbindlich die Anforderungen der gematik an das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens oder verweist auf Dokumente, in denen verbindliche Anforderungen mit ggf. anderer Notation zu finden sind. Die Anforderungen bilden die Grundlage für die Erteilung von Bestätigungen durch die gematik.
Die Anforderungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die Anforderungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.
1.2 Zielgruppe
Der Anwendungssteckbrief für Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens richtet sich an Anbieter dieses Bestätigungsobjektes.
Das Dokument ist außerdem zu verwenden von:
· der gematik im Rahmen des Bestätigungsverfahrens
· Auditoren.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte) festgelegt und bekannt gegeben.
1.4 Abgrenzung des Dokumentes
Dieses Dokument macht keine Aussagen zur Aufteilung der Produktentwicklung bzw. Produktherstellung auf verschiedene Hersteller und Anbieter.
Dokumente zu den Bestätigungsverfahren für das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Bestätigungsverfahren können dem Fachportal der gematik entnommen werden.
1.5 Methodik
Die im Dokument verzeichneten Anforderungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:
Afo-ID: Identifiziert die Anforderung eindeutig im Gesamtbestand aller Festlegungen der gematik.
Afo-Bezeichnung: Gibt den Titel einer Anforderung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der Anforderung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.
Quelle (Referenz): Verweist auf das Dokument, das die Anforderung definiert.
2 Dokumente
Die nachfolgenden Dokumente enthalten alle für das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens normativen Anforderungen.
Tabelle 1: Dokumente mit Anforderungen zum Bestätigungsobjekt
| Dokumentenkürzel | Bezeichnung des Dokumentes | Version |
|---|---|---|
| gemSpec_DS_Anbieter | Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Anbieter | 1.1.0 |
| gemSpec_Net | Übergreifende Spezifikation Netzwerk | 1.157.0 |
| gemSpec_VZD | Spezifikation Verzeichnisdienst | 1.79.0 |
| gemRL_Betr_TI | Übergreifende Richtlinien zum Betrieb der TI | 12.114.0 |
| gemRL_TSL_SP_CP | Certificate Policy Gemeinsame Zertifizierungsrichtlinie für Teilnehmer der gematik-TSL | 2.35.0 |
| gemKPT_Test | Testkonzept der TI | 2.36.0 |
| gemSpec_PKI | Übergreifende Spezifikation – Spezifikation PKI | 2.58.0 |
| gemKPT_Betr | Betriebskonzept Online-Produktivbetrieb | 3.6.0 |
| Version | 1.1.3 |
| Revision | 666702 |
| Stand | 02.03.2020 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemAnw_WA_aAdG |
Die Bestätigungsbedingungen für das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens werden im Dokument [gemZul_Best_Anwendungen] im Fachportal der gematik im Abschnitt Zulassung veröffentlicht.
3 Blattanforderungen
Die folgenden Abschnitte verzeichnen alle für das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens normativen Anforderungen, die für die Entwicklung und den Betrieb von Produkten dieses Bestätigungsobjektes notwendig sind (Blattanforderungen). Die Anforderungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Bestätigung.
3.1 Anforderungen zur funktionalen Eignung
3.1.1 Schnittstellentest
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Anforderungen an den technischen Teil des Bestätigungsobjektes Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens verzeichnet, deren Umsetzung der Anbieter in eigenverantwortlichen Tests (EvT) nachweisen muss und im Zuge von Bestätigungstests durch die gematik geprüft werden.
Nur falls ein Zentraler Dienst der TI (Zeitdienst, Namensdienst, TSL-Dienst, OCSP-Responder, Verzeichnisdienst) genutzt wird, muss die Erfüllung der entsprechenden Anforderungen nachgewiesen werden.
Tabelle 2: Anforderungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| GS-A_3932 | Abfrage der in der Topologie am nächsten stehenden Nameservers | gemSpec_Net |
| GS-A_3934 | NTP-Client-Implementierungen, Protokoll NTPv4 | gemSpec_Net |
| GS-A_3937 | NTP-Client-Implementierungen, Association Mode und Polling Intervall | gemSpec_Net |
| GS-A_4957 | Beschränkungen OCSP-Request | gemSpec_PKI |
| WA-A_2033 | Nutzung der OCSP-Responder der TI | gemSpec_PKI |
| TIP1-A_5566 | LDAP Client, LDAPS | gemSpec_VZD |
3.1.2 Anbietererklärung funktionale Eignung
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Anforderungen an den technischen Teil des Bestätigungsobjektes Weitere Anwendung – Andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI in angeschlossenen Netzen des Gesundheitswesens verzeichnet, deren Erfüllung der Anbieter durch eine Anbietererklärung belegt.
Tabelle 3: Anforderungen zur funktionalen Eignung "Anbietererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| WA-A_2121 | Verfügbarkeit der Anwendung in der Testumgebung | gemKPT_Test |
| WA-A_2122 | Eigenverantwortlicher Test: Anbieter weiterer Anwendungen | gemKPT_Test |
| WA-A_2123 | Eigenverantwortlicher Test: Verwendung Template | gemKPT_Test |
| WA-A_2124 | Bestätigungstest: Anbieter weiterer Anwendungen | gemKPT_Test |
| GS-A_4009 | Übertragungstechnologie auf OSI-Schicht LAN | gemSpec_Net |
| GS-A_4013 | Nutzung von UDP/TCP-Portbereichen | gemSpec_Net |
| GS-A_4018 | Dokumentation UDP/TCP-Portbereiche Anbieter | gemSpec_Net |
| GS-A_4024 | Nutzung IP-Adressbereiche | gemSpec_Net |
| GS-A_4027 | Reporting IP-Adressbereiche | gemSpec_Net |
| GS-A_4759 | IPv4-Adressen Produkttyp zum SZZP | gemSpec_Net |
| GS-A_4805 | Abstimmung angeschlossener Produkttyp mit dem Anbieter Zentrales Netz | gemSpec_Net |
| GS-A_4831 | Standards für IPv4 | gemSpec_Net |
| TIP1-A_5568 | VZD und LDAP Client, Implementierung der LDAPv3 search Operation | gemSpec_VZD |
Die Erfüllung der Anforderung TIP1−A_5568 muss nur nachgewiesen werden, falls der Verzeichnisdienst genutzt wird.
3.2 Anforderungen zur betrieblichen Eignung
Anforderungen zur betrieblichen Eignung wenden sich an Anbieter von Anwendungen der Anwendungskategorie. Die Anforderungen zur betrieblichen Eignung sind ausgewählte Anforderungen aus [gemRL_Betr_TI].
3.2.1 Anbietererklärung betriebliche Eignung
In diesem Abschnitt sind Anforderungen mit Vorgaben zu organisatorischen Maßnahmen (Prozessen und Strukturvorgaben der Aufbauorganisation sowie zur Umgebung) verzeichnet, deren Erfüllung der Anbieter durch eine Anbietererklärung belegt. Dokumente, in denen der Anbieter die geplante Umsetzung der Anforderungen detailliert darlegt, werden als Anlagen zu Anbietererklärungen einer Güteprüfung durch die gematik unterzogen.
Tabelle 4: Anforderungen zur betrieblichen Eignung "Anbietererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| TIP1-A_7266 | Mitwirkungspflichten im TI-ITSM-System | gemKPT_Betr |
| GS-A_3876 | VorpPrüfung imauf Aübergreifenwden Incidersuppornt | gemRL_Betr_TI |
| GS-A_3878 | Nachträgliche strukturierte Informationsübermittlung von übergreifenden Incidents im Anwendersupport | gemRL_Betr_TI |
| GS-A_3879 | Schriftliche Erfassung von übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3880 | eineindeutige Referenznummer von übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3881 | Eineindeutigkeit der Incident-ID | gemRL_Betr_TI |
| GS-A_3883 | Kategorisierung von übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3884 | PFestlegung von Driornglichkeit und Auswierkung von übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3885 | strukturierte Informationsübermittlung von übergreifenden Incidents im Anwendersupport | gemRL_Betr_TI |
| GS-A_3886 | Nutzung der Kommunikationsschnitt TI-ITSM-Systellems bei strukturiertder InformationsüÜbermittlung voeines übergreifenden IncideVorgantgs | gemRL_Betr_TI |
| GS-A_3888 | Verifikation vor Schließung eines übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3889 | Schließung derines übergreifenden Incident-Dokumentation, mit abschließender Bearbeitung im Anwendersupport | gemRL_Betr_TI |
| GS-A_3894 | qualifizierte Meldung einer Störung im ITSM-TI-Teilnehmersupport, ohne Meldung durch Anwender/DVO | gemRL_Betr_TI |
| GS-A_3895 | Erfassung und Übermittlung eines übergreifenden Incidents im Rahmen der qualifizierten Meldung im ITSM-TI-Teilnehmersupport | gemRL_Betr_TI |
| GS-A_3902 | Prüfung auf Serviceverantwortung | gemRL_Betr_TI |
| GS-A_3904 | Annahme eines übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3905 | Ablehnung eines übergreifenden Incidents | gemRL_Betr_TI |
| GS-A_3908 | Schließung übergreifender Incident, mit abschließender Bearbeitung im ITSM-TI-Teilnehmersupport | gemRL_Betr_TI |
| GS-A_3909 | interne Dokumentation einer übergreifenden Incident-Meldung, bei nicht vorhandener Lösungsverantwortung | gemRL_Betr_TI |
| GS-A_3920 | Eskalationseinleitung durch den TI-ITSM-Teilnehmer | gemRL_Betr_TI |
| GS-A_3922 | Mitwirkung bei Taskforces | gemRL_Betr_TI |
| GS-A_3959 | VorpPrüfung alsuf Proüblemergrkennifendes Problem | gemRL_Betr_TI |
| GS-A_3961 | eineindeutige Referenznummer von übergreifenden Problemen | gemRL_Betr_TI |
| GS-A_3962 | Eineindeutigkeit der Problem ID | gemRL_Betr_TI |
| GS-A_3963 | Kategorisierung von übergreifenden Problemen | gemRL_Betr_TI |
| GS-A_3964 | PFestlegung von Driornglichkeit und Auswierkung von übergreifenden Problemens | gemRL_Betr_TI |
| GS-A_3967 | Nutzung der Kommunikationsschnittstelle bei Anfrage zur Unterstützung von übergreifenden Problemen | gemRL_Betr_TI |
| GS-A_3968 | Anfrage zur Ermittlung der Problemlösungsverantwortung von übergreifenden Problemen | gemRL_Betr_TI |
| GS-A_3970 | Nutzung der Kommunikationsschnittstelle bei Anfrage zur Ermittlung der Problemlösungsverantwortung von übergreifenden Problemen | gemRL_Betr_TI |
| GS-A_3971 | Problem nach Verifizkation vor Schlierßung eineschl übergreifeßnden Problems | gemRL_Betr_TI |
| GS-A_3975 | Prüfung auf Serviceverantwortung zum übergreifenden Problem | gemRL_Betr_TI |
| GS-A_3976 | Ablehnung der Lösungsunterstützung | gemRL_Betr_TI |
| GS-A_3981 | Annahme eines übergreifenden Problems | gemRL_Betr_TI |
| GS-A_3982 | Ablehnung eines übergreifenden Problems | gemRL_Betr_TI |
| GS-A_3984 | Service Request zur Bereitstellung der TI-Testumgebung (RU/TU) | gemRL_Betr_TI |
| GS-A_3986 | Koordination bei übergreifenden Problems | gemRL_Betr_TI |
| GS-A_3987 | Initiierung eines Change Request | gemRL_Betr_TI |
| GS-A_3989 | Ablehnung der Lösung eines übergreifenden Problems | gemRL_Betr_TI |
| GS-A_4085 | Etablierung von Kommunikationsschnittstellen durch die TI-ITSM-TI-Teilnehmer | gemRL_Betr_TI |
| GS-A_4086 | Erreichbarkeit vonder Kommunikationsschnittstellen der ITSM-TI Teilnehmer | gemRL_Betr_TI |
| GS-A_4087 | Erreichbarkeit der Kommunikationsschnittstelle bei Rufbereitschaften außerhalb der Servicezeiten der ITSM-TI-Teilnehmer | gemRL_Betr_TI |
| GS-A_4088 | Bereitstnellnnung eines technischevon Ansprechpartners durch ITSM-TI-Teilnehmer | gemRL_Betr_TI |
| GS-A_4089 | Bereitstellung eines kaufmännischen Ansprechpartners durch ITSM-TI-Teilnehmer | gemRL_Betr_TI |
| GS-A_4090 | Kommunikationssprache zwischen den Prozessbeteiligten | gemRL_Betr_TI |
| GS-A_4091 | Dokumentationssprache | gemRL_Betr_TI |
| GS-A_4125 | TI-Notfallerkennung | gemRL_Betr_TI |
| GS-A_4414 | Beteiligung von Anbietern und Herstellern an der Bewertung von Produkttyp-Changes mittels Befragung | gemRL_Betr_TI |
| GS-A_5200 | Konvention zu Dateinamen zur Übermittlung von Incident- und Problemdokumentationen | gemRL_Betr_TI |
| GS-A_5248 | Konventionen zur Struktur von Prozessdaten | gemRL_Betr_TI |
| GS-A_5250 | Ablehnung der Lösung einesv übergreifikatioenden vor SInchlideßungts | gemRL_Betr_TI |
| GS-A_5349 | Eingangskanal für qualifizierte Meldung eines Service Requests durch ITSM-TI-Teilnehmer | gemRL_Betr_TI |
| GS-A_5350 | Nutzung von Antragsunterlagen zur qualifizierten Meldung eines Service Requests | gemRL_Betr_TI |
| GS-A_5363 | Einrichten einer Benutzergruppe und eines Funktionspostfachs für Mitteilungen über die ZID im Change Management | gemRL_Betr_TI |
| GS-A_5377 | Durchführung einer Problemstornierung | gemRL_Betr_TI |
| GS-A_5401 | Verschlüsselte E-Mail-Kommunikation | gemRL_Betr_TI |
| GS-A_5402 | Eigenverantwortliches Handeln bei Ausfall von Kommunikationsschnittstellen | gemRL_Betr_TI |
| GS-A_5449 | Typisierung eines übergreifenden Incidents als „sicherheitsrelevant“ | gemRL_Betr_TI |
| GS-A_5450 | Typisierung eines übergreifenden Incidents als „datenschutzrelevant“ | gemRL_Betr_TI |
| GS-A_5587 | Ablehnung der Lösungsunterstützung bei einem übergreifenden Incident | gemRL_Betr_TI |
| GS-A_5588 | Abbruch der Problembearbeitung | gemRL_Betr_TI |
| GS-A_5589 | Prüfung auf Verantwortung zur Lösungsunterstützung | gemRL_Betr_TI |
| GS-A_5606 | Unterstützung bei Definition von Kapazitätsanforderungen | gemRL_Betr_TI |
3.3 Anforderungen zur sicherheitstechnischen Eignung
3.3.1 Sicherheitsgutachten
Die in diesem Abschnitt verzeichneten Anforderungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig]. Das entsprechende Sicherheitsgutachten ist der gematik vorzulegen.
Tabelle 5: Anforderungen zur sicherheitstechnischen Eignung Sicherheitsgutachten
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| WA-A_2113 | Einbringung des Komponentenzertifikats | gemRL_TSL_SP_CP |
| GS-A_2076-01 | kDSM: Datenschutzmanagement nach BSI | gemSpec_DS_Anbieter |
| GS-A_2158-01 | Trennung von kryptographischen Identitäten und Schlüsseln in Produktiv- und Testumgebungen | gemSpec_DS_Anbieter |
| GS-A_2328-01 | Pflege und Fortschreibung des Sicherheitskonzeptes und Notfallkonzeptes | gemSpec_DS_Anbieter |
| GS-A_2329-01 | Umsetzung der Sicherheitskonzepte | gemSpec_DS_Anbieter |
| GS-A_2331-01 | Sicherheitsvorfalls-Management | gemSpec_DS_Anbieter |
| GS-A_2332-01 | Notfallmanagement | gemSpec_DS_Anbieter |
| GS-A_2345-01 | regelmäßige Reviews | gemSpec_DS_Anbieter |
| GS-A_3737-01 | Sicherheitskonzept | gemSpec_DS_Anbieter |
| GS-A_3753-01 | Notfallkonzept | gemSpec_DS_Anbieter |
| GS-A_3772-01 | Notfallkonzept: Der Dienstanbieter soll dem BSI-Standard 100-4 folgen | gemSpec_DS_Anbieter |
| GS-A_4473-01 | kDSM: Unverzügliche Benachrichtigung bei Verstößen gemäß Art. 34 DSGVO | gemSpec_DS_Anbieter |
| GS-A_4980-01 | Umsetzung der Norm ISO/IEC 27001 | gemSpec_DS_Anbieter |
| GS-A_4981-01 | Erreichen der Ziele der Norm ISO/IEC 27001 Annex A | gemSpec_DS_Anbieter |
| GS-A_4982-01 | Umsetzung der Maßnahmen der Norm ISO/IEC 27002 | gemSpec_DS_Anbieter |
| GS-A_4983-01 | Umsetzung der Maßnahmen aus dem BSI-Grundschutz | gemSpec_DS_Anbieter |
| GS-A_4984-01 | Befolgen von herstellerspezifischen Vorgaben | gemSpec_DS_Anbieter |
| GS-A_5551 | Betriebsumgebung in einem Mitgliedstaat der EU bzw. des EWR | gemSpec_DS_Anbieter |
| GS-A_5555 | Unverzügliche Meldung von erheblichen Sicherheitsvorfällen und -notfällen | gemSpec_DS_Anbieter |
| GS-A_5567 | Nutzung Zentraler Dienste der TI nur durch bestätigte Anwendungen | gemSpec_DS_Anbieter |
| GS-A_5568 | Keine Weitergabe von Daten Zentraler Dienste der TI an nicht bestätigte oder zugelassene Anwendungen | gemSpec_DS_Anbieter |
| GS-A_5569 | Sicherung der Netzgrenzen | gemSpec_DS_Anbieter |
| GS-A_5570 | Kein Zugriff auf gekoppelte Netze | gemSpec_DS_Anbieter |
| GS-A_5571 | keine Fälschung von IP-Adressen | gemSpec_DS_Anbieter |
| GS-A_5572 | Sichere Speicherung privater Schlüssel für TI-Identitäten | gemSpec_DS_Anbieter |
| GS-A_5573 | Qualität der X.509-Identität des Dienstes der Anwendung | gemSpec_DS_Anbieter |
| GS-A_5574 | Kryptographische Verfahren bei Anbietern mit Beeinträchtigung der TI | gemSpec_DS_Anbieter |
| GS-A_5626 | kDSM: Auftragsverarbeitung | gemSpec_DS_Anbieter |
| WA-A_2111 | Initiale Einbringung TI-Vertrauensanker in andere Anwendungen | gemSpec_PKI |
| WA-A_2112 | Initiale Einbringung TSL-Datei | gemSpec_PKI |
Folgende Anforderungen müssen nicht innerhalb des Sicherheitsgutachtens belegt werden, falls das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens keine personenbezogenen Daten erhebt, verarbeitet oder nutzt:
| GS-A_2076-01 |
GS-A_4473-01 |
GS-A_2214-01 |
Sofern eine im § 274 Abs. 1 SGB V genannte Organisation, die gemäß § 274 Abs. 1 SGB V regelmäßig durch eine im § 274 Abs. 1 SGB V benannte Stelle geprüft wird, in der Rolle eines Anbieters Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens auftritt, muss sie – unabhängig von der angebotenen Anwendung – die folgenden Anforderungen nicht nachweisen:
| GS-A_2214-01 |
|
|
3.3.2 Anbietererklärung sicherheitstechnische Eignung
In diesem Abschnitt sind alle Anforderungen an das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens verzeichnet, deren Erfüllung der Anbieter zum Nachweis der sicherheitstechnischen Eignung durch eine Anbietererklärung belegt.
Tabelle 6: Anforderungen zur sicherheitstechnischen Eignung "Anbietererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| GS-A_2355-01 | Meldung von erheblichen Schwachstellen und Bedrohungen | gemSpec_DS_Anbieter |
| GS-A_4468-01 | kDSM: Jährlicher Datenschutzbericht (kurz) | gemSpec_DS_Anbieter |
| GS-A_4478-01 | kDSM: Nachweis der Umsetzung von Maßnahmen in Folge eines gravierenden Datenschutzverstoßes | gemSpec_DS_Anbieter |
| GS-A_4479-01 | kDSM: Meldung von Änderungen der Kontaktinformationen zum Datenschutzmanagement | gemSpec_DS_Anbieter |
| GS-A_4523-01 | Bereitstellung Kontaktinformationen für Informationssicherheit | gemSpec_DS_Anbieter |
| GS-A_4524-01 | Meldung von Änderungen der Kontaktinformationen für Informationssicherheit | gemSpec_DS_Anbieter |
| GS-A_4530-01 | Maßnahmen zur Behebung von erheblichen Sicherheitsvorfällen und Notfällen | gemSpec_DS_Anbieter |
| GS-A_4532-01 | Nachweis der Umsetzung von Maßnahmen in Folge eines erheblichen Sicherheitsvorfalls oder Notfalls | gemSpec_DS_Anbieter |
| GS-A_5324-01 | Teilnahme des Anbieters an Sitzungen des kISMS | gemSpec_DS_Anbieter |
| GS-A_5324-02 | kDSM: Teilnahme des Anbieters an Sitzungen des kDSM | gemSpec_DS_Anbieter |
| GS-A_5556 | Unverzügliche Behebung von erheblichen Sicherheitsvorfällen und -notfällen | gemSpec_DS_Anbieter |
| GS-A_5563 | Jahressicherheitsbericht | gemSpec_DS_Anbieter |
| GS-A_5564 | kDSM: Ansprechpartner für Datenschutz | gemSpec_DS_Anbieter |
| GS-A_5565 | kDSM: Unverzügliche Behebung von Verstößen gemäß Art. 34 DSGVO | gemSpec_DS_Anbieter |
| GS-A_5575 | Auditrechte der gematik bei weiteren Anwendungen | gemSpec_DS_Anbieter |
Folgende Anforderungen müssen nicht durch eine Anbietererklärung belegt werden, falls das Bestätigungsobjekt Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens keine personenbezogenen Daten erhebt, verarbeitet oder nutzt:
| GS-A_5564 |
GS-A_4479-01 |
GS-A_4468-01 |
| GS-A_4478-01 |
|
|
Sofern eine im § 274 Abs. 1 SGB V genannte Organisation, die gemäß § 274 Abs. 1 SGB V regelmäßig durch eine im § 274 Abs. 1 SGB V benannte Stelle geprüft wird, in der Rolle eines Anbieters Weitere Anwendung – Andere Anwendung des Gesundheitswesens und andere Anwendung des Gesundheitswesens mit Zugriff auf Dienste der TI aus angeschlossenen Netzen des Gesundheitswesens auftritt, muss sie – unabhängig von der angebotenen Anwendung – die folgenden Anforderungen nicht nachweisen:
| GS-A_2355-01 |
GS-A_4468-01 |
GS-A_4478-01 |
| GS-A_4508-01 |
GS-A_4530-01 |
GS-A_4532-01 |
| GS-A_5575 |
|
|
4 Anhang – Verzeichnisse
4.1 Abkürzungen
| Kürzel |
Erläuterung |
|---|---|
| aAdG | andere Anwendung des Gesundheitswesens |
| Afo-ID |
Anforderungs-Identifikation |
| EvT | Eigenverantwortliche Tests |
| ITSM | IT Service Management |
| TI |
Telematikinfrastruktur |
| TSL | Trust-service Status List |
| WA | Weitere Anwendung |
4.2 Tabellenverzeichnis
- Tabelle 1: Dokumente mit Anforderungen zum Bestätigungsobjekt
- Tabelle 2: Anforderungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
- Tabelle 3: Anforderungen zur funktionalen Eignung "Anbietererklärung"
- Tabelle 4: Anforderungen zur betrieblichen Eignung "Anbietererklärung"
- Tabelle 5: Anforderungen zur sicherheitstechnischen Eignung Sicherheitsgutachten
- Tabelle 6: Anforderungen zur sicherheitstechnischen Eignung "Anbietererklärung"
4.3 Referenzierte Dokumente
Neben den in Kapitel 2 angeführten Dokumenten werden referenziert:
| [Quelle] |
Herausgeber: Titel, Version |
|---|---|
| [gemRL_PruefSichEig] |
gematik: Richtlinie zur Prüfung der Sicherheitseignung |
| [gemZul_Best_Anwendungen] |
gematik: Bestätigung Weitere Anwendungen |