latest
Releases:
Elektronische Gesundheitskarte und Telematikinfrastruktur
Anwendungssteckbrief
Bestätigungsgegenstand
externer Zugang zum VZD (FHIR)
| Anwendung Version | 1.0.0 |
| Anwendung Status | freigegeben |
| Version | 1.0.0 |
| Revision | 975017 |
| Stand | 28.08.2024 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemAnw_extZug_VZD_1.0.0 |
Historie Anwendungsversion und Anwendungssteckbrief
Historie Anwendungsversion
Die Anwendungsversion ändert sich, wenn sich die normativen Festlegungen für die Anwendung ändern.
| Anwendungsversion | Beschreibung der Änderung | Referenz |
|---|---|---|
| 1.0.0 | Initiale Version auf Dokumentenebene | [gemAnw_extZug_VZD_1.0.0] |
Historie Anwendungssteckbrief
Die Dokumentenversion des Anwendungssteckbriefs ändert sich mit jeder inhaltlichen oder redaktionellen Änderung des Anwendungssteckbriefs und seinen referenzierten Dokumenten. Redaktionelle Änderungen haben keine Auswirkung auf die Anwendungsversion.
| Version |
Stand |
Kap. |
Grund der Änderung, besondere Hinweise |
Bearbeiter |
|---|---|---|---|---|
| 1.0.0 | 28.08.2024 | freigegeben | gematik | |
Inhaltsverzeichnis
1 Einführung
1.1 Zielsetzung und Einordnung des Dokumentes
Der Verzeichnisdienst ist das elektronische Telefonbuch der Telematikinfrastruktur (TI). Der zentrale Dienst ermöglicht die Suche, Identifikation und Adressierung von angeschlossenen Nutzern. Im Verzeichnisdienst (VZD) werden die Namen, Adressen und andere öffentliche Daten von Leistungserbringern wie Ärzten, Apothekern und Krankenhäusern gespeichert, um sie durch andere Leistungserbringer und Versicherte auffindbar zu machen. In der Ausprägung "FHIR-VZD" enthält der Verzeichnisdienst außerdem Mehrwertdaten wie Öffnungszeiten oder Links zu Websites.
Bisher war der Zugang zum (FHIR-)VZD-Anwendungen der TI vorbehalten. Weitere Anwendungen und Dienste, welche nicht innerhalb der TI angesiedelt sind und auf den Verzeichnisdienst zugreifen wollen, müssen ein Bestätigungsverfahren der gematik durchlaufen. Bei den weiteren Anwendungen und Diensten kann es sich beispielsweise um die Übermittlung elektronischer Verordnungen direkt an Apotheken durch Versicherte mittels informationstechnischer Systeme gemäß § 360 Absatz 16 Nr. 4 SGB V handeln, für diese wird die Nutzung des Verzeichnisdienstes vorgeschrieben.
Die Grundlagen für das Bestätigungsverfahren werden im § 327 SGB V beschrieben. Gemäß § 327 Absatz 3 SGB V muss der Anbieter einer Anwendung in einem Bestätigungsverfahren die Erfüllung der Voraussetzungen nachweisen; die Bestätigung kann mit Nebenbestimmungen versehen werden.
Die im vorliegenden Dokument aufgeführten Anforderungen sind an den Anbieter der externen Anwendung oder des externen Dienstes gerichtet; darum trägt das Dokument den Titel "Anwendungssteckbrief Bestätigungsgegenstand externer Zugang zum VZD (FHIR)". Der Antragsteller ist identisch mit dem Anbieter des Dienstes beziehungsweise der Anwendung.
Der Steckbrief verzeichnet verbindlich die Festlegungen der gematik an das Bestätigungsobjekt "externer Zugang zum VZD" beziehungsweise verweist auf Dokumente, in denen verbindliche Festlegungen mit gegebenenfalls anderer Notation zu finden sind. Die Festlegungen bilden die Grundlage für die Erteilung von Bestätigungen durch die gematik.
Die Festlegungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die Festlegungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.
1.2 Zielgruppe
Der Anwendungstypsteckbrief Bestätigungsgegenstand externer Zugang zum VZD (FHIR) richtet sich an Anbieter (= Antragsteller) dieses Bestätigungsobjektes.
Das Dokument ist außerdem zu verwenden von:
- der gematik im Rahmen des Bestätigungsverfahrens und
- Auditoren.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z. B. gemPTV_ATV_Festlegungen) festgelegt und bekannt gegeben.
1.4 Abgrenzung des Dokumentes
Dieses Dokument macht keine Aussagen zum Produkt oder zur Produktentwicklung.
Dokumente zum Bestätigungsverfahren für das Bestätigungsobjekt externer Zugang zum VZD (FHIR) sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Bestätigungsverfahren können dem Fachportal der gematik (https://fachportal.gematik.de/downloadcenter/zulassungs-bestaetigungsantraege-verfahrensbeschreibungen) entnommen werden.
1.5 Methodik
Die im Dokument verzeichneten normativen Festlegungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:
ID: Identifiziert die normative Festlegung eindeutig im Gesamtbestand aller Festlegungen der gematik.
Bezeichnung: Gibt den Titel einer normativen Festlegung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der normativen Festlegung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.
Quelle (Referenz): Verweist auf das Dokument, das die normative Festlegung definiert.
2 Dokumente
Die nachfolgenden Dokumente enthalten die über die Technische Richtlinie BSI TR-03161 hinausgehenden, für das Bestätigungsobjekt externer Zugang zum VZD (FHIR), normativen Festlegungen, die für die Entwicklung und den Betrieb von Produkten dieses Bestätigungsobjektes notwendig sind.
Tabelle 1: Dokumente mit normativen Festlegungen
| Dokumentenkürzel | Bezeichnung des Dokumentes | Version |
|---|---|---|
| gemSpec_DS_Anbieter | Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Anbieter | 1.6.0 |
| gemSpec_VZD_FHIR_Directory | Spezifikation VZD FHIR-Directory | 1.5.0 |
Die Bestätigungsbedingungen für das Bestätigungsobjekt externer Zugang zum VZD (FHIR) werden im Dokument [gemZul_Best_PAT] im Fachportal der gematik im Abschnitt Zulassung veröffentlicht.
Die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte sind informative Beistellungen und sind nicht Gegenstand der Bestätigung/Zulassung.
Tabelle 2: Informative Dokumente und Web-Inhalte
| Quelle | Herausgeber: Bezeichnung / URL |
|---|---|
| [gemSpec_VZD_FHIR_Directory] | Spezifikation Verzeichnisdienst FHIR-Directory |
| [gemILF_VZD_FHIR_Directory] | gematik: Implementierungsleitfaden des FHIR-VZD; https://github.com/gematik/api-vzd/blob/main/docs/gemILF_VZD_FHIR_Directory.adoc |
| [gemRL_Betr_TI] | gematik: Richtlinie Betrieb |
| [gemZul_Best_Anwendungen] |
gematik: Bestätigung Weitere Anwendungen |
Hinweis:
- Ist kein Herausgeber angegeben, wird angenommen, dass die gematik für Herausgabe und Veröffentlichung der Quelle verantwortlich ist.
- Ist keine Version angegeben, bezieht sich die Quellenangabe auf die aktuellste Version.
- Bei Quellen aus gitHub werden als Version Branch und/oder Tag verwendet.
3 Normative Festlegungen
Für die "Bereitstellung informationstechnischer Systeme durch Anbieter, mit denen Versicherte elektronische Zugangsdaten zu elektronischen Verordnungen direkt an Apotheken übermitteln können", legt das SGB V § 360 Abs. 16 Nr. 4 fest, dass diese "den Stand der Technik gemäß den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik und den Schutzbedarf der Daten einhalten" müssen. Dies erfordert die Erfüllung der Technischen Richtlinie 3161 des BSI ("BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen"). Die Erfüllung der Technischen Richtlinie BSI TR-03161 ist vom Antragsteller vor der Bestätigung durch die gematik schriftlich zu erklären.
Auch andere Anwendungen und Dienste, welche personenbezogene Daten verarbeiten, müssen nach § 327 Absatz 1 Nr. 3 SGB V die dafür geltenden Vorschriften zum Datenschutz einhalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik treffen, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten.
Sollte die gematik feststellen, dass der Zweck der Datennutzung durch den Anbieter oder beteiligte Dritte verletzt wird oder gegen Anforderungen dieses Steckbriefs verstoßen wird, kann sie die Bestätigung zurückziehen und den Zugang zum VZD sperren. In diesem Fall sind alle Daten, die vom VZD kamen, umgehend zu löschen.
Die Festlegungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Bestätigung.
3.1 Festlegungen zur funktionalen Eignung
3.1.1 Anbietererklärung funktionale Eignung
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Bestätigungsobjektes externer Zugang zum VZD (FHIR) verzeichnet, deren Erfüllung der Anbieter durch eine Anbietererklärung belegt.
Tabelle 3: Festlegungen zur funktionalen Eignung „Anbietererklärung“
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| Es liegen keine Festlegungen vor |
3.2 Festlegungen zur betrieblichen Eignung
Die Festlegungen zur betrieblichen Eignung an den Anbieter externer Zugang zum VZD (FHIR) sind ausgewählte Festlegungen aus [gemRL_Betr_TI].
3.2.1 Anbietererklärung betriebliche Eignung
In diesem Abschnitt sind Festlegungen mit Vorgaben zu organisatorischen Maßnahmen (Prozessen und Strukturvorgaben der Aufbauorganisation sowie zur Umgebung) verzeichnet, deren Erfüllung der Anbieter externer Zugang zum VZD (FHIR) durch seine Anbietererklärung belegt. Dokumente, in denen der Anbieter die geplante Umsetzung der Festlegungen detailliert darlegt, werden als Anlagen zu Anbietererklärungen einer Güteprüfung durch die gematik unterzogen.
Tabelle 4: Festlegungen zur betrieblichen Eignung "Anbietererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| Es liegen keine Festlegungen vor |
3.3 Festlegungen zur sicherheitstechnischen Eignung
3.3.1 Anbietererklärung sicherheitstechnische Eignung
In diesem Abschnitt sind alle Festlegungen an das Bestätigungsobjekt Anbieter externer Zugang zum VZD (FHIR) verzeichnet, deren Erfüllung der Anbieter zum Nachweis der sicherheitstechnischen Eignung durch eine Anbietererklärung belegt.
Tabelle 5: Festlegungen zur sicherheitstechnischen Eignung „Anbietererklärung“
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| GS-A_4473-01 | kDSM: Unverzügliche Benachrichtigung bei Verstößen gemäß Art. 34 DSGVO | gemSpec_DS_Anbieter |
| GS-A_4479-01 | kDSM: Meldung von Änderungen der Kontaktinformationen zum Datenschutzmanagement | gemSpec_DS_Anbieter |
| GS-A_4523-01 | Bereitstellung Kontaktinformationen für Informationssicherheit | gemSpec_DS_Anbieter |
| GS-A_4524-01 | Meldung von Änderungen der Kontaktinformationen für Informationssicherheit | gemSpec_DS_Anbieter |
| GS-A_5551 | Betriebsumgebung in einem Mitgliedstaat der EU bzw. des EWR | gemSpec_DS_Anbieter |
| GS-A_5564 | kDSM: Ansprechpartner für Datenschutz | gemSpec_DS_Anbieter |
| GS-A_5567 | Nutzung Zentraler Dienste der TI nur durch bestätigte Anwendungen | gemSpec_DS_Anbieter |
| GS-A_5568 | Keine Weitergabe von Daten Zentraler Dienste der TI an nicht bestätigte oder zugelassene Anwendungen | gemSpec_DS_Anbieter |
| GS-A_5576 | Regelmäßiger Nachweis von Datenschutz- und Sicherheit | gemSpec_DS_Anbieter |
| GS-A_5577 | Erklärung bei Änderungen am Bestätigungsobjekt | gemSpec_DS_Anbieter |
| TIP1-A_5550 | VZD, Keine Kopien von gelöschten Daten | gemSpec_VZD_FHIR_Directory |
3.3.2 Sicherheitstechnische Eignung - Dokumentenprüfung
In diesem Abschnitt sind alle Festlegungen an das Bestätigungsobjekt Anbieter externer Zugang zum VZD (FHIR) verzeichnet, deren Erfüllung die gematik zum Nachweis der sicherheitstechnischen Eignung durch eine Dokumentenprüfung prüft.
Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung „Dokumentenprüfung“
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| Es liegen keine Festlegungen vor |
3.3.3 Sicherheitstechnische Eignung - Prozessprüfung
In diesem Abschnitt sind alle Festlegungen an das Bestätigungsobjekt Anbieter externer Zugang zum VZD (FHIR) verzeichnet, deren Erfüllung der Anbieter zum Nachweis der sicherheitstechnischen Eignung durch eine Prozessprüfung belegt.
Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung „Prozessprüfung“
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| Es liegen keine Festlegungen vor |
4 Anhang – Verzeichnisse
4.1 Abkürzungen
| Kürzel |
Erläuterung |
|---|---|
| TI | Telematikinfrastruktur |
| VZD | Verzeichnisdienst |
| FHIR | Fast Healthcare Interoperability Resources |
| FHIR-VZD | Ausprägung des VZD nach dem FHIR-Standard |
4.2 Tabellenverzeichnis
- Tabelle 1: Dokumente mit normativen Festlegungen
- Tabelle 2: Informative Dokumente und Web-Inhalte
- Tabelle 3: Festlegungen zur funktionalen Eignung „Anbietererklärung“
- Tabelle 4: Festlegungen zur betrieblichen Eignung "Anbietererklärung"
- Tabelle 5: Festlegungen zur sicherheitstechnischen Eignung „Anbietererklärung“
- Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung „Dokumentenprüfung“
- Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung „Prozessprüfung“
ML-161501 - gemAnw_extZug_VZD_1.0.0
[<=]