Elektronische Gesundheitskarte und Telematikinfrastruktur

Implementierungsleitfaden Primärsysteme ePA für alle

    

     

      
Version
      
3.3.0
     
     

      
Revision
      
980795
     
     

      
Stand
      
22.08.2024
     
     

      
Status
      
freigegeben
     
     

      
Klassifizierung
      
öffentlich
     
     

      
Referenzierung
      
gemILF_PS_ePA
     
    

Dokumenteninformationen

Änderungen zur Vorversion

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Inhaltsverzeichnis

1 Einordnung des Dokumentes

1.1 Zielsetzung

Die vorliegende Spezifikation definiert Anforderungen zu Erstellung, Test und Betrieb derjenigen Anteile eines Primär- oder Clientsystems, die zur Nutzung der ePA für alle erforderlich sind.

Technische Standards werden in der ePA verwendet, um Interoperabilität zu steigern und die technischen Voraussetzungen zur Nutzung der Anwendung zu legen. Auf Seiten der Primärsystemhersteller eröffnet die Verwendung von Standards die Chance, wiederverwendbare Schnittstellen zu entwickeln bzw. zu nutzen und einzelne Module austauschbar zu gestalten.

Zum Zweck der Implementierungshilfe werden grundlegende Konzepte und Anwendungsfälle der ePA für alle aus der Sicht der PS-Hersteller erläutert. Dabei werden nicht nur Anwendungsfälle der ePA erläutert, sondern auch praktische Umsetzungshinweise gegeben und auf entsprechende Beispiele verwiesen.

1.2 Zielgruppe

Das Dokument ist maßgeblich für Hersteller von Primärsystemen, welche die Schnittstellen der ePA für alle nutzen. Dieses Dokument kann ebenfalls als Referenz genutzt werden von TI-Verantwortlichen in Leistungserbringerinstitutionen, von Produktmanagern, UX/UI-Designern und von Schulungsverantwortlichen.

Falls ein Primärsystem bisher das technische Framework von IHE noch nicht verwendet, wird es durch diesen Implementierungsleitfaden in die Lage versetzt, die ePA-Schnittstellen IHE-konform zu verwenden.

Falls ein Primärsystem das technische Framework von IHE bereits verwendet, schildert der Implementierungsleitfaden ihm die relevanten Einschränkungen des IHE-Frameworks, die für die ePA der Telematikinfrastruktur von Relevanz sind. Die IHE-Konformität dieser Schnittstellen ermöglicht ihm die Anbindung weiterer Anwendungen.

Mit der ePA für alle werden viele Schnittstellen als REST-Schnittstellen angeboten. Der Implementierungsleitfaden beschreibt die Umsetzung dieser Schnittstellen und der genutzten FHIR-Ressourcen.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Bestätigungs- Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z. B. [gemPTV_ATV_Festlegungen], AFO-Steckbrief, Leistungsbeschreibung) fest­gelegt und bekannt gegeben.

Schutzrechts-/Patentrechtshinweis

Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.           

1.4 Abgrenzungen

Benutzte Schnittstellen werden in der Spezifikation desjenigen Produkttypen normativ beschrieben, der diese Schnittstelle bereitstellt. Auf die entsprechenden Dokumente wird referenziert (siehe auch Anhang 8.5).

Nicht Bestandteil des vorliegenden Dokumentes sind:

• Festlegungen zum Themenbereich Semantik von Metadaten, insoweit sie im Dokument [gemSpec_Aktensystem_ePAfueralle] beschrieben sind;
• Rendering-Vorschriften zur Form, in der ePA-Dokumente zur Anzeige gebracht werden (ggf. wird auf externe Festlegungen referenziert).

Die ePA fungiert als Sekundärdokumentation von Daten der Versicherten. Die Primärdokumentation der Versichertendaten im Primärsystem wird nur insoweit thematisiert, wie es für die Anbindung der ePA an das Primärsystem erforderlich ist.

1.5 Methodik

Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID sowie die dem RFC 2119 [RFC2119] entsprechend, in Großbuchstaben geschriebenen deutschen Schlüsselworten MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.

Anforderungen werden im Dokument wie folgt dargestellt:
<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]

Dabei umfasst die Anforderung sämtliche zwischen Afo-ID und Textmarke [<=] angeführten Inhalte.

1.6 Referenzen für die technische Entwicklung

Für die technische Entwicklung bietet die gematik Absprungpunkte an mehreren Stellen an:

• https://gematik.github.io/universal/index.html

• https://gematik.github.io/universal/specifications.html

Der ePA liegen mehrere Dokumente zugrunde, die verschiedene Aspekte beschreiben:

• Das Fachkonzept [gemKPT_FK_ePAfueralle_V1.0.0_RC2] beschreibt die fachlichen Anforderungen an die ePA unter Berücksichtigung der geltenden Gesetzeslage.
• Die Konzeption und Spezifikationen beschreiben die normativen Festlegungen auf Produktebene, u.a.:

• Für Primärsystemhersteller werden die Anforderungen an die Umsetzung der ePA in den jeweiligen Clients zusammengefasst unter:

• https://gemspec.gematik.de/docs/gemSST/  

Für die Softwareentwicklung kann auf das Repository der gematik zugegriffen werden:

• https://github.com/gematik/epa-deployment

1.7 Namenskonvention und IHE

Das IT Infrastructure Technical Framework von Integrating the Healthcare Enterprise (IHE) ist unter anderem Stand der Technik. Auf Basis der von IHE definierten Transaktionen des XDS.b-Integrationsprofils werden Anwendungsfälle über Schnittstellen zwischen den beteiligten Produkttypen und Komponenten umgesetzt.

Beim Einstellen eines Dokuments muss dieses gemäß IHE mit Metadaten (Autor, eindeutige Dokumentenkennung, Dateiformat etc.) versehen werden, die zusammen mit dem Dokument im XDS Document Service gespeichert werden. Ein oder mehrere Dokumente werden in IHE immer als Paket (sog. SubmissionSet) übertragen. Die Zugehörigkeit eines Dokuments zu einem SubmissionSet wird auch im XDS Document Service gespeichert, d.h., es ist ersichtlich, welche Dokumente von wem eingestellt wurden. Für die Anwendungsfälle zum Herunterladen und Löschen von Dokumenten muss zunächst eine Abfrage der Metadaten erfolgen, da in den Metadaten eine Referenz auf die Dokumente enthalten ist. Über diese Referenz können ein oder mehrere Dokumente heruntergeladen oder gelöscht werden. Ebenfalls kann der Anwendungsfall Aktualisieren von Metadaten umgesetzt werden.

Für einen Zugriff auf einmal eingestellte Dokumente stellt ein Client eine Suchanfrage ("Registry Stored Query" gemäß IHE), die sich immer auf das aktuelle ePA-Aktenkonto und die Metadaten der Dokumente bezieht. Eine Versicherten- bzw. ePA-Aktenkontenübergreifende Suche ("alle Versicherten mit den Eigenschaften...") ist nicht möglich. Der XDS Document Service liefert auf Wunsch pro Treffer den vollen Satz der zum Dokument zugehörigen Metadaten oder eine Referenz zurück. Die Ergebnismenge kann vom Client nach den Wünschen des Nutzers nachgefiltert und sortiert werden.

1.8 Formate beim Einstellen von Dokumenten

Der XDS Document Service des ePA-Aktensystems unterstützt gemäß [gemSpec_Aktensystem_ePAfueralle#A_24854] folgende MIME-Type-Formate und Dateiendungen:

• application/pdf (nur PDF/A-1 und 2) (pdf)
• image/jpeg (jpeg oder jpg)
• image/png (png)
• image/tiff (tiff)
• text/plain (txt)
• application/xml (xml)
• application/hl7-v3 (xml)
• application/pkcs7-mime (p7)
• application/fhir+xml (xml)
• application/fhir+json (json)

Dokumente im PDF-Format werden vom XDS Document Service abgelehnt, da sie ausführbaren Code enthalten können. Daher müssen die Clients, falls sie Dokumente im PDF-Format einstellen wollen, diese gemäß A_24967-01 zunächst in ein PDF/A-Format konvertieren.

1.9 Medizinische Informationsobjekte

Die strukturiert in die ePA einzustellenden Inhalte werden nach § 355 SGB V von der Kassenärztlichen Bundesvereinigung (KBV) in der Form von medizinischen Informationsobjekten (MIO - https://mio.kbv.de/site/mio#tab-Rund+um+die+MIOs ) festgelegt. Im Fachkonzept und in den Spezifikationen der gematik zur ePA werden zudem weitere Anwendungsfälle und strukturierte Datenformate beschrieben und benannt, die ebenfalls einzustellen sind (bspw. der eArztbrief der KBV oder auch Verordnungs- und Dispensierdaten des E-Rezepts). 

1.10 Die ePA nach § 341 SGB V

Bei der elektronischen Patientenakte nach § 341 SGB V handelt es sich um eine Anwendung der Telematikinfrastruktur. Sie ist verpflichtend von den gesetzlichen Krankenkassen anzubieten. Die ePA setzt sich u.a. aus einem Server (ePA-Aktensystem) und einem Client zusammen (aus Sicht eines Leistungserbringers ist dies das Primärsystem). Für Leistungserbringer stellt ihr Primärsystem ihre Primärdokumentation zur Verfügung, während die ePA als versorgungsbegleitende Sekundärdokumentation anzusehen ist. Die gerichtete Kommunikation zwischen Leistungserbringern ist nicht der primäre Fokus der ePA; hierfür können u.a. die TI-Anwendungen Kommunikation im Medizinwesen (KIM) und der TI-Messenger genutzt werden. Für den Versicherten kann die ePA ihre Primärdokumentation und ihren Speicherort für ihre eigenen Gesundheitsdaten und -dokumente darstellen. Der Systemüberblick der ePA wird in Kapitel 2 beschrieben.

Wenn ein Versicherter der ePA widersprochen hat, dann ergeben sich keine Nutzungsszenarien für Leistungserbringer im Umgang mit der ePA, wenngleich das Primärsystem auf das Vorhandensein einer ePA prüft. Wenn ein Versicherter der ePA nicht widersprochen hat, dann ergeben sich Lese- und Schreibmöglichkeiten und -pflichten für Leistungserbringer im Umgang mit der ePA. Die ePA ersetzt nicht die lokale Behandlungsdokumentation.

Aus Nutzersicht soll das Hochladen von Dokumenten in die ePA so einfach und schnell wie möglich gestaltet sein sowie doppelte Arbeitsschritte vermieden werden. Das PS soll den Nutzer dabei unterstützen. In der Benutzerführung soll für den Nutzer daher bei der Erstellung dieser Dokumentenarten sichergestellt werden, dass diese Dokumente standardmäßig ohne nachträgliche Metadateneingaben in die ePA eingestellt werden können.

Aufgrund gesetzlicher Vorgaben gibt es bestimmte Daten und Dokumentenkategorien, die verpflichtend von einem Leistungserbringer in die ePA des Versicherten hochgeladen werden müssen. Die Grundlage dafür findet sich je nach Leistungserbringergruppe u.a. in §§ 347, 348 und 349 SGB V.

Mit Verabschiedung des Digital-Gesetzes sind Leistungserbringer künftig zum Hochladen folgender Dokumente verpflichtet, wenn diese im Rahmen der Behandlung entstehen:

• Verordnungs- und Dispensierdaten (dies geschieht automatisch über den E-Rezept-Fachdienst, mit Implementierung des E-Rezepts muss aus Sicht des Primärsystems nichts weiter getan werden)
• Medikationsplan (mit Einführung der ePA 3.1)
• Krankenhaus-Entlassbrief (nach stationärer Behandlung, sowohl vorläufige als auch endgültige Version) (im PDF/A Format)
• Laborbefund (im PDF/A Format)
• Bildbefund (im PDF/A Format)
• Befundberichte aus invasiven oder chirurgischen sowie aus nicht-invasiven oder konservativen Maßnahmen (im PDF/A Format)
• eArztbrief (nach ambulanter Behandlung) (im PDF/A Format) (Empfehlung: aus dem KIM-Workflow heraus)

Die Verpflichtung zum Hochladen eines Dokuments steht in Abhängigkeit von dessen Inhalt. Enthalten Dokumente sensible Informationen, dann muss der Leistungserbringer seinen Patienten darüber informieren und sicherstellen, dass einem Hochladen nicht widersprochen wird. Gemäß §§ 347 und 348 SGB V handelt es sich hierbei um Informationen, die stigmatisierende Auswirkungen haben können wie beispielsweise sexuell übertragbare Infektionen, psychische Erkrankungen und Schwangerschaftsabbrüche. Bei Ergebnissen genetischer Untersuchungen oder Analyse muss gemäß § 353 (3) SGB V eine ausdrückliche Einwilligung zum Hochladen in schriftlicher oder elektronischer Form vorliegen.

Falls der Versicherte dem Hochladen eines Dokuments widerspricht, muss diese Entscheidung im Primärsystem nachprüfbar in der Behandlungsdokumentation protokolliert werden. Zusätzlich soll das betroffene Dokument im Primärsystem gekennzeichnet werden. Eine solche Kennzeichnung soll einfach hinterlegt und ebenso wieder entfernt werden können. Bevor eine Kennzeichnung entfernt wird, soll dem Nutzer des Primärsystems eine Warnung angezeigt werden. Beim Versuch des Hochladens eines gekennzeichneten Dokuments in ein ePA-Aktenkonto soll eine Hinweismeldung angezeigt und das Hochladen unterbunden werden.

Für Leistungserbringer mit einem unmittelbaren Patientenkontakt sollen von ihnen erstellte Dokumente direkt in das ePA-Aktenkonto hochgeladen werden. Für Leistungserbringer mit einem mittelbaren Patientenkontakt liegt unter Umständen kein technisch nachgewiesener Behandlungskontext vor und damit keine Möglichkeit Dokumente in das ePA-Aktenkonto einzustellen. Daher wird empfohlen, dass erstellte Dokumente von dem Leistungserbringer in das ePA-Aktenkonto hochgeladen werden, der den Befundbericht mit der Patient:in bespricht. Eine gesetzliche Regelung gibt es nicht, ob der Versender oder Empfänger eines Dokuments dieses in das ePA-Aktenkonto hoch lädt.

Die Auflistung der Verpflichtungen wird mit den neueren Versionen dieses Implementierungsleitfadens stets aktualisiert.

2 Systemüberblick

2.1 Einführung

Abbildung 1: Überblick ePA für alle

Die zentralen Funktionen der ePA für alle sind das integre Management von wohl definierten Metadaten und den medizinischen Dokumenten als auch die Unterstützung von digitalen Versorgungsprozessen. Initial bedient das Aktensystem den digital gestützten Medikationsprozess durch die Bereitstellung einer elektronischen Medikationsliste (eML) an Leistungserbringer.

Das Primärsystem bietet einem Leistungserbringer, als Nutzer, den Zugang zur elektronischen Patientenakte des gesetzlich Versicherten an. Dabei greifen Leistungserbringer und Primärsystem über eine vertrauenswürdige Ausführungsumgebung (VAU) geschützt auf die elektronische Patientenakte zu und nicht mehr gekapselt über ein Konnektor-Fachmodul. Das in der ePA 2.x genutzte ePA-Fachmodul im Konnektor entfällt in der ePA für alle. Ein Zugang zur TI (mittels Konnektor oder TI-Gateway) ist zum Erreichen der Aktensysteme allerdings weiterhin erforderlich.

Wenn von dem "Aktenkonto" im Folgenden gesprochen wird, ist die ePA als Sekundärakte des Versicherten gemeint, nicht die "Primärakte" für den Versicherten im Primärsystem. Mit "Aktenanbieter" ist im Folgenden immer der Anbieter des ePA-Aktensystems gemeint. ePA-Aktensysteme können von mehreren Anbietern zur Verfügung gestellt werden, wobei die Dokumente eines einzelnen Versicherten immer genau bei einem Anbieter ePA-Aktensystem hinterlegt werden.

Die Nutzer der Primärsysteme der Leistungserbringer teilen sich die technische Infrastruktur der ePA in der Telematikinfrastruktur, folgen dabei den hier geschilderten Regeln der TI und bilden in diesem Sinne eine IHE-Affinity Domain, um ePA-Daten gesteuert durch die Befugnisvergabe des Versicherten auszutauschen. Dieser Datenaustausch erfolgt in vielerlei Hinsicht gemäß Festlegungen von IHE.

Die technische Infrastruktur der ePA besteht beim Leistungserbringer vor allem aus dem Konnektor, den Kartenlesegeräten und den Smartcards. Mit dem Konnektor stehen auch die Komponenten der Basis-TI, die zentrale TI und der Fach- und Basisdienste der TI zur Verfügung, etwa die Signaturfunktionalität, deren Nutzung durch das PS in [gemILF_PS] beschrieben sind.

Die Authentifizierung für die Zugriffe auf die ePA erfolgt durch den Identity Provider (IDP). Der Identity Provider (IDP) ist ein Nutzerdienst der TI-Plattform, welcher die Authentifizierung von Nutzern, die sich über eine Institutionskarte (SMC-B) ausweisen können, und die Bereitstellung bestätigter Identitätsmerkmale der Nutzer als Plattformleistungen ermöglicht. Der IDP authentifiziert den Nutzer anhand der kartenbasierten Identität und einer Signatur durch das Schlüsselmaterial auf der Karte (SMC-B) und stellt bei Erfolg einen IDP-Token für den Zugriff auf den Fachdienst aus.

Für einen Leistungserbringer liegt die Befugnis zur Nutzung der ePA des Versicherten vor, wenn ein Behandlungskontext besteht oder eine Befugnis über das ePA-FdV erteilt wurde.

Der Behandlungskontext wird im Rahmen von VSDM festgestellt, d. h. mit dem Stecken der eGK im Rahmen von VSDM.

Das Dokument [gemKPT_ePAfueralle] bietet einen Überblick zur ePA für alle.

2.2 Prozesssichten und Funktionsumfänge der Primärsysteme

Das Ziel der ePA für alle ist es, dass Informationen über Einrichtungs- und Sektorengrenzen hinweg ausgetauscht werden können, indem Daten und Dokumente in die ePA eingestellt werden. Die hierunter aufgeführten Prozessmodelle stellen generisch dar, wie digital gestützte Versorgungsprozesse in der Telematikinfrastruktur und unter Berücksichtigung der ePA in den jeweiligen Sektoren aussehen können. Die Darstellungen lehnen sich u.a. an die Ergebnisse des Arbeitskreises zur Analyse der Medikationsprozesse des Interop Councils und dem dort erarbeiteten Positionspapier (https://www.ina.gematik.de/mitwirken/arbeitskreise/analyse-der-medikationsprozesse ) an.

2.2.1 Behandlungskontext und Zugriffsbefugnisse

Damit eine Leistungserbringerinstitution mit der ePA arbeiten kann, braucht sie eine Zugriffsbefugnis. Befugnisse werden im Entitlement Management des ePA-Aktensystems verwaltet. Eine erstellte Befugnis muss im Primärsystem nicht vorgehalten werden. Die Befugnis liegt im ePA-Aktensystem vor und dieses prüft im Zuge des Aktenzugriffs aus einer LEI, ob diese zugriffsbefugt ist.

Eine Befugnis wird in einer Leistungserbringerumgebung erstellt, indem die eGK von einem gesetzlich Krankenversicherten eingelesen, eine Prüfziffer vom VSDM erzeugt und dieser HMAC signiert in das ePA-Aktensystem eingestellt wird. Das ePA-Aktensystem liefert eine Antwortnachricht validTo zurück, womit das zeitliche Ende der Befugnis bekannt gemacht wird. In der ePA-App können Befugnisse gelöscht oder in ihrer Gültigkeit angepasst werden, ebenso können dauerhafte gültige Befugnisse eingerichtet werden. Diese Einstellungen können vom Versicherten und von seinen Vertretern vorgenommen werden. Eine Änderung der Befugnis wird der LEI nicht aktiv mitgeteilt.

Eine Befugnis, die über das ePA-FdV eingestellt wird, wird mit dem Signaturdienst (SigD) signiert. Über die ePA-App und die Ombudsstelle kann auch ein Widerspruch gegen die Nutzung der Akte durch eine Leistungserbringerinstitution eingerichtet werden. Aus dieser Leistungserbringerinstitution heraus kann danach keine Befugnis mehr in die ePA eingestellt werden.

Bei Privatversicherten erfolgt die Berechtigungsvergabe für die ePA ausschließlich über die ePA-App. Um sicherzustellen, dass die für den Zugriff auf die ePA notwendige Krankenversicherungsnummer (KVNR) im Primärsystem vorliegt, führen die Versicherten einmal pro Einrichtung einen Online Check-in durch. Dabei initiieren sie über eine App-Funktionalität den Versand einer standardisieren KIM-Nachricht an die Einrichtung.

Im ePA-Aktenkonto liegt immer nur eine gültige Zugriffsbefugnis vor. Ein Primärsystem soll in jedem Fall den Versuch unternehmen eine Zugriffsbefugnis einzustellen. Das ePA-Aktenkonto nimmt immer die Zugriffsbefugnis an, für die eine längere Dauer vorliegt. Wenn ein Primärsystem bspw. versucht eine Zugriffsbefugnis für 90 Tage einzustellen und eine Zugriffsbefugnis vom Versicherten bereits eingestellt wurde, die über einen längeren Zeitraum Gültigkeit hat, dann gilt die Zugriffsbefugnis vom Versicherten.

Die Berechtigungsdauer für die Leistungserbringerinstitution steht im Zusammenhang mit der Berufsgruppe. Für Arztpraxen, Zahnarztpraxen und psychotherapeutische Praxen sowie Krankenhäuser, Reha-Kliniken und Pflegeeinrichtungen beträgt die Berechtigungsdauer standardmäßig 90 Tage. In Apotheken, für den öffentlichen Gesundheitsdienst und die Arbeits- und Betriebsmedizin beträgt die Berechtigungsdauer standardmäßig 3 Tage.

Beim Einlesen der eGK soll die Berechtigung automatisch erzeugt werden, d.h. die VSDM-Prüfziffer wird automatisch in das ePA-Aktenkonto des Versicherten eingestellt, damit die Leistungserbringerinstitution mit der ePA arbeiten kann. Der Prozess soll im Hintergrund laufen und das Primärsystem währenddessen weiterhin bedienbar sein. Eine grundsätzliche Notwendigkeit zum mehrfachen Einlesen der eGK während eines Quartals ergibt sich nicht. Mit dem erneuten Einlesen der eGK kann jedoch die Berechtigungsdauer erneuert und damit verlängert werden.

Wenn ein aktueller Behandlungskontext nicht (mehr) gegeben ist, weil z.B. die Berechtigungsdauer abgelaufen oder die Berechtigung entzogen wurde, können keine Dokumente in ein ePA-Aktenkonto eingestellt werden. Aus ärztlicher Sicht könnte bei Bedarf Kontakt zum Versicherten aufgenommen und um eine erneute Berechtigungsvergabe gebeten werden. Für langfristige oder permanente Behandlungssituationen wird das Erstellen einer Dauerbefugnis durch den Versicherten über die ePA-App empfohlen. Das Primärsystem kann zur Arbeitserleichterung eine Erinnerungsmöglichkeit anbieten, indem ein hochzuladendes Dokument auf eine Aufgabenliste gestellt oder zur Wiedervorlage gekennzeichnet wird.

2.2.2 Niedergelassener Sektor

2.2.2.1 Prozesssicht

In einer Arztpraxis, Zahnarztpraxis und psychotherapeutischen Praxis beginnt der Behandlungskontext grundsätzlich mit dem Einlesen der eGK bei der Anmeldung. Danach kann bei einer vorliegenden Berechtigung nach Dokumenten und nach Medikationsdaten in der ePA gesucht werden, um die Informationslage in der Anamnese zu verbessern. Nach der Formulierung einer Therapieempfehlung und der Erstellung der lokalen Dokumentation können oder müssen Dokumente in die ePA gestellt, je nach Dokumentenart und -inhalt (siehe Abbildung 2). Ein Hochladen entfällt, wenn der Versicherte widersprochen hat.

Abbildung 2: Schematisches Prozessmodell zur ePA für Arztpraxen, Zahnarztpraxen und psychotherapeutische Praxen

2.2.2.2 Anwendungsfälle

Für Leistungserbringer in Arztpraxen, Zahnarztpraxen und psychotherapeutische Praxen sowie im öffentlichen Gesundheitsdienst und der Arbeitsmedizin besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen und zu schreiben:

• Diagnosen, Befunde, Therapiemaßnahmen
• Medikationsplan
• Notfalldaten
• eArztbrief
• Zahnbonusheft
• Kinderuntersuchungsheft
• Mutterpass
• Impfpass
• Pflegedokumentation
• elektronische Arbeitsunfähigkeitsbescheinigung
• Sonstige Daten, bspw. eDMP gemäß § 137 f SGB V
• Daten der Heilbehandlung und Rehabilitation

Darüber hinaus besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen:

• Versichertendokumente
• Abrechnungsdaten
• DiGA-Daten

Eine detaillierte Auflistung der CRUD-Zugriffsrechte ist abrufbar unter https://github.com/gematik/ePA-Basic/blob/ePA-3.0.1/concept/chapters/legal_policy.adoc.

2.2.3 Apotheken

2.2.3.1 Prozesssicht

Für eine Apotheke wird der Zugriff auf die ePA durch das Einlesen der eGK eröffnet oder durch das Aufrufen von einem Stammkunden, der vorhergehend eine Berechtigung per ePA-App erteilt hat. Bei einer vorliegenden Berechtigung erhält die Apotheke mit ePA 3.0 einen Überblick über die Medikationsliste und damit einen einrichtungsübergreifenden Blick über verordnete und dispensierte Medikamente ebenso wie über weitere Dokumente, die sich in der ePA befinden (siehe Abbildung 3).

AVS-Herstellern wird empfohlen die Medikationsliste bereits mit ePA 3.0 nativ auf FHIR Daten umzusetzen, auch optional einen systemgestützten AMTS-Check anzubieten. Mit ePA 3.1 wird der elektronische Medikationsplan auf FHIR im ePA-Aktenkonto realisiert.

In eine Apotheke kann es darüber hinaus zur Abgabe eines OTC-Präparats kommen, ohne dass der Abverkauf eines apothekenpflichtigen Arzneimittels auf Grundlage eines Rezepts geschieht. Mit ePA 3.1 wird es den Apotheken möglich sein die dazugehörigen Dispensierinformationen direkt in die ePA zu schreiben.

Für Apotheken gibt es ebenso die Möglichkeit gemäß § 129 SGB V im Rahmen der assistierten Telemedizin den Versicherten bei der Einsichtnahme in die ePA zu unterstützen. Hierzu können die Dokumente der ePA angezeigt werden.

Abbildung 3: Schematisches Prozessmodell zur ePA für Apotheken

2.2.3.2 Anwendungsfälle

Für Leistungserbringer in Apotheken besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen und zu schreiben:

• Medikationsplan
• Impfpass
• Verordnungs- und Dispensierdaten

Darüber hinaus besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen:

• Diagnosen, Befunde, Therapiemaßnahmen
• Notfalldaten
• eArztbrief
• Kinderuntersuchungsheft
• Mutterpass
• Versichertendokumente
• Abrechnungsdaten
• DiGA-Daten
• Pflegedokumentation

Eine detaillierte Auflistung der CRUD-Zugriffsrechte ist abrufbar unter https://github.com/gematik/ePA-Basic/blob/ePA-3.0.1/concept/chapters/legal_policy.adoc.

2.2.4 Stationärer Sektor

2.2.4.1 Prozesssicht

Für die Versorgung innerhalb eines Krankenhauses gibt es in drei bestimmten Prozessen einen Bezug zur ePA. Zu diesen Prozessen gehören der Aufnahmeprozess (siehe Kapitel 2.2.4.2), der Versorgungsprozess (siehe Kapitel 2.2.4.3) und der Entlassprozess (siehe 2.2.4.4). Die hier aufgeführten fachlichen Beschreibungen der ePA kommen dementsprechend mitunter mehrfach vor. Die Vorgaben zur Benutzung der ePA sollte an die Gegebenheiten vor Ort angepasst sein.

Die Versorgung innerhalb eines Krankenhauses kann in verschiedenen Konstellationen erfolgen:

1. Für eine ambulante Versorgung, bspw. in einer Ambulanz bei einem für die ambulante Versorgung ermächtigten Arzt;
2. In einer zentralen Notaufnahme oder Rettungsstelle für eine Akutversorgung, bspw. durch Einlieferung per Rettungswagen oder Selbsteinweisung durch den Versicherten;
3. Für eine stationäre Versorgung für Elektivpatienten auf Grundlage eines Einweisungsscheins nach § 301 SGB V, bspw. für einen chirurgischen Eingriff oder eine wiederkehrende geriatrische Komplexbehandlung.

Abbildung 4: Schematisches Prozessmodell zur ePA für Krankenhäuser - ambulant

Abbildung 5: Schematisches Prozessmodell zur ePA für Krankenhäuser - zentrale Notaufnahme

Abbildung 6: Schematisches Prozessmodell zur ePA für Krankenhäuser - stationär

In Krankenhäusern ist die Konstellation anzutreffen, dass es eine zentrale Aufnahme für mehrere Organisationseinheiten (OE) gibt oder dass ein Versicherter nach der Aufnahme in einer anderen Organisationseinheit weiterbehandelt wird. Dabei kann es dazu kommen, dass der aufnehmenden OE eine andere Telematik-ID zugewiesen ist als der weiterbehandelnden OE. Die Benutzung der ePA ist für alle Konstellation vorgesehen.

2.2.4.2 Aufnahmeprozess

Der administrative Aufnahmeprozess wird bereits heute und soll auch künftig in allen der drei o.g. Konstellationen durch VSDM unter Benutzung der eGK unterstützt werden. Die Anwendung VSDM wird genutzt, um die Stammdaten des Versicherten zu erfassen, die Gültigkeit des Versicherungsstatus zu prüfen sowie mithilfe des VSDM einen Nachweis über einen aktiven Behandlungskontext zu erzeugen und diesen im ePA-Aktenkonto als Zugriffsbefugnis zu hinterlegen. Zu diesem Zweck muss die ePA-Funktion „Erstellen einer Befugnis“ (siehe Kapitel 3.9) ebenfalls von dem System ausgeführt werden, welches das VSDM durchführt. Das hierfür genutzte System soll auch für ein nachträgliches ReadVSDM zur Befugniserstellung genutzt werden können, falls die eGK zum Zeitpunkt der Aufnahme nicht vorlag.

Der Behandlungskontext bezieht sich auf den Behandlungsfall. Im Sinne der Orientierungshilfe KIS (https://www.datenschutzkonferenz-online.de/media/oh/201403_oh_krankenhausinformationssysteme.pdf ) umfasst ein Behandlungsfall eine medizinische Behandlung inklusive der Anamnese-, Diagnose-, Therapie- und Nachbehandlungsmaßnahmen zu derselben Krankheit, Verdachtsdiagnose oder Symptomatik. Die ePA-Zugriffsbefugnis gilt für eine Telematik-ID und nicht für ein bestimmtes technisches System. Zur Versorgung des Versicherten innerhalb des Behandlungsfalls kann die Zugriffsbefugnis auf das ePA-Aktenkonto von allen berechtigten Mitarbeiter:innen und den dort zum Einsatz kommenden Subsystemen nachgenutzt werden.

Damit ein Subsystem die erzeugte Zugriffsbefugnis nutzen kann, muss es diese nicht persistieren. Das Subsystem spricht das ePA-Aktenkonto des Versicherten direkt an und setzt die gewünschte Operation um, bspw. eine Suche für zur Dokumentenübersicht oder das Hochladen eines Dokuments in ein ePA-Aktenkonto. Das ePA-Aktenkonto prüft zum Zeitpunkt des Zugriffsversuchs, ob für die Telematik-ID, mit der eine Authentisierung vorgenommen wird, auch eine Zugriffsbefugnis vorliegt.

Die Eröffnung des Behandlungskontexts und die Erstellung einer Zugriffsbefugnis soll mit der administrativen Aufnahme umgesetzt werden, damit die Daten und Dokumente aus dem ePA-Aktenkonto zum Zwecke der (vorstationären) Anamnese heruntergeladen werden können. Zusätzlich können für die Anamnese auch im Kontext des Behandlungsfalls stehende und per KIM empfangene Informationen für die Anamnese genutzt werden. Falls der Versicherte ausgewählte Dokumente in seiner ePA verborgen hat, sind diese für das Krankenhaus nicht einsehbar. Wenn ein verborgenes Dokument vom Versicherten zu einem späteren Zeitpunkt sichtbar gemacht wird, wird das Krankenhaus vom ePA-Aktensystem nicht aktiv benachrichtigt und darüber informiert. Darauf sollte der Versicherte im Rahmen des Aufnahmeprozesses hingewiesen werden und sich das Krankenhaus absichern, da vom Krankenhaus nicht einsehbare Dokumente der ePA u.U. für die Behandlung relevante Informationen enthalten können.

Es gibt Fälle, in denen der Versicherte das Krankenhaus eigenständig durch die ePA-App aktiv befugen kann, bspw.

• vor dem Krankenhausaufenthalt, oder
• wenn eine administrative Aufnahme nicht in Präsenz durchgeführt wird, bspw. durch die Benutzung eines Patientenportals, oder
• der Versicherte ein Krankenhaus als "Vertrauensleistungserbringer" dauerhaft berechtigen möchte oder
  der Versicherte zum Zeitpunkt der Aufnahme seine eGK nicht mit sich führt, oder
• der Versicherte PKV versichert ist, über keine eGK verfügt und ein ePA-Aktenkonto hat.

2.2.4.3 Versorgungsprozess

Aus Sicht des Klinikpersonals können das Krankenhausinformationssystem (KIS) oder auch ein Patientendatenmanagementsystem (PDMS) das führende System sein, in dem während eines stationären Aufenthalts dokumentiert wird. Bei der Benutzung der ePA am Klinischen Arbeitsplatzsystem (KAS) kann mithilfe einer Dokumentensuche im verwendeten System kenntlich gemacht werden, wenn neue Dokumente in der ePA seit dem letzten Zugriff hinzugekommen sind.

So lange eine Zugriffsbefugnis vorliegt, kann auf die ePA während des Krankenhausaufenthalts durchgehend zugegriffen werden, insbesondere bei der klinischen Aufnahme während der ärztlichen oder psychotherapeutischen Anamnese. In Anlehnung an die OH KIS sollten die Dokumente aus der ePA heruntergeladen werden, die auch einen inhaltlichen Fallbezug zum Krankenhausaufenthalt haben. Der gleichzeitige Download mehrerer Dokumente in das KIS innerhalb eines Arbeitsschritts soll eine effiziente Bedienung ermöglichen. Das KIS sollte eine Dokumentenvorschau umsetzen, damit Nutzer die Dokumente bewerten und bewusst in das KIS herunterladen oder nicht herunterladen. Aus Sicht des ePA-Aktenkontos sind Dokumente, die zur Vorschau im Primärsystem angezeigt werden, bereits heruntergeladen und als Zugriff protokolliert worden.

Ein Zugriff auf die ePA kann zu Behandlungszwecken durch Ärzte und durch den pflegerischen Stationsdienst der berechtigten Telematik-ID erfolgen. Gemäß OH KIS erfolgt die Erweiterung des Kreises der Zugriffsberechtigten innerhalb des KIS auf der Grundlage einer fachlichen Entscheidung eines bereits berechtigten Arztes (z.B. Zuweisung zu einer weiteren OE). Bei einer internen Verlegung erhalten die neuen Behandler dadurch Zugriff auf die Daten, die bis dahin im KIS übernommen wurden. Ebenso kann auf die ePA zugegriffen und nach Dokumenten gesucht werden, die seit dem Datum des letzten Zugriffs aus der Klinik auf die ePA neu hinzugekommen sind. Diese Dokumente können dann einem Befundkorb hinzugefügt, bewusst bewertet und bei Bedarf in das KIS heruntergeladen werden. Ebenso können Medikationsdaten des Medication Service zum Zwecke der Medikationsanamnese bzw. der Medication Reconciliation berücksichtigt werden.

Eine Zugriffsbefugnis kann nicht an Dritte weitergegeben oder für sie im ePA-Aktenkonto hinterlegt werden, bspw. wenn eine Verlegung zwischen Kliniken stattfindet (bspw. Anschlussbehandlung in einer Reha-Einrichtung oder Weiterbehandlung bei einem Maximalversorger) oder im Falle eines Konsils mit einer externen Leistungserbringerinstitution (bspw. einer Tele-Stroke-Unit oder einer Partnereinrichtung für Telekonsile oder Telemonitoring). Um diesen Einrichtungen den direkten Zugriff auf das ePA-Aktenkonto zu ermöglichen, ist es erforderlich, dass diese die eGK einlesen oder sie vom Versicherten bzw. einem Vertreter über die ePA-App berechtigt werden.

Die weiteren Festlegungen und Anforderungen an Rollen- und Berechtigungskonzepte innerhalb der OH KIS bleiben hiervon unberührt.

2.2.4.4 Entlassprozess

Die Zugriffsbefugnis für ein ePA-Aktenkonto ist standardmäßig auf 90 Tage festgelegt und berechtigt zum Zugriff auf in der ePA sichtbare Dokumente, für die auch ein gesetzlich legitimierter Zugriff vorgesehen ist. Die Verlängerung einer Zugriffsbefugnis ist möglich, indem die eGK erneut gesteckt wird; eine eigenständige Verlängerung der Zugriffsbefugnis über die Nutzung einer Verlängerungs- und Kostenübernahmeanfrage im Rahmen des elektronischen Datenaustauschs nach § 301 SGB V ist nicht möglich. Die Zugriffsbefugnis kann vom Versicherten über seine ePA-App verlängert oder vorzeitig beendet werden. Vor dem Beenden einer Berechtigung soll der Versicherte einen Warnhinweis in seiner ePA-App erhalten bezüglich der Konsequenzen für die Patientensicherheit aufgrund einer möglicherweise lückenhaften Dokumentation. Eine Zugriffsbefugnis wird auch benötigt, um ein Dokument in die ePA hochzuladen zu können.

Im Zuge der Entlassung ist das Krankenhaus verpflichtet einen Krankenhaus-Entlassbrief in das ePA-Aktenkonto einzustellen. Das fachliche Ziel ist, dass diese Informationen für weiterbehandelnde Institutionen im ambulanten Sektor oder in der Pflege einseh- und nutzbar sind. Aus Sicht des Versicherten ist die Bereitstellung einer patientenverständlichen Version eines Entlassbriefs wünschenswert [siehe https://innovationsfonds.g-ba.de/downloads/beschluss-dokumente/130/2022-01-21_PASTA.pdf]. Mit KIM und dem TI-Messenger stehen zusätzlich gerichtete Kommunikationskanäle bereit, die einen direkten Austausch von Informationen zwischen Leistungserbringerinstitutionen ermöglichen.

Im ePA-Aktensystem ist eine Unterscheidung zum Status des Dokuments mit dem EventCode auf Metadatenebene erkennbar. Eine Unterscheidung muss auch menschenlesbar im Dokument erkenntlich sein, ob es sich um einen vorläufigen oder finalen Krankenhaus-Entlassbrief handelt. Der vorläufige und der finale Krankenhaus-Entlassbrief sollten als separate Dokumente in die ePA hochgeladen werden.

Der Nutzer eines Primärsystems erhält eine sprechende Fehlermeldung, wenn eine Zugriffsbefugnis nicht (mehr) vorliegt und das Hochladen eines Dokuments in dem Moment des Zugriffs nicht möglich (siehe Kapitel 3.9), bspw.:

• „Es ist in einer bestehenden User Session kein Zugriff auf ein ePA-Aktenkonto möglich, weil kein ePA-Aktenkonto (mehr) existiert (der Versicherte hat der ePA widersprochen).“
• „Es ist in einer bestehenden User Session kein Zugriff auf ein ePA-Aktenkonto möglich, weil keine Berechtigung vorliegt (noch nicht oder auch nicht mehr). Bitte lesen Sie die eGK ein.“
• „Es ist in einer bestehenden User Session kein Zugriff auf ein ePA-Aktenkonto möglich, weil der Versicherte diese Leistungserbringerinstitution von der Benutzung der ePA ausgeschlossen hat.“

Vor dem Hintergrund, des zeitlichen Versatzes zwischen der Entlassung des Versicherten und der Finalisierung der Dokumentation soll der Versicherte im Entlassprozess darauf hingewiesen werden, dass eine Zugriffsbefugnis über die Entlassung hinaus erforderlich ist. Wenn das Datum der Aufnahme eine bestimmte Zeit zurückliegt, kann es empfehlenswert sein, dass die eGK erneut eingelesen wird, um die Zugriffsbefugnis im ePA-Aktenkonto zu erneuern. Für die Nutzer des Primärsystems können dabei verschiedene Wege genutzt werden, um auf die Notwendigkeit des erneuten eGK Einlesen hinzuweisen, bspw. über ein Ampelsystem oder eine Erinnerung anhand von Tagesgrenzen. Die Leistungserbringerinstitution soll im Primärsystem für sich konfigurieren können, welche Schwellenwerte hier zum Einsatz kommen sollen. Die eGK sollte ebenfalls bei Versicherten erneut eingelesen werden, deren stationärer Aufenthalt über 90 Tage nach Aufnahme hinausgeht.

Im Rahmen des Aufnahmeprozesses kann bereits der Widerspruch zum Hochladen des Krankenhaus-Entlassbriefs am Ende des stationären Aufenthalts eingeholt werden. Dies ermöglicht eine automatisierte Datenverarbeitung im Entlassprozess. Das Hochladen von Dokumenten in die ePA kann aus einem beliebigen (Sub-)System ausgeführt werden. Der gesetzte Wert zum automatisierten Hochladen muss überschrieben und dadurch bspw. ein Hochladen unterbunden werden können. Im Entlassprozess muss der Versicherte nach wie vor die Möglichkeit haben, dem Hochladen eines Dokuments widersprechen zu können. Das Nähere legt das Krankenhaus per Richtlinie fest.

Über den E-Rezept-Fachdienst ausgestellte Entlassrezepte werden automatisch über den E-Rezept-Fachdienst in die Medikationsliste der ePA übertragen. Die Erstellung oder eine Aktualisierung des Medikationsplans in der ePA ist in einer Ausbaustufe mit dem ePA-Release 3.1 möglich.

Die gesetzliche Grundlage dafür finden sich insbesondere in § 339, 342 und 348 SGB V.

2.2.4.5 Anwendungsfälle

Für Leistungserbringer in Krankenhäusern – Ärzte, Zahnärzte und Psychotherapeuten sowie Apotheker, Hebammen, Gesundheits-, Kranken- und Altenpfleger – besteht je nach Berufsgruppenzugehörigkeit die Möglichkeit Dokumente in die ePA zu lesen und zu schreiben:

• Diagnosen, Befunde, Therapiemaßnahmen
• Medikationsplan
• Notfalldaten
• eArztbrief
• Zahnbonusheft
• Kinderuntersuchungsheft
• Mutterpass
• Impfpass
• Pflegedokumentation
• elektronische Arbeitsunfähigkeitsbescheinigung
• Sonstige Daten, bspw. eDMP gemäß § 137 f SGB V
• Daten der Heilbehandlung und Rehabilitation

Darüber hinaus besteht je nach Berufsgruppenzugehörigkeit die Möglichkeit Dokumente anderer Inhalte zu lesen:

• Versichertendokumente
• Abrechnungsdaten
• DiGA-Daten

Eine detaillierte Auflistung der CRUD-Zugriffsrechte ist abrufbar unterhttps://github.com/gematik/ePA-Basic/blob/ePA-3.1.0/concept/chapters/legal_policy.adoc .

2.2.5 Pflege

2.2.5.1 Prozessmodell

In der ePA erfasste Behandlungsinformationen sollten gesichtet und auf Relevanz geprüft werden (siehe Abbildung 4). Aus Sicht der Pflege ist es wichtig, dass sie Kenntnis über den aktuellen Zustand zur Aufnahme der Patient:in und zur Versorgung erlangen kann. Insbesondere den Informationen zur aktuellen Medikation kommt eine hohe Relevanz zu. Der Medikationsplan spielt bei Aufnahme der Patient:in in der Pflegeeinrichtung eine zentrale Rolle. Er ist eine aktuelle Zusammenstellung der Medikation, die eine Patient:in über einen bestimmten Zeitraum einnehmen soll, umfasst Einnahmehinweise zum Medikament sowie Dispensierangaben der Apotheke. In der ePA ist darüber hinaus eine Medikationsliste vorhanden, die Aufschluss darüber geben kann, ob in der Vergangenheit weitere Medikamente verordnet wurden, die bspw. aufgrund von Unverträglichkeiten mittlerweile abgesetzt worden sind. Die Abbildung eines Insulinplans ist bislang nicht Gegenstand des digital gestützten Medikationsprozesses.

Die ePA kann darüber hinaus für ausgewählte Dokumente der Pflegedokumentation genutzt werden und damit bspw. einen einrichtungsübergreifenden Informationsaustausch zwischen ambulanter Pflege und Palliativversorgung oder zwischen Pflegeinrichtung und betreuendem Hausarzt unterstützen. Vitaldaten, die vom Leistungserbringer erfasst werden, können in einem Dokument abgebildet werden. In der ePA kann im Datensatz Persönlicher Erklärung die Angabe hinterlegt werden, ob eine Patientenverfügung vorhanden ist. Die Angabe des Datums kann vom Versicherten selber oder einem Vertreter hinterlegt werden.

Das Pflegepersonal kann grundsätzlich auch auf Dokumente in der ePA zugreifen, die von anderen Leistungserbringern eingestellt worden sind und diese im Rahmen der Erbringung der Pflegeleistung berücksichtigen. Hierunter fallen bspw. Entlass- und Arztbriefe oder auch Therapiedokumentationen der Physio-, Logo- und Ergotherapie. Je nachdem, ob Daten in strukturierter Form vorliegen, können diese auch in die Primärdokumentation übernommen werden, bspw. künftig für Diagnosen.

Abbildung 7: Schematisches Prozessmodell zur ePA für die Pflege

2.2.5.2 Anwendungsfälle

Für Leistungserbringer in der Pflegeversorgung besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen und zu schreiben:

• Pflegedokumentation

Darüber hinaus besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen:

• Diagnosen, Befunde, Therapiemaßnahmen
• Medikationsplan
• Notfalldaten
• eArztbrief
• Kinderuntersuchungsheft
• Mutterpass
• Impfpass
• Versichertendokumente
• DiGA-Daten

Eine detaillierte Auflistung der CRUD-Zugriffsrechte ist abrufbar unterhttps://github.com/gematik/ePA-Basic/blob/ePA-3.1.0/concept/chapters/legal_policy.adoc .

2.2.6 Heilmittelerbringer

2.2.6.1 Prozessmodell

Die ePA kann auch in der Versorgung von Heilmittelerbringern genutzt werden. Ausgewählte Daten und Dokumente der ePA dürfen von Heilmittelerbringern gelesen und genutzt werden, wenn die eGK eingelesen wird und eine Zugriffsbefugnis erzeugt wird. Zu den Heilmittelerbringern zählen Physiotherapeuten, Ergotherapeuten, Logopäden, Podologen und Ernährungstherapeuten, die sich nach heutigem Stand an die TI anbinden können.

Abbildung 8: Schematisches Prozessmodell zur ePA bei Heilmittelerbringern

2.2.6.2 Anwendungsfälle

Für Heilmittelerbringer besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen und zu schreiben:

• Diagnosen, Befunde, Therapiemaßnahmen

Darüber hinaus besteht die Möglichkeit Dokumente mit folgenden Inhalten zu lesen:

• Medikationsplan
• Notfalldaten
• eArztbrief
• Kinderuntersuchungsheft
• Mutterpass
• Versichertendokumente
• Abrechnungsdaten
• DiGA-Daten
• Pflegedokumentation

Eine detaillierte Auflistung der CRUD-Zugriffsrechte ist abrufbar unter https://github.com/gematik/ePA-Basic/blob/ePA-3.1.0/concept/chapters/legal_policy.adoc .

2.3 Akteure und Rollen

Das vorliegende Dokument richtet sich vorrangig an Hersteller von Systemen, die von Leistungserbringern genutzt werden und formuliert Anforderung, die für die Nutzung der ePA implementiert werden müssen. Darüber hinaus werden in Kapitel 4 weitere Arten ePA-nutzender Systeme aufgeführt, deren Nutzer keine Leistungserbringer sind. Die großen Überschneidungen in den Anforderungshaushalten dieser Systeme mit den Systemen der Leistungserbringer sind in den AFO-Steckbriefen dieser Nutzer abgebildet, s. TabILF_Kurzübersicht_PS-CS-Typen. 

Leistungserbringer agieren in zwei ePA-Szenarien: 

• als Einsteller und Konsument im bilateralen Dokumentenaustausch zwischen LE und Versichertem 
• als Einsteller und Konsument in der Interaktion zwischen Leistungserbringern über die ePA

Das PS tritt somit in der Consumer Zone der TI sowohl als Document Consumer als auch als Document Source auf, beim Löschen auch als Document Administrator.

Gemäß [gemILF_PS#3.1.3] können Heilberufler ihren SM-B selbst nutzen oder ihre Gehilfen im Allgemeinen dafür autorisieren, auf die Anwendungen der eGK mit ebendiesen Rechten zuzugreifen. Dies gilt für das SM-B der TI-Rollenprofile 2, 3, 4 (SM-B Leistungserbringer). Eine Ausnahme hierzu bilden ausschließlich die Gehilfen der nichtärztlichen Psychotherapeuten. Das PS darf die berufsmäßigen Gehilfen der nichtärztlichen Psychotherapeuten nicht mit denjenigen Zugriffsberechtigungen auf die ePA ausstatten, über die der nichtärztliche Psychotherapeut verfügt. 

Die Versicherten agieren in der Rolle des Akteninhabers und in der Rolle des Vertreters des Akteninhabers. 

Auch innerhalb größerer Leistungserbringer-Institutionen ist ein Akteur gegenüber der ePA mittels seiner Telematik-ID als eigenständiger Nutzer identifiziert, nicht als Mandant einer übergreifenden Institution. Die Mandantenverwaltung innerhalb einer größeren Institution, etwa einem Krankenhaus, muss ggf. dafür genutzt werden, um den Prüfungsnachweis des Mandanten nutzen zu können, der aktuell in der ePA aktiv ist.

Unterschiedliche Arten von Primärsystemen (PS) und Clientsystemen (CS) haben je nach ihren fachlichen Nutzungsprofilen unterschiedliche Anforderungshaushalte.

• PS = Client gegenüber dem Aktensystem mit Userinteraktion
• CS = Client gegenüber dem Aktensystem potentiell ohne Userinteraktion 

Normative Anforderungshaushalte unterschiedlicher Systeme sind jeweils in speziellen AFO-Steckbriefen aufgeführt. Der AFO-Steckbrief hat im Zweifelsfall Priorität gegenüber der Unterscheidung zwischen Primärsystem und Clientsystem im Fließ- und Anforderungstext.

Tabelle 1: TabILF_Kurzübersicht_PS-CS-Typen

2.4 IT-Sicherheit in den Systemen der Leistungserbringerinstitution

Zum Schutz der Daten der Patienten in den Systemen der Leistungserbringerinstitution sind die Sicherheitsziele der Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Die Verantwortlichkeit zur Sicherstellung der IT-Sicherheit der Systeme der Leistungserbringerinstitution liegt in der Leistungserbringerinstitution. Hersteller von Primärsystemen können sicherheitstechnische Vorkehrungen in ihre Produkte integrieren, um die Sicherheitsziele zu unterstützen wie bspw. die Implementierung einer ICAP-Schnittstelle.

Insbesondere einschlägige Vorgaben sollten für die IT-Sicherheit von der Leistungserbringerinstitution berücksichtigt werden, bspw.:

• Leitfaden zur Basis-Absicherung nach IT-Grundschutz des BSI (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.html?nn=128634 )
• Abschlussbericht Projekt CyberPraxMed – Sicherheit in Arztpraxen des BSI (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/CyberPraxMed_Abschlussbericht.html )
• IT-Sicherheitsrichtlinie der KBV und KZBV (https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf )

Insbesondere sollte eine verwaltete Virenschutzlösung implementiert werden, die vor ggf. in Daten bzw. Dokumenten der ePA enthaltenen Schadcode schützt. Die gematik mitigiert das Risiko von Schadcode in ePA-Daten bzw. Dokumenten durch die Einschränkung der zulässigen Datenformate, bei denen das Risiko von enthaltenem Schadcode stark reduziert ist (z.B. keine Office-Dokumente). Beim Einstellen in die ePA werden die Daten bzw. Dokumente auf die zulässigen Formate geprüft und unzulässige Formate abgelehnt.

Es gibt keinen zentralen Virenscanner in der ePA oder in der TI.

3 Übergreifende Festlegungen

In diesem Kapitel werden die übergreifenden Festlegungen zum erfolgreichen Kommunikationsaufbau zwischen Primärsystem und einem Aktenkonto beschrieben.

Hinweis zum Erhalt der ClientID: die ClientID wird durch die gematik vergeben und übermittelt, sobald sich ein (Client-)Produkthersteller unter idp-registrierung@gematik.de registriert hat. Dazu ist im Rahmen dieser Registrierung der Name des Herstellers und der Name des zu registrierenden Produktes zu übermitteln. Sollte im Rahmen einer anderen TI-Anwendung bereits eine Registrierung vorgenommen worden sein, kann die ClientID auch im ePA-Kontext genutzt werden (sofern es sich um das gleiche Softwareprodukt handelt).

3.1 TLS

Das Primärsystem benutzt für die Kommunikation im Rahmen der Anwendungsfälle der ePA für alle ausschließlich TLS.

Es gelten die Vorgaben aus [gemSpec_Krypt] für TLS.

3.2 Aktensystem- und Service-Lokalisierung

Die Lokalisierung der Services der ePA für das Primärsystem erfolgt über die übergreifende Domäne epa4all.de. Diese Domäne kann sowohl im Internet als auch im DNS der TI aufgelöst werden und verweist immer auf IP-Adressen der TI. Für die verschiedenen Umgebungen der TI werden third-level Domänen eingerichtet: .ref (RU1), .dev (RU2), .test (TU) und .prod (PU).

Das Primärsystem muss die FQDNs der ePA-Aktensysteme wissen (diese werden fest definiert, vgl. A_24592-*).

Diese sind Host und IP-Adressen für den Endpunkt I_Information_Service und der Services in der VAU:
epa-as-<ePA-Anbieter-Zahl>.<Umgebung>.epa4all.de.

Das Vorgehen der festvorgegebenen FQDNs ist analog zum E-Rezept-Vorgehen.

Falls die Services innerhalb einer ePA-VAU liegen, werden die Dienste an den HTTPS-Schnittstellen unter den in den OpenAPI-Spezifikationen aufgeführten Pfadnamen erreicht. Der Pfad wird im inneren HTTP-Request genutzt (innerhalb des Vau-Kanals). Das Primärsystem benutzt den Pfadnamen /VAU für die Initiierung des VAU-Kanals.

Für Schnittstellen, die außerhalb einer VAU liegen, gelten ebenfalls die jeweilige ePA-OpenAPI-Spezifikation mit den dort aufgeführten Pfadnamen.

Pfadbeispiele:

Abfrage eines Kontostatus beim Information-Service (außerhalb der VAU):

https://epa-as-<ePA-Anbieter-Zahl>.<Umgebung>.epa4all.de:443/information/api/v1/ehr

Aufbau der VAU, z.B.: getriggert durch GetNonce:

https://epa-as-<ePA-Anbieter-Zahl>.<Umgebung>.epa4all.de:443/VAU

Einstellen eines Entitlements innerhalb der VAU:

URL, die der Client aufruft für die Übermittlung des äußeren HTTP-Request:

https://epa-as-<ePA-Anbieter-Zahl>.<Umgebung>.epa4all.de:443 /<VAU-CID>

Pfad des inneren HTTP-Request:

/epa/basic/api/v1/ps/entitlements

Die Informationen zu den Endpunkten des Identity Providers ermittelt das Primärsystem aus dem Discovery Document, siehe auch [gemSpec_IDP_Dienst#Registrierung von Endgerät und Anwendungsfrontend]. Das Discovery Document ist vom IDP-Dienst unter der URL /.well-known/openid-configuration abrufbar.

Das Primärsystem erreicht die ePA-Aktensysteme und den IDP über den Konnektor geroutet. Es ist sinnvoll den Konnektor als Default-Gateway zu nutzen.

3.3 Aufbau der User Session zum Aktensystem

Das Primärsystem kommuniziert als ePA-Client mit dem ePA-Aktensystem in einer Vertrauenswürdige Ausführungsumgebung (VAU). Diese stellt sicher, dass sensible Klartext-Daten wie z. B. die medizinischen Daten des Versicherten sicher vor Angriffen verarbeitet werden können. Die Daten werden ausschließlich über sichere VAU-Kanäle vom PS in die VAU transportiert bzw. aus der VAU abgerufen.

Das Primärsystem initiiert den Aufbau eines VAU-Kanals in die VAU des Aktensystems. Dabei authentisiert sich die VAU mit ihrem Zertifikat als authentische VAU des Aktensystems. Anschließend wird für den Nutzer, repräsentiert durch die SMC-B, mit Hilfe des IDP-Dienstes eine User Session angelegt. Diese User Session ermöglicht den Zugriff auf alle Aktenkonten des Aktensystems, in denen eine Befugnis für die LEI hinterlegt ist. Die User Session zu den Aktensystemen kann aufgebaut werden ohne den direkten Zugriff auf eine Akte z.B. beim morgendlichen Start des PS.

Durch eine Anfrage an eine bestimmte Akte wird diese Akte in der User Session als Health Record Context geladen und man kann darauf arbeiten.

Abbildung 9: Überblick über Aufbau VAU, User Session und Aktensession

3.3.1 VAU

Für Informationen zum Kommunikationsprotokoll zwischen dem Primärsystem und einer VAU siehe [gemSpec_Krypt#3.15 ePA-spezifische Vorgaben] und [gemSpec_Krypt#7].

Die gematik wird Beispielimplementierungen des VAU-Protokolls der ePA für alle auf GitHub veröffentlichen.

3.3.2 Nutzerauthentifizierung per IDP-Dienst mittels OIDC-Flow

Die Authentifizierung der LEI erfolgt mittels zentralem IDP-Dienst. Dieser steht bereits u.a. für das e-Rezept zur Verfügung:

Abbildung 10: Überblick über Nutzerauthentifizierung

1. Die Nutzerauthentifizierung wird durch einen Zugriff des Primärsystems auf das ePA-Aktensystem getriggert.

2. Da der Nutzer noch nicht angemeldet ist, leitet der Authorization Server des ePA-Aktensystem an den IDP-Dienst weiter. Am IDP-Dienst authentisiert sich der Nutzer mittels SMC-B und PIN. Bei erfolgreicher Authentisierung erhält das Primärsystem einen Authorization Code.

3. Das Primärsystem übermittelt den Authorization Code an das ePA-Aktensystem.

Der Authorization Server im ePA-Aktensystem ruft mittels des Authorization Codes das ID-Token für den Nutzer vom IDP-Dienst ab. Das ID-Token ist vom IDP-Dienst signiert. Als Ergebnis ist ein ID-Token des Nutzers in der VAU vorhanden. Liegt ein ID-Token des Nutzers in der VAU vor, wird durch den User Session Manager eine User Session für den Nutzer gestartet und die LEI kann auf die Aktenkonten (sofern eine Befugnis vorhanden ist) zugreifen.

Die folgende Abbildung zeigt den Nachrichten-Flow im Detail:

Abbildung 11: Detaillierter Nachrichten-Flow für die Nutzerauthentifizierung mit dem IDP-Dienst

Vorbereitend zum OIDC-Flow fragt das PS eine Nonce ab (0), die es mit der SMC-B signiert als "Attestation der Umgebung".

Dazu nutzt es folgende Operation:

Tabelle 2: I_Authorization_Service::getNonce

Hinweis: Damit das bei der Signatur bevorzugt zu verwendende ECC-Zertifikat gelesen wird, muss bei der Operation ReadCardCertificate (oder aber im Falle des CS des KTR bei der Operation ReadCertificate) der Parameter Crypt auf "ECC" gesetzt werden. Nur bei einer Karte der Generation G2 kann der Default (RSA) genutzt werden.

Der eigentliche IDP-Flow startet mit der Anfrage des PS an den Authorization Service (1). Dazu nutzt es folgende Operation:

Tabelle 3: I_Authorization_Service::send_Authorization_Request_SC

Die Response enthält "clientID" (des Aktensystems),"response_type",  "redirect_uri", "state", "code_challenge",  "code_challenge_method",  "scope" und  "nonce" (3 und 4).

Das Authenticator Modul des PS stellt nun einen GET: AUTHORIZATION REQUEST an den zentralen IDP mit den vom Authorization Service erhaltenen Parametern (5).

Der Authorization-Endpunkt legt nun eine "session_id" an, stellt alle nötigen Informationen zusammen und erzeugt das "CHALLENGE_TOKEN".
Darüber hinaus stellt der Authorization-Endpunkt den im Claim des entsprechenden Fachdienstes vereinbarten "Consent" zusammen, welcher die für dessen Funktion notwendigen Attribute beinhaltet.

Der IDP-Dienst antwortet dem PS dann mit dem Challenge-Token und dem User Consent (6a).

Das Primärsystem verwendet nun die AUT-Identität der SM-B der LEI und deren Konnektor, um das gehashte "CHALLENGE_TOKEN" des IDP-Dienstes zu signieren. Wenn es sich um eine erstmalige Anmeldung des Benutzers bei diesem Fachdienst handelt, werden diesem darüber hinaus die für den Zugriff übermittelten Daten der LEI angezeigt.

Anschließend werden die signierte "challenge" und das verwendete Authentisierungszertifikat der Smartcard an den IDP-Dienst übermittelt (6b).

Hinweis: Der Aufbau der Anfrage und der einzureichenden Objekte entspricht [gemSpec_IDP_Dienst#7.3 Authentication Request].

Hinweis: Das Signieren und Verschlüsseln des "CHALLENGE_TOKEN" ist durch die Verwendung eines Nested JWT [angelehnt an den folgenden Draft: https://tools.ietf.org/html/draft-yusef-oauth-nested-jwt-03, zu realisieren. Im cty-Header ist "NJWT" zu setzen, um anzuzeigen, dass es sich um einen Nested JWT handelt. Das Signieren wird dabei durch die Verwendung einer JSON Web Signature (JWS) [RFC7515 # section-3 - Compact Serialization] gewährleistet. Die Verschlüsselung des signierten Token wird durch die Nutzung der JSON Web Encryption (JWE) [RFC7516 # section-3] sichergestellt. Als Verschlüsselungsalgorithmus ist ECDH-ES (Elliptic Curve Diffie-Hellman Ephemeral Static key agreement) vorgesehen.

Der Authorization-Endpunkt validiert nun die "session" sowie die "signed_challenge" und prüft das Zertifikat der LEI. Anschließend verknüpft er die "session" mit der Identität aus dem Authentisierungszertifikat und erstellt einen "AUTHORIZATION_CODE", welchen er als Antwort zurücksendet.

Das Primärsystem empfängt nun diesen "AUTHORIZATION_CODE" vom IDP-Dienst (7).

Das PS sendet diesen Authorization Code an den Authorization Service des Aktensystems (9). Dazu nutzt es die Operation sendAuthCodeSC:

Tabelle 4: I_Authorization_Service::sendAuthCode

Mit der send_AuthCode-Response erhält das Primärsystem die Zugriffserlaubnis auf das Aktensystem. Die User-Session ist dann etabliert und fachliche Operationen sind möglich.

3.3.2.1 Übergreifende Festlegungen zur Nutzung des IDP-Dienstes

Zur Nutzung des IDP-Dienstes gelten einige grundlegende Voraussetzungen, welche das PS erfüllen muss:

Hinweis: Der genaue Aufbau entspricht [gemSpec_IDP_Dienst#7.7 Aufbau des Discovery Document].

Bei Aufruf der Funktion "VerifyDocument" an der Außenschnittstelle des Konnektors ist es nicht möglich, direkt auch eine Prüfung des Zertifikatstyps und der Rollen-OID durchzuführen.

Hinweis: Zur Durchführung der Prüfungen gemäß A_20657 und ähnlicher Anforderungen ist zu verifizieren, ob im Feld certificatePolicies (2.5.29.32) des Zertifikates der richtige Zertifikatstyp FD.SIG (1.2.276.0.76.4.203) gemäß [gemSpec_OID#Tabelle Tab_PKI_405] eingetragen ist und sich in der Admission (1.3.36.8.3.3) des Zertifikats die richtige "oid_idpd" (1.2.276.0.76.4.260) findet.

3.4 Lokalisierung der Akte eines Versicherten

Wenn dem Primärsystem nicht bekannt ist, bei welchem Aktensystembetreiber ein Aktenkonto liegt, muss es den zuständigen Service-Endpunkt ermitteln. Dazu wendet sich das PS an den Information Service außerhalb der VAU eines Aktensystems, um dort nach der Akte zu fragen.

Konnte das Aktenkonto ermittelt werden, wird der zuständige Service-Endpunkt gespeichert. Gibt der Informationsdienst den Aktenkonto-Status "Unknown" zurück, wiederholt das Primärsystem den Aufruf beim nächsten Aktensystem.

Kennt kein Aktensystem die Akte, hat der Versicherte der ePA widersprochen und es existiert keine Akte.

Dazu wird folgende Operation genutzt: 

Tabelle 5: I_Information_Service::getRecordStatus

Die Zuordnung zwischen KVNR und IK-Nummer des Versicherten erfolgt primärsystemspezifisch und ist nicht weiter vorgegeben.
Sind auch die weiteren Abfragen negativ, liegt kein Aktenkonto vor (z.B. weil der ePA widersprochen wurde).

3.4.1 Aktenkontokennung

Das PS adressiert das gewünschte Aktenkonto über die KVNR des Versicherten. Diese wird als HTTP-Header-Element mit dem Namen "x-insurantId" gesendet. Dies gilt für alle Services der ePA für alle.

3.4.2 Logout

Das Primärsystem muss sich nicht explizit aus dem ePA-Aktensystem ausloggen. Ein implizites Logout findet statt,

• wenn die User Session endet,
• wenn der VAU-Kanal geschlossen wird.

Eine VAU schließt nach 20 Minuten Inaktivität automatisch die "UserSession" (gemSpec_Aktensystem#A_25006). Die VAU-Schlüssel (und damit auch die Nutzer-Authentisierung) müssen davon unabhängig mindestens alle 24 Stunden erneuert werden (neuer Verbindungsaufbau VAU-Protokoll + anschließende Nutzerauthentisierung). Eine VAU-Verbindung kann bspw. über alle 15 Minuten Abfragen von /VAU-Status [gemSpec_Krypt#A_25143] ohne anliegende fachliche Operation offen gehalten werden. Das ID-Token besitzt eine maximale Gültigkeitsdauer von 24 Stunden.

3.4.3 Zertifikate

Die kryptographischen Vorgaben im TLS-Bereich sind für das E-Rezept und ePA für alle ähnlich. Das VAU-Protokoll der ePA für alle unterscheidet sich vom E-Rezept-VAU-Protokoll, weil eine andere Authentisierungsvariante von OIDC/OAuth2/PCKE verwendet wird. Diese wird in einer späteren Ausbaustufe vom E-Rezept ebenfalls verwendet. Ab dann verwenden beide Anwendungen das VAU-Protokoll von ePA-für-alle.

Tabelle 6: TAB_ILF_Zertifikate

Kontext OCSP: Die aufgrund der historischen Entwicklung von OCSP als Abfragemechanismus einer CRL-Abfrage bei einem TSP stammenden Werte thisUpdate und nextUpdate sind für A_24906-* irrelevant. Was zählt ist, dass der bestmögliche Informationsstand eines TSP zum Zeitpunkt producedAt in der Antwort dokumentiert ist. Dieser Informationsstand wird im Cache für die in A_24906-* aufgeführte Zeit als maßgeblich betrachtet und im prüfenden System verwendet.

Falls Sperrinformationen grundsätzlich vom zu authentifizierenden System mit gesendet werden (bspw. TLS-OCSP-stapling, OCSP-Antwort der VAU innerhalb des VAU-Protokolls), so holt der Client diese nicht aktiv ein, d. h., A_24906-* greift in Bezug auf das Caching nicht als MUSS-Bestimmung.

3.5 SOAP

In der ePA für alle nutzt das Primärsystem SOAP für den Zugriff auf die IHE-Schnittstellen des XDS Document Service.

Die SOAP-Schnittstellen werden nachrichtenbasiert über SOAP1.2 mit [BasicProfile2.0] angesprochen.

Die Bildung der SOAP-Nachrichten durch das Primärsystem wird in diesem Dokument technologie-neutral geschildert. Dabei werden die Voraussetzungen für unterschiedliche Strategien zur Nachrichtenerzeugung geliefert, darunter:

• Nutzung von Template Engines
• Codegenerierung mittels WSDL und XSD.

Die ePA nutzt bei bestimmten Operationen den SOAP-Header, um Informationen über den Aktenkontext und die Telematik-ID zu erhalten.

3.6 REST

In der ePA für alle werden die vom Primärsystem angesprochenen Dienste wie der Information Service, Entitlement Management und den Medication Service über OpenAPI- sowie FHIR-Profildefinitionen festgelegt. Die Schnittstellen und Operationen sind funktional in den Beschreibungen der jeweiligen Schnittstelle vermerkt.

3.7 Mandantenverwaltung

Sowohl Befugnisse, VAU als auch ID-Token verwenden dedizierte anwendungsfallübergreifend identische Telematik-IDs. In größeren Einrichtungen muss dabei unter Datenschutz-Gesichtspunkten die Einrichtung einer Mandantenverwaltung für die Nutzung der ePA sowie ein ausreichendes Logging von Aktenzugriffen beachtet werden.

Die Nutzung ePA-fähiger Aufrufkontexte ist in kleineren Einrichtungen mit nur einer einzigen verwendeten SMC-B einfacher umzusetzen als in großen Einrichtungen, in denen es viele verwendete SMC-Bs zu konfigurieren gilt. Eine Voraussetzung für eine funktionierende ePA besteht darin, dass die Leistungserbringerinstitution so konfiguriert ist, dass die Telematik-ID der signierten Befugnis, die Telematik-ID aus der VAU-Instanz, sowie die Telematik-ID aus dem IDP-Token gleich sind. 

Die Verwendung der korrekten SMC-B wird über den Aufrufkontext gesteuert.

Abbildung 12: ILF_ePA_Element_Context

Beispiel #: Bsp_ILF_ePA_Context 

3.8 Funktionsmerkmale

Leistungserbringerinstitutionen haben zwei Möglichkeiten, vom Versicherten eine Befugnis zum Zugriff auf das Aktenkonto zu erhalten:

1. Der Versicherte erteilt eine Befugnis für die LE-Institution am ePA-Frontend des Versicherten.
2. Im Behandlungskontext wird vom PS, im Zusammenhang mit dem Einlesen der eGK, eine Befugnis eingestellt.
   

Die Befugnis kann sowohl vom Versicherten selbst stammen, als auch vom Vertreter des Versicherten. Sie ist auf Leistungserbringerinstitutionen (inkl. deren berufsmäßigen Gehilfen oder zur Vorbereitung auf den Beruf Tätige, jedoch nicht die Gehilfen der nichtärztlichen Psychotherapeuten) eingeschränkt.

Die Laufzeit von Befugnissen ist begrenzt. Falls eine Befugnis aufgrund einem in der Vergangenheit liegenden validTO oder Befugnisentzug am ePA-Frontend des Versicherten nicht mehr existiert, ist eine erneute Befugnisvergabe erforderlich.

3.9 Erstellen einer Befugnis

Die Leistungserbringerorganisation benötigt eine Befugnis (Entitlement), um auf die ePA eines Versicherten zugreifen zu können.

Abbildung 13: Ablauf Erstellung einer Befugnis

Der Auslöser zur Erstellung einer Befugnis ist das etablierte Lesen der eGK mit Onlineprüfung oder der Prozess der Befugniserstellung durch den Versicherten an dessen FdV. Ein ReadVSD auf die eGK wird beim ersten Praxisbesuch im Quartal, bei der Aufnahme im Krankenhaus oder bei der Einlösung eines eRezeptes mit eGK in der Apotheke durchgeführt. 

Dabei wird vom Konnektor-Fachmodul VSDM ein Prüfungsnachweis erzeugt und in der ReadVSD-Response an das PS geliefert. Der Prüfungsnachweis enthält im Falle einer erfolgreichen Online-Prüfung (Ergebnis 1 oder 2) im Element Receipt die Prüfziffer des Fachdienstes als eine Base64Binary-kodierte Folge von bis zu 65 Bytes.

Damit die Prüfziffer in Verbindung zur Umgebung gesetzt werden kann, erfolgt die Erstellung eines signierten JSON-Web-Token (JWS). Dazu wird das JWS mit der AUT-Identität der SM-B signiert (2), bevor es im Entitlement Management des Aktensystems als Befugnis registriert (3) wird.

Die Befugnisdauer wird vom Aktensystem festgelegt. Die in der LEI erzeugte Befugnis muss innerhalb dieses Zeitraumes nicht erneuert werden. Im Falle eines späteren Hochladens eines neueren Entitlements im vorliegenden Quartal gilt der aktuellere bzw. aktualisierte Befugniszeitraum. 

Die Befugnisdauer beträgt

• 3 Tage für Apotheken, ÖGD und Institutionen der Arbeits- und Betriebsmedizin und
• 90 Tage für alle anderen Arten von Leistungserbringer-Institutionen.

Eine erstellte Befugnis muss im Primärsystem nicht vorgehalten und damit in verteilten Systemen einem anderen System nicht bekannt gemacht werden. Die Befugnis liegt im ePA-Aktensystem vor und dieses prüft im Zuge des Aktenzugriffs aus einer LEI, ob diese zugriffsbefugt ist. Eine Befugnis kann auch vom Versicherten aus erstellt werden mithilfe des ePA FdV.

Das Einstellen einer Befugnis aus der LEI-Umgebung erfolgt über folgende Operation des Entitlement Management des Aktensystems:

Tabelle 7: I_Entitlement_Management::setEntitlementPs

3.9.1 Umsetzung

Die Aktivitäten des Anwendungsfalles Erstellen einer Befugnis sind:

Vorbedingung:

• Ermittelter Service-Endpunkt zum Aktenkonto
• erfolgreiches ReadVSD mit Online-Prüfung
  

Auslöser:

• Erhalt einer Prüfziffer durch Lesen der eGK mit erfolgreicher Online-Prüfung (Prüfnachweis 1 oder 2)
• manuelle Auslösung
• Nachfrage bei uploadpflichtigen PVS-Aktionen und fehlender Berechtigung

Aktivitäten:

• Auswahl KVNR
• Auswahl des Service-Endpunkts zum Aktenkonto
• Auswahl der Prüfziffer des Versicherten
• Bildung eines JWS mit Prüfziffer und Zertifikat
• JWS signieren mit SMC-B
• JWS als Entitlement einstellen
• Auswertung des Ergebnisses

Resultat:

• Die Antwort gibt Auskunft darüber, ob eine Befugnis im Aktensystem erzeugt werden konnte oder nicht.
• Das Einstellen scheitert z. B., wenn die SMC-B nicht zur Gruppe der erlaubten Berufsrollen (professionOID) gehört oder wenn die LEI selbst oder die ganze Nutzergruppe vom Versicherten geblockt wurde.
• Die Antwort enthält im Erfolgsfall mit dem validTo das Enddatum der Befugnisdauer. Das PS kann die Befugnisdauer persistieren.
  

3.9.2 Nutzung

Getrennte Mandanten im Primärsystem verfügen über SMC-Bs mit je verschiedenen Telematik-IDs. Wenn es SMC-Bs mit mehr als einer Telematik-ID gibt, muss dies in der Konfiguration von Konnektor und Primärsystem und im Aufrufkontextes der SMC-B berücksichtigt werden.

3.10 Versorgungsspezifische Services

Die ePA für alle unterstützt verschiedene Versorgungsprozesse mittels dedizierter Services. Initial unterstützt sie den digital gestützten Medikationsprozess (dgMP) durch die Bereitstellung einer Elektronischen Medikationsliste (eML) über einem FHIR Data Service.

3.10.1 Widersprüche zu Versorgungsprozessen abrufen

Versicherte können der Teilnahme an durch die ePA unterstützen Versorgungprozessen widersprechen. Das PS kann die Entscheidung zu Teilnahme (ConsentDecision) zur Behandlungsvorbereitung abfragen. Sie kann dabei den Zustand "kein Widerspruch erklärt" ("permit") oder "Widerspruch erklärt" ("deny") haben. Die Versorgungsprozesse werden über eine ID referenziert (z. B. die Teilnahme am Medikationsprozess "id":"medication").

Über diese Operation des Information Service kann das PS die Entscheidung zu den Versorgungsprozessen abfragen:

Tabelle 8: I_Information_Service::getConsentDecisionInformation

Wenn es bei Aufrufen im Rahmen des Versorgungsprozesses zu einem Fehler kommt, ist eine Wiederholung der Abfrage der Widersprüche sinnvoll.

3.10.2 Medikationsprozess

Der digital gestützte Medikationsprozess (dgMP) wird über eine elektronische Medikationsliste (eML) als auch einen elektronischen Medikationsplan (eMP) durch den Medication Service umgesetzt, welche vom Leistungserbringer über das Primärsystem abgerufen und angezeigt werden können. Die eML bzw. die Medikationshistorie hält sämtliche Medikationen des Versicherten vor. Durch optionale Eingabe eines Datumsbereichs kann über die entsprechende Schnittstelle eine verlaufsbasierte Einsicht auf diese Daten vorgenommen werden. Planungsmäßig erfasste Medikationen und Arzneimitteltherapiesicherheitsrelevante Zusatzinformationen (AMTS-rZI) können weiterhin durch die Erzeugung eines versionierten und optional verifizierten eMP mit aktuellen Medikationsinformationen eingesehen werden.

Basis für die eML sind primär Arzneimittelverordnungsdaten sowie Dispensierinformationen, welche ein Apothekenverwaltungssystem (AVS) dem E-Rezept-Fachdienst zur Verfügung stellt. Sofern der Versicherte dem Einstellen dieser Daten in den Medication Service nicht widersprochen hat, werden diese Daten bei Erzeugung durch Leistungserbringer über den E-Rezept-Fachdienst in den Medication Service automatisiert übertragen. Einträge der Medikationsplanung können von einem Primärsystem über dedizierte Management-Operationen gelesen oder auch manipuliert werden.

Der nachfolgend referenzierte FHIR-basierte Implementation Guide beschreibt Anforderungen an das Primärsystem zur Umsetzung der dgMP-Prozessabläufe.

3.11 Dokumentenmanagement

Für das Dokumentenmanagement in der ePA für alle nutzt das PS eine Profilierung der IHE-Spezifikationen rund um das Kernprofil XDS.b (Cross-Enterprise Document Sharing).

Tabelle 9: Tab_ILF_ePA_Profilierung

Das Aktensystem setzt in DocumentEntry.hash eine Prüfsumme eines Dokumentes. Mithilfe dieser Prüfsumme kann ein PS eine Dublettenprüfung durchführen, um nicht unnötig Duplikate von Dokumenten in die ePA einzustellen oder Dokumente mehrfach herunterzuladen.

Das Aktensystem wirft einen Fehler mit dem Fehlercode XDSDuplicateDocument, wenn versucht wird, ein Dokument in die Akte eines Versicherten hochzuladen, dass es dort schon gibt. Das Aktensystem führt die Dublettenprüfung mithilfe der Prüfsumme durch.

Ordner können durch die Option "Folder Management" (XDS.b Document Source) verwendet werden. Durch die Assoziation eines Dokumentes zu einem dieser Ordner wird das Dokument dem Ordner der entsprechenden Dokumentenkategorie bzw. Dokumentensammlung zugeordnet. Nur für dynamische Dokumentensammlungen (pregnancy_childbirth) werden Ordner durch Primärsysteme erstellt, ansonsten werden Dokumente und Daten den Ordnern vom Aktensystem zugewiesen.

Die XDS-Option "Folder Management" ist nur für den geschilderten Verwendungszweck zugelassen; ein selbständiges Anlegen oder Bearbeiten von Ordnern und ihrer Metadaten ist nicht möglich. Das Entfernen von Dokumenten aus einem Ordner durch Löschen der entsprechenden Assoziation ist nicht vorgesehen, da dies die direkte Zuordnung gemäß einer Zugriffsunterbindungsregel verletzten könnte.

Wenn Dokumente gelöscht werden, werden dadurch auch Dokumente gelöscht, die mit ihnen über Assoziationen verbunden sind.

Weitere übergreifenden Einschränkungen von IHE ITI-Transaktionen sowie Festlegungen spezieller Umsetzungsvorgaben bzgl. einzelner Transaktionen sind in [gemSpec_Aktensystem_ePAfueralle] beschrieben.

Wenn im Rahmen der IHE Interface-Beschreibung der Begriff "Patient" verwendet wird, ist im Rahmen der vorliegenden Spezifikation darunter der Aktenkontoinhaber zu verstehen.

3.11.1 Dokumente einstellen [ITI-41]

Ein eingestelltes Dokument kann auch ein existierendes Dokument ersetzen. Dies erfolgt durch Verwendung der „Document Replacement“-Option (XDS.b Document Source). Dazu wird das gleiche Dokument (mit geändertem Inhalt und nebst ggf. geänderten DocumentEntry-Metadaten) erneut hochgeladen. Das neue Dokument erhält den Status „Approved“. Das alte Dokument geht in den Status „Deprecated“.  Beide Dokumente werden über eine „Replace“-Association miteinander verbunden, sodass nach dem Einstellen erkennbar ist, dass das neue Dokument das alte ersetzt. Lädt man erneut eine neue Fassung hoch, erhält man zwei Dokumente im Status "Deprecated" und das neueste im Status "Approved".

Alle alten Dokumente (Status "Deprecated") können nach wie vorgefunden und heruntergeladen werden. Einige Suchen erlauben das Filtern nach Status bzw. zeigen per Default auch nur Dokumente im Status „Approved“ an.
Eingestellt (im „Submission Set“) wird das neue Dokument inkl. DocumentEntry-Metadaten, ein Verweis auf das alte Dokument und die verbindende „Replace“-Association (urn:ihe:iti:2007:AssociationType:RPLC).

Das Ersetzen eines existierenden Dokuments mit der XDS-Option „Document Replacement“ eignet sich dafür, eine Änderung an einem bereits bestehenden Dokument abzubilden. Metadaten werden jedoch über Restricted Update Document Set geändert.

Neben dem "Replacement" gibt es auch die Möglichkeit, ein Dokument als "Addendum" eines bestehenden Dokuments zu kennzeichnen. Beide Dokumente werden über eine "Append"-Association ("urn:ihe:iti:2007:AssociationType:APND") miteinander verbunden, die zusammen mit dem "Addendum"-Dokument hochgeladen wird. Dieses Addendum kann z. B. ein vorläufiges Befunddokument sein, das sich auf ein bestehendes Bilddokument bezieht. Es können sogar weitere Dokumente angehängt werden (entweder an das Bild oder an den ersten Befund), z. B. ein Dokument mit dem endgültigen Befundbericht. IHE erlaubt es allerdings nur, aus einem Addendum-Dokument heraus auf ein einziges "Elterndokument" zu verweisen. Um im Beispiel zu bleiben, könnte ein  Befunddokument nicht per Addendum mit zwei Bilddokumenten verknüpft werden.

Im Gegensatz zum "Document Replacement" wird keines der beteiligten Dokumente durch die Verknüpfung als Addendum auf den Status "Deprecated" gesetzt.

3.11.1.1 Umsetzung

Die Aktivitäten des Anwendungsfalles Dokumente einstellen sind:

Vorbedingungen:

• Dokumente sind einer KVNR zugeordnet
• Das einzustellende Dokument sollte mit dem Versicherten besprochen sein
• gültige Befugnis

Auslöser:

• Nutzerinteraktion
• Automatische Trigger

Aktivitäten:

• Auswahl der Dokumente
• Ermittlung der Metadaten zu den Dokumenten
• Generierung inklusive Metadaten
• Validierung der Nachricht
• Versand der Nachricht
• Auswertung des Ergebnisses

Resultat:

• Die Antwort gibt Auskunft darüber, ob die Dokumente eingestellt werden konnten oder nicht.

3.11.1.2 Nutzung

Die Auswahl der Metadaten soll möglichst weitgehend automatisiert werden.

Dokumente werden statischen Ordnern automatisch am Aktensystem aufgrund der vergebenen Metadaten zugeordnet. Dokumente werden dynamischer Ordnern (pregnancy_childbirth) hingegen durch das PS zugeordnet. 

Das Kinderuntersuchungsheft wird in die ePA des Kindes eingestellt.

Der errechnete Entbindungstermin im dynamischen Ordner pregnancy_childbirth wird mit dem initial errechneten Wert befüllt. Eine spätere Änderung des Ordnernamens ist zur Identifizierung der Schwangerschaft nicht erforderlich, auch wenn zu einem späteren Zeitpunkt ein anderer Entbindungstermin errechnet werden sollte.

Die entryUUID des Ordners kann z. B. über die Suche FindFolders mit entsprechendem Filter auf Folder.codeList ermittelt werden.

Wenn für das Feld SubmissonSet.AuthorPerson keine Person als Einsteller angegeben werden kann, ist das Feld mit Werten zu befüllen, mit denen die einstellende Softwarekomponente beschrieben wird. Laut [gemSpec_Aktensystem_ePAfueralle#A_14762*] wird die Softwarekomponente eines Geräts als Nachname und ggf. als Vorname(n) eingetragen.
Beispiel: ^PHR-Gerät-XY^PHR-Software-XY 

Die Persistierung der DocumentEntry.entryUUID im PS zeigt an, dass ein Dokument bereits eingestellt wurde und ermöglicht ein Replace eines geänderten Dokumentes, so dass ein Dokument nicht unnötig in einer Akte dupliziert wird. Eine solche standardmäßige Dublettenprüfung führt dazu, dass veralte Dokumente, die inzwischen überholt sind, als solche erkennbar sind. Sie sind mittels RPLC in den Versionsbaum einzufügen.

Versicherte können am FdV einzelne Dokumente und Dokumentenkategorien verbergen. Dieses kann dazu führen, dass Dokumente, die ein Leistungserbringer erstellt hat, für ihn selbst nicht mehr sichtbar sind. Das Persistieren des selbst eingestellten Dokumentes und der dabei erzeugten DocumentEntry.entryUUID macht es überflüssig, ein Dokument erneut einzustellen, nur, weil es nicht sichtbar ist. Falls der Versicherte das Dokument selbst gelöscht hat, soll der Leistungserbringer das Dokument nur auf explizite Aufforderung des Versicherten erneut einstellen. Das kann erforderlich sein, wenn der Versicherte es aus Versehen gelöscht hat. 

Dokumente, die Leistungserbringer einstellen, werden unabhängig vom Inhalt des Dokumentes als LE-Dokumente (Kennzeichnung über entsprechende Auswahl aus SubmissionSet.AuthorRole, und dem konfigurierten XDSDocumentEntry.healthcareFacilityTypeCode) kategorisiert, um sie von Dokumenten zu unterscheiden, die vom Versicherten selbst (SubmissionSet. AuthorRole="102") oder von Kostenträgern (SubmissionSet.AuthorRole="105") eingestellt wurden. Das heißt u. a., dass die Codes für Versicherte und Kostenträger ("102" und "105") dabei explizit nicht verwendet werden dürfen.

Die im ePA-Aktensystem erlaubten Formate sind durch A_25233 definiert.

Die Unterstützung für RPLC (replace) durch das Aktensystem ermöglicht, dass Dokumente durch eine neue Version des gleichen Dokuments ersetzt werden können. Das alte Dokument wechselt in den Status (DocumentEntry.availabilityStatus) "Deprecated" und wird mit dem neuen Dokument (Status "Approved") über eine "RPLC"-Association verbunden. Der AvailabilityStatus wird beim Dokumente einstellen ausschließlich vom Aktensystem automatisiert gesetzt bzw. geändert. 

3.11.2 Dokumente suchen [ITI-18]

Das Suchen nach Dokumenten erfolgt auf den Metadaten des Dokumentes, nicht auf den Inhalten des Dokumentes selbst. Die Suche kann zur Anzeige der Metadaten eines Dokumentes verwendet werden. 

Die Suche erfolgt ausschließlich auf Dokumenten, die für den Leistungserbringer sichtbar sind. 

Zur Suche nach Dokumenten sind u. a. folgende Filterfunktionen möglich:

• kein Filter
• Zeitintervall
• Dokumentenkategorie
• Dokumentenquelle (z. B. eine bestimmte Facharztgruppe)
• SubmissionSet-Identifier
• Submission-Zeit.

Für die Suche über Parameter:

• $XDSDocumentEntryTitle und
• $XDSDocumentEntryAuthorInstitution
• XDSDocumentEntry.comment

ist eine Ähnlichkeitssuche möglich, wie auch beim Parameter $XDSDocumentEntryAuthorPerson. Diese Ähnlichkeitssuche beruht auf dem SQL-Suchmuster LIKE, in dem mit einer Kombination aus dem SQL-Wildcard-Zeichen "%" und dem SQL-Platzhalterzeichen "_" Suchanfragen zusammengestellt werden, in denen nach einer Kombination aus bestimmten und beliebigen Zeichen gesucht wird.

Zudem können bei Verwendung der folgenden Suchparameter auch auf diese Suchparameter bezogen unscharfe, d. h. leicht abweichende, Suchergebnisse zurückgegeben werden:

• $XDSDocumentEntryTitle
• $XDSDocumentEntryAuthorInstitution
• $XDSDocumentEntryAuthorPerson
• $XDSSubmissionSetAuthorPerson
• XDSDocumentEntry.comment.

Die Umsetzung der Suche von Dokumenten über Metadaten ist in vielfältiger Form möglich, insbesondere als Suchen mittels einer Suchmaske.

Je nachdem, ob returnType auf LeafClass oder ObjectRef gesetzt wird, enthält die Response der Suche eine Objektliste im Result (LeafClass) oder eine Liste von Objektidentifiern (ObjectRef), s. [ITI-18#3.18.4.1.2.6].

3.11.2.1 Umsetzung

Die Aktivitäten des Anwendungsfalles Dokumente suchen sind:

Vorbedingungen:

• Ausgewählte KVNR
• gültige Befugnis

Auslöser:

• Nutzerinteraktion
• anlassbezogene Suche

Aktivitäten:

• Auswahl der Suchkriterien
• Generierung und Versand der Nachricht
• (optional) Filterung der Ergebnisse
• (optional) Sortierung des Ergebnisses

Resultat:

• Ergebnismeldung
• Dokumenten-UUID-Liste (XDSDocumentEntry_uniqueId)

3.11.2.2 Nutzung

Das Ergebnis der Suche in der Dokumenten-Registry sind Mengen eindeutiger Dokumenten-Identifier als UUID.

Tabelle 10: Tab_ILF_ePA_Fehlerbehandlung_Dokumente_Suchen

Durch die Einführung der Folder für jede Kategorie, also auch für solche der Kategorie patient, kann eine Suche mittels FindFolders auf Dokumentenkategorie erfolgen, die in Folder.Codelist angegeben sind. 

Die Metadaten der StoredQuery-Response sind geeignet, dem Nutzer weitere Filtermöglichkeiten zu geben, um die Ergebnismenge der Dokumenten-Anzeige einzuschränken. 

3.11.3 Dokumente laden [ITI-43]

Falls das anzuzeigende Dokument nicht schon mit seiner Dokumenten-ID bekannt ist, und eine Liste vorliegt, SOLL das PS die Auswahl des anzuzeigenden Dokumentes unter Auswertung von Metadaten ermöglichen.

3.11.3.1 Umsetzung

Die Aktivitäten des Anwendungsfalles Dokumente laden sind:

Vorbedingungen:

• Auswahl KVNR
• gültige Befugnis
• XDSDocumentEntry_uniqueId (DocumentEntry.uniqueId) bekannt

Auslöser:

• Fachliches Erfordernis
• Nutzerinteraktion

Aktivitäten:

• Auswahl XDSDocumentEntry_uniqueId
• Generierung und Versand der Nachricht
• Dekodierung des empfangenen Dokumentes (Base64 oder XOP)
• Anzeige des angefragten Dokumentes oder der Dokumentenmenge
• Auswertung des Ergebnisses

Resultat:

• Das angefragte Dokument oder die Dokumentenmenge liegt vor und kann in das PS übernommen werden

3.11.3.2 Nutzung

Die RetrieveDocumentSet Request Message muss mindestens eine DocumentUniqueID enthalten.

Das PS soll die DocumentEntry.UniqueID  gemäß [ITI-TF-3#4.2.3.2.26] nicht nur für das Laden von Dokumenten, sondern auch in der Primärakte verwenden. 

Ein http-Request im MTOM/XOP - Format (type="application/xop+xml") führt zu einer MTOM-Response.

Im Primärsystem sollte eine Absicherung gegen mögliche Schadsoftware in heruntergeladenen Dokumenten erfolgen.

Die RetrieveDocumentSet Request Message enthält je Dokument, welches geladen werden soll, die DocumentUniqueID und die RepositoryUniqueID (Metadaten des DocumentEntry). Zu beachten ist, dass sich die Semantik von RepositoryUniqueID im Vergleich zu epa 2.x geändert hat. In epa3.x wird das Repository, in welches das Dokument ursprünglich eingestellt wurde und nicht mehr das Repository, aus dem das Dokument abgerufen wird, adressiert. Das heißt, Dokumente einer Akte eines Versicherten können in Folge von Aktenumzügen in den Metadaten unterschiedliche RepositoryUniqueID haben. Der Wert kann deshalb nicht je Versicherten persistiert, sondern muss vor dem Herunterladen ermittelt werden. 

Geeignet wären insbesondere folgende Maßnahmen:

• Anzeigesoftware in einer Sandbox oder einem Modus betreiben, das die Umgebung der LEI vor einer potentiellen Gefährdung durch das Dokument schützt;
• vor der Anzeige eines Dokumentes Sonder-und Meta-Zeichen im Dokument für die jeweilige Anzeigesoftware mit einer geeigneten Escape-Syntax entschärfen (als Schutz z. B. gegen Injection-Angriffe aus [OWASP Top 10#A1]).
• den Nutzer darüber informieren, dass Dokumente Schadsoftware enthalten können und welche Maßnahmen der Nutzer zum Selbstschutz vornehmen kann.

Eine Beispielimplementierung eines Antiviren-Gateways findet sich im Fachportal der gematik. 

Wenn DiGA-Daten als PDF bereitgestellt werden, ist eine Anzeige der DiGA-Daten mittels eines PDF-Viewers möglich.

3.11.4 Dokumente löschen [ITI-62]

Der Leistungserbringer löscht Dokumente und dynamische Ordner in Absprache mit dem Versicherten.

3.11.4.1 Umsetzung

Die Aktivitäten des Anwendungsfalles Dokumente löschen sind:

Vorbedingung:

• Auswahl KVNR
• gültige Befugnis
• Absprache zwischen LE und Versicherten zur Löschung liegt vor
• Die zu löschenden Dokumente innerhalb einer Document-Request-Liste anhand ihrer XDSDocumentEntry.entryUUID

Auslöser:

• Nutzerinteraktion

Aktivitäten:

• Auswahl des Dokumentes bzw. der Dokumente unter Verwendung der XDSDocumentEntry.entryUUID
• Sicherheitsabfrage
• Generierung und Versand der Nachricht
• Auswertung des Ergebnisses

Resultat:

• Im Erfolgsfall sollte im PS die UUID gelöscht werden, falls sie zuvor persistent gespeichert wurde.

3.11.4.2 Nutzung

Das Löschen von Ordnern ist nur in einem eingeschränkten Umfang möglich. Das Aktensystem akzeptiert den Lösch-Request nur dann, wenn er auf einen dynamischen Folder abzielt, und wenn dieser Request nicht die im Folder enthaltenen Dokumente, SubmissionSets und Assoziationen enthält. Diese werden vielmehr vom Aktensystem selbst zusammen mit dem Folder Object gelöscht. Falls im dynamischen Ordner, der gelöscht werden soll, Dokumente vorliegen, muss daher zuvor eine Absprache mit dem Versicherten stattgefunden haben, da eine Löschung von Dokumenten immer in Absprache mit dem Versicherten stattfinden soll.

3.11.5 Aktualisieren von Metadaten [ITI-92]

Bei Dokumenten, bei denen Metadaten fehlen oder falsch sind, sollte das Primärsystem die korrekten Metadaten ändern bzw. korrigieren können. Dazu dient die Schnittstelle updateDocumentSet. In der Operation können sowohl eigene, als auch durch Dritte eingestellte Dokument-Metadaten bearbeitet werden, soweit es die Berechtigung des Nutzers erlaubt. Ein Herunterladen des Dokumentes, auf die sich die Metadaten beziehen, ist zum Editieren der Metadaten nicht erforderlich.

3.11.5.1 Umsetzung

Die Aktivitäten des Anwendungsfalles Aktualisieren von Metadaten sind:

Vorbedingungen:

• Auswahl KVNR
• gültige Befugnis
• Notwendigkeit, die Metadaten zu aktualisieren, liegt vor
• Die zu aktualisierenden Dokumente innerhalb einer Document-Request-Liste liegen vor anhand ihrer XDSDocumentEntry.entryUUID

Auslöser:

• Nutzerinteraktion

Aktivitäten:

• Auswahl des Dokumentes bzw. der Dokumente unter Verwendung der XDSDocumentEntry.entryUUID
• Generierung und Versand der Nachricht

Resultat:

• Im Erfolgsfall sollten auch im PS die Metadaten in der aktuellen Form gespeichert sein, falls sie zuvor persistent gespeichert wurden.

3.11.5.2 Nutzung

3.11.6 Artefakte

3.11.6.1 Namensräume

Tabelle 11: Tab_ILF_ePA_Namensräume

3.11.6.2 WSDLs und Schemata

Die normativen WSDLs und Schemata der ePA werden von der gematik zur Verfügung gestellt.

Für den Fall, dass es sich dabei um IHE-Artefakte handelt, gilt, dass diese Artefakte denjenigen entsprechen, die von IHE im entsprechenden Zeitraum bereitstellt. 

3.11.7 Testunterstützung

Zur Unterstützung von Tests im Zusammenhang mit den oben geschilderten Funktionsmerkmalen dürfen keine Echtdaten verwendet werden.

3.12 Informationsmodell

3.12.1 Metadaten

Einstellen von Dokumenten

Auf die Auszeichnung von in die ePA einzustellenden Dokumenten durch Metadaten kann das PS spezifische Einschränkungen und Vorbelegungen umsetzen:

• abhängig vom Nutzungskontext bzw. Anwendungsfall;
• gemäß sektorspezifischen Besonderheiten;
• je nach LE-spezifischen Besonderheiten und Konfigurationen, etwa in Zusammenhang mit der Selbstauskunft der Leistungserbringer.

Wenn Leistungserbringer Dokumente einstellen, bei denen sie nicht selbst der Autor sind, kann es passieren, dass die Telematik-ID des ursprünglichen Dokumenten-Autors nicht in DocumentEntry.author.authorInstitution angegeben wurde. Ein Herunterladen und eine Weiterverarbeitung solcher Dokumente soll möglich sein, auch wenn eine strenge Validierung des Metadatums aufgrund der fehlenden Telematik-ID nicht erfolgreich sein sollte.

Auslesen von Dokumenten

Insoweit Metadaten zur Anzeige gebracht werden, muss das PS die Anzeigenamen der Metadaten in eine lesbare Form bringen. Die Anzeige von Metadaten ist insbesondere zu dem Zwecke des Filterns großer Ergebnismengen erforderlich sowie zur Auswahl der gegebenenfalls herunterzuladenden Dokumente. Zum Filtern über Dokumentenmengen kann es nützlich sein, nicht nur Metadaten der DocumentEntries, sondern auch Metadaten der SubmissionSets anzuzeigen, um ein Ausblenden bestimmter Suchergebnisse zu ermöglichen.

3.12.2 Strukturierte Dokumente

In der ePA können strukturierte Dokumente verarbeitet werden. Strukturierte Dokumente und deren Zuordnung zu Sammlung und Sammlungstypen sind in [gemSpec_IG_ePA] und in [gemSpec_Aktensystem_ePAfueralle] beschrieben.

3.12.2.1 Medizinische Informationsobjekte

Für strukturierte Dokumente gelten die  Anwendungsfälle zum Laden, Suchen, Einstellen und Löschen von Dokumenten. Besteht der Bedarf nach mehreren Sammlungen des gleichen Typs in den dynamischen Ordnern pregnancy_childbirth, so wird jeweils ein dynamischer Ordner (je Schwangerschaft) angelegt. Beim erstmaligen Erstellen einer dynamischen Sammlung muss vom Primärsystem für diese Sammlung ein Ordner angelegt werden.

Mit der ePA für alle wird das Kinderuntersuchungsheft ausschließlich in die ePA des Kindes in den XDSFolder.codeList="child" eingestellt. Falls schon ein Kindersuchungsheft in der 2.6-Akte vorlag, wird die überholte Aktenzuordnung XDSFolder.codeList="childsrecord" nicht durch die Aktenmigration alleine korrigiert, sondern verlangt Aktivitäten des PS.

• Falls das Kinderuntersuchungsheft in der Akte eines Elternteils vorliegt, ist es von dort in die Kinderakte zu überführen;
• Falls das Kinderuntersuchungsheft schon in der Akte des Kindes vorliegt, aber in der falschen Kategorie (XDSFolder.codeList="childsrecord") ist es herunterzuladen, in der Akte zu löschen und erneut hochzuladen. Dabei wird es automatisch in die richtige Kategorie (XDSFolder.codeList="child") eingeordnet.

3.12.2.2 NFD, DPE und eMP

Ein Notfalldatensatz (NFD) oder ein Datensatz persönliche Erklärungen (DPE), der in die ePA eingestellt werden soll, wird vom PS entweder zuvor gemäß [gemILF_PS_NFDM] von der eGK gelesen, vgl. auch [gemSpec_InfoNFDM], oder er liegt bereits im PS vor. Analog wird der elektronischen Medikationsplan (eMP) gemäß [gemILF_PS_AMTS] und [gemSpec_Info_AMTS] von der eGK gelesen, falls er nicht schon im PS vorliegt, in der ePA verarbeitet. Die Einwilligung in die Nutzung des eMP wird nicht in der ePA gespeichert.

NFD, DPE und eMP werden im Base64-Format gespeichert. Die Datensätze werden so, wie sie aus der eGK ausgelesen werden, in das Element <xds:Document> eingefügt, welches ein Attribut @id enthält das mit dem rim:ExtrinsicObject/@id übereinstimmt.

3.12.2.3 Elektronischer Arztbrief im DischargeLetterContainer-Format

Falls ein eArztbrief im Format als HL7 CDA R2-Dokument vorliegt, ohne dass der eArztbrief eine PDF-Darstellung hat, soll er direkt im Format  mimeType = application/xml im XDS Document Service der ePA verwaltet werden. Ein eArztbrief, der als reines PDF-Dokument in die ePA eingestellt werden soll, soll direkt im Format  mimeType = application/pdf  in den XDS Document Service der ePA verwaltet werden.

Der eArztbrief DischargeLetterContainer-Format hat gemäß [Richtlinie eArztbrief] die verpflichtenden Teile PDF-Dokument und CDA-XML (nur der CDA-Header ist verpflichtend).  Um diesen eArztbrief in die ePA einzustellen und wieder auszulesen, wird auf das XML-Containerformat DischargeLetterContainer (s. Abb_ILF_ePA_eAB-XML-Containerformat) nach [PHR_Common.xsd] zurückgegriffen. 

Abbildung 14: Abb_ILF_ePA_eAB-XML-Containerformat

Die folgende XML-Struktur für einen Container mit eArztbrief im DischargeLetterContainer-Format wird festgelegt:

Tabelle 13: XML-Struktur für Arztbrief im DischargeLetterContainer-Format

3.12.3 Selbstauskunft

Die Telematik-ID der Leistungserbringerinstitution muss in vielen Nachrichten angegeben werden. Sie sollte aus der SMC-B ausgelesen werden und im PS persistent gespeichert werden.

Die Telematik-ID ist von den Kartenherausgebern der SM-B festgelegt und immer im Attribut registrationNumber im Admission-Element der Extension der SMC-B-Zertifikate (C.HCI.AUT, C.HCI.ENC,C.HCI.OSIG) eingetragen. Wenn nicht explizit vom Antragsteller eine neue Telematik-ID angefordert wird, wird bei Ausgabe von Folge- und Ersatzkarten die bisherige Telematik-ID wiederverwendet. Eine generelle Vorgehensweise kann die gematik hierfür nicht geben, da die Personalisierung der SMC-B sektoral unterschiedlich ist (siehe [gemSpec_PKI#Anhang A]). Zum Auslesen der Zertifikate kann die Operation ReadCardCertificate gemäß [gemSpec_Kon#4.1.9.5.2] verwendet werden (oder aber im Falle des CS des KTR ReadCertificate). Die Telematik-ID ist in allen Zertifikaten in der Admissionstruktur als registrationNumber im ASN.1-Format gespeichert. 

3.12.4 Signieren von Dokumenten

Ob eine Signatur und welche Art der Signatur (QES oder nonQES) erforderlich ist, wird durch den Anwendungsfall für das jeweilige Dokumentenformat festgelegt und außerhalb dieser Spezifikation veröffentlicht.

Im Folgenden wird das Vorgehen für den Fall, dass ein Medizinisches Informationsobjekt signiert wird, beschrieben.

Im Primärsystem liegt ein strukturiertes Dokumentenformat der ePA als FHIR-XML-Darstellung oder FHIR-JSON-Darstellung vor. Im Sinne der Signaturerstellung wird dies als Data to be Signed (DTBS) bezeichnet.

Vor dem Einstellen des Dokuments wird dieses elektronisch signiert (QES oder nonQES). Das Primärsystem nutzt dafür die Schnittstelle des Konnektors und dieser den HBA für QES bzw. SM-B für nonQES des einstellenden LE. 

Bei der Signaturerstellung ist folgender Ablauf im Primärsystem erforderlich:

1. Das Primärsystem stellt fachliche DTBS zusammen.
2. Das Primärsystem serialisiert die Daten zu einer Data to be Signed Representation (DTBSR).
3. Das Primärsystem übermittelt DTBSR an den Konnektor zur Signaturerstellung (Aufruf der Operation SignDocument gemäß [gemILF_PS]).
4. Der Konnektor erzeugt eine CADES Enveloping Signatur.
5. Das signierte Objekt enthält sowohl die Signatur als auch die ursprünglichen DTBSR bitgenau und in einem binären ASN.1 Format (PKCS#7).
6. Der Konnektor übermittelt das signierte Objekt an das Primärsystem.
7. Das Primärsystem stellt über das Funktionsmerkmal "Dokumente einstellen" das signierte Objekt als DocumentEntry im ePA-Aktensystem im PKCS#7-Format ein.

Bei der Signaturprüfung ist folgender Ablauf im Primärsystem erforderlich:

1. Das Primärsystem lädt Dokument aus dem ePA-Aktensystem.
2. Das Primärsystem erkennt, dass es sich dabei um ein medizinisches Objekt im Format im PKCS#7 handelt (DocumentEntry.mimetype = application/pkcs7-mime).
3. Das Primärsystem übermittelt das signierte Objekt an den Konnektor zur Signaturprüfung (Aufruf der Operation VerifyDocument [gemILF_PS]).
4. Der Konnektor prüft die Signatur.
5. Der Konnektor übermittelt das Prüfergebnis an das Primärsystem.
6. Bei erfolgreicher Signaturprüfung verarbeitet das Primärsystem die fachlichen Daten entsprechend dem formatCode weiter. Hierzu parst das Primärsystem die binäre ASN.1-Struktur der Daten im PKCS#7-Format und trennt die Fachdaten von den restlichen Daten ab.

4 Spezielle Nutzungsumgebungen

Nutzerumgebungen werden grundlegend durch [gemSpec_Aktensystem_ePAfueralle#A_19303-*] in ihren Zugriffsrechten auf Dokumente des Versicherten in der ePA für alle eingeschränkt.

4.1 Funktionsumfang Clientsystem des Kostenträgers

Der Kostenträger stellt für Versicherte Dokumente in ihr Aktenkonto ein. Das können sein:

• Abrechnungsdaten,
  
• digitalisierte Papierdokumente von Versicherten ohne FdV.

Somit muss das Clientsystem des Kostenträgers das Einstellen von Dokumente des XDS Document Service umsetzen.

Des Weiteren übernimmt das Clientsystem des Kostenträgers Aufgaben im Rahmen eines betreiberübergreifenden Aktenumzugs. Damit unterscheidet sich der Funktionsumfang des Clientsystems des Kostenträgers wesentlich vom Funktionsumfang des Primärsystems einer Leistungserbringerinstitution. Der Kostenträger wird dabei durch die SMC-B des Kostenträgers repräsentiert. Der Kostenträger ist grundsätzlich befugt, schreibend auf die Akten der Versicherten zuzugreifen, das individuelle Befugen durch Lesen der Versichertenkarte entfällt. Ein lesender Zugriff ist nicht möglich.

Im Folgenden wird der spezifische Funktionsumfang beschrieben und die Anforderungen genannt, die sich nur auf das Primärsystem des Kostenträgers beziehen.

4.1.1 Einstellen von Daten durch Kostenträger

Aufgrund der Einordnungsregeln in A_19388-* werden eingescannte Dokumente der Kategorie bzw. dem Ordner patient(Versichertendokumente) zugeordnet.

4.1.2 Ablauf eines betreiberübergreifenden Aktenumzugs (informativ)

Abbildung 15: Ablauf eines betreiberübergreifenden Aktenumzugs

Anstoßen eines Aktentransfers
Der Kostenträger (neu) lässt im Aktensystem eine neue Akte anlegen (1). Das Aktensystem fragt am Information Service der anderen Aktensysteme ab, ob für diese KVNR schon eine Akte existiert (2). Sollte dies der Fall sein, wird der Anbieterwechsel angestoßen.

Dafür informiert der Information Service des alten Aktensystems den Kostenträger (alt) über den Wechsel (3). Der Kostenträger (alt) meldet sich an der ePA an, startet die Erstellung eines Export-Pakets im Health Record Relocation Service (4). Der Service ändert den Status der Akte auf SUSPENDED und baut das Export-Paket. Das Export-Paket wird mit dem Verschlüsselungszertifikat für die VAU des neuen Betreibers verschlüsselt (5).

Das verschlüsselte Export-Paket wird nun auf dem Download-Punkt des alten Aktensystems abgelegt und die entsprechende Download-URL dem Kostenträger (alt) bekannt gemacht. Dieser übermittelt die Download-URL an den Information Service seines Aktensystems, welches diese an den Information Service des neuen Aktensystems übergibt. Dieses leitet die URL mit der Information, dass ein Anbieterwechsel ansteht, an den Kostenträger (neu) weiter (6).

Import einer Akte
Der Kostenträger (neu) meldet sich an der ePA an und startet am Health Record Relocation Service den Import der Akte (7). Nachdem der Health Record Relocation Service das Export-Paket abgerufen (8) und entschlüsselt hat, werden die Daten in die entsprechenden Services importiert und die Akte ist beim neuen Anbieter nutzbar und deren Status wechselt auf ACTIVATED (9).

4.1.3 Erstellung des Exportpakets auf Seiten des alten Kostenträgers

Der Information Service des Aktensystems informiert das Clientsystem des Kostenträgers über den anstehenden Aktenumzug und gibt dabei die KVNR des umzuziehenden Aktenkontos und eine RequestID mit. Das Format dieser Information wird nicht von der gematik vorgegeben und ist betreiberspezifisch. Die RequestID wird durch das alte Aktensystem bei der Anlage eines Exportpakets erzeugt und identifiziert die Abfolge der Aufrufe und Antworten im Rahmen eines Aktenumzugs als zusammengehörig.

Getriggert durch diese Information loggt sich das Clientsystem des Kostenträges in das Aktenkonto ein und startet die Herstellung des Exportpakets unter Verwendung des Verschlüsselungszertifikats.

Dazu nutzt es diese Operation des Health Record Relocation Service des Aktensystems:

Tabelle 16: I_Health_Record_Relocation_Service::startPackageCreation

Die startPackageCreation-Response enthält die Download-URL des Export-Pakets. Diese Download-URL muss das Clientsystem an den Information Service des Aktensystems senden. Das Format dieser Nachricht wird nicht von der gematik vorgegeben und ist betreiberspezifisch.

4.1.4 Einspielen des Exportpakets auf Seiten des neuen Kostenträgers

Der Information Service des neuen Aktensystems informiert das Clientsystem des neuen Kostenträgers, dass der Import des Exportpakets beginnen kann und gibt dabei die Download-URL mit. Das Format dieser Information wird nicht von der gematik vorgegeben und ist betreiberspezifisch.

Getriggert durch diese Information loggt sich das Clientsystem des Kostenträges in das Aktenkonto ein und startet den Import des Exportpakets.

Dazu nutzt es diese Operation des Health Record Relocation Service des Aktensystems:

Tabelle 17: I_Health_Record_Relocation_Service::startPackageImport

4.1.5 Verhalten bei Scheitern des Imports

Falls der Import des Exportpakets im neuen Aktensystem scheitert, erhält das Clientsystem des alten Kostenträgers diese Information vom Information Service des alten Aktensystems.

Das Clientsystem muss daraufhin den Health Record Relocation Service auffordern, den Status des Aktenkontos von SUSPENDED zurück auf ACTIVATED zu setzen.

Das Format dieser Aktionen wird nicht von der gematik vorgegeben und ist betreiberspezifisch.

4.1.6 Verwaltung von E-Mail-Adressen

Ein Kostenträger kann die E-Mail-Adressen der Versicherten, die bei diesem Kostenträger versichert sind, bei Bedarf anpassen. Im ePA-Aktensystem wird die Verwaltung der E-Mail-Adressen im Email Management Service realisiert. Ist nur eine E-Mail-Adresse für den Nutzer hinterlegt, kann diese nicht gelöscht werden. Das Ändern einer E-Mail-Adresse wird realisiert durch das Einstellen einer neuen und Löschen der alten E-Mail-Adresse. Der Kostenträger stellt sicher, dass eine neu hinterlegte E-Mail-Adresse zuvor validiert wurde.

Folgende Anwendungsfälle werden ermöglicht:

• alle für den beim Kostenträger Versicherten hinterlegten E-Mail-Adressen abrufen
• neue E-Mail-Adresse für den beim Kostenträger Versicherten hinterlegen
• E-Mail-Adresse für den beim Kostenträger Versicherten löschen

4.2 Funktionsumfang Clientsystem der Ombudsstelle

Die vom Kostenträger eingerichtete Ombudsstelle ermöglicht es Versicherten, die über kein FdV verfügen, sonst nur über das FdV nutzbare Funktionalitäten ihres Aktenkontos zu nutzen. Das sind:

• für spezifische LEI das Erstellen einer Befugnis ausschließen und dieses wieder rückgängig machen,
• im Rahmen des Medikationsprozesses:
• • Widerspruch einlegen gegen die Teilnahme am digitalen Medikationsprozess (medication) und die Rücknahme dieses Widerspruchs,
    
  • Widerspruch einlegen gegen das Einstellen der Medikationsdaten durch den E-Rezept-Fachdienst und die Rücknahme dieses Widerspruchs,
  • Widerspruch einlegen gegen die Übermittlung von pseudonymisierten medizinischen Daten an das Forschungsdatenzentrum Gesundheit (Sekundärdaten) und die Rücknahme dieses Widerspruchs,
  • Widersprüche zur Nutzung von Sekundärdaten
• Protokolldaten aus dem Aktenkonto herunterladen.

Diese Funktionen werden aus dem Clientsystem der Ombudsstelle heraus getriggert, dessen Funktionsumfang sich damit wesentlich vom Funktionsumfang des Primärsystems einer Leistungserbringerinstitution unterscheidet. Die Ombudsstelle wird dabei durch die SMC-B der Ombudsstelle repräsentiert. Die Ombudsstelle ist grundsätzlich befugt, auf die Akten der Versicherten zuzugreifen, das individuelle Befugen durch Lesen der Versichertenkarte entfällt.

Im Folgenden wird der spezifische Funktionsumfang beschrieben und die Anforderungen genannt, die sich nur auf das Clientsystem der Ombudsstelle beziehen.

Zum Funktionsumfang des Clientsystems der Ombudsstelle gehört die Verarbeitung von Dokumenten nicht. Somit muss der XDS Document Service nicht umgesetzt werden.

4.2.1 Spezifische LEI für die Nutzung eines Aktenkontos sperren

Um für einen Versicherten eine bestimmte LEI für den Zugriff auf das Aktenkonto zu sperren, muss das Clientsystem der Ombudsstelle zunächst die Telematik-ID, den Displaynamen und die ProfessionID der zu sperrenden LEI ermitteln. Dazu sind die Suchmöglichkeiten des VZD-FHIR-Directory der TI zu nutzen.

Zur Authentisierung am VZD-FHIR-Directory nutzt ein Clientsystem der Ombudstelle ein search-access_token, welches das Clientsystem der Ombudstelle am ePA-Aktensystem anfragt. Dies erfolgt durch Aufruf der Operation getFHIRVZDtoken gemäß [I_Authorization_Service.yaml].

Informationen zu Leistungserbringerinstitutionen sind im Verzeichnisdienst FHIR-Directory (VZD-FHIR-Directory) der TI-Plattform hinterlegt. Der Nutzer kann mit verschiedenen Kriterien nach Leistungserbringerinstitutionen im VZD-FHIR-Directory suchen und Informationen abrufen. Das Informationsmodell des Verzeichnisdienstes ist in [gemSpec_VZD_FHIR_Directory#4.1.1 Datenmodell] beschrieben.

Die Suche nach LEI erfolgt primär über den Namen oder Institutionsnamen, aber auch über zusätzliche Informationen wie Adressen, Fachgebiet oder Institutionstyp.

Für die Umsetzung der Suche siehe [gemSpec_ePA_FdV#6.2.3.2].

Für die Sperrung nutzt das Clientsystem der Ombudsstelle folgende Operation:

Tabelle 18: I_Entitlement_Management::setBlockedUserPolicyAssignment

Um eine Sperrung aufzuheben, benutzt das Clientsystem der Ombudsstelle folgende Operation:

Tabelle 19: I_Entitlement_Management::deleteBlockedUserPolicyAssignment

Um alle gesperrten LEI zu ermitteln, nutzt das Clientsystem folgende Operation:

Tabelle 20: I_Entitlement_Management::getBlockedUserPolicyAssignment

4.2.2 Widersprüche

Das Clientsystem der Ombudsstelle nutzt das Consent Decision Management des Aktensystems, um für einen Versicherten Widersprüche zu widerspruchsfähigen Funktionen der ePA einzustellen oder diese zu widerrufen.

Um den Zustand eines Widerspruchs festzustellen, benutzt das Clientsystem folgende Operation:

Tabelle 21: I_Consent_Decision_Management::getConsentDecision

4.2.2.1 Widersprüche zum Medikationsprozess einstellen oder widerrufen

Das Clientsystem der Ombudsstelle nutzt das Consent Decision Management des Aktensystems, um für einen Versicherten Einsprüche gegen im Rahmen des Medikationsprozesses einzustellen oder diese zu widerrufen.

Es gibt zwei verschiedene Widersprüche:

Tabelle 22: Widersprüche im Rahmen des Medikationsprozesses

Es wird folgende Operation genutzt:

Tabelle 23: I_Consent_Decision_Management::updateConsentDecision

4.2.2.2 Widersprüche zur Sekundärdatennutzung durch das FDZ einstellen oder widerrufen

Das Clientsystem der Ombudsstelle nutzt das Consent Decision Management des Aktensystems, um für einen Versicherten einen Widerspruch gegen die Sekundärdatennutzung durch das Forschungsdatenzentrum Gesundheit (FDZ) und Widersprüche gegen die Verwendung dieser Daten für bestimmte Sekundärnutzungszwecke einzustellen oder diese zu widerrufen.

Es gibt den grundsätzlichen Widerspruch gegen die Sekundärdatennutzung durch das FDZ:

Tabelle 24: Widerspruch Sekundärdatennutzung durch das FDZ

Tabelle 25: I_Consent_Decision_Management::updateConsentDecision

Ein Versicherter kann über die Ombudstelle die einzelnen Sekundärnutzungszwecke zur Sekundärdatennutzung erteilen bzw. widerrufen. Das Management der Sekundärnutzungszwecke kann nur erfolgen, wenn kein Widerspruch gegen die Sekundärdatennutzung erteilt wurde.

Widersprüche zu folgenden Sekundärnutzungszwecken gemäß §303e SGB V Absatz 2 können erteilt oder widerrufen werden:

Tabelle 26: Sekundärnutzungszwecke

Tabelle 27: I_Consent_Decision_Management::updateDataUsagePurposes

Um den Zustand der Widersprüche zu Sekundärnutzungszwecken festzustellen, benutzt das Clientsystem folgende Operation:

Tabelle 28: I_Consent_Decision_Management::getDataUsagePurposes

4.2.3 Protokolldaten dem Versicherten zur Verfügung stellen

Versicherte ohne ePA-FdV können bei ihrer zuständigen Ombudsstelle beantragen, die Protokolldaten zur Verfügung gestellt zu bekommen. Für den Abruf der Protokolldaten aus dem Aktenkonto des Versicherten nutzt das Clientsystem der Ombudsstelle die Schnittstellen des FHIR Implementation Guide für den Audit Event Service [IG_Audit_Event_Service].

Die Anfrage des Client-Systems enthält eine FHIR-Suche, bei der über verschiedene Suchparameter das Suchergebnis eingeschränkt wird. Die Response enthält ein Bundle mit den Suchergebnissen der passenden Audit Events. Alternativ können die Protokolldaten in gerenderter Form als PDF/A Dokument abgerufen werden.

Es werden folgende Operationen genutzt:

Tabelle 29: Schnittstellen IG_Audit_Event_Service

4.3 Funktionsumfang Clientsystem DiGA

Das Clientsystem eines DiGA-Herstellers kann DiGA-Daten in die ePA einstellen und aktualisieren. Für jede mit einer individuellen Telematik-ID ausgestatteten DiGA legt dazu das Aktensystem einen DiGA-individuellen dynamischen Ordner an. Die Telematik-ID im Folder-Title identifiziert die DiGA, deren Daten in einem MIO im Folder des Versicherten abgelegt sind.

4.3.1 Einstellen von DiGA-Daten

5 Ergänzende Funktionalitäten

5.1 Betriebs- und Performancedaten

Das PS versendet Messdaten zur Userexperience (UX-Messdaten) der in Tab_UX_KPI_Messung_ePA_PS aufgeführten erfolgreich abgeschlossenen Anwendungsfälle an das Aktensystem, bei dem ein Aktenzugriff erfolgte.

Tabelle 30: I_Information_Service::setUserExperienceResult

Hinweis: "Im Hintergrund" bedeutet, dass die Übermittlung einerseits automatisch (ohne Nutzerinteraktion) geschieht und andererseits für den Nutzer auch keine "Wartezeit" entsteht.

5.2 Übertragungsprotokolle speichern

Das PS benutzt "Übertragungsprotokolle", um insbesondere die vorgeschriebenen Nachweispflichten von Leistungserbringern bei der Übertragung von Dokumenten zwischen PS und Aktensystem zu erfüllen, bei denen Patientendaten betroffen sind. Das Erstellen, Speichern, durchsuchbar Machen und Anzeigen der Übertragungsprotokolle zwischen PS und Aktensystem ist eine Aufgabe des PS, die nicht durch Komponenten der TI abgedeckt wird. Die Übertragungsprotokolle geben Auskunft über die Aktivität des PS bei der Nutzung der Akte, nicht aber über die Datenverarbeitung im Aktensystem des Versicherten.

Das Format der Speicherung und die Schnittstellen zu den Übertragungsprotokollen können herstellerspezifisch sein. Das PS kann zum Speichern Record Audit Event [ITI-20] verwenden, und darauf aufbauende Filtermechanismen zur Anzeige der Übertragungsprotokolle verwenden.

Details zur Nutzung der Übertragungsprotokolle obliegen dem PS.

5.3 Empfehlung zur Archivierung

Auf der Grundlage gesetzlicher Regelungen besteht eine Archivierungspflicht für die medizinischen Dokumente und für die Übertragungsprotokolle des Versicherten. Die Archivierung ist korrekt, verständlich, vollständig, nachvollziehbar und zeitnah durchzuführen. Je nach gesetzlicher Regelung sind damit dokumentierte Inhalte mit Aufbewahrungszeiträumen verbunden. 

Zur Aufbewahrungsfrist wird auf die jeweils aktuelle Fassung der „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ der BÄK und KBV, siehe [BÄK_KBV], und auf die einschlägigen gesetzlichen Normen 
verwiesen.  
Im Umfang der Archivierung sollen zusätzlich zu den aus der ePA heruntergeladenen und persistent im PS gespeicherten ePA-Dokumenten des Versicherten auch die zu diesen Dokumenten gehörigen Metadaten enthalten sein, die in [gemSpec_Aktensystem_ePAfuerAlle#Tabelle Nutzungsvorgaben für Metadatenattribute XDS.b] aufgelistet sind, soweit sie für den Verarbeitungskontext relevant sind.

6 UX Best practice für Primärsysteme

Dieses Kapitel gibt einen Einblick in die Möglichkeit, die ePA in Versorgungsprozesse nutzerfreundlich und möglichst aufwandsarm einzubinden. Ein Anspruch auf Vollständigkeit bei der Abdeckung möglicher Anwendungsfälle und Versorgungsprozesse besteht nicht.

6.1 Standardeinstellungen und Konfigurationsmöglichkeiten des Systems

Die Abbildungen und Beschreibungen in diesem Kapitel beschreiben Standardeinstellungen und stellen Varianten dar, wie die Anforderungen zur Bedienung der ePA umgesetzt werden können. Die hier beschriebenen Inhalte sind als Interpretationshilfe zu verstehen. Der Lösungsraum geht hierüber hinaus. Das Nähere zum Anforderungskatalog regeln die Leistungserbringerinstitution und der Primärsystemhersteller miteinander, bspw. in Form von Richtlinien in einem Krankenhaus.

6.1.1 Befugniserzeugung aus der Leistungserbringerumgebung

Das Primärsystem stellt eine User Session für die Leistungserbringerinstitution zum ePA-Aktensystem her. Innerhalb der User Session kann der Endanwender jederzeit im Laufe des Tages bei Bedarf auf jedes ePA-Aktenkonto zugreifen, für das er befugt ist. Um eine User Session aufzubauen, muss zunächst eine Verbindung zum VAU-Kanal aufgebaut werden und dann eine Nutzerauthentifizierung am IDP-Dienst erfolgen. Die User Session ermöglicht den Zugriff alle Aktenkonten des Aktensystems, in denen eine Befugnis für die LEI hinterlegt ist. (siehe Abbildung 15).

Abbildung 16: Voraussetzung für eine Befugniserzeugung

In allen Sektoren setzt die Benutzung der ePA voraus, dass ein technisch nachgewiesener Behandlungskontext vorliegt und eine Berechtigung erzeugt wird. Dies geschieht, indem die eGK eingelesen, eine Prüfziffer vom VSDM erzeugt und dieser HMAC signiert in das ePA-Aktensystem eingestellt wird. Das Einstellen des VSDM-Prüfnachweises muss innerhalb von 20 Minuten nach Erzeugung geschehen. Die Erstellung einer Befugnis kann automatisch im Hintergrund als implizite Operation durchgeführt werden. Um eine sofortige Benutzung der ePA in der Leistungserbringerinstitution zu gewährleisten, wird empfohlen, dass die Befugniserzeugung ohne Zeitverzug durchgeführt wird. 

Zusätzlich soll die Befugniserzeugung als eine aktive, explizit ansteuerbare Operation für den Nutzer des Primärsystems angeboten werden, bspw.:

• wenn das Einlesen der eGK zu einem nachträglichen Zeitpunkt geschieht.,
• wenn eine Befugnis in einer Einrichtung eines öffentlichen Gesundheitsdienstes bezogen wird (Opt-in) oder
• wenn eine Befugnis in einer Einrichtung der Arbeits- oder Betriebsmedizin bezogen wird (Opt-in).

Das ePA-Aktensystem liefert eine Antwortnachricht validTo zurück, womit das zeitliche Ende der Befugnis bekannt gemacht wird. Das Primärsysteme kann diese Information lokal vorhalten, um dem Nutzer zu einem späteren Zeitpunkt eine Auskunft darüber zu geben, für wie lang eine errechnete Zugriffsbefugnis noch Gültigkeit haben sollte. 

Dem Nutzer soll das Weiterarbeiten im Primärsystem ermöglicht werden. Erfolgsmeldungen können so in die Benutzeroberfläche integriert werden, dass sie keine Interaktion des Nutzers verlangen und den Nutzer nicht im weiteren Arbeitsprozess stören. Dem Nutzer werden nur bei Fehlermeldungen verständliche Hinweise angezeigt. Das Primärsystem soll dem Nutzer Konfigurationsmöglichkeiten zur Anzeige und zum Umgang mit Fehlermeldungen anbieten.

Zu den möglichen Fehlerkonstellationen gehören:

• Es ist kein Zugriff auf das ePA-Aktenkonto möglich, weil das ePA-Aktenkonto nicht (mehr) existiert.
• • Hinweis: Dies entspricht der REST-Fehlermeldung Health record does not exist – 404 – noHealthRecord.
• Es ist kein Zugriff auf das ePA-Aktenkonto möglich, weil sich das ePA-Aktenkonto im Umzug befindet. Bitte versuchen Sie es in 24h erneut.
• • Hinweis: Dies entspricht der REST-Fehlermeldung Health record is not in state ACTIVATED – 409 – statusMismatch.
• Es ist kein Zugriff auf das ePA-Aktenkonto möglich, weil keine Berechtigung vorliegt (die Einrichtung wurde vom Versicherten für den Zugriff ausgeschlossen).
• • Hinweis: Dies entspricht der REST-Fehlermeldung request claims actorId and actorIdis referenced by a Blocked User Policy assignment – 409 – requestMismatch.

6.1.2 Anzeige und Suche von Dokumenten eines ePA-Aktenkontos

Für den Nutzer des Primärsystems soll es möglich sein, das ePA-Aktenkonto eines Versicherten zur Anzeige zu bringen. Das bedeutet, dass mit einer Art ePA-Browser-Ansicht die Ergebnisse einer Such-Operation auf das ePA-Aktenkonto angezeigt werden. Diese Ansicht soll bspw. aus der Patientenkartei heraus aufgerufen werden können.

Beim Aufruf sollte ein Standard-Suchfilter angewendet werden. Das Suchen nach Dokumenten erfolgt auf den Metadaten des Dokumentes und erfolgt im ePA-Aktenkonto ausschließlich auf Dokumente, die für den Leistungserbringer sichtbar sind. Der Filter soll nach Dokumenten suchen, die ein Einstelldatum größer Datum des letzten Kontakts der Leistungserbringerinstitution mit dem Patienten tragen (laut Karteikarte oder lokaler Dokumentation im Primärsystem).

Dafür können bei einer RegistryStoredQuery (z.B. FindDocuments) die Parameter $XDSDocumentEntryCreationTimeFrom und $XDSDocumentEntryCreationTimeTo verwendet werden. Es sollte möglich sein die Suchkriterien des Filters entsprechend den Bedürfnissen der Leistungserbringerinstitution anzupassen. Die Filterauswahl sollte vom Nutzer gespeichert und als Standard gesetzt werden können.

Für den Nutzer des Primärsystems soll konfigurierbar sein, dass bestimmte MIOs einer Patient:in in einer separaten Ansicht aufgerufen werden. Zu diesen MIOs zählen der Impfpass, das Kinderuntersuchungsheft, der Mutterpass und das Zahnbonusheft. Der Nutzer soll konfigurieren können, für welche MIOs eine separate Ansicht im Primärsystem benutzt werden soll. Diese MIOs sind pass- oder eintragsbasiert und unterscheiden sich vom herkömmlichen Dokumenten-Handling.

Dafür können mittels einer RegistryStoredQuery per GetFolders sowie der bekannten Folder.entryUUID für das MIO die Folder-Metadaten abgerufen werden. Das Attribut $XDSFolder.lastUpdateTime zeigt, ob es ein Update gab.

Künftige MIOs werden sich technisch wie ein herkömmliches Dokument verhalten, sind inhaltlich vollstrukturiert.

Eine Übersicht über (noch) nicht in die ePA gestellte MIOs oder fehlende Dokumente in der ePA, die bspw. aufgrund einer ausstehenden Laboruntersuchung noch nicht verfügbar sind, werden vom ePA-Aktensystem nicht unterstützt. Eine logische Auswertungs- und Darstellungsmöglichkeit für den Nutzer kann vom Primärsystem implementiert werden.

6.1.3 Hochladen in ein ePA-Aktenkonto im Kontext der lokalen Dokumentenverwaltung

Für Nutzer eines Primärsystems soll es einfach sein, Dokumente in die ePA einzustellen. Damit soll erreicht werden, dass behandlungsrelevante Dokumente Einzug in die ePA erhalten und somit für den Versicherten und andere Leistungserbringerinstitutionen einsehbar sind. Der Upload von Dokumenten über den XDS Document Service setzt voraus, dass das ePA-Aktenkonto des Versicherten lokalisiert wurde und damit der Service-Endpunkt des ePA-Aktenkontos bekannt ist.

Der Nutzer des Primärsystems soll auf Basis einer bestehenden User Session, des lokalisierten Service-Endpunkts und des lokalisierten ePA-Aktenkontos daher die ePA immer nutzen können, wenn er sich in einem Dokumentenmanagementkontext befindet. Das kann der Fall sein, wenn bspw.:

• ein Dokument vor Ort eingescannt und in die Primärdokumentation übernommen wird (und in die ePA hochgeladen werden soll),
• ein Dokument im Zug einer Dokumentenbearbeitung verändert und aktualisiert wird (und in die ePA hochgeladen werden soll),
• ein Dokument im Zuge einer Dokumentenbearbeitung an einem bestimmten Zeitpunkt vidiert oder archiviert wird (und in die ePA hochgeladen werden soll).

Das Hochladen in die ePA soll aus diesen Sichten und Prozessen heraus angestoßen werden können. Ob das Dokument durch das Primärsystem- oder ein Archivsystem in die ePA hochgeladen wird, legt die Leistungserbringerinstitution fest. Die technische Integrationsebene der ePA im Primärsystem legt jeder Hersteller für sich selber fest.

6.1.4 Hochladen in ein ePA-Aktenkonto als Standard für bestimmte Dokumententypen

In den Einstellungen des Primärsystems soll festgelegt sein, dass bestimmte Dokumente standardmäßig in das dazugehörige ePA-Aktenkonto der Patient:in hochgeladen werden. Das Nähere zum Anforderungskatalog regeln die Leistungserbringerinstitution und der Primärsystemhersteller miteinander, bspw. in Form von Richtlinien in einem Krankenhaus.

Zu diesen Dokumenten gehören:

• eArztbrief (PDF/A)
• Krankenhaus-Entlassbrief (PDF/A)
• Laborbefund (PDF/A)
• Bildbefund (PDF/A)
• Befundberichte aus invasiven oder chirurgischen sowie aus nicht-invasiven oder konservativen Maßnahmen (PDF/A)

Die Option zum Hochladen des in Erstellung befindlichen Dokuments in die ePA ist dann in diesen Fällen voreingestellt. Das Hochladen des Dokuments wird vom Primärsystem durchgeführt und kann nach der Erstellung, Freigabe, Finalisierung oder Archivierung durchgeführt werden. Die Festlegung zur Standardeinstellung trifft die Leistungserbringerinstitution für sich selber.

Das ePA-Aktensystem unterscheidet nicht auf Metadatenebene, ob ein Dokument vorläufig oder endgültig ist. Für den Fall, dass ein vorläufiges Dokument in die ePA hochgeladen wird, sollte diese Dokumenteneigenschaft innerhalb des Dokuments für den Leser ersichtlich sein.

Beim Hochladen eines Dokuments in das ePA-Aktensystem wird eine unique ID vergeben. Das ePA-Aktsystem erzeugt dabei einen Hashwert und nimmt bei jedem Hochladen eine Dublettenprüfung vor. Um ein Dokument zu überschreiben und dessen Status von „approved“ auf „deprecated“ zu verändern, muss es mit der replace-Operation hochgeladen werden.

Für den Fall, dass dem Hochladen eines Krankenhaus-Entlassbriefs, eines Laborbefundes oder eines Bildbefundes widersprochen wurde, erzeugt das Primärsystem standardmäßig einen Protokolleintrag in der Patientenübersicht oder eine Hinweisnotiz in der Karteikarte der Patient:in.

6.1.5 Hochladen in ein ePA-Aktenkonto als Standard für ausgewählte Dokumententypen in der Benutzung von KIM

In den Einstellungen des Primärsystems soll festgelegt sein, dass beim Versenden eines eArztbriefs oder einer elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) über KIM das Dokument standardmäßig in das dazugehörige ePA-Aktenkonto der Patient:in hochgeladen wird. Die Option zum Hochladen des ausgewählten Dokuments in die ePA ist dann in diesen Fällen voreingestellt und kann in der Form umgesetzt werden, wenn die gleiche Telematik-ID für beide Vorgänge verwendet wird.

Der Nutzer klickt nur dann in der Eingabemaske oder bedient eine Tastenkombination, um das voreingestellte Hochladen in das ePA-Aktenkonto abzuwählen, wenn der Versicherte dem widerspricht.

Für den Fall, dass das Hochladen im Kontext eArztbrief abgewählt wurde, erzeugt das Primärsystem standardmäßig einen Protokolleintrag in der Patientenübersicht oder eine Notiz in der Karteikarte der Patient:in, dass diese:r dem Hochladen des eArztbriefs widersprochen hat. Der eArztbrief wird per KIM verschickt, jedoch nicht gleichzeitig in das ePA-Aktenkonto hochgeladen. Da Leistungserbringer nach §§ 347 und 348 SGB V zum Hochladen eines eArztbriefs in die ePA gesetzlich verpflichtet sind, muss der Widerspruch protokolliert werden.

Für den Fall, dass das Hochladen im Kontext eAU abgewählt wurde, erzeugt das Primärsystem keinen Protokolleintrag in der Patientenübersicht bzw. keine Notiz in der Karteikarte der Patient:in. Die eAU wird per KIM verschickt, jedoch nicht gleichzeitig in das ePA-Aktenkonto hochgeladen. Da Leistungserbringer zum Hochladen einer eAU in die ePA gesetzlich nicht verpflichtet sind, muss der Widerspruch nicht protokolliert werden.

Der Leistungserbringer soll die Möglichkeit haben die Voreinstellung zum standardmäßigen Hochladen anzupassen. Die Voreinstellung soll differenziert für eArztbriefe einerseits und für eAU andererseits gesetzt werden können. Der LE muss die Einwilligung der Bereitstellung der eAU in die ePA sowie die Erfüllung seiner Informationspflicht über die Möglichkeit der Bereitstellung der eAU in die ePA protokollieren. Das PS unterstützt den LE bei der Protokollierung für Einwilligungseinhol- und Informationspflichten für eAU und eAB, in dem Standardtexte für die Protokollierung in die Primärdokumentation übernommen werden. Die Standardtexte sind durch den LE konfigurierbar.

6.1.6 Hochladen in ein ePA-Aktenkonto als Standard für NFDM und eMP (eGK)

Das Primärsystem sollte die Möglichkeit bieten, dass in den Einstellungen des Primärsystems festgelegt werden kann, dass beim Erstellen eines Notfalldatensatzes für die eGK (NFDM) oder eines elektronischen Medikationsplans auf der eGK (eMP) diese standardmäßig in das dazugehörige ePA-Aktenkonto der Patient:in hochgeladen werden. Das Nähere zum Anforderungskatalog regeln die Leistungserbringerinstitution und der Primärsystemhersteller miteinander, bspw. in Form von Richtlinien in einem Krankenhaus.

Die Option zum Hochladen des ausgewählten Dokuments in die ePA ist dann in diesen Fällen voreingestellt. Der Nutzer klickt nur dann in der Eingabemaske oder bedient eine Tastenkombination, um das voreingestellte Hochladen in die ePA abzuwählen, wenn der Versicherte dem widerspricht.

Für den Fall, dass dem Hochladen im Kontext NFDM widersprochen wurde, erzeugt das Primärsystem keinen Protokolleintrag in der Patientenübersicht bzw. keine Notiz in der Karteikarte der Patient:in.

Für den Fall, dass dem Hochladen im Kontext eMP (eGK) widersprochen wurde, erzeugt das Primärsystem keinen Protokolleintrag in der Patientenübersicht bzw. keine Notiz in der Karteikarte der Patient:in und es wird der eMP als Ausdruck in Form des BMP angeboten.

Der Master-Datenträger für NFDM und eMP (eGK) ist die eGK.

6.1.7 Standardmäßige Vorbelegung von Werten beim Hochladen eines Dokuments in ein ePA-Aktenkonto

Um Dokumente aufwandsarm hochladen zu können, soll es möglich sein, in den Einstellungen des Primärsystems bestimmte Parameter zu setzen. Es sollen die Stammdaten des behandelnden Leistungserbringers und der Leistungserbringerinstitution in ein Dokument standardmäßig übernommen oder editiert werden können, um ohne eine nachträgliche Metadateneingabe hochladen zu können. Das Primärsystem kann dem Nutzer auch die Möglichkeit zur Anlage von Metadatentemplates für gängige Dokumente aus dem Versorgungsalltag der Leistungserbringerinstitution bereitstellen, um beim Hochladen eine Auswahl treffen zu können ohne durch die unterschiedlichen Metadatenfelder gehen zu müssen.

6.1.8 Nachträgliches Hochladen eines Dokuments in ein ePA-Aktenkonto

Leistungserbringer sind nach §§ 347 und 348 SGB V dazu verpflichtet bestimmte Dokumente aus dem aktuellen Behandlungskontext in das ePA-Aktenkonto der Patient:in hochzuladen. In gewissen Konstellationen ist es möglich, dass ein Hochladen zum gewünschten Zeitpunkt nicht möglich ist, bspw. durch eine technische Störung oder weil die Zugriffsbefugnis noch nicht oder nicht mehr vorliegt.

Das Primärsystem kann dem Nutzer die Möglichkeit geben Dokumente zu merken, auf eine Aufgabenliste zu setzen oder einen Bereich zur ePA-Dokumentenverwaltung einer Patient:in bereitstellen, um ein Hochladen an einem späteren Werktag ausführen zu können.

6.1.9 Widerspruch gegen das Hochladen eines Dokuments in ein ePA-Aktenkonto

Der Versicherte hat das Recht dem Hochladen eines Dokuments in sein ePA-Aktenkonto zu widersprechen. In der lokalen Behandlungsdokumentation im Primärsystem sollte eine Gesprächsnotiz zu dieser Entscheidung protokolliert und das betroffene Dokument entsprechend gekennzeichnet werden.

Die Kennzeichnung soll im Primärsystem einfach und unmittelbar „mit einem Klick“ zu jedem Dokument zu hinterlegen sein. Das Entfernen der Kennzeichnung muss nach Anzeige einer Warnung ebenfalls ermöglicht werden. Der Versuch des Einstellens eines gekennzeichneten Dokumentes in das ePA-Aktenkonto der Patient:in soll durch das Primärsystem unterbunden werden. Hierbei ist eine verständliche Rückmeldung auszugeben.

6.2 XDS Document Service: Dokumentenverwaltung in der elektronischen Patientenakte

Das Primärsystem soll zum XDS Document Service in der elektronischen Patientenakte folgende funktionale Anwendungsfälle und die dazugehörigen Klickpfade umsetzen:

1.    Dokumentenübersicht anzeigen

2.    Dokumente suchen, filtern und sortieren

3.    Dokumente herunterladen, aktualisieren und löschen

4.    Dokumente hochladen aus Karteikarte oder Dokumentenmanagementkontext

5.    Dokumente hochladen aus KIM-Workflow

a.    eArztbrief

b.    eAU

6.2.1 Dokumentenübersicht anzeigen

Für den Nutzer des Primärsystem muss es möglich sein, eine Übersicht über die im ePA-Aktenkonto sichtbaren Dokumente abzurufen.

Eine Möglichkeit ist, dass die Dokumente des ePA-Aktenkontos über eine separate Ansicht angezeigt werden (siehe Abbildung 16). Eine weitere Möglichkeit ist, dass die Dokumente des ePA-Aktenkontos in der Dokumentenverwaltung integriert und dort zur Anzeige gebracht werden (siehe Abbildung 17).

Die Ärzt:in oder Psychotherapeut:in soll anhand der Dokumentenübersicht erkennen können, ob die in der ePA sichtbaren Dokumente bereits in seiner lokalen Behandlungsdokumentation im Primärsystem enthalten sind, also schon heruntergeladen wurden. Die Dokumentenübersicht soll standardmäßig nach dem Erstellungsdatum der Dokumente sortiert sein.

Eine Dokumentenübersicht ist das Ergebnis einer Dokumentensuche in der ePA. Die Suche bezieht sich auf die aktuellen Metadaten der Dokumente im XDS Document Service. Im Primärsystem können für den Nutzer die Suchparameter dokumentiert werden, mit der nach Dokumenten in der ePA gesucht wurde. Damit kann ein Nutzer zu einem späteren Zeitpunkt nachvollziehen, wonach zum vorherigen Zeitpunkt gesucht wurde.

Tabelle 32: Dokumentenübersicht anzeigen - UX Optimaler Klickpfad

Abbildung 17: Anzeige der ePA-Dokumentenübersicht als separate Ansicht aus einer Karteikarte heraus

Abbildung 18: Anzeige von ePA-Dokumenten als Teil einer integrierten Dokumentenübersicht in der lokalen Dokumentenverwaltung

6.2.2 Dokumente suchen, filtern und sortieren

Um Dokumente im ePA-Aktenkonto der Patient:in finden zu können, soll das Primärsystem die Möglichkeit nutzen, auf Metadatenebene in der ePA zu suchen, filtern und sortieren. Die Suchoperation bezieht sich standardmäßig auf die aktuellen Metadaten und auf „approved“ Dokumente im ePA-Aktenkonto.

Die Dokumente in der Trefferliste sollen auf Ebene ihrer Metadaten sortiert und gefiltert werden können. Der Nutzer des Primärsystems kann damit je Metadatum die Reihenfolge der Dokumente in der Trefferliste ändern lassen (z.B. das neueste Einstelldatum zuerst) oder je Metadatum die Anzahl der Suchergebnisse in der Trefferliste reduzieren (z.B. nur Dokumente der Dokumentenart „Befundbericht“ oder des Dokumententyps „Ergebnisse Funktionsdiagnostik“). Der Nutzer des Primärsystems soll auch anhand mehrerer Kriterien gleichzeitig suchen und filtern können (z.B. Dokumente des Dokumententyps „Arztberichte“ mit dem Datum „letztes Jahr“ (tt.mm.yyyy-tt.mm.yyyy)).

Der Nutzer des Primärsystems soll nach den eineindeutigen IHE Metadaten suchen, filtern und sortieren können. Das Primärsystem soll dem Nutzer auch eine Möglichkeit bieten über ähnliche Metadaten ein Dokument finden zu können. Dazu können im Primärsystem die alternativen Begriffe verwendet werden, die IHE in ihrer Beschreibung jeweils einem Wert eindeutig zuordnet. Ein Beispiel ist der IHE typeCode BERI mit der Bezeichnung „Arztberichte“. Eine Ähnlichkeitssuche entlang der Begriffe „Arztbrief“, „Entlassungsbericht“, „Rehabericht“, etc., die in der Beschreibung zu finden sind, soll dem Nutzer des Primärsystems angeboten werden. Das Primärsystem leitet vom ausgewählten Begriff den eineindeutigen und auffindbaren Wert nach IHE ab und sucht anhand dieses Werts im ePA-Aktenkonto nach den dazugehörigen Dokumenten. Eine Suche mit der Methode "FindDocuments" ist ebenfalls möglich, mit der nach der eventCodeListe gefiltert werden kann.

Für den Nutzer des Primärsystems sollen neue Dokumente im ePA-Aktenkonto kenntlich gemacht werden, die seit der letzten Suche im ePA-Aktenkonto dazugekommen sind. Dazu kann nach Dokumenten gesucht werden, für die das Einstelldatum nach dem Datum des letzten Kontakts mit der Patient:in liegt (bspw. mithilfe einer RegistryStoredQuery und den Parametern $XDSDocumentEntryCreationTimeFrom und $XDSDocumentEntryCreationTimeTo).

Im Primärsystem können für den Nutzer die Suchparameter dokumentiert werden, mit der nach Dokumenten in der ePA gesucht wurde. Damit wird es für den Nutzer möglich eine Folgesuche zu einem späteren Zeitpunkt gezielt anzupassen.

Eine Darstellung, wie eine Such-, Filter- und Sortiermaske gestaltet sein kann, kann Abbildung 18 und Abbildung 19 entnommen werden.

Tabelle 33: Dokumente suchen, filtern und sortieren - UX Optimaler Klickpfad

Abbildung 19: Funktion im Primärsystem, um zu suchen, filtern und sortieren von Dokumenten in einem ePA-Aktenkonto 

Abbildung 20: Funktion im Primärsystem, um zu suchen, filtern und sortieren von Dokumenten in einem ePA-Aktenkonto

6.2.3 Dokumente herunterladen, aktualisieren oder löschen

Um ein oder mehrere Dokumente aus dem ePA-Aktenkonto der Patient:in anzuzeigen und in die Primärdokumentation zu übernehmen, dessen Metadaten zu bearbeiten oder diese im ePA-Aktenkonto löschen zu können, kann das Primärsystem dem Nutzer für die diese Operationen ein Kontextmenü anbieten.

Damit ein Dokument aus einer Dokumentenübersicht oder aus der Trefferliste einer Dokumentensuche vom Nutzer des Primärsystems angezeigt und gelesen werden kann, muss es heruntergeladen werden. Das Herunterladen eines Dokuments soll für den Nutzer maximal wenige Sekunden Zeit in Anspruch nehmen. Das Primärsystem soll das Herunterladen eines einzelnen Dokuments und von mehreren Dokumenten im Stapel ermöglichen.

Das Primärsystem soll dem Nutzer eine "Vorschau" eines Dokuments aus dem ePA-Aktenkonto ermöglichen. In diesem Fall wird ein Dokument technisch bereits heruntergeladen, ein Protokolleintrag im ePA-Aktenkonto hinterlegt und das Dokument nach dem Beenden der Vorschau wieder verworfen. Der Nutzer soll die Möglichkeit haben aus einer Vorschau in eine (Voll-)Ansicht des Dokuments wechseln zu können. In den Einstellungen des Primärsystems soll der Nutzer einstellen können, ob immer mit Ansicht eines Dokuments eine standardmäßige Übernahme erfolgt oder erst nach Lesen eines Dokuments vom Nutzer eine aktive Übernahme in die lokale Behandlungsdokumentation erfolgen soll.

Beim Herunterladen von Dokumenten aus dem ePA-Aktenkonto soll das Primärsystem den Nutzer dabei unterstützen zu prüfen, ob das ausgewählte Dokument bereits in der lokalen Behandlungsdokumentation vorhanden ist. So kann eine Doppelablage von Dokumenten vermieden werden.

Der Nutzer soll in den Einstellungen des Primärsystems einstellen können, ob immer mit Ansicht eines Dokuments eine standardmäßige Übernahme erfolgt oder erst nach Lesen eines Dokuments vom Nutzer eine aktive Übernahme in die lokale Behandlungsdokumentation erfolgt.

In der Dokumentenübersicht bzw. der Trefferliste der Dokumentensuche soll eine Auswahl mehrerer Dokumente möglich sein, um diese direkt und ohne ein vorheriges Lesen in die lokale Behandlungsdokumentation zu übernehmen.

Eine Aktualisierung von Dokumenten oder von deren Metadaten erfordert immer eine gültige Zugriffsbefugnis. Eine Änderung von Metadaten eines Dokuments im ePA-Aktenkonto kann durchgeführt werden, ohne dass das Dokument heruntergeladen werden muss. Eine Aktualisierung von Dokumenten im ePA-Aktensystem kann jederzeit durchgeführt werden. Das ePA-Aktensystem erzeugt für jedes Dokument eine unique ID und versioniert die verschiedenen Dokumentenversionen. Jedes Dokument hat dementsprechend einen Status. Ein neues Dokument wird mit einer replace Operation hochgeladen und ersetzt damit das vorliegende, nunmehr alte Dokument. Gültige Dokumente tragen den Status „approved“ und ungültige Dokumente den Status „deprecated“ Die Sichtbarkeit eines Dokuments kann sich aufgrund einer Aktualisierung der Metadaten nicht verändern.

Eine Darstellung, wie die Dokumentenbearbeitung eines Dokuments aus der ePA der Patient:in angesteuert werden kann, kann Abbildung 21 entnommen werden.

Hinweis:

1. Das Löschen von Dokumenten kann zu ungewollten Lücken in der medizinischen Dokumentation der Patientenakte führen. Bevor ein Dokument in einem ePA-Aktenkonto gelöscht wird, soll der Nutzer des Primärsystems darüber informiert werden, dass das Dokument im Anschluss unwiderruflich für den Versicherten in dessen ePA gelöscht sein wird.
2. Eine Änderung von Metadaten kann von jedem Leistungserbringer durchgeführt werden, d.h. vom Ersteller, vom Einsteller und von Dritten. Die Annahme ist, dass eine Änderung fachlich motiviert ist und zur Korrektur der dann gültigen Metadaten führt. Eine Versionierung der vorher vergebenen Metadaten findet nicht statt im ePA-Aktensystem.
3. Beim Ändern von Metadaten ist darauf zu achten, dass das Dokument nicht erneut abgelegt wird.
4. Eine Dublettenablage in der ePA, d.h. die Ablage eines identischen Dokuments im ePA-Aktenkonto, wird durch den Vergleich eines Hash-Werts vom ePA-Aktensystem vermieden. Eine Dublettenablage im Primärsystem, d.h. die Ablage eines identischen Dokuments in der lokalen Patientendokumentation, soll durch den Vergleich der UUID des Dokuments vom Primärsystem vermieden werden.

Tabelle 34: Dokumente herunterladen, aktualisieren oder löschen - UX Optimaler Klickpfad

Abbildung 21: Anzeige eines Kontextmenüs für ein ausgewähltes Dokument, um dieses zu bearbeiten (am rechten Bildrand ist der Menüpunkt zu finden)

6.2.4 Dokument hochladen aus Karteikarte oder Dokumentenmanagementkontext

Um ein oder mehrere Dokumente in das ePA-Aktenkonto der Patient:in aufwandsarm hochzuladen, soll die Funktion zum Hochladen aus der Karteikarte der Patient:in angeboten werden und an jeder Stelle, an dem ein Dokument im Rahmen eines Dokumentenmanagementkontexts verwaltet wird (bspw. Dokument wird vor Ort eingescannt, im Zuge einer Dokumentenbearbeitung im Primärsystem verändert oder in einem Archivsystem abgelegt). Das Primärsystem soll das Hochladen eines einzelnen Dokuments und von mehreren Dokumenten im Stapel ermöglichen.

Das Hochladen eines Dokuments soll im Hintergrund laufen. Der Nutzer soll seine Arbeit mit dem Primärsystem nicht unterbrechen müssen, während ein Dokument hochgeladen wird. Das ePA-Aktensystem übernimmt automatisch eine Versionierung von Dokumenten, wenn diese mit der replace Operation hochgeladen werden. Ob ein Dokument ersetzt werden soll, entscheidet der Nutzer des Primärsystems aus fachlichen Erwägungsgründen.

Die Metadaten des Dokuments sollen mit den im Primärsystem hinterlegten Stammdaten des Leistungserbringenden und der Leistungserbringerinstitution vorbefüllt sein. Die Datenfelder sollen vor dem Versand und Hochladen durch den Nutzer änderbar sein. Aus der Eingabemaske heraus oder mithilfe einer Dialogstrecke sollen fehlende Metadatenfelder manuell belegt werden können. Das Primärsystem kann dem Nutzer auch die Möglichkeit zur Anlage von Metadatentemplates für gängige Dokumente aus dem Versorgungsalltag der Leistungserbringerinstitution bereitstellen, um beim Hochladen eine Auswahl treffen zu können ohne durch die unterschiedlichen Metadatenfelder gehen zu müssen.

Eine Darstellung, wie die Option zum Hochladen eines Dokuments in das ePA-Aktenkonto standardmäßig als ausgewählt angezeigt werden kann, kann Abbildung 22 entnommen werden.

Hinweise:

1. Das Hochladen mehrerer Dokumente kann in einem einzelnen SubmissionSet erfolgen.
2. Es ist erlaubt, dass Dokumente von berufsmäßigen Gehilfen in ein ePA-Aktenkonto hochgeladen werden dürfen. Da die Zugriffsbefugnis für die Leistungserbringerinstitution gilt und sich diese mittels SMC-B dem ePA-Aktensystem gegenüber kenntlich macht, kann die Aufgabe zum Hochladen von Inhalten einrichtungsintern geregelt werden.
3. Es ist vorgesehen, dass das ePA-Aktensystem und das Primärsystem Dokumente auf Dubletten prüfen. Hierzu werden Hash-Werte gebildet, die miteinander verglichen werden. Der Einstellversuch scheitert mit dem Fehlercode XDSDuplicateDocument. Das ePA-Aktensystem gibt im codeContext-Attribut des zurückgegebenen rs:RegistryError-Elements die Liste der UUIDs (DocumentEntry.entryUUID) der identifizierten Dokumente an. Das Primärsystem soll dem Nutzer eine verständliche Fehlermeldung anzeigen.

Tabelle 35: Dokument hochladen aus Karteikarte - UX Optimaler Klickpfad

Abbildung 22: Eingabemaske mit der vorausgefüllten Einstellung, dass ein Dokument (am unteren Bildrand ist der Menüpunkt zu finden)

6.2.5 Dokument hochladen aus KIM-Workflow

Um ein oder mehrere Dokumente in das ePA-Aktenkonto der Patient:in aufwandsarm hochzuladen, soll die Funktion zum Hochladen für bestimmte Dokumente aus dem KIM-Workflow angeboten werden. In der Eingabemaske zum Versand eines eArztbriefs und einer eAU mithilfe von KIM soll die Option für das Hochladen des Dokuments in die ePA standardmäßig ausgewählt sein. Der Leistungserbringer soll die Möglichkeit haben diese Voreinstellung anzupassen. Die Voreinstellung soll differenziert für eArztbriefe einerseits und für eAU andererseits gesetzt werden können.

Die Metadaten des Dokuments sollen mit den im Primärsystem hinterlegten Stammdaten des Leistungserbringenden und der Leistungserbringerinstitution vorbefüllt sein. Die Datenfelder sollen vor dem Versand und Hochladen durch den Nutzer änderbar sein. Aus der Eingabemaske heraus oder mithilfe einer Dialogstrecke sollen fehlende Metadatenfelder manuell belegt werden können.

Bei der Erstellung einer eAU soll dem Nutzer das Datum der zuletzt ausgestellten eAU angezeigt werden, um den aktuellen Krankschreibungszeitraum erkennen zu können. Der Nutzer des Primärsystems kann dann festlegen, ab wann die neue eAU gelten soll.

Eine Darstellung, wie die Option zum Hochladen eines Dokuments in ein ePA-Aktenkonto im KIM-Workflow standardmäßig als ausgewählt angezeigt werden kann, kann Abbildung 23 entnommen werden.

Tabelle 36: Dokument hochladen aus KIM-Workflow - UX Optimaler Klickpfad

Abbildung 23: Option zum Hochladen eines Dokuments im Falle des Versands eines eArztbriefs oder einer eAU im Rahmen des KIM-Workflows ist standardmäßig ausgewählt

6.3 FHIR Medication Service: Digital gestützter Medikationsprozess in der elektronischen Patientenakte

Das Primärsystem soll über den Information Service prüfen, ob der Versicherte am digital gestützten Medikationsprozess (dgMP) teilnimmt. Das Ergebnis soll im Primärsystem persistiert werden. Wenn der Versicherte am dgMP teilnimmt, kann der FHIR Medication Service auf verschiedene Arten angesprochen werden.

Das ePA-Aktensystem bietet dem Primärsystem die Möglichkeit die elektronische Medikationsliste (eML) als PDF oder xHTML anzuzeigen. Wenn die eML als PDF angezeigt wird (siehe Abbildung 24), dann übernimmt das ePA-Aktensystem die Erstellung der Liste. Die Nutzer des Primärsystems ist mithilfe der eML als PDF in der Lage die Informationen der Liste zur Kenntnis zu nehmen und bspw. dargestellte Informationen wie eine PZN für die Ausstellung eines E-Rezepts im Verordnungsmodul zu übernehmen.

Abbildung 24 : Medikationsliste als PDF

Das ePA-Aktensystem bietet dem Primärsystem auch die Möglichkeit die Verordnungs- und Dispensierdaten im nativen FHIR-Format zu übernehmen (siehe Tabelle 10). Wenn die eML basierend auf nativen FHIR Ressourcen angezeigt wird (siehe Abbildung 25), dann übernimmt das Primärsystem die Erstellung der Liste.

Abbildung 25 : Medikationsliste on FHIR

Der Nutzer des Primärsystems ist mithilfe der eML on FHIR in der Lage die Informationen der Liste zur Kenntnis zu nehmen und bekommt vom Primärsystem idealerweise zusätzliche Operationen angeboten:

• Das Primärsystem kann Einträge der eML, die sich im Vergleich zur letzten abgerufenen eML geändert haben (Aktualisierungen) bzw. Einträge, die noch nicht in der Primärdokumentation enthalten sind, visuell hervorheben.
• Das Primärsystem kann benutzerdefinierte individuelle Darstellungsmöglichkeiten unterstützen, z. B. mit der Möglichkeit, Details zu einer Medikation gezielt aufzuklappen oder aus Gründen der Übersichtlichkeit zu verbergen.
• Das Primärsystem kann eine Wiederverordnung eines Medikaments direkt auf Basis der Daten anbieten. Der sich anschließende Verordnungsprozess erfolgt dann wie gewohnt.
• Das Primärsystem kann es einem Nutzer ermöglichen, mit einem Klick ein oder mehrere Einträge aus der eML in die Primärdokumentation zu übernehmen.
• Das Primärsystem kann die Funktionen Suche, Filtern und Sortieren in der eML ermöglichen. Dabei kann sowohl eine einfache Suche (ein Suchfeld und alles wird durchsucht) als auch die gezielte Suche und das Filtern von einzelnen Informationen angeboten werden sein (z.B. nur die Medikation der letzten drei Monate oder alle Verordnungen eines bestimmten Leistungserbringers).

Eine detaillierte Beschreibung des dgMP und der FHIR Operationen finden sich unter:

• https://simplifier.net/epa-medication

Die gematik empfiehlt allen Primärsystemherstellern eine native Umsetzung und die Benutzung der FHIR Schnittstelle, um Mehrwertfunktionen zu ermöglichen.

7 Fehlerbehandlung

7.1 Fehlermeldungen der REST-Schnittstellen

Für jede REST-Schnittstelle sind in der OpenAPI die möglichen Fehlersituationen beschrieben. In dieser Tabelle werden Beispiele gezeigt und ein Vorschlag für den Hinweis an Nutzer gemacht:

Tabelle 37: Tab_ILF_ePA- Beispiele für REST-Fehlermeldungen

Bei den FHIR-Schnittstellen werden die Fehlermeldungen mit einem Operation Outcome gemäß https://hl7.org/fhir/R4/operationoutcome.html gebildet.

7.1.1 Fehlerbehandlung im XDS Document Service

Auftretende Fehlertypen unterscheiden sich je nach Architekturebene:

• http-Fehler auf Transportebene
• Fehler auf Ebene des Dokumentenmanagements und der Aktenermittlung.

Tabelle 38: Tab_ILF_ePA_DifferenzFehlerhandling

7.1.2 IHE-Error

In der Response der IHE-Schnittstellen-Aufrufe können [ITI-TF-3#Table 4.2.4.1-2]: Error Codes auftreten, die drei ResponseStatusType aufweisen können.

Das Vorhandensein einer Error-List ist prinzipiell vereinbar mit einer teilweise erfolgreichen Verarbeitung. Falls die ErrorList nur Warnings enthält (RegistryError elements mit warning severity, aber ohne error severity), kann die Verarbeitung als erfolgreich angesehen werden.

Fehler aus Aufrufen des Dokumentenmanagements haben das in [ITI TF Vol 3#4.2.4] "Success and Error Reporting" beschriebene Format. Es wird im Fehlerfall ggf. eine Fehlerliste (RegistryErrorList) und darin Fehler (RegistryError) mit den Attributen errorCode, errorContext, codeContext und severity zurückgegeben. 

Für die Analyse der Fehlerquelle enthält insbesondere auch der codeContext hilfreiche Informationen, um den Nutzer über die Ursache des Fehlers hinzuweisen und daraus Handlungen abzuleiten, mit denen die Ursache des Fehlers behoben wird.

Bei IHE-Operationen stellt der in Im rs:RegistryResponse/@status Attribut den Verarbeitungsstatus der Anfrage dar:

Tabelle 39: Tab_ILF_ePA_IHE_Success_and_Error_Reporting

7.1.3 Fehlermeldungen aus dem XDS Document Service

Das Aktensystem kann mindestens die Fehler der Tabelle Tab_ILF_ePA_IHE-Fehlermeldungen_Aktensystem werfen, die an das PS durchgereicht werden.

Tabelle 40: Tab_ILF_ePA_IHE-Fehlermeldungen_Aktensystem

7.2 Umgang mit Fehlern in der Leistungserbringerinstitution

Da vom Nutzer des Primärsystems kein technisches Vorwissen erwartet werden darf, sind Fehlermeldungen so anzugeben, dass dieser nach Möglichkeit darauf reagieren kann. Eine Fehlermeldung muss nicht die von der Quelle erzeugte technische Fehlermeldung darstellen und dem Nutzer dennoch nach Möglichkeit mitteilen, welches System im Prozess den Fehler verursacht hat. Mit der Fehlermeldung sollen dem Nutzer Handlungsempfehlungen vorgeschlagen werden, um den Fehler zu beseitigen. Es ist darüber hinaus möglich, technische Details an den technischen Support zu übermitteln.

Gemäß [gemKPT_Betr] kann ein Dienstleister vor Ort (DVO) den Nutzer des Primärsystems bei der Problembehebung in der Leistungserbringerinstitution unterstützen. Störungsmeldungen werden durch den DVO über den User Help Desk (UHD) des VPN-Zugangsdienstes qualifiziert weitergeleitet. Sofern dieser die Störung nicht beheben kann, erfolgen die Erstellung und die Weitergabe eines Tickets über das TI-ITSM-System an den Single Point of Contact (SPOC) des lösungsverantwortlichen Anbieters.

Von zentraler Seite wird das TI-ITSM (die ZIS) bereitgestellt um vor allem Störungen, Probleme und Änderungen zu managen und Service Requests abzusetzen. Zugang zum TI-ITSM haben in der Regel Anbieter bzw. deren Betreiber in der TI. Üblicherweise ist derjenige an das TI-ITSM angebunden, der die operative Betriebsleistung erbringt und dadurch schnell reaktions- und auskunftsfähig ist. Einige Hersteller (z.B. Konnektorhersteller oder PS-Hersteller) sind freiwillig im TI-ITSM um Probleme und Störungen schnell und direkt adressieren zu können.

Bei der Erfassung eines Tickets ist wichtig, dass beim Autor ein umfassendes Verständnis der Zusammenhänge vorhanden ist, damit bereits vom Client all die Informationen erhoben werden, die später für die Entstörung wichtig sein könnten. So ist z.B. wichtig zu erfassen, bei welcher Krankenkasse ein Versicherter (bei dem die Störung aufgetreten ist) versichert ist, da sonst nicht klar ist, welches Aktensystem angesprochen werden muss. Nur mit umfassendem Verständnis der Produktabhängigkeiten können von vornherein die richtigen potenziellen Ursachen identifiziert und vielversprechende Lösungsverantwortliche adressiert werden. Die Erfassung der relevanten Informationen ist umso wichtiger, wenn die Störsituation nicht oder nur schwer nachgestellt werden kann (z.B. weil der Versicherte die Praxis bereits verlassen hat).

Der Anwender erhält nach Lösung seiner Störung über seinen UHD eine Rückantwort (siehe Abbildung 25). Der UHD verantwortet demnach die Behebung von Störungen, die von Nutzern gemeldet werden.

Abbildung 26: Support- und Kommunikationsabläufe bei Nutzung der ePA

8 Anhang A – Verzeichnisse

8.1 Abkürzungen

8.2 Glossar

Das Glossar wird als eigenständiges Dokument, vgl. [gemGlossar] zur Verfügung gestellt.

8.3 Abbildungsverzeichnis

8.4 Tabellenverzeichnis

8.5 Referenzierte Dokumente

8.5.1 Dokumente der gematik

Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur. Der mit der vorliegenden Version korrelierende Entwicklungsstand dieser Konzepte und Spezifikationen wird pro Release in einer Dokumentenlandkarte definiert. Version und Stand der referenzierten Dokumente sind daher in der nachfolgenden Tabelle nicht aufgeführt. Deren zu diesem Dokument passende jeweils gültige Versionsnummer sind in der aktuellsten, von der gematik veröffentlichten Dokumentenlandkarte enthalten, in der die vorliegende Version aufgeführt wird.

8.5.2 Weitere Dokumente

9 Anhang B - Vorschläge zur verkürzten Ansicht der Auswahl von Werten aus Value Sets

Die in [gemSpec_Voc_ePA] vorgegebenen Value Sets beinhalten in der Regel eine hohe Anzahl von Werten, die nicht für jeden Sektor oder jede Berufsgruppe gleichermaßen relevant sind. Um dem Anwender die Nutzung zu erleichtern, wird für die Auswahl der Werte die Anzeige einer gefilterten Ansicht der Tabellen empfohlen.

Hinweis: Neue Nutzergruppen, die im Folgenden noch nicht berücksichtigt sind, sollten sich nach Vorbild der vorliegenden Vorschläge eine verkürzte Ansicht bilden. Neue Nutzergruppen werden schrittweise auch explizit Berücksichtigung finden.

Tabelle 41: Value Set authorRole

Tabelle 42: Value Set authorSpecialty