gemSpec_TI-M_ePA_V1.0.0







Elektronische Gesundheitskarte und Telematikinfrastruktur





Spezifikation

TI-Messenger (ePA)




    
Version 1.0.0
Revision 927580
Stand 13.06.2024
Status freigegeben
Klassifizierung öffentlich
Referenzierung gemSpec_TI-M_ePA

Dokumentinformationen

Änderungen zur Vorversion

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Version
Stand
Kap./ Seite
Grund der Änderung, besondere Hinweise
Bearbeitung
1.0.0 13.06.2024 initiale Erstellung gematik

Inhaltsverzeichnis

1 Einordnung des Dokumentes

1.1 Zielsetzung

Die vorliegende Spezifikation definiert die Anforderungen zu Herstellung, Test und Zulassung der Produkttypen TI-M_Client_ePA und TI-M_FD_ePA. Dieses Dokument erweitert die Basisspezifikation [gemSpec_TI-M_Basis] um die für die genannten Produkttypen notwendigen Anpassungen. Für die Produkte gelten weiterhin die in der Basisspezifikation beschriebenen Funktionalitäten, sofern Sie nicht in diesem Dokument erweitert oder eingeschränkt werden.

1.2 Zielgruppe

Das Dokument richtet sich an Hersteller von Frontends für Versicherte (FdV) mit integriertem TI-M Client ePA, an Hersteller von TI-M FD ePA und an Anbieter, welche die beschriebenen Produkttypen betreiben.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekanntgegeben.

Schutzrechts-/Patentrechtshinweis
Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.

1.4 Abgrenzungen

Spezifiziert werden in dem Dokument die von dem Produkttyp bereitgestellten (angebotenen) Schnittstellen. Benutzte Schnittstellen werden hingegen in der Spezifikation desjenigen Produkttypen beschrieben, der diese Schnittstelle bereitstellt. Auf die entsprechenden Dokumente wird referenziert (siehe auch Anhang ).

Die vollständige Anforderungslage für den Produkttyp ergibt sich aus weiteren Konzept- und Spezifikationsdokumenten. Diese sind in den Produkttypsteckbriefen der Produkttypen TI-M_Client_ePA und TI-M_FD_ePA verzeichnet.

1.5 Methodik

Anwendungsfälle und Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID, Anforderungen zusätzlich durch die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.

Da in dem Beispielsatz „Eine leere Liste DARF NICHT ein Element besitzen.“ die Phrase „DARF NICHT“ semantisch irreführend wäre (wenn nicht ein, dann vielleicht zwei?), wird in diesem Dokument stattdessen „Eine leere Liste DARF KEIN Element besitzen.“ verwendet. Die Schlüsselworte werden außerdem um Pronomen in Großbuchstaben ergänzt, wenn dies den Sprachfluss verbessert oder die Semantik verdeutlicht.

Anwendungsfälle und Anforderungen werden im Dokument wie folgt dargestellt:
<AF-ID> - <Titel des Anwendungsfalles>
Text / Beschreibung
[<=]

bzw.

<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]

Dabei umfasst der Anwendungsfall bzw. die Anforderung sämtliche zwischen ID und Textmarke [<=] angeführten Inhalte.

2 Systemüberblick

Für die Einbindung der Versicherten werden basierend auf der Basisspezifikation [gemSpec_TI-M_Basis] Anpassungen vorgenommen, die auf Clientseite im Produkt TI-M Client ePA und auf Serverseite im Produkt TI-M FD ePA aufgehen.

2.1 Akteure und Rollen

Mit dieser Spezifikation werden die Versicherten als Akteure in die TI-Messenger Föderation eingebunden. Versicherte können zukünftig über einen TI-Messenger Client im Frontend des Versicherten der ePA (TI-M Client ePA) sicher und schnell Inhalte austauschen. Versicherten stehen die gleichen Funktionalitäten, wie einem Akteur in der Rolle "User" der Spezifikation [gemSpec_TI-M_Basis] zur Verfügung, die durch die Inhalte dieser Spezifikation erweitert oder eingeschränkt werden.

Der Messenger-Service wird für den Versicherten immer von der jeweiligen Krankenkasse bereitgestellt.

2.2 Nachbarsysteme

Die folgende Grafik zeigt die Schnittstellen zu Nachbarsysteme für den TI-M Client ePA und den TI-M FD ePA.

Abbildung 1: Kontextabgrenzung

Der TI-M Client ePA hat Schnittstellen

  • zu anderen TI-M Clients zum Austausch von Kontaktinformationen (z.B. via QR-Code Scan),
  • zum sektoralen IDP. Es werden die gleichen Verfahren wie beim ePA FdV (mit Single Sign On, wenn vorhanden (siehe [gemSpec_IDP_Frontend]) verwendet,
  • zum VZD-FHIR-Directory zur Suche nach Kontakten in Organisationen oder im Verzeichnis der Practitioner,
  • zum externen Push Provider um Benachrichtigungen zu erhalten und
  • zum TI-M FD ePA für Versicherte.

Der TI-M FD ePA hat Schnittstellen

  • zum TI-M Client ePA für Versicherte,
  • zum Org-Admin Client des Kostenträgers (KTR) zur Verwaltung der Akteure,
  • zum sektoralen IDP. Es werden die gleichen Verfahren wie beim ePA FdV mit Single-Sign-On verwendet, wenn vorhanden (siehe [gemSpec_IDP_Sek]),
  • zum FHIR-Verzeichnisdienst zur Pflege und zum Bezug der Föderationsliste,
  • zur Komponenten PKI für die Erzeugung und Prüfung von Zertifikaten aus dem Vertrauensraum der TI,
  • zu anderen TI-M FD, um innerhalb der TI-Messenger Föderation die Kommunikation mit Nutzern anderer TI-M FD zu ermöglichen und
  • zum Push Gateway, um Benachrichtigungen für Nutzer zu versenden.

2.2.1 Authentifizierungs-Dienst für Akteure in der Rolle "Versicherter"

Für die Verwaltung der Identitäten der Akteure in der Rolle "Versicherter" stellen die Krankenkassen einen sektoralen IDP bereit. Die Spezifikation für den sektoralen IDP ist unter [gemSpec_IDP_Sek] zu finden. Für den TI-M ePA bindend sind Anforderungen aus dem Dokument [gemSpec_IDP_Frontend] für den Client und Anforderungen aus [gemSpec_IDP_FD] für den Fachdienst, die den jeweiligen Produkttypsteckbriefen zu entnehmen sind und deren Inhalte zusätzlich in den Kapiteln zum Client (3.1.2 Auth Modul) und zum Fachdienst (3.2.2.1 Schnittstelle für Authentifizierungsverfahren) aufgeführt werden.

A_25488 - IDP-Sek_KTR

Als Authentifizierungs-Dienst für die Akteure in der Rolle "Versicherter" MUSS der sektorale IDP mit Anbieterzulassung nach [gemAnbT_IDP-Sek_KTR_ATV] verwendet werden, der die Akteure für die Fachdienste ePA, eRezept und TI-M beheimatet. [<=]

2.2.2 VZD-FHIR-Directory

Beim VZD-FHIR-Directory gibt es gegenüber der Basisspezifikation nur minimale Anpassungen.

  • Nach der Authentisierung wird für die Akteure ein individueller searchaccess-token bereitgestellt.
  • Für die Suche der Akteure in der Rolle "Versicherter" wurde ein eigener Endpunkt bereitgestellt (3.1.1 VZD-FHIR-Directory).

3 Zerlegung des Produkttyps (Systemkomponenten)

In den folgenden Kapiteln werden die Komponenten des Clients und der Services in einer Bausteinansicht visualisiert.

3.1 TI-M Client ePA

Die folgende Grafik zeigt die Komponenten eines TI-M Clients ePA. Farblich hervorgehoben sind diejenigen Komponenten gegenüber der Basisspezifikation [gemSpec_TI-M_Basis], die im Rahmen der in dieser Spezifikation vorgestellten Features angepasst werden müssen (blau) und Komponenten, die neu hinzugekommen sind (grün).

Abbildung 2: TI-M Client ePA Komponentendiagramm

Neu hinzugekommen ist für die User Authentifizierung der sektorale IDP auf den in Kapitel 2.2.1 Authentifizierungs-Dienst für Akteure in der Rolle "Versicherter" eingegangen wird. Am VZD-FHIR-Directory ändert sich lediglich der Endpunkt für die Suche, da für Akteure in der Rolle "Versicherter" ein neuer Endpunkt bereitgestellt wird.

3.1.1 VZD-FHIR-Directory

A_25681 - VZD-FHIR-Directory Suche

Der TI-M Client ePA MUSS Akteuren in der Rolle Versicherter die Suche im VZD-FHIR-Directory über die Schnittstelle /fdv/search anbieten. [<=]

3.1.2 Auth Modul

Für die Interaktion mit dem sektoralen IDP wird auf Clientseite ein Authenticator-Modul bereitgestellt, dessen Anforderungen in [gemSpec_IDP_Sek] definiert sind. Für den TI-M Client ePA sind die Anforderungen an Clients aus der Spezifikation Identity Provider - Frontend ([gemSpec_IDP_Frontend] zu beachten und werden im Produktypsteckbrief aufgeführt.

3.1.3 Weitere Ergänzungen/Einschränkungen zur Matrix-Spezifikation

A_26015 - Anlage öffentlicher Räume nicht anbieten

Der TI-M Client ePA DARF dem Akteur in der Rolle Versicherter NICHT die Anlage öffentlicher Räume anbieten. [<=]

3.2 TI-M FD ePA

Die folgende Grafik visualisiert die Komponenten eines TI-M FD ePA auf Serverseite , die im Rahmen der in diesem Dokument beschriebenen Features hinzukommen oder angepasst werden müssen. Farblich hervorgehoben sind diejenigen Komponenten gegenüber der Basisspezifikation [gemSpec_TI-M_Basis], die im Rahmen der in dieser Spezifikation vorgestellten Features angepasst werden müssen (blau) und Komponenten, die neu hinzugekommen sind (grün).

Abbildung 3: TI-Messenger-Service Komponentendiagramm

3.2.1 Registrierungs-Dienst

Der Registrierungs-Dienst wird angepasst, da nur Kostenträger in die Lage versetzt werden sollen, Messenger-Services für Akteure in der Rolle "Versicherter" zu bestellen (siehe 5.1 Einschränkung zu Anwendungsfall AF_10060 - Bereitstellung eines Messenger-Service für eine Organisation).

3.2.2 Messenger-Service

3.2.2.1 Schnittstelle für Authentifizierungsverfahren

Der Messenger-Service muss für die Authentifizierung der Akteure in der Rolle "Versicherter" an den sektoralen IDP angeschlossen werden.  Anschließend können Inhalte des vom sektoralen IDP ausgestellten ID_TOKEN bei der Account Anlage verwendet werden (siehe A_25706 - AF_10234 - Erzeugung der MXID (Bei Registrierung) & A_25707 - AF_10234 - Erzeugung des Display Name). Für den TI-M FD ePA sind damit die Fachdienstanforderungen aus der Spezifikation Identity Provider – Nutzungsspezifikation für Fachdienste ([gemSpec_IDP_FD] entsprechend bindend und im Produktypsteckbrief aufgeführt.

A_25696 - OIDC mit pushed authorization requests

Der TI-Messenger Service für ePA MUSS für die Registrierung eines neuen Accounts und für das Login eines Akteurs in der Rolle Versicherter den OIDC authorization code flow mit pushed authorization requests am sektoralen IDP unterstützen. [<=]

Hinweis: Die vom sektoralen IDP grundsätzlich unterstützten Authentifizierungsverfahren sind in [gemSpec_IDP_Sek#Authentifizierungsverfahren] beschrieben.

3.2.2.2 Messenger-Proxy

Das Berechtigungsmanagement des Messenger-Proxy wird erweitert, um die direkte Versicherten-zu-Versicherte Kommunikation zu unterbinden (siehe 5.3 Berechtigungsmanagement - Anpassungen). Zusätzlich kann der Proxy noch angepasst werden, um Pushed Authorization Requests gegenüber dem Sektoralen IDP zu realisieren (siehe 5.2 Feature Identifikation und Login eines Benutzers ).

3.2.2.3 Ergänzungen zur Matrix-Spezifikation

A_25996 - Keine öffentlichen Räume

Der Matrix-Homeserver MUSS die Anlage öffentlicher Räume durch einen Akteur in der Rolle Versicherter unterbinden. Die API zur Anlage eines Raumes DARF den Preset "public_chat" NICHT zulassen und MUSS eine join_rule mit dem Wert "public" unterbinden. [<=]

4 Übergreifende Festlegungen

4.1 Betrieb

Im Betrieb verantwortet ein Anbieter des TI-Messengers das Produkt:

  • TI-M FD für ePA

Abbildung 4 Betriebsmodell TI-M ePA

Hinweis zur Abbildung:
Die Abbildung bildet die organisatorischen Kommunikationsbeziehungen aus Sicht des TI-ITSM-Systems zwischen den jeweiligen Entitäten/Anbieterrollen ab. Die Produktverantwortung für das Produkt TI-M Client ePA, welches im ePA FdV integriert ist, liegt beim Hersteller des Versicherten Frontends (siehe auch [gemKPT_Betr]).

5 Funktionsmerkmale

5.1 Einschränkung zu Anwendungsfall AF_10060 - Bereitstellung eines Messenger-Service für eine Organisation

Der nachfolgende Anwendungsfall beschreibt die Ergänzungen zur Einschränkung an "AF_10060 - Bereitstellung eines Messenger-Service für eine Organisation".

Tabelle 1: Einschränkung zu Anwendungsfall AF_10060

AF_10060 Bereitstellung eines Messenger-Service für eine Organisation
Beschreibung / Motivation
Um den Messenger-Service für Akteure in der Rolle "Versicherter" von anderen Produkttypen differenzieren zu können, soll dieser ausschließlich nur (im Auftrag) von gesetzlichen und privaten Krankenversicherungen angelegt werden dürfen. Die Domain des Messenger-Service ist in der Föderationsliste als Domain für Versicherte zu hinterlegen.
Vorbedingung Ein Akteur in der Rolle "Org-Admin" hat die Organisation mit einer SM(C)-B KTR bzw. über das KIM-Verfahren mit einer professionOID für Kostenträger: 1.2.276.0.76.4.59 registriert.
Ergebnis Ein Messenger-Service für Akteure in der Rolle "Versicherter" darf ausschließlich von Kostenträgern im Gesundheitswesen (=professionOID 1.2.276.0.76.4.59) instanziiert werden.
Die Domain des Messenger-Service ist in der Föderationsliste hinterlegt worden und das Feld "isInsurance" wurde mit "true" belegt.

A_25690 - AF_10060 - Messenger-Service für ePA - Bereitstellung nur für Kostenträger

Ein Messenger-Service für ePA MUSS nur von Kostenträgern im Gesundheitswesen (=professionOID 1.2.276.0.76.4.59) bereitgestellt werden können. [<=]

A_26000 - AF_10060 - Messenger-Service für ePA - Föderationslisteneintrag

Bei der Bereitstellung eines Messenger-Service für ePA MUSS beim Eintragen der Domain in der Föderationsliste der Wert von "isInsurance" mit "true" belegt werden. [<=]

5.2 Feature Identifikation und Login eines Benutzers

Versicherte erhalten von ihrer Krankenkasse eine App, die es ihnen ermöglicht, den TI-Messenger innerhalb des ePA FdV zu nutzen. Die Krankenkasse stellt den Versicherten Identifizierungsmöglichkeiten gemäß [gemSpec_IDP_Sek#Identifizierung und Authentifizierung des Nutzers] und einen IDP bereit, der es ermöglicht, die Versicherten der Krankenkasse zu authentifizieren und Identitätsinformationen der Versicherten in den Diensten der TI (wie hier am TI-Messenger Service) zu nutzen.

5.2.1 Anwendungsfall

AF_10234 - Identifikation und Login eines Benutzers

Damit Versicherte die Messenger-Funktion der ePA-App ihrer Krankenkasse nutzen können, müssen sich diese am IDP ihrer Krankenkasse identifizieren und erhalten damit Zugang zu deren TI-Messenger Service. Die Authentifizierung von Versicherten für die Registrierung von TI-Messenger Accounts und für das Login am Homeserver erfolgt am sektoralen IDP mittels OIDC.

Tabelle 2: AF - Identifikation und Login eines Benutzers

Attribute Bemerkung
Akteur Versicherter, welcher gleichzeitig auch das ePA-FdV benutzt.
Auslöser Der Akteur benutzt die Login- oder Registrierungs-Funktion seines TI-M Clients
Komponenten
  • TI-M Client im ePA-FdV
  • Messenger-Proxy
  • Matrix-Homeserver (als Relying Party des sektoralen IDP)
  • Sektoraler IDP
Eingangsdaten Login-Call am aufgerufenen Client des Akteurs
Ergebnis
  1. Der Akteur erhält einen nutzbaren Zugang zum TI-Messenger Service seiner Krankenkasse (bei Nutzung der Registrierungsfunktion).
  2. Akteur ist mit seinem Client am Matrix Homeserver eingeloggt und kann anschließend über diesen kommunizieren.
Ausgangsdaten
  • Neuer Nutzeraccount auf dem Homeserver (bei Nutzung der Registrierungsfunktion)
  • aktive User-Session im TI-M Client unter Benutzung eines gültigen access token
Diagrammvariablen
  • {homeserver_client_api_url}: Hostname des Matrix-Homeserver, z.B. https://myprovider.homeserver-tim.de, zzgl. Basispfad zum gültigen Client-API /_matrix/client/v3
  • {sidp}: ID des sektoralen IDPs, die vom Homeserver beauskunftet wird
  • {sektoraler_idp_url}: Der am Homeserver konfigurierte FQDN des sektoralen IDP als OIDC IDP
  • {redirect_uri}: Die vollständige Callback-Adresse für den OIDC Flow
  • {client_url}: URL der TI-M Clients

Die Laufzeitsicht zeigt sowohl die Registrierung eines Benutzer-Accounts als auch den Login eines Akteurs am Homeserver des TI-Messengers Service. Die in der Box "Verhaltensänderung, ..." dargestellte Änderung betrifft notwendige Anpassungen am Messenger-Proxy, um damit Redirects vom Homeserver aufzufangen, auszuwerten und anhand der Auswertung über einen entsprechende Endpoint am sektoralen IDP einen PAR (ein Pushed Authorization Request) nach dessen Vorgaben zu erstellen.