Die Erstellung von Befugnissen durch Primärsysteme der Leistungserbringerinstitutionen wird durch das Aktensystem mengenmäßig über einen Zeitraum begrenzt. Diese Maßnahme verhindert den massenhaften Zugriff auf Aktenkonten durch Fehlbedienung seitens eines Primärsystems oder durch unzulässige Nutzung der Aktensysteme.

Die maximal zulässige Befugnismenge ist dabei so bemessen, dass die intendierte Nutzung der ePA durch Leistungserbringerinstitutionen im Versorgungsalltag nicht eingeschränkt wird. Diese maximale Befugnismenge ist pro Nutzerrolle separat festgelegt.

Jedes Aktensystem führt dazu aktensystemweit Zähler für erteilte Befugnisse aus der Umgebung der Leistungserbringer pro Telematik-ID. Die Erfassung erfolgt somit pro Leistungserbringerinstitutionen separat. Die Zuordnung erfolgt zur Telematik-ID der befugniserstellenden Nutzer (nicht des zu befugenden Nutzers). Die Befugnisvergabe aus der Umgebung des Versicherten mittels ePA-FdV wird nicht erfasst und geht nicht in die Zählerstände ein.

Das Entitlement Mangement wertet diese Menge der erfassten Befugnisvergaben im Falle einer weiteren Befugnisvergabe durch ein Primärsystem aus der Umgebung der LEI aus und verhindert die Befugniserstellung bei Erreichen der maximal zulässigen Befugnismenge.

Die zulässige Befugnisrate limitiert dabei einerseits die Menge der innerhalb einer Stunde erstellbaren Befugnisse, als auch die Menge der insgesamt monatlich erstellbaren. Die Zählung erfolgt aktensystemweit pro Aktensystem eines Herstellers und unabhängig vom adressierten Aktenkonto und berücksichtigt nur erfolgreiche Befugnisvergaben. Der Zeitraum pro Stunde, bzw. pro Monat, bezieht sich dabei auf den Zeitraum der aktuellen Stunde, bzw. des aktuellen Monats.

A_27311 - Entitlement Management – RateLimit-oid-List

Das Entitlement Management MUSS eine RateLimit-oid-List führen, in der pro oid

der Wert für die maximale Anzahl durch das Primärsystem zu registrierenden Befugnisse innerhalb einer Stunde,
der Wert für die maximale Anzahl durch das Primärsystem zu registrierenden Befugnisse innerhalb eines Monats und
der Zeitpunkt der letzten Änderung der Werte

gespeichert werden. [<=]

A_27290 - Entitlement Management – RateLimit-oid-List: Maximale Anzahl von Befugnissen für LEI pro Stunde

Das Entitlement Management MUSS in der RateLimit-oid-List sicherstellen, dass eine LEI mit der Rolle

oid_praxis_arzt maximal 200 Befugnisse
oid_krankenhaus maximal 1.000 Befugnisse
oid_institution-vorsorge-reha maximal 1.000 Befugnisse
oid_zahnarztpraxis maximal 200 Befugnisse
oid_öffentliche_apotheke maximal 200 Befugnisse
oid_praxis_psychotherapeut maximal 100 Befugnisse
oid_institution-pflege maximal 100 Befugnisse
oid_institution-geburtshilfe maximal 100 Befugnisse
oid_praxis-physiotherapeut maximal 100 Befugnisse
oid_institution-oegd maximal 100 Befugnisse
oid_institution-arbeitsmedizin maximal 100 Befugnisse

innerhalb einer Stunde durch das Primärsystem im Aktensystem registrieren kann.
[<=]

A_27291 - Entitlement Management – RateLimit-oid-List: Maximale Anzahl von Befugnissen für LEI pro Monat

Das Entitlement Management MUSS in der RateLimit-oid-List sicherstellen, dass

oid_praxis_arzt maximal 10.000 Befugnisse
oid_krankenhaus maximal 200.000 Befugnisse
oid_institution-vorsorge-reha maximal 200.000 Befugnisse
oid_zahnarztpraxis maximal 10.000 Befugnisse
oid_öffentliche_apotheke maximal 25.000 Befugnisse
oid_praxis_psychotherapeut maximal 10000 Befugnisse
oid_institution-pflege maximal 10000 Befugnisse
oid_institution-geburtshilfe maximal 10000 Befugnisse
oid_praxis-physiotherapeut maximal 10000 Befugnisse
oid_institution-oegd maximal 10000 Befugnisse
oid_institution-arbeitsmedizin maximal 10000 Befugnisse

innerhalb eines Monats durch das Primärsystem im Aktensystem registrieren kann.
[<=]

Hinweis zu A_27290-* und A_27291-*: Die Stunde bzw. der Tag müssen sich nicht auf die aktuelle Stunde bzw. Kalendertag beziehen, sondern können auch je Leistungserbringerinstitution auf Requestzeitpunkte bezogen werden. Dann gilt für einen Monat 30 Tage.

A_27318 - ePA-Aktensystem - RatelLimit-oid-List: Maßnahmen zum Schutz der Konfiguration

Der Betreiber des ePA-Aktensystem MUSS technisch/organisatorische Maßnahmen umsetzen, die eine unautorisierte Änderung der RateLimit-oid-List verhindern. [<=]

A_27312 - ePA-Aktensystem - RatelLimit-oid-List: Konfiguration durch Betreiber

Der Betreiber des ePA-Aktensystem MUSS sicherstellen, dass die Werte für die Anzahl der maximalen Befugnisse in der RateLimit-oid-List durch den Betreiber des ePA-Aktensystems außschließlich im Vier-Augen-Prinzip konfigurierbar sind. [<=]

Stellen LEI Befugnisse mittels der Operation setEntitlementsPs über das Primärsystem in das ePA-Aktensystem ein, wird für diese LEI geprüft, ob diese bereits das zulässige Limit erreicht hat. Nur falls dies nicht der Fall ist, kann die Befugnis eingestellt werden. Hierzu erfasst das ePA-Aktensystem außerhalb der VAU wann ein Nutzer mit welcher Rolle eine Befugnis registriert hat. Für den Nutzer wird außerhalb der VAU ein Nutzerpseudonym geführt.

A_27313 - Entitlement Management - Prüfen der RateLimit-oid-List beim Einstellen von Befugnissen

Das Entitlement Management MUSS bei Aufruf der Operation setEntitlementsPs prüfen, ob für das zur LEI gehörende Nutzerpseudonym und die oid der LEI bereits das in der RateLimit-oid-List vorgegebene maximale Limit pro Stunde oder Monat erreicht wurde. Falls ein Limit erreicht wurde, wird die Operation setEntitlementsPs mit einem Fehler abgebrochen. Falls kein Limit erreicht wurde, ist die Registrierung für das zur LEI gehörende Nutzerpseudonym zu vermerken. [<=]

A_27310 - ePA-Aktensystem - Erfassung der Nutzer zur Prüfung RateLimit-oid-List

Das ePA-Aktensystem MUSS sicherstellen dass bei der Erfassung der Nutzerdaten außerhalb der VAU zur Prüfung der RateLimit-oid-List eine Profilierung über die Nutzer nicht möglich ist und zu diesem Zweck aus der TelematikId eines Nutzers ein Nutzerpseudonym abgeleitet wird, gemäß gemSpec_Krypt#7.5 Routing auf VAU-Instanzen.
[<=]

3 Änderung in I_Entitlement_Management.yaml

**Provider**:</br>
...
The entitlement management enforces the requirements for rate limiting.

| Conditions | Status code | Error code | Remarks |
|------------|-------------|------------|---------|

C_12146_Anlage

1 Änderungsbeschreibung

2 Änderung in gemSpec_Aktensystem_ePAfuerAlle

3 Änderung in I_Entitlement_Management.yaml