1 Änderungsbedarf:

Das Ziel des Änderungsbedarfes ist es den Zeitraum, in dem nicht mehr zugelassene Produktversionen von dezentralen Komponenten im Feld verbleiben möglichst kurz zu halten.
Daher werden die Betreiber der VPN-Zugangsdienste und die Anbieter VPN-Zugangsdienst dazu verpflichtet die Auswertung der Betriebsdaten vorzunehmen. Zudem wird die Kommunikation zwischen dem VPN-Zugangsdienst, dem Anbieter VPN-Zugangsdienst und dem Betreibern des Konnektors konkretisiert und verpflichtend gestaltet. Das Ziel der Änderungen ist es, dass der Zeitraum, in dem nicht mehr zugelassene Produktversionen von dezentralen Komponenten im Feld verbleiben, möglichst kurz gehalten wird.

2 Änderungen in der gemSpec_VPN_ZugD

Das Kapitel 5.3.4 wird angepasst.

Die folgende Anforderung ersetzt A_21611.

A_21611-01 - VPN-Zugangsdienst, Informationspflicht zu Anbieter VPN-Zugangsdienst

Der VPN-Zugangsdienst MUSS über ihn angebundene Anbieter VPN-Zugangsdienste innerhalb von fünf Werktagen  einer Woche schriftlich informieren, wenn die vom Konnektor übermittelten Betriebsdaten oder die vom KSR bereitgestellten Lokalisierungsdaten ergeben, dass:

  • die Produktversion des Konnektors nicht mehr zugelassen ist
  • für seinen Konnektor eine neue Firmewareversion auf dem KSR vorliegt, die vom Konnektor nicht automatisch installiert wird
  • an den Konnektor Kartenterminals angeschlossen sind, die nicht mehr zugelassen sind
  • für die an seinem Konnektor angeschlossenen Kartenterminals eine neue Firmewareversion vorliegt, die nicht automatisch installiert wird
[<=]

Die folgende Anforderung ersetzt A_21339-01.

A_21339-02 - VPN-Zugangsdienst, Löschung von Betriebsdaten

Der VPN-Zugangsdienst MUSS die empfangenen Betriebsdaten nach spätestens 6 Wochen löschen. Zusammengefasste Auswertungen sind von der Löschpflicht nicht betroffen. Betriebsdaten, die für die Pflichten des Zugangsdienstes nach A_21611-* nicht notwendig sind, MÜSSEN unverzüglich nach Übertragung an die gematik gelöscht werden.
[<=]

Das Kapitel 4.1.6 wird wie folgt angepasst.

A_23515 - VPN-Zugangsdienst, Prüfung unzulässiger Produkte in der TI

Der VPN-Zugangsdienst MUSS regelmäßig, mindestens einmal pro Woche, die Lokalisierungsdaten des KSR nach nicht zugelassenen Produkten (Konnektor, eHealth-Kartenterminal) prüfen.
 [<=]

A_23627 - VPN-Zugangsdienst, Dokumentationspflicht der Kommunikation

Der VPN-Zugangsdienst MUSS die geschäftliche Korrespondenz aus A_21611-* mit dem Anbieter VPN-Zugangsdienst dokumentieren, Die Dokumentation muss mindestens die folgenden Punkte umfassen,

  • Adressaten der geschäftliche Korrespondenz.
  • Text der geschäftliche Korrespondenz in anonymisierter Form.
  • Mengengerüst der betroffenen Leistungserbringer pro VPN-Zugangsdienst
[<=]

Zusätzlicher informativer Text zu A_23627

Unter Korrespondenz ist der schriftliche Austausch in Papierform als auch in elektronisch Form zu verstehen. Insbesondere bei der Korrespondenz, ausgelöst durch die Anforderungen A_21611-*, ist das Mengengerüst zu dokumentieren.

A_23640 - VPN-Zugangsdienst, Übergabe dokumentierter Korrespondenz

Der VPN-Zugangsdienst MUSS die zu A_21611-* dokumentierte Korrespondenz mit dem Anbieter VPN-Zugangsdienst innerhalb von 5 Werktagen nach Abschluss des Schriftverkehrs an die gematik übergeben. 
 [<=]

A_25905 - VPN-Zugangsdienst, Nachvollziehbarkeit der Dokumentation zu Anbieter VPN-Zugangsdienst

Der VPN-Zugangsdienst MUSS die Dokumentation so erstellen, dass für fachkundige Dritte die anlassbezogene Korrespondenz zu A_21611-* und der zeitlichen Ablauf nachvollziehbar ist. [<=]

Die Anforderung A_18734 wird durch die nachfolgende Anforderung ersetzt

A_25901 - VPN-Zugangsdienst: Informationspflicht zu Leistungserbringer

Der Anbieter VPN-Zugangsdienst MUSS die jeweiligen über seinen Dienst angebundenen Leistungserbringer unverzüglich bei Verbindungen von nicht-zugelassenen Produkten (Konnektor, eHealth-Kartenterminal) schriftlich über diesen Sachverhalt informieren.
 [<=]

Dieses Schreiben ist der erste von zwei Informationsbriefen, die an den Leistungserbringer gerichtet sind.

Der informative Text unterhalb von A_18738 wird angepasst und A_25901 zugeordnet.

Zudem wird erwartet, dass die angeschriebenen Leistungserbringer oder ihre DVOs auf Grundlage der Mitteilung des Anbieter VPN-Zugangsdienstes die jeweilige Firmware bzw. Geräte rechtzeitig aktualisieren bzw. aktualisieren lassen oder austauschen bzw. austauschen lassen.

Die Anforderung A_18736 wird durch die nachfolgende Anforderung ersetzt

A_18736-01 - VPN-Zugangsdienst, Informationsinhalt an Leistungserbringer

Der Anbieter VPN-Zugangsdienst MUSS die über seinen Dienst angebundenen Leistungserbringer gemäß A_25901-* in schriftlich und verständlicher Form informieren, dass

  • die Aktualisierung seiner Produkte (Konnektor, eHealth-Kartenterminal) mit einer Frist von 10 Werktagen zu erfolgen hat
  • die Missachtung der Frist zur Sperrung des TI-Zugangs führt
  • alternativ der Austausch der benannten Produkte zu erfolgen hat 
[<=]

Die Anforderung A_18737 wird durch die nachfolgende Anforderung ersetzt

A_26103 - VPN-Zugangsdienst, Sperrung des TI-Zugangs durch Weisung der gematik

Der Anbieter VPN-Zugangsdienst MUSS auf Anweisung der gematik den Verbindungsaufbau von Konnektoren zur Telematikinfrastruktur unterbinden. [<=]

Der informative Text vor der A_18737 wird angepasst und der A_26103 zugeordnet.

Der VPN-Zugangsdienstanbieter oder die gematik können nicht-zugelassenen Produkte (Konnektor, eHealth-Kartenterminal) im Rahmen der betrieblichen Prozesse gemäß [gemKPT_Betr], [gemRL_Betr_TI] und [gemSpec_DS_Anbieter] den Zugang zur TI untersagen. Zur Durchsetzung können entsprechende Anweisungen erteilt werden.

A_25916 - VPN-Zugangsdienst, Dokumentationsplicht zu Leistungserbringer

Der Anbieter VPN-Zugangsdienst MUSS die geschäftliche Korrespondenz aus A_25901 -* mit dem Leistungserbringer dokumentieren. Die Dokumentation muss mindestens die folgenden Punkte umfassen,

  • Adressaten der geschäftlichen Korrespondenz
  • ContractID
  • Text der geschäftliche Korrespondenz in anonymisierter Form
  • Liste der betroffenen Produkte (Konnektoren, eHealth - Kartenterminal) beim Adressaten
[<=]

A_25922 - VPN-Zugangsdienst, Nachvollziehbarkeit der Dokumentation zu Leistungserbringer

Der Anbieter VPN-Zugangsdienst MUSS die Dokumentation so erstellen, dass für fachkundige Dritte die anlassbezogene Korrespondenz zu A_25901-* und der zeitlichen Ablauf nachvollziehbar ist. [<=]

A_25923 - VPN-Zugangsdienst, Übergabe dokumentierte Korrespondenz zu Leistungserbringer

Der Anbieter VPN-Zugangsdienst MUSS die zu A_25916-* dokumentierte Korrespondenz mit dem Leistungserbringer innerhalb von 5 Werktagen nach Abschluss des Schriftverkehrs an die gematik übergeben.  [<=]

A_25924 - VPN-Zugangsdienst, Anleitung für Wiedereintritt nach Sperrung

Der Anbieter VPN-Zugangsdienst MUSS dem Leistungserbringer mit gesperrtem Konnektor in verständlicher Form eine Anleitung für den Wiedereintritt in die TI bereitstellen.
[<=]

A_26078 - VPN-Zugangsdienst, Sperrung des TI-Zugangs

Der Anbieter VPN-Zugangsdienst MUSS den Verbindungsaufbau des Konnektors zur Telematikinfrastruktur unterbinden, wenn die folgenden Bedingungen erfüllt sind

  • die übermittelten Betriebsdaten oder die vom KSR bereitgestellten Lokalisierungsdaten ergeben weiterhin, dass Produktversionen von Konnektor oder angeschlossenem Kartenterminal nicht mehr zugelassen sind
  • die gesetzte Frist aus A_18736-* abgelaufen ist
  • die Information zur Aktualisierung der Produkte nach A_25901-* erfolgt ist
Der Anbieter VPN-Zugangsdienst MUSS die Umsetzung vornehmen, wenn der VPN-Zugangsdienst die Funktion bereitstellt. 
Andernfalls MUSS der Anbieter VPN-Zugangsdienst den VPN-Zugangsdienst anweisen, die Umsetzung durchzuführen.
 [<=]

A_26101 - VPN-Zugangsdienst, zweites Schreiben zur Informationspflicht zu Leistungserbringer

Der Anbieter VPN-Zugangsdienst MUSS den Leistungserbringer in einem zweiten Schreiben mit gleichem Informationsinhalt wie A_18736 -* schriftlich auf die Aktualisierungspflicht hinweisen, wenn

  • die Aktualisierung seiner eingesetzten Produkte (Konnektor, eHealth-Kartenterminal) noch nicht erfolgt ist
  • 50% der in A_18736 -* gesetzten Frist verstrichen ist
Der Anbieter VPN-Zugangsdienst MUSS im Schreiben die Frist anpassen.
[<=]

Die folgenden Anforderung entfallen ersatzlos.

A_18738 - Information an Leistungserbringer über Monitoring nach nicht-zugelassenen Komponenten

A_18733-01 - Prüfung zugelassener Produkte bei Verbindung zur TI

Der zugehörige informative Text wird gestrichen:

Dafür wird dem jeweiligen VPN-Zugangsdienst vom Anbieter Zentrale Plattformdienste über ein Service Request eine Liste zur Verfügung gestellt, welche die Geräte und ihre IP-Adressen enthält, die nicht mehr zugelassen bzw. genehmigt sind.