gemSpec_eRg_FD_V1.0.0_CC
Prereleases:
Elektronische Gesundheitskarte und Telematikinfrastruktur
Spezifikation
E-Rechnung Fachdienst
| Version | 1.0.0_CC |
| Revision | 935009 |
| Stand | 20.06.2024 |
| Status | zur Freigabe empfohlen |
| Klassifizierung | öffentlich_Entwurf |
| Referenzierung | gemSpec_eRg_FD |
Dokumentinformationen
Änderungen zur Vorversion
Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.
Dokumentenhistorie
| Version |
Stand |
Kap./ Seite |
Grund der Änderung, besondere Hinweise |
Bearbeitung |
|---|---|---|---|---|
| 1.0.0_CC | 20.06.2024 | initiale Erstellung | gematik |
Inhaltsverzeichnis
1 Einordnung des Dokumentes
1.1 Zielsetzung
Die vorliegende Spezifikation definiert die fachlichen Anforderungen zur Herstellung des Produkttyps E-Rechnung Fachdienst. Sie dient als Ergänzung und Detaillierung der konzeptionellen Beschreibung der Anwendung E-Rechnung im Feature Dokument [gemF_E-Rechnung].
1.2 Zielgruppe
Das Dokument richtet sich an den Hersteller des E-Rechnung Fachdienstes, sowie an Hersteller und Anbieter von weiteren Produkttypen der Fachanwendung E-Rechnung.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekanntgegeben.
| Schutzrechts-/Patentrechtshinweis |
|---|
| Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen. |
1.4 Abgrenzungen
Spezifiziert werden in dem Dokument die von dem Produkttyp bereitgestellten (angebotenen) Schnittstellen. Benutzte Schnittstellen werden hingegen in der Spezifikation desjenigen Produkttypen beschrieben, der diese Schnittstelle bereitstellt. Auf die entsprechenden Dokumente wird referenziert (siehe auch Anhang ).
Die vollständige Anforderungslage für den Produkttyp ergibt sich aus weiteren Konzept- und Spezifikationsdokumenten, u.a. zu den Bereichen Infrastruktur und Betrieb sowie Authentifizierung und Autorisierung über Zero Trust Komponenten. Diese werden in dem Produkttypsteckbrief des Produkttyps eRg FD verzeichnet, der zu einem späteren Zeitpunkt zur Verfügung gestellt wird.
Nicht Bestandteil des vorliegenden Dokumentes sind die Festlegungen zum Themenbereich des Frontend der Versicherten der Anwendung E-Rechnung (eRg FdV). Hierzu wird zu einem späteren Zeitpunkt ein weiteres Spezifikationsdokument sowie ein Produkttypsteckbrief für den Produkttyp eRg FdV erstellt.
1.5 Methodik
Anwendungsfälle und Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID,
Anforderungen zusätzlich durch die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.
Da in dem Beispielsatz „Eine leere Liste DARF NICHT ein Element besitzen.“ die Phrase „DARF NICHT“ semantisch irreführend wäre (wenn nicht ein, dann vielleicht zwei?), wird in diesem Dokument stattdessen „Eine leere Liste DARF KEIN Element besitzen.“ verwendet. Die Schlüsselworte werden außerdem um Pronomen in Großbuchstaben ergänzt, wenn dies den Sprachfluss verbessert oder die Semantik verdeutlicht.
Anwendungsfälle und Anforderungen werden im Dokument wie folgt dargestellt:
<AF-ID> - <Titel des Anwendungsfalles>
Text / Beschreibung
[<=]
bzw.
<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]
Dabei umfasst der Anwendungsfall bzw. die Anforderung sämtliche zwischen ID und Textmarke [<=] angeführten Inhalte.
FHIR Spezifikation
Des Weiteren wird im Dokument über AFOs auf die Spezifikation der Operationen und Datenstrukturen in FHIR referenziert. Die referenzierten Festlegungen zu FHIR sind auf simplifier.net [Simplifier eRg] verfügbar und dort über einen Implementation Guide dokumentiert. Sie werden während der Auftragsvergabe und Umsetzung zusammen mit dem Auftragnehmer im Rahmen der jeweils geltenden Anforderungslage weiterentwickelt und stellen in der aktuellen Version mitgeltende Bestandteile der vorliegenden Spezifikation dar.
2 Systemüberblick
Das folgende Bild zeigt die funktionale Aufteilung des Fachdienstes sowie die Schnittstellen zu den Client-Systemen und weiteren benötigten Diensten (siehe auch [gemF_E-Rechnung#5.1 Zerlegung des Fachdienstes]).
Abbildung 1 Funktionaler Aufbau der Anwendung E-Rechnung
Des Weiteren ist dargestellt, welche funktionalen Anteile und Schnittstellen des E-Rechnung Fachdienstes im Rahmen dieser Spezifikation beschrieben werden. Nur die rot umrandeten Anteile des Fachdienstes sind Gegenstand dieser Spezifikation, d.h. Anforderungen an folgende Gegenstände werden hier nicht oder nur teilweise erfasst. Dies betrifft
- betriebliche Anforderungen wie z.B. das Betriebsdaten-Monitoring,
- die Absicherung des Fachdienstes per Zero Trust Architektur und
- Anforderungen an die sichere, vertrauenswürdige Ausführungsumgebung.
Anforderungen zu den oben aufgeführten Gegenständen ergeben sich aus referenzierten Dokumenten bzw. den Anforderungen aus mitgeltenden Dokumenten gemäß Produkttypsteckbrief des Fachdienstes.
3 Systemkontext
Entsprechend der Beteiligung der Nutzergruppen der E-Rechnung sind die jeweils genutzten IT-Systeme in die Gesamtlösung zu integrieren (für mehr Details siehe [gemF_E-Rechnung#3]).
3.1 Zugang zum Fachdienst in der TI
Der Zugang für die Nutzergruppen und die von ihnen genutzten Client-Systeme wird auf unterschiedliche Weise umgesetzt:
Institutionen (Rechnungsersteller und Kostenträger)
Diese müssen über einen sicheren Zugang zur Telematikinfrastruktur (TI) verfügen - d.h. der Zugriff muss gemäß TI 1.0 über eine Anbindung an das zentrale Netz mittels zugelassener dezentraler Komponenten erfolgen:
- Konnektor oder
- Basis-Consumer oder
- TI Gateway (mit High Speed Konnektor)
Für die Anwendung E-Rechnung (eRg) ist kein Fachmodul für den Konnektor oder den Basis-Consumer vorgesehen. Der E-Rechnung Fachdienst (eRg FD) ist somit ein offener Fachdienst gemäß der Systematik der TI 1.0.
Eine Zusammenstellung der verschiedenen möglichen TI-Zugangslösungen findet sich in [gemF_E-Rechnung#Anhang A].
Versicherte
Der Zugriff erfolgt über das Internet, abgesichert nach dem Zero Trust-Ansatz, siehe [gemF_Zero-Trust].
3.2 Autorisierte Nutzergruppen und Rollen
Leistungserbringerinstitutionen (LEI) , Abrechnungsdienstleister (ADL), Kostenträger (KTR) und Versicherte, die auf den E-Rechnung Fachdienst zugreifen möchten, müssen zuvor autorisiert werden. Dabei erfolgt eine rollenbasierte Berechtigungsprüfung durch den Autorisierungsdienst des Fachdienstes, wobei nur bestimmten Nutzergruppen der Zugriff in der jeweils zulässigen Rolle auf die Anwendung eRg gewährt wird. Diese Prüfung basiert auf der OID (Object Identifier) des Nutzers, die bei der Anmeldung mittels GesundheitsID (Versicherte) oder SM(C)-B (Institutionen) ermittelt wird.
A_26020 - E-Rechnung Fachdienst - Erlaubte Nutzergruppen und Rollen
Der E-Rechnung Fachdienst MUSS sicherstellen, dass bei der Autorisierung ausschließlich die in der Tabelle angegebenen Nutzergruppen und OIDs Zugriff erhalten dürfen und darauf basierend die folgenden Rollen zugewiesen werden müssen.
Tabelle 1 Erlaubte Nutzergruppen und Rollen
| Nutzergruppe | OID1 (gemäß [gemSpec_OID]) | Rolle |
|---|---|---|
| Versicherter | oid_versicherter | Rechnungsempfänger, Rechnungseinreicher |
| Leistungserbringerinstitution | oid_zahnarztpraxis oid_praxis_arzt oid_oeffentliche_apotheke |
Rechnungsersteller |
| Abrechnungsdienstleister | oid_abrechnungsdienstleister | Rechnungsersteller |
| Kostenträger | oid_kostentraeger | Kostenträger |
3.2.1 Claims
A_26026 - E-Rechnung Fachdienst - Autorisierte Nutzergruppen und Rollen - Claims
Der E-Rechnung Fachdienst MUSS die Claims verwenden, die in [gemF_E-Rechnung] beschrieben sind. [<=]
3.2.2 Scopes
Der E-Rechnung Fachdienst verwendet Scopes, die sich im Aufbau an den Empfehlungen von [SMART on FHIR] orientieren. Diese bestehen aus dem Namen des Datenobjekts, gefolgt von einem "." und eine Liste an Berechtigungen. Die Liste der Berechtigungen besteht in der Reihenfolge aus den Buchstaben "c" = "create", "r" = "read", "u" = "update", "d" = "delete" und "s" = "search", sofern zutreffend. Ein Scope, der das Lesen und Aktualisieren einer Rechnung erlaubt, würde wie folgt lauten:
invoiceDoc.ru
A_26027 - E-Rechnung Fachdienst - Autorisierte Nutzergruppen und Rollen - Scopes
Der E-Rechnung Fachdienst MUSS zur Prüfung der Autorisierung bei Aufrufen die Scopes verwenden, welche wie folgt den Rollen zugeordnet sind:
Tabelle 2: Rollen und Scopes
| Rolle | Zugriffsberechtigung | Scope |
|---|---|---|
| Rechnungsersteller | Daten des Rechnungsempfängers lesen | insurantAccount.rs |
| E-Rechnungen (mit Dokumenten) anlegen | invoiceDoc.c | |
| Angereichertes Dokument abrufen | invoiceDoc.r | |
| Eigenes Nutzerkonto anlegen, lesen, bearbeiten und löschen | account.crud | |
| Rechnungsempfänger | E-Rechnungen (mit Dokumenten) lesen, bearbeiten, löschen und suchen | invoiceDoc.ruds |
| Angereichertes Dokument abrufen | invoiceDoc.r | |
| Eigenes Nutzerkonto anlegen, lesen, bearbeiten und löschen | account.crud | |
| Einträge des Nutzerprotokolls lesen und suchen | auditEvent.rs | |
| Berechtigungen lesen, bearbeiten und löschen | permission.rud | |
| Rechnungseinreicher | E-Rechnungen (mit Dokumenten) anlegen | invoiceDoc.c |
| Kostenträger | E-Rechnungen (mit Dokumenten) lesen und bearbeiten | invoiceDoc.ru |
| Angereichertes Dokument abrufen | invoiceDoc.r | |
| Eigenes Nutzerkonto anlegen, lesen, bearbeiten und löschen | account.crud |
4 Zerlegung des Produkttyps
Eine weitere Untergliederung der Aufbaustruktur des Produkttyps ist nicht erforderlich.
5 Übergreifende Festlegungen
5.1 Datenschutz und Informationssicherheit
Dieser Abschnitt enthält die anwendungsfallübergreifenden Datenschutz- und Sicherheitsanforderungen an den E-Rechnung Fachdienst bzw. seinen Hersteller sowie Anbieter/Betreiber.
Allgemeine Anforderungen
Der Hersteller des E-Rechnung Fachdienstes muss die Anforderungen aus dem Abschnitt "Sicherer Softwareentwicklungsprozess" sowie die Anforderungen aus dem Abschnitt "Unterstützung von Audits" des Dokuments [gemSpec_DS_Hersteller] erfüllen. Die konkreten Anforderungen sind im Produkttypsteckbrief aufgeführt.
Die gematik stellt mit der Prüfkarte eGK eine elektronische Identität zur Überprüfung verschiedener Anwendungsfälle in der Telematikinfrastruktur (TI) zur Verfügung, die vorrangig von Dienstleistern vor Ort (DVOs) genutzt wird. Die Prüfkarte eGK ist nicht für die Nutzung im regulären Versorgungsalltag von Leistungserbringern (LE) oder Versicherten vorgesehen. Die folgende Anforderung soll eine Vermischung von Prüfaktivitäten mittels der Prüfkarte eGK und den Anwendungsfällen von Versicherten verhindern.
A_25907 - E-Rechnung Fachdienst – Umgang mit Prüfidentitäten
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Prüfidentitäten nicht auf Daten von echten Personen oder Institutionen zugreifen können und dass echte Personen oder Institutionen nicht auf Daten von Prüfidentitäten zugreifen können. [<=]
Hinweis: Eine eGK-Prüfkartenidentität kann anhand der Bildungsregel X0000nnnnP, mit nnnn aus der Menge {0001 .. 5000} und P = Prüfziffer für die KVNR der Prüfkarte eGK erkannt werden.
Für die Gesamtsicherheit der Anwendung E-Rechnung ist es bedeutsam, dass der E-Rechnung Fachdienst nur zugelassene – und damit sicherheitsgeprüfte – Frontends des Versicherten (FdVs) den Zugriff auf Daten ermöglicht. Dies wird durch Komponenten der Zero Trust-Architektur sichergestellt.
Die Gliederung der folgenden Anforderungen orientiert sich an den Schutzzielen des Datenschutzes und der Informationssicherheit.
Vertraulichkeit
Die Vertraulichkeit der im E-Rechnung Fachdienst verarbeiteten personenbezogenen medizinischen Daten wird durch
- die Verschlüsselung der Daten beim Transport in den E-Rechnung Fachdienst und aus dem E-Rechnung Fachdienst sowie zwischen den Komponenten des Fachdienstes (data in motion),
- die vertrauliche Verarbeitung im E-Rechnung Fachdienst (data in use, siehe Anforderungen zur VAU),
- und die verschlüsselte Speicherung im E-Rechnung Fachdienst (data at rest, siehe Anforderungen zur VAU)
gewährleistet. Die kryptographischen Vorgaben für die umzusetzenden Maßnahmen (insbes. TLS) sind in [gemSpec_Krypt] formuliert.
A_25908 - E-Rechnung Fachdienst – Schutz der in die VAU des Fachdienstes transportierten Daten
Der E-Rechnung Fachdienst MUSS sicherstellen, dass die Kommunikation zwischen Clients und dem E-Rechnung Fachdienst ausschließlich vertraulich und integritätsgeschützt erfolgt. [<=]
Für den Ausschluss des Anbieters/Betreibers des E-Rechnung Fachdienstes vom Zugriff auf die zwischen Clients und E-Rechnung Fachdienst transportierten personenbezogenen medizinischen Daten muss der Endpunkt dieser Kommunikation in der Vertrauenswürdigen Ausführungsumgebung (VAU) des E-Rechnung Fachdienstes liegen.
A_25909 - Endpunkt der Transportsicherung in der VAU des Fachdienstes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass ein Endpunkt der transportgeschützten Kommunikation zwischen Clients und dem E-Rechnung Fachdienst in der VAU liegt. [<=]
A_25910 - Schutz der innerhalb des Fachdienstes transportierten Daten
Der Anbieter des E-Rechnung Fachdienstes MUSS die zwischen den Komponenten des E-Rechnung Fachdienstes auszutauschenden Daten vertraulich und integritätsgeschützt übertragen. [<=]
A_25911 - Umsetzung der fachlichen Operationen in einer VAU
Der E-Rechnung Fachdienst MUSS die Verarbeitung aller fachlichen Operationen des Fachdienstes in einer VAU umsetzen. [<=]
A_25912 - E-Rechnung Fachdienst – Umsetzung der Operationen für das Protokoll der Versicherten in einer VAU
Der E-Rechnung Fachdienst MUSS die Verarbeitung aller Operationen des Fachdienstes für das Protokoll der Versicherten in einer VAU umsetzen. [<=]
Der E-Rechnung Fachdienst muss die im Fachdienst verarbeiteten Daten derart speichern, dass der Anbieter/Betreiber des E-Rechnung Fachdienstes die Daten nicht selbst entschlüsseln kann. Die Anforderungen hierzu werden im Kontext der VAU formuliert.
Integrität
Die von LE bzw. Abrechnungsdienstleistern (ADL) eingestellten Rechnungen im PDF/A Format werden mit der SMC-B der Institution bzw. Organisation signiert. Hierfür gilt die Anforderung [gemSpec_Krypt#GS-A_5081*].
Verfügbarkeit
Die Verfügbarkeit des E-Rechnung Fachdienstes wird über die betrieblichen Anforderungen geregelt.
Transparenz
Der E-Rechnung Fachdienst führt Zugriffsprotokolle für die Versicherten, in denen alle Zugriffe auf die personenbezogenen (medizinischen) Daten eines Versicherten für den Versicherten einsehbar sind. Diese Zugriffsprotokolle sind unabhängig von technischen Protokollen und stehen ausschließlich dem Versicherten zur Wahrnehmung seiner Betroffenenrechte zur Einsicht zur Verfügung.
Die Protokolleinträge müssen enthalten, wer wann in welchem Use Case (auf was) zugegriffen hat. Die Einträge müssen in einer leicht verständlichen Sprache formuliert sein.
Die Anforderungen zur Protokollierung sind in Abschnitt 6.2 Zugriffsprotokoll formuliert.
Nichtverkettbarkeit
A_25914 - E-Rechnung Fachdienst - Verbot unbefugter Profilbildung aus personenbezogenen Daten
Der Anbieter des E-Rechnung Fachdienstes DARF im E-Rechnung Fachdienst verarbeitete personenbezogene Daten NICHT für eine unbefugte Profilbildung verwenden. [<=]
Diese Anforderung gilt explizit auch für Verbindungsdaten, die durch die Kommunikation von Clients der Nutzer mit dem Fachdienst entstehen.
A_25913 - E-Rechnung Fachdienst - Verbot unbefugter Profilbildung aus Verbindungsdaten
Der Anbieter des E-Rechnung Fachdienstes DARF anfallende Verbindungsdaten (Client-IP-Adresse, etc.) NICHT für eine unbefugte Profilbildung der verbundenen Clients bzw. ihrer Nutzer verwenden. [<=]
Hinweis: Eine Verwendung zur Sicherung der Schnittstelle (DDoS-Schutz, Fehleranalyse in sehr eingeschränktem Maß) ist zulässig (im Sinne einer befugten Profilbildung zur Sicherstellung des sicheren Betriebs).
Intervenierbarkeit
Die Nutzung der Anwendung E-Rechnung ist für alle Beteiligten freiwillig. Die Versicherten geben ihre Einwilligung in die Nutzung der Anwendung über das FdV und der Fachdienst muss diese Information speichern.
A_25918 - E-Rechnung Fachdienst – Anlegen Nutzerkonto nur bei Einwilligung
Der E-Rechnung Fachdienst DARF NICHT ein Nutzerkonto für einen Nutzer anlegen, wenn ihm dessen Einwilligung in die Nutzung der Anwendung E-Rechnung nicht vorliegt. [<=]
A_25919 - E-Rechnung Fachdienst – Einwilligung speichern
Der E-Rechnung Fachdienst MUSS die Einwilligung eines Nutzers in die Nutzung der Anwendung E-Rechnung speichern. [<=]
Widerruft ein Nutzer die Einwilligung zur Nutzung der Anwendung, muss sein Nutzerkonto und die die damit verbundenen Daten im Fachdienst gelöscht werden. Andersherum ist die Löschung eines Nutzerkontos durch den Nutzer gleichbedeutend mit dem Widerruf der Einwilligung in die Anwendung E-Rechnung.
A_25920 - E-Rechnung Fachdienst – Daten löschen bei Widerrufung der Einwilligung
Der E-Rechnung Fachdienst MUSS alle Daten von und über einen Nutzer löschen, wenn ein Versicherter die Einwilligung in die Nutzung der Anwendung E-Rechnung widerruft. [<=]
Versicherte haben die Möglichkeit für sie im Fachdienst gespeicherte Rechnungen zu löschen.
A_25921 - E-Rechnung Fachdienst – Löschen von Rechnungen durch den Versicherten
Der E-Rechnung Fachdienst MUSS es Versicherten ermöglichen, ihre Rechnungen im E-Rechnung Fachdienst zu löschen. [<=]
Datenminimierung
A_25915 - E-Rechnung Fachdienst – Zweckbestimmte Verarbeitung von Daten
Der E-Rechnung Fachdienst DARF NICHT Daten verarbeiten, die nicht dem rechtmäßigen Zweck der Anwendung dienen. [<=]
Die Anforderungen zu Löschfristen sind im Abschnitt 5.1.2 Löschfristen formuliert.
5.1.1 Protokollierung für die Versicherten
Der E-Rechnung Fachdienst führt Zugriffsprotokolle für die Versicherten, in denen alle Zugriffe auf die personenbezogenen (medizinischen) Daten eines Versicherten für den Versicherten einsehbar sind. Diese Zugriffsprotokolle sind unabhängig von technischen Protokollen und stehen ausschließlich dem Versicherten zur Wahrnehmung seiner Betroffenenrechte zur Einsicht zur Verfügung.
Die Anforderungen zum Nutzerprotokoll sind im Abschnitt 5.2.3 Nutzerprotokoll formuliert.
5.1.2 Löschfristen
Der E-Rechnung Fachdienst soll datensparsam umgesetzt werden. Das bedeutet, dass personenbezogene Daten und nicht mehr benötigte Daten nach folgend definierten Fristen gelöscht werden.
5.1.2.1 Nutzerkonten
A_25675 - E-Rechnung Fachdienst - Löschfristen - Nutzerkonten - Löschfrist inaktiver Nutzerkonten
Der E-Rechnung Fachdienst MUSS Nutzerkonten sowie deren verknüpften Daten, Dokumente, Workflows und Protokolle automatisch zum Ende des laufenden Monats löschen, wenn diese 1 Jahr inaktiv waren. [<=]
A_25676 - E-Rechnung Fachdienst - Löschfristen - Nutzerkonten - Benachrichtigung vor Löschung
Der E-Rechnung Fachdienst MUSS den Nutzer automatisch 3 Monate vor der Löschung des Nutzerkontos per Benachrichtigung über diese informieren, so dass dieser sich anmelden kann, um die Löschung zu vermeiden. [<=]
A_25682 - E-Rechnung Fachdienst - Löschfristen - Nutzerkonten - Erinnerung vor Löschung
Der E-Rechnung Fachdienst MUSS den Nutzer automatisch 2 Wochen vor der Löschung des Nutzerkontos per Benachrichtigung an die bevorstehende Löschung erinnern. [<=]
5.1.2.2 Rechnungen und Dokumente
A_25677 - E-Rechnung Fachdienst - Löschfristen - Rechnungen und Dokumente - Papierkorb für OFFEN
Der E-Rechnung Fachdienst MUSS Rechnungen 3 Jahre nach der Rechnungserstellung automatisch zum nächsten Jahresende in den Status PAPIERKORB ändern. [<=]
A_25678 - E-Rechnung Fachdienst - Löschfristen - Rechnungen und Dokumente - Verlängerung
Der E-Rechnung Fachdienst MUSS Rechnungen 3 Jahre nach Wechsel in den Status OFFEN zum nächsten Jahresende automatisch in den Status PAPIERKORB ändern. [<=]
A_26132 - E-Rechnung Fachdienst - Löschfristen - Rechnungen und Dokumente - Papierkorb für ERLEDIGT
Der E-Rechnung Fachdienst MUSS Rechnungen ein Jahr nach Wechsel in den Status ERLEDIGT zum nächsten Monatsende automatisch in den Status PAPIERKORB ändern. [<=]
A_25833 - E-Rechnung Fachdienst - Löschfristen - Rechnungen und Dokumente - Gesamtaufbewahrungsdauer
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Rechnungen trotz Verlängerungen der Löschfrist spätestens 10 Jahre nach Erstellung automatisch endgültig gelöscht werden. [<=]
A_25679 - E-Rechnung Fachdienst - Löschfristen - Rechnungen und Dokumente - Löschen
Der E-Rechnung Fachdienst MUSS Rechnungen sowie die verknüpften, strukturierten Daten und Dokumente 3 Monate nach dem Wechsel in den Status PAPIERKORB zum nächsten Monatsende automatisch löschen. [<=]
A_25694 - E-Rechnung Fachdienst - Löschfristen - Rechnungen und Dokumente - Benachrichtigung vor Löschung
Der E-Rechnung Fachdienst MUSS den Nutzer bei einem Wechsel in den Status PAPIERKORB per Benachrichtigung über diese informieren, so dass dieser die Löschfrist verlängern kann. [<=]
A_25695 - E-Rechnung Fachdienst -Löschfristen - Rechnungen und Dokumente - Erinnerung vor Löschung
Der E-Rechnung Fachdienst MUSS den Nutzer automatisch 2 Wochen vor der Löschung von Rechnungen in dem Status PAPIERKORB per Benachrichtigung an die bevorstehende Löschung erinnern. [<=]
5.2 Sonstige übergreifende Anforderungen
A_25815 - E-Rechnung Fachdienst - Funktionsmerkmale - Transaktionen
Der E-Rechnung Fachdienst MUSS eine Information zur Verfügung stellen, falls die erneute Übermittlung von Dokumenten und Informationen (beispielsweise nach verloren gegangener Antwort an Rechnungserstellende) zu Duplikaten führt. [<=]
5.2.1 Dateigrößen
Beim Austausch und Speicherung von Dokumenten müssen Dateigrößenbeschränkungen eingehalten werden. Diese gelten sowohl für einzelne Dokumente als auch die Kombination von Rechnungen und ihren ergänzenden Dokumenten.
A_25975 - E-Rechnung Fachdienst - Dateigrößen - Maximale Größe einzelnes Dokument
Der E-Rechnung Fachdienst MUSS sicherstellen, dass einzelne Rechnungsdokumente und sonstige Dokumente nur bis zu einer maximalen Dateigröße von 10 MB in Übertragungen akzeptiert und gespeichert werden. [<=]
A_25976 - E-Rechnung Fachdienst - Dateigrößen - Maximale Größe zusammengehörige Dokumente
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Kombinationen aus Rechnungsdokument und dessen ergänzenden Dokumente nur bis zu einer maximalen Dateigröße von 50 MB in Übertragungen akzeptiert und gespeichert werden. [<=]
5.2.2 Dokumentenformate
A_25731 - E-Rechnung Fachdienst - Dokumentenformate - Dokumente
Der E-Rechnung Fachdienst MUSS sicherstellen, dass NUR Dokumente im PDF/A Format nach [ISO 19005] akzeptiert werden. Der E-Rechnung Fachdienst MUSS das Dokumentenformat validieren und bei Validierungsfehlern ablehnen. [<=]
A_25736 - E-Rechnung Fachdienst - Dokumentenformate - Angereichertes PDF
Der E-Rechnung Fachdienst MUSS das angereicherte PDF im PDF/A-3 Format nach [ISO 19005] Abschnitt ISO 19005-3 erstellen. [<=]
5.2.3 Nutzerprotokoll
Der E-Rechnung Fachdienst muss verschiedene Arten von Zugriffen protokollieren, so dass diese zu einem späteren Zeitpunkt von betroffenen Versicherten abgefragt werden können. Allgemein gefasst sind die Art des Zugriffs, der Zeitpunkt, der zugreifende Akteur, das Ergebnis des Zugriffs, welche Ressourcen betroffen sind und der Protokolleintragsersteller zu protokollieren.
die Art des Zugriffs, der zugreifende Akteur, das Ergebnis des Zugriffs, welche Ressourcen betroffen sind und der Protokolleintragsersteller.
A_25980 - E-Rechnung Fachdienst - Nutzerprotokoll - Zugriffszeit
Der E-Rechnung Fachdienst MUSS bei jedem Zugriff den Zeitpunkt festhalten, zu dem dieser erfolgte. [<=]
5.2.3.1 Rechnungen
Für verschiedene Zugriffsarten müssen verschiedene Informationen protokolliert werden. Nachfolgend sind die zu protokollierenden Informationen beschrieben.
A_25981 - E-Rechnung Fachdienst - Nutzerprotokoll - Rechnungen - Übermittlung
Der E-Rechnung Fachdienst MUSS beim Übermitteln einer Rechnung das Erstellen, den Rechnungsersteller und die übermittelte Rechnung und, sofern vorhanden, die ergänzenden Dokumente protokollieren. [<=]
A_25982 - E-Rechnung Fachdienst - Nutzerprotokoll - Rechnungen - Einreichen per Frontend
Der E-Rechnung Fachdienst MUSS bei Weitergabe von Rechnungen und ergänzenden Dokumenten über die Versicherten-Schnittstelle das Einreichen, den Rechnungseinreicher und die eingereichten Dokumente protokollieren. [<=]
Bei automatischen Aktionen des E-Rechnung Fachdienstes diese ebenfalls protokollieren. Diese Aktionen sind beispielsweise das automatische Verschieben von Rechnungen in den Papierkorb oder das automatische Löschen.
A_25983 - E-Rechnung Fachdienst - Nutzerprotokoll - Rechnungen - Automatische Aktionen
Der E-Rechnung Fachdienst MUSS bei automatischen Aktionen durch den Fachdienst selbst
protokollieren. [<=]
5.2.3.2 Berechtigungen
Die Erstellung und Veränderung von Berechtigungen muss ebenfalls durch den Fachdienst protokolliert werden.
A_25984 - E-Rechnung Fachdienst - Nutzerprotokoll - Berechtigungen - Erstellen
Der E-Rechnung Fachdienst MUSS bei Erstellung von Berechtigungen die Erstellung, den entsprechenden Initiator und die erstellten Berechtigungen protokollieren. [<=]
A_25985 - E-Rechnung Fachdienst - Nutzerprotokoll - Berechtigungen - Bestätigung/Widerruf
Der E-Rechnung Fachdienst MUSS bei Bestätigung oder Widerruf von Berechtigungen die Aktualisierung dieser, den entsprechenden Bestätiger und die aktualisierten Berechtigungen protokollieren. [<=]
A_25986 - E-Rechnung Fachdienst - Nutzerprotokoll - Berechtigungen - Abfrage
Der E-Rechnung Fachdienst MUSS bei der Abfrage von Berechtigungen das Lesen, die Abfragenden und die abgefragten Berechtigungen protokollieren. [<=]
5.2.3.3 Markierungen
A_25987 - E-Rechnung Fachdienst - Nutzerprotokoll - Markierungen - Hinzufügen/Verändern
Der E-Rechnung Fachdienst MUSS beim Hinzufügen oder Verändern von Markierungen das Aktualisieren, die betroffenen Dokumente und die Entitäten, die für die Veränderung verantwortlich sind, protokollieren. [<=]
5.2.3.4 Nutzerkonten
A_25988 - E-Rechnung Fachdienst -Nutzerprotokoll - Nutzerkonten - Erstellen
Der E-Rechnung Fachdienst MUSS beim Erstellen von Nutzerkonten die Erstellung, den betreffenden Nutzer und das betreffende Nutzerkonto protokollieren. [<=]
5.3 RESTful API
A_25847 - E-Rechnung Fachdienst - RESTful API - Schnittstelle
Der E-Rechnung Fachdienst MUSS seine Schnittstellen für alle Zugriffe auf alle Datenobjekte und alle Ressourcen in einer RESTful API gemäß der FHIR-Spezifikation in https://hl7.org/fhir/r4/http.html der Version v4.0.1 umsetzen. [<=]
A_25896 - E-Rechnung Fachdienst - RESTful API - FHIR Search
Der E-Rechnung Fachdienst MUSS in seinen Schnittstellen Suchanfragen mittels FHIR-Search gemäß der FHIR-Spezifikation in https://www.hl7.org/fhir/r4/search.html der Version v4.0.1 in dem für die Anwendungsfälle (siehe [gemF_E-Rechnung]) benötigten Umfang umsetzen. [<=]
A_25906 - E-Rechnung Fachdienst - RESTful API - FHIR Operations
Der E-Rechnung Fachdienst MUSS in seinen Schnittstellen FHIR-Operations gemäß der FHIR-Spezifikation in https://hl7.org/fhir/r4/operations.html der Version v4.0.1 in dem für die Anwendungsfälle (siehe [gemF_E-Rechnung]) benötigten Umfang umsetzen. [<=]
A_25845 - E-Rechnung Fachdienst - RESTful API - Konsumierende Formate
Der E-Rechnung Fachdienst MUSS in seinen Schnittstellen für Zugriffe die MimeTypes application/fhir+json und application/fhir+xml akzeptieren und verarbeiten. [<=]
A_25846 - E-Rechnung Fachdienst - RESTful API - Produzierende Formate
Der E-Rechnung Fachdienst MUSS in seinen Schnittstellen für Zugriffe entsprechend des HTTP-Request-Headers Accept entweder den Mime-Type application/fhir+json oder application/fhir+xml in Responsen verwenden. [<=]
A_25848 - E-Rechnung Fachdienst - RESTful API - CapabilityStatement
Der E-Rechnung Fachdienst MUSS eine HTTP-Route namens /metadata anbieten, bei der auf einem GET-Aufruf ein CapabilityStatement gemäß https://www.hl7.org/fhir/capabilitystatement.html zurückgeliefert werden muss, welches die vom E-Rechnung Fachdienst beschriebenen Ressourcen und Operations auflistet. [<=]
5.4 FHIR-Ressourcen
A_26053 - E-Rechnung Fachdienst - FHIR-Ressourcen - Dokument-Objekt
Der E-Rechnung Fachdienst MUSS für den Austausch von Dokument-Objekten, bestehend aus Visualisierungen und strukturierten Daten, den FHIR-Ressource-Typ DocumentReference mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-dokumentenmetadaten verwenden. [<=]
A_26054 - E-Rechnung Fachdienst - FHIR-Ressourcen - Rechnungsdaten
Der E-Rechnung Fachdienst MUSS für den Austausch von strukturierten Rechnungsdaten den FHIR-Ressource-Typ Invoice mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-rechnung verwenden. [<=]
A_26062 - E-Rechnung Fachdienst - FHIR-Ressouren - Rechnungsdokument
Der E-Rechnung-Fachienst MUSS für den Austausch des Base64-kodierten Rechnungsdokuments den FHIR-Ressource-Typ Binary mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-rechnungsdokument verwenden. [<=]
A_26055 - E-Rechnung Fachdienst - FHIR-Ressourcen - Rechnungsposition
Der E-Rechnung Fachdienst MUSS für den Austausch von Rechnungspositionen den FHIR-Ressource-Typ ChargeItem mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-rechnungsposition verwenden. [<=]
A_26063 - E-Rechnung Fachdienst - FHIR-Ressource - Rechnungsdiagnose
Der E-Rechnung Fachdienst MUSS für den Austausch von Diagnosen in Rechnungen den FHIR-Ressource-Typ Condition mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-rechnungsdiagnose verwenden. [<=]
A_26056 - E-Rechnung Fachdienst - FHIR-Ressourcen - Versicherte
Der E-Rechnung Fachdienst MUSS für den Austausch von Informationen über Versicherten den FHIR-Ressource-Typ Patient mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-versicherteperson verwenden. [<=]
A_26057 - E-Rechnung Fachdienst - FHIR-Ressourcen - Leistungserbringer
Der E-Rechnung Fachdienst MUSS für den Austausch von Informationen über Leistungserbringer den FHIR-Ressource-Typ Practitioner mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-leistungserbringer verwenden. [<=]
A_26058 - E-Rechnung Fachdienst - FHIR-Ressourcen - Leistungserbringer-Institution
Der E-Rechnung Fachdienst MUSS für den Austausch von Informationen über Leistungserbringer-Institutionen den FHIR-Ressource-Typ Organization mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-leistungserbringer-organisation verwenden. [<=]
A_26059 - E-Rechnung Fachdienst - FHIR-Ressourcen - Nutzerprotokolleintrag
Der E-Rechnung Fachdienst MUSS für den Austausch von Einträgen des Nutzerprotokolls den FHIR-Ressource-Typ AuditEvent mit dem Profil https://gematik.de/fhir/erg/StructureDefinition/erg-nutzungsprotokoll verwenden. [<=]
5.5 FHIR-Endpunkte und -Operations
Der E-Rechnung Fachdienst muss für verschiedene Aktionen FHIR-Endpunkte und FHIR-Operations anbieten. Diese sind nachfolgend beschrieben.
5.5.1 RE-PS als Akteur
Nachfolgend beschrieben sind Anforderungen für Anwendungsfälle, in denen die Rechnungsersteller-Primärsysteme (RE-PS) die Akteure sind.
5.5.1.1 Abfrage Rechnungsempfänger und dessen Einwilligung zum Rechnungsversand
A_25852 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage Rechnungsempfänger und dessen Einwilligung zum Rechnungsversand - Aufruf
Der E-Rechnung Fachdienst MUSS die Abfrage eines Rechnungsempfängers mittels der HTTP-GET-Methode auf dem Endpunkt /Patient unterstützen, wie unter [IG eRg RE-PS#R0] beschrieben. [<=]
A_25879 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage Rechnungsempfänger und dessen Einwilligung zum Rechnungsversand - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-GET-Anfragen auf dem Endpunkt /Patient mit Status-Codes antworten, wie unter [IG eRg RE-PS#R0] beschrieben. [<=]
A_26028 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage Rechnungsempfänger und dessen Einwilligung zum Rechnungsversand - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Abfrage eines Rechnungsempfängers einen Claim mit der Telematik-ID des Nutzers und den Scope insurantAccount.rs enthalten und andernfalls diese abweisen. [<=]
5.5.1.2 Rechnung validieren und einreichen
A_25849 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Rechnung validieren und einreichen - Auruf
Der E-Rechnung Fachdienst MUSS das Einreichen und Validieren von Rechnungen mittels HTTP-POST-Methode als FHIR-Operation $erechnung-submit mit der Definition https://gematik.de/fhir/erg/OperationDefinition/Submit auf dem Endpunkt /Patient/<id>/ unterstützen, wie unter [IG eRg RE-PS#R1] beschrieben. [<=]
A_25880 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Rechnung validieren und einreichen - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST-Anfragen auf dem Endpunkt /Patient/<id>/ mit der Operation $rechnung-submit mit Status-Codes antworten, wie unter [IG eRg RE-PS#R1] beschrieben. [<=]
A_26029 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Rechnung validieren und einreichen - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zum Einreichen und Validieren von Rechnungen einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.c enthalten und andernfalls diese abweisen. [<=]
5.5.1.3 Rechnung validieren/einreichen (Bulk)
A_25853 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Rechnung validieren/einreichen (Bulk) - Aufruf
Der E-Rechnung Fachdienst MUSS die Validierung und Einreichen von Rechnungen als Bulk-Operation mittels HTTP-POST-Methode auf dem Endpunkt / unterstützen, wie unter [IG eRg RE-PS#R2] beschrieben. [<=]
A_25881 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Rechnung validieren/einreichen (Bulk) - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST-Anfragen auf dem Endpunkt / zum Einreichen und Validieren von Rechnungen als Bulk-Operation mit Status-Codes antworten, wie unter [IG eRg RE-PS#R2] beschrieben. [<=]
A_26030 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Rechnung validieren/einreichen (Bulk) - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zum Einreichen und Validieren von Rechnungen als Bulk-Operation einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.c enthalten und andernfalls diese abweisen. [<=]
5.5.1.4 Abfrage von Daten zu Rechnungen und Dokumenten per Token
A_25854 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Abfrage
Der E-Rechnung Fachdienst MUSS die Abfrage von angereicherten PDFs per Token als HTTP-POST- oder HTTP-GET-Methode als FHIR-Operation $retrieve mit der Definition https://gematik.de/fhir/erg/OperationDefinition/Retrieve auf dem Endpunkt /DocumentReference/ unterstützen, wie unter [IG eRg RE-PS#R3]beschrieben. [<=]
A_25882 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST- oder HTTP-GET-Anfragen auf dem Endpunkt /DocumentReference/ mit der Operation $retrieve mit Status-Codes antworten, wie unter [IG eRg RE-PS#R3] beschrieben. [<=]
A_26031 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Abfrage von angereicherten PDFs per Token einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.r enthalten und andernfalls diese abweisen. [<=]
5.5.1.5 Abfrage von angereicherten PDFs per Token (Bulk)
A_25855 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage von angereicherten PDFs per Token (Bulk) - Abfrage
Der E-Rechnung Fachdienst MUSS die Abfrage von angereicherten PDFs per Token als Bulk-Operation mittels HTTP-POST-Methode auf dem Endpunkt / unterstützen, wie unter [IG eRg RE-PS#R4] beschrieben. [<=]
A_25883 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage von angereicherten PDFs per Token (Bulk) - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST-Anfragen auf dem Endpunkt / zum Abfrage von angereicherten PDFs als Bulk-Operation mit Status-Codes antworten, wie unter [IG eRg RE-PS#R4] beschrieben. [<=]
A_26032 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - RE-PS als Akteur - Abfrage von angereicherten PDFs per Token (Bulk) - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Abfrage von angereicherten PDFs per Token als Bulk-Operation einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.r enthalten und andernfalls diese abweisen. [<=]
5.5.2 FdV als Akteur
Nachfolgend beschrieben sind Anforderungen für Anwendungsfälle, in denen das Frontend des Versicherten (FdV) der Akteur ist.
5.5.2.1 Abrufen/Suchen von Rechnungen
A_25857 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abrufen/Suchen von Rechnungen - Abfrage
Der E-Rechnung Fachdienst MUSS den Abruf und die Suche von Rechnungen mittels HTTP-GET-Methode auf dem Endpunkt /DocumentReference mit den Suchparametern unterstützen, wie unter [IG eRg FdV#R5] beschrieben. [<=]
A_25884 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abrufen/Suchen von Rechnungen - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-GET-Anfragen auf dem Endpunkt /DocumentReference mit den Suchparametern mit Status-Codes antworten, wie unter [IG eRg FdV#R5] beschrieben. [<=]
A_26033 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abrufen/Suchen von Rechnungen - Claims und Scopes (Abfrage)
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zum Abruf von Rechnungen einen Claim mit der KVNR des Nutzers und den Scope invoiceDoc.r enthalten und andernfalls diese abweisen. [<=]
A_26034 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abrufen/Suchen von Rechnungen - Claims und Scopes (Suche)
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Suche von Rechnungen einen Claim mit der KVNR des Nutzers und den Scope invoiceDoc.s enthalten und andernfalls diese abweisen. [<=]
5.5.2.2 Abfrage von Daten zu Rechnungen und Dokumenten per Token
A_25885 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Abfrage
Der E-Rechnung Fachdienst MUSS die Abfrage von angereicherten PDFs per Token als HTTP-POST- oder HTTP-GET-Methode als FHIR-Operation $retrieve mit der Definition https://gematik.de/fhir/erg/OperationDefinition/Retrieve auf dem Endpunkt /DocumentReference/ unterstützen, wie unter [IG eRg FdV#R6] beschrieben. [<=]
A_25886 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST- oder HTTP-GET-Anfragen auf dem Endpunkt /DocumentReference/ mit der Operation $retrieve mit Status-Codes antworten, wie unter [IG eRg FdV#R6] beschrieben. [<=]
A_26035 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Abfrage von angereicherten PDFs per Token einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.r enthalten und andernfalls diese abweisen. [<=]
5.5.2.3 Statuswechsel
A_25858 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Statuswechsel - Abfrage
Der E-Rechnung Fachdienst MUSS die Änderung des Status mittels HTTP-POST-Methode als FHIR-Operation $change-status mit der Definition https://gematik.de/fhir/erg/OperationDefinition/ChangeStatus mit dem Parameter tag und den Werten erledigt, offen und papierkorb auf dem Endpunkt /DocumentReference/<id>/ unterstützen, wie unter [IG eRg FdV#R7] beschrieben. [<=]
A_25887 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Statuswechsel - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST-Anfragen auf dem Endpunkt /DocumentReference/<id>/ mit der FHIR-Operation $change-status und mit dem Parameter tag mit Status-Codes antworten, wie unter [IG eRg FdV#R7] beschrieben. [<=]
A_26036 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Statuswechsel - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Änderung des Status einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.u enthalten und andernfalls diese abweisen. [<=]
5.5.2.4 Markieren von Rechnungen und Dokumenten
A_25888 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Markieren von Rechnungen und Dokumenten - Abfrage
Der E-Rechnung Fachdienst MUSS das Markieren von Rechnungen und Dokumenten mittels HTTP-POST-Methode als FHIR-Operation $process-flag mit der Definition https://gematik.de/fhir/erg/OperationDefinition/ProcessFlag auf dem Endpunkt /DocumentReference/<id>/ unterstützen, wie unter [IG eRg FdV#R8] beschrieben. [<=]
A_25889 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Markieren von Rechnungen und Dokumenten - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST-Anfragen auf dem Endpunkt /DocumentReference/<id>/ mit der FHIR-Operation $process-flag mit Status-Codes antworten, wie unter [IG eRg FdV#R8] beschrieben. [<=]
A_26039 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Markieren von Rechnungen und Dokumenten - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zum Markieren von Rechnungen und Dokumenten einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.u enthalten und andernfalls diese abweisen. [<=]
5.5.2.5 Löschen eines Rechnungsvorgangs
A_25859 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Löschen eines Rechnungsvorgangs - Abfrage
Der E-Rechnung Fachdienst MUSS das Löschen eines Rechnungsvorgangs mittels HTTP-POST-Methode als FHIR-Operation $erase mit der Definition https://gematik.de/fhir/erg/OperationDefinition/Erase auf dem Endpunkt /DocumentReference/<id>/ unterstützen, wie unter [IG eRg FdV#R9] beschrieben. [<=]
A_25890 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Löschen eines Rechnungsvorgangs - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST-Anfragen auf dem Endpunkt /DocumentReference/<id>/ mit der FHIR-Operation $erase mit Status-Codes antworten, wie unter [IG eRg FdV#R9] beschrieben. [<=]
A_26040 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Löschen eines Rechnungsvorgangs - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zum Löschen eines Rechnungsvorgangs einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.d enthalten und andernfalls diese abweisen. [<=]
5.5.2.6 Nutzerprotokoll einsehen
A_25891 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Nutzerprotokoll einsehen - Abfrage
Der E-Rechnung Fachdienst MUSS die Abfrage des Nutzerprotokolls mittels HTTP-GET-Methode auf dem Endpunkt /AuditEvent unterstützen, wie unter [IG eRg FdV#R10] beschrieben. [<=]
A_25892 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Nutzerprotokoll einsehen - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-GET-Anfragen auf dem Endpunkt /AuditEvent antworten, wie unter [IG eRg FdV#R10] beschrieben. [<=]
A_26041 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - FdV als Akteur - Nutzerprotokoll einsehen -
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Abfrage des Nutzerprotokolls einen Claim mit der Telematik-ID des Nutzers und den Scope auditEvent.rs enthalten und andernfalls diese abweisen. [<=]
5.5.3 KTR als Akteur
Fachfolgend beschrieben sind Anforderungen für Anwendungsfälle, in denen Kostenträger (KTR) Akteure sind.
5.5.3.1 Abfrage von Daten zu Rechnungen und Dokumenten per Token
A_25893 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - KTR als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Abfrage
Der E-Rechnung Fachdienst MUSS die Abfrage von angereicherten PDFs per Token als HTTP-POST- oder HTTP-GET-Methode als FHIR-Operation $retrieve mit der Definition https://gematik.de/fhir/erg/OperationDefinition/Retrieve auf dem Endpunkt /DocumentReference/ unterstützen, wie unter [IG eRg PSK#R11] beschrieben. [<=]
A_25894 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - KTR als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Status-Codes
Der E-Rechnung Fachdienst MUSS auf HTTP-POST- oder HTTP-GET-Anfragen auf dem Endpunkt /DocumentReference/ mit der Operation $retrieve mit Status-Codes antworten, wie unter [IG eRg PSK#R11] beschrieben. [<=]
A_26042 - E-Rechnung Fachdienst - FHIR-Endpunkte und -Operations - KTR als Akteur - Abfrage von Daten zu Rechnungen und Dokumenten per Token - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Abfrage von angereicherten PDFs per Token einen Claim mit der Telematik-ID des Nutzers und den Scope invoiceDoc.r enthalten und andernfalls diese abweisen. [<=]
5.6 Weitere REST-Endpunkte
Der E-Rechnung Fachdienst muss neben den FHIR-Endpunkten und -Operationen weitere REST-Endpunkte anbieten. Diese betreffen Anfragen, die nicht durch FHIR abbildbar sind, wie beispielsweise das Berechtigungsmanagement.
A_25967 - E-Rechnung Fachdienst - Weitere REST-Endpunkte - Berechtigungen
Der E-Rechnung Fachdienst MUSS die Schnittstelle für das Abfragen, Bearbeiten und Löschen von Berechtigungen als HTTP-REST-Anfragen unterstützen, wie unter [API eRg] beschrieben. [<=]
A_26043 - E-Rechnung Fachdienst - Weitere REST-Endpunkte - Berechtigungen Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zum Abfragen, Bearbeiten und Löschen von Berechtigungen einen Claim mit der Telematik-ID bzw. KVNR des Nutzers und zum Abfragen, Bearbeiten oder Löschen respektive den entsprechenden Scope permission.r, permission.u oder permission.d enthalten und andernfalls diese abweisen. [<=]
5.7 Nutzerregistrierung
5.7.1 Institutionen
Institutionen wie Rechnungsersteller und Kostenträger (KTR) sollen sich am E-Rechnung Fachdienst registrieren können. Diese Registrierung ermöglicht Institutionen den Zugriff auf eben diesen. Die Registrierung von KTR erlaubt außerdem Versicherten, bei Markierungen auf KTR zu verweisen. Sind KTR nicht am Fachdienst registriert, so kann bei einer Markierung der Verweis nur über einen Freitext erfolgen.
A_25973 - E-Rechnung Fachdienst - Nutzerregistrierung - Institutionen - REST-Endpunkt
Der E-Rechnung Fachdienst MUSS die Registrierung von Institutionen mittels eines REST-Endpunkts unterstützen. [<=]
A_25974 - E-Rechnung Fachdienst - Nutzerregistrierung - Institutionen - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Registrierung von Institutionen Claims mit dem Anzeigenamen der Institution, die Telematik-ID des Nutzers und den Scope account.c enthalten und andernfalls diese abweisen. Die übermittelten Informationen müssen gespeichert werden. [<=]
A_26046 - E-Rechnung Fachdienst - Nutzerregistrierung - Institutionen - Registrierungsdaten
Der E-Rechnung Fachdienst MUSS sicherstellen, dass die bei der Registrierung von Institutionen übermittelten Claims des Anzeigenamens und der Telematik-ID im erstellten Nutzeraccount gespeichert werden. [<=]
5.7.2 Versicherte
A_26047 - E-Rechnung Fachdienst - Nutzerregistrierung - Versicherte - REST-Endpunkt
Der E-Rechnung Fachdienst MUSS die Registrierung von Versicherten mittels eines REST-Endpunkts unterstützen. [<=]
A_26048 - E-Rechnung Fachdienst - Nutzerregistrierung - Versicherte - Claims und Scopes
Der E-Rechnung Fachdienst MUSS sicherstellen, dass Anfragen zur Versichertenregistrierung Claims mit dem Anzeigenamen des Versicherten, die KVNR und das Geburtsdatum des Nutzers und den Scope account.c enthalten und andernfalls diese abweisen. Die übermittelten Informationen müssen gespeichert werden. [<=]
A_26049 - E-Rechnung Fachdienst - Nutzerregistrierung - Versicherte - Registrierungsdaten
Der E-Rechnung Fachdienst MUSS sicherstellen, dass die bei der Versichertenregistrierung übermittelten Claims mit dem Anzeigenamen des Versicherten, die KVNR und das Geburtsdatum im erstellten Nutzeraccount gespeichert werden. [<=]
5.8 Benachrichtigungen
A_26102 - E-Rechnung Fachdienst - Benachrichtigungen
Der E-Rechnung Fachdienst MUSS aktive Benachrichtigungen gemäß [gemF_E-Rechnung#4.4.3] per Mail an die Versicherten senden. Als Empfänger-Adressen MÜSSEN dabei ausschließlich die Mail-Adressen genutzt werden, die bei der Registrierung von Endgeräten der Versicherten (siehe Client-Registrierung in [gemF_Zero-Trust]) validiert wurden und den Versicherten zugeordnet sind. [<=]
6 Informationsmodell
6.1 FHIR-Ressourcen
Der E-Rechnung Fachdienst muss FHIR-Ressourcen akzeptieren, verarbeiten und produzieren können, die dem Anwendungsfall entsprechen. Diese sind im vorhergehenden Kapitel beschrieben und deren Spezifikation befindet sich unter [Simplifier eRg].
6.2 Zugriffsprotokoll
A_25829 - E-Rechnung Fachdienst - Zugriffsprotokoll - Allgemeine Protokollinformationen
Der E-Rechnung Fachdienst MUSS bei jedem Zugriff, der Informationen liest, erstellt, verändert oder löscht, als Protokolleintrag eine AuditEvent FHIR-Instanz mit folgenden Informationen erstellen:
- AuditEvent
- subtype: zutreffender Wert aus http://hl7.org/fhir/ValueSet/audit-event-sub-type
- action: zutreffender Wert aus http://hl7.org/fhir/ValueSet/audit-event-action
- "C" = erstellt
- "R" = gelesen
- "U" = aktualisiert
- "D" = gelöscht
- recorded: Zeitpunkt des Ereignisses
- entity: Liste an betroffenen Ressourcen
- what: Referenz auf die betroffene Ressource
- name: Name der Ressource
- description: Beschreibung der Ressource
A_25836 - E-Rechnung Fachdienst - Zugriffsprotokoll - Protokolleintrag REST-Schnittstelle
Der E-Rechnung Fachdienst MUSS bei jedem Zugriff über die REST-Schnittstelle zusätzlich zu den allgemeinen Informationen in dem AuditEvent folgende Informationen protokollieren:
- AuditEvent
- type: fester Wert
- agent:
- name: Anzeigename der initierenden Entität
- type: fester Wert
- who:
- Identifier und Displayname von Versicherten, ADL, LEI oder KTR (Information aus Auth-Token)
- requestor: fester Wert
- "false" (wird nicht vom Initiator selbst erstellt)
A_25837 - E-Rechnung Fachdienst - Zugriffsprotokoll - Protokolleintrag automatische Verarbeitung
Der E-Rechnung Fachdienst MUSS bei jeder automatischen Verarbeitung durch den E-Rechnung Fachdienst zusätzlich zu den allgemeinen Informationen in dem AuditEvent folgende Informationen protokollieren:
- AuditEvent
- type: fester Wert
- "110100" ("Application Activity", http://dicom.nema.org/resources/ontology/DCM)
- agent:
- name: fester Wert
- "E-Rechnung-Fachdienst"
- type: fester Wert
- "dataprocessor" (http://terminology.hl7.org/CodeSystem/extra-security-role-type)
- who:
- display
- requestor: fester Wert
- "true" (wird vom Initiator selbst erstellt)
6.3 E-Rechnung-Token
A_26050 - E-Rechnung Fachdienst - E-Rechnung-Token - Token-Format
Der E-Rechnung Fachdienst MUSS als E-Rechnung-Token einen zufallsgenerierten 64-stelligen alphanumerischen UTF-8 String verwenden. [<=]
Dieses soll die Erratbarkeit gen Null senken. Ein Beispiel für einen E-Rechnung-Token wäre 777bea0e13cc9c42ceec14aec3ddee2263325dc2c6c699db115f58fe423607ea.
6.4 Barcode
A_25724 - E-Rechnung Fachdienst - Barcode - Format
Der E-Rechnung Fachdienst MUSS den Barcode als einen DataMatrix- oder QR-Code generieren. [<=]
A_25725 - E-Rechnung Fachdienst - Barcode - Inhalt
Der E-Rechnung Fachdienst MUSS den Barcode aus dem zum Dokument gehörigen E-Rechnung-Token generieren und darf keine anderen Informationen enthalten. [<=]
6.5 Angereichertes PDF
A_25740 - E-Rechnung Fachdienst - Angereichertes PDF - Strukturierte Daten
Der E-Rechnung Fachdienst MUSS die strukturierten Daten im FHIR-XML- oder FHIR-JSON-Format als Attachment in das angereicherte PDF integrieren. [<=]
A_25726 - E-Rechnung Fachdienst - Angereichertes PDF - Größe Barcode
Der E-Rechnung Fachdienst MUSS den Barcode in einer Größe und mit einem äußerem Abstand in das Dokument integrieren, so dass sich dieser vom ausgedruckten Dokument mit gängigen Methoden und gängiger Hardware einlesen lässt. [<=]
A_25727 - E-Rechnung Fachdienst - Angereichertes PDF - Positionierung Barcode
Der E-Rechnung Fachdienst MUSS den Barcode so platzieren, dass keine Elemente des Dokuments durch diesen verdeckt werden. [<=]
A_25728 - E-Rechnung Fachdienst - Angereichertes PDF - Positionierung Barcode Wiederholbarkeit
Der E-Rechnung Fachdienst MUSS sicherstellen, dass die Positionierung des Barcodes sowohl bei dem optionalen, initialen Bereitstellen als auch bei späteren, wiederholten Abrufen identisch ist. [<=]
6.6 Signatur
A_26051 - E-Rechnung Fachdienst - Signatur - Allgemeine Anforderungen
Der Hersteller des E-Rechnung Fachdienst MUSS für die Signatur alle Anforderungen laut [gemSpec_Krypt#3.7, 3.8] erfüllen. [<=]
A_26052 - E-Rechnung Fachdienst -Signatur - Erstellung
Der E-Rechnung Fachdienst MUSS bei Empfang von Rechnungen und strukturierten Daten die Signatur über der Konkatenation aller Base64-kodierten Inhalte der Rechnung in der Reihenfolge Rechnungsdokument und strukturierte Daten bilden und diese anschließend speichern. [<=]
A_26061 - E-Rechnung Fachdienst - Signatur - Erneuerung
Der E-Rechnung Fachdienst MUSS sicherstellen, dass alle Signaturen vor Ablauf der Gültigkeit erneuert werden. [<=]
Dieses kann beispielsweise für alle Signaturen gleichzeitig durchgeführt werden, wenn das Zertifikat erneuert wird.
7 Verteilungssicht
Eine Darstellung der hardwareseitigen Verteilung des Produkttyps bzw. seiner Teilsysteme und der Einbettung in die physikalische Umgebung wird nicht benötigt.
8 Anhang A – Verzeichnisse
8.1 Abkürzungen
Tabelle 2: Im Dokument verwendete Abkürzungen
| Kürzel |
Erläuterung |
|---|---|
| ADL | Abrechnungsdienstleister |
| FdV | Frontend des Versicherten |
| KTR | Kostenträger |
| LEI | Leistungserbringerinstitution |
| RE | Rechnungsersteller |
| RE-PS | Rechnungsersteller Primärsystem |
8.2 Glossar
Tabelle 3: Glossar der explizit im Dokument verwendeten Begriffe
| Begriff |
Erläuterung |
|---|---|
| Funktionsmerkmal | Der Begriff beschreibt eine Funktion oder auch einzelne, eine logische Einheit bildende Teilfunktionen der TI im Rahmen der funktionalen Zerlegung des Systems. |
8.3 Abbildungsverzeichnis
8.4 Tabellenverzeichnis
8.5 Referenzierte Dokumente
8.5.1 Dokumente der gematik
Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur. Der mit der vorliegenden Version korrelierende Entwicklungsstand dieser Konzepte und Spezifikationen wird pro Release in einer Dokumentenlandkarte definiert; Version und Stand der referenzierten Dokumente sind daher in der nachfolgenden Tabelle nicht aufgeführt. Deren zu diesem Dokument jeweils gültige Versionsnummern sind in der aktuellen, von der gematik veröffentlichten Dokumentenlandkarte enthalten, in der die vorliegende Version aufgeführt wird.
Tabelle 4: Referenzierte Dokumente der gematik
| [Quelle] |
Herausgeber: Titel |
|---|---|
| [gemSpec_DS_Hersteller] | gematik: Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Hersteller |
| [gemF_E-Rechnung] | gematik: Feature Spezifikation/Konzept der Anwendung E-Rechnung |
| [gemF_Zero-Trust] | gematik: Feature Spezifikation/Konzept des Zero Trust Architekturpatterns |
| [gemGlossar] | gematik: Einführung der Gesundheitskarte – Glossar |
| [gemSpec_Krypt] | gematik: Übergreifende Spezifikation: Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur |
| [gemSpec_OID] | gematik: Übergreifende Spezifikation: Festlegung von OIDs |
8.5.2 Weitere Referenzen
Tabelle 5: Weitere Referenzen