Ihre Meinung macht den Unterschied
Jetzt Feedback zum gematik Fachportal geben!

Unterstützen Sie uns dabei, das gematik Fachportal weiter zu verbessern.
Was funktioniert gut? Wo sehen Sie Optimierungsbedarf? Nehmen Sie sich einen Moment Zeit und bringen Sie Ihre Perspektive ein.

Hier geht es zur Umfrage

C_12444_Anlage_V1.0.0

Prereleases:

PDF HTML Excel XML
C_12444_Anlage_V1.0.0

C_12444_Anlage

Inhaltsverzeichnis

1 Änderungsbeschreibung

Ziel der VAU ist, dass ein Zugriff durch einen Mitarbeiter beim Betreiber des Aktensystems (insbesondere auch Administratoren) auf die innerhalb der VAU verarbeiteten Daten mit technischen Maßnahmen ausgeschlossen wird. Dies muss auch gelten, falls Hersteller herstellerspezifische VAU-Schnittstellen z.B. für die Verwaltung von Akten implementieren. Diese herstellerspezifischen VAU-Schnittstellen dürfen nicht zu Sicherheitsrisiken führen und müssen ebenfalls vom Produktgutachter begutachtet werden.

2 Änderung in gemSpec_Aktensystem

In Abschnitt 3.5 werden folgende Anforderungen ergänzt:

A_28805 - ePA-Aktensystem - Begutachtung aller VAU-Schnittstellen

Der Hersteller eines ePA-Aktensystems MUSS sicherstellen, dass

  • alle Schnittstellen der VAU vom Produktgutachter begutachtet und im Produktgutachten dokumentiert werden. Dies beinhaltet insbesondere auch herstellerspezifische VAU-Schnittstellen, die z.B. zum Anlegen oder Löschen einer Akte oder sonstiger administrativer Funktionen implementiert wurden.
  • dem Produktgutachter dafür eine aktuelle und ausreichend detaillierte Liste sämtlicher Schnittstellen zur Verfügung gestellt werden.
[<=]

Hinweis zu A_28805-*: Im Produktgutachten sind alle herstellerspezifischen VAU-Schnittstellen durch den Produktgutachter so zu dokumentieren, dass deren Zweck und die verarbeiteten Daten daraus hervorgehen. Dies bezieht sich sowohl auf Aktenkontoverwaltungs- als auch Service-VAUs.

A_28888 - ePA-Aktensystem - Herstellerspezifische VAU-Schnittstellen ausschließlich für den Betreiber oder Kostenträger

Der Hersteller des ePA-Aktensystems MUSS technisch sicherstellen, dass herstellerspezifische VAU-Schnittstellen ausschließlich für den Betreiber des ePA-Aktensystems oder für Kostenträger nutzbar sind. [<=]

A_28916 - ePA-Aktensystem - Eigene VAU-Instanz für Betreiberzugriffe

Das ePA-Aktensystem MUSS sicherstellen, dass ein Betreiber ausschließlich über herstellerspezifische VAU- Schnittstellen auf eine VAU-Instanz zugreifen kann, in der keine unverschlüsselten Daten nach  A_25716-* verarbeitet werden. Dies bedeutet, dass Betreiber für administrative Funktionen eine eigene VAU-Instanz nutzen müssen.  [<=]

A_28807 - ePA-Aktensystem - Aktensystem-Schnittstellen gewährleisten technischen Ausschluss des Betreibers

Das ePA-Aktensystem MUSS technisch ausschließen, dass dem Betreiber des ePA-Aktensystems über eine Schnittstelle des ePA-Aktensystems (VAU- oder Nicht-VAU-Schnittstelle) Daten offenbart werden oder der Betreiber auf entschlüsselte Daten zugreifen kann, die durch die VAU zu schützen sind, sofern dies nicht durch andere gematik-Anforderungen erlaubt wird. [<=]

A_28855 - ePA-Aktensystem - Zulässigkeit von Aktensystem-Schnittstellen für Kostenträger

Falls das ePA-Aktensystem dem Kostenträger eine Schnittstelle (VAU- oder Nicht-VAU-Schnittstelle)  anbietet, MUSS das ePA-Aktensystem technisch ausschließen, dass dem Kostenträger über diese Schnittstelle Daten offenbart werden oder der Kostenträger Daten entschlüsseln kann, die durch die VAU zu schützen sind, sofern dies nicht durch andere gematik-Anforderungen erlaubt wird. [<=]

Hinweis zu A_28807-* und A_28855-*: Die durch die VAU zu schützenden Daten sind alle Daten der in der VAU laufenden Services nach A_25716-*.  Die Anforderungen des Abschnitts "Logging und Monitoring" sind ein Beispiel für gematik-Anforderungen, die dem Betreiber des ePA-Aktensystems in gewissem Rahmen erlauben, durch die VAU zu schützende Daten zu protokollieren.  Ein weiteres Beispiel ist die Schnittstelle des Betreibers zum Auftauen von Daten gemäß Abschnitt 3.5.5.

A_28856 - ePA-Aktensystem - Aktensystem-Schnittstelle für Kostenträger zu administrativen Zwecken

Das ePA-Aktensystem KANN dem Kostenträger eine (VAU-)Schnittstelle anbieten, über die der Kostenträger administrative Informationen zu den vom Kostenträger verantworteten Akten erhalten kann, z.B. aktenübergreifende Statistiken zur Aktennutzung oder das letzte Nutzungsdatum einer Akte. [<=]