Ihre Meinung macht den Unterschied
Jetzt Feedback zum gematik Fachportal geben!

Unterstützen Sie uns dabei, das gematik Fachportal weiter zu verbessern.
Was funktioniert gut? Wo sehen Sie Optimierungsbedarf? Nehmen Sie sich einen Moment Zeit und bringen Sie Ihre Perspektive ein.

Hier geht es zur Umfrage

C_12608_Anlage_V1.0.0

Prereleases:

PDF HTML Excel XML
C_12608_Anlage_V1.0.0

C_12608_Anlage

Inhaltsverzeichnis

1 Änderungsbeschreibung

Eine VAU-Instanz (AK-VAU oder Service-VAU) kann Daten von Versicherten temporär zwischenspeichern ("einfrieren"), damit diese zu einem späteren Zeitpunkt von einer Aktenkontoverwaltungs-VAU in das Aktenkonto des Versicherten aufgenommen werden können.

2 Änderung in gemSpec_Aktensystem

Für das temporäre Einfreien und Auftauen von Daten wird eine neue Regel im VAU-HSM eingeführt.

3.4.2 Regeln des Befugnisverifikations-Moduls

Erweitern von Tabelle 5 um eine neue Regel kr6:

 Tabelle 5 Überblick über die Regeln des Befugnisverifikations-Moduls

Regel Kurzbeschreibung
Vollständige Regelspezifikation in
rr0 <unverändert> Tab_AS_Entitlement_Registration_Rules
... ... ...
kr5 <unverändert> Tab_AS_SDS-Key_Rules
kr6 Diese Regel wird für das Einfrieren und Auftauen von Daten genutzt. Tab_AS_SDS-Key_Rules

A_24573-04- ePA-Aktensystem - Regeln des Befugnisverifikations-Moduls

Das Befugnisverifikations-Modul  MUSS die in den Tabellen Tab_AS_Entitlement_Registration_Rules und Tab_AS_SDS-Key_Rules-04 definierten Regeln umsetzen. [<=]

Tabelle 7: Tab_AS_SDS-Key_Rules-04 Key Rules - Regeln zur Ableitung der versichertenindividuellen Persistierungsschlüssel

Regel Beschreibung
kr1 <unverändert>
... ...
kr5 <unverändert>
kr6 Diese Regel wird für das temporäre Einfrieren und Auftauen von Daten genutzt.

Eingangsdaten:
  • VAU-Attestierungstoken einer Aktenkontoverwaltungs-VAU
  • Akten-ID: eindeutige ID des Aktenkontos (z.B. KVNR oder aktenspezifisches Pseudonym)
  • Ableitungsvektor dv
  • Label Datenpersistierungs-Masterkey, der die Grundlage der Schlüsselableitung sein soll (ggf. besonderes Symbol "<current>" für jüngsten im VAU-HSM verfügbaren)
  • optional: Eingabezeitpunkt EZ als Unix-Zeit (natürliche Zahl)
Ausgangsdaten:
  • symmetrischer Schlüssel dataStorageKey
  • symmetrischer Schlüssel userSessionKey
  • Ableitungszeitpunkt AZ (Unix-Zeit)
  • Label des genutzten Datenpersisitierungs-Masterkeys
Prüfschritte:
  1. prüfen der Signatur des VAU-Attestierungstokens und das es ein Attestierungstoken einer AK-VAU ist (herstellerspezifisch)
  2. falls ein Eingabezeitpunkt EZ in den Eingangsdaten enthalten und current_time der aktuelle Zeitpunkt im VAU-HSM in Unix-Zeit ist, prüfen, ob current_time - (2*24*60*60) <= EZ <= current_time.
Falls alle Prüfungen erfolgreich waren:
  1. Ableitung eines AES-Schlüssels [FIPS-197] dataStorageKey mit 256 Bit Schlüssellänge nach einem in [gemSpec_Krypt#2.4] zulässigen Verfahren auf Basis des in den Eingangsdaten angegebenen Datenpersistierungs-Masterkeys und dem Ableitungsvektor "dsk: " + Akten-ID+ dv + AZ, wobei AZ= EZ, falls ein Eingabezeitpunkt in den Eingangsdaten enthalten ist, und ansonsten AZ = current_time, d.h. der aktuelle Zeitpunkt im VAU-HSM in Unix-Zeit,
  2. Ableitung eines AES-Schlüssels [FIPS-197] userSessionKey mit 256 Bit Schlüssellänge nach einem in [gemSpec_Krypt#2.4] zulässigen Verfahren auf Basis des in den Eingangsdaten angegebenen Datenpersistierungs-Masterkeys und dem Ableitungsvektor "usk: "+ Akten-ID + dataStorageKey.
Ausgangsdaten sind der abgeleitete Schlüssel dataStorageKey, userSessionKey, der genutzte Ableitungszeitpunkt AZ in Unix-Zeit und das Label des für die Ableitung genutzten Datenpersisierungs-Masterkeys.

Einfügen eines neuen Abschnitts 3.5.5. zu Service-Token für zeitlich langlaufende Aktionen.

3.5.5 Temporäres Speichern von Daten und spätere Aufnahme ins Aktenkonto

Eine VAU-Instanz (AK-VAU oder Service-VAU) kann Daten von Versicherten zwischenspeichern ("einfrieren"), damit diese zu einem späteren Zeitpunkt von einer Aktenkontoverwaltungs-VAU in das Aktenkonto des Versicherten aufgenommen werden können. Dies ist insbesondere für Ergebnisse von Service-VAUs vorgesehen, für deren Erstellung die Service-VAU länger benötigt und somit die Ergebnisse nicht mehr direkt an die User Session der aufrufenden Aktenkontoverwaltungs-VAU zurückgegeben werden können. Eingefrorene Daten dürfen nur in das Aktenkonto aufgenommen werden, wenn dies keine Protokollierung für den Versicherten erfordert.

Ein Beispiel ist die Erstellung eines Indexes für die Volltextsuche als Ergebnis des Einstellens eines neuen Dokuments durch einen Nutzer. Die Erstellung des Indexes erfolgt in einer Service-VAU und der erstellte Index wird von der Service-VAU zwischengespeichert abgelegt ("eingefroren"). Eine Aktenkontoverwaltungs-VAU pflegt den abgelegten Index dann zu einem späteren Zeitpunkt in die Akte ein. Das Aktualisieren des Indexes erfordert keine Protokollierung für den Versicherten. Für ihn wurde das Einstellen des Dokuments protokolliert, die Aktualisierung des Indexes ist eine technische Folge dieses Zugriffs.

Temporäres Zwischenspeichern ("Einfrieren") von Daten

Die folgende Abbildung beschreibt das Einfrieren von Daten durch eine AK-VAU. Ein Nutzer hat ein Aktenkonto geöffnet, um z.B. ein neues Dokument einzustellen. Der Health Record Context für das Konto ist gestartet und enthält den versichertenindividuellen Datenpersistierungsschlüssel des Kontos. Die AK VAU friert die zwischenzuspeichernden Daten und den versichertenindividuellen Datenpersistierungsschlüssel des Kontos mit Hilfe der VAU-HSM-Regel kr6 ein.

Damit die im Aktensystem gespeicherten verschlüsselten Daten einem Konto zugeordnet werden können, der Betreiber des ePA-Aktensystems daraus jedoch keine Profile über Versicherte erstellen kann, werden die Chiffrate nicht der KVNR des Kontos, sondern einem Akten-Pseudonym zugeordnet, welches ausschließlich innerhalb der VAU aufgelöst werden kann. Die AK-VAU erzeugt das Akten-Pseudonym.

Figure # - Einfrieren von Daten durch eine AK-VAU

A_28767 - ePA-Aktensystem - Einfrieren von Daten durch eine AK-VAU

Falls eine Aktenkontoverwaltungs-VAU Daten data_kvnr eines Aktenkontos KVNR temporär speichern ("einfrieren") möchte, MUSS die Aktenkontoverwaltungs-VAU

  1. einen zufälligen Ableitungsvektor dv mit 120 Bit Entropie erzeugen,
  2. mittels VAU-HSM-Regel kr6, dem erzeugten Ableitungsvektor dv aus 1., einer eindeutigen Akten-ID für die KVNR des Aktenkontos (die KVNR selbst oder ein aktenspezifisches Pseudonym) und dem aktuellen Datenpersistierungs-Masterkey die Schlüssel dataStorageKey und userSessionKey ableiten (Hinweis: Es darf in der Regel kr6 kein Eingabezeitpunkt übergeben werden, da für die Ableitung der Schlüssel der aktuelle Zeitpunkt im VAU-HSM genutzt werden muss),
  3. ein Akten-Pseudonym erzeugen
und
  1. die Daten data_kvnr mit dem dataStorageKey mittels AES/GCM verschlüsseln,
  2. den im Health Record Context des Kontos KVNR vorliegenden versichertenindividuellen Datenpersisitierungsschlüssel mit dem userSessionKey mittels AES/GCM verschlüsseln,
  3. die Chiffrate mit folgenden Metainformationen speichern (die Metainformationen dürfen die KVNR nicht enthalten):
    1. Akten-Pseudonym
    2. Ableitungsvektor dv aus 1,
    3. Label des genutzten Masterkeys (Ergebnis der Regel kr6),
    4. Ableitungszeitpunkt (Ergebnis der Regel kr6).
[<=]

Auch eine Service-VAU kann Daten temporär speichern (vgl. folgende Abbildung). Da nur die AK-VAU die benötigten Schlüssel vom VAU-HSM abrufen kann, müssen die benötigten Informationen der Service-VAU von der AK-VAU im Service-Request übermittelt werden. Der versichertenindividuelle Datenpersisitierungsschlüssel darf nicht unverschlüsselt an eine Service-VAU übermittelt werden.

Figure # Einfrieren von Daten durch eine Service-VAU

A_28768 - ePA-Aktensystem - Einfrieren von Daten durch eine Service-VAU

Falls eine Aktenkontoverwaltungs-VAU einer Service-VAU die Speicherung von Daten bzgl. eines Aktenkontos KVNR ermöglichen will, MUSS die Aktenkontoverwaltungs-VAU

  1. einen zufälligen Ableitungsvektor dv mit 120 Bit Entropie erzeugen,
  2. mittels VAU-HSM-Regel kr6, dem erzeugten Ableitungsvektor dv aus 1., einer eindeutigen Akten-ID für die KVNR des Aktenkontos (die KVNR selbst oder ein aktenspezifisches Pseudonym) und dem aktuellen Datenpersistierungs-Masterkey die Schlüssel dataStorageKey und userSessionKey ableiten (Hinweis: Es wird der Regel kr6 kein Eingabezeitpunkt übergeben, da für die Ableitung der Schlüssel der aktuelle Zeitpunkt im VAU-HSM genutzt werden muss),
  3. ein Akten-Pseudonym erzeugen,
  4. den im Health Record Context des Kontos KVNR vorliegenden versichertenindividuellen Datenpersisitierungsschlüssel mit dem userSessionKey mittels AES/GCM verschlüsseln
und der Service-VAU im Service-Request folgende Informationen übermitteln:
  • dataStorageKey aus 2
  • Akten-Pseudonym aus 3,
  • Ableitungsvektor dv aus 1.
  • Label des genutzten Masterkeys (Ergebnis der Regel kr6),,
  • den Ableitungszeitpunkt (Ergebnis der Regel kr6),
  • den verschlüsselten versichertenindividuellen Datenpersisitierungsschlüssel aus 4..
[<=]

Wurden der Service-VAU in einem Service-Request von der AK-VAU Informationen für die Speicherung übermittelt, kann die Service-VAU für diesen Service-Request Daten im ePA-Aktensystem temporär zwischenspeichern ("einfrieren"). Für die Verschlüsselung der Daten darf die Service-VAU ausschließlich den von der AK-VAU übermittelten dataStorageKey nutzen.

A_28769 - ePA-Aktensystem - Verschlüsselte Speicherung durch Service-VAU mit von AK-VAU übermittelten Schlüssel

Falls Daten, die im Rahmen eines durch eine AK-VAU erzeugten Service-Requests in der Service-VAU verarbeitet werden, außerhalb der Service-VAU gespeichert werden sollen, MUSS die Service-VAU sicherstellen, dass

  1. die Daten mit dem von der AK-VAU im Rahmen des Service-Requests übermittelten dataStorageKey verschlüsselt abgespeichert werden und
  2. dem Chiffrat folgende von der AK-VAU im Service-Request übermittelte Informationen angefügt werden (die Informationen dürfen die KVNR nicht enthalten):
    • das Akten-Pseudonym,
    • der für die Ableitung des dataStorageKeys genutzte Ableitungsvektor dv,
    • das Label des für die Ableitung genutzten Masterkeys,
    • Ableitungszeitpunkt,
    • den mit dem userSessionKey verschlüsselten versichertenindividuellen Datenpersisitierungsschlüssel.
[<=]

Auftauen von Daten

Die Aufnahme der temporär gespeicherten ("eingefrorenen") Daten in ein Aktenkonto erfolgt durch eine Aktenkontoverwaltungs-VAU. Service-VAUs dürfen keine Daten in Aktenkonten speichern (vgl. A_26119-*). Die hierfür benötigte AK-VAU-Instanz kann vom Betreiber des Aktensystems gestartet werden, d.h. die Aufnahme der eingefrorenen Daten in ein Aktenkonto ist unabhängig davon, wann Nutzer auf Aktenkonten zugreifen. Für die Schnittstelle, über die der Betreiber das Auftauen startet, sind die Anfoderungen aus A_28805-* und A_28807-*  zu berücksichtigen.

Die folgende Abbildung beschreibt das Auftauen von eingefrorenen Daten.

Figure # - Auftauen von eingefrorenen Daten

  1. Der Betreiber startet eine AK-VAU-Instanz.
  2. Die gestartete AK-VAU-Instanz lädt die im Aktensystem gespeicherten eingefrorenen Daten (Chiffrate inkl. Metainformationen) in die AK-VAU-Instanz.
  3. In der AK-VAU-Instanz wird das Akten-Pseudonym zu der Akten-ID (z.B. zur KVNR) aufgelöst.
  4. Die AK-VAU ruft VAU-HSM-Regel kr6 mit der Akten-ID und dem in den Metainformationen enthaltenem Ableitungsvektor dv , dem Label des Masterkeys und dem Ableitungsdatum auf. Es werden der dataStorageKey und der userSessionKey vom VAU-HSM abgeleitet.
  5. Ein Health Record Context für die Akte zur Akten-ID wird in der AK-VAU geöffnet.
  6. Im Health Record Context werden die verschlüsselten fachlichen Daten mit dem dataStorageKey entschlüsselt.
  7. Im Health Record Context wird der verschlüsselte versichertenindividuelle Datenpersistierungsschlüssel mit dem userSessionKey entschlüsselt.
  8. Mit dem versichertenindividuellen Datenpersistierungsschlüssel werden die zwischengespeicherten Daten verschlüsselt und in der Akte gespeichert.

A_28770 - ePA-Aktensystem - Keine Protokollierungserfordernis der Aufnahme von gespeicherten Daten ins Aktenkonto

Der Hersteller des ePA-Aktensystems MUSS sicherstellen, dass eine Aktenkontoverwaltungs-VAU temporär gespeicherte (eingefrorene) Daten in ein Aktenkonto nur dann aufnimmt, wenn die dafür notwendgen Zugriffe nicht für den Versicherten protokolliert werden müssen. [<=]

Bis eingefrorene Daten von einer AK VAU aufgetaut und in das Aktenkonto eingebracht werden, könnten weitere Zugriffe auf das Aktenkonto erfolgen., die ggf. ebenfalls dazu führen, dass Daten für das Konto eingefroren werden. Ein Beispiel ist das Einfrieren eines neu erstellen Indexes für die Volltextsuche aufgrund eines eingestellten Dokuments. Hier könnten Nutzer neue Dokumente einstellen, nachdem ein Index eingefroren wurde aber bevor dieser eingepflegt wurde. Die AK-VAU muss dann beim Auftauen die verschiedenen Indexe zusammenführen, um einen konsistenten Aktenzustand zu erreichen. 

A_28804 - ePA-Aktensystem - Kein inkonsistenter Aktenzustand durch das Einbringen eingefrorener Daten

Das ePA-Aktensystens MUSS sicherstellen, dass durch das Einbringen eingefrorener Daten kein inkonsistenter Aktenzustand entsteht. [<=]

Das Löschen der ziwschengespeicherten Chiffrate erfolgt nach Aufnahme der Daten in das Aktenkonto.

A_28771 - ePA-Aktensystem - Löschen nach Aufnahme von gespeicherten Daten ins Aktenkonto

Das ePA-Aktensystem MUSS sicherstellen, dass nach erfolgreicher Übernahme der temporär gespeicherten (eingefrorenen) Daten

  • der Health Record Context in der AK-VAU sofort geschlossen wird,
  • der dataStorageKey und der userSessionKey sofort gelöscht werden, 
  • die Chiffrate mitsamt aller Metainformationen sofort im ePA-Aktensystem gelöscht werden.
[<=]

A_28772 - ePA-Aktensystem - Schnellstmögliche Aufnahme eingefrorener Ergebnisdaten

Der Hersteller des ePA-Aktensystems MUSS sicherstellen, dass das ePA-Aktensystem eingefrorene Daten, die direkt in die Akte eingepflegt werden können, schnellstmöglich in die Akte einpflegt. [<=]

Hinweis zu A_28772-*: Ein Beispiel für Daten, die unter die Anforderung A_28772-* fallen, ist der eingefrorene Index als Ergebnis einer langlaufenden Indexierung bei der Volltextsuche. Der Index kann direkt in die Akte eingepflegt werden und benötigt keine weiteren Verarbeitungen. Wird hingegen der Auftrag der Indexierung eingefroren, um die Indexierung später auszuführen, fallen diese "Auftragsdaten" nicht unter die A_28772-*.