C_11669_Anlage_V2.0.0
Prereleases:
Anlage für C_11669 - E-Rezept: eGK in der Apotheke: Akzeptanz Prüfungsnachweis mit Ergebnis 3 in Ausnahmesituationen
Änderungsbedarf:
Mit dem Feature „Abruf der E-Rezepte in der Apotheke nach Autorisierung" kann ein Versicherter ohne einen Ausdruck des E-Rezept-Token und ohne Nutzung der E-Rezept-App durch die Übergabe seiner eGK an einen Apotheker seine E-Rezepte einlösen. Ein abgebender Leistungserbringer ruft dazu zu einer KVNR und mittels eines vom Konnektor gelieferten VSDM-Prüfungsnachweises E-Rezepte für diese KVNR vom E-Rezept-Fachdienst ab.
Kann der Konnektor in der abgebenden Leistungserbringerinstitution den Fachdienst VSDM erreichen, liefert dieser dem Konnektor eine kryptografisch gesicherte Prüfziffer zurück und der Konnektor liefert dem aufrufenden Primärsystem einen VSDM-Prüfungsnachweis, der diese Prüfziffer enthält. Durch die kryptographische Absicherung der Prüfziffer ist diese nicht fälschbar und stellt für den E-Rezept-Fachdienst eine verlässliche Information über eine gesteckte eGK dar.
Kann der Konnektor einen Fachdienst VSDM oder den Intermediär VSDM nicht erreichen, liefert der Konnektor dem aufrufenden Primärsystem einen VSDM-Prüfungsnachweis mit dem Ergebnis 3 und ohne eine kryptografisch abgesicherte Prüfziffer zurück. Deshalb akzeptierte der E-Rezept-Fachdienst einen VSDM-Prüfungsnachweis mit dem Ergebnis 3 bisher nicht.
Infolgedessen können Versicherte im Falle einer Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM durch die Übergabe ihrer eGK in der Apotheke ihre verschriebenen Medikamente nicht erhalten und der Versorgungsprozess ist unterbrochen.
Aus diesem Grund soll bei einer festgestellten Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM temporär für den Zeitraum der Nichtverfügbarkeit auch ein VSDM-Prüfungsnachweis mit dem Ergebnis 3 vom E-Rezept-Fachdienst akzeptiert werden.
Lösungskonzept:
Es wird ein Schalter AcceptPN3 im E-Rezept-Fachdienst eingeführt. Wenn dieser in der Ausnahmesituation einer Störung aktiviert wird, dann akzeptiert der E-Rezept-Fachdienst beim Aufruf der Operation zum Abruf der offenen Rezepte zu einem Versicherten neben den Prüfungsnachweisen mit dem Ergebnis 1 und 2 auch Prüfungsnachweise mit dem Ergebnis 3.
Die AVS übermitteln beim Aufruf der Operation zusätzlich zum Prüfungsnachweis die Versicherten-ID, welche aus den von der eGK gelesenen VSD übermittelt wird.
Der E-Rezept-Fachdienst prüft, wenn eine Prüfziffer im VSDM Prüfungsnachweis übermittelt wird, die kryptographische und zeitliche Gültigkeit der Prüfziffer und übermittelt bei fehlerfreier Prüfung die Liste der E-Rezepte zur Versicherten-ID aus der Prüfziffer. (Das entspricht der bestehenden Lösung.)
Wenn ein VSDM Prüfungsnachweis mit dem Ergebnis 3 (d.h. ohne Prüfziffer) übermittelt wird, prüft der E-Rezept-Fachdienst, ob der Schalter AcceptPN3 aktiviert ist. Wenn ja, übermittelt der E-Rezept-Fachdienst die Liste der E-Rezepte zur vom AVS zusätzlich übertragen Versicherten-ID.
Für das Aktivieren und Deaktivieren des Schalter AcceptPN3 ist zum einen ein betrieblicher Prozess unter Steuerung vorgesehen. Zum anderen ist ein Automatismus vorgesehen, dass der Schalter aktiviert wird, wenn innerhalb von 5 Minuten Prüfungsnachweise mit dem Ergebnis 3 von 10 verschiedenen Apotheken übermittelt werden.
Die Implementierung im E-Rezept-Fachdienst ist in zwei Stufen geplant, um eine zeitnahe Umsetzung zu erreichen. In der erste Stufe ist die Steuerung des Features nur über den organisatorischen Prozess vorgesehen. In der zweiten Stufe ist die Steuerung über die automatische Erkennung und den organisatorischen Prozess vorgesehen.
Diese Anpassung des Features „Abruf der E-Rezepte in der Apotheke nach Autorisierung" ist ebenso eine temporäre Lösung, wie die Nutzung der Fachdienste VSDM dafür insgesamt. Mit der Migration auf die geplante "Proof of Patient Presence" (PoPP) Lösung entfällt insgesamt die Abhängigkeit zu den Fachdienste VSDM.
Datenschutz und Informationssicherheit:
Dieses Feature ist Resultat einer Abwägung verschiedener Risiken.
Auf der einen Seite steht das Risiko, dass im Falle einer Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM ein Versicherter in der Apotheke seine verschriebenen Medikamente nicht erhalten kann. Dies kann gesundheitlich kritisch sein, falls der Versicherte auf die zeitnahe Einnahme des Medikaments angewiesen ist. Der Aufwand für den Umstieg auf die Ersatzprozesse ist zudem für alle Beteiligten hoch.
Auf der anderen Seite steht das Risiko, dass Angreifer die temporäre Akzeptanz des kryptografisch nicht gesicherten Prüfnachweises ausnutzen, um bei einer (automatisch) festgestellten Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM Prüfungsnachweise mit dem Ergebnis 3 (PN3) wiederzuverwenden (Replay-Angriff) bzw. zu fälschen, und zu einer KVNR (bekannt oder geraten) mittels eines bereits vorhandenen oder gefälschten PN3 unautorisiert E-Rezepte für diese KVNR vom E-Rezept-Fachdienst abzurufen.
Angesichts der inzwischen erreichten Bedeutung des E-Rezepts im Versorgungsprozess, wird das Risiko der Nichtverfügbarkeit kritischer gesehen als das Missbrauchsrisiko.
Eine mitigierende Maßnahme ist die zeitliche Begrenzung auf Situationen, in denen der Indikator (mindestens 10 abgebenden Leistungserbringerinstitutionen liefern einen PN3 in einem Zeitfenster von 5 Minuten) eine Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM anzeigt.
Eine weitere mitigierende Maßnahme ist der Schwellenwert von 10 abgebenden Leistungserbringerinstitutionen die quasi gleichzeitig einen PN3 liefern müssen, bevor PN3 generell vom Fachdienst akzeptiert werden. Vor dem Hintergrund der Regelung im § 1 Absatz 2 Apothekengesetz (ApoG), dass der Inhaber einer Apothekenbetriebserlaubnis zusätzlich zu seiner Hauptapotheke nur bis zu drei Filialapotheken betreiben darf, müssten sich mehrere Inhaber einer Apothekenbetriebserlaubnis für einen Angriff zusammenschließen, um eine Anzahl von 10 abgebenden Leistungserbringerinstitutionen zu erreichen.
Neben dem Automatismus zur Aktivierung und Deaktivierung der Akzeptanz von PN3, wird ein weiterer Schalter vorgesehen, über den diese Funktion aktiviert und deaktiviert werden kann. Dieser Schalter wird vom Betreiber des Fachdienstes auf Anweisung durch die gematik verwendet. Damit ist es möglich, dass die gematik bei festgestellten oder vermuteten Missbrauchsfällen dieses Features die automatische Steuerung außer Kraft zu setzen.
Um für einen Versicherten die Bedingungen transparent zu machen, unter denen seine E-Rezepte von einer Apotheke abgerufen wurden, wird im Prokoll für den Versicherten ein Abruf mit PN3 gesondert ausgewiesen - und zwar sowohl erfolgreiche Abrufe, als auch nicht erfolgreiche (PN3 wurde von der Apotheke gesendet, aber die Akzeptanz von PN3 war nicht eingeschaltet).
Ablaufdiagramm für die Implementierung im E-Rezept-Fachdienst (informativ):
Automatisches Aktivieren und Deaktivieren (informativ):
Änderungen:
Anforderung an E-Rezept-Fachdienst
Die nachfolgenden Anforderungen werden in das Dokument [gemSpec_FD_eRp] übernommen.
5.5 Protokollierung
Alt:
A_19284-06 - E-Rezept-Fachdienst - Versichertenprotokoll zu Operationen
Der E-Rezept-Fachdienst MUSS jeden Aufruf der folgenden Operationen protokollieren:
Operation | Rolle des zugreifenden Nutzers |
Beschreibung (ggfs. als Vorschlag für einen lesbaren Protokolleintrag in einfacher Sprache) |
---|---|---|
http GET /Task/<id> | ||
- | Versicherter, Vertreter |
Patient/Versicherter/Vertreter hat das E-Rezept heruntergeladen |
Apotheker | Apotheke hat die E-Rezept-Quittung heruntergeladen | |
http GET /Task | ||
Apotheker | im Erfolgsfall: Apotheke hat mit Ihrer eGK die Liste der offenen E-Rezepte abgerufen. im Fehlerfall: Apotheke konnte aufgrund eines Fehlerfalls nicht die Liste der offenen E-Rezepte mit Ihrer eGK abgerufen. |
|
http POST /Task | ||
$activate | Arzt-/Zahnarztpraxis/Krankenhaus | Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept bereitgestellt |
$accept | Apotheke | Apotheke hat das E-Rezept heruntergeladen |
$reject | Apotheke | Apotheke hat das E-Rezept zurückgegeben |
$dispense | Apotheke | Apotheke hat das E-Rezept beliefert |
$close | Apotheke | Apotheke hat das E-Rezept abgeschlossen |
$abort | Versicherter, Vertreter |
Patient/Versicherter/Vertreter hat das E-Rezept gelöscht |
Arzt-/Zahnarztpraxis/Krankenhaus | Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept gelöscht | |
Apotheke | Apotheke hat das E-Rezept gelöscht | |
http GET /MedicationDispense/<id> bzw. Zugriff via Suchparameter GET /MedicationDispense?<parameter>=... | ||
Versicherter, Vertreter |
Patient/Versicherter hat Medikament-Informationen heruntergeladen | |
http DELETE /ChargeItem/<id> | Versicherter | Versicherter hat Abrechnungsinformation gelöscht |
http GET /ChargeItem/<id> | Versicherter | Versicherter hat Abrechnungsinformation gelesen |
Apotheke | Apotheke hat Abrechnungsinformation gelesen | |
http POST /ChargeItem | Apotheke | Apotheke hat Abrechnungsinformation bereitgestellt |
http PATCH /ChargeItem/<id> | Versicherter | Versicherter hat Markierung zu Abrechnungsinformation gespeichert |
http PUT /ChargeItem/<id> | Apotheke | Apotheke hat PKV-Abgabedatensatz gespeichert |
http POST /Consent | Versicherter | Versicherter hat Einwilligung erteilt |
http DELETE /Consent | Versicherter | Versicherter hat Einwilligung widerrufen |
Automatisches Löschen durch den Fachdienst | ||
Ressource Task | E-Rezept-Fachdienst | Veraltete E-Rezepte vom Fachdienst automatisch gelöscht |
Ressource MedicationDispense | Veraltete Medikament-Informationen vom Fachdienst automatisch gelöscht | |
Ressource Communication | Veraltete Nachrichten vom Fachdienst automatisch gelöscht | |
Ressource ChargeItem | Veraltete Abrechnungsinformation vom E-Rezept-Fachdienst automatisch gelöscht |
und die gelesene bzw. geschriebene Ressource im Protokolleintrag AuditEvent.entity.what als Referenz hinzufügen sowie die KVNR des betroffenen Versicherten in AuditEvent.entity.name speichern.
Mit diesen Informationen kann der Versicherte die Zugriffe auf seine Daten nachvollziehen und bei einem unberechtigten Zugriff ggfs. intervenieren. [<=]
Neu:
A_19284-07 - E-Rezept-Fachdienst - Versichertenprotokoll zu Operationen
Der E-Rezept-Fachdienst MUSS jeden Aufruf der folgenden Operationen protokollieren:
Operation | Rolle des zugreifenden Nutzers |
Beschreibung (ggfs. als Vorschlag für einen lesbaren Protokolleintrag in einfacher Sprache) |
---|---|---|
http GET /Task/<id> | ||
- | Versicherter, Vertreter |
Patient/Versicherter/Vertreter hat das E-Rezept heruntergeladen |
Apotheker | Apotheke hat die E-Rezept-Quittung heruntergeladen | |
http GET /Task | ||
Apotheker | im Erfolgsfall bei AcceptPN3=false: Apotheke hat mit Ihrer eGK die Liste der offenen E-Rezepte abgerufen. im Erfolgsfall bei PN3 und AcceptPN3=true: Apotheke hat mit Ihrer eGK die Liste der offenen E-Rezepte abgerufen. (Offline-Check wurde akzeptiert) im Fehlerfall PN3 und AcceptPN3=false: Apotheke konnte aufgrund eines Fehlerfalls nicht die Liste der offenen E-Rezepte mit Ihrer eGK abgerufen. (Offline-Check wurde nicht akzeptiert) im sonstigen Fehlerfall: Apotheke konnte aufgrund eines Fehlerfalls nicht die Liste der offenen E-Rezepte mit Ihrer eGK abgerufen. |
|
http POST /Task | ||
$activate | Arzt-/Zahnarztpraxis/Krankenhaus | Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept bereitgestellt |
$accept | Apotheke | Apotheke hat das E-Rezept heruntergeladen |
$reject | Apotheke | Apotheke hat das E-Rezept zurückgegeben |
$dispense | Apotheke | Apotheke hat das E-Rezept beliefert |
$close | Apotheke | Apotheke hat das E-Rezept abgeschlossen |
$abort | Versicherter, Vertreter |
Patient/Versicherter/Vertreter hat das E-Rezept gelöscht |
Arzt-/Zahnarztpraxis/Krankenhaus | Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept gelöscht | |
Apotheke | Apotheke hat das E-Rezept gelöscht | |
http GET /MedicationDispense/<id> bzw. Zugriff via Suchparameter GET /MedicationDispense?<parameter>=... | ||
Versicherter, Vertreter |
Patient/Versicherter hat Medikament-Informationen heruntergeladen | |
http DELETE /ChargeItem/<id> | Versicherter | Versicherter hat Abrechnungsinformation gelöscht |
http GET /ChargeItem/<id> | Versicherter | Versicherter hat Abrechnungsinformation gelesen |
Apotheke | Apotheke hat Abrechnungsinformation gelesen | |
http POST /ChargeItem | Apotheke | Apotheke hat Abrechnungsinformation bereitgestellt |
http PATCH /ChargeItem/<id> | Versicherter | Versicherter hat Markierung zu Abrechnungsinformation gespeichert |
http PUT /ChargeItem/<id> | Apotheke | Apotheke hat PKV-Abgabedatensatz gespeichert |
http POST /Consent | Versicherter | Versicherter hat Einwilligung erteilt |
http DELETE /Consent | Versicherter | Versicherter hat Einwilligung widerrufen |
Automatisches Löschen durch den Fachdienst | ||
Ressource Task | E-Rezept-Fachdienst | Veraltete E-Rezepte vom Fachdienst automatisch gelöscht |
Ressource MedicationDispense | Veraltete Medikament-Informationen vom Fachdienst automatisch gelöscht | |
Ressource Communication | Veraltete Nachrichten vom Fachdienst automatisch gelöscht | |
Ressource ChargeItem | Veraltete Abrechnungsinformation vom E-Rezept-Fachdienst automatisch gelöscht |
und die gelesene bzw. geschriebene Ressource im Protokolleintrag AuditEvent.entity.what als Referenz hinzufügen sowie die KVNR des betroffenen Versicherten in AuditEvent.entity.name speichern.
Mit diesen Informationen kann der Versicherte die Zugriffe auf seine Daten nachvollziehen und bei einem unberechtigten Zugriff ggfs. intervenieren. [<=]
5.10 Status AcceptPN3
A_25200 - E-Rezept-Fachdienst - Status AcceptPN3
Der E-Rezept-Fachdienst MUSS einen Status AcceptPN3 mit den Zuständen true und false verwalten. [<=]
Der Defaultwert für AcceptPN3 ist false.
A_25201 - E-Rezept-Fachdienst - Status AcceptPN3Automatic
Der E-Rezept-Fachdienst MUSS einen Status AcceptPN3Automatic mit den Zuständen true und false verwalten. [<=]
Der Defaultwert für AcceptPN3Automatic ist false.
A_25202 - E-Rezept-Fachdienst - Konfigurationsparameter NumberApothekenPN3
Der E-Rezept-Fachdienst MUSS einen Konfigurationsparameter NumberApothekenPN3 verwalten. [<=]
Der Defaultwert für NumberApothekenPN3 ist 10.
A_25203 - E-Rezept-Fachdienst - Betrieblicher Prozess Änderung AcceptPN3, AcceptPN3Automatic, NumberApothekenPN3
Der Anbieter des E-Rezept-Fachdienstes MUSS einen betrieblichen Prozess unterstützen, mittels dem die Status AcceptPN3, AcceptPN3Automatic und der Konfigurationsparameter NumberApothekenPN3 zur Laufzeit des Dienstes gesteuert werden kann. [<=]
Hinweis: Im Rahmen des betrieblichen Prozesses ist jeweils eine Kombination der Status AcceptPN3 und AcceptPN3Automatic zu setzen, um ein definiertes Verhalten des E-Rezept-Fachdienstes zu erreichen.
Es werden unmittelbar aufeinander folgende Zeitintervalle mit derselben (konfigurierbaren) Dauer betrachtet.
A_25371 - E-Rezept-Fachdienst - Konfigurationsparameter AcceptPN3Interval
Der E-Rezept-Fachdienst MUSS einen Konfigurationsparameter AcceptPN3Interval verwalten. [<=]
Der Defaultwert für AcceptPN3Interval ist 5 Minuten.
A_25372 - E-Rezept-Fachdienst - AcceptPN3 - Anzahl Apotheken mit PN3
Der E-Rezept-Fachdienst MUSS, wenn AcceptPN3Automatic = true, für jedes Zeitintervall mit der Dauer AcceptPN3Interval die Anzahl der abgebenden LEI, welche einen Request mit Prüfungsnachweis Ergebnis = 3 übermitteln, ermitteln und mit dem Schwellwert NumberApothekePN3 vergleichen. [<=]
Für das automatische Aktivieren von AcceptPN3 ist das aktuelle Zeitintervall relevant.
A_25204 - E-Rezept-Fachdienst - AcceptPN3 - automatisch Aktivieren
Der E-Rezept-Fachdienst MUSS, wenn AcceptPN3Automatic = true und die Anzahl der abgebenden LEI, welche im aktuellen Zeitintervall einen Request mit Prüfungsnachweis Ergebnis = 3 übermitteln, den Schwellwert NumberApothekePN3 überschreitet, den Status AcceptPN3 = true setzen. [<=]
Für das automatische Deaktivieren von AcceptPN3 ist das vorherige Zeitintervall relevant.
A_25205 - E-Rezept-Fachdienst - AcceptPN3 - automatisch Deaktivieren
Der E-Rezept-Fachdienst MUSS, wenn AcceptPN3Automatic = true, Status AcceptPN3 = true und wenn im vorherigen Zeitintervall der Schwellwert NumberApothekePN3 nicht überschritten wurde, den Status AcceptPN3 = false setzen. [<=]
6.1.1 HTTP-Operation GET
Alt:
A_23451 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Zeitraum Akzeptanz Prüfungsnachweis
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit dem URL-Parameter pnw="..." durch eine abgebende LEI prüfen, dass die Differenz zwischen Zeitstempel aus der Prüfziffer des Prüfungsnachweises und dem aktuellen Zeitpunkt nicht größer als 30 Minuten (konfigurierbar) ist und bei fehlerhafter Prüfung mit dem Fehler 403 abbrechen. Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Zeitliche Gültigkeit des Anwesenheitsnachweis überschritten)." im OperationOutcome zu übermitteln. [<=]
Neu:
A_23451-01 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Zeitraum Akzeptanz Prüfungsnachweis
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit dem URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis eine Prüfziffer enthalten ist, prüfen, dass die Differenz zwischen Zeitstempel aus der Prüfziffer des Prüfungsnachweises und dem aktuellen Zeitpunkt nicht größer als 30 Minuten (konfigurierbar) ist und bei fehlerhafter Prüfung mit dem Fehler 403 abbrechen. Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Zeitliche Gültigkeit des Anwesenheitsnachweis überschritten)." im OperationOutcome zu übermitteln. [<=]
Alt:
A_23452-01 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Filter Status, KVNR und Workflowtype
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, die Tasks nach Task.status = "ready", Task.for = KVNR für die KVNR aus der Prüfziffer des Prüfungsnachweises und Task.extension:flowType = 160 filtern und in einem Bundle der gefundenen Tasks (ohne den signierte Anhang QES) zurückgeben, damit eine Apotheke alle zu einem Versicherten gehörenden E-Rezepte mit dem Status "offen" abrufen kann. [<=]
Neu:
A_23452-02 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Filter Status, KVNR und Workflowtype
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis eine Prüfziffer enthalten ist, die Tasks nach Task.status = "ready", Task.for = KVNR für die KVNR aus der Prüfziffer des Prüfungsnachweises und Task.extension:flowType = 160 filtern und in einem Bundle der gefundenen Tasks (ohne den signierte Anhang QES) zurückgeben, damit eine Apotheke alle zu einem Versicherten gehörenden E-Rezepte mit dem Status "offen" abrufen kann. [<=]
Neu:
A_25206 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis keine Prüfziffer enthalten ist, prüfen, ob das Ergebnis im Prüfungsnachweis gleich 3 ist und bei fehlerhafter Prüfung mit dem Fehler 403 abbrechen. [<=]
A_25207 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3 - AcceptPN3 false
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis keine Prüfziffer enthalten, das Ergebnis im Prüfungsnachweis gleich 3 und Status AcceptPN3 = false ist mit dem Fehler 454 abbrechen. [<=]
A_25208 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3 - URL kvnr
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls das Ergebnis im VSDM Prüfungsnachweis gleich 3 ist, prüfen, ob ein URL-Parameter kvnr="..." übermittelt wurde und bei fehlerhafter Prüfung mit dem Fehler 455 abbrechen. [<=]
A_25209 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3 - AcceptPN3 true - Filter Status, KVNR und Workflowtype
Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls Status AcceptPN3 = true, das Ergebnis im VSDM Prüfungsnachweis gleich 3 ist und URL-Parameter kvnr="..." übermittelt wurde, die Tasks nach Task.status = "ready", Task.for = KVNR aus dem URL-Parameter und Task.extension:flowType = 160 filtern und in einem Bundle der gefundenen Tasks (ohne den signierte Anhang QES) zurückgeben, damit eine Apotheke alle zu einem Versicherten gehörenden E-Rezepte mit dem Status "offen" abrufen kann.
Der E-Rezept-Fachdienst MUSS für den Response den Returncode 202 verwenden. [<=]
6.1.1.1 HTTP-Operation GET - Prüfung VSDM Prüfungsnachweis
A_23455 - E-Rezept-Fachdienst - Prüfung Prüfziffer - keine Prüfziffer
Der E-Rezept-Fachdienst MUSS prüfen, ob eine Prüfziffer im VSDM Prüfungsnachweis enthalten ist und falls nicht, die Prüfung mit einem Fehler abbrechen.
Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Prüfziffer fehlt im VSDM Prüfungsnachweis)." im OperationOutcome zu übermitteln. [<=]
A_23455 wird storniert.
Alt:
A_23456 - E-Rezept-Fachdienst - Prüfung Prüfziffer - Berechnung HMAC der Prüfziffer
Der E-Rezept-Fachdienst MUSS für den HMAC der Prüfziffer die führenden 23 Byte der Prüfziffer (Felder 1-5) mittels SHA-256 Hashfunktion berechnen und für den nachfolgenden Vergleich die ersten 24 Byte verwenden.
Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Fehler bei Prüfung der HMAC-Sicherung)." im OperationOutcome zu übermitteln. [<=]
Neu:
A_23456-01 - E-Rezept-Fachdienst - Prüfung Prüfziffer - Berechnung HMAC der Prüfziffer
Der E-Rezept-Fachdienst MUSS, falls im VSDM Prüfungsnachweis eine Prüfziffer enthalten ist, für den HMAC der Prüfziffer die führenden 23 Byte der Prüfziffer (Felder 1-5) mittels SHA-256 Hashfunktion berechnen und für den nachfolgenden Vergleich die ersten 24 Byte verwenden.
Der E-Rezept-Fachdienst MUSS im Fehlerfall die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Fehler bei Prüfung der HMAC-Sicherung)." im OperationOutcome zu übermitteln. [<=]
Anforderungen an das Primärsystem der abgebenden LEI
Die nachfolgenden Anforderungen werden in das Dokument [gemILF_PS_eRp] übernommen.
5.3.1 E-Rezepte von einem Versicherten abrufen
Alt:
Der Prüfungsnachweis wird aus dem ReadVSD Response entnommen, URL-kodiert und in den Aufruf des E-Rezept-Fachdienstes übernommen.
...
A_23449 - PS abgebende LEI: E-Rezepte von Versicherten abrufen - E-Rezepte abrufen
Das PS der abgebenden LEI MUSS im Anwendungsfall "E-Rezepte von Versicherten abrufen" die HTTP-Operation GET /Task mit
- ACCESS_TOKEN im Authorization-Header
- base64- und URL-codierter Prüfungsnachweis in URL-Parameter pnw
Bsp.-URL: GET /Task?pnw=q94mhx93b8ch...
Neu:
Der Prüfungsnachweis wird aus dem ReadVSD Response entnommen, URL-kodiert und in den Aufruf des E-Rezept-Fachdienstes übernommen. Die Versicherten-ID kann aus dem Attribut Versicherten_ID in PersoenlicheVersichertendaten ermittelt werden.
...
A_23449-01 - PS abgebende LEI: E-Rezepte von Versicherten abrufen - E-Rezepte abrufen
Das PS der abgebenden LEI MUSS im Anwendungsfall "E-Rezepte von Versicherten abrufen" die HTTP-Operation GET /Task mit
- ACCESS_TOKEN im Authorization-Header
- base64- und URL-codierter Prüfungsnachweis in URL-Parameter pnw
- Versicherten-ID in URL-Parameter kvnr
Bsp.-URL: GET /Task?pnw=q94mhx93b8ch...&kvnr=A012...