C_11669_Anlage_V2.0.0


Anlage für C_11669 - E-Rezept: eGK in der Apotheke: Akzeptanz Prüfungsnachweis mit Ergebnis 3 in Ausnahmesituationen

Änderungsbedarf:

Mit dem Feature „Abruf der E-Rezepte in der Apotheke nach Autorisierung" kann ein Versicherter ohne einen Ausdruck des E-Rezept-Token und ohne Nutzung der E-Rezept-App durch die Übergabe seiner eGK an einen Apotheker seine E-Rezepte einlösen. Ein abgebender Leistungserbringer ruft dazu zu einer KVNR und mittels eines vom Konnektor gelieferten VSDM-Prüfungsnachweises E-Rezepte für diese KVNR vom E-Rezept-Fachdienst ab.
Kann der Konnektor in der abgebenden Leistungserbringerinstitution den Fachdienst VSDM erreichen, liefert dieser dem Konnektor eine kryptografisch gesicherte Prüfziffer zurück und der Konnektor liefert dem aufrufenden Primärsystem einen VSDM-Prüfungsnachweis, der diese Prüfziffer enthält. Durch die kryptographische Absicherung der Prüfziffer ist diese nicht fälschbar und stellt für den E-Rezept-Fachdienst eine verlässliche Information über eine gesteckte eGK dar.
Kann der Konnektor einen Fachdienst VSDM oder den Intermediär VSDM nicht erreichen, liefert der Konnektor dem aufrufenden Primärsystem einen VSDM-Prüfungsnachweis mit dem Ergebnis 3 und ohne eine kryptografisch abgesicherte Prüfziffer zurück. Deshalb akzeptierte der E-Rezept-Fachdienst einen VSDM-Prüfungsnachweis mit dem Ergebnis 3 bisher nicht.

Infolgedessen können Versicherte im Falle einer Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM durch die Übergabe ihrer eGK in der Apotheke ihre verschriebenen Medikamente nicht erhalten und der Versorgungsprozess ist unterbrochen.

Aus diesem Grund soll bei einer festgestellten Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM temporär für den Zeitraum der Nichtverfügbarkeit auch ein VSDM-Prüfungsnachweis mit dem Ergebnis 3 vom E-Rezept-Fachdienst akzeptiert werden.

Lösungskonzept:

Es wird ein Schalter AcceptPN3 im E-Rezept-Fachdienst eingeführt. Wenn dieser in der Ausnahmesituation einer Störung aktiviert wird, dann akzeptiert der E-Rezept-Fachdienst beim Aufruf der Operation zum Abruf der offenen Rezepte zu einem Versicherten neben den Prüfungsnachweisen mit dem Ergebnis 1 und 2 auch Prüfungsnachweise mit dem Ergebnis 3.

Die AVS übermitteln beim Aufruf der Operation zusätzlich zum Prüfungsnachweis die Versicherten-ID, welche aus den von der eGK gelesenen VSD übermittelt wird.

Der E-Rezept-Fachdienst prüft, wenn eine Prüfziffer im VSDM Prüfungsnachweis übermittelt wird, die kryptographische und zeitliche Gültigkeit der Prüfziffer und übermittelt bei fehlerfreier Prüfung die Liste der E-Rezepte zur Versicherten-ID aus der Prüfziffer. (Das entspricht der bestehenden Lösung.)

Wenn ein VSDM Prüfungsnachweis mit dem Ergebnis 3 (d.h. ohne Prüfziffer) übermittelt wird, prüft der E-Rezept-Fachdienst, ob der Schalter AcceptPN3 aktiviert ist. Wenn ja, übermittelt der E-Rezept-Fachdienst die Liste der E-Rezepte zur vom AVS zusätzlich übertragen Versicherten-ID.

Für das Aktivieren und Deaktivieren des Schalter AcceptPN3 ist zum einen ein betrieblicher Prozess unter Steuerung vorgesehen. Zum anderen ist ein Automatismus vorgesehen, dass der Schalter aktiviert wird, wenn innerhalb von 5 Minuten Prüfungsnachweise mit dem Ergebnis 3 von 10 verschiedenen Apotheken übermittelt werden.

Die Implementierung im E-Rezept-Fachdienst ist in zwei Stufen geplant, um eine zeitnahe Umsetzung zu erreichen. In der erste Stufe ist die Steuerung des Features nur über den organisatorischen Prozess vorgesehen. In der zweiten Stufe ist die Steuerung über die automatische Erkennung und den organisatorischen Prozess vorgesehen.

Diese Anpassung des Features „Abruf der E-Rezepte in der Apotheke nach Autorisierung" ist ebenso eine temporäre Lösung, wie die Nutzung der Fachdienste VSDM dafür insgesamt. Mit der Migration auf die geplante "Proof of Patient Presence" (PoPP) Lösung entfällt insgesamt die Abhängigkeit zu den Fachdienste VSDM.

Datenschutz und Informationssicherheit:

Dieses Feature ist Resultat einer Abwägung verschiedener Risiken. 
Auf der einen Seite steht das Risiko, dass im Falle einer Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM ein Versicherter in der Apotheke seine verschriebenen Medikamente nicht erhalten kann. Dies kann gesundheitlich kritisch sein, falls der Versicherte auf die zeitnahe Einnahme des Medikaments angewiesen ist. Der Aufwand für den Umstieg auf die Ersatzprozesse ist zudem für alle Beteiligten hoch.
Auf der anderen Seite steht das Risiko, dass Angreifer die temporäre Akzeptanz des kryptografisch nicht gesicherten Prüfnachweises ausnutzen, um bei einer (automatisch) festgestellten Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM Prüfungsnachweise mit dem Ergebnis 3 (PN3) wiederzuverwenden (Replay-Angriff) bzw. zu fälschen, und zu einer KVNR (bekannt oder geraten) mittels eines bereits vorhandenen oder gefälschten PN3 unautorisiert E-Rezepte für diese KVNR vom E-Rezept-Fachdienst abzurufen.
Angesichts der inzwischen erreichten Bedeutung des E-Rezepts im Versorgungsprozess, wird das Risiko der Nichtverfügbarkeit kritischer gesehen als das Missbrauchsrisiko.
Eine mitigierende Maßnahme ist die zeitliche Begrenzung auf Situationen, in denen der Indikator (mindestens 10 abgebenden Leistungserbringerinstitutionen liefern einen PN3 in einem Zeitfenster von 5 Minuten) eine Nichtverfügbarkeit eines Fachdienstes VSDM oder eines Intermediär VSDM anzeigt.
Eine weitere mitigierende Maßnahme ist der Schwellenwert von 10 abgebenden Leistungserbringerinstitutionen die quasi gleichzeitig einen PN3 liefern müssen, bevor PN3 generell vom Fachdienst akzeptiert werden. Vor dem Hintergrund der Regelung im § 1  Absatz 2 Apothekengesetz (ApoG), dass der Inhaber einer Apothekenbetriebserlaubnis zusätzlich zu seiner Hauptapotheke nur bis zu drei Filialapotheken betreiben darf, müssten sich mehrere Inhaber einer Apothekenbetriebserlaubnis für einen Angriff zusammenschließen, um eine Anzahl von 10 abgebenden Leistungserbringerinstitutionen zu erreichen.
Neben dem Automatismus zur Aktivierung und Deaktivierung der Akzeptanz von PN3, wird ein weiterer Schalter vorgesehen, über den diese Funktion aktiviert und deaktiviert werden kann. Dieser Schalter wird vom Betreiber des Fachdienstes auf Anweisung durch die gematik verwendet. Damit ist es möglich, dass die gematik bei festgestellten oder vermuteten Missbrauchsfällen dieses Features die automatische Steuerung außer Kraft zu setzen.
Um für einen Versicherten die Bedingungen transparent zu machen, unter denen seine E-Rezepte von einer Apotheke abgerufen wurden, wird im Prokoll für den Versicherten ein Abruf mit PN3 gesondert ausgewiesen - und zwar sowohl erfolgreiche Abrufe, als auch nicht erfolgreiche (PN3 wurde von der Apotheke gesendet, aber die Akzeptanz von PN3 war nicht eingeschaltet).

Ablaufdiagramm für die Implementierung im E-Rezept-Fachdienst (informativ):

Automatisches Aktivieren und Deaktivieren (informativ):

Änderungen:

Anforderung an E-Rezept-Fachdienst

Die nachfolgenden Anforderungen werden in das Dokument [gemSpec_FD_eRp] übernommen.

5.5 Protokollierung

Alt:

A_19284-06 - E-Rezept-Fachdienst - Versichertenprotokoll zu Operationen

Der E-Rezept-Fachdienst MUSS jeden Aufruf der folgenden Operationen protokollieren:

Tabelle 1: TAB_eRPFD_004 Versichertenprotokoll

Operation Rolle des
zugreifenden Nutzers
Beschreibung (ggfs. als Vorschlag für einen lesbaren Protokolleintrag in einfacher Sprache)
http GET /Task/<id>
- Versicherter,
Vertreter
Patient/Versicherter/Vertreter hat das E-Rezept heruntergeladen
Apotheker Apotheke hat die E-Rezept-Quittung heruntergeladen
http GET /Task
Apotheker im Erfolgsfall:
Apotheke hat mit Ihrer eGK die Liste der offenen E-Rezepte abgerufen.
im Fehlerfall:
Apotheke konnte aufgrund eines Fehlerfalls nicht die Liste der offenen E-Rezepte mit Ihrer eGK abgerufen.
http POST /Task
$activate Arzt-/Zahnarztpraxis/Krankenhaus Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept bereitgestellt
$accept Apotheke Apotheke hat das E-Rezept heruntergeladen
$reject Apotheke Apotheke hat das E-Rezept zurückgegeben
$dispense Apotheke Apotheke hat das E-Rezept beliefert
$close Apotheke Apotheke hat das E-Rezept abgeschlossen
$abort Versicherter,
Vertreter
Patient/Versicherter/Vertreter hat das E-Rezept gelöscht
Arzt-/Zahnarztpraxis/Krankenhaus Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept gelöscht
Apotheke Apotheke hat das E-Rezept gelöscht
http GET /MedicationDispense/<id> bzw. Zugriff via Suchparameter GET /MedicationDispense?<parameter>=...
Versicherter,
Vertreter
Patient/Versicherter hat Medikament-Informationen heruntergeladen
http DELETE /ChargeItem/<id> Versicherter Versicherter hat Abrechnungsinformation gelöscht
http GET /ChargeItem/<id> Versicherter Versicherter hat Abrechnungsinformation gelesen
Apotheke Apotheke hat Abrechnungsinformation gelesen
http POST /ChargeItem Apotheke Apotheke hat Abrechnungsinformation bereitgestellt
http PATCH /ChargeItem/<id> Versicherter Versicherter hat Markierung zu Abrechnungsinformation gespeichert
http PUT /ChargeItem/<id> Apotheke Apotheke hat PKV-Abgabedatensatz gespeichert
http POST /Consent Versicherter Versicherter hat Einwilligung erteilt
http DELETE /Consent Versicherter Versicherter hat Einwilligung widerrufen
Automatisches Löschen durch den Fachdienst
Ressource Task E-Rezept-Fachdienst Veraltete E-Rezepte vom Fachdienst automatisch gelöscht
Ressource MedicationDispense Veraltete Medikament-Informationen vom Fachdienst automatisch gelöscht
Ressource Communication Veraltete Nachrichten vom Fachdienst automatisch gelöscht
Ressource ChargeItem Veraltete Abrechnungsinformation vom E-Rezept-Fachdienst automatisch gelöscht

und die gelesene bzw. geschriebene Ressource im Protokolleintrag AuditEvent.entity.what als Referenz hinzufügen sowie die KVNR des betroffenen Versicherten in AuditEvent.entity.name speichern.
Mit diesen Informationen kann der Versicherte die Zugriffe auf seine Daten nachvollziehen und bei einem unberechtigten Zugriff ggfs. intervenieren. [<=]

Neu:

A_19284-07 - E-Rezept-Fachdienst - Versichertenprotokoll zu Operationen

Der E-Rezept-Fachdienst MUSS jeden Aufruf der folgenden Operationen protokollieren:

Tabelle 2: TAB_eRPFD_004 Versichertenprotokoll

Operation Rolle des
zugreifenden Nutzers
Beschreibung (ggfs. als Vorschlag für einen lesbaren Protokolleintrag in einfacher Sprache)
http GET /Task/<id>
- Versicherter,
Vertreter
Patient/Versicherter/Vertreter hat das E-Rezept heruntergeladen
Apotheker Apotheke hat die E-Rezept-Quittung heruntergeladen
http GET /Task
Apotheker im Erfolgsfall bei AcceptPN3=false:
Apotheke hat mit Ihrer eGK die Liste der offenen E-Rezepte abgerufen.
im Erfolgsfall bei PN3 und AcceptPN3=true:
Apotheke hat mit Ihrer eGK die Liste der offenen E-Rezepte abgerufen. (Offline-Check wurde akzeptiert)
im Fehlerfall PN3 und AcceptPN3=false:
Apotheke konnte aufgrund eines Fehlerfalls nicht die Liste der offenen E-Rezepte mit Ihrer eGK abgerufen. (Offline-Check wurde nicht akzeptiert)
im sonstigen Fehlerfall:
Apotheke konnte aufgrund eines Fehlerfalls nicht die Liste der offenen E-Rezepte mit Ihrer eGK abgerufen.
http POST /Task
$activate Arzt-/Zahnarztpraxis/Krankenhaus Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept bereitgestellt
$accept Apotheke Apotheke hat das E-Rezept heruntergeladen
$reject Apotheke Apotheke hat das E-Rezept zurückgegeben
$dispense Apotheke Apotheke hat das E-Rezept beliefert
$close Apotheke Apotheke hat das E-Rezept abgeschlossen
$abort Versicherter,
Vertreter
Patient/Versicherter/Vertreter hat das E-Rezept gelöscht
Arzt-/Zahnarztpraxis/Krankenhaus Arzt-/Zahnarztpraxis/Krankenhaus hat das E-Rezept gelöscht
Apotheke Apotheke hat das E-Rezept gelöscht
http GET /MedicationDispense/<id> bzw. Zugriff via Suchparameter GET /MedicationDispense?<parameter>=...
Versicherter,
Vertreter
Patient/Versicherter hat Medikament-Informationen heruntergeladen
http DELETE /ChargeItem/<id> Versicherter Versicherter hat Abrechnungsinformation gelöscht
http GET /ChargeItem/<id> Versicherter Versicherter hat Abrechnungsinformation gelesen
Apotheke Apotheke hat Abrechnungsinformation gelesen
http POST /ChargeItem Apotheke Apotheke hat Abrechnungsinformation bereitgestellt
http PATCH /ChargeItem/<id> Versicherter Versicherter hat Markierung zu Abrechnungsinformation gespeichert
http PUT /ChargeItem/<id> Apotheke Apotheke hat PKV-Abgabedatensatz gespeichert
http POST /Consent Versicherter Versicherter hat Einwilligung erteilt
http DELETE /Consent Versicherter Versicherter hat Einwilligung widerrufen
Automatisches Löschen durch den Fachdienst
Ressource Task E-Rezept-Fachdienst Veraltete E-Rezepte vom Fachdienst automatisch gelöscht
Ressource MedicationDispense Veraltete Medikament-Informationen vom Fachdienst automatisch gelöscht
Ressource Communication Veraltete Nachrichten vom Fachdienst automatisch gelöscht
Ressource ChargeItem Veraltete Abrechnungsinformation vom E-Rezept-Fachdienst automatisch gelöscht

und die gelesene bzw. geschriebene Ressource im Protokolleintrag AuditEvent.entity.what als Referenz hinzufügen sowie die KVNR des betroffenen Versicherten in AuditEvent.entity.name speichern.
Mit diesen Informationen kann der Versicherte die Zugriffe auf seine Daten nachvollziehen und bei einem unberechtigten Zugriff ggfs. intervenieren. [<=]

5.10 Status AcceptPN3

A_25200 - E-Rezept-Fachdienst - Status AcceptPN3

Der E-Rezept-Fachdienst MUSS einen Status AcceptPN3 mit den Zuständen true und false verwalten. [<=]

Der Defaultwert für AcceptPN3 ist false.

A_25201 - E-Rezept-Fachdienst - Status AcceptPN3Automatic

Der E-Rezept-Fachdienst MUSS einen Status AcceptPN3Automatic mit den Zuständen true und false verwalten. [<=]

Der Defaultwert für AcceptPN3Automatic ist false.

A_25202 - E-Rezept-Fachdienst - Konfigurationsparameter NumberApothekenPN3

Der E-Rezept-Fachdienst MUSS einen Konfigurationsparameter NumberApothekenPN3 verwalten. [<=]

Der Defaultwert für NumberApothekenPN3 ist 10.

A_25203 - E-Rezept-Fachdienst - Betrieblicher Prozess Änderung AcceptPN3, AcceptPN3Automatic, NumberApothekenPN3

Der Anbieter des E-Rezept-Fachdienstes MUSS einen betrieblichen Prozess unterstützen, mittels dem die Status AcceptPN3, AcceptPN3Automatic und der Konfigurationsparameter NumberApothekenPN3 zur Laufzeit des Dienstes gesteuert werden kann. [<=]

Hinweis: Im Rahmen des betrieblichen Prozesses ist jeweils eine Kombination der Status AcceptPN3 und AcceptPN3Automatic zu setzen, um ein definiertes Verhalten des E-Rezept-Fachdienstes zu erreichen.

Es werden unmittelbar aufeinander folgende Zeitintervalle mit derselben (konfigurierbaren) Dauer betrachtet.

A_25371 - E-Rezept-Fachdienst - Konfigurationsparameter AcceptPN3Interval

Der E-Rezept-Fachdienst MUSS einen Konfigurationsparameter AcceptPN3Interval verwalten. [<=]

Der Defaultwert für AcceptPN3Interval ist 5 Minuten.

A_25372 - E-Rezept-Fachdienst - AcceptPN3 - Anzahl Apotheken mit PN3

Der E-Rezept-Fachdienst MUSS, wenn AcceptPN3Automatic = true, für jedes Zeitintervall mit der Dauer AcceptPN3Interval die Anzahl der abgebenden LEI, welche einen Request mit Prüfungsnachweis Ergebnis = 3 übermitteln, ermitteln und mit dem Schwellwert NumberApothekePN3 vergleichen. [<=]

Für das automatische Aktivieren von AcceptPN3 ist das aktuelle Zeitintervall relevant.

A_25204 - E-Rezept-Fachdienst - AcceptPN3 - automatisch Aktivieren

Der E-Rezept-Fachdienst MUSS, wenn AcceptPN3Automatic = true und die Anzahl der abgebenden LEI, welche im aktuellen Zeitintervall einen Request mit Prüfungsnachweis Ergebnis = 3 übermitteln, den Schwellwert NumberApothekePN3 überschreitet, den Status AcceptPN3 = true setzen. [<=]

Für das automatische Deaktivieren von AcceptPN3 ist das vorherige Zeitintervall relevant.

A_25205 - E-Rezept-Fachdienst - AcceptPN3 - automatisch Deaktivieren

Der E-Rezept-Fachdienst MUSS, wenn AcceptPN3Automatic = true, Status AcceptPN3 = true und wenn im vorherigen Zeitintervall der Schwellwert NumberApothekePN3 nicht überschritten wurde, den Status AcceptPN3 = false setzen. [<=]

6.1.1 HTTP-Operation GET

Alt:

A_23451 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Zeitraum Akzeptanz Prüfungsnachweis

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit dem URL-Parameter pnw="..." durch eine abgebende LEI prüfen, dass die Differenz zwischen Zeitstempel aus der Prüfziffer des Prüfungsnachweises und dem aktuellen Zeitpunkt nicht größer als 30 Minuten (konfigurierbar) ist und bei fehlerhafter Prüfung mit dem Fehler 403 abbrechen. Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Zeitliche Gültigkeit des Anwesenheitsnachweis überschritten)." im OperationOutcome zu übermitteln. [<=]

Neu:

A_23451-01 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Zeitraum Akzeptanz Prüfungsnachweis

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit dem URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis eine Prüfziffer enthalten ist, prüfen, dass die Differenz zwischen Zeitstempel aus der Prüfziffer des Prüfungsnachweises und dem aktuellen Zeitpunkt nicht größer als 30 Minuten (konfigurierbar) ist und bei fehlerhafter Prüfung mit dem Fehler 403 abbrechen. Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Zeitliche Gültigkeit des Anwesenheitsnachweis überschritten)." im OperationOutcome zu übermitteln. [<=]

Alt:

A_23452-01 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Filter Status, KVNR und Workflowtype

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, die Tasks nach Task.status = "ready", Task.for = KVNR für die KVNR aus der Prüfziffer des Prüfungsnachweises und Task.extension:flowType = 160 filtern und in einem Bundle der gefundenen Tasks (ohne den signierte Anhang QES) zurückgeben, damit eine Apotheke alle zu einem Versicherten gehörenden E-Rezepte mit dem Status "offen" abrufen kann. [<=]

Neu:

A_23452-02 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - Filter Status, KVNR und Workflowtype

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis eine Prüfziffer enthalten ist, die Tasks nach Task.status = "ready", Task.for = KVNR für die KVNR aus der Prüfziffer des Prüfungsnachweises und Task.extension:flowType = 160 filtern und in einem Bundle der gefundenen Tasks (ohne den signierte Anhang QES) zurückgeben, damit eine Apotheke alle zu einem Versicherten gehörenden E-Rezepte mit dem Status "offen" abrufen kann. [<=]

Neu:

A_25206 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis keine Prüfziffer enthalten ist, prüfen, ob das Ergebnis im Prüfungsnachweis gleich 3 ist und bei fehlerhafter Prüfung mit dem Fehler 403 abbrechen. [<=]

A_25207 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3 - AcceptPN3 false

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls im VSDM Prüfungsnachweis keine Prüfziffer enthalten, das Ergebnis im Prüfungsnachweis gleich 3 und Status AcceptPN3 = false ist mit dem Fehler 454 abbrechen. [<=]

A_25208 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3 - URL kvnr

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls das Ergebnis im VSDM Prüfungsnachweis gleich 3 ist, prüfen, ob ein URL-Parameter kvnr="..." übermittelt wurde und bei fehlerhafter Prüfung mit dem Fehler 455 abbrechen. [<=]

A_25209 - E-Rezept-Fachdienst - Rezepte lesen - Apotheke - VSDM - PN3 - AcceptPN3 true - Filter Status, KVNR und Workflowtype

Der E-Rezept-Fachdienst MUSS beim Aufruf der HTTP-GET-Operation auf den Endpunkt /Task mit den URL-Parameter pnw="..." durch eine abgebende LEI, falls Status AcceptPN3 = true, das Ergebnis im VSDM Prüfungsnachweis gleich 3 ist und URL-Parameter kvnr="..." übermittelt wurde, die Tasks nach Task.status = "ready", Task.for = KVNR aus dem URL-Parameter und Task.extension:flowType = 160 filtern und in einem Bundle der gefundenen Tasks (ohne den signierte Anhang QES) zurückgeben, damit eine Apotheke alle zu einem Versicherten gehörenden E-Rezepte mit dem Status "offen" abrufen kann.
Der E-Rezept-Fachdienst MUSS für den Response den Returncode 202 verwenden.
[<=]

6.1.1.1 HTTP-Operation GET - Prüfung VSDM Prüfungsnachweis

A_23455 - E-Rezept-Fachdienst - Prüfung Prüfziffer - keine Prüfziffer

Der E-Rezept-Fachdienst MUSS prüfen, ob eine Prüfziffer im VSDM Prüfungsnachweis enthalten ist und falls nicht, die Prüfung mit einem Fehler abbrechen.
Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Prüfziffer fehlt im VSDM Prüfungsnachweis)." im OperationOutcome zu übermitteln. [<=]

A_23455 wird storniert.

Alt:

A_23456 - E-Rezept-Fachdienst - Prüfung Prüfziffer - Berechnung HMAC der Prüfziffer

Der E-Rezept-Fachdienst MUSS für den HMAC der Prüfziffer die führenden 23 Byte der Prüfziffer (Felder 1-5) mittels SHA-256 Hashfunktion berechnen und für den nachfolgenden Vergleich die ersten 24 Byte verwenden.
Im Fehlerfall ist die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Fehler bei Prüfung der HMAC-Sicherung)." im OperationOutcome zu übermitteln. [<=]

Neu:

A_23456-01 - E-Rezept-Fachdienst - Prüfung Prüfziffer - Berechnung HMAC der Prüfziffer

Der E-Rezept-Fachdienst MUSS, falls im VSDM Prüfungsnachweis eine Prüfziffer enthalten ist, für den HMAC der Prüfziffer die führenden 23 Byte der Prüfziffer (Felder 1-5) mittels SHA-256 Hashfunktion berechnen und für den nachfolgenden Vergleich die ersten 24 Byte verwenden.
Der E-Rezept-Fachdienst MUSS im Fehlerfall die Meldung "Anwesenheitsnachweis konnte nicht erfolgreich durchgeführt werden (Fehler bei Prüfung der HMAC-Sicherung)." im OperationOutcome zu übermitteln. [<=]

Anforderungen an das Primärsystem der abgebenden LEI

Die nachfolgenden Anforderungen werden in das Dokument [gemILF_PS_eRp] übernommen.

5.3.1 E-Rezepte von einem Versicherten abrufen

Alt:

Der Prüfungsnachweis wird aus dem ReadVSD Response entnommen, URL-kodiert und in den Aufruf des E-Rezept-Fachdienstes übernommen.

...

A_23449 - PS abgebende LEI: E-Rezepte von Versicherten abrufen - E-Rezepte abrufen

Das PS der abgebenden LEI MUSS im Anwendungsfall "E-Rezepte von Versicherten abrufen" die HTTP-Operation GET /Task mit

  • ACCESS_TOKEN im Authorization-Header
  • base64- und URL-codierter Prüfungsnachweis in URL-Parameter pnw
ausführen. [<=]

Bsp.-URL: GET /Task?pnw=q94mhx93b8ch... 

Neu:

Der Prüfungsnachweis wird aus dem ReadVSD Response entnommen, URL-kodiert und in den Aufruf des E-Rezept-Fachdienstes übernommen. Die Versicherten-ID kann aus dem Attribut Versicherten_ID in PersoenlicheVersichertendaten ermittelt werden.

...

A_23449-01 - PS abgebende LEI: E-Rezepte von Versicherten abrufen - E-Rezepte abrufen

Das PS der abgebenden LEI MUSS im Anwendungsfall "E-Rezepte von Versicherten abrufen" die HTTP-Operation GET /Task mit

  • ACCESS_TOKEN im Authorization-Header
  • base64- und URL-codierter Prüfungsnachweis in URL-Parameter pnw
  • Versicherten-ID in URL-Parameter kvnr
ausführen. [<=]

Bsp.-URL: GET /Task?pnw=q94mhx93b8ch...&kvnr=A012...