DAZ aktuell

E-Rezept-Abruf via eGK 2.0

Gematik legt neue Spezifikation vor

jb/ral | Klappt es doch noch mit dem Abruf des E-Rezepts über die elektronische Gesundheitskarte (eGK)? Nachdem der ursprüngliche Vorschlag der Gematik abgeschmettert worden war, hat sie nun einen neuen Entwurf vorgelegt, wie der Abruf datenschutzkonform erfolgen könnte. Sollte er angenommen werden, könnte das Verfahren im Sommer stehen.

Die Einführung des E-Rezepts ist nach wie vor äußerst holprig. Eines der bislang ungelösten Probleme ist der E-Rezept-Abruf mittels eGK. An diesen „dritten Weg“ neben Ausdruck und Gematik-App sind große Erwartungen geknüpft. So soll er die rein digitale Anwendung der E-Rezepte in die Fläche bringen. Denn die Gematik-App hat nach wie vor wenige Nutzer – aktuell landen die meisten elektronischen Verordnungen noch als Ausdruck in den Apotheken. Allerdings legte der Bundesdatenschützer kurz vor dem ursprünglich geplanten Start des E-Rezepts via eGK ein Veto ein. Hintergrund war eine Sicherheits­lücke, die es erlaubte allein mit der Krankenkassennummer und einem TI-Zugang, ohne weiteren Prüfnachweis wie PIN oder Identitätsprüfung, auf Versicherten­daten zuzugreifen.

So könnten etwa Apotheken-Mit­arbeiter oder theoretisch sogar IT-Personal die auf dem Server gespeicherten E-Rezepte abrufen, lautete die Befürchtung.

Gematik präsentiert zwei technische Lösungen

Nun hat die Gematik nachgebessert und eine neue Spezifikation vorgelegt. Sie sieht zwei technische Möglich­keiten vor, wie sich nachweisen lässt, dass die Karte, mit der E-Rezepte abgerufen werden sollen, im Karten­lesegerät steckt und sich die Patienten bzw. deren Vertreter in der Apotheke befinden.

PoPP-Dienst

Das erste Verfahren nennt sich „PoPP-Dienst“. PoPP steht für Proof of Patient Presence. Das ist ein Dienst im zentralen Netz der TI, der einen kryptografisch gesicherten Nachweis ausstellt, dass eine eGK gesteckt wurde. Das soll folgendermaßen funktionieren: Die Apothekensoftware ruft die Operation für den Anwesenheitsnachweis am Konnektor auf. Das Fachmodul PoPP liefert einen durch den PoPP-Dienst signierten Token, der belegt, dass die eGK im eHealth-Karten­terminal steckt. Der Token ist durch den PoPP-Dienst signiert.

Der E-Rezept-Fachdienst prüft beim Abruf der E-Rezepte den Token. Es wird geprüft, dass die Signatur gültig ist, dass der Token innerhalb eines bestimmten Zeitfensters vor dem Abruf des E-Rezepts erstellt wurde und dass die Telematik-ID im Token mit der Telematik-ID der aufrufenden Apo­theke übereinstimmt. Wenn diese Prüfungen positiv ausfallen, werden die E-Rezepte, die hinterlegt sind, aus dem Token zurückgeliefert.

VDSM-Prüfungsnachweis

Die zweite vorgeschlagene Variante ist der „Anwesenheitsbeleg mittels strukturiertem VDSM-Prüfungsnachweis“. Hier kommt also das VDSM, das Ver­sichertenstammdatenmanage­ment, ins Spiel, das die erste verfüg­bare TI-Anwendung war und bislang in der Apotheke eine untergeordnete Rolle spielte.

Die Gematik beschreibt den Prozess folgendermaßen: Die Apothekensoftware liest die Versichertenstamm­daten (VSD) der eGK (Operation ReadVSD des Konnektors) aus. In diesem Rahmen wird geprüft, ob die eGK nicht gesperrt und das Authentisierungs­zertifikat auf der eGK gültig ist. Es wird mit dem „betreiberspezifischen Geheimnis“, dem kryptografischen Schlüssel, dessen Existenz Voraus­setzung für das Verfahren ist, ein Hashwert über die fachlichen Informationen gebildet. Die fachlichen Informationen bilden zusammen mit dem Hashwert die Prüf­ziffer. Es wird ein Prüfungsnachweis erstellt, in das die Prüfziffer eingefügt wird. Die Versichertenstammdaten und der Prüfungsnachweis werden an die Apothekensoftware ausgeliefert. Die ruft wiederum den E-Rezept-Fachdienst auf und übermittelt den Prüfungsnachweis. Der E-Rezept-Fachdienst verifiziert die Prüfziffer und übermittelt die einlösbaren E-Rezepte des jeweiligen Patienten.

Keine PIN-Eingabe nötig

Auf eine PIN-Eingabe seitens der Patienten wird verzichtet. Man nehme das Risiko, dass mit verlorenen Karten E-Rezepte abgerufen werden, bewusst in Kauf, heißt es. So soll ermöglicht werden, dass Beauftragte E-Rezepte in der Apotheke einlösen können, ohne dass die Karten-PIN weitergegeben werden muss. Falls eine Karte verloren geht, sollen Versicherte dies so schnell wie möglich bei der Kasse melden, damit die Karte gesperrt wird.

Mit der Übergabe der eGK autorisiert der Versicherte bei beiden Verfahren die Apotheke zum Abruf aller seiner noch nicht eingelösten E-Rezepte. Sofern mehrere E-Rezepte vorhanden sind, soll die Apotheke klären, welche E-Rezepte eingelöst werden sollen.

Der vorgelegte Entwurf steht nun zur Abstimmung. Wird er beschlossen, ist die Spezifikation von allen Beteiligten umzusetzen, in diesem Fall sind das vor allem die Apothekensoftwarehäuser. Geplant ist, dass das Verfahren im Sommer stehen soll. |

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.