Card Link ist nur Übergangslösung Nadine Tröbitscher, 20.03.2024 14:05 Uhr
Das Bundesgesundheitsministerium (BMG) hat mit seiner 51-Prozent Mehrheit das „eHealth-CardLink“ (eH-CL) genannte Verfahren zum Einlösen von E-Rezepten durchgedrückt. Gestern hat die Gematik die Spezifikationen veröffentlicht. Somit sind die Anforderungen zu Funktion, Test und Betrieb jetzt bekannt, Hersteller und Anbieter können die Zulassung beantragen.
CardLink soll das Einlösen eines E-Rezepts über das Smartphone ermöglichen; dazu kommen Apps von Drittanbietern zum Einsatz. Kernaufgabe von eH-CL ist die Vermittlung zwischen der eGK der Versicherten und dem Konnektor eines Leistungserbringers zur Erstellung eines VSDM-Prüfnachweises „VSDM+“. Dieser Prüfnachweis diene zur Autorisierung von Leistungserbringern an TI-Fachdiensten, heißt es von der Gematik.
So funktioniert es: Versicherte müssen eine entsprechende App auf ihrem Smartphone installieren und sind dann in der Lage, die eGK mittels kontaktloser Kommunikation zu verwenden.
- Der Versicherte „Nutzer“ startet die App und hält seine eGK an sein NFC-fähiges Smartphone („Client des Nutzers“). Damit übergibt der Versicherte seine eGK an die über die App und den eH-CL angebundene LEI und autorisiert diese damit für den nachfolgenden Ablauf zum VSDM-Prüfungsnachweis.
- Die für den Prüfablauf relevanten Daten der eGK werden von der App an den eHealth- CardLink übermittelt.
- Das Primärsystem (PS) ruft die Operation ReadVSD am Konnektor auf.
- Das Fachmodul VSDM startet die Onlineprüfung und Gültigkeitsprüfung der eGK.
- Der Fachdienst VSDM (UFS oder VSDD) verwendet als fachliche Information für die Prüfziffer unter anderem die KVNR und den aktuellen Zeitpunkt als Zeitstempel. Es wird mit dem betreiberspezifischen Geheimnis ein Hashwert über die fachlichen Informationen gebildet. Die fachlichen Informationen bilden zusammen mit dem Hashwert die Prüfziffer.
- Das Fachmodul VSDM erstellt den Prüfungsnachweis und fügt die vom Fachdienst VSDM erhaltene Prüfziffer ein.
eH-CL nur Übergangslösung
Doch eH-CL ist nur zeitlich befristet. Das Software-Modul benötigt zur Erstellung eines Prüfungsnachweises den Dienst VSDM++, so sie Gematik. Dieser setzt technisch die Nutzung der derzeitigen Dienste der Krankenkassen nach § 291b Absatz 1 Sozialgesetzbuch (SGB V) voraus. Die aktuelle Fassung des Digitalgesetzes sieht hierfür eine Befristung bis 31. März 2026 vor. Das bedeutet: „Interoperabilität und Funktionsfähigkeit des Produkts eHealth-CardLink sind nach der Frist damit nicht mehr gegeben“, so die Gematik. Der Dienst VSDM++ zur Erstellung eines Prüfungsnachweis soll zukünftig durch das Feature „Proof of Patient Presence (PoPP)“ ersetzt werden.
Card-Link ist sicher
Die Abda hatte Card-Link kritisiert. „Das ‚CardLink-Verfahren‘ bringt für die Patientinnen und Patienten erhebliche Sicherheitsrisiken mit sich, wird das erst kürzlich ausgerollte E-Rezept-System angreifbarer machen und verbessert die Arzneimittelversorgung an keiner Stelle!“
Doch das Verfahren ist laut Gematik sicher. „Das eH-CL-Verfahren stellt einen validierten Prüfnachweis aus dem VSDM-Fachdienst mittels Konnektor sowie SMC-B und deren PIN zur Verfügung. Dieses Verfahren basiert ausschließlich auf zugelassenen Komponenten der Telematikinfrastruktur, entspricht aus Sicht des Fachdienstzugriffs dem Sicherheitsstandard ‚hoch‘ und damit dem gleichen Standard wie beispielsweise das Stecken der Gesundheitskarte (eGK) in der Apotheke“, teilt eine Sprecherin der Gematik mit.
Für nachgelagerte Anwendungen wie beispielsweise das Einlösen eines E-Rezepts habe die Gematik den Auftrag erhalten, im Rahmen der Zulassung Vorgaben zur Einhaltung des Datenschutzes und der Datensicherheit zu erlassen. Darin eingeschlossen die Protokollierung der an eH-CL angeschlossenen IT-Systeme. „BSI und BfDI haben einem befristeten Einsatz der eHealth-CardLink-Lösung als Übergangstechnologie zugestimmt.“ Außerdem soll für die Einlösung von E-Rezepten mit mobilen Anwendungen vornehmlich die GesundheitsID genutzt werden.
Anbieter und Rechenzentrum müssen Vertrag schließen
Der Anbieter des eH-CL erbringt Betriebsleistung und Service unter Verwendung zugelassener Produkte. Der Anbieter kann dazu Unterauftragnehmer beauftragen. Der Anbieter, der die eH-CL betreibt, überwacht und steuert diese im Rechenzentrum, in dem die eH-CL integriert ist und administriert die dem eH-CL zugrundeliegenden und umgebenden Systeme. Zu den Aufgaben des Betreibers gehört laut Gematik die Installation von Softwareupdates und das Erzeugen und Wiederherstellen von Backups der eH-CL-Instanzen.