Mit dem Card-Link-Verfahren („eHealth-Card Link“, eH-CL) hat das Bundesgesundheitsministerium (BMG) einer Beteiligung der Versandapotheken am Rennen um E-Rezepte den Weg geebnet. Die Spezifikationen sind seit einer Woche bekannt, jetzt können die Anbieter ihre Anträge über das Fachportal der Gematik einreichen. Im Zuge dessen sind auch weitere Details zum Verfahren bekannt geworden, so kann beispielsweise nur eine Handynummer pro elektronischer Gesundheitskarte (eGK) gekoppelt werden, diese muss von einem deutschen Anbieter stammen und die Daten müssen auf Anfrage der Gematik anonymisiert bereitgestellt werden.
Experten vermuten, dass es bald gut und gerne 100 Apps gibt, die eH-CL nutzen. Versicherte können sich dann ihre Wunsch-App auf dem Smartphone installieren. Per kontaktloser Kommunikation (NFC) können App und eGK dann verbunden werden. Dieses ortsunabhängige Abrufen der E-Rezepte ist so bisher nur über die wenig genutzte E-Rezept-App der Gematik möglich. Um möglichen Missbrauchsszenarien vorzubeugen, sind die Anbieter dazu angehalten, über die Telefonnummer des Nutzers mehrere Sicherheitsebenen einzurichten.
So kann eH-CL überhaupt nur mit der Angabe einer Telefonnummer genutzt werden. Dank dieser hinterlegten Telefonnummer muss dann, bevor ein VSDM-Prüfnachweis (Versichertenstammdatenmanagement) erzeugt wird, ein SMS-Code an den Nutzer verschickt werden. Hierbei kann es sich um die im Nutzerkonto hinterlegte Nummer handeln oder andere eine eingegebene Nummer. Bei erstmaliger Verwendung einer eGK durch den Nutzer wird diese eGK mit der Telefonnummer des Nutzers verknüpft.
Nachdem eine Session mittels SMS-Code freigeschalten wurde, ist diese 15 Minuten aktiv und kann für bis zu zehn eGK genutzt werden. Sollen dann noch weitere Karten genutzt werden, muss eine neue Session eröffnet werden. Des Weiteren heißt es, eH-CL-Anbieter müssen „bei der Verknüpfung einer eGK, die bereits einer anderen Telefonnummer zugewiesen ist:
Diese Maßnahme soll bei Diebstahl der eGK die Versicherten schützen.
Dafür muss der Anbieter sicherstellen, dass eine deutsche Telefonnummer genutzt wird. Zudem müssen eH-CL-Anbieter die Zugriffe protokollieren und für 90 Tage vorhalten und danach sicher löschen. Für eine Prüfung von Anomalien müssen pseudonymisierte Daten der Gematik auf Anfrage bereitgestellt werden. Dies wird gerade in der Startphase häufiger passieren, um die Erkennung solcher Anomalien gemeinsam zu verbessern, heißt es.
Auch einen kurzen Abschnitt zu den Leistungserbringern enthält die Spezifikation: Sie sind die „Nutzer der fachlichen Schnittstelle einer konkreten eH-CL-Instanz und Inhaber einer SMB-Identität“. Leistungserbringer verantworten die fachliche Administration des eH-CL und können dafür auch einen Dienstleister beauftragen. „Bei Nutzung des eH-CL schließt der Leistungserbringer einen Vertrag mit dem Betreiber/Anbieter des eH-CL“, so die Spezifikation.
Zuletzt wurde unter anderem von der Abda moniert, dass es kein offizielles Zulassungsverfahren für die Apps gibt. Doch das macht die Sache laut Branchenexperten nicht zwangsläufig unsicherer. Die Verantwortung über die Sicherheit liegt nun aber eben nicht beim BSI oder der Gematik, sondern eben bei den Unternehmen selbst, die aber natürlich ebenfalls an der Sicherheit ihres Produkts interessiert sind.
Die unter anderem vom BSI spezifizierte E-Rezept-App werde kaum genutzt, daher sei es nun auch Zeit für andere Lösungen, heißt es aus dem Markt. Und immerhin habe die Gematik das eH-CL-Verfahren reguliert, sodass überbordendem Wildwuchs vorgebeugt sein müsste.
Folgende Checkliste wird den Anbietern für den Antrag an die Hand gegeben:
APOTHEKE ADHOC Debatte