Spezifikationen für Anbieter

Card Link: Nur eine Handynummer pro eGK

, Uhr aktualisiert am 28.03.2024 09:33 Uhr
Berlin -

Mit dem Card-Link-Verfahren („eHealth-Card Link“, eH-CL) hat das Bundesgesundheitsministerium (BMG) einer Beteiligung der Versandapotheken am Rennen um E-Rezepte den Weg geebnet. Die Spezifikationen sind seit einer Woche bekannt, jetzt können die Anbieter ihre Anträge über das Fachportal der Gematik einreichen. Im Zuge dessen sind auch weitere Details zum Verfahren bekannt geworden, so kann beispielsweise nur eine Handynummer pro elektronischer Gesundheitskarte (eGK) gekoppelt werden, diese muss von einem deutschen Anbieter stammen und die Daten müssen auf Anfrage der Gematik anonymisiert bereitgestellt werden.

Experten vermuten, dass es bald gut und gerne 100 Apps gibt, die eH-CL nutzen. Versicherte können sich dann ihre Wunsch-App auf dem Smartphone installieren. Per kontaktloser Kommunikation (NFC) können App und eGK dann verbunden werden. Dieses ortsunabhängige Abrufen der E-Rezepte ist so bisher nur über die wenig genutzte E-Rezept-App der Gematik möglich. Um möglichen Missbrauchsszenarien vorzubeugen, sind die Anbieter dazu angehalten, über die Telefonnummer des Nutzers mehrere Sicherheitsebenen einzurichten.

So kann eH-CL überhaupt nur mit der Angabe einer Telefonnummer genutzt werden. Dank dieser hinterlegten Telefonnummer muss dann, bevor ein VSDM-Prüfnachweis (Versichertenstammdatenmanagement) erzeugt wird, ein SMS-Code an den Nutzer verschickt werden. Hierbei kann es sich um die im Nutzerkonto hinterlegte Nummer handeln oder andere eine eingegebene Nummer. Bei erstmaliger Verwendung einer eGK durch den Nutzer wird diese eGK mit der Telefonnummer des Nutzers verknüpft.

Nachdem eine Session mittels SMS-Code freigeschalten wurde, ist diese 15 Minuten aktiv und kann für bis zu zehn eGK genutzt werden. Sollen dann noch weitere Karten genutzt werden, muss eine neue Session eröffnet werden. Des Weiteren heißt es, eH-CL-Anbieter müssen „bei der Verknüpfung einer eGK, die bereits einer anderen Telefonnummer zugewiesen ist:

  • an die App des App-Providers in der aktuellen Session einen entsprechenden Status senden, der den Zeitpunkt der Erstellung der bestehenden Verknüpfung enthält,
  • die bisherige Verknüpfung der eGK mit der entsprechenden Telefonnummer aufheben und
  • den Nutzer, mit dessen Telefonnummer die eGK bisher verknüpft war, über einen verfügbaren Kommunikationsweg informieren, dass die Verknüpfung mit der eGK auf Grund einer neuen Zuordnung aufgehoben wurde und dabei den Zeitpunkt der neuen Verknüpfung angeben.“

Diese Maßnahme soll bei Diebstahl der eGK die Versicherten schützen.

Nur mit deutscher Nummer möglich

Dafür muss der Anbieter sicherstellen, dass eine deutsche Telefonnummer genutzt wird. Zudem müssen eH-CL-Anbieter die Zugriffe protokollieren und für 90 Tage vorhalten und danach sicher löschen. Für eine Prüfung von Anomalien müssen pseudonymisierte Daten der Gematik auf Anfrage bereitgestellt werden. Dies wird gerade in der Startphase häufiger passieren, um die Erkennung solcher Anomalien gemeinsam zu verbessern, heißt es.

Auch einen kurzen Abschnitt zu den Leistungserbringern enthält die Spezifikation: Sie sind die „Nutzer der fachlichen Schnittstelle einer konkreten eH-CL-Instanz und Inhaber einer SMB-Identität“. Leistungserbringer verantworten die fachliche Administration des eH-CL und können dafür auch einen Dienstleister beauftragen. „Bei Nutzung des eH-CL schließt der Leistungserbringer einen Vertrag mit dem Betreiber/Anbieter des eH-CL“, so die Spezifikation.

Ohne Zulassung = unsicher?

Zuletzt wurde unter anderem von der Abda moniert, dass es kein offizielles Zulassungsverfahren für die Apps gibt. Doch das macht die Sache laut Branchenexperten nicht zwangsläufig unsicherer. Die Verantwortung über die Sicherheit liegt nun aber eben nicht beim BSI oder der Gematik, sondern eben bei den Unternehmen selbst, die aber natürlich ebenfalls an der Sicherheit ihres Produkts interessiert sind.

Die unter anderem vom BSI spezifizierte E-Rezept-App werde kaum genutzt, daher sei es nun auch Zeit für andere Lösungen, heißt es aus dem Markt. Und immerhin habe die Gematik das eH-CL-Verfahren reguliert, sodass überbordendem Wildwuchs vorgebeugt sein müsste.

Checkliste für den Antrag

Folgende Checkliste wird den Anbietern für den Antrag an die Hand gegeben:

  • Verfahrensbeschreibung von der Gematik-Website downloaden
  • Zulassungsantrag im Fachportal der Gematik stellen
  • ggf. offene Fragen mit der Zulassungsstelle klären ([email protected])
  • Die Produktidentifikation in das Zulassungsobjekt einarbeiten
  • Durchführung der eigenverantwortlichen Tests und Erstellen des unterschriebenen Testberichts
  • Evtl. Anfragen zur funktionalen Eignung gemäß Definition im
  • Zulassungsverfahren klären und überwachen.
  • Zulassungsobjekt gemäß Definition im Zulassungsverfahren zusammenstellen und zusammen mit dem unterschriebenen Testbericht an das Testmanagement der Gematik versenden.
  • Nachweise erbringen
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Neuere Artikel zum Thema
Mehr zum Thema
Mehr aus Ressort
Zweifel an Nutzen und Datensicherheit
Umfrage: Akzeptanz für ePa sinkt
Nur 1 Prozent aller Einlösungen
CardLink: Gedisa feiert 50.000 E-Rezepte
Opt-Out war politische Entscheidung
ePA: Datenschützerin fordert leichteren Einspruch

APOTHEKE ADHOC Debatte