02.08.2021 - Betriebskonzept: Ab sofort stehen die Einträge der Änderungsliste Betr_Maintenance_21.2 zur Prüfung bis 10.08.2021 bereit.:
Mehr erfahren

Doctor,With,Stethoscope,And,White,Icon,Medical,On,Hospital,Background,

Anschluss von Krankenhäusern an die TI

FAQ für Krankenhäuser

Übersicht über die häufigsten Fragen zur Anbindung von Krankenhäusern an die Telematikinfrastruktur

FAQ Anschluss von Krankenhäusern an die TI

In Ergänzung zum Whitepaper "Anschluss von Krankenhäusern an die TI" finden Sie hier die Antworten auf die häufigsten Fragen zum TI-Anschluss aus dem Klinik-Alltag.
Die Liste wird fortlaufend aktualisiert.
Beachten Sie auch die themenübergreifende FAQ-Liste der gematik.

VSDM, NFDM, eMP/AMTS

Ja, eine SMC-B des Krankenhauses ist für den Online-Abgleich des VSDM ausreichend. Allerdings sollte man die Hinweise der DKG e.V. zur Ausfallsicherheit befolgen. Der Einsatz eines HBAs ist dabei nicht erforderlich.

Nein, für die Nutzung der Anwendung Notfalldaten-Management (NFDM) spielt es keine Rolle, ob für schreibende oder lesende Zugriffe dieselben Komponenten genutzt werden oder ob dies durchgängig am selben Arbeitsplatz geschieht. Ausschlaggebend ist die Verwendung derselben Telematik-ID.

Die Trennung von Arbeitsschritten ist explizit möglich. Beim NFDM dient die SMC-B lediglich zur Durchführung einer rollenbasierten Berechtigungsprüfung – falls kein elektronischer Heilberufsausweis (HBA) verwendet wird. Daher stellt das NFDM keine impliziten Anforderungen an die Verwaltung von SMC-Bs; demzufolge auch keine Anforderung an die Mandantenverwaltung im Krankenhaus.

Beachten Sie, dass sich die Fachanwendung elektronische Patientenakte (ePA) sich bei der SMC-B-Verwendung deutlich von der Anwendung NFDM unterscheidet. Im Unterschied zum NFDM werden bei der ePA die SMC-B-Zertifikate zur Identifizierung gegenüber dem ePA-Aktensystem aktiv verwendet. Hier spielt hier die Mandantenverwaltung eine wichtige Rolle.

Hintergrund der Frage:
Eine medizinische Fachkraft nimmt einen Patienten ambulant oder stationär auf. Es könnte hilfreich sein, wenn das Primärsystem automatisch anzeigt, ob sich bereits ein Notfalldatensatz (NFDM) oder ein elektronischer Medikationsplan (eMP) auf der elektronischen Gesundheitskarte (eGK) befindet.

Antwort:
Die Daten auf der elektronischen Gesundheitskarte gehören dem Versicherten. Grundsätzlich entscheidet er darüber, wer auf die Daten auf seiner eGK zugreifen darf.
Es gilt jedoch folgende Ausnahme: Im Notfall können Notfalldaten auf der eGK immer dann gelesen werden, wenn dies für die Versorgung der Versicherten erforderlich ist (gemäß § 359 Absatz 1 Satz 1 Nummer 1 SGB V) und der Versicherte nicht in der Lage ist, sein Einverständnis zu geben. Im Zweifel jedoch ist der Zugriff beim Versicherten zu erfragen.

Die Anzeige von Notfalldaten oder dem elektronischen Medikationsplan im Primärsystem sollte demnach nicht ohne Einverständnis des Patienten erfolgen. Das Primärsystem kann aber selbstverständlich Hinweise geben, das Einverständnis des Patienten zu erfragen.

Informationsmodell und Mandantenmodell

Hintergrund der Frage: 
In einem Krankenhaus ist jeder Fachabteilung inklusive Patientenaufnahme eine eigene SMC-B zugeordnet. Der Patient erteilt während der Patientenaufnahme den Zugriff auf seine elektronische Patientenakte (ePA). Wenn noch keine Anamnese erfolgt ist oder erfolgen kann, ist zum Zeitpunkt dieser initialen Zugriffserteilung die behandelnde Fachabteilung noch nicht bekannt.

Antwort:
Da hier das fachabteilungsgetriebene Modell verfolgt wird, muss der Patient dem Zugriff auf seine ePA separat zustimmen, sobald die behandelnde Abteilung wechselt (Näheres dazu finden Sie im Dokument „Anschluss von Krankenhäusern an die TI“). Kann im Krankenhaus für ePA jedoch das anwendungsgetriebene SMC-B-Modell genutzt werden, wäre eine erneute Einwilligung des Patienten nicht erforderlich.

Die Konfiguration der Arbeitsplätze inklusive Zuordnung der SMC-Bs zum Arbeitsplatz sollte immer auf Grundlage eines durchdachten Konzepts erfolgen. Demnach ist es beispielsweise sinnvoll, einem Fachabteilungsarbeitsplatz genau die SMC-B dieser Fachabteilung zuzuordnen, nicht eine beliebig andere SMC-B.

Aus Performance-Gründen empfiehlt es sich, mehrere SMC-Bs zugreifbar zu machen. In diesem Fall ist darauf zu achten, dass diese SMC-Bs dieselbe Telematik-ID aufweisen.

Wichtig ist weiterhin, dass auch das Krankenhausinformationssystem (KIS) das Informationsmodell des Konnektors entsprechend unterstützt. Andernfalls wählt der Konnektor tatsächlich eine (beliebige) dem Aufrufkontext zugeordnete SMC-B aus.

Hintergrund der Frage:
Aufgrund mangelhafter Mandantenverwaltung über das Informationsmodell des Konnektors wurden zu einem Mandanten mehrere SMC-Bs mit unterschiedlichen Telematik-ID angelegt.

Antwort:
Wenn das Informationsmodell „ungünstig“ konfiguriert ist, kann es sein, dass der Konnektor eine der verfügbaren unterschiedlichen Telematik-IDs zufällig auswählt. Dies kann, wie in der Frage bereits angedeutet, bei nachfolgenden Aktivitäten zu Problemen führen. So kann bspw. das Einstellen von Dokumenten in die elektronische Patientenakte gestört sein, wenn dafür eine andere als die anfangs verwendete Telematik-ID den weiteren Aktenzugriff gewähren soll. 
In der eigentlichen Ad-hoc-Autorisierung ist zunächst kein Fehler zu erkennen.

Hintergrund der Frage:
Die SMC-Bs werden im Informationsmodell des Konnektors dem TI-Mandanten zugeordnet, nicht den Arbeitsplätzen (siehe auch Konnektorspezifikation [gemSpec_Kon#PIC_KON_100]).

Antwort:
Zu einer gut konfigurierten Mandantenverwaltung gehört, dass bestimmte Mandanten ausschließlich bestimmten Arbeitsplätzen zugeordnet sind (z. B. Zuweisung der Institutions-SMC-B nur für Arbeitsplätze dieser Fachabteilung, nicht zu Arbeitsplätzen anderer Fachabteilungen).
Der Aufruf mit Angabe des Kontextes kommt vom Krankenhausinformationssystem (KIS). Der Konnektor erkennt diese Zuordnung zwar indirekt über die Mandanten-ID, kann aber selbst keine Qualitätsprüfung der Konfiguration vornehmen. Die Mandantenkonfiguration schlägt somit die Brücke vom Nutzer und seinem Arbeitsplatz zu der ihm zugeordneten SMC-B.

Elektronische Patientenakte

In einem Krankenhaus können grundsätzlich Ärzte, Zahnärzte sowie für die von Ärzten für den Zugriff beauftragten berufsmäßigen Gehilfen oder Personen, die zur Vorbereitung auf diesen Berufen in einem Krankenhaus tätig sind, auf diese Anwendungen zugreifen. Über das Krankenhausinformationssystem können Sie die Zugriffsrechte verfeinern.

Für einen lesenden Zugriff auf ePA, NFDM und eMP/AMTS ist kein elektronischer Heilberufsausweis (HBA) erforderlich; das Lesen kann auch mittels einer SMC-B erfolgen.

Anders verhält es sich beim schreibenden Zugriff. So erfolgt die Erstellung oder Aktualisierung des Notfalldatensatzes (NFD) mittels einer qualifizierten elektronischen Signatur (QES). Hierfür wird ein HBA benötigt. Mit der QES wird der NFD signiert, für das Übermitteln des QES-signierten NFD auf die eGK des Patienten ist wiederum lediglich eine SMC-B erforderlich. Die Übermittlung des aktualisierten NFD auf die eGK des Versicherten kann zeitlich und räumlich getrennt zur QES des NFD erfolgen.

Einige Dokumente, die in die elektronische Patientenakte geladen werden können, wie der elektronische Arztbrief und die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) erfordern ebenfalls eine QES-Signierung.

Das Lesen, Anlegen oder Aktualisieren eines eMP erfordert generell keinen HBA-Einsatz.

Hintergrund der Frage:
Generell ist für die Nutzung der elektronischen Patientenakte (ePA) eine Verschlüsselung auf Fachabteilungsebene nicht zwingend. Aus (prozess)technischer Sicht allerdings wäre es für die Erteilung der Einwilligung in die Nutzung der ePA nützlich, eine einzelne SMC-Bs zu führen (bspw. in kleineren Krankenhäusern). Zugriffsbeschränkungen auf die ePA können innerhalb eines Krankenhauses auch komplett vom Krankenhausinformationssystem (KIS) umgesetzt werden. Angenommen aber, jemand (z. B. eine Datenschutz-Aufsichtsbehörde) fordert für die ePA eine Verschlüsselung auf Fachabteilungsebene, so ist dies ohne Weiteres realisierbar.

Antwort:
Falls beispielsweise aufgrund länderspezifischer datenschutzrechtlicher Vorgaben eine ePA-Verschlüsselung auf Fachabteilungsebene technisch über den Einsatz von SMC-Bs sichergestellt werden soll, muss jede Fachabteilung eines Krankenhauses eine eigene SMC-B mit einer für die Fachabteilung spezifischen Telematik-ID einsetzen. Die Telematik-ID darf in diesem Fall nicht der Telematik-ID des übrigen Krankenhauses entsprechen. Zusätzlich muss über das Informationsmodell des Konnektors im Krankenhaus sichergestellt werden, dass nur aus der Fachabteilung heraus auf diese SMC-B zugegriffen werden kann, da bei Verwendung mehrerer SMC-Bs die Zugriffsrechte zur Nutzung einer einzelnen SMC-B definiert bzw. beschränkt werden muss.
Die Einschränkung von Benutzergruppen bei der Nutzung der SMC-B ist eine Aufgabe des KIS, auf das generell die Verantwortlichkeit für die datenschutzrechtlichen Zugriffsbeschränkungen übertragen wird.
Die Anschaffung einzelner SMC-Bs pro Fachabteilung ist sinnvoll, wenn der Zugriff auf die SMC-B der Fachabteilung entsprechend eingeschränkt werden kann. Dafür sind eine geeignete Arbeitsplatzkonfiguration in Verbindung mit einem geeigneten Konnektorinformationsmodell erforderlich, sowie eine sichere Verwahrung der SMC-B und ihrer PIN. Außerdem muss organisatorisch dafür gesorgt werden, dass bei Vergabe der Berechtigung („Ad-hoc-Autorisierung“) im Krankenhaus zuverlässig ermittelt werden kann, auf welcher Station der Versicherte, der die Autorisierung ausspricht, behandelt wird.

Frage und Hintergrund der Frage:
Bei vielen Krankenhäusern erfolgt die Patientenaufnahme zentral. So werden an einem Arbeitsplatz Patienten für unterschiedliche Organisationseinheiten des Krankenhauses (mit potentiell unterschiedlichen TI-Mandanten) aufgenommen.
Wie kann das Krankenhaus diese gängige Praxis unter dem Aspekt der Zugriffserteilung auf die elektronische Patientenakte (ePA) des Patienten beibehalten, und gleichzeitig die zentralen Aufnahme-Arbeitsplätze TI-Mandanten zuordnen, wie es für eine gut konfigurierte Mandantenverwaltung erforderlich wäre?

Antwort:
Im Falle einer zentralen Aufnahme bestehen mehrere Möglichkeiten:

  1. Den Zugriff auf die ePA erteilt der Patient dem Aufnahme-Mandanten (bzw. der zentralen Aufnahme) des Krankenhauses (bei kleineren Krankenhäusern ggf. auch dem gesamten Krankenhaus). Der Aufnahme-Mandant liest ggf. herunterzuladende Daten aus der ePA aus und leitet sie innerhalb des Krankenhausinformationssystems (KIS) an die den Patienten behandelnden Stationen weiter bzw. macht sie verfügbar. Bei der Entlassung wiederum stellt der Aufnahme-Mandant den Entlassbrief und ggf. weitere Dokumente in die ePA des Patienten ein.
  2. Sobald entschieden ist, auf welche Station der Patient verlegt wird, erteilt der Patient den Zugriff für den entsprechenden „neuen“ Mandanten (also Fachabteilung eines Krankenhauses mit separater SMC-B und Telematik-ID).
  3. Der Aufnahme-Mandant umfasst bereits weitere Stationen, auf die typischerweise Patienten verlegt werden.

Bei geplanten Eingriffen ist  der zentralen Aufnahme die behandelnde Station in der Regel bekannt. Darum kann die Einrichtung eines „ePA-Aufnahme-Arbeitsplatzes“ sinnvoll sein, der auf mehrere weitere Mandanten zugreifen kann. Dann wird derjenige Mandant ausgewählt, der zu der behandelnden Station gehört, und die Berechtigung ausgestellt. Bei der Entlassung stellt auch der Stations-Mandant den Entlassbrief o.Ä in die elektronische Patientenakte ein.

Qualifizierte elektronische Signatur und elektronischer Heilberufsausweis

Derzeit kommt die qualifizierte elektronische Signatur (QES) bei den Anwendungen

zum Einsatz.

Die Anwendung KIM (Kommunikation im Medizinwesen) funktioniert grundsätzlich ohne HBA. Gemäß § 383 SGB V werden in der vertragsärztlichen Versorgung aber nur per QES signierte und via KIM  versendete elektronische Arztbriefe vergütet.

 

KIM - Kommunikation im Medizinwesen

Sie können in KIM bis zu 100 E-Mail-Adressen je SMC-B hinterlegen.

eHealth-Kartenterminal

Die Befristung von dezentralen  TI-Komponenten (Kartenterminals, Konnektoren) ist notwendig, da diese TI-Komponenten im Zuge von Releases stetig weiterentwickelt werden. Die Festelegungen in diesen Releases dienen der Erweiterung der Funktionalität eines Produktes sowie der Gewährleistung von Sicherheit, Interoperabilität und Funktionalität. Es muss daher die Möglichkeit bestehen, ältere Produktversionen verbindlich von der TI auszuschließen. Eine Verlängerung der Zulassungsfrist bleibt ausdrücklich vorbehalten.

Falls eine Zulassung ausläuft, ist das betroffene Gerät weiterhin funktionell betreibbar. Allerdings darf der Hersteller dieses Gerät (diese Geräteversion) nicht weiter in den Verkehr bringen, ohne von der gematik die entsprechende Bestätigung (Zulassung) dafür zu erhalten.

In der Regel bietet der Konnektorhersteller vorher ein Firmware-Update an, wobei durch Installation dieser neuen Version der Konnektor in einer zugelassenen Produktversion weiter betrieben werden darf (z.B. Wechsel von PTV3- auf PTV4-Konnektorversion).

SMC-B

Für das Lesen des Notfalldatensatzes (NFD) auf der elektronischen Gesundheitskarte oder in der elektronischen Patientenakte wird generell eine SMC-B benötigt. Da der Notfalldatensatz eines Patienten ggf. krankenhausweit gelesen werden soll, muss diese SMC-B jedoch nicht zwangsläufig in der Notfallambulanz gesteckt bzw. keine „Notfallambulanz-eigene“ SMC-B sein.

Außerdem handelt es sich hierbei in erster Linie eine rechtliche bzw. datenschutzrechtliche Frage (sowie ggf. auch eine abrechnungsrelevante Frage) und erst in zweiter Linie eine technische Frage.

Die DKG empfiehlt eine zwingende Trennung von SMC-Bs nach Rechtseinheiten und verweist auf länderspezifischer Datenschutzanforderungen. Falls die Notfallambulanz Ihres Krankenhauses keine eigenständige Rechtseinheit darstellt, prüfen Sie bitte, ob (länderspezifische) datenschutzrechtliche Anforderungen vorliegen, die eine Trennung der SMC-Bs erforderlich machen. Länderspezifische Anforderungen sehen beispielsweise vor, dass für jede Fachabteilung eine separate SMC-B vorgehalten werden muss, wenn diese für verschlüsselte KIM-Nachrichten erreichbar sein muss. Im Zweifel fragen Sie bitte den Datenschutzbeauftragten in Ihrem Hause.

Auch sollte in einem Krankenhaus nur das Personal Zugriff auf Patientendaten erhalten, das sie tatsächlich f benötigt. Der Zugriff wird dabei i.d.R. über das Krankenhausinformationssystem gesteuert.

Während das Einlesen der eGK in der Notfallambulanz nicht zwingend vorgeschrieben ist und damit auch der VSDM-Online-Abgleich nicht unbedingt erforderlich ist (bzw. die Bestätigung des Versicherungsnachweises auch mittels der SMC-B des Krankenhauses erfolgen kann), ist zu klären, mit welcher SMC-B beispielsweise ein Notfalldatensatz (NFD) oder ein elektronischen Medikationsplan (eMP) auf der eGK eines Patienten angelegt bzw. aktualisiert werden soll sowie eine ggf. vom Patienten eingeforderte Übertragung des eMP auf seine elektronische Patientenakte (ePA) oder ggf. die Ausstellung eines Arzneimittels per elektronischer Verordnung (E-Rezept) erfolgen soll. Bei einem Patienten, der ausschließlich in der Notfallambulanz medizinisch betreut wird, ist es ggf. nicht erforderlich, dass auch weiteres Klinikpersonal Zugriff auf seine Patientendaten (NFD, eMP, ePA, E-Rezept) erhält. Wie werden diese Zugriffe über die von Ihnen eingesetzten KIS-Systeme gesteuert?

Nun zum technischen Teil:

Der Zugriff auf die jeweils zutreffende SMC-B erfolgt mittels Konnektor-Informationsmodell. Dieses ist von entsprechenden Fachleuten Ihrer IT (bzw. Ihres IT-Dienstleisters) einzurichten. Hinweise zur Einrichtung, Konfiguration und Inbetriebnahme entnehmen Sie bitte den Unterlagen des Herstellers.

Hinweis:
Bei secunet-Konnektoren ist eine Installation mittels des Konnektor-Management-Systems (KMS) zu empfehlen. Dies ermöglicht nicht nur eine sicherere Inbetriebnahme, sondern auch einen wesentlich komfortableren Betrieb nebst Wartung und Pflege.

Der Konnektor bietet in seinem Informationsmodell die Möglichkeit an, für jeden Arbeitsplatz ein Remote-Kartenterminal zu definieren. Dabei fordert die am Remote-Kartenterminal arbeitende Person über das Krankenhausinformationssystem (KIS) die Möglichkeit einer PIN-Eingabe (SMC-B/HBA) an. Das KIS überträgt die entsprechende Meldung an den Konnektor. Gleichzeitig unterbindet es für weitere Remote-Kartenterminals einen eventuellen zusätzlichen PIN-Eingabewunsch. Die am Remote-Kartenterminal arbeitende Person muss hierfür die entsprechende PIN kennen.

Die Funktion einer Remote-PIN-Eingabe ist auch nach einem Konnektor-Restart oder bei einer Neu-Verifizierung einer SMC-B nach Verbindungsverlust eines Kartenterminals zum Konnektor nutzbar. Allerdings muss in diesen Fällen das KIS eine Remote-PIN-Eingabe für Endanwender unterstützen. Dies ist nicht bei allen KIS gegeben. In der Regel erfolgt bei diesen KIS die PIN-Eingabe durch die Administratoren des KIS.

 

Telematik-ID und Mandanten

Da eine SMC-B-Session durch Card Handle und Mandant-ID eindeutig bestimmt wird, können durch die im Kontext übergebene Mandant-ID zunächst die potentiell zur Verfügung stehenden SMC-Bs ermittelt werden. Der Konnektor wählt eine SMC-B aus, die dann die PIN-Eingabe erfordert.
Die Telematik-ID wird dann aus dem Zertifikat C.HCI.AUT oder C.HCI.OSIG der ausgewählten SMC-B ermittelt und zur Authentisierung im weiteren Verlauf verwendet.

Eine Eins-zu-Eins-Zuordnung zwischen einem TI-Mandanten und einer Telematik-ID (TI-ID) wird von der gematik nicht generell „vorgeschrieben“, um unterschiedliche Mandantenkonzepte nicht technisch einzuschränken.

Die Eins-zu-Eins-Zuordnung führt jedoch zu einer einfachen und stringenten Lösung der datenschutzrechtlich erforderlichen Zugriffsbeschränkung. Für eine Eins-zu-Eins-Zuordnung beantragen Sie dieselbe Anzahl von SMC-Bs und unterschiedlichen Telematik-IDs. Grundlage für die Anzahl sollte ein zuvor von der IT erstelltes Bedarfskonzept sein. Anschließend ordnen Sie die TI-ID den Mandanten zu.

Für die Anwendung elektronische Patientenakte (ePA) ist die Eins-zu-Eins-Beziehung zwischen Mandant-ID und Telematik-ID fachlich unabdingbar. Das Krankenhausinformationssystem (KIS) kann dies verifizieren, indem es

  • potentiell mehrere SMC-B-Card-Handles der für die ePA verwendeten Mandanten ermittelt,
  • pro Card-Handle per ReadCardCertificate aus der SMC-B das C.HCI.Aut – Zertifikat ausliest, die Telematik-ID extrahiert und
  • eine Fehlermeldung anzeigt, falls die ermittelten Telematik-IDs pro Mandant-ID nicht identisch sind.

Belegärzte in Krankenhäusern

Frage und Hintergrund der Frage:
Belegärzte behandeln/operieren ihre Patienten eigenverantwortlich und nutzen zu diesem Zweck unter Umständen Ressourcen eines Krankenhauses (Räume, Technik, Personal, Material usw.).
Die Patienten werden hierfür per Krankenhausinformationssystem (KIS) erfasst. In der Regel werden aber nur wenige Dokumente, bspw. der OP-Bericht, direkt im Krankenhaus erstellt.
Verwenden Belegärzte bei Dienstbeginn eine eigene SMC-B analog der im Krankenhaus angestellten Ärzte? Und wenn ja, ist die SMC-B dann der Praxis des jeweiligen Arztes zugeordnet oder braucht ein Belegarzt eine zweite SMC-B für seine Belegarzttätigkeit?
 

Antwort:
Belegärzte müssen eine eigene Institutionskarte (SMC-B) verwenden, um TI-Anwendungen nutzen und Leistungen ggü. den (gesetzlichen/privaten) Krankenversicherungen abrechen zu können. Im Krankenhaus muss diese dem KIS bzw. der Konnektorkonfiguration bekanntgemacht werden, sofern Belegärzte das Krankenhausinformationssystem für TI-Anwendungen nutzen. Die SMC-B muss entsprechend freigeschaltet werden.

Ob ein Belegarzt für seine Tätigkeit im Krankenhaus neben der SMC-B seiner Praxis eine zweite SMC-B benötigt, hängt davon ab, ob beispielsweise parallel in seiner Praxis gearbeitet wird, während er im Krankenhaus tätig ist.

Der Belegarzt kann seine Verantwortungsbereiche (Krankenhaus und Praxis) technisch auch über Institutionskarten mit unterschiedlichen Telematik-IDs trennen. Dies sollte er vorab mit den abrechnungsrelevanten Setllen (bspw. der Kassenärztlichen Vereinigung) klären. Diese Einstellung ermöglicht es außerdem, dass der Belegarzt mit einer Karte beispielsweise E-Mails über die Fachanwendung KIM (Kommunikation im Medizinwesen) sowohl aus der Belegsituation im Krankenhaus als auch aus der Praxis verschicken kann.