Telematikinfrastruktur
Komponenten & Dienste
PoPP
Hinweise zu Standardkartenlesern

Hinweise zu Standardkartenlesern

Herzlich willkommen!

Das neue Fachportal der gematik

Alle Fachinformationen auf einen Blick - jetzt noch kompakter!

Bei Fragen oder Hinweisen nutzen Sie gern das Kontaktformular.

HINWEIS

Darstellung oder Funktion eingeschränkt?

Sollten nach dem Relaunch einzelne Elemente – etwa das Menü – nicht richtig funktionieren, kann ein Leeren des Browser-Cache und ein Neuladen der Seite Abhilfe schaffen. Vielen Dank für Ihr Verständnis!

Hinweise für Leistungserbringer

In der TI 2.0 wird künftig durch den Dienst Proof of Patient Presence (PoPP) ein ortsunabhängiger Zugriff auf Versichertendaten und damit auf TI-Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept ermöglicht.

Der Zugriff wird ausschließlich gewährt, wenn ein Behandlungskontext vorliegt, beispielsweise während einer Behandlung oder Beratung. Dafür muss neben der Identität der Gesundheitseinrichtung auch die Identität der versicherten Person eindeutig bestimmt werden, etwa über die elektronische Gesundheitskarte (eGK) oder die GesundheitsID des Versicherten.

PoPP ist so konzipiert, dass für die Herstellung des Behandlungskontextes mittels eGK – entweder in der Gesundheitseinrichtung durch Stecken der eGK oder durch den Leistungserbringer in mobilen Szenarien wie Hausbesuchen – der zusätzliche Schutz durch das eHealth-Kartenterminal und den Konnektor nicht zwingend notwendig ist. Daher besteht bei PoPP neben der Nutzung des eHealth-Kartenterminals auch die Möglichkeit, einen nicht von der gematik zugelassenen Standardkartenleser zu verwenden. Dies umfasst sowohl USB-Kartenleser, die an das Primärsystem angeschlossen sind, als auch die NFC-Schnittstelle am Dienst-Smartphone des Leistungserbringers, sofern dies als Teil des Primärsystems genutzt wird.

Standardkartenleser dürfen ausschließlich für die Herstellung des Behandlungskontextes mittels eGK im Rahmen von PoPP verwendet werden. Für andere Anwendungsfälle werden die Schutzfunktionen von eHealth-Kartenterminal und Konnektor bzw. TI-Gateway weiterhin benötigt.

USB-Kartenleser oder auch Dienst-Smartphones, die als Standardkartenleser genutzt werden, sind Teil der IT-Umgebung in der Gesundheitseinrichtung. Ein angemessener Schutz, Einhaltung der gesetzlichen Vorgaben und regelmäßige Wartung sind wie bei weiterer Praxis-IT auch bei Standardkartenleser wichtig.

Es gelten dieselben Vorgaben wie für alle anderen Komponenten dieser IT-Umgebung (z. B. Maus, Tastatur oder das Primärsystem).

Gesundheitseinrichtungen sollten sich zum möglichen Einsatz von Standardkartenlesern und den damit verbundenen Anforderungen mit ihrem Dienstleister vor Ort (DVO) beraten.

Vorgaben zur Sicherheit der IT-Umgebung stehen in der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) nach § 390 SGB V (vormals im § 75b geregelt), den Hinweisen des Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie den IT-Sicherheitshinweisen der Bundesvereinigung Deutscher Apothekerverbände (ABDA):

Richtlinie KBV

Hinweise BSI

Hinweise ABDA

Hinweise für Dienstleister vor Ort (DVO)

Allgemeine Hinweise für den Einsatz von IT-Komponenten im Zusammenhang mit Primärsystemen

Beim Einsatz aller IT-Komponenten, die Teil des Primärsystems sind oder an das Primärsystem angeschlossen werden, sind folgende Sicherheitshinweise zu beachten:

IT-Komponenten sollten ausschließlich von vertrauenswürdigen Herstellern und aus vertrauenswürdigen Quellen bezogen werden. Dies bedingt u. a.:

Auf die Anschaffung von weiterverkauften Geräten sollte verzichtet werden.
Sensibilität für Fremdprodukte: Grundsätzlich kann die in den Produkten verwendete Firmware, die ggf. für den Betrieb der Produkte notwendigen Treiber und etwaige mit den Produkten mitgelieferte Zusatzsoftware, Schwachstellen oder Schadsoftware enthalten. Das Produkt sollte daher idealerweise ohne zusätzliche Treiber auskommen und keine Zusatzsoftware enthalten, die für den eigentlichen Nutzungszweck nicht erforderlich ist.
Geschützte Verbindung: Bei kabellos angebundenen Geräten sollte auf eine geschützte Verbindung zwischen IT-Komponenten und Primärsystem geachtet werden.

Sicherheitsupdates sollten unmittelbar nach Verfügbarkeit im Betriebssystem der verwendeten IT-Systeme eingespielt werden.

ACHTUNG: Ein fortlaufender, angemessener Schutz des Primärsystems ist sehr wichtig, weil dadurch das Risiko für Schwachstellen reduziert wird. Schwachstellen können das Primärsystem anfällig für Angriffe machen, deren Ziel es ist, Schadsoftware in das Primärsystem einzubringen. Eine Folge durch Schadsoftware im Primärsystem könnte der Abfluss von Versichertendaten, die auf dem Primärsystem verarbeitet werden oder die durch das Primärsystem zugänglich sind (bspw. auch in der TI), an Unberechtigte sein.

Spezifische Hinweise für den Einsatz von USB-Kartenlesern im Zusammenhang mit Primärsystemen

Bei USB-Kartenlesern sollten insbesondere die folgenden Punkte berücksichtigt werden:

Die gematik empfiehlt Geräte zu nutzen, die entweder ohne zusätzliche Treiber – also mit den Bordmitteln des Betriebssystems funktionsfähig sind – und/oder die für die Verwendung mit dem elektronischen Personalausweis gelistet werden.
- Geräte, die konform sind zu CCID 1.1 (Chip Card Interface Device, aktuelle Version 1.1), werden im Regelfall ohne zusätzliche Treiber von modernen Betriebssystemen unterstützt.
- Produkte, die für die Verwendung des elektronischen Personalausweises durch das BSI gelistet werden, können ebenfalls genutzt werden. Die Übersicht ist unter folgendem Link verfügbar: https://www.ausweisapp.bund.de/usb-kartenleser

Bei der Auflistung handelt es sich um eine Orientierungshilfe seitens der gematik. Die Entscheidung liegt bei den Leistungserbringern, ob und welches Gerät sie in ihrer Einrichtung nutzen möchten.

Weitere Hinweise:

Updates installieren: Sofern der Kartenleser eine vom Hersteller herausgegebene Treiber-Software benötigt, sollte auch diese immer aktuell gehalten werden.
Installation auf das Nötigste beschränken: Es sollten ausschließlich die für die Funktion des Gerätes absolut notwendigen Software-Komponenten installiert werden.

Spezifische Hinweise für den Einsatz von Smartphones im Zusammenhang mit Primärsystemen:

Für Smartphones gelten ebenfalls die allgemeinen Vorgaben für den sicheren Betrieb von und den Umgang mit IT-Systemen. Dies umfasst insbesondere die regelmäßige Aktualisierung des Betriebssystems und der installierten Apps. Für Smartphones gilt ebenfalls, dass diese grundsätzlich sowohl in installierten Anwendungen (Apps) als auch in den Geräten selbst bzw. in deren Betriebssystemen Schadsoftware und Schwachstellen enthalten können.
Installation auf das Nötigste beschränken: Es sollten ausschließlich die für die Funktion des Gerätes absolut notwendigen Software-Komponenten installiert werden.
Geschützte Datenübertragung: Bei kabellos angebundenen Smartphones an das Primärsystem oder bei einer Synchronisation von Smartphone-Inhalten mit dem Primärsystem über das Internet sollte auf eine geschützte Übertragung von Daten geachtet werden.

Dieser Text dient ausschließlich zu Informationszwecken und stellt keine rechtsverbindliche Beratung dar. Die beschriebenen Hinweise und Vorgaben sollen Leistungserbringern und DVOs eine Orientierung im Umgang mit Standardkartenlesern im Zusammenhang mit der TI 2.0 bieten. Es liegt in der Verantwortung der jeweiligen Institutionen und Nutzer, die Einhaltung aller gesetzlichen Vorgaben und Sicherheitsrichtlinien zu gewährleisten.

Trotz sorgfältiger Erstellung übernimmt der Herausgeber keine Haftung für die Vollständigkeit, Richtigkeit oder Aktualität der Inhalte. Insbesondere wird keine Haftung für etwaige Schäden oder rechtliche Konsequenzen übernommen, die durch die Nutzung der beschriebenen Geräte, Komponenten oder Verfahren entstehen können.