...
Ab dem Januar 2024 müssen DiGA eine Anmeldung über die von den Kostenträgern bereitgestellten digitalen Identitäten (GesundheitsID) anbieten. In der Anlage 1 zur DiGAV ist dies in der Kategorie Datensicherheit als Punt 15a festgeschrieben. Ab Mitte Dezember 2023 wird sukzessive eine sogenannte Föderation aus sektoralen Identity Providern (IDP) nach dem Standard OpenID Connect aufgebaut. Die sektoralen IDPs verwalten den gesamten Lebenszyklus der Identitäten der Versicherten und stellen nach erfolgreicher Authentisierung des Versicherten Identitätsbestätigungen gegenüber Anwendungen wie DiGA aus. DiGA-Hersteller können also den Nutzer zur Authentifizierung an die IDPTI-Föderation delegieren und erhalten nach erfolgreicher Authentifizierung ein DiGA- und nutzerspezifisches Pseudonym oder -ausschließlich für das Schreiben versorgungsrelevanter DiGA-Daten in die ePA des Nutzers - die KVNR.
Die Nutzerverwaltung und -autorisierung ist kein Leistungsmerkmal der IDPTI-Föderation und bleibt in der Verantwortung des DiGA-Herstellers.
Weitere Informationen zur IDPTI-Föderation sind in der IDP-Wissensdatenbank der gematik zu finden: TI-Föderation
...
Umsetzung des Anwendungsfalls
Die DiGA ist eine sind Fachanwendung im Sinne der IDPTI-Föderation. Alle relevanten Informationen für Fachanwendungen in der IDPTI-Föderation sind in der IDP-Wissensdatenbank gebündeltzu finden: Fachanwendungen der TI-Föderation
Grundsätzlich muss der DiGA-Hersteller einen Registrierungsprozess bei der gematik durchlaufen, in dem in Zusammenarbeit mit dem BfArM sichergestellt wird, dass es sich um einen im DiGA-Verzeichnis gelisteten Hersteller handelt. Beim Registrierungsprozess wird festgelegt, welche Attribute der DiGA-Hersteller von den IDPs abrufen darf - im Regelfall lediglich ein Pseudonym und die KVNR zum Einstellen versorgungsrelevanter DiGA-Daten in die ePA. Zusätzlich werden weitere Informationen des DiGA-Herstellers beim Federation Master abgelegt. Der DiGA-Hersteller muss dann den ID-Token verarbeiten können, den er aus der IDP-Föderation nach erfolgreicher Authentisierung des Nutzers erhält.
Als Nachweis der erfolgreichen Integration der IDP-Föderation muss der DiGA-Hersteller bei der Registrierung einen entschlüsselten ID-Token aus der Testumgebung vorlegen.
Um die GesundheitsID bzw. die TI-Föderation zu integrieren, sind konkret folgende Schritte notwendig:
1. Implementierung der GesundheitsID in der Test- bzw. Referenzumgebung
Zunächst muss die GesundheitsID bzw. die TI-Föderation in der Test- bzw. Referenzumgebung integriert werden. Fachdienste der TI-Föderation können für Interoperabilitätstest ihrer Anwendung von der gematik bereitgestellte Referenzimplementierungen und Umgebungen nutzen. Informationen hierzu sind in der IDP-Wissensdatenbank zu finden: Fachdienste Test-Umgebungen
Wie auf der verlinkten Seite dargestellt, ist es für einige Integrationstest notwendig, den Authorization-Server der DiGA in der TI-Föderation zu registrieren und Zugang. Nur so wird der Fachdienst als Teilnehmer der Föderation von allen sektoralen IDPs in der Föderation erkannt. Details zur Registrierung in der Test- bzw. Referenzumgebung sind ebenfalls in der IDP-Wissensdatenbank zu finden: Registrierung eines Fachdienstes in der TI-Föderation (für die Testumgebung (TU) und/oder Referenzumgebung (RU))
Wie ebenfalls auf Fachdienste Test-Umgebungen beschrieben befindet sich die Referenzimplementierung des gematik sektoralen IDP in einem eingeschränkt zugänglichen Netz der gematik. Aus dem Grund muss die Outbound-IP des DiGA-Herstellers auf der Allowlist der gematik stehen oder alternativ muss vom DiGA-Hersteller ein X-Auth-Header in seinen Requests verwenden werden. Dieser wird von der gematik auf Anfrage an diga@gematik.de kommuniziert.
Kann ein von einem sektoralen IDP ausgestelltes ID-Token erfolgreich entschlüsselt werden, so wurde der Authentisierungsprozess in der Testumgebung auch erfolgreich durchlaufen. Die finalen Tests sollten nicht gegen den gematik sektoralen IDP mit dessen GSIA-App sondern gegen einen von der gematik zugelassenen sektoralen IDP und dessen Authenticator-App in der Testumgebung ausgeführt werden. Da sich die sektoralen IDPs der Kassen noch in der Zulassung befinden, sind noch nicht alle sektoralen IDPs der Kassen in der Testumgebung registriert. Auch ist es aktuell noch nicht möglich, Zugang zu den Authenticator-Apps der IDP-Anbieter zu bekommen. Weitere Informationen hierzu folgen.
2. Bestätigung als DiGA in der TI-Föderation
Bevor wir DiGA produktiv in der Föderation registrieren, müssen wir sie als DiGA in der TI-Föderation bestätigen. Sobald also DiGA-Hersteller die GesundheitsID erfolgreich getestet haben, können Sie die Bestätigung beantragen . Dabei weisen Sie die erfüllten Anforderungen über Anbietererklärungen nach.
Offen: Das entsprechende Bestätigungsverfahren steht aktuell noch nicht, allerdings haben wir letzte Woche den Anwendungssteckbrief fertig gestellt und den Gesellschaftern zur Information übertragen. Simone Pfunder wird nach Ihrer Urlaubsrückkehr Ende November die Verfahrensbeschreibung finalisieren. Offen ist zudem die Höhe der Gebühren, die wir dafür verlangen (müssen). Auch hier erfolgt die Klärung mit Simone Pfunder.
3. Nachweis der erfolgreichen Integration der GesundheitsID ggü. dem BfArM
Die von uns ausgestellte Bestätigung dient dann dem BfArM als Nachweis der Implementierung der GesundheitsId. Erst dann wird die DiGA im Verzeichnis gelistet. Hinweis: Da viele DiGA natürlich bereits im Verzeichnis oder aktuell im Antragsprozess beim BfArM sind, wird das BfArM, den bereits gelisteten DiGA einen Übergangszeitraum gewähren, in dem Sie die Integration der GesundheitsID nachweisen.
Registrierung in der produktiven TI-Föderation nach erfolgreicher Listung im DiGA-Verzeichnis
Sobald die DiGA im Verzeichnis gelistet ist, können wir Sie am produktiven Fedmaster registrieren.
Offen ist hier, wie wir konkret die Identität des Antragsstellers prüfen. Hier brauch es die Zuarbeit von Karsten und/oder Tim.
Testmöglichkeiten/-angebote
DiGA-Hersteller können ab sofort die Integration der IDPTI-Föderation testen. Hierzu steht sowohl eine Referenzimplementierung des Federation Masters als auch ein von der gematik entwickelte Implementierung eines sektoralen IDPs bereit. Um Ende-zu-Ende Tests durchzuführen, ist eine Registrierung in der Testumgebung notwendig. Alle Informationen hierzu finden Sie unter "Zugang zur Testumgebung" hier: Fachanwendungen der TI-Föderation
...