Das "Vertrauensniveau der Authentifizierung" einer Meldung trifft nur eine Aussage darüber, wie sich die meldende Stelle gegenüber DEMIS authentifiziert hat. Es trifft keine Aussage darüber wie vertrauensvoll oder sicher die Inhalte der Meldung oder die meldende Stelle als solche sind! Für die Mitarbeitenden im Gesundheitsamt ist ersichtlich, welches Vertrauensniveau das von der meldenden Person/Einrichtung gewählte Authentifizierungsverfahren aufweist.
Bedeutung des Vertrauensniveaus der Authentifizierungsmethode
Die rechtliche Grundlage auf europäischer Ebene für die elektronischen Vertrauensdienste bildet die so genannte eIDAS-Verordnung ("electronic IDentification, Authentication and Trust Service“). Nach dieser Vorgabe wurden die Angaben entwickelt, die DEMIS nun in Form des "Vertrauensniveaus der Authentifizierung" einer Meldung ausweist.
Wie durch die eIDAS-Verordnung ("electronic IDentification, Authentication and Trust Service“) vorgegeben, wird es drei unterschiedliche "Vertrauensniveaus" geben:
- Hoch ("High")
- Substanziell ("Substantial")
- Niedrig ("low")
Dabei muss betont werden, dass "Hoch" und "Substanziell" gleichermaßen als sehr sicher einzustufen sind, auch wenn die Verordnung unterschiedliche Dinge darunter fasst. So ist eine Anmeldung mit einem Personalausweis im Grunde so sicher wie eine Anmeldung mit einem Elster-Zertifikat oder DEMIS-Zertifikat.
"Niedriges" Vertrauensniveau: Was bedeutet das?
Hinter dem Vertrauensniveau "Niedrig" steckt immer eine simple Authentifizierung mit einem Benutzernamen und einem Passwort. Das bedeutet, die meldende Stelle hat lediglich ein einfaches Konto (bei BundID oder MeinUnternehmenskonto) angelegt. Ein Zugang zu DEMIS ist mit dem Vertrauensniveau "Niedrig" nicht möglich (siehe unten stehenden Tabelle).
Fachlich falsche Inhalte werden durch ein höheres Vertrauensniveau der Authentifizierungsmethode jedoch nicht verhindert!
Ausprägungen des Vertrauensniveaus der Authentifizierungsmethode
Durch die Angabe des Vertrauensniveaus einer Meldung wird ersichtlich, welchen IdP ein meldendes System benutzt hat, um sich zu authentifizieren. Also z. B. "BundID", "Mein Unternehmenskonto (MUK)" etc.. Zusätzlich wird dargestellt, welche Anmeldungsmethode dieses Systems genutzt wurde. So kann beispielsweise bei der Anmeldung über die BundID als Anmeldemethode ein Elster-Zertifikat oder der Personalausweis genutzt werden. Aus den genutzten IdPs ist auch ersichtlich, ob eine Meldung manuell im DEMIS-Meldeportal abgesetzt wurde oder ob sie aus einer automatisierten Schnittstelle im Laborinformationssystem (LIS/LIMS) oder Krankenhausinformationssystem (KIS) stammt.
Für DEMIS gibt es folgende Ausprägungen der Vertrauensniveaus der Authentifizierungsmethode :
Schnittstelle | DEMIS-Meldeportal | Vertrauensniveau | Identity Provider/Zugang über | verfügbar (Stand Januar 2025) |
|---|---|---|---|---|
✔ aus Primärsystem (KIS, LIS, AIS, PVS, ...) | Substanziell | DEMIS-Teilnehmernummer - Zertifikat | ✔ | |
| ✔ | Substanziell | gematik Authenticator (Telematikinfratstruktur) | ✔ | |
| ✔ | Substanziell | BundID – Elster-Zertifikat | geplant | |
| ✔ | Hoch | BundID – Ausweis | ✔ | |
x | Niedrig | BundID - Benutzername & Passwort | ✖ | |
✔ | Substanziell | MeinUnternehmenskonto – Elster-Zertifikat für Organisationen | geplant | |
x | Niedrig | MeinUnternehmenskonto - Benutzername & Passwort | Benutzername & Passwort wird von MeinUnternehmenskonto nicht angeboten |
In SurvNet wird das Vertrauensniveau bereits dargestellt und mit welchem Zugang eine Meldung erstellt wurde.
Voraussichtlich werden andere ÖGD-Softwarehersteller diese Darstellung ebenfalls übernehmen.