BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2008

Ausgegeben am 9. Dezember 2008

Teil II

451. Verordnung:

Gesundheitstelematikverordnung (GTelV)

451. Verordnung der Bundesministerin für Gesundheit, Familie und Jugend, mit der die für den elektronischen Gesundheitsdatenaustausch in Betracht kommenden Rollen sowie die qualitativen Mindestanforderungen für Verschlüsselung und elektronische Signaturen festgelegt werden – Gesundheitstelematikverordnung (GTelV)

Auf Grund der §§ 5 Abs. 1, 7 Abs. 5 und 9 Abs. 6 des Gesundheitstelematikgesetzes (GTelG), BGBl. I Nr. 179/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 23/2008, wird verordnet:

1. Abschnitt
Datensicherheit

Identität

§ 1. (1) Nachweis und Prüfung der Identität von Gesundheitsdiensteanbietern haben

1.

durch Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen sowie bereichsspezifischer Personenkennzeichen (§ 9 E-Government-Gesetz, BGBl. I Nr. 10/2004 in der Fassung des Bundesgesetzes BGBl. I Nr. 59/2008) oder

2.

durch Einsichtnahme in den eHealth-Verzeichnisdienst (§§ 9 ff GTelG)

zu erfolgen.

(2) Nachweis und Prüfung der Identität von Gesundheitsdiensteanbietern dürfen abweichend von Abs. 1 auch auf andere Art und Weise erfolgen, wenn

1.

der elektronische Gesundheitsdatenaustausch gemäß § 3 Abs. 1 stattfindet,

2.

die Verbindung der Gesundheitsdaten, die im Rahmen des elektronischen Gesundheitsdatenaustausches übermittelt werden und der Identitätsdaten nicht oder nicht spurlos verändert werden kann und

3.

eine Verwechslung von Gesundheitsdiensteanbietern ausgeschlossen werden kann.

Rollen

§ 2. (1) Im Rahmen des elektronischen Gesundheitsdatenaustausches haben Gesundheitsdiensteanbieter ausschließlich die Rollen gemäß Anlage 1 zu verwenden.

(2) Bei der Aufnahme eines Gesundheitsdiensteanbieters in den eHealth-Verzeichnisdienst hat die Zuordnung einer Rolle zu einem Gesundheitsdiensteanbieter für

1.

die in den Z 1 bis 3 der Anlage 1 genannten Rollen durch die Österreichische Ärztekammer,

2.

die in den Z 4 und 5 der Anlage 1 genannten Rollen durch die Österreichische Zahnärztekammer,

3.

die in der Z 10 der Anlage 1 genannte Rolle durch das Österreichische Hebammengremium,

4.

die in der Z 26 der Anlage 1 genannte Rolle durch die Österreichische Apothekerkammer,

5.

die in der Z 38 der Anlage 1 genannte Rolle durch den Hauptverband der österreichischen Sozialversicherungsträger sowie

6.

in allen anderen Fällen durch den Bundesminister für Gesundheit, Familie und Jugend

zu erfolgen.

(3) Die in Abs. 2 Z 1 bis 5 genannten Stellen haben dem Bundesminister für Gesundheit, Familie und Jugend alle verfügbaren Daten gemäß § 10 Abs. 1 GTelG

1.

sowie das Geburtsdatum der Gesundheitsdiensteanbieter,

2.

nicht jedoch

a.

die eindeutige elektronische Identifikation gemäß § 10 Abs. 1 Z 1 GTelG und

b.

die Angaben des § 10 Abs. 1 Z 3 und 7 GTelG

über eine elektronische Schnittstelle laufend aktualisiert zur Verfügung zu stellen.

(4) Der Bundesminister für Gesundheit, Familie und Jugend hat auf Grund der gemäß Abs. 3 zur Verfügung gestellten Daten die bereichsspezifischen Personenkennzeichen (bPK) für den eHealth-Verzeichnisdienst von der Stammzahlenregisterbehörde errechnen zu lassen. Soweit die gemäß Abs. 3 zur Verfügung gestellten Daten nicht zur Errechnung der bPK ausreichen, sind dem Bundesminister für Gesundheit, Familie und Jugend zusätzlich

1.

der Geburtsort,

2.

das Geschlecht und

3.

die Staatsangehörigkeit

des betreffenenden Gesundheitsdiensteanbieters zur Verfügung zu stellen.

(5) Nachweis und Prüfung der Rollen von Gesundheitsdiensteanbietern haben durch Abfrage des eHealth-Verzeichnisdienstes (§§ 9 ff GTelG) zu erfolgen.

Vertraulichkeit

§ 3. (1) Die Vertraulichkeit beim elektronischen Gesundheitsdatenaustausch ist dadurch sicherzustellen, dass

1.

der elektronische Gesundheitsdatenaustausch über Netzwerke durchgeführt wird, die entsprechend dem Stand der Netzwerksicherheit hinreichend gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest

a.

die kryptographische Absicherung des Datenverkehrs,

b.

den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzergruppe sowie

c.

die Authentifizierung der Benutzer

vorsehen, oder

2.

Protokolle und Verfahren verwendet werden, die

a.

die vollständige Verschlüsselung der Gesundheitsdaten ermöglichen und

b.

deren kryptographische Algorithmen in der Anlage 2 angeführt sind.

(2) Beim elektronischen Gesundheitsdatenaustausch gemäß Abs. 1 Z 2 dürfen die allenfalls von der Verschlüsselung ausgenommenen Informationen weder Hinweise auf die Betroffenen (§ 4 Z 3 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 2/2008), deren Gesundheitsdaten verwendet werden, noch auf allfällige Authentifizierungsdaten enthalten.

Integrität

§ 4. (1) Nachweis und Prüfung der Integrität von Gesundheitsdaten, die im Rahmen des elektronischen Gesundheitsdatenaustausches übermittelt werden, haben durch die Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen, zu erfolgen.

(2) Nachweis und Prüfung der Integrität von Gesundheitsdaten, die im Rahmen des elektronischen Gesundheitsdatenaustausches übermittelt werden, dürfen abweichend von Abs. 1 auch auf andere Art und Weise erfolgen, wenn

1.

der elektronische Gesundheitsdatenaustausch gemäß § 3 Abs. 1 stattfindet und

2.

die Gesundheitsdaten nicht oder nicht spurlos verändert werden können.

Dokumentationspflichten

§ 5. (1) Gesundheitsdiensteanbieter haben

1.

alle Maßnahmen, mit denen die Anforderungen der §§ 1 Abs. 2, 3 Abs. 1 Z 2 oder 4 Abs. 2 erfüllt werden,

2.

die Kontaktaufnahme und Änderung der Kontaktdaten gemäß § 6 Abs. 2 und 3 sowie

3.

die Prüfung der Rufnummern gemäß § 7 Z 2

zu dokumentieren.

(2) Die Dokumentation gemäß Abs. 1 Z 1 und 3 ist auf Verlangen dem Bundesminister für Gesundheit, Familie und Jugend zu übermitteln.

2. Abschnitt
Übergangs- und Schlussbestimmungen

Erleichterte Voraussetzungen des Identitäts-, Rollen- und Integritätsnachweises

§ 6. (1) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 1. Abschnitts nicht möglich, darf ein elektronischer Gesundheitsdatenaustausch nur erfolgen, wenn zumindest die Identitäten und maßgeblichen Rollen der am elektronischen Gesundheitsdatenaustausch beteiligten Gesundheitsdiensteanbieter gegenseitig durch

1.

persönlichen Kontakt oder

2.

telephonischen Kontakt oder

3.

Vertragsbestimmungen zur elektronischen Erreichbarkeit oder

4.

Abfrage elektronischer Verzeichnisse der Stellen gemäß § 2 Abs. 2 Z 1 bis 5

bestätigt sind.

(2) In den Fällen des Abs. 1 Z 1 und 2 sind vor dem erstmaligen elektronischen Gesundheitsdatenaustausch zwischen den beteiligten Gesundheitsdiensteanbietern

1.

Datum und Art der Kontaktaufnahme,

2.

die vollständigen Namen und maßgeblichen Rollen der am elektronischen Gesundheitsdatenaustausch beteiligten Gesundheitsdiensteanbieter,

3.

die Angaben zur elektronischen Erreichbarkeit der Gesundheitsdiensteanbieter sowie

4.

die an der Kontaktaufnahme beteiligten natürlichen Personen

zu dokumentieren.

(3) Änderungen der Daten gemäß Abs. 2 Z 2 und 3 sind zu dokumentieren.

Erleichterte Voraussetzungen der Vertraulichkeit

§ 7. Abweichend von § 3 darf der elektronische Gesundheitsdatenaustausch auch per Fax erfolgen, wenn

1.

die Faxgeräte vor unbefugtem Zugang und Gebrauch geschützt sind,

2.

die Rufnummern, insbesondere die verspeicherten Rufnummern, mindestens alle zwei Monate nachweislich auf ihre Aktualität geprüft werden,

3.

automatische Weiterleitungen, außer an den Gesundheitsdiensteanbieter selbst, deaktiviert sind,

4.

alle vom Gerät unterstützten Sicherheitsmaßnahmen genützt werden und

5.

allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

Schlussbestimmungen

§ 8. (1) Personenbezogene Bezeichnungen beziehen sich auf Frauen und Männer in gleicher Weise.

(2) Diese Verordnung tritt mit Ausnahme des § 2 Abs. 3 mit 1. Jänner 2009 in Kraft.

(3) Der Bundesminister für Gesundheit, Familie und Jugend hat die technische Spezifikation der Schnittstelle gemäß § 2 Abs. 3 unter der Adresse http://www.ehvd.at im Internet zu veröffentlichen. § 2 Abs. 3 tritt sechs Monate nach Veröffentlichung dieser Schnittstellenspezifikation in Kraft.

(4) Bis zum Ablauf des 31. Dezember 2010 darf der elektronische Gesundheitsdatenaustausch unter den erleichterten Bedingungen der §§ 6 und 7 erfolgen, wobei die Abfrage elektronischer Verzeichnisse gemäß § 6 Abs. 1 Z 4 nur bis zum In-Kraft-Treten des § 2 Abs. 3 zulässig ist. Bis zum Ablauf des 31. Dezember 2010 dürfen Gesundheitsdiensteanbieter,

1.

die Gesundheitsdaten in Übereinstimmung mit dieser Verordnung verwenden oder

2.

deren Rollen nicht in der Anlage 1 angeführt sind,

nicht gemäß § 17 Abs. 1 GTelG bestraft werden.

Kdolsky