Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für ELGA-Verordnung 2015, Fassung vom 18.12.2017

§ 0

Langtitel

Verordnung der Bundesministerin für Gesundheit zur Implementierung und Weiterentwicklung von ELGA (ELGA-Verordnung 2015 – ELGA-VO 2015)
StF: BGBl. II Nr. 106/2015

Präambel/Promulgationsklausel

Auf Grund des § 28 Abs. 2 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, in der Fassung der DSG-Novelle 2014, BGBl. I Nr. 83/2013, wird Folgendes verordnet:

§ 1

Text

1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§ 1. Gegenstand dieser Verordnung ist die Implementierung und Weiterentwicklung der Elektronischen Gesundheitsakte (ELGA), wie insbesondere durch:

1.

die Einrichtung

a)

einer Widerspruchstelle und einer Serviceline (2. Abschnitt),

b)

einer ELGA-Ombudsstelle (3. Abschnitt),

2.

die Festlegung

a)

von Struktur, Format und Standards von ELGA-Gesundheitsdaten (§§ 14 und 16),

b)

der wechselwirkungsrelevanten, nicht verschreibungspflichtigen Arzneimittel (§ 15),

c)

der Mindestanforderungen für den Inhalt eines Aushanges bei ELGA-Gesundheitsdiensteanbietern (§ 18),

d)

der Zugriffsregeln auf ELGA für unmündige Minderjährige (§ 19) sowie

e)

der Betreiber des Berechtigungs- und Protokollierungssystems (§ 20).

§ 2

Text

Begriffsbestimmungen

§ 2. Im Sinne dieser Verordnung bedeuten:

1.

„CDA“: Clinical Document Architecture, ein internationaler, auf XML basierender Standard für die Speicherung und die Weitergabe von Gesundheitsdaten.

2.

„ELGA-Interoperabilitätsstufe“: das Ausmaß der Standardisierung und Vereinheitlichung von ELGA-Gesundheitsdaten, wobei mit

a)

„EIS Basic“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der der Kopfteil von ELGA-Gesundheitsdaten standardkonform (Z 1) gemäß § 16 Abs. 1 strukturiert und codiert ist.

b)

„EIS Structured“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der der Kopfteil standardkonform (Z 1) gemäß § 16 Abs. 1 strukturiert und codiert ist und die in den Hauptteil eingebundenen ELGA-Gesundheitsdaten eine einheitliche Gliederung der Inhalte aufweisen, die mit den Vorgaben von „EIS Enhanced“ oder „EIS Full Support“ übereinstimmt.

c)

„EIS Enhanced“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der sowohl Kopfteil als auch Hauptteil von ELGA-Gesundheitsdaten standardkonform (Z 1) strukturiert sind, der Hauptteil jedoch nicht oder nicht vollständig gemäß § 16 Abs. 1 codiert ist.

d)

„EIS Full Support“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der sowohl Kopfteil als auch Hauptteil von ELGA-Gesundheitsdaten standardkonform (Z 1) strukturiert sind und auch die im Hauptteil enthaltenen Informationen gemäß § 16 Abs. 1 vollständig codiert sind.

2a.

„Komponentenverfügbarkeit“: die Verfügbarkeit aller Funktionen einer ELGA-Komponente am Ausgang des Rechenzentrums des Betreibers.

3.

„Konformitätskriterium“: die in den Implementierungsleitfäden enthaltenen Angaben, ob Felder verwendet werden müssen, verwendet werden dürfen oder verboten sind, wobei mit

a)

„Konformitätskriterium [M]“ jene Felder bezeichnet werden, für die

aa)

tatsächliche Werte angegeben werden müssen und

bb)

weder Gründe, weshalb keine tatsächlichen Werte angegeben werden können,

cc)

noch fiktive Werte angegeben werden dürfen,

b)

„Konformitätskriterium [NP]“ jene Felder bezeichnet werden, die nicht verwendet werden dürfen, d.h. für die

aa)

weder tatsächliche Werte,

bb)

noch Gründe, weshalb keine tatsächlichen Werte angegeben werden können,

cc)

noch fiktive Werte

angegeben werden dürfen,

c)

„Konformitätskriterium [R]“ jene Felder bezeichnet werden, für die

aa)

tatsächliche Werte angegeben werden müssen und

bb)

sollte dies nicht möglich sein, die Gründe, weshalb keine tatsächlichen Werte angegeben werden können, angegeben werden müssen, allerdings

cc)

fiktive Werte nicht angegeben werden dürfen,

d)

„Konformitätskriterium [R2]“ jene Felder bezeichnet werden, für die

aa)

die Angabe tatsächlicher Werte empfohlen ist und

bb)

weder Gründe, weshalb keine tatsächlichen Werte angegeben werden können,

cc)

noch fiktive Werte angegeben werden dürfen,

e)

„Konformitätskriterium [O]“ jene Felder bezeichnet werden, für die

aa)

tatsächliche Werte oder

bb)

Gründe, weshalb keine tatsächlichen Werte angegeben werden können,

angegeben werden dürfen,

f)

„Konformitätskriterium [C]“ jene Felder bezeichnet werden, deren zulässige Verwendung von weiteren, in der Folge angegebenen Voraussetzungen, abhängig ist.

3a.

„Sicherheitstoken“: indirekt personenbezogene Datenstrukturen, die die korrekte Authentifizierung

a)

bei der Zuweisung (§ 14 Abs. 2 Z 1 lit. b GTelG 2012) oder

b)

innerhalb eines bestimmten Zeitraumes ohne neuerliche Identitätsprüfung gemäß § 18 Abs. 4 GTelG 2012 (§ 18 Abs. 6 GTelG 2012)

sicherstellen.

3b.

„Wiederherstellungspunkt“: der Zeitpunkt einer Sicherungskopie in Bezug auf die zu sichernden Daten.

4.

„Terminologie“: eine Sammlung von Fachausdrücken und zulässigen Werten eines Fachgebietes in einer Form, die automationsunterstützt verwendet werden kann.

5.

„Widerspruch“ („Opt-Out“): Willenserklärung gemäß § 15 Abs. 2 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, in der Fassung der DSG-Novelle 2014, BGBl. I Nr. 83/2013, ungeachtet dessen, ob sie

a)

schriftlich vor der Widerspruchstelle oder elektronisch im Wege des Zugangsportals eingebracht wurde und

b)

sich auf alle oder einzelne Arten von ELGA-Gesundheitsdaten (§ 2 Z 9 GTelG 2012) bezieht.

6.

„Widerruf“: Willenserklärung gemäß § 15 Abs. 4 GTelG 2012, mit der ein Widerspruch (§ 2 Z 5) rückgängig gemacht wird, ungeachtet dessen, ob sie

a)

schriftlich vor der Widerspruchstelle oder elektronisch im Wege des Zugangsportals eingebracht wurde und

b)

sich auf den gesamten Widerspruch oder einen Teil des Widerspruchs (§ 2 Z 5) bezieht.

§ 3

Text

2. Abschnitt

Widerspruchstelle und Serviceline

Widerspruchstelle und ihre Aufgaben

§ 3. (1) Gemäß § 28 Abs. 2 Z 7 GTelG 2012 wird festgelegt, dass der Hauptverband der österreichischen Sozialversicherungsträger zur Sicherstellung der Wahrnehmung der Teilnehmer/innen/rechte gemäß den §§°15 und 16 in Verbindung mit § 23 Abs. 2 Z 2 GTelG 2012 die Funktion der Widerspruchstelle im Wege des § 31d ASVG übernimmt.

(2) Die Aufgaben der Widerspruchstelle sind:

1.

Entgegennahme und Bearbeitung von schriftlichen Widersprüchen („Opt-Out“),

2.

Entgegennahme und Bearbeitung von schriftlichen Widerrufen gemäß § 15 Abs. 4 GTelG 2012 („Widerruf des Opt-Out“),

3.

Zusenden einer Bestätigung, dass der Widerspruch bzw. der Widerruf des Opt-Out rechtswirksam eingetragen wurde,

4.

Nachfrage bei Unklarheiten im Zusammenhang mit Widersprüchen bzw. Widerrufen,

5.

elektronische Verarbeitung der Widersprüche bzw. Widerrufe für das Zugangsportal (§ 23 GTelG 2012),

6.

Dokumentation und elektronische Archivierung der Widersprüche bzw. Widerrufe,

7.

Unterstützung der ELGA-Systempartner bei der Verbesserung des Widerspruchverfahrens sowie

8.

Anfragen, die nicht in den Aufgabenbereich der Widerspruchstelle fallen, an die richtige Stelle gemäß § 6 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. I Nr. 51/1991, in der Fassung des Verwaltungsgerichtsbarkeits-Anpassungsgesetzes-Inneres, BGBl. I Nr. 161/2013, zu verweisen.

§ 4

Text

Form von Widersprüchen und Widerrufen

§ 4. (1) Widersprüche können über das Zugangsportal gemäß § 23 Abs. 2 Z 2 GTelG 2012 abgegeben werden. Für Widersprüche, die schriftlich abgegeben werden, kann schriftlich oder telefonisch ein Formular bei der Serviceline (§ 8) angefordert werden. Die Bundesministerin für Gesundheit kann dieses Formular auch unter www.gesundheit.gv.at zur Verfügung stellen.

(2) Bei der Abgabe eines Widerspruches sind anzugeben:

1.

Name sowie allfällige akademische Grade der/des Erklärenden,

2.

Geschlecht, Geburtsdatum und Geburtsort der/des Erklärenden,

3.

Sozialversicherungsnummer der/des Erklärenden, soweit vorhanden,

4.

Anschrift der/des Erklärenden für die Zustellung von Schriftstücken auf postalischem Weg,

5.

Telefonnummer oder E-Mailadresse der/des Erklärenden für Rückfragen im Zusammenhang mit ihrer/seiner Willenserklärung sowie

6.

ob sich dieser Widerspruch auf alle („generelles Opt-Out“) oder einzelne („partielles Opt-Out“) Arten von ELGA-Gesundheitsdaten gemäß § 2 Z 9 GTelG 2012 beziehen soll.

(3) Im Falle der Vertretung einer ELGA-Teilnehmerin/eines ELGA-Teilnehmers hat die Vertreterin/der Vertreter zusätzlich zu den Angaben gemäß Abs. 2 folgende Angaben zur eigenen Person zu machen:

1.

Name sowie allfällige akademische Grade der Vertreterin/des Vertreters,

2.

Geschlecht, Geburtsdatum und Geburtsort der Vertreterin/des Vertreters,

3.

Sozialversicherungsnummer der Vertreterin/des Vertreters, soweit vorhanden,

4.

Anschrift der Vertreterin/des Vertreters für die Zustellung von Schriftstücken auf postalischem Weg bzw. Angaben gemäß § 33 Abs. 1 ZustG, wenn die Vertreterin/der Vertreter den Widerspruch mittels Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes [E-GovG], BGBl. I Nr. 10/2004, in der Fassung der DSG-Novelle 2014, BGBl. I Nr. 83/2013) eingebracht hat, sowie

5.

Telefonnummer oder E-Mailadresse der Vertreterin/des Vertreters für Rückfragen im Zusammenhang mit der Willenserklärung der/des Vertretenen.

(4) Dem Widerspruchformular, das postalisch an die Widerspruchstelle übermittelt wird, muss zur eindeutigen Identifizierung der/des Erklärenden eine Kopie eines amtlichen Lichtbildausweises beigelegt werden. Die Willenserklärung muss darüber hinaus eigenhändig unterschrieben sein.

(5) Im Falle der Vertretung müssen

1.

ein Nachweis der Vertretungsvollmacht bzw. der Eigenschaft als berufsmäßige Parteienvertreterin/berufsmäßiger Parteienvertreter dem Widerspruchformular, das postalisch an die Widerspruchstelle übermittelt wird, beigelegt sein,

2.

zur eindeutigen Identifizierung der Vertreterin/des Vertreters eine Kopie ihres/seines amtlichen Lichtbildausweises beigelegt sein sowie

3.

die Willenserklärung eigenhändig von der Vertreterin/vom Vertreter unterschrieben sein.

(6) Eine Willenserklärung, die elektronisch ohne qualifizierte Signatur gemäß § 2 Z 3a des Signaturgesetzes (SigG), BGBl. I Nr. 190/1999, in der Fassung des Bundesgesetzes BGBl. I Nr. 75/2010, abgegeben wird, ist nicht geeignet den Nachweis der eindeutigen Identität zu erbringen.

(7) Bei Zweifeln über die Identität einer ELGA-Teilnehmerin/eines ELGA-Teilnehmers bzw. der Vertreterin/des Vertreters sind die Bestimmungen des Allgemeinen Verwaltungsverfahrensgesetzes 1991, insbesondere dessen § 13, anzuwenden. Zur Überprüfung der Identität sind gemäß § 17 E-GovG die Angaben zu verwenden, die in den nach den Regeln der Amtshilfe (Art. 22 B-VG) zur Verfügung stehenden Registern enthalten sind.

(8) Widersprüche gemäß § 15 Abs. 2 GTelG 2012 und Widerrufe gemäß § 15 Abs. 4 GTelG 2012 können nur ausdrücklich erklärt werden.

§ 5

Text

Identifikation von Mitarbeiter/inne/n der Widerspruchstelle

§ 5. (1) Mitarbeiter/innen der Widerspruchstelle dürfen nur tätig werden, wenn ihre eindeutige Identität (§ 2 Z 2 E-GovG) festgestellt wurde.

(2) Mitarbeiter/innen der Widerspruchstelle dürfen gemäß § 14 Abs. 3 Z 1 GTelG 2012 durch ELGA verfügbar gemachte ELGA-Gesundheitsdaten weder verlangen, noch auf sie zugreifen noch diese verwenden.

(3) Der Hauptverband der österreichischen Sozialversicherungsträger hat organisatorisch sicherzustellen, dass der Zugriff der Mitarbeiter/innen der Widerspruchstelle auf ELGA-Gesundheitsdaten ausgeschlossen ist.

§ 6

Text

Besondere Anforderungen an die Mitarbeiter/innen der Widerspruchstelle

§ 6. (1) Die Mitarbeiter/innen der Widerspruchstelle sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der Widerspruchstelle. Insbesondere ist für die Einhaltung der Datenverwendungsgrundsätze gemäß § 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, in der Fassung der DSG-Novelle 2014, BGBl. I Nr. 83/2013, sowie der Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 zu sorgen.

(2) Die Mitarbeiter/innen der Widerspruchstelle müssen über ihre nach den innerorganisatorischen Datenschutzvorschriften, einschließlich der Datensicherheitsvorschriften, bestehenden Pflichten belehrt werden. Über die Verschwiegenheitsverpflichtung sind die Mitarbeiter/innen vor Aufnahme ihrer Tätigkeit nachweislich zu informieren.

(3) Die Mitarbeiter/innen der Widerspruchstelle haben vor Aufnahme ihrer Tätigkeit ein Dokument zu unterschreiben, in dem sie bestätigen, die Pflicht gemäß Abs. 1 zu erfüllen und die Belehrung gemäß Abs. 2 erhalten zu haben.

§ 7

Text

Art und Bearbeitung von Willenserklärungen

§ 7. (1) Bei der Entgegennahme von Widersprüchen bzw. Widerrufen („Willenserklärungen“) hat die Widerspruchstelle insbesondere darauf zu achten, dass die eindeutige Identität (§ 2 Z 2 E-GovG) der Erklärenden sichergestellt ist, andernfalls hat die Widerspruchstelle gemäß § 3 Abs. 2 Z 4 bei der erklärenden Person eine entsprechende Nachfrage durchzuführen.

(2) Je nach Art der Willenserklärungen wird unterschieden zwischen:

1.

über das Zugangsportal elektronisch eingebrachten Willenserklärungen sowie

2.

bei der Widerspruchstelle schriftlich eingebrachten Willenserklärungen.

(3) Vollständige im Zugangsportal eingebrachte Widersprüche bzw. Widerrufe gemäß Abs. 2 Z 1 werden sofort mit ihrer Eintragung rechtswirksam. Die/Der Erklärende erhält unmittelbar nach Eingabe ihrer/seiner Willenserklärung eine entsprechende Bestätigung im Zugangsportal. Bei der Widerspruchstelle schriftlich eingebrachte Widersprüche bzw. Widerrufe gemäß Abs. 2 Z 2 werden mit Eintragung durch die Widerspruchstelle rechtswirksam. Die Widerspruchstelle hat in diesem Fall die Eintragung gegenüber den Erklärenden schriftlich gemäß § 3 Abs. 2 Z 3 zu bestätigen.

(4) Nicht vollständige Widersprüche bzw. Widerrufe, die schriftlich abgegeben wurden, werden erst nach Einlangen der erforderlichen Ergänzungen sowie daraufhin erfolgter elektronischer Eintragung rechtswirksam.

(5) Über Eingaben, denen nicht entsprochen wird, hat der Hauptverband der österreichischen Sozialversicherungsträger mittels Bescheid zu entscheiden.

§ 8

Text

Serviceline

§ 8. (1) Gemäß § 28 Abs. 2 Z 9 GTelG 2012 wird festgelegt, dass der Hauptverband der österreichischen Sozialversicherungsträger zur Sicherstellung der Wahrnehmung der Teilnehmer/innen/rechte gemäß den §§°15 und 16 in Verbindung mit § 23 Abs. 2 Z 2 GTelG 2012 die Funktion der Serviceline („Service-Center“) im Wege des § 31d ASVG übernimmt.

(2) Die Aufgaben der Serviceline sind:

1.

Entgegennahme und Beantwortung allgemeiner Fragen zu ELGA, sowohl telefonisch, als auch schriftlich, insbesondere zu den Teilnehmer/innen/rechten (§ 16 GTelG 2012),

2.

Entgegennahme und Beantwortung allgemeiner Fragen zu ELGA, sowohl telefonisch, als auch schriftlich für Gesundheitsdiensteanbieter,

3.

Entgegennahme und Beantwortung von technischen Fragen im Zusammenhang mit ELGA für ELGA-Teilnehmer/innen,

4.

Entgegennahme von technischen Fragen im Zusammenhang mit ELGA für ELGA-Gesundheitsdiensteanbieter bzw. ihre Dienstleister, Voreingrenzung technischer Probleme und gegebenenfalls elektronische Weiterleitung eines Störungstickets an den zuständigen Betreiber,

5.

Beratung von ELGA-Teilnehmer/inne/n bei der Abgabe von Widersprüchen, insbesondere hinsichtlich der möglichen Rechtsfolgen gemäß §§ 15 Abs. 3 und 4 sowie 16 Abs. 3 GTelG 2012,

6.

Beratung über Widerrufsmöglichkeiten,

7.

Zusenden des Formulars zur Erklärung eines Widerspruchs bzw. Widerrufs des Widerspruchs,

8.

Auskunftserteilung über den Bearbeitungsstatus der Willenserklärung sowie

9.

Anfragen, die nicht in den Aufgabenbereich der Serviceline fallen, an die richtige Stelle im Sinne des § 6 Abs. 1 AVG zu verweisen.

(3) Mitarbeiter/innen der Serviceline dürfen gemäß § 14 Abs. 3 Z 1 GTelG 2012 durch ELGA verfügbar gemachte ELGA-Gesundheitsdaten weder verlangen noch auf sie zugreifen noch diese verwenden.0

(4) Der Hauptverband der österreichischen Sozialversicherungsträger hat sicherzustellen, dass der Zugriff der Mitarbeiter/innen der Serviceline auf ELGA-Gesundheitsdaten ausgeschlossen ist.

§ 9

Text

Besondere Anforderungen an die Mitarbeiter/innen der Serviceline

§ 9. (1) Die Mitarbeiter/innen der Serviceline sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der Serviceline. Insbesondere ist für die Einhaltung der Datenverwendungsgrundsätze gemäß § 6 DSG 2000 sowie der Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 zu sorgen.

(2) Die Mitarbeiter/innen der Serviceline müssen über ihre nach den innerorganisatorischen Datenschutzvorschriften, einschließlich der Datensicherheitsvorschriften, bestehenden Pflichten belehrt werden. Über die Verschwiegenheitsverpflichtung sind die Mitarbeiter/innen vor Aufnahme ihrer Tätigkeit nachweislich zu informieren.

(3) Die Mitarbeiter/innen der Serviceline haben vor Aufnahme ihrer Tätigkeit ein Dokument zu unterschreiben, in dem sie bestätigen, die Pflicht gemäß Abs. 1 zu erfüllen und die Belehrung gemäß Abs. 2 erhalten zu haben.

§ 10

Text

3. Abschnitt

ELGA-Ombudsstelle

ELGA-Ombudsstelle und ihre Aufgaben

§ 10. (1) Die Bundesministerin für Gesundheit betreibt die ELGA-Ombudsstelle. Sofern die Bundesministerin für Gesundheit diese Aufgabe nicht selbst wahrnimmt, darf sie dabei im Sinne des Art. 7 der Vereinbarung gemäß Art. 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, BGBl. I Nr. 105/2008, in der Fassung der Vereinbarung, BGBl. I Nr. 199/2013, und nach Abschluss einer entsprechenden Vereinbarung (Art. 17 B-VG), ausschließlich die mit den Aufgaben der Patientenvertretung betrauten Stellen in den Ländern gemäß § 11e des Bundesgesetzes über Krankenanstalten und Kuranstalten (KAKuG), BGBl. Nr. 1/1957, als Dienstleister gemäß § 4 Z 5 DSG 2000 heranziehen. Eine Beauftragung Dritter ist unzulässig.

(2) Die ELGA-Ombudsstelle ist ein Gesundheitsdiensteanbieter im Sinne des § 2 Z 2 lit. e GTelG 2012. Daher gelten für sie insbesondere die Bestimmungen des 2. Abschnittes des Gesundheitstelematikgesetzes 2012.

(3) Die Aufgaben der ELGA-Ombudsstelle gemäß § 16 Abs. 1 GTelG 2012 in Verbindung mit § 17 Abs. 2 GTelG 2012 sind insbesondere:

1.

rechtliche Beratung der ELGA-Teilnehmer/innen im Zusammenhang mit Rechtsfragen zu deren persönlicher ELGA oder der ELGA einer von ihnen vertretenen Person in einem konkreten Anlassfall und in Angelegenheiten des Datenschutzes,

2.

Namhaftmachung der jeweils für die Verarbeitung von ELGA-Gesundheitsdaten verantwortlichen ELGA-Gesundheitsdiensteanbieter,

3.

Unterstützung der ELGA-Teilnehmer/innen,

4.

Unterstützung der ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes sowie

5.

Anfragen, die nicht in den Aufgabenbereich der ELGA-Ombudsstelle fallen, an die richtige Stelle im Sinne des § 6 Abs. 1 AVG zu verweisen.

(4) Die ELGA-Ombudsstelle hat so rechtzeitig ihren Betrieb aufzunehmen, dass die Aufgaben gemäß Abs. 3 erfüllt werden können, sobald ELGA-Gesundheitsdaten in ELGA verfügbar sind. Dabei kann es gemäß § 21 Abs. 1 bis 3 regional zu zeitlich unterschiedlichen Inbetriebnahmen kommen.

§ 11

Text

Koordinierungsstelle

§ 11. (1) Für die Mitarbeiter/innen der ELGA-Ombudsstelle wird eine Koordinierungsstelle im Bundesministerium für Gesundheit eingerichtet.

(2) Die Aufgaben der Koordinierungsstelle sind insbesondere:

1.

Ansprechstelle für die Angelegenheiten der ELGA-Ombudsstelle sowie

2.

Erstellen eines jährlichen Tätigkeitsberichts für das vorangegangene Kalenderjahr.

(3) Der Tätigkeitsbericht ist den ELGA-Systempartnern (§ 2 Z 11 GTelG 2012) und den dezentralen Standorten der ELGA-Ombudsstelle zur Kenntnisnahme zu übermitteln sowie auf www.bmg.gv.at zu veröffentlichen.

§ 12

Text

Besondere Anforderungen an die Mitarbeiter/innen der ELGA-Ombudsstelle

§ 12. (1) Mitarbeiter/innen der ELGA-Ombudsstelle müssen einschlägige Rechtskenntnisse aufweisen, wobei der Abschluss eines Studiums der Rechtswissenschaften keine Voraussetzung ist.

(2) Die Mitarbeiter/innen der ELGA-Ombudsstelle sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Die Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der ELGA-Ombudsstelle. Insbesondere ist für die Einhaltung der Datenverwendungsgrundsätze gemäß § 6 DSG 2000 sowie der Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 zu sorgen.

(3) Die Mitarbeiter/innen der ELGA-Ombudsstelle müssen über ihre nach den innerorganisatorischen Datenschutzvorschriften, einschließlich der Datensicherheitsvorschriften, bestehenden Pflichten belehrt werden. Über die Verschwiegenheitsverpflichtung sind die Mitarbeiter/innen vor Aufnahme ihrer Tätigkeit nachweislich zu informieren.

(4) Die Mitarbeiter/innen der ELGA-Ombudsstelle haben vor Aufnahme ihrer Tätigkeit ein Dokument zu unterschreiben, in dem sie bestätigen, die Pflicht gemäß Abs. 2 zu erfüllen und die Belehrung gemäß Abs. 3 erhalten zu haben.

(5) Mitarbeiter/innen der ELGA-Ombudsstelle dürfen nur dann tätig werden, wenn:

1.

ihre eindeutige Identität (§ 2 Z 2 E-GovG) festgestellt wurde,

2.

sie durch ELGA-Teilnehmer/innen bzw. ihre Vertreter/innen beauftragt wurden, für einen konkreten Fall tätig zu werden und

3.

eine Überprüfung der Identität gemäß § 13 erfolgte.

(6) Die Zugriffe auf ELGA-Gesundheitsdaten durch Mitarbeiter/innen der ELGA-Ombudsstelle sind vom Protokollierungssystem gemäß § 22 Abs. 2 GTelG 2012 zu erfassen.

§ 13

Text

Überprüfung der Identität von ELGA-Teilnehmer/inne/n bzw. ihren Stellvertreter/inne/n

§ 13. (1) Die eindeutige Identität von ELGA-Teilnehmer/inne/n bzw. ihren Vertreter/inne/n ist der ELGA-Ombudsstelle nachzuweisen:

1.

durch persönliche Vorsprache der ELGA-Teilnehmer/innen und Vorlage eines amtlichen Lichtbildausweises oder

2.

durch persönliche Vorsprache von Vertreter/inne/n und Nachweis

a)

ihrer eigenen eindeutigen Identität mittels amtlichen Lichtbildausweises,

b)

der ihnen eingeräumten Vertretungsmacht durch Vorlage entsprechender Dokumente sowie

c)

der eindeutigen Identität der/des Vertretenen mittels Kopie eines amtlichen Lichtbildausweises der /des Vertretenen oder

3.

schriftlich auf dem Postweg von ELGA-Teilnehmer/inne/n durch Angabe

a)

des Namens sowie allfälliger akademischer Grade der ELGA-Teilnehmerin/des ELGA-Teilnehmers,

b)

des Geschlechts, des Geburtsdatums und des Geburtsortes der ELGA-Teilnehmerin/des ELGA-Teilnehmers sowie

c)

der Telefonnummer, Anschrift oder E-Mailadresse der ELGA-Teilnehmerin/des ELGA-Teilnehmers für Rückfragen oder

4.

schriftlich auf dem Postweg von Vertreter/inne/n durch Angabe

a)

des Namens sowie allfälliger akademischer Grade der Vertreterin/des Vertreters,

b)

des Geschlechts, des Geburtsdatums und des Geburtsortes der Vertreterin/des Vertreters sowie

c)

der Telefonnummer, Anschrift oder E-Mailadresse der Vertreterin/des Vertreters für Rückfragen.

(1a) Der Anfrage, die postalisch an die ELGA-Ombudsstelle übermittelt wird, muss zur eindeutigen Identifizierung der ELGA-Teilnehmerin/des ELGA-Teilnehmers eine Kopie eines amtlichen Lichtbildausweises beigelegt werden. Die Anfrage muss darüber hinaus eigenhändig unterschrieben sein.

(1b) Im Falle der Vertretung müssen

1.

ein Nachweis der Vertretungsvollmacht bzw. der Eigenschaft als berufsmäßige Parteienvertreterin/berufsmäßiger Parteienvertreter der Anfrage, die postalisch an die ELGA-Ombudsstelle übermittelt wird, beigelegt sein,

2.

zur eindeutigen Identifizierung der Vertreterin/des Vertreters eine Kopie ihres/seines amtlichen Lichtbildausweises beigelegt sein sowie

3.

die Anfrage eigenhändig von der Vertreterin/vom Vertreter unterschrieben sein.

(1c) Eine Anfrage, die elektronisch ohne qualifizierte Signatur gemäß § 2 Z 3a SigG abgegeben wird, ist nicht geeignet den Nachweis der eindeutigen Identität zu erbringen.

(2) Über die Identitätsfeststellungen gemäß Abs. 1 hat die ELGA-Ombudsstelle schriftliche Aufzeichnungen zu führen. Diese sind vom Bundesministerium für Gesundheit regelmäßig risikobasierten Kontrollen zu unterziehen.

(3) Auskünfte über ELGA-Gesundheitsdaten sowie Protokolldaten gemäß § 22 GTelG 2012, die gemäß Abs. 1 Z 3 und 4 angefragt werden, dürfen nur erteilt werden, wenn sich die ELGA-Ombudsstelle – soweit organisatorisch möglich – unter Wahrung eines Vier-Augen-Prinzips von der eindeutigen Identität der anfragenden ELGA-Teilnehmerin/des anfragenden ELGA-Teilnehmers überzeugt hat. Sind in der ELGA-Ombudsstelle regelmäßig weniger als zwei Personen tätig, so hat die ELGA-Ombudsstelle mittels eines adäquaten innerorganisatorischen und schriftlich festgelegten Kontrollmechanismus die Durchführung der Identitätsfeststellungen gemäß Abs. 1 zu kontrollieren und sicherzustellen. Über die Identitätsfeststellungen sowie über die Durchführung eines innerorganisatorischen Kontrollmechanismus hat die ELGA-Ombudsstelle schriftliche Aufzeichnungen zu führen. Die Bundesministerin für Gesundheit hat dafür zu sorgen, dass regelmäßig risikobasierte Kontrollen durchgeführt werden.

§ 14

Text

4. Abschnitt

Struktur, Format und Standards für ELGA-Gesundheitsdaten

Struktur und Format für Medikationsdaten

§ 14. (1) Datensätze zur Verordnung und Abgabe von Arzneimitteln gemäß § 2 Z 9 lit. b GTelG 2012 haben zu enthalten:

1.

die Identität der ELGA-Teilnehmer/innen, an die das Arzneimittel verordnet bzw. abgegeben wird, durch Verwendung entsprechender eindeutiger Identifikatoren des Patientenindex gemäß § 18 GTelG 2012,

2.

die Identität des tatsächlich verordnenden bzw. abgebenden ELGA-Gesundheitsdiensteanbieters durch Verwendung entsprechender eindeutiger Identifikatoren des Gesundheitsdiensteanbieterindex gemäß § 19 GTelG 2012,

3.

den Handelsnamen bzw. den Wirkstoff,

4.

die Verordnungs-ID als eindeutigen, maschinell ermittelten und maschinell lesbaren Identifikator der Verordnung sowie

5.

die Abgabe-ID als eindeutigen, maschinell ermittelten Identifikator der Abgabe.

(2) Zum Zweck der Vollständigkeit und Eindeutigkeit der wechselwirkungsrelevanten Informationen bei Arzneispezialitäten reicht die Angabe des Handelsnamens, wenn Stärke und Darreichungsform miterfasst werden, aus. Andernfalls sind zusätzlich zum Handelsnamen sämtliche Wirkstoffe

1.

bei Arzneispezialitäten mit deren ATC-Code (anatomisch-therapeutisch-chemisches Klassifikationssystem der Weltgesundheitsorganisation) und

2.

bei magistralen Zubereitungen mit deren Bezeichnung

zu erfassen.

(3) Anstelle der Erfassung von Handelsnamen bzw. Wirkstoff gemäß Abs. 1 Z 3 ist auch die Erfassung des Arzneimittels anhand eines eindeutigen Ordnungsbegriffs zulässig, wenn dieser eine eindeutige und unverwechselbare Bezeichnung des Arzneimittels, seiner Wirkungsweise und seiner Packungsgröße zulässt, wie etwa der Pharmazentralnummer oder anderer, nicht-proprietärer Nomenklaturen. Dabei sind im Sinne der Interoperabilität nach Möglichkeit auch in anderen Mitgliedstaaten der Europäischen Union verwendbare Identifikatoren heranzuziehen. Der Hauptverband der österreichischen Sozialversicherungsträger hat die entsprechende Erfassungsmöglichkeit anzubieten.

(4) Datensätze zur Verordnung von Arzneimitteln gemäß § 2 Z 9 lit. b GTelG 2012 dürfen über Abs. 1 hinaus enthalten:

1.

Angaben zur Dauer der Gültigkeit und Abgabewiederholung der Verordnung,

2.

die Einnahmeregeln zum Zeitpunkt der Verordnung,

3.

die verordnete Packungsanzahl sowie

4.

nach der Art der jeweiligen Arzneimittelverordnung erforderliche, der Patientin/dem Patienten mitgeteilte Zusatzinformationen.

(5) Datensätze zur Abgabe von Arzneimitteln gemäß § 2 Z 9 lit. b GTelG 2012 dürfen über Abs. 1 hinaus enthalten:

1.

die Einnahmeregeln zum Zeitpunkt der Abgabe,

2.

die abgegebene Packungsanzahl sowie

3.

nach der Art der jeweiligen Arzneimittelabgabe erforderliche, der Patientin/dem Patienten mitgeteilte Zusatzinformationen.

§ 15

Text

Wechselwirkungsrelevante, nicht verschreibungspflichtige Arzneimittel

§ 15. (1) Die Bundesministerin für Gesundheit hat unter www.gesundheit.gv.at eine Liste der nicht verschreibungspflichtigen Arzneimittel zu veröffentlichen, die wegen ihrer Relevanz für Wechselwirkungen als Medikationsdaten im Sinne des § 2 Z 9 lit. b GTelG 2012 anzusehen sind.

(2) Die Bundesministerin für Gesundheit kann sich zur Erstellung der Liste gemäß Abs. 1 der Österreichischen Agentur für Gesundheit und Ernährungssicherheit (AGES) bedienen. Die AGES hat ein Beratungsgremium einzurichten, dem insbesondere Vertreter/innen der Österreichischen Ärztekammer, der Österreichischen Zahnärztekammer, der Österreichischen Apothekerkammer, der Bundeskammer der gewerblichen Wirtschaft in ihrer Eigenschaft als gesetzliche Vertretung der Hersteller sowie der österreichischen Sozialversicherung angehören.

(3) Die Liste gemäß Abs. 1 ist für Anwendungen, die der Speicherung der Abgabe dieser Arzneimittel dienen (§ 13 Abs. 3 Z 5 GTelG 2012), den ELGA-Gesundheitsdiensteanbietern zur Verfügung zu stellen. Die Zeitpunkte für die Speicherpflicht dieser Daten gemäß § 27 Abs. 2 bis 6 GTelG 2012 bleiben davon unberührt.

(4) Aktualisierungen der Liste nicht verschreibungspflichtiger Arzneimittel sind von der Bundesministerin für Gesundheit unter www.gesundheit.gv.at zu veröffentlichen. Aktualisierte Listen dürfen ab dem Tag ihrer Veröffentlichung verwendet werden, spätestens sechs Monate nach ihrer Veröffentlichung müssen sie verwendet werden.

§ 16

Text

Implementierungsleitfäden

§ 16. (1) Inhalt, Struktur, Format und Codierung von ELGA-Gesundheitsdaten (§ 2 Z 9 lit. a und b GTelG 2012) sind in den folgenden Implementierungsleitfäden festgelegt:

1.

Allgemeiner CDA-Implementierungsleitfaden (Version 2.06),

2.

Implementierungsleitfaden Entlassungsbrief Ärztlich (Version 2.06),

3.

Implementierungsleitfaden Entlassungsbrief Pflege (Version 2.06),

4.

Implementierungsleitfaden Laborbefund (Version 2.06),

5.

Implementierungsleitfaden Befund bildgebender Diagnostik (Version 2.06),

6.

Implementierungsleitfaden XDS Metadaten (Version 2.06),

7.

Implementierungsleitfaden E-Medikation (Version 2.06) sowie

8.

Implementierungsleitfaden Pflegesituationsbericht (Version 2.06).

(2) Medizinische Dokumente und Medikationsdaten haben alle Felder zu enthalten, die in den Implementierungsleitfäden mit den Konformitätskriterien „Mandatory“ (M) „Required“ (R) bezeichnet sind. Die eingehaltene ELGA-Interoperabilitätsstufe ergibt sich aus der tatsächlichen Verwendung von Feldern, die in den Implementierungsleitfäden mit den Konformitätskriterien „Mandatory“ (M) und „Required“ (R) bezeichnet sind.

(3) Die Implementierungsleitfäden gemäß Abs. 1, deren Prüfsummen sowie ihre eindeutigen Kennungen (OID gemäß § 10 Abs. 5 GTelG 2012) sind von der Bundesministerin für Gesundheit unter www.gesundheit.gv.at zu veröffentlichen.

(4) Aktualisierungen, die Konformitätskriterien „Mandatory“ (M) und „Required“ (R) betreffen („Hauptversionen“) sind im Rahmen dieser Verordnung kundzumachen. Andere Aktualisierungen („Nebenversionen“) dürfen auch ohne Änderung dieser Verordnung unter www.gesundheit.gv.at veröffentlicht und verwendet werden. Hauptversionen und erstmalig in die Verordnung aufgenommene Implementierungsleitfäden dürfen mit Inkrafttreten dieser Verordnung verwendet werden, spätestens nach einer Übergangsfrist von 18 Monaten müssen sie verwendet werden, sofern dies gemäß Abs. 2 erforderlich ist.

§ 17

Text

Terminologien

§ 17. (1) Terminologien sowie ihre eindeutigen Kennungen (OID gemäß § 10 Abs. 5 GTelG 2012) werden als kontrollierte Vokabulare in elektronischer Form von der Bundesministerin für Gesundheit unter www.gesundheit.gv.at veröffentlicht.

(2) Aktualisierte Terminologien sind von der Bundesministerin für Gesundheit gemäß Abs. 1 zu veröffentlichen.

(3) Sofern eine Pflicht zur Verwendung von Daten im Sinne von § 14 oder § 16 Abs. 2 besteht, sind auch die dafür erforderlichen Terminologien verpflichtend zu verwenden.

§ 17a

Text

Zeitliche Verfügbarkeit

§ 17a. (1) Beim Betrieb von ELGA-Komponenten (§ 24 GTelG 2012) ist darauf zu achten, dass die Verfügbarkeit von ELGA, insbesondere auch außerhalb der Kernzeit (Abs. 2 Z 1), so hoch wie möglich ist.

(2) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben dafür zu sorgen, dass

1.

die Komponentenverfügbarkeit (§ 2 Z 2a) während der Kernzeit, d.h. an Werktagen, die

a)

ein Montag, Dienstag, Mittwoch oder Donnerstag sind, in der Zeit von 8:30 Uhr bis 16:30 Uhr oder

b)

ein Freitag sind, in der Zeit von 8:30 Uhr bis 13:30 Uhr

bis auf maximal elf Stunden pro Kalendervierteljahr immer gegeben ist und

2.

die Reaktion auf Störungen und sonstige Anfragen so schnell wie möglich zu erfolgen hat.

(3) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben dafür zu sorgen, dass der Zeitraum zwischen zwei Wiederherstellungspunkten so gering wie möglich ist, jedenfalls aber 30 Stunden nicht übersteigt.

(4) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben die Wiederherstellung gesicherter Daten mindestens einmal jährlich zu testen. Dies ist gemäß § 8 GTelG 2012 zu dokumentieren.

§ 17b

Text

Sicherheitsanforderungen und Zugriffsschutz

§ 17b. (1) Zur Einhaltung der Sicherheitsanforderungen und Gewährleistung des erforderlichen Zugriffsschutzes bedarf es der Einhaltung von

1.

organisatorischen Sicherheitsanforderungen (§§ 17c bis 17e),

2.

technischen Sicherheitsanforderungen (§ 17f),

3.

Sicherheitsanforderungen an die Identifikation (§ 17g),

4.

Sicherheitsanforderungen für Testumgebungen (§ 17h),

5.

baulichen Sicherheitsanforderungen (§ 17i) sowie

6.

Sicherheitsanforderungen an das Personal (§ 17j).

(2) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben

1.

die in den §§ 17c bis 17j vorgesehenen Sicherheitsanforderungen auch hinsichtlich aller Dienste, die zur Kommunikation zwischen den ELGA-Komponenten (§ 24 GTelG 2012) erforderlich sind, einzuhalten sowie

2.

die Einhaltung der genannten Sicherheitsanforderungen laufend zu überwachen.

§ 17c

Text

Beauftragte/r für die Informationssicherheit

§ 17c. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben aus ihren Mitarbeiter/innen eine/n Beauftragte/n für die Informationssicherheit zu benennen.

(2) Mitarbeiter/innen haben Sicherheitszwischenfälle und -probleme, die direkt oder indirekt eine Gefährdung von ELGA bedingen können, unmittelbar der/dem Beauftragten für die Informationssicherheit zu melden, die/der diese Informationen gegebenenfalls den Beauftragten anderer Betreiber übermittelt.

(3) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) dürfen folgende Informationen auch mit Koordinationsnetzen zur IT-Sicherheit, die von Auftraggebern des öffentlichen Bereichs (§ 5 DSG 2000) betrieben werden, austauschen:

1.

Warnungen vor Sicherheitslücken sowie

2.

Lösungsansätze zur Schließung von Sicherheitslücken.

§ 17d

Text

Risikomanagement

§ 17d. (1) Zur Einhaltung eines Risikomanagements sind alle Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) verpflichtet.

(2) Das Risikomanagement umfasst insbesondere:

1.

die Erfassung von Sicherheitsrisiken,

2.

die Bewertung von Sicherheitsrisiken,

3.

die angemessene Reaktion auf Sicherheitsrisiken sowie

4.

die Dokumentation der Reaktion gemäß § 8 GTelG 2012.

§ 17e

Text

Sicherheitsanforderungen an Prozesse

§ 17e. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben am Ticket-System der Serviceline (§ 8) teilzunehmen. Die Serviceline (§ 8) hat auf eine möglichst effiziente Abwicklung zu achten.

(2) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben die Betriebsprozesse zur

1.

Erfassung von IT-Sicherheitszwischenfällen,

2.

Reaktion auf IT-Sicherheitsprobleme,

3.

Änderung der technischen Infrastruktur von ELGA-Komponenten,

4.

Eingliederung und Ausrollung neuer Software,

5.

Authentifizierung von Benutzern sowie

6.

Aufrechterhaltung der Betriebskontinuität

gemäß § 8 GTelG 2012 zu dokumentieren.

§ 17f

Text

Technische Sicherheitsanforderungen

§ 17f. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben für die Aktualität der für Zwecke von ELGA eingesetzten Software zu sorgen.

(2) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben durch geeignete technische Maßnahmen dafür zu sorgen, dass die von ihnen weitergegebenen Daten frei von Viren oder anderer Schadsoftware sind.

(3) ELGA-Gesundheitsdiensteanbieter und Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) dürfen, bei der Weitergabe von Gesundheitsdaten an Betreiber von ELGA-Komponenten (§ 24 GTelG 2012), nur die von diesen Betreibern zur Verfügung gestellten Zertifikate verwenden.

(4) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben die Ausführungsbestimmungen der in Abs. 3 angeführten Zertifikate gemäß § 8 GTelG 2012 zu dokumentieren.

(5) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben die zeitliche Synchronität der ELGA-Komponenten zu gewährleisten.

(6) Zu entsorgende Datenträger und Unterlagen sind so zu zerstören, dass sie nicht mehr gelesen werden können. Die verwendete Methode ist gemäß § 8 GTelG 2012 zu dokumentieren.

(7) Endgeräte, über die ELGA genutzt werden kann, sind vor unbefugtem Zugang und Gebrauch zu schützen.

§ 17g

Text

Sicherheitsanforderungen an die Authentifizierung

§ 17g. (1) Zur Sicherstellung der bereits erfolgten Authentifizierung dürfen indirekt personenbezogene Sicherheitstoken verwendet werden.

(2) Sicherheitstoken gemäß Abs. 1 dürfen folgende Datenarten umfassen:

1.

die eindeutige Kennung des Softwareservices, das den Sicherheitstoken ausgestellt hat,

2.

das Datum sowie den Zeitpunkt der Identitätsfeststellung,

3.

das bereichsspezifische Personenkennzeichen „GH“ oder eine eindeutige Kennung (OID) des ELGA-Gesundheitsdiensteanbieters,

4.

das bereichsspezifische Personenkennzeichen „GH“ oder eine eindeutige Kennung der ELGA-Teilnehmerin/des ELGA-Teilnehmers,

5.

die Qualität der Identifikation sowie

6.

den Status des Sicherheitstokens.

(3) Sicherheitstoken dürfen

1.

in Netzen gemäß § 6 Abs. 1 Z 1 GTelG 2012 nicht länger als vier Stunden und

2.

in allen andere Netzen nicht länger als 20 Minuten

gültig sein.

§ 17h

Text

Sicherheitsanforderungen für Testumgebungen

§ 17h. (1) Die Verwendung von ELGA zu Testzwecken darf nicht mit personenbezogenen Echtdaten von Personen gemäß § 15 Abs. 1 Z 1 GTelG 2012 durchgeführt werden.

(2) Testsysteme sind von Produktivsystemen zu trennen. Die Haltung von Produktivsystemen zu Zwecken der Fehlerbehebung sowie zur Sicherung der Datenqualität und Betriebsstabilität ist zulässig.

§ 17i

Text

Bauliche Sicherheitsanforderungen

§ 17i. Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben dafür zu sorgen, dass

1.

alle Zutrittsmöglichkeiten zu Räumlichkeiten, in denen sich technische Infrastruktur von ELGA-Komponenten (§ 24 GTelG 2012) befindet, dem technischen Stand entsprechend überwacht werden sowie

2.

ein angemessener baulicher und technischer Einbruchsschutz für Räumlichkeiten im Sinne der Z 1 vorgesehen ist.

§ 17j

Text

Sicherheitsanforderungen an das Personal

§ 17j. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben

1.

ihre Mitarbeiter/innen über die einschlägigen Rechtsvorschriften zu belehren,

2.

technisch zu gewährleisten, dass es keine Verwendung von Gesundheitsdaten außerhalb der zulässigen Rollen gibt,

3.

bei der Vergabe von Benutzerberechtigungen sicherzustellen, dass Mitarbeiter/inne/n nicht einander ausschließende Rollen zugeteilt werden und

4.

bei Austritt und Wechsel von Mitarbeiter/inne/n dafür zu sorgen, dass eine vollständige Rücksetzung der Berechtigungen erfolgt.

(2) Bei der Weitergabe von Authentifizierungsdaten haftet derjenige, der die Authentifizierungsdaten weitergegeben hat.

(3) Bei Beendigung der Tätigkeit sind allfällige Betriebsmittel, die ELGA-Gesundheitsdaten enthalten können, zurückzustellen.

(4) Die Mitarbeiter/innen der Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei dem jeweiligen Betreiber. Insbesondere ist für die Einhaltung der Datenverwendungsgrundsätze gemäß § 6 DSG 2000 sowie der Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 zu sorgen.

§ 17k

Text

Meldung

§ 17k. (1) Vor Aufnahme des Betriebes von Datenspeichern und Verweisregistern ist der Bundesministerin für Gesundheit eine Meldung mit folgendem Inhalt zu erstatten:

1.

Name(n) oder Bezeichnung des Betreibers,

2.

die Bezeichnung des Rechtsträgers, wenn der Betreiber keine natürliche Person ist,

3.

Identifikatoren des Betreibers einschließlich der eindeutigen elektronischen Kennzeichen gemäß § 8 E-GovG,

4.

Angaben zur beruflichen, postalischen und elektronischen Erreichbarkeit des Betreibers,

5.

Name und Kontaktdaten der von dem Betreiber berechtigten Personen, die die Ausstellung von Zertifikaten gemäß § 17f Abs. 3 im Namen des Betreibers beantragen dürfen sowie

6.

Angaben zur geografischen Lokalisierung des Betreibers.

(2) Der Meldung gemäß Abs. 1 ist das IT-Sicherheitskonzept gemäß § 8 GTelG 2012 beizulegen.

(3) Die Bundesministerin für Gesundheit hat Betreibern von Datenspeichern und Verweisregistern gemäß § 24 Abs. 2 GTelG 2012 den Betrieb mit Bescheid zu untersagen, wenn die Voraussetzungen dieser Verordnung nicht eingehalten werden.

(4) Auf Verfahren zur Untersagung gemäß Abs. 3 ist das Allgemeine Verwaltungsverfahrensgesetz 1991, BGBl. Nr. 51/1991, anzuwenden.

§ 18

Text

5. Abschnitt

Sonstiges

Aushang zu den Teilnehmer/innen/rechten

§ 18. (1) ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 GTelG 2012 haben in den Bereichen, in denen Patient/inn/en angemeldet bzw. identifiziert werden, über die gemäß § 16 GTelG 2012 gewährten Teilnehmer/innen/rechte in Form eines verständlichen, gut sichtbaren und leicht zugänglichen Aushanges zu informieren. Der Zeitpunkt, ab dem ELGA-Gesundheitsdiensteanbieter den Aushang zugänglich machen müssen, richtet sich nach den Bestimmungen des § 27 GTelG 2012 in Verbindung mit § 21.

(2) Der Aushang hat die Überschrift „Patienteninformation“ sowie das ELGA-Logo zu enthalten. Sowohl die Überschrift als auch das ELGA-Logo müssen in der für andere Anschläge beim ELGA-Gesundheitsdiensteanbieter üblichen Schreibweise, Schriftgröße sowie Aufmachung gestaltet sein, um auch aus einiger Entfernung gut sichtbar zu sein. Höhe und Breite des Aushanges dürfen die durch das Format DIN A4 vorgegebene Höhe und Breite nicht unterschreiten. Anpassungen an den jeweiligen Außenauftritt („Corporate Design“) des ELGA-Gesundheitsdiensteanbieters sind zulässig.

(3) Der Aushang hat über die Bestimmungen des § 16 Abs. 1 bis 3 GTelG 2012 zu informieren. Dieser umfasst insbesondere Informationen zur:

1.

Auskunftserteilung über die sie betreffenden ELGA-Gesundheits- und Protokolldaten über das Zugangsportal oder durch die ELGA-Ombudsstelle,

2.

Möglichkeit, individuelle Zugriffsberechtigungen über das Zugangsportal oder durch die ELGA-Ombudsstelle festzulegen,

3.

Option, einen ELGA-Gesundheitsdiensteanbieter des Vertrauens festzulegen, sowie

4.

der Aufnahme von ELGA-Gesundheitsdaten gegenüber dem jeweils behandelnden bzw. betreuenden ELGA-Gesundheitsdiensteanbieter im konkreten Anlassfall situativ zu widersprechen, wobei der situative Widerspruch im Aushang ebenfalls erklärt werden muss.

(4) Gemäß § 16 Abs. 4 GTelG 2012 haben die gesetzlichen Interessenvertretungen für Angehörige von Gesundheitsberufen, die ihren Beruf als Gesundheitsdiensteanbieter freiberuflich ausüben, einen verständlichen, gut sichtbaren und leicht zugänglichen Aushang im Rahmen ihres übertragenen Wirkungsbereiches den jeweiligen ELGA-Gesundheitsdiensteanbietern zur Verfügung zu stellen, wobei die Mindestinhalte gemäß Abs. 3 jedenfalls einzuhalten sind. Dieser Aushang hat zu dem in § 27 Abs. 3 GTelG 2012 definierten Zeitpunkt fertig und verfügbar zu sein.

(5) Die Bundesministerin für Gesundheit hat den ELGA-Gesundheitsdiensteanbietern sowie den gesetzlichen Interessenvertretungen gemäß Abs. 4 Muster für einen Aushang gemäß der Anlage zu dieser Verordnung zur Verfügung zu stellen.

§ 19

Text

Zugriff auf ELGA für unmündige Minderjährige

§ 19. Obsorgeberechtigte dürfen die ELGA von Kindern, für die sie obsorgeberechtigt sind, bis zur Vollendung des 14. Lebensjahres zu den in § 14 Abs. 2 GTelG 2012 genannten Zwecken der Gesundheitsversorgung sowie der Wahrnehmung der Teilnehmer/innen/rechte verwenden.

§ 20

Text

Betreiberfestlegungen

§ 20. Das Berechtigungssystem (§ 21 GTelG 2012) sowie das Protokollierungssystem (§ 22 GTelG 2012) sind von der Bundesrechenzentrum Gesellschaft mit beschränkter Haftung im Sinne des § 28 Abs. 2 Z 11 GTelG 2012 zu betreiben.

§ 21

Text

Übergangsbestimmungen

§ 21. (1) Beginnend mit 1. Dezember 2015 haben gemäß § 27 Abs. 2 GTelG 2012 in Verbindung mit § 13 Abs. 3 GTelG 2012 Krankenanstalten gemäß § 3 Abs. 2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden, die Allgemeine Unfallversicherungsanstalt, soweit sie gemäß § 24 Abs. 2 ASVG Krankenanstalten betreibt, sowie Einrichtungen der Pflege gemäß § 2 Z 10 lit. e GTelG 2012 ELGA zu verwenden, soweit die Nutzung der ELGA-Komponenten (§ 24 GTelG 2012) zur Verwendung von ELGA-Gesundheitsdaten technisch möglich ist.

(1a) ELGA-Gesundheitsdaten gemäß § 16 Abs. 1 Z 8 sind nicht von der Pflicht gemäß Abs. 1 umfasst.

(2) Der Beginn einer Verwendung von ELGA gemäß Abs. 1 kann regional und zeitlich, soweit die Nutzung der ELGA-Komponenten (§ 24 GTelG 2012) zur Verwendung von ELGA-Gesundheitsdaten technisch möglich ist, gestaffelt erfolgen. ELGA-Gesundheitsdiensteanbieter gemäß Abs. 1 dürfen nach den im Gesundheitstelematikgesetz 2012 geltenden Regeln ELGA regional erproben (Testphasen), bevor ELGA im Echtbetrieb eingesetzt wird.

(3) Abs. 1 und 2 gelten nur für stationäre Einrichtungen der Pflege (Anlage 1 Teil 2 Z 10 der Gesundheitstelematikverordnung 2013 [GTelV 2013], BGBl. II Nr. 506/2013). § 27 Abs. 2 GTelG 2012 in Verbindung mit § 13 Abs. 3 GTelG 2012 ist bis zur Festlegung des Verwendungsbeginns von ELGA auf die mobile Pflege nicht anzuwenden.

(4) Sobald ELGA in einer Region erprobt wird bzw. der Echtbetrieb startet, hat auch die ELGA-Ombudsstelle gemäß § 10 ihren Betrieb in dieser Region aufzunehmen.

(5) Ab 1. Dezember 2015 sind jedenfalls Geburtsdatum und Geburtsort gemäß § 4 Abs. 2 Z 2 bzw. Abs. 3 Z 2 zur eindeutigen Identifikation zu verwenden.

(6) Gemäß § 28 Abs. 2 Z 1 lit. a bis c GTelG 2012 werden für Entlassungsbriefe (§ 2 Z 9 lit. a sublit. aa GTelG 2012), Laborbefunde (§ 2 Z 9 lit. a sublit. bb GTelG 2012) sowie Befunde der bildgebenden Diagnostik einschließlich allfälliger Bilddaten (§ 2 Z 9 lit. a sublit. cc GTelG 2012) folgende ELGA-Interoperabilitätsstufen als Mindeststandards festgelegt:

1.

EIS Structured ab 1. Dezember 2015,

2.

EIS Enhanced ab 1. Jänner 2017 sowie

3.

EIS Full Support ab 1. Jänner 2018.

(7) Gemäß § 28 Abs. 2 Z 1 lit. d GTelG 2012 wird für Medikationsdaten (§ 2 Z 9 lit. b GTelG 2012) die ELGA-Interoperabilitätsstufe EIS Full Support als Standard ab 1. Dezember 2015 festgelegt.

(8) Bis zum Ablauf des 30. Juni°2016 gelten Meldungen gemäß § 17k Abs. 1 auch dann als vollständig, wenn sie die Voraussetzungen des § 17k Abs. 2 nicht erfüllen.

§ 22

Text

6. Abschnitt

Schlussbestimmungen

In- und Außerkrafttreten

§ 22. (1) Diese Verordnung tritt mit 15. Mai 2015 in Kraft.

(1a) § 2 Z 2a, 3a, 3b und 6, § 4 Abs. 6 und 8, § 11 Abs. 3, § 13 Abs. 1 Z 3 und 4 sowie Abs 1a bis 1c, § 16, § 17 Abs. 3, die §§ 17a bis 17k samt Überschriften, § 18 Abs. 5, § 19, § 21 Abs. 1a und 8, § 23 sowie die Anlage, in der Fassung der ELGA-Verordnungsnovelle 2015, BGBl. II Nr. 373/2015, treten mit 27. November 2015 in Kraft.

(2) Die ELGA-Verordnung (ELGA-VO), BGBl. II Nr. 505/2013, tritt mit Ablauf des 14. Mai 2015 außer Kraft.

§ 23

Text

Hinweis zur Notifikation

§ 23. Diese Verordnung wurde unter Einhaltung der Bestimmungen der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 204 vom 21.07.1998 S. 37, zuletzt geändert durch die Richtlinie 2006/96/EG, ABl. Nr. L 363 vom 20.12.2006 S. 81, der Europäischen Kommission unter den Notifikationsnummern 2014/629/A und 2015/414/A, notifiziert.

Anl. 1

Text

Anlage