Gegenstand des EFAv2.0 Konformitätsnachweises

Das Verfahren zur Ausstellung von Konformitätsnachweisen für EFAv2.0 konforme Produkte ist für vier Produktgruppen anwendbar. Diese sind in Abbildung 1 im Überblick dargestellt und werden in den folgenden Abschnitten genauer beschrieben.

Abbildung 1: Ausprägungen EFAv2.0-konformer Produkte

EFA-Provider

Ein Produkt, das einen EFAv2.0 konformen „EFA Provider“ realisiert, besitzt die folgenden Eigenschaften:

• Das Produkt MUSS die logischen EFA-Komponenten „ECR Resource Manager“, „ECR Document Registry“ und „ECR Document Repository“ umsetzen. Das Verhalten dieser Komponenten MUSS den für diese Komponenten definierten Kommunikationsmustern und Service Functional Models entsprechen.
• Das Produkt KANN die logischen EFA-Komponenten „Identity Provider“ und „Policy Provider“ umsetzen. Das Verhalten dieser Komponenten MUSS den für diese Komponenten definierten Kommunikationsmustern und Service Functional Models entsprechen.
• Das Produkt MUSS die folgenden EFAv2.0-Interaktionsmuster funktional und mit der definierten Anwendungssemantik unterstützen:
  • Anlegen einer Fallakte
  • Anlegen und Registrieren einer Partition
  • Einstellen von Datenobjekten
  • Auffinden der Fallakten eines Patienten
  • Browsing über eine Akte oder eine Partition
  • Abruf von Datenobjekten
  • Schließen einer Fallakte
  • optional: Invalidieren von Datenobjekten
  • optional: Ändern der Einwilligung
  • optional: Autorisierung eines weiteren Teilnehmers
  • Client Authentisierung (Nutzer kann sich über das Produkt gegenüber dem Provider authentisieren)

• Das Produkt MUSS für alle umgesetzten Service Functional Models die in der EFAv2.0-Spezifikation definierten Bindings implementieren:
  • optional: createECR
  • createPartition
  • optional: closeECR
  • listPartitions
  • optional: registerConsent
  • optional: registerData
  • listPartitionContent
  • provideData
  • retrieveData
  • requestHPIdentityAssertion (nur wenn Client-Authentisierung Bestandteil des Produkts ist)
  • optional: requestPolicy

• Das Produkt MUSS die folgenden Eigenschaften in Bezug auf Sicherheit und Datenschutz besitzen:
  • Bei allen Aufrufen wird eine EFA Identity Assertion gemäß EFAv2.0 Spezifikation im SOAP Header erwartet und geprüft (Anmerkung: Abweichungen in der Kodierung der Attribute sind zulässig). Die Prüfung stellt Integrität, Authentizität und Validität der Assertions sicher.
  • optional: Eine im SOAP Header enthaltene EFA Policy Assertion kann verarbeitet werden.
  • Bei allen Anfragen werden die Existenz einer Einwilligung und die Berechtigung des Aufrufers geprüft
  • Für Anfragen akzeptierte Patienten-IDs (XPID) können durch Dritte nicht einer Person zugeordnet werden
  • Die Anbindung von EFA Consumern erfolgt ausschließlich über einen sicheren, verschlüsselten Transportkanal
  • Für alle implementierten Funktionalitäten (Interaktionsmuster) werden Audit Trail Einträge gemäß der Vorgaben in den zugehörigen Bindings geschrieben
  • Audit Trails sind vor Zugriffen Unberechtigter geschützt (entfällt, sofern eine Umsetzung des ATNA Audit Writers nicht Bestandteil des Produkts ist)
  • Vorgaben für den sicheren Betrieb der EFA-Consumer-Funktionalität des Produkts sind definiert und liegen schriftlich vor.

EFA-Consumer

Ein EFA-Consumer (EFA-Client) kann entweder direkt auf die Dienste des EFA-Providers zugreifen oder hierzu die vereinfachte Schnittstelle eines EFA-Connectors nutzen. Beide Produktvarianten können EFAv2.0-konform realisiert werden. Ein Produkt, das einen EFAv2.0 konformen „EFA Consumer (direkte Anbindung an EFA-Provider)“ realisiert, besitzt die folgenden Eigenschaften: - Das Produkt MUSS die logischen EFA-Komponenten „EFA Teilnehmersystem“ und „EFA Kontext Manager“ umsetzen. Das Verhalten dieser Komponenten MUSS den für diese Komponenten definierten Kommunikationsmustern und Service Functional Models entsprechen. - Das Produkt MUSS die in Anhang B1 dieses Dokuments aufgeführten EFAv2.0-Interaktionsmuster funktional und mit der definierten Anwendungssemantik unterstützen. - Das Produkt MUSS eine grafische Benutzerschnittstelle bereitstellen, über die ein Nutzer die umgesetzten Interaktionsmuster nutzen kann. - Das Produkt MUSS für alle umgesetzten Service Functional Models die in der EFAv2.0-Spezifikation definierten und in Anhang B1 dieses Dokuments aufgeführten Bindings implementieren. - Das Produkt MUSS die in Anhang B1 dieses Dokuments aufgeführten Eigenschaften in Bezug auf Sicherheit und Datenschutz besitzen. Ein Produkt, das einen EFAv2.0 konformen „EFA Consumer (Anbindung über EFA-Connector)“ realisiert, besitzt die folgenden Eigenschaften: - Das Produkt MUSS die logische EFA-Komponente „EFA Teilnehmersystem“ umsetzen. - Das Produkt MUSS die in Anhang B2 dieses Dokuments aufgeführten EFAv2.0-Interaktionsmuster funktional und mit der definierten Anwendungssemantik unterstützen. - Das Produkt MUSS eine grafische Benutzerschnittstelle bereitstellen, über die ein Nutzer die umgesetzten Interaktionsmuster nutzen kann. - Das Produkt MUSS für alle umgesetzten Interaktionsmuster Zugriffe auf den EFA-Provider ausschließlich über die in Anhang B2 zu diesem Dokument aufgeführten und in der EFAv1.2-Connector-Spezifikation definierten Schnittstellen realisieren. - Das Produkt MUSS die in Anhang B2 dieses Dokuments aufgeführten Eigenschaften in Bezug auf Sicherheit und Datenschutz besitzen.

EFA-Connector

Ein EFA-Connector vermittelt Aufrufe an einen EFA-Provider über eine einfache Programmierschnittstelle. Durch Kapselung der EFA-Sicherheitsfunktionalitäten im EFA-Connector kann so die Umsetzung von EFA-Consumer-Systemen signifikant vereinfacht werden. Ein Produkt, das einen EFAv2.0 konformen „EFA Connector“ realisiert, besitzt die folgenden Eigenschaften: - Das Produkt MUSS die logische EFA-Komponente „EFA Kontext Manager“ umsetzen. Das Verhalten dieser Komponente MUSS den für diese Komponente definierten Service Functional Models entsprechen. - Das Produkt MUSS die in Anhang C zu diesem Dokument aufgeführten Schnittstellen zu EFA-Consumer- und EFA-Provider-Systemen gemäß der benannten Spezifikationen umsetzen - Das Produkt MUSS die in Anhang C dieses Dokuments aufgeführten Eigenschaften in Bezug auf Sicherheit und Datenschutz besitzen.