-
-
Mein E-Rezept
-
Problemstellung: Social Distancing, überfüllte Arztpraxen, Corona-Ansteckungsgefahr und neue Rezepte über Arzneimittel
-
Lösung: Patient lädt App. Anruf beim Arzt. Speichern des E-Rezeptes. Vorzeigen des E-Rezeptes bei Apotheke.
-
Architekturkonzept: Sichere Patienten-Identität (SSI), Cloud-Infrastruktur, Integration der Ärzte-Software, Apotheken-App & Kryptographie.
Mein E-Rezept - Deine Digitale Rezept App zur Vermeidung von Arztbesuchen
Inspiration
Damit die Zettelwirtschaft im Gesundheitswesen aufhört, plante das Bundesgesundheitsministerium bereits im Sommer 2019 das E-Rezept einzuführen. Das E-Rezept spart Zeit und Wege, wenn der Patient in die Telefon- oder Videosprechstunde geht oder in seiner Arztpraxis anruft.
Aufgrund der hohen Ansteckungsgefahr für chronisch kranke und alte Patienten oder auch für normale Patienten, die ein neues Rezept brauchen, ist jeder Arztbesuch ein Risiko für Patienten, Mitarbeiter der Praxis und den Arzt.
In vielen Fällen geht es um die Neuausstellung eines Rezeptes zur Behandlung einer bekannten Krankheit. Diese Neuausstellung kann auch telefonisch - oder später auch per Video- oder Online-Sprechstunde - veranlasst und vom Arzt überprüft werden kann.
Dazu ist in vielen Fällen KEIN persönlicher Arztbesuch erforderlich. In Zeiten der COVID-19 Krise gilt es die Einführung des E-Rezeptes zur Vermeidung von Arztbesuchen massiv zu beschleunigen. Dazu möchten wir sichere Identitätslösungen, elektronische Signaturen und eine einfache E-Rezept App bereitstellen und mit existierenden Infrastrukturen im Gesundheitswesen integrieren. Unnötige Arztbesuche widersprechen zudem dem Prinzip des Social Distancing.
Das E-Rezept ermöglicht zudem weitere neue digitale Anwendungen. Von der Medikationserinnerung bis hin zum Medikationsplan mit eingebauten Wechselwirkungscheck. So kann einfach überprüft werden, ob alle Arzneimittel untereinander verträglich sind.
So können nicht nur Alltagsprobleme rund Corona gelöst werden, sondern auch Kosten gespart und neue digitale E-Health Angebote geschaffen werden.
Das Gesetz, mit dem Bundesgesundheitsminister Jens Spahn das E-Rezept im Gesundheitswesen einführt, ist das „Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV)“. Das Gesetz ist am 16. August 2019 in Kraft getreten [1]. Nun geht es darum dieses Gesetz schleunigst umzusetzen.
What it does
Das E-Rezept macht den Weg dafür frei, dass Patienten mit Ihrem Arzt oder Ihrer Arztpraxis auch telefonisch sprechen können. Wenn dann ein Rezept verschrieben oder einfach nur neu ausgestellt werden soll, erhält der Patient ein E-Rezept, das er in einer Apotheke seiner Wahl einlösen kann.
Die Arzneimittel können in der Apotheke abgeholt werden oder kommen direkt per Botendienst zum Patienten nach Hause. Das spart Zeit, Wege und das Risiko einer Verbreitung des Virus über Arztbesuche.
Was muss ich als Patient machen?
- Ich lade E-Rezept App aus dem Internet.
- Ich führe eine sehr einfache, schnelle und sichere Identitäts-Verifikationsüberprüfung aus der App heraus durch.
- Ich rufe per Telefon beim Arzt an und authentifiziere mich mit meinem Vornamen, Nachnamen, Geburtsdatum und Wohnort.
- Der Arzt stellt dann ein E-Rezept aus. Die Annahme dieses Rezeptes muss ich als Patient mit meiner E-Rezept App nur noch mit einem Knopfdruck bestätigen und schon wird das E-Rezept in meiner Anwendung gespeichert.
- Ich gehe zur Apotheke und zeige mein E-Rezept in der App vor. Der Apotheker verifiziert die Gültigkeit des Rezeptes und entwertet das E-Rezept, sodass ich es nicht ein zweites Mal verwenden kann. Dann bezahle ich und gehe ich mit meinem Medikament nach Hause.
Alternativ können später auch Online-Versandhandels-Apotheken sowie Krankenkassen eingebunden werden, um den Rezeptprozess noch weiter zu optimieren.
Was passiert im Hintergrund bei der Identitäts-Verifikationsüberprüfung?
Nach dem Laden der E-Rezept App führt der Patient einmalig eine Identitätsverifikation (KYC) aus der App heraus durch. Dazu wählt der Patient einen Dienstleister aus und ein Video-Ident-Verfahren wird gestartet. Der Identitätsdienstleister verifiziert die Identität des Patienten und stellt ein Identitätszertifikat aus, das nur in der App des Patienten gespeichert wird. Der Patient hat damit die volle Kontrolle über seine Identitätsdaten und kein anderer Dienstleister hat Zugang zu den Daten des Patienten, ohne das der Patient diese Daten aktiv und mit seiner Zustimmung teilt.
Die App erstellt automatisch einen Identifikator (Pseudonym) und einen kryptographischen Hash aus Vornamen, Nachnamen, Geburtsdatum und Wohnort. Dieser Hash ist Bestandteil des Identitätszertifikates des Patienten. Der Dienstleister übermittelt dann das Identitätszertifikat an die App des Patienten.
Aus dem E-Rezept Prozess ergeben sich aufgrund der Digitalisierung auch Kosteneinsparungen für die Krankenkasse. Daher können die Identitätsdienstleister auch von der Krankenkassen beauftragt werden und in das Identitätszertifikat sowie den Hash weitere Merkmale wie die Krankenkassennummer integriert werden.
Was passiert beim Telefonat mit dem Arzt?
Der Patient ruft nun seinen Arzt an und authentifiziert sich am Telefon mit seinem Vor- und Nachnamen, sowie Geburtstag und Geburtsort. Diese Daten, liegen auch dem Arzt vor und der Arzt verifiziert die Identität des Patienten. Alternativ können weitere Merkmale wie die Krankenkassennummer in den Authentifizierungsprozess und die Berechnung des kryptographischen Hash-Werts eingebunden werden, um Identitätskollisionen zwischen unterschiedlichen Patienten zu vermeiden.
Aus Vornamen, Nachnamen, Geburtsdatum und Wohnort berechnet die Software des Arztes den Hash-Wert, sucht dann nach dem Identifikator des Patienten, nimmt Kontakt mit der Identitäts-Software des Patienten auf und fragt nun ein Zertifikat über den kryptographischen Hash-Wert an. Die Software des Patienten nimmt das ihr vorliegende Hash-Zertifikat und sendet es an die Software des Arztes. Die Software des Arztes überprüft die Hash-Werte und kann sich nach erfolgreicher Prüfung sicher sein, dass sie tatsächlich mit der Identitäts-Software des Patienten verbunden ist.
Dann erstellt der Arzt ein Rezept-Zertifikat, das in der Identitäts-Software des Patienten gespeichert wird. Der Patient bekommt in seiner App eine Nachricht, wenn das Rezept ausgestellt wurde und kann entscheiden, ob der das Rezept annimmt und in seiner App speichern möchte. Das hört sich kompliziert an. Ist es aber nicht und geht mit den richtigen IT-Lösungen einfach, sicher und schnell.
Das ausgestellte Rezept-Zertifikat hat die folgenden Inhalte:
- Medikationsverordnung, Wirkstoff
- Dosierung
- Identifikator des Patienten
- Verfallsdatum
- Link auf ein Entwertungsregister (hier kann der Apotheker nach Einreichung des Rezeptes entwerten, sodass ein Rezept nicht zweimal verwendet werden kann)
- Elektronische Signatur des Arztes
Das Rezept ist so in der Patienten-App gespeichert, dass nur ich als Patient das Rezept einreichen kann. Das Rezept kann nicht von Dritten kopiert werden. Damit ist auch ausgeschlossen, dass es zu Rezept-Missbrauch kommt.
Was passiert beim Einreichen des Rezeptes in der Apotheke?
Als Patient gehe ich zur Apotheke und zeige per App mein E-Rezept als QR Code vor. Der Apotheker führt dann nur die folgenden Schritte durch:
- Scannen des QR Codes
- Abruf des Rezeptes aus der Identitäts-Software des Patienten
- Verifikation der Echtheit des Rezeptes und der Signatur von Arzt und Patient
- Check, ob das Rezept bereits entwertet wurde
Nachdem die Gültigkeit des Rezeptes überprüft wurde, kann der Apotheker das Medikament überreichen. Der Apotheker entwertet dann noch digital das Rezept des Patienten, sodass es nicht wieder verwendet werden kann.
Für die Integration des E-Rezeptes in die IT-Systeme des Apothekers ergeben sich verschiedenen technische Möglichkeiten. Wir schlagen vor, zuerst einen sehr einfachen, Papier-basierten Prozess einzuführen. Der Apotheker bekommt eine Smart Phone App, mit der er das E-Rezept vom Patienten auslesen und überprüfen kann. Der Apotheker druckt dann das Rezept aus und scannt es so über seine bestehende Infrastruktur ein, dass er - wie heute auch - die Daten elektronisch in sein Apothekersystem übernimmt. Zukünftig wird der E-Rezept Prozess über die direkte Einbindung in das Apothekersystem automatisiert.
Wir gehen davon aus, dass eine Integration in Systeme von Online-Apotheken innerhalb weniger Wochen umgesetzt werden kann. Vermutlich ist die Integration des E-Rezeptes in den System der Online-Apotheken sogar einfacher.
Legislation, Fast Track Implementation and Project Stakeholder
Das Gesetz, mit dem Bundesgesundheitsminister Jens Spahn das E-Rezept im Gesundheitswesen einführt, ist das „Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV)“. Das Gesetz ist am 16. August 2019 in Kraft getreten.
Nun haben die Spitzenorganisationen im Gesundheitswesen viele, viele Monate Zeit, die notwendigen Grundlagen für die Verwendung des elektronischen Rezeptes zu schaffen. Neben einer Erprobung im Rahmen von Modellprojekten werden dann bis zum 30. Juni 2020 die technischen Festlegungen dafür getroffen, dass für die Übermittlung des elektronischen Rezepts zukünftig die sichere Telematikinfrastruktur im Gesundheitswesen verwendet werden kann.
Das geht bestimmt auch schneller!
Wie lange dauert es die E-Rezept App umzusetzen?
Wir sind davon überzeugt, dass das E-Rezept innerhalb von 12 Wochen eingeführt und in Hinblick auf Sicherheit validiert werden kann, wenn alle Beteiligten mit Hochdruck zusammenarbeiten.
Welche Akteure braucht man für die Umsetzung?
- Einen großen Identitätsdienstleister, der die Identität der Patienten per Video-Ident verifiziert und ein "Identitäts-Zertifikat" ausstellt. Identitätsdienstleister sind Deutsche Post, IDnow, Onfido oder Verimi. IDnow und Onfido stellen bereits APIs zur Verfügung, die sehr schnell und sicher integriert werden können, um die Identität von Patienten sicher zu verifizieren und ein Identitäts-Zertifikat auszustellen. Am schnellsten kann man vermutlich die Identitätsdienstleister der Krankenkassen einbinden.
- Einen großen IT Dienstleister der Arztpraxen zur Einbindung der APIs für das Digitale Rezept (z.B. DocCirrus, Henara, azh TiM, ARZ Haan AG).
- Tech-Start-ups wie die Spherity GmbH mit Erfahrung rund um Digitale Identität und elektronische Signaturen. Wir können in Zusammenarbeit mit anderen Akteuren und Start-ups die Apps und Infrastruktur für das E-Rezept schnellstmöglich bereitstellen.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Überprüfung der Einhaltung aller Sicherheitsstandards.
- Apotheker und Patienten, die sich eine App herunterladen
- Alternativ können auch IT-Systeme der Apotheker in einem zweiten Schritt durch deren IT-Dienstleister eingebunden werden
- Bundes- oder Landesgesundheitsministerium sowie Multiplikatoren für die begleitende Kommunikation zum Roll-Out der E-Rezept Anwendung
Das liest sich alles wieder sehr kompliziert. Ist es aber nicht. Die Technologien zur Umsetzung einer sicheren E-Rezept App sind vorhanden. Identitäts-SW kann über sichere APIs mit bestehenden Systemen der Ärzte so integriert werden, dass der Patient in der Lage ist, seine E-Rezepte in der Apotheke einzulösen.
Später können dann auch Systeme von Apotheken, Versandapotheken und Krankenversicherungen digital eingebunden werden.
How I built it
Wir haben bei Spherity GmbH existierende Cloud-Infrastrukturlösungen, APIs und Apps rund um Digitale Identität. Diese Lösungen validieren und qualifizieren wir gerade zusammen mit unseren Kunden aus der Pharma-Industrie.
Das Spherity Team hat nun diese Lösungen genommen und genutzt, um einen Prototypen für das Digitale E-Rezept zu erstellen.
Unser Prototyp basierte auf den folgenden Technologien:
- Smart Phone App, Swift und C# für die iOS Variante
- AWS Cloud-Infrastruktur inkl. Kubernetes Microservices und IT-Security
- Java Script Backend
- Implementierung von Standards des World Wide Web Consortiums (W3C) für dezentrale Identifikatoren (DIDs) [3] und elektronische Signaturen für die Rezept-Zertifikate (Verifiable Credentials) [4]
- Ethereum Blockchain zur Speicherung von Identifikatoren und digitaler öffentlicher Schlüssel von Identitätsdienstleister und Ärzten. Achtung: Es werden KEINE Identifikatoren, Schlüssel oder Daten eines Patienten auf einer Blockchain gespeichert.
- API Gateway zur sicheren Integration bestehender Systeme der Ärzte
- Sicheres Schlüsselmanagement im Backend mit HSMs oder Multi-party Computation (MPC) für den Schutz privater Schlüssel von Ärzten und Patienten
- Einbindung von Multi-Faktor Authentifizierung (MFA) und Biometrie zur Authentifizierung der Patienten
Wir davon überzeugt, dass nicht nur Privatsphäre der Patienten und Sicherheit der Gesamtlösung im Vordergrund, sondern auch die Philosophie der Selbstbestimmten Identität (Englisch: Self Sovereign Identity, kurz SSI). SSI folgt der Philosophie, dass ein menschlicher Nutzer sein Daten unter seiner vollen Kontrolle hat und er bestimmt, wann die Daten mit wem geteilt werden.
In den vergangenen Jahren wurde sehr viel Forschung und Entwicklung sowie Standardisierungsarbeit betrieben, um SSI-Lösungen praktisch anwendbar und sicher zu machen [2], [3], [4], [5], [6]. Das Funktionieren dieser Technologie haben wir mit dem Prototyp gezeigt. Nun geht es darum diese auch in praktischen Anwendungen umzusetzen.
Challenges I ran into
Wir sehen drei wesentliche Herausforderungen: 1) Sicherheit, Privatsphäre, GDPR, eIDAS und Compliance für E-Health Anwendungen 2) Integration der Systeme von Ärzten und Apotheken 3) Kommunikation und Nutzerfreundlichkeit
Ad 1) Sicherheit, Privatsphäre, GDPR, eIDAS und E-Health Compliance
Aufgrund unserer Zusammenarbeit mit der Pharmaindustrie kennen wir die Anforderungen an Sicherheit, Privatsphäre, GDPR, eIDAS und Compliance für E-Health Anwendungen. Wir haben viele davon schon umgesetzt. Die im Hintergrund laufende Infrastruktur zu der in dem #wirvsvirus Hackathon gezeigten Prototyp App erfüllt ca. 80% dieser Anforderungen bereits. Wir sind davon überzeugt, dass in einer Zusammenarbeit dem BSI die Anforderungen so erfüllt werden können, dass eine solche E-Rezept Anwendung ausgerollt werden kann.
Ad 2) Integration der Systeme von Ärzten und Apotheken
Im ersten Schritt ist die Integration mit den Systemen der Ärzte erforderlich. Ärzte benutzen Standardsoftware. Diese Software kann über einfache APIs, also digitale Schnittstellen, so ergänzt werden, dass ein E-Rezept ausgestellt und in der Software des Patienten gespeichert werden kann. Dazu ist lediglich die Einbindung dieser APIs in die Software des Arztes erforderlich. Hört sich einfach an. Das kann auch einfach sein, muss es aber nicht. Die Integration ist mit etwas Programmierarbeiten bei den Anbietern der Arzt-Software verbunden. D.h. bei der Umsetzung müssen wir mit 2-3 der größten Anbieter zusammenarbeiten.
Damit ist der Patient dann in der Lage, E-Rezepte vom Arzt zu erhalten und in der Apotheke vorzuzeigen. Mit der Integration der Ärzte-Software kann ein schneller und sicheren Roll-Out der E-Rezept App durchgeführt werden.
Später können weitere Systeme von Apotheken, Online-Apotheken oder Krankenversicherungen hinzugefügt werden.
Ad 3) Kommunikation
Die beste App und sicherste Infrastruktur bringts nichts, wenn kein Patient sie nutzt. Für die Umsetzung der E-Rezept App ist Kommunikation notwendig, damit die Patienten die App kennen, ihr vertrauen und diese nutzen.
Da die E-Rezept App ein großes Problem löst und derzeit eine sehr große Hilfsbereitschaft zur Adoption digitaler Lösungen existiert, glauben wir, dass keine teuren Kommunikationskampagnen notwendig sind, sondern, eine solche App und deren Nutzen sich in Zeiten von Social Distancing sehr schnell rum spricht und Anwendung findet.
Allerdings erfordert das eine sehr, sehr benutzerfreundliche App. Unser Prototyp ist noch etwas puristisch. Wir möchten gerne mit Patienten zusammen daran arbeiten, sodass eine intuitive, leicht zu bedienende und graphisch ansprechende E-Rezept App entsteht. Wir sind uns sicher, dass viele Patienten helfen wollen und sich von zu Hause in eine sinnvolle Aufgabe einbringen möchten.
Accomplishments that I'm proud of
Wir sind besonders stolz darauf, dass wir innerhalb von 24 Stunden einen funktionierenden Prototypen entwickelt haben, der die Funktion von sicheren Identitäten und E-Rezepten auf Basis der W3C Standards demonstriert.
Bei der Umsetzung stehen nicht nur Privatsphäre der Patienten und Sicherheit der Gesamtlösung im Vordergrund, sondern auch die Philosophie der Selbstbestimmten Identität (SSI). Mit SSI erhöhen wir das Vertrauen in eine E-Rezept Anwendung, da die Rezepte nicht bei irgendeinem Dienstleister liegen, sondern in der eigenen Software des Patienten.
Wir gehen davon aus, dass die restlichen Anforderungen rund um Sicherheit, Privatsphäre und Comliance innerhalb von 3 Monaten in einer intensiven Zusammenarbeit mit einem Arzt-Softwareanbieter oder Arztrechenzentren sowie dem BSI so umgesetzt werden können, dass die E-Rezept Anwendung ausgerollt werden kann.
What I learned
Durch den Hackathon haben wir gelernt, wie weitreichend die existierenden gesetzlichen Vorgaben sind, die die Grundlage unseres E-Rezept App Vorschlages sind. Ohne Handlungsdruck, wie in Zeiten der Corona-Krise, würde es noch viele, viele Monate dauern, bis eine solche Lösung zur Verfügung steht.
Zudem wissen wir jetzt, wie eine solche Lösung durch die Integration mit bestehenden Systemen umgesetzt werden kann. Und wir haben gelernt, wie nützlich E-Rezepte für alle beteiligten Akteure sind.
What's next for E-Rezept - Digitale Rezepte zur Vermeidung von Arztbesuchen
Wir sind top motiviert, die E-Rezept App nun auch umzusetzen. Dazu suchen wir Mitstreiter, interessierte Patienten, Sponsoren, Hersteller der Ärzte-Software für Rezepte, einen großen Krankenversicherungspartner und das BSI.
[1] Gesetzes für mehr Sicherheit in der Arzneimittelversorgung (GSAV) [2] Self-sovereign Identity - A position paper on blockchain enabled identity and the road ahead [3] W3C DID Specification [4] W3C Verifiable Claims [5] Decentral Identity Foundation [6] Decentralized Identity as a Meta-platform: How Cooperation Beats Aggregation
Built With
- amazon-web-services
- c#
- cognito
- did
- ethereum
- ios
- javascript
- mongodb
- swift
- vc
Log in or sign up for Devpost to join the conversation.