Folge #171 – ePA 3.0

Ja, nach der jetzigen Vorstellungen werden wir ein aktuelles Thema bringen, dass uns quasi in den Rest leitet und zwar gab es jetzt zwischen den Jahren, wie jedes Jahr, den Chaos Communication Congress, also den CCC und dort wurde der Hack der ePA vorgestellt, darauf werden wir kurz eingehen, dann die neue Timeline der ePA vorstellen, die Funktionalitäten, die es jetzt in der 3-0 und 3.1-Version gibt. Und dann werden wir einen größeren Blog FAQs machen, die sich dann mit der ePA beschäftigen. Und ja, irgendwann muss man gucken, da unten kommt dann noch was nö, dann sind wir durch. Diese Jessica so viel zur Vorbereitung, wir lesen quasi, während wir aufnehmen, einfach das gemeinsame Dokument. So Renato, du bist jetzt dann übrigens auch dran, erzähl mal was zum Hack. Genau, also der eine oder die andere wird das Video gesehen haben vom CCC und von den beiden CCC-Leuten, die dort den Hack vorgestellt haben. Es gab so ein bisschen einen Rückblick, denn das war ja nicht der erste Hack, der mit der ePA zu zun hatte und die haben erst mal so einen Rückblick gemacht, was bisher gehackt war, sie und leider muss man sagen, so ein paar Sachen, die sind immer noch nicht so ganz behoben. Also Rückblick war, die hatten ja mal den Ausgabe-Prozess, der eGK und der SMCB, kompromittiert, haben sich, glaube ich, das an eine Fleischtheke oder so schicken lassen. Die Käsetheke, die SMCB schicken lassen, war nicht ganz so dolle und es ist leider immer noch nicht so 100 Prozent. Man kann sich die eGK jetzt immer noch an eine wildfremde Adresse schicken lassen. Das wurde schon das eine oder andere mal moniert. Dann gab es schon mal einen Hack, wo die Konnektoren gehackt hatten, die leider falsch herum installiert waren. Das war jetzt kein Problem der Konnektoren an sich, sondern eher der IT-Dienstleiter-Video, das gemacht haben und dann wurde auch das Video Identverfahren ja schon mal gehackt und zumindest vor einigen Jahren war das Video Identverfahren der Möglichkeit, wie man NegGK hat ausgestellt bekommen. Aktuell gab es technische Hack. Das eine ist eine ganz klassische SQL-Injection. Ich habe sich gewundert, das ist sowas noch kipptolze Tage. Das Karten herausgeberportal hat dort noch Schwachstellen gehabt und ja, das ist eher peinlich. Ehe, dass das passiert ist peinlich. Auch wenn es mich in E-Pakkor-Komponenten ist, aber SQL-Injection ist super billig. Ehe, dass darf echt nicht passieren, wirklich. Genau. Und dann gab es ein weiteres technisches Problem, was glaube ich noch behoben werden soll. Und zwar geht es darum, den Versichertenstammdatenabgleich. Da gibt es eine Kartennummer und dieser Versicherten-Stammdaten-Abgleich wird anscheinend auch verwendet, um rauszufinden, ob eine Person, die Person ist, die sie vorzugeben scheint, weil das so der einzige Weg aktuell ist, wie man das machen kann. Und da wird eine Kartennummer genommen, die unsigniert ist. Also man übergibt an einen Service, an einen SOAP-Service, übergibt man einfach eine Kartennummer und der Versicherten-Stammdaten-Abgleich gibt einen dann das Go oder No-Go. Und ja, das ist halt auch ziemlich doof, denn es gibt ein Verfahren, das auch mit der Karte zu tun hat, dass eigentlich den Versicherten-Stammdaten-Abgleich mit signierten Kartennummern erlaubt. Das war jetzt zwei technische Sachen, dann gibt es noch paar soziale Hex, die sie gemacht haben, auch wie gesagt eben schon der Ausgabeprozess der eGK, der ist immer noch angreifbar und dann haben sie per eBay Kleinen anzeigen, sich Kartenterminals gekauft, mit Funktionsfähigen SMCBs drin und haben dann auch noch bei Praxen oder bei Einrichtungen, haben sie sich als IT-Dienstleister ausgegeben und haben gesagt, sie könnten da helfen, falls es Probleme gibt und dann haben die IT-Dienstleister, die dann tatsächlich auf ihre Systeme gelassen und mit allen Möglichkeiten, die man da hat. Das waren jetzt eher soziale Hex. Ich habe ja den Stream angekuckt paar Tage nach neuer und habe dann gleich auf eBay Kleinen anzeigen geguckt und es gibt immer noch einen Orger zu kaufen für 149 Euro Pin inklusive. Also ich weiß nicht, ich weiß nicht, ich weiß nicht. Ich bin mir nicht so sicher, ob sich das irgendwann mal ändern wird und ob der irgendwie eingreift, aber… Steigen ja die Trankkassenbeiträge, dann ist wieder mehr Geld da für die Ärzte, dann können die auch andere Altidienstleister beauftragen. Herrsteck, sichere Lieferkette. Genau, Renato voll wichtig, einfach nur muss man klar zumachen, dass es, wenn man’s differenzieren möchte, der ist jetzt nicht die E-Parselber, das technische Konstrukte sozusagen angegriffen worden, sondern weil drumherum um die ganzen Orgerprozesse misst passiert ist. Genau, also wenn man das so macht und das relativ viel Aufwand ist, also man musste bei eBay Kleinen anzeigen, man musste irgendwo gucken, dass du da so ein SMCB finde, der muss noch funktionieren und dann musst du ja trotzdem irgendwie noch Zugriff haben und die Pin bekommen, dass hier echt viel Aufwand, wenn du das alles machst, hast du auch nicht Zugriff auf alle E-Pars, die da so rumschwören, sondern nur die auf diese SMCB berechtigt sind. E-Ein, also die beiden technischen Sachen vorne, die haben schon auf alle E-Pars abgezählt, also die haben schon gesagt, ich bin jetzt gerade bei dem anderen, also bei dem sozialen. Genau, das heißt, da würdest du sehr viel Aufwand betreiben, um dann die Akten von einer Praxis sozusagen sehen zu können. Werste nicht viel schneller und einfacher, die Scheibe einzuschlagen und sich den Server, der da steht unter Nagel zu heißen oder so was, also das einfach reinzuschleichen, bei uns haben es an der Hochschule mal die Beamer geklaut, weil die einfach mit Blaumännern rein gekommen sind, am helllichen Tag und haben die Dinge einfach abmontiert, als sie noch viel Geld gekostet haben. Ich glaube, bei größeren Praxen wird das wahrscheinlich auch gehen. E-Ein, von daher ist es richtig, aber was es danach auch wieder für einen Aufschrei gab, ich glaube, manche Leute können das einfach überhaupt nicht einordnen, wie kritisch das ist oder nicht? E-Ein, also sie haben das immer in Verhältnisgesetz mit dem Aufwand, also es gab einiges Sachen, da war der Aufwand 4 Stunden, da hast du dann 4 Stunden hast du eine E-Page hekt oder eben mehr Stunden manchmal auch eine Woche und dann hattest du quasi theoretisch Zugriff auf alle Sachen. Aber man muss auch dazu sagen, wie gesagt, gerade das mit dem für sicheren Stammdaten-Management, das wird sehr wahrscheinlich noch behoben werden, beziehungsweise über andere Kanäle geleitet werden. Nr. 

Kurz im Sicherheitsthema, ich glaube, das ist insgesamt ein Problem in den Arztpraxen. Also werden du einerseits Versus ultra sichere Strukturen, Lieferketten und Co zu schaffen, steigst du andereseits über Papierakten drüber, die da herumliegen oder findest irgendwo eine herumliegen, das Pin-Passwort, Schied irgendwo. Also das ist schwierig, aber wo fängt man da an? Ich glaube, einfach wenn du jetzt so eine moderne Technologie auf den Markt schmeißt, wie die E-Page, wie sie sein, so wie sie verspricht, also digitale moderne Lösung zu sein, dann musst du da dafür sorgen, dass sie in jedem Fall sicher ist. Also dann kannst du ja nicht wieder mit dem Maßstab das, na ja, du kannst halt das Fenster einschlagen, wenn wir herangehen. Das skaliert halt auch nicht so gut, dass mit dem Fenster einschlagen, dass andere das skaliert, dann muss man sich auch nicht die Finger schmutzig machen oder muss irgendwo hingehen, sondern man macht das von irgendeinem Trittland aus, wo man noch nicht mal Strafverfolgung fürchten muss. Gibt es dir jetzt schon Tipps hier oder? 

Das bloß auch. Das ist der Grund für den Ausstieg, ein anderes Projekt. Genau, ich habe jetzt… Ich habe einen anderen Teilnahmequellen. Ich schier sich und… Okay. 

Das heißt, was sind denn jetzt die Forderungen und wie geht es denn da jetzt weiter? Genau, also wie es weiter geht, das ist jetzt quasi Teil der gematik, aber die Forderungen vom CCC waren eigentlich drei Hauptforderungen, dass es eine externe Sicherheitsbewertung gibt und nicht eine von internen von der gematik oder auch vom BSI, das bringt nichts. Dann eine transparente Kommunikation mit allen Schwachstellen und mit nennen aller Schwachstellen, dass man jetzt nicht das versucht, und dann täglich zu kehren und das dritte war, dass der Entwicklungsprozess ein offener ist, denn so lange das weiterhin so verdeckt bleiben soll, dann wird sich daran auch nichts ändern. Das waren so die Hauptpunkte. 

Sind denn da jetzt seiner Meinung nach Punkte, die sich auch lösen lassen, weggennergleich lernart auf. Die Teilnahme, aber siehst du denn da Punkte, die sich auch in der Kürze der Zeit beheben lassen. Ich meine, der CCC oder der Martin und Kollegen, die reklamieren ja schon seit Jahren, dass viele der Prozesse, die hier immer noch genannt werden, einfach unsicher sind. Ja, ja, also die technischen Sachen lassen sich ja auf jeden Fall relativ kurzfristig, müssten die sich beheben lassen und die anderen, das ist halt auch an der torische Sache. Also man muss dann halt sicherstellen, dass die eGK und die Sachen nur an die Hausadresse geliefert wird und nicht irgendwo anders sind. Und das ist einfach nicht nur verboten ist, sondern dass man keine Ahnung, vielleicht die SMCBs wieder zurücknehmen muss oder die Sachgemäß entsorgen muss. Ich habe keine Ahnung, was man da noch so an leichen findet, aber das sind halt die… Ja, aber ist ja auch schon ganz viele Diskussionen, dann Ärzteverbinder gesagt haben, warum geben die Hausärztinnen, Ärzte nicht die Karren raus, gehen kleinen Obolüsse oder sowas, weil die Kinderpatienten in Patienten ja, da gab es auch schon wieder ganz wilde Diskussionen, das bleibt da so weiterspannend. Ja, dann hat Ende des Jahres, gab es ja glaube ich noch mal so eine kleine Welle, die dann durch Link in geschwappt ist, wo dann von einer Epa-Verschiebung, die Rede war, wo dann aber ganz schnell und BMG Seite kommuniziert wurde, dass das ja auf keinen Fall so ist. Da ging es dann um die Epa 3.0. Wie sieht da die Timeline aus? Also wann bekommt wer, wo in Deutschland, was für eine Epa und was kann die dann so ein bisschen? 

Also Bernhard Timeline und dann, was geht in 3.0 und 3.1, dann Jessica noch mal? Genau, Timeline. Also bleiben wir noch mal beim ursprünglichen Plan der ursprüngliche Plan, sagt er ab dem 15. Januar 2025 startet die Pilotphase, das bedeutet in einigen Testmodellregionen in Deutschland, ist die Epa für alle dann schon nutzbar, auch jetzt an diesem Plan soll, sozusagen weiter festgehalten werden, natürlich versucht man im Hintergrund, dass jetzt alles zu fixen, aber an dem Plan, sozusagen ab dem 15. Januar in den Test zu gehen, soll festgehalten werden und eigentlich sollte dann ab dem 15.2. Also einen Monat später, der gesamte Rollout für Deutschland starten, also Epa für alle tatsächlich dann in der Umsetzung. Und da hat jetzt Lauterbach, wie man ihn kennt, über X reingegreht, schon gesagt, nah das würden wir natürlich schon abwarten und würden erst sagen, was er da geschrieben, wir wollen erst dann die Epa bringen, wenn alle Heckerangriffe auch, die des CCC technisch unmöglich gemacht worden sind. Und wer jetzt gerade aufgepasst hat, was Gernardo gesagt hat, Nee, nur technisch ist ja nicht nur eine technische Frage, sondern hat natürlich auch eine hohe Social Engineering-Komponente, also in dem Moment, wo ich über eBay kleiner zeigen, Dinge kaufen kann, wo ich über einen IT-Dienstleister, den Konnektor-Falschromo installiert, so viele andere Angriffswektoren, prinzipiell habe. Denn wir dann diese 100-prozentige Sicherheit, die Lauterbach sind wie der fast fordert, sicherlich nicht erreichen. Auf der anderen Seite ist es vom Zeitplan, sicherlich sinnvoll, bevor man in den Gesamtrollout geht zu sagen, da ist auch das, dass das der CCC fordert, eine erneute Sicherheitsbewertung, das wird sicherlich genau den nächste Schritt sein. Man versucht die Schwachstellen zu beheben, man macht eine erneute Sicherheitsprüfung und dann bei positiver Bewertung, die entsprechenden Schwachstellen sind behoben worden, dann kann eben dieser Rollout starten und bei Sicherheitsbewertung würde ich jetzt mal stark vermuten, dann sind wir wieder beim BSI, dass das BSI genau diese Bewertung machen wird. Auch wenn der CCC sagt, da wär es schön, wenn noch jemand anderes unabhängiges da drauf schauen wird, wer wär so was, ja, ist das TÜV Reinhland oder so, die dann drauf schauen, oder jemand ganz anders. Genau, wo sitzen die Kompetenzen, die das machen könnten? Ich glaube, BSI ist da schon eine gute Adresse, vielleicht in Abstimmung mit den Leuten vom CCC. Und dann kann eben an dem Plan festgehalten werden, dann wird es aber eben nicht der 15. Oder 2. Sondern höchstwahrscheinlich ein bisschen später. Und was jetzt der Unterschied zwischen 3.0, das ist eben genau das, was jetzt in Q1 starten sollte und 3.1 ist, da kann CCC uns ein bisschen mehr zu sagen. 

Ich freue noch eine Sache, aber das hat mir vorher auch besprochen, nämlich, was ist denn Franken? Du hast ja gesagt, es gibt die Modellregionen. Ja, es gibt ja drei Modellregionen. In Hamburg, bei der KV Nordrhein, in der Ecke, da kenne ich hier gar nicht, aber es sagt, ja, das ist kein Problem. Und in Franken. Und das ist alles so wager definiert und formuliert, das ist einfach nicht klar, es wäre es in der Modellregion, wir darf damit machen. Und das ist gar nicht so, dass man sagt, hey, ich bin Ärzt in den Franken, ich bin dabei, sondern die werden jetzt gezielt ausgewählt, wer teilnehmerin oder teilnehmer in der Modellregion ist. Also, das wird immer weiter runtergebrochen von ab Januar 2025. Haben wir alle Neepads zu, es gibt einen Stufenweißen Rollout, wie es übrigens auch richtig ist. Also, keine IT-Projekt, kannst du mit ner fixen Delayen einfach rausschmeißen. Das hinzu, ja, wir gucken mal, es gibt drei, vier, fünf Arztpraxen in der Modellregion, die müssten X-Option Z können und auch nur mit einem Aktenanbieter. Also da können wir später im Verlauf noch mal drüber sprechen, wie es so der Realität checkt, überhaupt sein wird in den nächsten Wochen. Aber das ist schon sehr, sehr schwierig. Also, sich überhaupt mit zu individieren, bin ich erst so betroffene Arztprax, die damit machen kann oder nicht. Und wie läuft das eigentlich? Also, ich glaube auch, viele, viele Hersteller wurden ganz lange gar nicht gefragt. Also es wurden einfach Arztpraxen rekrutiert und das war es dann. Und bei den Herstellern geht man davon aus, die können das schon. Klar, musst du die Hersteller fragen. Da gab es doch dieses Super, es passt vorgrad gar nicht rein. Aber da packen wir auch in die Showdowns. Da gab es diesen Epa Showcase, mega Sache von der gematik, glaube ich, gestartet oder vom BMG. Oh ja. Oder fast alle Praxisverwaltungssysteme, Arztpraxissysteme, Hersteller ihre Produkte oder schöne Mockups gezeigt haben, wie sie entweder die Epa schon integriert haben oder noch machen werden. Super gut sich in Überblick zu verschaffen über die unterschiedlichen Praxisverwaltungssysteme. Das hatten Christian, ich, wir hat uns das mit virtuellen Popcorn fast gleichzeitig angeguckt und festgestellt. Hier noch der Rand-Tipp, es gibt das Intro, es gibt die Diskussion, die ist wirklich, wirklich müde. Also die Mockups ist total spannend, um mal über reinzugucken, muss sich ein Bild zu machen. Aber die Diskussionsrunde ist sehr lahm. Jeder, dieser aktörer in der Akteurin ist einzelspannend. Aber in dieser Runde, ich weiß nicht, was da passiert ist. Okay, so jetzt aber, Again what learned, Jessica, 3-0-3-1. Also, Epa, na, ich wollte aber auch ein bisschen ausholen. Also, ich frag mal, bei der Epa ist es 0, weil, man muss ja doch mal sagen, wir haben jetzt Januar 2025 und die erste Epa gibt es eigentlich seit ich glaube Juni 2021. Also bald vier Jahre, das ist schon ziemlich lang, also ich würde euch gerne jetzt mal fragen, euch euch drei werfen, euch hat eine Epa, aber ich fürchte mit Betrucht und Hintergrund und das fiere ich. Fragt ihr das eure Studis eigentlich, fragt ihr mal so eine Runde von euch, habt ihr Epa? Klar, und… Der Schauber, es ist, dass ich üblich bei den, weiß ich nicht, zwei Prozent oder was das sind. Also ich automich jetzt hier war das GKV-Kastverzientin. Ich hab ne Epa, ich hab sogar die zweite oder die dritte, in der jetzt die Knöpfe finden sich nur noch Katzenbilder. Weil ich bei der ersten Migration alles verloren habe und dann nie wieder was machen wollte. Aber, ja, man muss mal ausprobieren, die Epa funktionieren. Also, die Epa 1.0 ist es schön, dass es sie gibt, tauglich weiß ich nicht. Und beantragende Versicherte, wenn ich erkennt das. PDF-Dokumente, konnte man rein, das hat super lang gedauert, egal, was man hochgeladen hat, das hat sich ewig gedreht. Also, da hat jeder genutzt, da hat es mir nur eine Stunde warten, musste, hat nicht gereicht, um diese Epa als Versicherten sich zu befüllen, keine Chance. 

Epa 2.0 gab es ab 2022 und hier sind feinere Zugriffsrechte möglich gewesen. 

Das heißt, man konnte inzwischen schon einzelne Dokumente freigeben und Institutionen, musste aber immer selber aktiv werden als Versicherte. Also, ich musste die Akte trotzdem beantragen und dann musste ich noch sagen, der darf Zugriff haben, der darf folgende Dokumente sehen. Also, das ist schon sehr, sehr aufwendig, gerade wenn man möchte, dass es intuitiv funktioniert und einfach versicherte oder Patient und Patient eine Datendrehschalbe an der Rand haben, was ja eigentlich das Ziel ist. 

So und jetzt alles neu, Epa 3.0, Epa für alle und das ist eigentlich der große Game-Changer, dass wir jetzt die Möglichkeit haben, jeder hat die, keiner muss mehr proaktiv beantragen, jeder besitzt sie oder kann erst mal ausopten. Und das auch noch ganz spannend ist, ich glaube, so seine Obstüge aufs Geld ist vor Ewigkeiten angesagt, es gibt ja eigentlich eine vielfältige Widerspruchslösung. Also ich kann ja nicht nur insgesamt sagen, ich möchte die Epa nicht haben, ich kann auch sagen folgende Leistungszeitbringer oder folgende Praxis, folgendes Krankenhaus, darf keinen Zugriff haben oder folgendes Dokument davon niemanden gesehen werden. 

Das heißt, ich kann ja vielfältig eigentlich anpassen, wer wie was sieht und habt da mehr Optionen als und zu sagen, nein, Epa ist nix für mich, also das finde ich schon mal ganz spannend. Auch neu ist, dass jetzt einfach die Befüllung auch verbindlich ist, also in die Arztpraxen und Kliniken ist Verbindlichkeit eingezogen, bisher war das immer auf ausdrücklichem Dwunsch der Patient-Neute versicherten. Und jetzt ist es einfach ein Pflichtvorhaben, also ich muss die Epa mitbefüllen, sofern ein Behandlungskontext vorliegt, das heißt, wenn der Patient gerade seine Karte gesteckt hat und einfach eine Arztpraxis von Krankenhaus eben vorstellig ist. Auch neu ist, dass ich nicht nur PDFs mehr hochlade, sondern auch relativ viele negative Feierdaten einstellen kann. Das ist Ausbaufälch und hier wurde auch ein bisschen zurückgerudet, beim Anfang war auch mal geplant zu, das sich noch Bilddaten mit einzustellen, drei verschiedene Formate, die sind wieder gestrichen worden, weil man festgestellt hat huf, das überfordert dann doch ein bisschen die Infrastruktur und die Prozesse, die kommen dann auch nachträglich. Na ja, da kann man noch Viren mit reinschleuseln, oder, das war der Grund, die wir auf Augen wandeln muss. Ja, auch da, ne Sicherheitsprobleme, mal gucken, wie sie die beheben wollen, aber das ist ja sehr, sehr wichtig, man wer kennt das nicht, mit der Ziel herum, vom Zahnla Sonshoher herum zu laufen und irgendwie die Bilddaten nicht zu haben. 

So und jetzt kommt das coolste Tool der Epa 3.0, das ist die Medikationsliste, die elektronische. Das klingt total banal, das ist aber nur eine Liste, die zusammenstellt, welche Medikamente über ein Ehrezept verordnet wurden und welche dann auch in der Apotheke dispensiert, also ausgegeben wurden. Und das automatisch zusammenzubringen und anze zeigen, klingt ja wirklich banal, aber ist eine rieselnde Leistung, weil man jetzt wirklich automatisch ohne großes Zutun sieht, was es eigentlich mit Medikamente passiert, was ich damals eben versichert, nur die Patienten ausgegeben habe. Also das große Neuerung, und der holt man glaube ich sowohl Asprachs und Krankenhäuser als auch hoffentlich Patienten ab, weil man hier eben schon sehr viel Überblick bekommt, was eigentlich so passiert im Verordnungsalter. Genau, auch spannend ist, es gibt bei weiteren geplanten oder ab Januar-Fälligen Daten, der assistierte Befüllung in den Systemen, also zum Beispiel Laborbefundaten, EAS-Brieforder, EAUs werden unterstützt von der jeweiligen Praxis über Kliniksoftware in die Epa geladen, und das ist ja auch schon mal besser als vorher, würde ich sagen. Juli 2025, so die aktuelle Planung, wir müssen mal gucken, ob das dann auch so funktioniert, dass sie nicht weiter nach hinten verschiebt, wird die Epa 3.1 dann hoffentlich ausgerollt, die weiter im Medikationsprozess eben fortschritte bringen und weiter ausbaut und andere Akteure einbindet und eben auch Daten zur Forschungszweckung ausleiten wird. Und dann schauen wir weiter, wie es auf 20/26 läuft, es gibt Verbesserungen der Volltextsuche, es gibt die MiOS, ich weiß nicht, ob ich erinnert, die medizinische Informationsobjekte lange für tot geglaubt, die werden dann wieder ausgegraben und sollen dann wieder in die Epa zurückfinden. Vom Prinzip her sind wir ja große Freunde davon. Genau, das fasst ganz gut zusammen. Gut, dann kommen wir zu den FAQs. Genau, da gibt es massig, da gibt es ohne Ende im Internet, vielleicht gibt es eigentlich so eine Meta-Seite, also eine Link-Seite auf alle FAQs, die es zur Epa gibt. Da gibt es eine ganze Menge. Bei der KBV gibt es viele Menge. Nein, nein, nein, ich will nicht eine Seite, wo ganz viel ist, sondern eine Meta-Seite, die auf alle FAQ-Seiten verlinkt, ansonsten wäre das vielleicht was für uns oder für Mark lang gut oder sowas. Da möchte ich dir die Frage aller Fragen stellen. Oh mein Gott, wem? Die allerwichtigste Frage. Die hältst du es mit der Epa? Die hältst du es mit der Epa. Nein, die aller erste Frage. Er setzt die Epa die Primärdokumentation der Hartz-Prags. Das ist eine absolute Liebungsfrage. Essika, vielen Dank, dass du das fragst und es freut mich, dass du das hätte ich sonst jetzt auch von mir aus angesprochen. Heide Witzker. Nein, natürlich ersetzt die Epa nicht die Primärdokumentation im eigenen PVS oder auch im Krankenhaus, sondern das ist eine zusätzliche Akte. Wir als Rennen Patientinnen, Patienten, dass bis dato auch schon zuhause gemacht hätten, sich immer Kopien haben, geben lassen zu Hause, bei sich selber in Ordnung gepackt haben. Und dann haben die das woanders mit hinnehmen können. Also ja, sie ist versicherten geführt. Nein, sie ersetzt nicht die Primärdokumentation im PVS oder im KIS. Wird ever und ja, weil sie Patienten geführt ist, gibt es kein Anspruch, dass Daten vollständig sind. Das wird auch gerne angeführt, was negativ sei an der Akte. Dann kann ich mich als Ärztin gar nicht drauf verlassen, dass alle Sachen, die jemals irgendwie zu einem Patient erfasst wollen, sind auch immer genau da drinstehen. Kann man sonst auch nicht übrigens, also ja, das geht dort entsprechend auch nicht. Sie ersetzt nicht die Behandlungsdokumentation des Ärztes, psychotherapeuten, etc. 

Machen wir es einfach so weiter, dass jeder sich selber die Frage stellt oder einfach keine Frage stellt, weil mir einfach jetzt sozusagen einfach gut Thema vorstellen. 

Ich habe das Thema Durchsuchtbarkeit der E-Park, ganz große Frage, weil man rechnen ja damit, dass man in großen Daten, wo es in dieser E-Park vorfindet. Und da gibt es gute schlechte Nachrichten. Die schlechte ist erst mal nur Metadat und Stichwort suche und die Metadaten hängen ein bisschen davon ab, was ich selber so mit Eintippe und was die Systeme mit übermitteln. Und wie gut quasi die Grundlage ist, um damit arbeiten zu können. Metadaten zum Beispiel, um das schon mit dabei steht die Dokumentenart, wer der Auto ist oder die Autoren, was die Fahrechtung des Behandlers ist. Oder eben auch, wenn man Glück hat, der hinterlegt die ICD-10-Code, habe ich mir aber nicht sicher, ob das Pflicht ist und immer mir mittelt wird. Also der wäre hilfreich, aber ob der mit dabei ist, müssen wir mal gucken, wie dann die Umsetzung ausschaut. Besser wisst er mit der Epo3.1 und den fortfolgenden, weil dann haben wir die Volltextsuche ohne umfangreiche Stichwort suche. 

Das heißt, ich kann deutlich schneller die Dokumente einfach durchsuchen und schneller finden, was ich eigentlich haben möchte. Kleine Ausnahme ist vielleicht auch die eMedikationsliste, die ja von Anfang an mit dabei ist. Die ist von Anfang an auch in der Stichwort suche nutzbar. Genau, dann habe ich eine häufig gestellte Frage beziehungsweise ein Thema, das immer wieder aufkommt und zwar das Berechtigungskonzept und das ist immer wieder in der Kritik. Und ich muss gestehen, ich verstehe es nicht so ganz, vielleicht fehlt mir dann auch der Einblick und zwar wird immer wieder gesagt, bei der E-Pagebel ist nur das alles oder nichts prinzip. 

Das heißt, man kann entweder alle Dokumente für alle frei geben oder eben die Dokumente alle verschatten und verbergen, sodass nur noch ich sie sehe. Ich habe mir jetzt mal ganz frech die E-Page von der Barmar runtergeladen, die haben das so ein Demo-Modus und das lässt sich da irgendwie nicht so ganz abbilden. Also die haben ein sehr ausgefalltes Berechtigungskonzept. Es gibt auf der einen Seite zwar nicht die Einzeldokumente, die ich berechtigen kann, aber Dokumentengruppen und ich habe auf der anderen Seite entweder konkrete Einrichtungen, Praxen oder Krankenhäuser oder auch Gruppen von Einrichtungen. Also alle Apotheken, alle Niedergelassenen Ärztungen. Ich kann hier Verbindungen zulassen, ich kann sagen Praxes X Y darf nur die Dokumente sehen, die jetzt nicht speziellen Sicherheitsvorkehrungen unterliegen. Oder die Apotheken dürfen keine Dokumente sehen, die irgendwas mit Psychiatrie zu tun haben. Das lief sich dort zumindest abbilden, jetzt weiß ich aber auch nicht, ob das schon die Version 3 0 ist oder ob das noch die Version 2 war. Jedenfalls ganz früher mal, ganz früher, ich glaube unter Span noch, gab es sowieso nicht gesichtsverlierenden Move, wo man ganz schnell was raushauen musste. Und da gab es sozusagen nur dieses alles oder nichts, wenn ich mich recht erinnere, aber das führte dann dazu, dass die Leute das jetzt immer noch fragen und sagen. Aber auch ohne Gewer. Jetzt ist gut, würdest du sagen. Genau, es war nämlich auch wieder Thema bei diesem Talk und da haben sie entweder nicht gut recherchiert vom CC oder sind noch irgendwie alten Müten aufgesessen oder es hat sich dann doch was geändert zur Version 3 0 hin, die ich leider noch nicht ausprobieren konnte. Auf jeden Fall fand ich das Berechtigungskonzept für mich jetzt ausreichen, ich will gar nicht jedes einzelne Dokument jetzt berechtigen, weil es ist ja auch aufwandt, das muss man auch erstmal wollen. Von daher eine oft gestellte Frage, die ich jetzt mal mit ist ganz okay beantworten würde. 

Vielleicht reicht der einfach weiter das Thema, was ich hab schließlich da so ein bisschen an und wurde jetzt auch schon zwar drei mal genannt. Situativer Widerspruch kann ich denn auch dem als Patient bestimmten Elementen widersprechen. Also kann ich denn verhindern, dass ein bestimmtes Element überhaupt in die Akte kommt. Das ist eine Thema ist Berechtigungsmanagement, wer greift auf diese Daten denn tatsächlich zu? 

Das andere ist, kann ich auch sagen, dass ein ganz bestimmtes Element, ein Befund-Bericht, vielleicht über eine kritische Diagnose, über eine Dauer-Diagnose, die ich vielleicht verbergen möchte, ob es aus psychischen Gründen oder andere Themen sind, kann ich die verhindern, in die Epa einzustellen und das ist in aktuellen Spezifikationen möglich. 

Das heißt, ich kann auch als Patient sagen, dieses Dokument soll gar nicht in die Akte gestellt werden, dann ist auf Seiten der Leistungserbringer dieser Widerspruch zu dokumentieren. Das ist also zu dokumentieren, dass man das entsprechend gemacht hat und diesen Patienten aufgeklärt hat. Also klar, dann haben wir jetzt Berechtigungskonzept Granularität und noch halbwegs passend wegen Datenschutz und situativen Widerspruch mit abgehandelt. Jessica, mag du weiter bitte? 

Ich wollte noch mal ganz kurz was zur Rolle der Krankenkassen sagen. Es ist ja auch einmal die Frage, also dass Patientinnen und Patienten da einfach als Epa nutze, wer ist denn jetzt für mich an welcher Stelle zuständig? Und die Krankenkassen sind tatsächlich immer noch die, die Akte anlegen, also die Epa. Also das heißt, der Hauptansprechpartner ist meine eigene Krankenkasse und die Informationen von den Krankenkassen ausgegeben werden zum Opt-out-Verfahren, zur Vorteilen der Epa, wie ich sie nutze und verwalte, wie Zukunftsbrechtigungen ausschauen. Also da kann ich immer auf meine Kasse zugehen und jedenformiert mich da und ich hoffe, dass auch viele, viele Zuhöre und Zuhöre bereits mindestens den schlöten Brief von ihrer Kasse bekommen haben. Der leider sehr wenig informativ ist, muss ich sagen, zumindest bei meiner Kasse war das so. Aber das ist der erste Schritt zur großen Informationskampagne der Kassen zur Epa. Da gab es doch ein Bus oder wie damals beim Brexit gab es doch jetzt auch ein Epa-Bus, wo auch am Anfang zumindest der Bundesgesundheitsminister immer umgekauft ist. Das BNG hat ja auch groß investiert und versucht dir sehr viel aufzuklären. Auch die Gematik verteilt sehr sehr viel, Informationsmaterial ist ja im Staat. Die KV auch, die Werbetraumel wird gerollt, wenn da ganz optimistisch ist, dass es mit dieser Epa jetzt ein größeres Volkskonzept wird. 

Vielleicht auch ohne Bus. Genau, nächstes Thema der FAQ auch mal wieder genannt, was ist denn mit den Leuten, die selber nicht mehr in der Lage sind, solche Sachen einzustellen, entweder mangelt es kognitiver, ab dem dafähigkeiten oder mangelt es Smartphone-Besitz und auch dafür gibt es komischerweise eine Lösung, nämlich ein Vertreterzugriff laut Spezifikationen können bis zu fünf Personen als Vertreterinnen und Vertreter für die eigene Epa genannt werden. Und damit habe ich dann eigentlich auch diese Möglichkeit, die ich in allen anderen Kontexten in dem natürlich auch nutzen kann. Auch da kann ich ja mit Papierdokumenten mein Vertreter und meine Vertreterin mit zur Arztpraxis mit zum Krankenhaus nehmen. Das geht dann jetzt auch elektronisch. 

Als letzten Punkt habe ich jetzt noch den schnöden Mammon und zwar die Frage, wer kriegt eigentlich was dafür, also auch die Arbeit in der Arztpraxis mit einem Krankenhaus vor allem in der ambulanten Versorgung ist ja dann auch nicht kostenlos. Und das ist vielleicht auch ganz spannend zu sehen, was es da gibt. Und zwar gibt es einmal einen Obolus für die Erstbefüllung, also der erste Arzt, also die erste Arzt sind die eine Epa anlegt von den Patienten. Der bekommt 2025 Pauschal 11 Euro 3 dafür, über gewisse Abrechnungszuffahren und auch die weitere Bevölkerung wird entsprechend vergültet. Das ist jetzt gerade 2025. Ich glaube, 1 Euro 80 ungefähr, schon 1 Euro 86. Also nur als Hintergrund-Enfos gibt dadurch aus Geldführer, dass die Epa mit angelegt wird, denn dieser Zusatzaufwand entsteht. 

Und die Hoffnung ist, dass eben gerade mit dieser Erstanlage oder Erstbefüllung der Epa einfach mal bislang Fleisch an die Greten kommt und die Epa dann kommen.