Was ist eine Patient Data Access API?
Häufig müssen wir auf Daten eines bestimmten Patienten zugreifen und gleichzeitig sicherstellen, dass der Zugriff auf diesen Patienten beschränkt bleibt. Dies lässt sich erreichen, indem jeder Anfrage einen Patientenreferenz-Suchparameter hinzugefügt wird – doch Aidbox FHIR-Server verfolgt einen anderen Ansatz: Er nutzt SMART on FHIR-Scopes und den Patientenkontext im Autorisierungs-Token, um den Zugriff auf die dem Patienten zugeordneten Ressourcen einzuschränken.
Patient Access API: Implementierung
Um den Zugriff auf die Daten eines bestimmten Patienten in Aidbox einzuschränken, muss die Anfrage folgende Bedingungen erfüllen:
- Das Autorisierungs-Token muss ein gültiges JWT sein;
- Dieses Token darf im „scope"-Claim ausschließlich Scopes auf Patientenebene enthalten;
- Das JWT-Token muss die Patienten-ID im Claim „context.patient" enthalten.
Mit diesem Ansatz können Sie sicher sein, dass über die FHIR API kein Datenzugriff auf andere Patienten als den im Kontext angegebenen möglich ist. Ein Beispiel für JWT-Token-Claims:
{
...
"atv": 2,
"scope": "launch/patient openid fhirUser offline_access patient/*.cruds",
"context": {
"patient": "patient-id"
}
...
}
Siehe auch: Standardized API for EHRs Cheat Sheet.





