---
{
  "title": "Patient Data Access API: Leitfaden für FHIR-Implementierer",
  "description": "Was die Patient Data Access API ist, wie sie mit CMS-Regelungen zusammenhängt und wie sie auf einem FHIR-Server wie Aidbox implementiert wird – mit Code-Beispielen.",
  "date": "2025-04-11",
  "author": "Rostislav Antonov",
  "reading-time": "4 min",
  "tags": [
    "Integrations",
    "Compliance"
  ]
}
---
## Was ist eine Patient Data Access API?

Häufig müssen wir auf Daten eines bestimmten Patienten zugreifen und gleichzeitig sicherstellen, dass der Zugriff auf diesen Patienten beschränkt bleibt. Dies lässt sich erreichen, indem jeder Anfrage einen Patientenreferenz-Suchparameter hinzugefügt wird – doch Aidbox [FHIR-Server verfolgt](https://www.health-samurai.io/aidbox) einen anderen Ansatz: Er nutzt [SMART on FHIR](/blog/a-practical-guide-for-extending-emr-capabilities-with-smart-on-fhir-applications)-Scopes und den Patientenkontext im Autorisierungs-Token, um den Zugriff auf die dem Patienten zugeordneten Ressourcen einzuschränken.

### Patient Access API: Implementierung

Um den Zugriff auf die Daten eines bestimmten Patienten in Aidbox einzuschränken, muss die Anfrage folgende Bedingungen erfüllen:
- Das Autorisierungs-Token muss ein gültiges JWT sein;
- Dieses Token darf im „scope"-Claim ausschließlich Scopes auf Patientenebene enthalten;
- Das JWT-Token muss die Patienten-ID im Claim „context.patient" enthalten.

Mit diesem Ansatz können Sie sicher sein, dass über die FHIR API kein Datenzugriff auf andere Patienten als den im Kontext angegebenen möglich ist. Ein Beispiel für JWT-Token-Claims:


```javascript
{
...
  "atv": 2,
  "scope": "launch/patient openid fhirUser offline_access patient/*.cruds",
  "context": {
    "patient": "patient-id"
  }
...
}
```

Siehe auch: [Standardized API for EHRs Cheat Sheet](/blog/standardized-api-for-ehrs-cheat-sheet).