Konzeptionierung und modellhafte Demonstration einer virtuellen elektronischen Gesundheitskarte
Die Telematikinfrastruktur (TI) und die elektronische Gesundheitskarte (eGK) bilden die sichere Grundlage für den eigenverantwortlichen Zugriff der Versicherten auf ihre Gesundheitsdaten und zur Wahrnehmung ihrer Zugriffsrechte nach § 291a Abs. 4 Satz 2 Sozialgesetzbuch Fünftes Buch (SGB V) sowie für die Kommunikation im Gesundheitswesen. Die Bundesregierung plant zudem den eigenverantwortlichen Zugriff des Versicherten mittels alternativer Authentifizierungsmethoden.
Nach § 291a SGB V können Versicherte eigenständig, ohne die Notwendigkeit eines Heilberufsausweises, auf ihre elektronische Patientenakte (§ 291a Abs. 3 Satz 1 Nr. 4 SGB V) und auf das elektronische Rezept zugreifen. Bei weiteren elektronischen Gesundheitsanwendungen (§ 291a Abs. 7 Satz 3 SGB V) ist die Identifikation der Versicherten mittels der eGK möglich. Die ersten Ergebnisse aus dem vom BMG geförderten und seit Herbst 2017 laufenden Projekt „Elektronische Gesundheitsanwendungen für Versicherte – Sichere Nutzung im privaten Bereich (EGaV)“ zeigen die technischen Möglichkeiten des Einlesens der eGK mittels Near Field Communication (NFC)-Schnittstelle auf. In der im Projekt EGaV untersuchten Variante ist für jede Identifikation eine erneute Authentifizierung mittels eGK und PIN im mobilen Endgerät notwendig.
Im Vorfeld und begleitend zu den Maßnahmen der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) zum Ausbau der TI sollen Maßnahmen gefördert werden, die eine temporär bzw. dauerhaft abgeleitete Version der eGK (virtuelle eGK) untersuchen.
Eine virtuelle eGK soll es den Versicherten ermöglichen, eine sichere Kommunikation auch ohne den Einsatz einer physischen eGK durchzuführen. Diese virtuelle Variante der eGK soll demr Nutzerin/dem Nutzer auf diesem Weg das Schlüsselmaterial der eigentlichen eGK zur Verfügung stellen, auch ohne diese direkt zu nutzen. Auf diese Weise müssen Nutzerinnen und Nutzer sich nur einmal gegenüber einem mobilen Endgerät mit ihrer eGK und PIN identifizieren und können für einen bestimmten Zeitraum oder auch komplett auf die physische eGK verzichten. Auf diese Weise können Anwendungsfälle mit substanziellem und ggf. hohem Schutzniveau (gemäß der eIDAS-VO) mittels der virtuellen eGK auf dem mobilen Endgerät genutzt werden. Außerhalb des Gesundheitswesens haben sich ähnliche Verfahren bereits bei der AusweisApp (neuer Personalausweis) bzw. im Zahlungsverkehr etabliert.
Die virtuelle eGK soll in der Lage sein, insbesondere X.509-Zertifikate, CV-Zertifikate und private sowie öffentliche Schlüssel analog einer physischen eGK sicher aufzunehmen und zu verarbeiten.
Es gilt zu demonstrieren, dass sich Versicherte auf Basis der eGK mit einer virtuellen eGK unter Nutzung ihrer mobilen Endgeräte (Smartphone, Tablet) sicher gegenüber mobilen Anwendungen identifizieren und authentifizieren können.