====== Kartenungebundene digitale Identitäten des Gesundheitswesens ====== Hier geht es um **kartenungebundene** digitale Identitäten. Bei den kartengebundenen digitalen Identitäten des deutschen Gesundheitswesens handelt es sich um die [[dighealth:ti:smartcards#smartcards_des_gesundheitswesens|Smartcards des Gesundheitswesens]]. ===== Gesetzliche Rahmenbedingungen ===== Stellte die Einführung der [[dighealth:ti:alvi|al.vi]] mit der [[dighealth:ti:elektronische_patientenakte|elektronischen Patientenakte]] (ePA) bereits den ersten Schritt hin zu kartenunabhängigen Identitäten für die Versicherten dar, so fordert das [[dighealth:div:dig-gesetze|DVPMG]] die Einführung von schutzbedarfsgerechten kartenunabhängigen digitalen Identitäten für alle Personen und Organisationen, die als Akteure an der TI teilnehmen. Das [[dighealth:div:dig-gesetze|KHPflEG]] hat die Termine nochmals nach hinten verschoben. So erhält die gematik über § 312 Abs. 1 S. 1 Nr. 8 SGB V den Auftrag, bis 1.4.2023 die erforderlichen Voraussetzungen zu schaffen, damit die jeweiligen Kartenherausgeber für Versicherte und Leistungserbringer digitale, kartenunabhängige Identitäten zur Verfügung stellen können. § 291 Abs. 8 SGB V verpflichtete die Krankenkassen ab 1.1.2024 für gesetzlich Versicherte((Die [[gid|GesundheitsID]] ist mittlerweile eingeführt, so dass mit dem BEEP die FRist entfernt wurde.)), § 340 Abs. 6 SGB V die Herausgeber der Leistungserbringerkarten ab 1.1.2024 für Leistungserbringer solche digitalen Identitäten auszugeben.((Es ist davon auszugehen, dass eine Terminanpassung auf den 1.1.2025 - in Analogie zur Anpassung für die Institutionenidentitäten in § 340 Abs. 7 - im Gesetzgebungsverfahren für das KHPflEG übersehen wurde und mit dem nächsten Digitalisierungsgesetz angepasst wird.)) Medizinische Einrichtungen sollen gem. § 340 Abs. 7 SGB V zum 1.1.2025 eine kartenungebundene Institutionsidentität erhalten. Mit dem [[https://www.gesunde-vernetzung.de/doku.php?id=dighealth:div:dig-gesetze|BEEP]] wurden diese beiden Fristen wegen der geplanten Berücksichtigung der EUDI-Wallet auf den 1.1.2028 verschoben.((Die Verschiebung fand sich bereits im Kabinettsentwurf GDAG. Das GDAG kam wegen der Neuwahlen nicht mehr, aber die Frist für HBAs wurde offiziell vom BMG ausgesetzt, da die technischen Voraussetzungen fehlen (Brief BMG): https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/digitale-identitaet-fuer-apotheker-frist-verstrichen/.)) Die digitale Versichertenidentität soll ab 1.1.2027((ursprünglich: 1.1.206, geändert durch BEEP.)) in gleicher Weise wie die eGK als Versicherungsnachweis dienen.((§ 291 Abs. 8 S. 2 SGB V.)) Eine Abschaffung der eGK geht damit nicht einher, da die kartenunabhängige digitale Identität „ergänzend zur digitalen Identität, die mit der elektronischen Gesundheitskarte verbunden ist“(([[https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/D/DVPMG_BT_bf.pdf|BT-Drs. 19/27652]], 113).) ausgegeben wird. Zudem erlaubt § 336 Abs. 5 SGB V zwar den Zugriff auf Anwendungen nach § 334 Abs. 1 S 2 Nr. 1, 4, 6 und 7 SGB V, auf die der Versicherte bisher nur „mittels“ der eGK zugreifen konnte, auch über die kartenunabhängigen digitalen Identitäten, bindet diesen aber gleichzeitig an die vorherige sichere Ausgabe der eGK (→ Rn. 77). Die Festlegung der Sicherheitsanforderungen für die digitalen Identitäten muss dabei im Einvernehmen mit dem BSI auf Basis der einschlägigen, gültigen technischen Richtlinien des BSI erfolgen und das notwendige Vertrauensniveau der unterstützten Anwendungen berücksichtigen.((§ 291 Abs. 8 S. 3 u. 4 bzw. § 340 Abs. 8 S. 2 SGB V.)) Damit ist grds. gewährleistet, dass die relevanten Sicherheitsanforderungen auch für die Nutzung digitaler Identitäten für Anwendungen außerhalb der TI Berücksichtigung finden. Die konkrete Umsetzung eines Authentifizierungsmechanismus mittels kartenunabhängiger Identitäten ist nicht gesetzlich verankert. Eine digitale Identität kann explizit verschiedene Ausprägungen mit unterschiedlichem Sicherheits- und Vertrauensniveau haben, es muss jedoch das jeweilige für die Nutzung einer Anwendung benötigte Niveau erreicht werden, um Zugriff zu erhalten.((§ 291 Abs. 8 S. 5 u. 6 bzw. § 340 Abs. 8 S. 4 SGB V.)) **Synopsis** * Einführung im DVPMG, Terminverschiebungen im KHPflEG, erneute Terminverschiebung im BEEP (geplant schon im GDAG) * Spezifikationstermin für gematik: 1.4.2023 * Einführungstermin für * Versichertenidentitäten: 1.1.2024 (als [[gid|GesundheitsID]] bereits eingeführt) * Leistungserbringeridentitäten: 1.1.2028 * Identitäten für Leistungserbringerinstitutionen: 1.1.2028 * eGK als Versichertennachweis ab 1.1.2027 (verlängert um 1 Jahr durch BEEP) ===== Grundsätzliche Konzeption ===== Die Bereitstellung kartenungebundener digitaler Identitäten im Gesundheitswesen erfolgt über den Ansatz eines föderierten Identitätsmanagements, eine wesentliche Säule der [[ti20|Telematikinfrastruktur (TI) 2.0]]. Zu unterscheiden sind - auch gem. der gesetzlichen Vorgaben - somit: * kartenungebundene digitale Identitäten für Versicherte * kartenungebundene Identitäten für Leistungserbringende * kartenungebundene Identitäten für Leistungserbringerinstitutionen. Aufgrund eIDAS 2.0 ist nun auch eine Berücksichtigung/Nutzung der EUDI-Wallet geplant. ===== Weitere Infos ===== * [[https://wiki.gematik.de/pages/viewpage.action?pageId=503583255|IDP-Wissensdatenbank der gematik]]