Inhaltsverzeichnis
Elektronischer Heilberufsausweis (eHBA)
Herausgabeprozess
- Rahmenvorgaben der gematik für die Sicherheit des Ausgabeprozesses
Ausstattungsgrad
Stand: 5.6.20231)
- Ausstattungsgrad Vertragsärzt:innen: 78,76 %
- Ausstattungsgrad stationär tätiger Ärzt:innen: 40,30 %
- Ausstattungsgrad Ärzt:innen gesamt: 57 %
Fakten
Warum muss ich mich umständlich identifizieren, um einen Ausweis zu erhalten?
Über die Identifikation wird die reale Identität mit der virtuellen Identität, die durch den eHBA präsentiert wird, verknüpft. Da der eHBA zudem Träger einer QES ist gelten hier besondere gesetzliche Auflagen in Bezug auf die Sicherheit des Ausgabeprozesses. Daher sind nur gemäß dieser gesetzlichen Vorgaben zertifizierte Identverfahren zulässig. Zu denen zählt derzeit im Wesentlichen das POSTIDENT-Verfahren und bspw. nicht das Video-Ident.
Wird der eHBA finanziert?
Kurz: Der eHBA in der ambulanten vertragsärztlichen Versorgung wird mit einer Pauschale von 11,63 € pro Quartal und eHBA finanziert. Das entspricht gegenwärtig etwa der Hälfte der tatsächlich anfallenden Kosten bei allen HBA-Anbietern. In der stationären Versorgung erhält ein Krankenhaus für jeden im Krankenhaus tätigen Mitarbeiter pauschl 46,52 € pro Jahr, wobei das Krankenhaus im Innenverhältnis die Weiterleitung des Betrags an den jeweiligen ärztlichen Mitarbeiter gewährleisten muss.
Lang: Die Finanzierung des eHBA in der ambulanten vertragsärztlichen Versorgung ist über die TI-Finanzierungsvereinbarung für Vertragsärzte2) zwischen der Kassenärztlichen Bundesvereinigung (KBV)und dem Spitzenverband Bund der Krankenkassen (GKV-SV) geregelt. Die „HBA Smartcard“ ist gem. § 2 Abs. 1 lit. f „zur Erfüllung der Aufgaben […] für die Vertragsarztpraxis notwendig. Der „Erhalt der Funktionsfähigkeit der HBA-Smartcards“ gehört gem. § 3 abs. 1 lit. g zu den Betriebskosten der TI. § 7 Abs. 3 regelt, dass die Betriebskosten für den eHBA quartalsweise je eHBA gem. Anlage 2 der TI-Finanzierungsvereinbarung erstattet werden. Anlage 2 Abs. 3 legt diese Pauschale auf 11,63 € fest. Das entspricht gegenwärtig etwa der Hälfte der tatsächlich anfallenden Kosten bei allen Anbietern.
Die Finanzierung des eHBA in der stationären Versorgung richtet sich nach der TI-Finanzierungsvereinbarung für Krankenhäuser 3). Die Kosten für den HBA gehören gem. § 9 Abs. 3 zu den „Kosten im laufenden Betrieb“. Ein Krankenhaus erhält „nach Wahl“ für jeden im Krankenhaus tätigen ärztlichen Mitarbeiter eine Pauschale in Höhe von 46,52 € pro Jahr. Bei Wahl dieser Option muss das Krankenhaus im Innenverhältnis die Weiterleitung des Betrags an die jeweiligen ärztlichen Mitarbeiter gewährleisten. Die Pauschale deckt gegenwärtig etwa 11% der jährlich anfallenden Kosten für einen HBA bei allen HBA-Anbietern.
Die Finanzierung des eHBA ist zudem an eine zugewiesene Arztnummer geknüpft. Ärzte in Weiterbildung erhalten somit keine Pauschale für den eHBA. TODO: Beleg
Was kostet ein eHBA?
Kurz: Die Kosten bei allen derzeitigen HBA-Anbietern unterscheiden sich nur marginal und liegen zwischen etwa 83 € und 92 € netto pro Jahr.
Lang: Die Kosten bei allen derzeitigen HBA-Anbietern unterscheiden sich nur marginal und liegen zwischen etwa 83 € und 92 € netto pro Jahr. Details in der folgenden Tabelle:
Links zu den Preisinformationen der einzelnen HBA-Anbieter:
Wie lange ist ein eHBA gültig?
Kurz: Ein eHBA ist maximal 5 Jahre gültig.
Lang: Die Gültigkeit eines eHBA beträgt derzeit maximal 5 Jahre. Diese maximale Laufzeit ist für Signaturkarten üblich, da die Sicherheit der mit den Zertifikaten verbundenen Schlüsseln in der Regel mit zunehmendem Zeitraum abnimmt und die Schlüssel daher regelmäßig erneuert werden sollten. Die gematik formuliert (als SOLL-Anforderung) entsprechend auch 5 Jahre als Maximallaufzeit.4) Die Gemeinsame Policy für die Ausgabe der Heilberufsausweise (S. 19) referenziert auf [gemSpec_Krypt] bzgl. der maximalen Gültigkeitsdauer von X.509-Zertifikaten.
Die HBA-Anbieter können kürzere Laufzeiten mit den Kartenherausgebern vereinbaren.(([gemSpec_Krypt], S. 11]] Derzeit bietet T-Systems eine maximale Gültigkeitsdauer des eHBA der Generation 2.0 bis maximal Ende 2023 an, da die Laufzeit der QES-Zertifikate für G2-Karten maximal bis Ende 2024 begrenzt ist (wegen der zugehörigen RSA-2048-Schlüssel auf der G2-Karte). Um den anstehenden Kartenaustausch nicht an einem Stichtag für alle HBA-Inhaber durchführen zu müssen, wurde die Gültigkeit auf maximal Ende 2023 begrenzt.
Es kann auch sein, dass kryptographische Algorithmen oder Zertifikate von Kartenplattformen auslaufen. Wenn diese dann nicht verlängert werden, muss ein Massentausch aller Karten mit den genutzten Algorithmen und/oder Kartenplattformen erfolgen. So läuft bspw. das Zertifikat für die Kartenplattform von G&D Ende 2022 aus. Da die Karten von D-TRUST und medisign darauf basieren müssten diese beispielsweise spätestens zu diesem Zeitpunkt darauf basierende Karten austauschen.
Was ist der Unterschied zwischen einem eHBA der Generation 2.0 und 2.1?
- Aktualisierte kryptographische Schlüssel unter Nutzung eines neuen Verfahrens (ECC statt RSA), wobei auch die alte Schlüsselgeneration noch auf der Karte ist.
- Stapelsignatur auch ohne Konnektor möglich
Kann ich bereits einen eHBA der G2.1 bestellen?
Derzeit bieten SHC, TSI und D-Trust einen eHBA der G2.1 an.
Planungen medisign: Q4/2021
Wozu benötige ich im KH einen HBA?
- Technisch zum Aufbringen einer persönlichen QES (vermutlich insbesondere beim Entlassmanagement)
- Anlegen eines NFD
- Signatur eines in der vertragsärztlichen Versorgung vergüteten Arztbriefes (KIM-Kontext)
- eAU
- Anlegen eines E-Rezeptes
- Rechtlich wegen § 339 für jeden Zugriff auf folgende medizinische Anwendungen (also wohl fast jeder Arzt, der bspw. Dienst in der Notaufnahme tut)
- ePA
- Hinweise
- eMP
- NFD
- E-Rezept (Anschlussmedikation verordnen im Entlassmanagement oder in der Onkologie mit der Verordnung von Zytostatika, ggf. i.V.m. der Verordnung von parenteraler Ernährung, und der entsprechenden Einbindung der KHApotheke in den elektronischen Abrechnungsprozess spätestens ab 1.1.2022.)
Hinweise der DKG insbesondere hier in Kap. 3.5.
Wie lang müssen die PINs für den HBA sein?
PIN.CH: 6-8 Zeichen PIN.QES: 6-8 Zeichen
Was passiert bei falscher PIN-Eingabe für den HBA?
Hier gibt es Unterschiede zwischen den Transport-PINs, der PIN.CH (für AUT und ENC) und der PIN.QES.
- Für die Änderung der beiden Transport-PINs haben Sie jeweils nur 3 Fehlversuche. Nach dreimaliger Falscheingabe der Transport-PINs ist Ihre Karte unwiederbringlich gesperrt.
- Nachdem Sie Ihre persönlichen PINs erfolgreich gesetzt haben, können Sie Karten-PIN nach dreimaliger Falscheingabe durch die Eingabe eines PUK (Personal Unblocking Key), den Sie im Transport-PIN-Brief finden, neu setzen.
- Die Signatur-PIN kann durch den PUK entsperrt, jedoch nicht neu gesetzt werden.
Der PUK kann insgesamt nur zehnmal genutzt werden; die dreimalige Falscheingabe des PUK führt dazu, dass dieser unbrauchbar wird.
Was muss ich tun, nachdem ich den eHBA und den zugehörigen PIN-Brief erhalten haben
Sie müssen den eHBA und den zugehörigen PIN-Brief als getrennte Sendung erhalten haben, bevor sie ihren HBA in Betrieb nehmen können.
Sie müssen nun
- den eHBA aktivieren und
- ihn zur Nutzung freischalten.
- Aktivierung: Umwandlung der beiden Transport-PINs aus dem PIN-Brief in selbstgewählte PINs
- Freischaltung: Mit der Freischaltung bestätigen Sie, dass Sie Ihren Ausweis erhalten haben und die Transport-PINs erfolgreich in persönliche PINs ändern konnten. Zudem werden die Zertifikate Ihres eHBA im Statusdienst veröffentlicht, damit ihre aktuelle Gültigkeit abgefragt werden kann. Erst nach diesem Schritt ist Ihr Ausweis einsatzbereit.
Die Verfahren dazu sind anbieterspezifisch und die Anbieter bieten dafür jeweils detaillierte Anleitungen:
Was unterscheidet die einzelnen HBA-Anbieter?
- Preise und Preiszusammensetzung (marginal, einmalige Einrichtungsgebühr medisign)
- Abrechnungszeiträume
- Angebotene Identverfahren über das verpflichtende POSTIDENT (und Kammerident für Sachsen) hinaus
- Zusammenarbeit mit unterschiedlichen PVS-Herstellern
- Ausgegebene Kartengenerationen
Wird der eHBA mit der TI 2.0 nicht überflüssig?
- Keineswegs, wie inzwischen auch die gematik betont
- Zunächst wird die Migration zur TI 2.0 nicht als Big Bang erfolgen können, der Zeithorizont ist angesichts des jetzigen Standes und der vergangenen Entwicklungszeiten auch eher optimistische geschätzt, trotz des vielfach beschworenen höheren Tempos seit BMG-Übernahme der gematik und verstärkter Digitalisierungsgesetzgebung durch jens Spahn. (Machbarkeitsstudie, Schritt- für Schritt-Migration)
- Smartcards wie der eHBA sind aktuell das sicherste Mittel private Schlüssel sicher aufzubewahren. Da der HBA Schlüssel trägt, die eine QES ermöglichen gelten hier höchste Sicherheitsanforderungen, die derzeit kaum erreichbar ist mit alternativen Hardware-Token wie beispielsweise einem Smartphone mit eSIM oder Secure Element.
- Ein wird Arzt nicht jedesmal sein Handy zücken wollen, um sich zu authentifizieren und dann zu signieren, verschlüsseln.
- Auch sogenannte digitale Identitäten sind in der Regel von der Smartcard abgeleitet in das Handy transportiert.
- Es wird also aufgrund fehlender Alternativen für eine absehbare Zeit (mind. 5 Jahre, also der Gültigkeitszeitraum eines HBAs) keine Alternative für bestimmte Szenarien zum eHBA geben, so dass er in jedem Fall auch weiter als Authentifizierungsmittel verwendet werden wird. Für die QES ist kein alternatives Verfahren in Sicht ggf. ein von der gematik angebotener Fernsignaturdienst. Zudem ermöglicht die Komfortsignatur, bei dauerhaft gestecktem HBA, benutzerfreundliches Arbeiten. Es kann zusätzlich alternative, abgeleitete Identitäten auf dem Smartphone geben.
Kann ich mehrere eHBA beantragen?
Ja, dies unterstützen alle Anbieter und Kammern. In einem Antragsprozess sind derzeit 2 Ausweise möglich.
Benötige ich ein erneutes Ident, wenn mein eHBA ausläuft?
Ja, das betrifft sowohl die notwendige Beantragung eines Folgeausweises nach Ablauf der regulären Gültigkeit, als auch den Austausch wegen Algorithmenwechsels oder Auslaufen eines Zertifikats für die Kartenplattform.
Wird Video-Ident für die Identifikation im Ausgabeprozess des HBA verwendet?
Nein. Das Verfahren gilt als unsicher und ist schon länger für die Ausgabe von QES-Zertifikaten verboten. Auch die SMC-B-Ausgabe erfolgt ohne Video-Ident-Verfahren. Die DKTIG nutzt noch bis 30.09.2022 das Video-Ident-Verfahren, danach ausschließlich POSTIDENT und eID.
Welche ausländischen Ausweisdokumente werden beim POSTIDENT-Verfahren unterstützt?
Dazu gibt die POSTIDENT-Ausweisliste detailliert Auskunft.