In der Presse wurde in den letzten Wochen berichtet, dass eine Minderzahl von elektronischen Gesundheitskarten mit einer fehlerhaften PIN ausgeliefert wurden. Einige Krankenkassen beeilen sich schon, mitzuteilen, dass ihre Karten alle in Ordnung sind.
Es wird also Zeit, einmal einen Überblick zu geben, was es mit den PINs auf der eGK auf sich hat.
Im Grunde gibt es drei PINs für den Patienten:
Die Privat-PIN (“PIN@home”)
Eine PIN für das “Versicherter@home” Szenario, mit dem sich der Versicherte zumindest perspektivisch gegenüber der Krankenkasse zum Beispiel am heimatlichen Computer auf der Internetseite der Kasse, oder auch an einem Terminal in der Geschäftsstelle ausweisen kann. Diese ersetzt die bisherige “login – passwort” Situation, die man ansonsten bislang verwendete. Diese PIN sollte mitsamt der Karte erzeugt werden oder wird passend zur Karte erzeugt, wenn sie ausgegeben wird. Man kennt ähnliches von seiner Bank mit dem PIN Brief.
Die Praxis-PIN
Hier handelt es sich ausdrücklich um eine weitere PIN, die von der oben genannten zu unterscheiden ist. Sie wird im Auslieferungszustand als Null-PIN auf der eGK erzeugt. Der Versicherte selbst soll sich nun eine eigene PIN ausdenken und diese, z.B. in Anwesenheit des Arztes, auf die Karte schreiben lassen.Diese PIN ist also der geschützten Infrastruktur vorbehalten und dient zur Freischaltung von freiwilligen Modulen der kommenden Infrastruktur. Nur wenn beide Karten, die Gesundheitskarte und der Heilberufeausweis des Arztes (bzw. dessen Signaturkarte) im Leser stecken und beide PINS, die des Arztes und die selbst gewählte PIN des Versichten eingegeben worden sind, sind die Daten gespeichert. Zu denken wäre hier beispielhaft an die kommende elektronische Organspenderklärung oder der Notfalldatensatz.
Die Signatur PIN
Grundsätzlich ist auf der Gesundheitskarte noch eine dritte PIN technisch vorgesehen bzw. einrichtbar, eine Signatur PIN. Damit wäre dann ähnlich wie mit dem elektronischen Personalausweis eine Signatur möglich. Meines Wissens nach ist dieses technisch denkbare Angebot an den Versicherten jedoch nicht weiter verfolgt worden, so dass diese dritte PIN absehbar keine Bedeutung haben wird.
Man kann leicht erkennen, dass diese PINs überwiegend zukünftig Verwendung finden.
Wie die WAZ berichtete, ist nun offenbar bei einigen Kassen auf einer Anzahl von Karten fälschlicherweise die Privat PIN als Nullstellen PIN ausgeliefert worden. Dies war der Praxis PIN vorbehalten. Da diese PIN aber in der Arztpraxis nicht zum Einsatz kommt, etwa bei einer zukünftigen freiwilligen Anwendung, ist das Risiko für den betroffenen Versicherten klein zumal die betroffenen Karten ausgetauscht werden.
Das theoretische Risiko besteht darin, dass jemand die frisch ausgelieferte fehlerhafte Gesundheitskarte abfängt mit der nun fälschlichen Null-PIN als Privat-PIN, sich eine PIN erzeugt und sich damit am Rechner gegenüber dem Kassenportal fälschlicherweise als die Person ausweist, für die die Karte eigentlich gedacht war und dort auf Daten zugreift.
Bei der Praxis-PIN wird die Null-PIN toleriert, weil die PIN dort in der Praxis vor dem Arzt benutzt würde, der sich mit dem Passfoto auf der Karte durch Augenschein von der Identität des Versicherten überzeugen muss. Die Privat-PIN jedoch ist dazu gedacht, zu Hause am Computer gegenüber dem Kassenportal benutzt zu werden.
Da im Augenblick aber noch keine Anwendungen für diese PINS existieren, scheint das Risiko mehr theoretischer Natur zu sein.