Tirade: Registrierung zur elektronischen Patientenakte bei der AOK
Endlich wollte ich mir mal die elektronische Patientenakte zu Gemüte führen. Immerhin hat man als Patient ja - vlt. - auch was davon. Also die App der AOK runtergeladen, gestartet, meine Daten eingetragen und ich werde aufgefordert, die Versicherungskarte per NFC zur Authentifizierung zu nutzen. Ja toll, das ist doch mal richtig gut. Ein vernünftiges Authentifizierungsverfahren! Aber halt ... ich brauche eine PIN. Die AOK hat mir nie, für keine meiner Versicherungskarten, je eine PIN gegeben.
Also die Website geprüft, wie ich an die PIN komme. Hey, es gibt einen Online-Prozess, über den man die PIN anfordern kann. Dafür braucht man wohl den elektronischen Personalausweis (der übrigens auch "ePA" abgekürzt wird?! Was'n das für 'ne Scheiße?!), was plausibel klingt, wenn man einen Identitätsnachweis erbringen soll. Endlich mal kein Video-Ident-Mist!
Also wieder alle Daten eingegeben und dann ... bekomme ich eine Transkationsnummer für ... "My WebID"?! Das geht nicht über die offizielle, quelloffene und auditierte AusweisApp2? Hmm. Na gut. Lad ich mir halt "My WebID" runter. 215 MB?! Für eine Scheiß Authentifizierung?! Haben die die gerippte Herr der Ringe Trilogie zum Zeitüberbrücken drin, oder wozu braucht das Teil 215 MB?!
Ein viel zu großer Download später und ich kann die Transaktionsnummer eingeben. Und danach die PIN zu meinem Perso. In eine Drittanbieter App fragwürdiger Herkunft?! Na was soll's, ich bin zu weit, um hier jetzt aufzugeben. Also eingegeben, Perso rangehalten und TADA, meine Identität wurde bestätigt. Ohne Hinweis darauf, welche Daten eigentlich ausgelesen wurden, wie man das von der AusweisApp2 kennt? Na toll. Die könnten also auch noch sonst was ausgelesen haben. Naja, vertrauen wir mal der DSGVO.
So, dann kann ich jetzt ja sicher endlich die ePA nutzen. Oder....? ODER?!
Die Bestätigungsmail ist jedenfalls da ... und teilt mir mit, dass die PIN in den nächsten Tagen per Post zugestellt wird. PER POST! (╯°□°)╯︵ ┻━┻
So sieht dann also Digitalisierung aus. Man verkompliziert den Prozess und kombiniert soviele Dienstleister und Medien wie nur irgend möglich. Gut gemacht! Danke! ... für nichts.
Da freu ich mich ja schon drauf, welch Wunder mich erwarten, wenn ich dann endlich Zugang zur ePA habe. Ich ahne schlimmes ...
Hey, das sind nur die Banken. Das Finanzamt dagegen ist was die Digitalisierung angeht relativ weit verglichen mit dem Rest unserer Regierungsdienstleistungen.
Ich will echt mal wissen, was zum Geier Governicus verkackt (hat), dass die nicht einfach der Anlaufpunkt Nummer 1 sind. Authentifizierung via ePA sollte praktisch ein Nobrainer sein. Schnittstelle anbinden bzw SDK einbinden und ab geht's.
Vermutlich aber haben die den Prozess dafür so verbürokratisiert, dass nun weitere Dienstleister wie WebID nötig sind, um eine Anbindung wirtschaftlich sinnvoll zu ermöglichen.
Echt schade, dass der ePA (auch wieder) Opfer halbdurchdachter Digitalisierung wurde/wird.
Authentifizierung wird eigentlich immer an Dienstleister wie WebID oder NECT ausgelagert. Das finde ich grundsätzlich auch nicht schlimm, weil die das im Zweifelsfall besser machen als wenn jedes einzelne Unternehmen das selbermachen muss. Und beim ePA kann ja nun nicht sonstwas ausgelesen werden, weil da nicht viel drauf ist. Grundsätzlich nur Sachen, die deiner Krankenkasse ohnehin bekannt sind. Und dem Authentifizierungsdienstleister muss dass dann zwangsläufig auch bekannt sein. Über Digitalisierung gibt es viel zu schimpfen, aber deine Argumente finde ich etwas übertrieben.
Bei der TK ist es übrigens auch so, dass man die PIN zur Karte per Post bekommt. Sollte mich nicht wundern, wenn die dazu verpflichtet sind.
Schland in a Nutshell... Bei mir ist schon bei AusweisApp 2 schluß - das klingt schon wie ein windiges startup-VC-gefrickel... Aber immerhin funktioniert diese gut, habe damit ein Konto eröffnet und war erstaunt, wie relativ einfach und schnell die Identifizierung ging...
Edit: Noch schöner finde ich, dass mir die Kasse ne Mail schickt, dass in der App eine neue Nachricht im Posteingang auf mich wartet. Basics...
Hab letztens ein Anliegen als PDF digital eingereicht. Antwort kam per Post. Hab den Widerspruch also auch per Post geschickt. Antwort kam digital. 🤷♂️
Ja nee, ich bekomme eine eMail, weil eine neue Nachricht in der App liegt, anstatt aus der App ne Push-Mitteilung ans Gerät zu schicken oder eben ne lütte badge mit ner 1 an die app zu pappen, damit man mal wieder reinguckt... Das meinte ich mit basics.
Dies. Wunder mich, wie man feiwillig die elektronische Patientenakte beantragen kann mit dem Wissen, dass der Schutz der Daten erst irgendwannn nachgereicht wird. Weil man damit noch nicht fertig ist, es aber als nicht so wichtig ansieht.
Finde ich sehr interessant, danke dass du den Spießrutenlauf mal durchgemacht und geteilt hast. Jetzt empfehle ich dir ein gut eingeschenktes Glas mit deiner Lieblingsspirituose.
Vielleicht interessiert hier folgendes Video zum Thema: https://media.ccc.de/v/gpn21-167-digitalisierung-in-der-medizin-elektronische-patientenakte-epa-quo-vadis-
Es gibt noch viele weitere Videos über die ePA und ich muss sagen, dass die überhaupt nicht interessant aussieht. Aber vielleicht kann mich jemand eines besseren belehren. Eigentlich sehe ich da viel Potenzial drin, aber anscheinend interessieren sich die Stakeholder nur für das Geld, das hinter den lukrativen Daten steckt. Wer hätte es gedacht…
Naja vor allem wird halt offenbar wiedermal hoffnunglos overengineered mit Anforderungskatalogen von Leuten, die zwar die analogen Prozesse kennen, aber wenig bis keinen Schimmer von IT haben.
Gesundheitsdaten ordentlich speichern und übertragen ist natürlich nichts, das man leichtfertig tun sollte. Aber für sichere Übertragung und Schlüsselaustausch gibt es etablierte Verfahren. Wenn man natürlich die eierlegende Wollmilchsau will, dann landet man eben schnell da, wo etablierte Verfahren einem im Weg sind und schon muss man das Rad neu erfinden bzw. zig Schichten an Workarounds außen rum zimmern.
Mit einer ordentlichen Priorisierung wäre Datensicherheit und -hoheit ganz oben und Anwendungsfälle für Datenanalysen auf Rohdaten fallen halt einfach weg. So hat man aber offenbar nicht priorisiert.