Endlich wollte ich mir mal die elektronische Patientenakte zu Gemüte führen. Immerhin hat man als Patient ja - vlt. - auch was davon. Also die App der AOK runtergeladen, gestartet, meine Daten eingetragen und ich werde aufgefordert, die Versicherungskarte per NFC zur Authentifizierung zu nutzen. Ja toll, das ist doch mal richtig gut. Ein vernünftiges Authentifizierungsverfahren! Aber halt … ich brauche eine PIN. Die AOK hat mir nie, für keine meiner Versicherungskarten, je eine PIN gegeben.
Also die Website geprüft, wie ich an die PIN komme. Hey, es gibt einen Online-Prozess, über den man die PIN anfordern kann. Dafür braucht man wohl den elektronischen Personalausweis (der übrigens auch “ePA” abgekürzt wird?! Was’n das für 'ne Scheiße?!), was plausibel klingt, wenn man einen Identitätsnachweis erbringen soll. Endlich mal kein Video-Ident-Mist!
Also wieder alle Daten eingegeben und dann … bekomme ich eine Transkationsnummer für … “My WebID”?! Das geht nicht über die offizielle, quelloffene und auditierte AusweisApp2? Hmm. Na gut. Lad ich mir halt “My WebID” runter. 215 MB?! Für eine Scheiß Authentifizierung?! Haben die die gerippte Herr der Ringe Trilogie zum Zeitüberbrücken drin, oder wozu braucht das Teil 215 MB?!
Ein viel zu großer Download später und ich kann die Transaktionsnummer eingeben. Und danach die PIN zu meinem Perso. In eine Drittanbieter App fragwürdiger Herkunft?! Na was soll’s, ich bin zu weit, um hier jetzt aufzugeben. Also eingegeben, Perso rangehalten und TADA, meine Identität wurde bestätigt. Ohne Hinweis darauf, welche Daten eigentlich ausgelesen wurden, wie man das von der AusweisApp2 kennt? Na toll. Die könnten also auch noch sonst was ausgelesen haben. Naja, vertrauen wir mal der DSGVO.
So, dann kann ich jetzt ja sicher endlich die ePA nutzen. Oder…? ODER?!
Die Bestätigungsmail ist jedenfalls da … und teilt mir mit, dass die PIN in den nächsten Tagen per Post zugestellt wird. PER POST! (╯°□°)╯︵ ┻━┻
So sieht dann also Digitalisierung aus. Man verkompliziert den Prozess und kombiniert soviele Dienstleister und Medien wie nur irgend möglich. Gut gemacht! Danke! … für nichts.
Da freu ich mich ja schon drauf, welch Wunder mich erwarten, wenn ich dann endlich Zugang zur ePA habe. Ich ahne schlimmes …
Naja vor allem wird halt offenbar wiedermal hoffnunglos overengineered mit Anforderungskatalogen von Leuten, die zwar die analogen Prozesse kennen, aber wenig bis keinen Schimmer von IT haben.
Gesundheitsdaten ordentlich speichern und übertragen ist natürlich nichts, das man leichtfertig tun sollte. Aber für sichere Übertragung und Schlüsselaustausch gibt es etablierte Verfahren. Wenn man natürlich die eierlegende Wollmilchsau will, dann landet man eben schnell da, wo etablierte Verfahren einem im Weg sind und schon muss man das Rad neu erfinden bzw. zig Schichten an Workarounds außen rum zimmern.
Mit einer ordentlichen Priorisierung wäre Datensicherheit und -hoheit ganz oben und Anwendungsfälle für Datenanalysen auf Rohdaten fallen halt einfach weg. So hat man aber offenbar nicht priorisiert.