Robert.BrainUsers.net

Zintegrowany System Pacjenta (ZIP) - pierwsze wrażenia

Miło patrzeć jak postępuje informatyzacja kraju i można by pomyśleć, że za kilka lat wszystkie sprawy urzędowe załatwimy nie wychodząc z domu. Ostatnio wdrożony przez NFZ został pierwszy etap Zintegrowanego Systemu Pacjenta, który pozwala na przeglądanie historii świadczeń, wyboru lekarzy rodzinnych a wkrótce także na zarządzanie swoim ubezpieczeniem. Jest jednak kilka niedociągnięć, które utrudniają korzystanie z tej nowości.

Uwaga: artykuł jest lekko cyniczny.

Rejestracja

Aby zarejestrować się w systemie musimy wejść na stronę WWW systemu ZIP, podać swoje wrażliwe dane osobowe, wydrukować potwierdzenie na własnej drukarce i udać się do któregoś z oddziałów NFZ z dowodem osobistym, aby zweryfikować wprowadzone informacje z dokumentem tożsamości. W rezultacie otrzymamy login i jednorazowe hasło. Procedura nie jest dość skomplikowana, ale wymaga posiada drukarki oraz wizyty w siedzibie NFZ, która znajduje się tylko w większych miastach. A przecież system mógłby dystrybuować login przez maila, a hasło wysyłać tradycyjną pocztą na podany adres. Niestety, pracownik NFZ musi potwierdzić zgodność wprowadzonych danych z naszym dowodem osobistym.

A jak starsze osoby mają poradzić sobie z komputerem i drukarką? Wystarczy, że... złożą wizytę w NFZ. Pracownik sam wprowadzi dane do systemu. Chociaż bardzo mnie dziwi, dlaczego trzeba te dane wprowadzać, skoro Narodowy Fundusz Zdrowa na pewno je już przechowuje.

A co z ePUAP?

Największą wtopą nowego systemu jest całkowita autonomia od istniejącej już przecież elektronicznej Platformy Usług Administracji Publicznej (ePUAP). Docelowo wszystkie urzędy miast, gmin, wszystkie ZUS-y będą korzystać z ePUAP. Ale NFZ wymyślił sobie własny system i wydał na niego nasze pieniążki (no bo przecież nie swoje). A wystarczyło by, że osoby mające konto w ePUAP mogą się nim logować do ZIP, bez cyrku z drukarkami i wizytą w siedzibie Narodowego Funduszu Zachcianek (informatycznych).

Pierwsze logowanie

No dobrze, postałem w kolejce w siedzibie, otrzymałem dane dostępowe. Idę do domu, loguję się do ZIP i od razu jest prośba o zmianę hasła na własne. Wpisuję swoje dość skomplikowane hasło, ale system nie zgadza się ze mną i wyświetla komunikat:

Nowe hasło –
a. Hasło musi zawierać WIELKIE LITERY należące do zestawu znaków: QWERTYUIOPASDFGHJKLZXCVBNMŻŹĆŃĄŚŁĘÓ
b. Hasło musi zawierać znaki specjalne z zakresu: !@-_#$&*
c. Hasło może zawierać małe litery należące do zestawu znaków: qwertyuiopasdfghjklzxcvbnmżźćńąśłęó
d. Hasło może zawierać cyfry należące do zestawu znaków: 0123456789

No cóż, już widzę swoją 70-letnią babcię, która wymyśla hasło z podanego zestawu znaków. Co ciekawe, nie ze wszystkich znaków specjalnych można skorzystać - nie użyjemy kropki ani przecinka.

System prosi o podanie maila, aby była możliwa zmiana hasła bez wizyty w siedzibie. Chcę uniknąć wychodzenia z mojej wilgotnej piwnicy i tłuczenia się przez zakorkowane miasto w godzinach od 8:00 do 16:00, więc podaję swojego maila. W rezultacie przychodzi kod weryfikacyjny, który muszę przekleić z treści maila. Oczywiście fakt, że jestem zalogowany i znam kod weryfikacyjny nie sprawia, że jestem wiarygodny. Dlatego system wyświetla monit z prośbą o wpisanie mojego super skomplikowanego hasła (zawierającego wszystkie znaki świata), ponieważ operacja wymaga uwierzytelnienia.

Jeśli już przejdziemy przez te wszystkie dziwactwa pedantycznego admina (swoją drogą ciekaw jestem, czy trzeba będzie zmieniać hasło co miesiąc), to system poprosi o ustawienie dwóch pytań pomocniczych. Mając dostęp do konta email i znając odpowiedzi na pytania, dowolna osoba będzie mogła zmienić moje hasło w ZIP. No i na co te wszystkie skomplikowane procedury? Czy nie lepiej uwierzytelniać się za pomocą SMS lub wpisania ostatniej kwoty ubezpieczenia z RMUA?

Wreszcie zalogowany

System nie jest zbyt piękny wizualnie, ale nie o to w nim chodzi. Można przeglądać różne raporty i tabelki - na szczęście nie znalazłem tam raportu o amputacji nogi, albo chemioterapii, jak w przypadku innych (zdziwionych) użytkowników.

ZIP spełnia swoje założenia, ale posiada zbyt wysoki próg wejścia dla zwykłego zjadacza chleba. W dzisiejszych czasach procedury się upraszcza, zamiast komplikować. Rozumiem, że musi istnieć równowaga pomiędzy prostotą a bezpieczeństwem. Ale nie oszukujmy się, skomplikowane hasło ze znakami specjalnymi pan Kowalski zapisze sobie na karteczce i położy obok klawiatury, albo wsadzi do portfela. Tutaj potrzeba innego rozwiązania, takiego które jest zarówno bezpieczne jak i proste w użytkowaniu.

Komentarze

TYMINSKI
z powyzszym komentarzem sie zgadzam tez mam epuap i profilem zaufanym bym potwierdzil dane ZIP bez udawania sie do nfz .tworcy o takiej mozliwosci zapomnieli to swiadczy iz maja ograniczenia w .... pozdrawiam
Symonides
Cytat od debili:

"Rozwiązanie ePUAP dedykowane jest do obsługi spraw administracyjnych (np. wnoszenie podań, odwołań, skarg) związanych z przetwarzaniem danych osobowych, jednak nie obejmuje to na razie danych zdefiniowanych ustawowo jako dane wrażliwe. Zgodnie z rozporządzeniem Ministra Zdrowia z dnia 20 grudnia 2012 r. w sprawie sposobu, trybu i terminów występowania do Narodowego Funduszu Zdrowia oraz udostępniania przez Narodowy Fundusz Zdrowia świadczeniobiorcy informacji o prawie do świadczeń opieki zdrowotnej oraz o udzielonych mu świadczeniach, nie przewiduje się w tej chwili zastosowania profilu zaufanego ePUAP do uzyskania dostępu do danych wrażliwych, jakimi dysponuje NFZ."

Dodaj komentarz