Technische Identität, eng begrenzte Daten, kontrolliertes Vertrauen.
Die Architektur verbindet stabile Referenzen mit klaren Schutzgrenzen. Der öffentliche Überblick zeigt Prinzipien und Reifegrad, keine internen Betriebsdetails.
Verifikation
Jeder Zugriff beginnt vor der Datenabfrage.
Purpose, Rechtsgrundlage, Rolle und Rechte sollen geprüft werden, bevor eine Identität
verifiziert oder eine minimale Datensicht ausgegeben wird. Der Ablauf endet mit einem
datensparsamen Nachweis des Vorgangs.
Konzeptioneller Ablauf. Die Darstellung ist bewusst abstrakt und bildet weder interne
Endpunkte noch eine konkrete Netz- oder Deployment-Topologie ab.
Bausteine
Die Architektur in acht ruhigen Schritten.
01
Identität
Eine stabile technische Referenz
Die GPID ist als dauerhafte technische Identität vorgesehen. Sie soll administrative Datensätze zuverlässig referenzieren, ohne selbst fachliche oder medizinische Inhalte zu tragen.
02
Erfassung
Verifizieren, ohne Rohbilder aufzubewahren
Das Zielbild sieht ein einmaliges biometrisches Enrollment mit Liveness Detection vor. Biometrische Rohbilder werden nach dem Architekturprinzip nicht gespeichert; verarbeitet werden ausschliesslich nicht umkehrbare Templates.
03
Schutzschicht
Schlüssel und Templates getrennt schützen
HSM- beziehungsweise KMS-gestützter Schutz ist als Architekturvorgabe definiert. Die konkrete produktive Ausprägung und Zertifizierung ist nicht Gegenstand dieser öffentlichen Darstellung.
04
Gerätevertrauen
Vertrauen beginnt am zugreifenden Gerät
Geräte-Attestierung und mTLS sind als technische Vorgaben vorgesehen. Kurzlebige Verifikationstokens sollen Berechtigungen zeitlich und sachlich begrenzen.
05
Suche
Fehlertolerant, aber nicht beliebig
Normalisierte Eingaben und sichere Suchindizes sollen Tipp- und Schreibvarianten auffangen. Ergebnisse bleiben auf das für den jeweiligen Vorgang erforderliche Minimum beschränkt.
06
Datenhaltung
Personenbezogene Daten bleiben off-chain
Personenbezogene Daten, Hashes solcher Daten und medizinische Inhalte gehören weder auf eine Blockchain noch auf ein Distributed Ledger. Sie bleiben in geschützten Off-Chain-Stores.
07
Berechtigung
Purpose und Rechtsgrundlage vor dem Zugriff
Vor sensiblen Vorgängen sollen Zweck, Rechtsgrundlage, Rolle und Rechte geprüft werden. Der resultierende Audit-Trail soll Abläufe nachvollziehbar machen, ohne Roh-PII zu protokollieren.
08
Datenqualität
Dubletten kontrolliert behandeln
Versicherungsstatus und VEKA-Daten benötigen laufende Qualitätskontrollen. Mögliche Dubletten sollen einem geregelten Prüf- und Merge-Prozess folgen, nicht einer automatischen Zusammenführung.
Schutzgrenze
Personenbezogene Angaben bleiben off-chain.
Eine allfällige dezentrale Vertrauensschicht darf weder personenbezogene Daten noch Hashes
davon oder medizinische Inhalte enthalten. Personenbezogene Angaben verbleiben in
geschützten Off-Chain-Stores.
Fachliche Schutzgrenze des Zielbilds. Sie beschreibt keine produktive
Infrastrukturkonfiguration.