Technologie

Technische Identität, eng begrenzte Daten, kontrolliertes Vertrauen.

Die Architektur verbindet stabile Referenzen mit klaren Schutzgrenzen. Der öffentliche Überblick zeigt Prinzipien und Reifegrad, keine internen Betriebsdetails.

Jeder Zugriff beginnt vor der Datenabfrage.

Purpose, Rechtsgrundlage, Rolle und Rechte sollen geprüft werden, bevor eine Identität verifiziert oder eine minimale Datensicht ausgegeben wird. Der Ablauf endet mit einem datensparsamen Nachweis des Vorgangs.

Konzeptioneller Ablauf einer Healthnode-Verifikation Vier aufeinanderfolgende Schritte: Zweck und Berechtigung prüfen, Identität verifizieren, minimales Ergebnis ausgeben und Vorgang ohne Roh-Personendaten auditieren. 01 · ZUGRIFF Purpose, Rolle und Rechtsgrundlage 02 · IDENTITÄT Verifikation gegen stabile GPID 03 · ERGEBNIS Nur erforderliche Angaben anzeigen 04 · NACHWEIS Audit ohne Klartext-PII Konzeptdarstellung, kein Betriebs- oder Netzplan
Konzeptioneller Ablauf. Die Darstellung ist bewusst abstrakt und bildet weder interne Endpunkte noch eine konkrete Netz- oder Deployment-Topologie ab.

Die Architektur in acht ruhigen Schritten.

  • 01

    Identität

    Eine stabile technische Referenz

    Die GPID ist als dauerhafte technische Identität vorgesehen. Sie soll administrative Datensätze zuverlässig referenzieren, ohne selbst fachliche oder medizinische Inhalte zu tragen.

  • 02

    Erfassung

    Verifizieren, ohne Rohbilder aufzubewahren

    Das Zielbild sieht ein einmaliges biometrisches Enrollment mit Liveness Detection vor. Biometrische Rohbilder werden nach dem Architekturprinzip nicht gespeichert; verarbeitet werden ausschliesslich nicht umkehrbare Templates.

  • 03

    Schutzschicht

    Schlüssel und Templates getrennt schützen

    HSM- beziehungsweise KMS-gestützter Schutz ist als Architekturvorgabe definiert. Die konkrete produktive Ausprägung und Zertifizierung ist nicht Gegenstand dieser öffentlichen Darstellung.

  • 04

    Gerätevertrauen

    Vertrauen beginnt am zugreifenden Gerät

    Geräte-Attestierung und mTLS sind als technische Vorgaben vorgesehen. Kurzlebige Verifikationstokens sollen Berechtigungen zeitlich und sachlich begrenzen.

  • 05

    Suche

    Fehlertolerant, aber nicht beliebig

    Normalisierte Eingaben und sichere Suchindizes sollen Tipp- und Schreibvarianten auffangen. Ergebnisse bleiben auf das für den jeweiligen Vorgang erforderliche Minimum beschränkt.

  • 06

    Datenhaltung

    Personenbezogene Daten bleiben off-chain

    Personenbezogene Daten, Hashes solcher Daten und medizinische Inhalte gehören weder auf eine Blockchain noch auf ein Distributed Ledger. Sie bleiben in geschützten Off-Chain-Stores.

  • 07

    Berechtigung

    Purpose und Rechtsgrundlage vor dem Zugriff

    Vor sensiblen Vorgängen sollen Zweck, Rechtsgrundlage, Rolle und Rechte geprüft werden. Der resultierende Audit-Trail soll Abläufe nachvollziehbar machen, ohne Roh-PII zu protokollieren.

  • 08

    Datenqualität

    Dubletten kontrolliert behandeln

    Versicherungsstatus und VEKA-Daten benötigen laufende Qualitätskontrollen. Mögliche Dubletten sollen einem geregelten Prüf- und Merge-Prozess folgen, nicht einer automatischen Zusammenführung.

Personenbezogene Angaben bleiben off-chain.

Eine allfällige dezentrale Vertrauensschicht darf weder personenbezogene Daten noch Hashes davon oder medizinische Inhalte enthalten. Personenbezogene Angaben verbleiben in geschützten Off-Chain-Stores.

Datenabgrenzung im Healthnode-Zielbild Administrative Minimaldaten verbleiben in geschützten Off-Chain-Stores. Eine mögliche Vertrauensschicht enthält weder personenbezogene Daten noch Hashes davon. GESCHÜTZTER OFF-CHAIN-STORE Administrativer Minimaldatensatz Schema-validiert · zweckgebunden · rollenbasiert Sichere Suchindizes · kontrollierte Datenqualität Keine medizinischen Inhalte Personenbezogene Angaben bleiben in dieser Schutzgrenze. VERTRAUENSSCHICHT Keine PII Keine PII-Hashes Keine medizinischen Inhalte Architekturprinzip
Fachliche Schutzgrenze des Zielbilds. Sie beschreibt keine produktive Infrastrukturkonfiguration.