Datenschutz und Datensicherheit
Patentierte Sicherheit - Made in Germany
Bei Registrierung wird automatisch ein Privatschlüssel generiert, ein sogenannter „private key“, der an E-Mailadresse und Passwort des Versicherten gekoppelt ist. Zum Entschlüsseln sind somit die Login-Daten unbedingt erforderlich. Diese kennt nur der Versicherte selbst. So können Informationen auch auf Anfrage von Behörden nicht im Klartext herausgegeben werden.
Um alle Funktionen von MEINE GESUNDHEIT nutzen zu können, ist der Nachweis der persönlichen Identität, die sogenannte Legitimation erforderlich. Dieser Nachweis erfolgt über ein gültiges Ausweisdokument und schützt den Versicherten vor Missbrauch und Betrug.
Um alle Funktionen von MEINE GESUNDHEIT nutzen zu können, ist der Nachweis der persönlichen Identität, die sogenannte Legitimation erforderlich. Dieser Nachweis erfolgt über ein gültiges Ausweisdokument und schützt den Versicherten vor Missbrauch und Betrug.
Um alle Funktionen von MEINE GESUNDHEIT nutzen zu können, ist der Nachweis der persönlichen Identität, die sogenannte Legitimation erforderlich. Dieser Nachweis erfolgt über ein gültiges Ausweisdokument und schützt den Versicherten vor Missbrauch und Betrug.
Bei Registrierung wird automatisch ein Privatschlüssel generiert, ein sogenannter „private key“, der an E-Mailadresse und Passwort des Versicherten gekoppelt ist. Zum Entschlüsseln sind somit die Login-Daten unbedingt erforderlich. Diese kennt nur der Versicherte selbst. So können Informationen auch auf Anfrage von Behörden nicht im Klartext herausgegeben werden.
Im Zuge der Registrierung wählt der Versicherte das für ihn passende TAN-Verfahren aus und richtet einen „zweiten Faktor“ ein. Hierfür legt er ein vertrauenswürdiges Gerät fest, beispielsweise ein Smartphone, Tablet oder PC, auf dem bei Bedarf ein zeitbeschränkter Bestätigungscode erstellt wird. Der Bestätigungscode wird zusätzlich zu E-Mailadresse und Passwort bei jedem Login benötigt und erhöht somit die Sicherheitsstufe.
Bei der Super-PIN handelt es sich um eine kryptographische Nummer, die vom Versicherten selbst per Klick nach dem Zufallsprinzip generiert wird. Ist ein Login aufgrund eines Passwortverlustes oder Wechsel des TAN-Verfahrens nicht möglich, kann nur der Versicherte selbst seinen Account entsperren. Hierzu benötigt er eine Super-PIN. Diese erstellt und verwaltet er selbst. Ein Zurücksetzen des Passwortes ist ausschließlich dem Besitzer der Super-PIN vorbehalten.
Bei der Ende-zu-Ende-Verschlüsselung übernehmen ausschließlich die beiden Kommunikationspartner, also Sender und Empfänger, das Ver- und Entschlüsseln der Informationen. Die Verschlüsselung in MEINE GESUNDHEIT erfolgt hierbei asymmetrisch. Das bedeutet, dass die Daten nicht nur durch einen einzigen Schlüssel geschützt werden, sondern durch ein zusammengehöriges Schlüsselpaar. Dieses besteht aus einem öffentlichen Schlüssel („public key“) zum Verschlüsseln und einem dazu passenden geheimen Schlüssel („private key“) zum Entschlüsseln. Nur der Besitzer des entsprechenden geheimen Schlüssels ist in der Lage, die Daten zu entschlüsseln. Ohne Login und während des kompletten Übertragungsweges liegen die Daten verschlüsselt vor.
Durch die patentierte „Public Key Infrastructure“ (PKI) kann auf Daten in MEINE GESUNDHEIT nur zugegriffen werden, wenn ein entsprechendes Zertifikat die Zugriffsberechtigung bescheinigt. Diese Zertifikate können nicht gefälscht werden. Falls also ein Datenstrom abgefangen wird – beispielsweise, weil auf dem Gerät des Benutzers Schadsoftware installiert ist – kann der Datendieb die Informationen nicht auslesen.
Sämtliche Daten werden ausschließlich in deutschen Rechenzenten gespeichert. Diese sind anhand der internationalen Norm ISO 27001 zertifiziert und erfüllen damit höchste Ansprüche an die Informationssicherheit. Die Speicherung der Daten erfolgt redundant – das bedeutet, dass sie gleichzeitig auf mehreren Servern abgelegt werden. Fällt also ein Server aus, sind die Daten nicht verloren.
Die Landesdatenschutzbehörde Rheinland-Pfalz hat das Datenschutzkonzept von MEINE GESUNDHEIT überprüft und als datenschutzkonform bewertet. Der TÜV Saarland hat die Sicherheit der Daten zertifiziert. Zudem wird die Sicherheit mehrmals im Jahr durch sogenannte Pentests (Penetrationstests) überprüft. IT-Experten ahmen hierbei gezielt Angriffe von Hackern nach, um sicherzugehen, dass keine Sicherheitslücken oder Schwachstellen bestehen.
Grundsätzlich hat nur der Versicherte selbst Vollzugriff auf alle Informationen und die der mitversicherten Personen. Nur er kann diese ändern, freigeben oder löschen. Das nutzerzentrierte Berechtigungskonzept von MEINE GESUNDHEIT stellt sicher, dass angebundene Health Professionals, Versicherungen, Beihilfestellen, Abrechnungsdienstleister und andere Gesundheitsdienstleister immer nur auf jene Informationen zugreifen können, die der Versicherte aktiv für die bestimmten Adressaten freigibt.