Datenschutz und Datensicherheit

Patentierte Sicherheit - Made in Germany

Damit Gesundheitsdaten nicht in falsche Hände geraten, findet bei MEINE GESUNDHEIT ein patentiertes Datenschutzkonzept Anwendung. Die Vorkehrungen zum Schutz der Daten vor Missbrauch, Manipulation, Diebstahl und Zerstörung erfüllen höchste Ansprüche und gehen weit über die gesetzlichen Mindestanforderungen und die vielerorts gelebte Praxis hinaus.

Datenschutz auf höchstem Niveau

Absolute Hoheit des Versicherten

Bei Registrierung wird automatisch ein Privatschlüssel generiert, ein sogenannter „private key“, der an E-Mailadresse und Passwort des Versicherten gekoppelt ist. Zum Entschlüsseln sind somit die Login-Daten unbedingt erforderlich. Diese kennt nur der Versicherte selbst. So können Informationen auch auf Anfrage von Behörden nicht im Klartext herausgegeben werden.

Schutz der Identität gewährleistet

Um alle Funktionen von MEINE GESUNDHEIT nutzen zu können, ist der Nachweis der persönlichen Identität, die sogenannte Legitimation erforderlich. Dieser Nachweis erfolgt über ein gültiges Ausweisdokument und schützt den Versicherten vor Missbrauch und Betrug.

 

Absolute Hoheit des Versicherten

Bei Registrierung wird automatisch ein Privatschlüssel generiert, ein sogenannter „private key“, der an E-Mailadresse und Passwort des Versicherten gekoppelt ist. Zum Entschlüsseln sind somit die Login-Daten unbedingt erforderlich. Diese kennt nur der Versicherte selbst. So können Informationen auch auf Anfrage von Behörden nicht im Klartext herausgegeben werden.

 

Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit

Im Zuge der Registrierung wählt der Versicherte das für ihn passende TAN-Verfahren aus und richtet einen „zweiten Faktor“ ein. Hierfür legt er ein vertrauenswürdiges Gerät fest, beispielsweise ein Smartphone, Tablet oder PC, auf dem bei Bedarf ein zeitbeschränkter Bestätigungscode erstellt wird. Der Bestätigungscode wird zusätzlich zu E-Mailadresse und Passwort bei jedem Login benötigt und erhöht somit die Sicherheitsstufe.

 

Super-PIN schützt vor unbefugtem Zugriff

Bei der Super-PIN handelt es sich um eine kryptographische Nummer, die vom Versicherten selbst per Klick nach dem Zufallsprinzip generiert wird. Ist ein Login aufgrund eines Passwortverlustes oder Wechsel des TAN-Verfahrens nicht möglich, kann nur der Versicherte selbst seinen Account entsperren. Hierzu benötigt er eine Super-PIN. Diese erstellt und verwaltet er selbst. Ein Zurücksetzen des Passwortes ist ausschließlich dem Besitzer der Super-PIN vorbehalten.

 

Asymmetrische Ende-zu-Ende-Verschlüsselung

Bei der Ende-zu-Ende-Verschlüsselung übernehmen ausschließlich die beiden Kommunikationspartner, also Sender und Empfänger, das Ver- und Entschlüsseln der Informationen. Die Verschlüsselung in MEINE GESUNDHEIT erfolgt hierbei asymmetrisch. Das bedeutet, dass die Daten nicht nur durch einen einzigen Schlüssel geschützt werden, sondern durch ein zusammengehöriges Schlüsselpaar. Dieses besteht aus einem öffentlichen Schlüssel („public key“) zum Verschlüsseln und einem dazu passenden geheimen Schlüssel („private key“) zum Entschlüsseln. Nur der Besitzer des entsprechenden geheimen Schlüssels ist in der Lage, die Daten zu entschlüsseln. Ohne Login und während des kompletten Übertragungsweges liegen die Daten verschlüsselt vor.

 

Zertifikat bescheinigt Zugriffsberechtigung

Durch die patentierte „Public Key Infrastructure“ (PKI) kann auf Daten in MEINE GESUNDHEIT nur zugegriffen werden, wenn ein entsprechendes Zertifikat die Zugriffsberechtigung bescheinigt. Diese Zertifikate können nicht gefälscht werden. Falls also ein Datenstrom abgefangen wird – beispielsweise, weil auf dem Gerät des Benutzers Schadsoftware installiert ist – kann der Datendieb die Informationen nicht auslesen.

 

Datenspeicherung auf Deutschen Servern

Sämtliche Daten werden ausschließlich in deutschen Rechenzenten gespeichert. Diese sind anhand der internationalen Norm ISO 27001 zertifiziert und erfüllen damit höchste Ansprüche an die Informationssicherheit. Die Speicherung der Daten erfolgt redundant – das bedeutet, dass sie gleichzeitig auf mehreren Servern abgelegt werden. Fällt also ein Server aus, sind die Daten nicht verloren.

 

Regelmäßige Sicherheitstest

Die Landesdatenschutzbehörde Rheinland-Pfalz hat das Datenschutzkonzept von MEINE GESUNDHEIT überprüft und als datenschutzkonform bewertet. Der TÜV Saarland hat die Sicherheit der Daten zertifiziert. Zudem wird die Sicherheit mehrmals im Jahr durch sogenannte Pentests (Penetrationstests) überprüft. IT-Experten ahmen hierbei gezielt Angriffe von Hackern nach, um sicherzugehen, dass keine Sicherheitslücken oder Schwachstellen bestehen.

 

Nutzerzentriertes Berechtigungskonzept

Grundsätzlich hat nur der Versicherte selbst Vollzugriff auf alle Informationen und die der mitversicherten Personen. Nur er kann diese ändern, freigeben oder löschen. Das nutzerzentrierte Berechtigungskonzept von MEINE GESUNDHEIT stellt sicher, dass angebundene Health Professionals, Versicherungen, Beihilfestellen, Abrechnungsdienstleister und andere Gesundheitsdienstleister immer nur auf jene Informationen zugreifen können, die der Versicherte aktiv für die bestimmten Adressaten freigibt.