Datenfluss beim Einsatz des gematik Authenticators

Zweck und Funktionsweise des Authenticators

Der gematik Authenticator ist eine Softwarelösung, die zur sicheren Authentifizierung von Nutzern mittels HBA oder SMC-B an verschiedenen medizinischen oder gesundheitsbezogenen Web-Anwendungen dient.

Funktionsweise und technischer Ablauf

  • Authentifizierungsprozess: Wenn ein Nutzer sich in einer Anwendung, die den gematik Authenticator verwendet, im Browser anmeldet, startet der Authenticator den Authentifizierungsprozess. Dieser Prozess beinhaltet die Überprüfung der Identität des Nutzers, durch die Verwendung eines HBA's oder der SMC-B und der dazugehörigen persönlichen Identifikationsnummer (PIN).
  • Übermittlung an Identity Provider (IdP-Dienst): Für die Authentifizierung kommuniziert der Authenticator mit dem Identity Provider (IDP-Dienst von RISE - Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH). Der Authenticator liest dabei das Software-Zertifikat von der SMC-B oder HBA aus und übersendet dieses verschlüsselt und transportgesichert an den IDP-Dienst zur Überprüfung. Nach erfolgreicher Überprüfung der Daten wird ein Authorizationcode zur Weitergabe an den Authenticator zurückgegeben und anschließend zur weiteren Verarbeitung an die Anwendung weitergeleitet.
  • Übermittlung von Identity Provider (IdP-Dienst) an Anwendung: Mit dem korrekten Authorizationcode kann die Anwendung einen Token mit ggf. personenbezogenen Daten zur Weiterverarbeitung vom IDP-Dienst beziehen. Hierbei ist der Authenticator nicht involviert.
  • Datensicherheit: Während dieses Prozesses werden die Daten verschlüsselt übertragen, um die Sicherheit und Vertraulichkeit der Nutzerinformationen zu gewährleisten.

Zweck der Datenverarbeitung

  • Zugriffssicherung: Die Verarbeitung dieser Daten dient dazu, den sicheren Zugriff auf Anwendungen und Dienste zu gewährleisten, die sensible Gesundheitsinformationen verarbeiten oder speichern.
  • Identitätsüberprüfung: Die Daten werden verwendet, um die Identität des Nutzers zu überprüfen und unbefugten Zugriff zu verhindern.

Empfänger der Daten

  • Identity Provider (IdP): Dienste zur Prüfung und Bestätigung der Identität verantwortlich.
  • Anwendungen/Dienste: Gesundheitsbezogene Anwendungen, die den Authenticator für die Nutzerauthentifizierung verwenden.

Weitere detaillierte Informationen zum Ablauf

Verantwortlicher für die Datenverarbeitung

Der Hersteller der Software "gematik Authenticator" (gematik) ist nicht Verantwortlicher für die Verarbeitung personenbezogener Daten mittels des Authenticators bzw. im Zusammenhang mit seiner Verwendung und ist auch nicht an den entsprechenden Verarbeitungsvorgängen beteiligt. Die gematik erhebt, übermittelt, erhält, speichert, verwendet oder verändert keinerlei personenbezogene Daten der Nutzer des Authenticators oder weiterer in diesem Zusammenhang betroffener Personen oder führt insofern sonstige Verarbeitungstätigkeiten aus oder veranlasst diese und entscheidet auch nicht über Mittel und Zwecke etwaiger Datenverarbeitungen bei Verwendung des Authenticators. Die konkreten Verantwortlichen ergeben sich aus dem spezifischen Nutzungskontext im jeweiligen Einzelfall. 

  • No labels

© gematik GmbH 2024