Webhook-Datenschutz und Payload-Kontrolle

Signierte Events mit konfigurierbarem Kundenkontext

Webhook-Payloads sind strukturierte Event-Nachrichten. Je nach Konfiguration können sie Kunden-, Standort-, Kontakt-, Target-, Termin-, Besuchsbericht- oder Billing-Trigger-Kontext enthalten.

Was Webhooks enthalten können

Ausgehende Events können je nach Eventtyp und Payload-Optionen nur den operativen Kontext enthalten, den das empfangende System benötigt.

eventId eventType occurredAt Kundenkontext Standortkontext Kontaktkontext Target Termin Besuchsbericht Billing-Trigger-Event Zustellmetadaten

Was Webhooks nicht enthalten sollten

Ordinavo Webhook-Payloads sollten keine breiten Datenexporte und kein Ort für Secrets werden.

API-Keys Webhook-Secrets interne Notizen vollständiger privater Freitext standardmäßig unnötige personenbezogene Daten Daten aus anderen Mandanten kundennummerähnliche Werte auf Target-Ebene

Webhook-Payload-Matrix

Ordinavo nutzt datenschutzbewusste Defaults. Kontaktdetails, Zusammenfassungsvorschauen und Billing-Details sollten nur enthalten sein, wenn das empfangende System sie benötigt.

Feld Default Konfigurierbar Hinweise
Kundenkontext Enthalten Ja Kann deaktiviert werden, wenn nicht benötigt.
Kontaktdetails Enthalten oder Opt-in Ja Nur operative Kontaktdaten.
Zusammenfassungsvorschau Aus Ja Gekürzt und datenschutzsensibel.
Billing-Details Aus Ja plus Feature Nur für Billing-Endpunkte.
Interne Notizen Nie Nein Wird nicht gesendet.
Secrets/API-Keys Nie Nein Wird nicht gesendet.
Target-seitige Kundennummer Nie Nein CustomerNumber kommt vom Customer.

Signatur- und Zustellverhalten

HMAC-Signaturen

Webhook-Zustellungen werden mit HMAC signiert. Empfangende Systeme sollten Signaturen prüfen, bevor Events verarbeitet werden.

At-least-once-Zustellung

Retries können verzögerte oder doppelte Zustellungen verursachen. Empfangende Systeme sollten per eventId deduplizieren.

Umgang mit Reihenfolgeabweichungen

Retries und Netzwerkverhalten können dazu führen, dass Events später oder in anderer Reihenfolge eintreffen.

Empfänger-Verantwortung

Nach Zustellung ist das empfangende System dafür verantwortlich, den erhaltenen Payload gemäß eigenen Richtlinien und rechtlichen Pflichten zu schützen, zu speichern und zu löschen.

Typische Zustell-Header

X-Ordinavo-Event-Id: evt_01JZ8Y4EXAMPLE
X-Ordinavo-Event-Type: visit_report.approved
X-Ordinavo-Timestamp: 2026-06-18T16:40:00Z
X-Ordinavo-Signature: sha256=...

CustomerContext in Webhooks

CustomerContext hilft externen Systemen, Ordinavo-Events wieder mit eigenen Kunden-, Standort- und Kontaktstammdaten zu verbinden. External IDs werden für das Quellsystem des Integrationsclients aufgelöst. Kundennummern werden aus dem Ordinavo-Kundendatensatz gelesen.

Interne Notizen und Secrets werden nie in Webhook-Payloads aufgenommen.

Billing-Trigger-Events sind keine Rechnungen

Ordinavo kann freigegebene, abrechnungsrelevante Besuchsberichte als Billing-Trigger-Events markieren. Diese Events informieren externe ERP-, Accounting- oder Billing-Systeme, dass ein abgeschlossener Besuch für nachgelagerte Abrechnung relevant sein kann.

Ordinavo erstellt in diesem Workflow keine Rechnungen. Rechnungserstellung, Preisbildung, Steuern und Buchhaltungsregeln bleiben Aufgabe des angebundenen Billing-Systems.

Webhook-Payloads bewusst gestalten

Wir können Eventtypen, Payload-Optionen, Signierung, Retry-Verhalten und Empfänger-Verantwortlichkeiten für Ihre Integration prüfen.