Sicherheit & Compliance
Zuletzt Aktualisiert: 18. Oktober 2025
Business Associate Agreement (BAA)
ClariMed bietet allen Gesundheitsorganisationen, die unsere Plattform nutzen, ein HIPAA-konformes Business Associate Agreement (BAA) an. Unser BAA stellt sicher, dass wir alle Anforderungen des Health Insurance Portability and Accountability Act (HIPAA) beim Umgang mit geschützten Gesundheitsinformationen (PHI) erfüllen.
So beantragen Sie ein BAA:
- Senden Sie uns eine E-Mail an contact@getclarimed.com
- Geben Sie Ihren Organisationsnamen und Kontaktinformationen an
- Wir senden Ihnen innerhalb von 2 Werktagen ein unterzeichnetes BAA
HIPAA-Konformität
ClariMed verpflichtet sich zur vollständigen HIPAA-Konformität und implementiert umfassende Schutzmaßnahmen zum Schutz von PHI:
Administrative Schutzmaßnahmen
- HIPAA-Schulung für alle Mitarbeiter
- Risikobewertungen und Audits
- Sicherheitsvorfallsverfahren
- Zugriffskontrollen und Authentifizierung
Technische Schutzmaßnahmen
- End-to-End-Verschlüsselung (TLS 1.3)
- Verschlüsselte Daten im Ruhezustand (AES-256)
- Multi-Faktor-Authentifizierung (MFA)
- Automatische Sitzungs-Timeouts
Physische Schutzmaßnahmen
- SOC 2 Type II zertifizierte Rechenzentren
- ISO 27001 zertifizierte Infrastruktur
- 24/7 physische Sicherheitsüberwachung
- Disaster-Recovery-Verfahren
Datenschutzmaßnahmen
- Prinzip des minimal notwendigen Zugriffs
- Audit-Protokollierung aller PHI-Zugriffe
- De-Identifikationsverfahren
- Datenaufbewahrungsrichtlinien
Datensicherheitsmaßnahmen
Wir implementieren branchenführende Sicherheitspraktiken zum Schutz Ihrer Daten:
Infrastruktursicherheit
- Supabase Cloud (EU-Region): Alle Daten werden in Frankfurt, Deutschland mit DSGVO-Konformität gespeichert
- Vercel Edge Network: Anwendung auf Vercel mit automatischem DDoS-Schutz gehostet
- policies.security.infra.encryption
- Row Level Security (RLS): Zugriffssteuerung auf Datenbankebene stellt sicher, dass Benutzer nur ihre eigenen Daten sehen
- Regelmäßige Backups: Automatisierte tägliche Backups mit 30-tägiger Aufbewahrung und Point-in-Time-Wiederherstellung
Anwendungssicherheit
- Authentifizierung: JWT-basierte Authentifizierung mit sicherer Sitzungsverwaltung
- Autorisierung: Rollenbasierte Zugriffskontrolle (RBAC) mit Prinzip der geringsten Rechte
- Eingabevalidierung: Zod-Schema-Validierung aller Benutzereingaben zur Verhinderung von Injection-Angriffen
- API-Sicherheit: Typsichere tRPC-API mit Rate Limiting und Request-Validierung
- Sicherheits-Header: CSP, HSTS, X-Frame-Options und andere Sicherheits-Header konfiguriert
Umgang mit Geschützten Gesundheitsinformationen (PHI)
ClariMed ist darauf ausgelegt, die PHI-Erfassung zu minimieren und implementiert strenge Kontrollen für jede verarbeitete PHI:
✓ Was ClariMed NICHT Erfasst:
ClariMed benötigt oder speichert keine Patientennamen, Krankenakten-Nummern, Sozialversicherungsnummern oder direkte Patienten-Identifikatoren. Unsere Plattform konzentriert sich darauf, klinische Entscheidungsunterstützung zu bieten, ohne Zugriff auf individuelle Patientendaten zu benötigen.
ℹ Was ClariMed Verarbeiten Kann:
Ärztliche Anfragen können de-identifizierte klinische Szenarien enthalten (z.B. "62-Jähriger mit Hypertonie"). Alle Anfragen werden verschlüsselt, nur zur Qualitätsverbesserung protokolliert und niemals an Dritte weitergegeben.
⚠ Wichtig für Benutzer:
Geben Sie keine patienten-identifizierenden Informationen in Anfragen ein. Verwenden Sie nur de-identifizierte klinische Szenarien (z.B. Alter, Geschlecht, Erkrankungen) ohne Namen, Krankenakten-Nummern oder andere direkte Identifikatoren.
Verfahren zur Meldung von Datenschutzverletzungen
Im unwahrscheinlichen Fall eines Sicherheitsvorfalls, der PHI betrifft:
- policies.breach.step1
- policies.breach.step2
- policies.breach.step3
- policies.breach.step4
- policies.breach.step5
policies.breach.contact.title
policies.breach.contact.email: contact@getclarimed.com
policies.breach.contact.phone: +49 (0)176 23947268
Unterauftragnehmer & Drittanbieter
ClariMed prüft alle Unterauftragnehmer, die PHI handhaben, sorgfältig. Alle haben BAAs unterzeichnet und halten HIPAA-Konformität ein:
| Dienst | Anbieter | Zweck | policies.subcontractors.table.status |
|---|---|---|---|
| Datenbank | Supabase | policies.subcontractors.databasePurpose | ✓ BAA Unterzeichnet |
| Hosting | Vercel | policies.subcontractors.hostingPurpose | ✓ BAA Unterzeichnet |
| KI/ML | OpenAI | policies.subcontractors.aiPurpose | ✓ BAA Unterzeichnet |
| Überwachung | Sentry | policies.subcontractors.monitoringPurpose | Nicht Erforderlich |
Kontakt
Für Fragen zu unseren Sicherheitspraktiken, HIPAA-Konformität oder zur Anforderung eines BAA:
Compliance-Beauftragter
E-Mail:: contact@getclarimed.com
Telefon:: +49 (0)176 23947268
Sicherheitsteam
E-Mail:: contact@getclarimed.com
Telefon:: +49 (0)176 23947268