PCDCareHub
TRUST & SECURITY

Vertrauen ist kein Anhang.

PCD CareHub entwickelt Infrastruktur für das Gesundheitswesen. Compliance, Datensicherheit und KI-Governance sind keine nachträglichen Überlegungen — sie sind Teil der Architektur. Hier finden Sie unsere öffentliche Rechenschaftslegung, gegliedert nach Themen.

  • NEN 7510-Prinzipien
  • ISO 27001-Prinzipien
  • DSGVO-by-design
  • EU-Daten
  • Wegiz-ready
COMPLIANCE & ZERTIFIZIERUNG

Status je Norm und Rahmen

NEN 7510
In Vorbereitung
Arbeitsweise an den Prinzipien ausgerichtet. Formelle Zertifizierung angestrebt für Q1 2027.
ISO 27001
In Vorbereitung
Informationssicherheitsrichtlinie aktiv. Formelle Zertifizierung angestrebt für Q1 2027.
AVG / GDPR
Operativ
ROPA und DPIA werden je Datenstrom aktuell gehalten. DPA auf Anfrage verfügbar.
Wegiz
Ready
Architektur und Datenströme Wegiz-ready; rechtliche Absicherung je Implementierung.
EHDS
Ready
Interoperabilität über FHIR R4 und offene Standards — EHDS-bereit als Fundament.
AI Act
In Vorbereitung
Klassifizierung von KI-Systemen mit hohem Risiko erfasst; Governance-Framework aktiv.

Die formelle NEN 7510- und ISO 27001-Zertifizierung befindet sich in Vorbereitung mit einem Zieldatum von Q1 2027. Bis dahin arbeiten wir nachweislich auf Basis der Prinzipien beider Normen. Die zugrunde liegende Dokumentation — darunter DPA, Auftragsverarbeiterverzeichnis, DPIA-Vorlage, Incident-Response-Verfahren und Sicherheitsrichtlinie — ist auf Anfrage unter NDA verfügbar. Fragen? Nehmen Sie Kontakt auf über info@pcdcarehub.com.

DATEN & INFRASTRUKTUR

Wo Ihre Daten gespeichert und übertragen werden

Verschlüsselung

Ruhende Daten werden mit AES-256 verschlüsselt. Daten in der Übertragung über TLS 1.3. Schlüsselverwaltung je Umgebung isoliert.

EU-Datenverarbeitung

Primäre Datenbank in der EU (Frankfurt). Keine Gesundheitsdaten außerhalb der EU. Die EU-Region ist eine verbindliche Anforderung bei unserer Anbieterauswahl.

Audit-Logging

Jeder Datenzugriff und jede Datenänderung ist nachvollziehbar. Protokolle werden gemäß DSGVO-Aufbewahrungsfristen aufbewahrt und stehen für Audits zur Verfügung.

ROPA & DPIA

Das Verzeichnis von Verarbeitungstätigkeiten (ROPA) und Datenschutz-Folgenabschätzungen (DPIA) werden je Datenstrom aktiv gepflegt.

Auftragsverarbeiter

ParteiRolleDatenregionHinweis
Vercel Inc.Hosting & CDNVS / EU edgeEU-Region aktiv; keine Verarbeitung von PHI auf Edge-Nodes.
Supabase Inc.Datenbank & AuthentifizierungEU (Frankfurt)Ruhende Daten in der EU; Row-Level Security aktiviert.
Resend Inc.Transaktions-E-MailVSKeine gesundheitsbezogenen Daten in E-Mail-Inhalten; SCCs anwendbar.

Standardvertragsklauseln (SCCs) gelten, wo Daten außerhalb der EU verarbeitet werden. DPA/Auftragsverarbeitungsvertrag auf Anfrage verfügbar.

KI-GOVERNANCE

KI mit einem Menschen in der Schleife

Human-in-the-loop

Klinische und risikoreiche Anwendungen erfordern stets einen menschlichen Beurteilungsschritt. KI unterstützt — sie entscheidet nicht.

AI Act-ready

KI-Systeme mit hohem Risiko (EU AI Act Anhang III) werden klassifiziert, dokumentiert und gemäß den Governance-Anforderungen überwacht.

DSGVO Art. 22

Keine automatisierten Entscheidungen mit Rechtswirkung gegenüber betroffenen Personen ohne ausdrückliche menschliche Aufsicht und Recht auf Erläuterung.
INCIDENT & KONTAKT

Was geschieht, wenn etwas schiefläuft

Incident-Response

Bei einem Datenschutzvorfall werden betroffene Verantwortliche und — soweit erforderlich — die zuständige Datenschutzbehörde innerhalb von 72 Stunden gemäß DSGVO Art. 33 und 34 informiert.

Security Disclosure

Sicherheitslücken können Sie verantwortungsvoll melden über info@pcdcarehub.com. Wir reagieren innerhalb von 5 Werktagen und arbeiten transparent an einer Lösung.
FÜR AGENTS & INTEGRATOREN

Maschinenlesbare Truth Layer

KI-Agents, Integrationspartner und Compliance-Auditoren lesen dieselben Fakten wie Menschen — nur strukturiert. Die folgenden Endpunkte bieten direkten Zugriff auf Status, Claims und Metadaten, ohne dass ein Crawler zuerst HTML parsen muss.

/api/site-context.json
JSON-Snapshot mit Organisationsfakten (KvK, Gründung, Team-Wikidata-IDs, Compliance-Status, EHDS-Claim). Wird bei jedem Deploy aktualisiert.
/llms-full.txt
Vollständiger Markdown-Export von Insights, Cases und Kernseiten — gedacht für LLM-Ingest statt seitenweises Crawlen.
/llms.txt
Kurzer Markdown-Index dessen, was hier zu finden ist — vergleichbar mit robots.txt, aber für LLM-Crawler.
/sitemap.xml
XML-Sitemap mit allen öffentlichen URLs pro Locale (NL/EN/DE) und hreflang-Alternates. In robots.txt registriert.

Alle Endpunkte sind öffentlich und stabil. Änderungen werden über Release Notes kommuniziert.

DPA oder Auftragsverarbeitungsvertrag benötigt?

Für Gesundheitsorganisationen und Partner erstellen wir einen Auftragsverarbeitungsvertrag gemäß DSGVO Art. 28. Nehmen Sie Kontakt auf — wir regeln dies vor Beginn jeder Zusammenarbeit.

  • DSGVO Art. 28
  • DPA auf Anfrage
  • NDA möglich
FRAGEN ZUR COMPLIANCE?

Transparenz ist keine Hürde.

Senden Sie eine Nachricht oder vereinbaren Sie einen Gesprächstermin. Wir beantworten Compliance-Fragen offen und arbeiten auf Anfrage unter NDA.

Nachricht sendenESG-Erklärung lesen