Klient:innen-Daten sind nach DSGVO Art. 9 besondere Kategorien personenbezogener Daten – und nach § 203 StGB Berufsgeheimnis. Wir behandeln sie so. Vollständig dokumentiert, vollständig auditierbar, ausschließlich in Deutschland verarbeitet.
Wir verarbeiten Klient:innen-Daten ausschließlich auf Basis dokumentierter Weisungen. ADV-Verträge stehen für alle Pflegedienste bereit. Datenminimierung und Privacy by Design sind in der Architektur verankert.
Native Anbindung an die TI. KIM-fähig für sicheren Nachrichtenaustausch mit Krankenkassen, Ärzten und anderen Leistungserbringern. Konnektor-Anbindung über gematik-zertifizierte Partner.
Datenverarbeitung in ISO-27001-zertifizierten Rechenzentren in Deutschland. Keine Übertragung in Drittländer. Backups mehrfach redundant, georedundant.
Der gesamte vocare-Quellcode ist öffentlich einsehbar. Sicherheits-Forscher und CISOs können den Code prüfen. Self-Hosting möglich, wenn maximale Kontrolle gewünscht ist.
Pflege ist kein normaler B2B-Datenkontext. Vier rechtliche Rahmen, die wir konsequent umsetzen.
Die besondere Schweigepflicht in der Pflege ist in unserer Architektur abgebildet. Pflegekräfte sehen nur die Klient:innen, denen sie zugeordnet sind.
Verarbeitung von Sozialdaten ausschließlich nach den Vorgaben des SGB XI. Keine Werbenutzung, keine Weitergabe an Dritte ohne explizite Einwilligung.
Pflegedaten sind besondere Kategorien personenbezogener Daten. Verarbeitung nur auf Basis von Versorgungsverträgen oder expliziter Einwilligung der Klient:innen.
Architektur orientiert sich am BSI-Kriterienkatalog Cloud Computing. Unterstützung beim Nachweis gegenüber Aufsichtsbehörden.
Alle Verbindungen ausschließlich über TLS 1.3 mit aktuellen Cipher-Suites. HSTS, automatische HTTPS-Umleitung.
Datenbanken AES-256 verschlüsselt. Schlüssel rotiert automatisch. Hardware-Sicherheitsmodule (HSM) für Stamm-Schlüssel.
Rollenbasiertes Berechtigungskonzept. Mehr-Faktor-Authentifizierung für PDLs und Administratoren. Audit-Log lückenlos.
Tägliche inkrementelle Backups, 30 Tage retention. Georedundanz in zwei deutschen RZ. RTO < 4h, RPO < 1h.
Jährliche externe Penetration-Tests. Bug-Bounty-Programm. CVE-Monitoring für alle Abhängigkeiten.
24/7 Monitoring. Klare Eskalations-Pfade. Meldepflicht-Prozess nach Art. 33 DSGVO innerhalb 72 Stunden.
vocare ist Open Source unter MIT-Lizenz. CISOs, Datenschutz-Beauftragte und Sicherheits-Forscher können den gesamten Code einsehen, prüfen und auditieren. Bei Bedarf hosten Sie vocare selbst – vollständige Kontrolle über Daten und Infrastruktur.
Für ADV-Vertrag, Auskunft, Löschung oder allgemeine Fragen zum Datenschutz. Wir antworten innerhalb von 48 Stunden.