Sicherheitsübersicht
Zuletzt aktualisiert: 27. Juni 2026
Psychiatrie.Ink ist für die psychiatrische Dokumentation konzipiert und behandelt daher Vertraulichkeit, Datenminimierung und kontrollierten Zugriff als zentrale Produktanforderungen.
Diese Seite bietet einen öffentlichen Überblick. Detaillierte technische und organisatorische Maßnahmen können Kunden im Rahmen des Auftragsverarbeitungsvertrags oder eines Sicherheitsprüfungsprozesses bereitgestellt werden.
1. Sicherheitsgrundsätze
Psychiatrie.Ink ist nach folgenden Grundsätzen gestaltet:
- direkte Patientenidentifikatoren minimieren;
- die Zuordnung der Patientenidentität nach Möglichkeit lokal halten;
- Verschlüsselung bei der Übertragung und im Ruhezustand einsetzen;
- Zugriff nach Rolle und Organisation beschränken;
- relevante Sicherheits- und Audit-Ereignisse protokollieren;
- Kundendaten trennen, soweit anwendbar;
- die Übermittlung unnötiger Identifikatoren an KI-Anbieter vermeiden;
- die abschließende Prüfung und Freigabe der Ergebnisse in der Verantwortung der Behandelnden belassen.
2. Clientseitige (Zero-Knowledge-)Verschlüsselung
In den Konto-Synchronisationsmodi werden sensible Daten im Browser Ende-zu-Ende verschlüsselt, bevor sie unsere Server erreichen – mit Schlüsseln, die das Gerät der behandelnden Person nie verlassen:
- Bei der ersten Nutzung erzeugt die App im Browser ein RSA-OAEP-2048-Schlüsselpaar. Der private Schlüssel wird ausschließlich im lokalen Speicher des Geräts (IndexedDB) abgelegt und nie an uns übermittelt; unsere Server erhalten höchstens den öffentlichen Schlüssel.
- Patientenidentifikatoren (Name, Geburtsdatum) werden mit AES-GCM-256 verschlüsselt; der Inhaltsschlüssel wird mit dem öffentlichen Schlüssel des Geräts umschlossen.
- Fallakten (klinische Notizen, Medikationspläne, Befunde) werden ausschließlich als Chiffretext gespeichert und synchronisiert. Das Alter kann im Chiffretext enthalten sein; Name und Geburtsdatum sind nicht Teil einer synchronisierten Fallakte.
Wo die Zuordnung von Patient zu Fall liegt
Jede Fallakte trägt nur eine zufällige Kennung (UUID). Die Verbindung zwischen dieser Kennung und dem echten Patienten – Name und Geburtsdatum – liegt ausschließlich als Chiffretext vor: auf dem Gerät im verschlüsselten Tresor sowie, falls das verschlüsselte Konto-Backup aktiviert ist, auf dem Server nur innerhalb eines mit der Passphrase verschlüsselten Blocks.
Beispiel: Unsere Server speichern womöglich „Fall a1b2c3… hat einen verschlüsselten Datensatz von 12 KB, zuletzt aktualisiert am 3. Juli." Sie speichern jedoch nicht – und können es nicht –, dass a1b2c3… „Jane Doe, geb. 1980" ist. Die Auflösung der Kennung zu einem Patienten erfordert den privaten Schlüssel auf dem Gerät (oder, für die Backup-Kopie, die Wiederherstellungs-Passphrase).
Gescannte Dokumente und PDFs
Hochgeladene PDFs und Scans werden verschlüsselt auf dem Gerät der behandelnden Person (im Browser) gespeichert und nicht auf unsere Server hochgeladen. Sie werden nie per OCR oder anderweitig maschinell ausgelesen: Ein Scan kann Identifikatoren im Bild selbst enthalten (Briefköpfe, Stempel), die sich nicht zuverlässig entfernen lassen. Die Datei kann angesehen werden; strukturierte Angaben werden manuell erfasst. Ausgelesen werden nur Textformate (DOCX, TXT, CSV, XLSX, JSON).
Was ein Server-Einbruch offenlegen würde – und was nicht
Da der Server nur Chiffretext und nicht-identifizierende Metadaten vorhält, würde ein Einbruch in unsere Infrastruktur offenlegen, dass ein Konto existiert, ungefähr wie viele Fälle es hat (als zufällige Kennungen) sowie deren Größen und Zeitstempel; nicht offengelegt würden Patientennamen oder Geburtsdaten, die Zuordnung von Kennung zu Patient, die klinischen Inhalte einer Fallakte oder gescannte Dokumente (die gar nicht auf dem Server liegen).
Die Vertrauensgrenze ist damit das Gerät und die Wiederherstellungs-Passphrase der behandelnden Person, nicht unsere Server. Der Verlust des Geräteschlüssels oder der Passphrase kann verschlüsselte Daten unwiederbringlich machen (siehe Abschnitt 7); der Kunde bleibt für die Endgerätesicherheit verantwortlich.
3. Verschlüsselung
Wir verwenden HTTPS/TLS für Daten bei der Übertragung. Infrastrukturanbieter können eine Verschlüsselung gespeicherter Daten im Ruhezustand bereitstellen. Einige lokale Produktkomponenten können eine clientseitige Verschlüsselung für sensible Zuordnungen oder lokale Speicherung verwenden.
Die Verschlüsselungskontrollen hängen von der gewählten Produktkonfiguration, dem Browser, dem Gerät und der Infrastrukturumgebung ab.
4. Zugriffskontrolle
Psychiatrie.Ink verwendet kontobasierte Zugriffskontrollen. Organisationsfunktionen können je nach Tarif und Konfiguration Rollen wie Inhaber, Administrator, Behandelnde, Assistenz, Betrachter, externer Konsiliarius oder weitere Rollentypen umfassen.
Nutzerinnen und Nutzer sind dafür verantwortlich, Zugangsdaten zu schützen, sichere Passwörter zu verwenden, verfügbare Authentifizierungsschutzmaßnahmen zu aktivieren und Nutzer, die keinen Zugriff mehr haben sollen, zeitnah zu entfernen.
5. Audit-Protokollierung
Der Dienst kann Audit- und Sicherheitsprotokolle aufzeichnen, etwa Anmeldeereignisse, Dokumentaktionen, KI-Generierungsereignisse, Credit-Verbrauch, Zugriffsereignisse, Fehlerereignisse und administrative Aktionen. Die Verfügbarkeit der Audit-Protokolle hängt von Tarif und Konfiguration ab.
6. Datenminimierung bei KI
KI-Funktionen sind zur Unterstützung von Entwurf und Dokumentation gedacht. Nutzerinnen und Nutzer sollten unnötige direkte Identifikatoren in Prompts und Ausgangstexten vermeiden. Soweit verfügbar, sollten De-Identifikation, Datenschutz-Gates oder rein lokale Modi verwendet werden, bevor klinische Texte an externe KI-Anbieter gesendet werden.
KI-Ergebnisse müssen vor jeder klinischen, rechtlichen oder administrativen Verwendung stets von einer qualifizierten Fachperson geprüft werden.
7. Backups und Wiederherstellung
Die Produktivinfrastruktur kann Backups, Snapshots und Wiederherstellungsprozesse umfassen. Aufbewahrungsfristen für Backups und Wiederherstellungsverfahren hängen von der endgültigen Deployment-Konfiguration und vom Kundentarif ab.
Daten im lokal verschlüsselten Tresor sind für die Psychiatry Ink Ltd möglicherweise nicht wiederherstellbar, wenn die Nutzerin oder der Nutzer den lokalen Schlüssel, das Browser-Profil oder den Gerätespeicher verliert.
8. Reaktion auf Vorfälle
Wenn uns ein Sicherheitsvorfall oder eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Kundendaten betrifft, untersuchen wir den Vorfall und benachrichtigen betroffene Kunden, soweit dies gesetzlich und vertraglich erforderlich ist.
Kontakt für Sicherheit und Datenschutz:
9. Verantwortungsvolle Offenlegung
Wenn Sie glauben, eine Schwachstelle gefunden zu haben, kontaktieren Sie uns bitte, bevor Sie diese öffentlich offenlegen. Bitte fügen Sie ausreichende Informationen bei, um das Problem nachvollziehen zu können. Greifen Sie nicht auf Daten zu, die Ihnen nicht gehören, und verändern, laden oder offenbaren Sie diese nicht.
Schwachstellen melden Sie bitte an:
10. Aktuelle Einschränkungen
Kein Softwaresystem ist vollständig sicher. Psychiatrie.Ink sollte nicht für produktive Patientendaten eingesetzt werden, bevor das jeweilige Deployment, der Auftragsverarbeitungsvertrag, die Liste der Unterauftragsverarbeiter, die Garantien zur Datenübermittlung, die Aufbewahrungseinstellungen, die Zugriffskontrollen und die Datenschutzkonfiguration für die vorgesehene Rechtsordnung und Organisation freigegeben sind.