Umgang mit Daten und HIPAA

Kurz gesagt

Therapy Resources ist so aufgebaut, dass Sie keine geschützten Gesundheitsinformationen (PHI) hochladen müssen. Sie beschreiben die gewünschten Materialien, die KI illustriert sie, und Sie drucken sie aus. Klient:innennamen, Diagnosen und Falldokumentation gelangen nie in das System. Da wir keine PHI verarbeiten, greift das Business-Associate-Agreement-(BAA)-Rahmenwerk von HIPAA nicht — die darin festgelegten Standards (Verschlüsselung, Zugriffskontrolle, Aufbewahrung, Löschung) prägen jedoch dennoch unsere Arbeitsweise.

Keine PHI erforderlich

Im Erstellungsablauf werden keine personenidentifizierenden Klient:innendaten abgefragt. Sie müssen nicht teilen:

• Namen, Alter oder identifizierende Daten von Klient:innen
• Diagnosen oder klinische Notizen
• Sitzungsinhalte oder Fallhistorien
• Fotos, Aufnahmen oder Zitate von Klient:innen

Wenn Sie PHI bereits in Ihrer Praxisverwaltungssoftware oder auf Papier ablegen, belassen Sie sie dort. Therapy Resources arbeitet auf der Ebene allgemeiner therapeutischer Konzepte — eine Emotionskarte mit der Beschriftung „frustriert“, ein Arbeitsblatt zu Bewältigungsstrategien, ein Brettspiel zu sozialen Kompetenzen — und nicht mit klient:innenspezifischem Fallmaterial.

Speziell zu HIPAA

Therapy Resources ist nicht HIPAA-zertifiziert, und wir schließen keine Business Associate Agreements ab. HIPAA regelt geschützte Gesundheitsinformationen — Patient:innennamen, Diagnosen, Behandlungsnotizen und ähnliche Daten, die mit identifizierbaren Personen verbunden sind. Da Therapy Resources rund um allgemeine Therapiematerialien statt klient:innenspezifischer Aufzeichnungen konzipiert ist, gibt es typischerweise keine PHI zu schützen.

Wenn ein bestimmter Arbeitsablauf das Erstellen von Materialien mit PHI erfordert (zum Beispiel eine personalisierte Sozialgeschichte, die ein bestimmtes Kind namentlich nennt), sollte dieses Material in Ihrer HIPAA-konformen Praxisverwaltung oder in lokalen Dateien erstellt und gespeichert werden — nicht hier.

Verschlüsselung, Speicherort und Aufbewahrung

Der gesamte Datenverkehr zwischen Ihrem Browser und Therapy Resources läuft über HTTPS (TLS 1.2+). Daten werden bei Convex (Region US-East) mit Verschlüsselung im ruhenden Zustand gespeichert. Passwörter werden mit bcrypt gehasht — wir sehen oder speichern niemals Klartext-Passwörter. Zahlungsdaten werden ausschließlich von Dodo Payments (PCI-DSS-konform) verarbeitet und berühren niemals unsere Server.

Die Bildgenerierung läuft über Google Gemini. Prompts und Referenzbilder werden zur Verarbeitung an die Google-API gesendet, doch Gemini speichert Ihre Prompts nicht dauerhaft. Wir geben Ihre Daten nicht an Werbenetzwerke oder Analyse-Vermittler weiter.

Wenn Sie Ihr Konto löschen, entfernen wir Ihre Stile, Charaktere, Ressourcen, generierten Bilder und Ihren Prompt-Verlauf dauerhaft. Die Entfernung ist in der Regel innerhalb von 7 Tagen abgeschlossen, Backups laufen innerhalb von 30 Tagen aus. Einzelne Elemente können Sie jederzeit über die Einstellungen exportieren oder löschen.

Auftragsverarbeiter

Wir teilen operative Daten mit den folgenden Diensten:

• Convex (USA) — Datenbank und Dateispeicher. Beherbergt Kontodaten, Inhalte und generierte Bilder.
• Google Gemini — KI-Bildgenerierung. Empfängt Stilbeschreibungen und Charakter-Prompts; speichert sie nicht dauerhaft.
• Dodo Payments (USA) — Zahlungsabwicklung als Merchant of Record. Erhält Name, E-Mail und Zahlungsdaten zur Rechnungsstellung.
• AhaSend — Transaktionale E-Mails. Empfängt E-Mail-Adressen für Passwort-Resets und Kontobenachrichtigungen.

Wir verkaufen Ihre Daten nicht. Die vollständige Datenübersicht und Ihre Rechte zu jeder Kategorie finden Sie in der Datenschutzerklärung.