Datenschutz & Privatsphäre

Bei Duktus nehmen wir Ihre Privatsphäre ernst. Datenschutz und Datensicherheit by Design sind für uns nicht nur leere Begriffe, sondern zentrale Werte, die unsere Arbeitsweise prägen und in allem, was wir tun, verankert sind. Deshalb legen wir Wert auf Transparenz und die freiwillige Selbstverpflichtung, alles offen zu legen, was mit deinen Daten geschieht.

  • Datensicherheit

    Unsere umfassenden Sicherheitsmaßnahmen gewährleisten den Schutz sensibler Patientendaten auf höchstem Niveau:

    Verschlüsselung

    Daten im Ruhezustand:

    Festplattenverschlüsselung: Einsatz von Technologien wie BitLocker (Windows) und FileVault (Mac) zur vollständigen Festplattenverschlüsselung.

    Datenbankverschlüsselung: Implementierung von Transparent Data Encryption (TDE) in unseren Datenbank-Management-Systemen (SQL Server, Oracle, MySQL).

    Dateisystemverschlüsselung: Schutz sensibler Dateien und Ordner durch Verschlüsselungstools wie VeraCrypt oder EFS (Encrypting File System).

    Daten während der Übertragung:

    • SSL/TLS: Alle Datenübertragungen erfolgen über sichere Protokolle wie TLS (Transport Layer Security) oder SSL (Secure Sockets Layer).

    • VPN: Einsatz von Virtual Private Networks (VPNs) wie OpenVPN oder IPsec für sicheren Fernzugriff auf Unternehmensressourcen.

    • End-to-End-Verschlüsselung: Unsere Anwendungen nutzen End-to-End-Verschlüsselung, um die Vertraulichkeit der Daten während der gesamten Übertragung zu gewährleisten.

    Anonymisierung/Pseudonymisierung

    Anonymisierung:

    • Datenmaskierung: Entfernung oder Veränderung personenbezogener Daten, um eine Zuordnung zu bestimmten Personen zu verhindern.

    • Aggregation: Zusammenfassung von Daten, um die Identifikation von Einzelpersonen zu verhindern.

    Pseudonymisierung:

    • Tokenisierung: Ersetzung sensibler Daten durch Tokens, die nur durch ein sicheres Tokenisierungssystem zurückverwandelt werden können.

    • Verschlüsselung mit Secret Key Management: Einsatz kryptografischer Techniken in Verbindung mit sicheren Schlüsselverwaltungssystemen wie AWS KMS oder Azure Key Vault.

    Zugriffskontrollen

    • Role-Based Access Control (RBAC): Implementierung rollenbasierter Zugriffskontrollen zur Sicherstellung, dass Benutzer nur auf die für ihre Arbeit notwendigen Daten zugreifen können.

    • Least Privilege Principle: Zuweisung minimaler Rechte an Benutzer, die zur Erfüllung ihrer Aufgaben erforderlich sind.

    • Zwei-Faktor-Authentifizierung (2FA): Nutzung von 2FA-Diensten wie Microsoft Authenticator für eine zusätzliche Sicherheitsebene.

    Weitere Sicherheitsmaßnahmen

    • Einsatz von Quantum-Resistant Encryption für zukunftssichere Datensicherheit

    • KI-gestützte Zugriffskontrollsysteme zur Erkennung und Prävention unbefugter Zugriffe

    • Kontinuierliche Protokollierung und Überwachung aller Datenzugriffe

    • Vierteljährliche unabhängige Sicherheitsaudits und Penetrationstests

    Durch diese umfassenden und fortschrittlichen Sicherheitsmaßnahmen gewährleisten wir den bestmöglichen Schutz der sensiblen Patientendaten in unserem KI-gestützten Psychotherapiesystem.

  • Bei der Implementierung unserer KI-gestützten Lösungen für die Psychotherapie stehen folgende Grundsätze und Verpflichtungen im Mittelpunkt unseres Handelns:

    1. Höchste Priorität für Datenschutz: Der Schutz der persönlichen Daten unserer Patienten, Mitarbeiter und Geschäftspartner hat oberste Priorität. Wir sind uns der Sensibilität und Bedeutung dieser Daten bewusst und behandeln sie mit größtmöglicher Sorgfalt.

    2. Datenschutz als Unternehmensmission: Unser Unternehmen wurde mit der Vision gegründet, nicht nur erstklassige therapeutische Dienstleistungen zu bieten, sondern auch sicherzustellen, dass die Datenintegrität unserer Nutzer zu jeder Zeit gewahrt bleibt. Unsere Plattform erfüllt die strengsten Datenschutz- und Datensicherheitsstandards, die im Gesundheitswesen gefordert werden.

    3. Keine Weitergabe von Daten: Wir geben keine Nutzerdaten oder Metadaten weiter, die über unsere Systeme übermittelt werden, es sei denn, der Patient gibt uns dazu ausdrücklich sein Einverständnis. Darüber hinaus verpflichten wir uns, unsere KI-Modelle nicht mit Patientendaten zu trainieren.

    4. Transparenz: Wir setzen uns für vollständige Transparenz in Bezug auf unsere Datenverarbeitungspraktiken und -richtlinien ein. Patienten haben das Recht zu wissen, wie ihre Daten verwendet werden, und wir stellen sicher, dass diese Informationen leicht zugänglich und verständlich sind.

    5. Kontinuierliche Verbesserung: Angesichts der sich ständig ändernden Sicherheitslandschaft sind wir kontinuierlich bestrebt, unsere Sicherheitsmaßnahmen zu aktualisieren und zu verbessern. Unser Ziel ist es, potenziellen Bedrohungen immer einen Schritt voraus zu sein.

    Diese Grundsätze bilden das ethische Fundament für alle unsere technischen und organisatorischen Maßnahmen zum Schutz der Patientendaten und zur verantwortungsvollen Nutzung von KI in der Psychotherapie.

  • Interne/Externe Kommunikation

    Wir nutzen Posteo.de, einen deutschen Dienstleister, der für sein Engagement in puncto Datenschutz und Nachhaltigkeit bekannt is t.

    Minimale Datenweitergabe

    Bei der Nutzung von Drittanbieter-Apps stellen wir sicher, dass nur die absolut notwendigen Daten weitergegeben werden. Das bedeutet, wir teilen nur die Informationen, die für die jeweilige Funktion oder den jeweiligen Dienst erforderlich sind.

    Server-Standort

    Wir verarbeiten alle deine Daten lokal, ohne Cloudumgebungen. Der Datentransfer ist nach TSL-Richtlinie verschlüsselt. Dies stellt sicher, dass deine Daten nach EU-Standards geschützt sind.

    Open-Source-KI und wissenschaftliche Grundlagen

    Unser KI-System basiert auf einem Open-Source-Ansatz, der größtmögliche Transparenz gewährleistet und die Integration neuester Erkenntnisse und Sicherheitspraktiken ermöglicht. Die wissenschaftlichen Grundlagen unseres Ansatzes stützen sich auf folgende Schlüsselpublikationen:

    1. Zhao, W. X., Zhou, K., Li, J., Tang, T., Wang, X., Hou, Y., ... Wen, J. (2023). A Survey of Large Language Models. arXiv preprint arXiv:2303.18223 [cs.CL].

    2. Brown, T. B., Mann, B., Ryder, N., Subbiah, M., Kaplan, J., Dhariwal, P., ... & Amodei, D. (2020). Language models are few-shot learners. arXiv preprint arXiv:2005.14165.

    3. OpenAI. (2023). GPT-3.5 Technical Report. https://cdn.openai.com/papers/gpt-3.5-technical-report.pdf

    4. Touvron, H., Lavril, T., Izacard, G., Martinet, X., Lachaux, M. A., Lacroix, T., ... & Lample, G. (2023). LLaMA: Open and Efficient Foundation Language Models. arXiv preprint arXiv:2302.13971.

    5. Ouyang, L., Wu, J., Jiang, X., Almeida, D., Wainwright, C., Mishkin, P., ... & Lowe, R. (2022). Training language models to follow instructions with human feedback. arXiv preprint arXiv:2203.02155.

    6. Wei, J., Wang, X., Schuurmans, D., Bosma, M., Ichter, B., Xia, F., ... & Le, Q. (2022). Chain-of-thought prompting elicits reasoning in large language models. arXiv preprint arXiv:2201.11903.

    Diese wissenschaftlichen Arbeiten bilden das Fundament für unseren Ansatz zur Nutzung von Large Language Models (LLMs) in der Psychotherapie. Sie decken ein breites Spektrum ab, von grundlegenden Architekturkonzepten über Trainingsmethoden bis hin zu spezifischen Anwendungstechniken wie Chain-of-Thought Prompting.

    Unser Team hält sich kontinuierlich über die neuesten Entwicklungen in diesem schnelllebigen Forschungsfeld auf dem Laufenden. Wir integrieren neue Erkenntnisse und Best Practices zeitnah in unser System, um stets die bestmögliche und ethisch verantwortungsvollste KI-Unterstützung in der Psychotherapie zu gewährleisten.

Unsere Software

Bei der Entwicklung von duktus PRO haben wir uns von einer grundlegenden Überzeugung leiten lassen: Technologie sollte die therapeutische Beziehung unterstützen, nicht ersetzen. Unsere Philosophie verbindet therapeutische Expertise mit verantwortungsvoller KI-Innovation.

Für unsere KI-Modelle haben wir einen mehrschichtigen Spezialisierungsansatz verfolgt. Wir begannen mit einem vortrainierten Open-Source-LLM als Grundlage, das wir dann durch ein intensives therapeutisches Feintuning transformiert haben. Dieser Prozess umfasste mehrere Phasen:

Zunächst reicherten wir das Grundmodell mit einer kurierten Sammlung psychotherapeutischer Fachliteratur an, darunter aktuelle S3-Leitlinien, Fachpublikationen und evidenzbasierte Interventionsbeschreibungen. Dabei achteten wir besonders auf die Ausgewogenheit verschiedener therapeutischer Schulen – von KVT über psychodynamische bis hin zu systemischen Ansätzen.

Im nächsten Schritt verfeinerten wir das Training mit synthetischen therapeutischen Dialogen, die von erfahrenen Psychotherapeut

für verschiedene klinische Szenarien entwickelt wurden. Diese Dialoge bilden die natürliche Kommunikation in therapeutischen Settings ab und vermitteln dem Modell ein tieferes Verständnis für therapeutische Prozesse.

Besonders wichtig war uns die Integration mit GBERT, einem speziell für den deutschsprachigen Beratungskontext entwickelten Modell. Diese Zusammenarbeit mit der TH Nürnberg ermöglichte es uns, die sprachlichen Nuancen der deutschen therapeutischen Kommunikation präziser zu erfassen.

Die Spezialisierung in drei unterschiedliche Modelle – ductus-1.5 für den therapeutischen Dialog, via-1 für diagnostische Unterstützung und ora-1.7 für Dokumentation – reflektiert unser Verständnis, dass verschiedene therapeutische Aufgaben unterschiedliche KI-Eigenschaften erfordern. Jedes Modell wurde mit einer spezifischen "Temperatur" kalibriert, um die optimale Balance zwischen Kreativität und Präzision für den jeweiligen Anwendungsfall zu erreichen.

Entscheidend für unsere Philosophie ist die Überzeugung, dass KI therapeutische Expertise ergänzen sollte, nicht ersetzen. Daher haben wir unser System so konzipiert, dass es Therapeut:innen als flexibles Werkzeug dient – mit der therapeutischen Fachkraft stets als letzte Entscheidungsinstanz.

Die lokale Verarbeitung und der konsequente Schutz sensibler Patientendaten sind nicht nur technische Merkmale, sondern fundamentale ethische Prinzipien unserer Entwicklung – wir schaffen Technologie, die therapeutische Werte respektiert und verkörpert.

Wir bei Duktus setzen uns leidenschaftlich für deine Datensicherheit und -privatsphäre ein. Wir sind stolz darauf, dir eine Plattform zu bieten, der du vertrauen kannst. Wir machen uns entschieden unabhängig von amerikanischen Unternehmen und unterliegen keiner staatlichen Kontrolle. Wenn du Fragen oder Bedenken hast, stehen wir dir jederzeit zur Verfügung. Deine Sicherheit ist unsere Mission.