Security Center

Aduvera nutzt Google Clouds Cloud Data Processing Addendum und das Google Cloud HIPAA Business Associate Addendum für die Infrastruktur des Dienstes. Das ist eine wichtige vertragliche Grundlage für sensible Dokumentationsworkflows.

Aduvera behandelt diese Upstream-Verträge nicht als pauschale Aussage, dass jede Kundenkonfiguration automatisch compliant ist. Der tatsächliche Einsatz hängt weiter von Workflow, Zugriffskontrollen, Konfiguration, Aufbewahrung und der Ausführung einer separaten Kunden-BAA ab, wenn dies erforderlich ist.

For customers outside the U.S. and for customers processing ordinary business personal data, the main legal framework is Aduvera's Terms of Service, Privacy Policy, and, where applicable, DPA. U.S. HIPAA customers should also review the BAA.

• Authenticated backend access for consultation, transcription, and generation APIs.
• User-scoped consultation reads and writes enforced server-side.
• Audit events for access, mutation, generation, deletion, and purge actions.
• Production protections against unsafe full-payload LLM logging.
• Security headers including CSP, HSTS, anti-framing, and nosniff.
• Database connections default to TLS in production over TCP.

Temporary uploaded audio is deleted after successful transcription by default. Persisted consultation records are retained for up to 30 days after the last update, then soft-deleted and queued for permanent purge. Final hard deletion occurs after an additional 7-day grace period unless a legal hold applies.

Aduvera uses Google Vertex AI to transcribe visits, generate draft documentation, and retrieve transcript-backed note citations. Aduvera does not sell customer data, does not use customer data for advertising, and does not use customer data to train a proprietary Aduvera model.

Customer prompts, transcripts, and outputs are processed only to provide the requested service workflow. Google documents that customer data sent to Vertex AI is not used to train or fine-tune Google foundation models without customer permission or instruction.

Aduvera veröffentlicht Datenschutz-, DPA-, Aufbewahrungs-, KI-Datennutzungs- und Subprozessor-Dokumente, damit internationale Kunden den Dienst nicht allein durch eine U.S.-HIPAA-Brille bewerten müssen.

Für EEA-Kunden, einschließlich Deutschland, Frankreich, Italien, Spanien und der Niederlande, sowie für UK- und Schweizer Kunden, ist die DPA auf Processor Terms und grenzüberschreitende Transfer-Sprache ausgelegt. Für Kanada, Australien und andere internationale Teams bleibt dieselbe öffentliche Sicherheits- und Datenschutzdokumentation der Kern des Review-Prozesses.

Aduvera currently uses the following categories of subprocessors:

• Google Cloud Run, Cloud SQL for PostgreSQL, Cloud Storage: Application hosting, authenticated API delivery, consultation persistence, and temporary audio object storage.
• Vertex AI Gemini and Vertex embeddings: Transcription, note generation, patient-summary generation, pre-visit preparation, light patient-name extraction, and transcript citation retrieval.
• Firebase Authentication / Google Cloud Identity Platform: User authentication, session establishment, and sign-in support for Google and email magic-link workflows.
• Cloud Logging and Cloud Monitoring: Operational logging, request tracing, rate-limit visibility, and incident-response support.

Kunden können Rechts- und Sicherheitsdokumente, einschließlich DPA und aktuellem Subprozessorenverzeichnis, über die unten genannte Kontaktadresse anfordern.

Aduvera stellt für geeignete U.S.-Healthcare-Kunden Kunden-BAA-Bedingungen zur Verfügung, wenn HIPAA-Vertragsabdeckung benötigt wird.

legal [at] aduvera.ai