{
  "aipolicy": {
    "version": "2.0",
    "published": "2026-03-13",
    "publisher": {
      "name": "Today is Life GmbH",
      "url": "https://app.itsimed.todayislife.de"
    },
    "scope": "app",
    "conformanceLevel": 3,
    "contact": "g.mitschke@todayislife.de",
    "canonical": "https://app.itsimed.todayislife.de/.well-known/aipolicy.json",
    "policies": [
      {"id": "AP-1.1", "status": "required", "directive": "ITSiMed unterstützt IT-Sicherheitsbeauftragte – ersetzt sie nicht. Compliance-Empfehlungen sind Hilfsmittel, keine Entscheidungen."},
      {"id": "AP-1.2", "status": "required", "directive": "Deutsche Gesundheitsversorgung und regionale Besonderheiten (KBV, KZBV, ABDA) werden vollständig respektiert."},
      {"id": "AP-2.1", "status": "required", "directive": "Alle Compliance-Entscheidungen verbleiben beim zuständigen Sicherheitsbeauftragten. ITSiMed empfiehlt – der Mensch entscheidet."},
      {"id": "AP-2.2", "status": "required", "directive": "Compliance-Scores und Gap-Analysen sind nachvollziehbar dokumentiert mit Quellenangaben (KBV-Richtlinie §X, KZBV §Y)."},
      {"id": "AP-3.1", "status": "supported", "directive": "Exportfunktion (DSGVO Art. 20) ermöglicht vollständige Datenportabilität im JSON/CSV-Format."},
      {"id": "AP-3.2", "status": "supported", "directive": "Standardkonforme APIs und offene Datenformate verhindern Vendor Lock-in."},
      {"id": "AP-4.1", "status": "required", "directive": "ITSiMed stärkt die gesetzlich vorgeschriebene IT-Sicherheit im Gesundheitswesen gemäß KBV/KZBV-Richtlinien."},
      {"id": "AP-4.2", "status": "required", "directive": "Patientensicherheit hat absoluten Vorrang vor kommerziellen Interessen."},
      {"id": "AP-5.1", "status": "required", "directive": "Sicherheitslücken in Patientendaten werden sofort als kritisch markiert. Keine automatische Schließung ohne menschliche Freigabe."},
      {"id": "AP-5.2", "status": "required", "directive": "Audit-Logs sind transparent einsehbar. Keine verdeckte Überwachung von Mitarbeitern."},
      {"id": "AP-5.3", "status": "required", "directive": "Keine Dark Patterns. Compliance-Status wird ehrlich dargestellt – auch bei schlechten Werten."},
      {"id": "AP-6.1", "status": "required", "directive": "ITSiMed trifft keine autonomen Compliance-Entscheidungen. Alle automatischen Aktionen sind konfigurierbar und abschaltbar."},
      {"id": "AP-6.2", "status": "required", "directive": "Alle automatisierten Prozesse (SLA-Checks, Benachrichtigungen) können vom Administrator deaktiviert werden."},
      {"id": "AP-6.3", "status": "required", "directive": "System akzeptiert sofortige Abschaltung aller KI-gestützten Funktionen ohne Widerstand."},
      {"id": "AP-7.1", "status": "required", "directive": "Compliance-Status basiert ausschließlich auf verifizierten Regulierungsquellen (offizielle KBV/KZBV/ABDA-Dokumente)."},
      {"id": "AP-7.2", "status": "required", "directive": "Jede Anforderung referenziert ihre Rechtsquelle: Paragraph, Richtlinie und Versionsdatum."}
    ]
  }
}