Stále více lidí využívá online terapii a s tím roste i množství citlivých informací, které se přenášejí přes internet. Klienti se ptají: „Je moje soukromí v bezpečí?“ Odpověď leží v dodržování dvou hlavních regulací - amerického HIPAA (Health Insurance Portability and Accountability Act) a evropského GDPR (General Data Protection Regulation). Tento článek vysvětluje, jaký dopad mají na online terapeutické platformy a co mohou poskytovatelé udělat, aby data svých klientů byla opravdu chráněna.
Proč jsou HIPAA a GDPR relevantní najednou?
HIPAA reguluje pouze zdravotnické informace (PHI) ve Spojených státech, zatímco GDPR pokrývá veškeré osobní údaje občanů EU, a to i když jsou zpracovávány mimo území EU. Pokud platforma poskytuje služby jak klientům v USA, tak v Evropě, musí splňovat oba soubory požadavků. To často vede k tzv. dvojímu souladu - kombinaci nejpřísnějších částí obou předpisů.
Klíčové technické požadavky pro bezpečnou online terapii
Bez ohledu na geografii platí několik technických pravidel, která jsou v HIPAA i GDPR jasně definována:
- AES-256 (šifrovací algoritmus používající 256‑bitový klíč) pro šifrování dat v klidovém stavu i během přenosu.
- TLS 1.2+ (protokol zabezpečující šifrovaný přenos dat přes internet) jako minimum pro všechny videokonference a výměnu zpráv.
- Kontrola přístupu na základě rolí (RBAC) - uživatelé mají jen ta oprávnění, která potřebují k výkonu své role.
- Auditní stopy - každá operace s daty (přístup, úprava, export) se zaznamenává a je uchovávána alespoň 6 let podle HIPAA, nebo déle podle požadavků členského státu EU.
- Pravidelné hodnocení rizik - roční risk assessment pro HIPAA a DPIA (Data Protection Impact Assessment) pro GDPR, pokud je zpracování označeno jako vysoce rizikové.
Porovnání HIPAA a GDPR v kontextu online terapie
| Aspekt | HIPAA | GDPR |
|---|---|---|
| Rozsah dat | Chrání pouze PHI (zdravotnické záznamy) | Chraňuje všechny osobní údaje (jméno, e‑mail, IP adresa, poloha) |
| Geografický rozsah | USA - poskytovatelé zdravotní péče a jejich dodavatelé | Občané EU bez ohledu na místo zpracování |
| Souhlas | Implicitní pro léčbu, platbu a provoz | Výslovný souhlas je povinný |
| Práva subjektu | Právo na přístup a opravu PHI | Právo na přístup, výmaz, přenositelnost, opravu |
| Hlásení porušení | Do 60 dní | Do 72 hodin |
| Maximální pokuty | Až 1,5 mil. USD | Až 20 mil. EUR nebo 4 % globálního obratu |
Jak implementovat soulad v praxi - krok za krokem
- Mapa datových toků - zaznamenejte, kde se PHI a osobní údaje ukládají, jak se přenášejí a kdo k nim má přístup.
- Šifrování - nasadíte AES‑256 pro ukládání a TLS 1.2+ pro všechny síťové přenosy.
- Kontrola přístupu (RBAC) - definujte role (terapeut, administrátor, technik) a přiřaďte práva.
- Audit a logování - zapněte detailní logy všech operací a zahrňte je do ročního risk assessment.
- DPIA nebo risk assessment - podle toho, jestli zpracováváte data EU občanů (GDPR) nebo americké PHI (HIPAA).
- Standardní smluvní doložky (SCC) - pokud přenášíte data mimo EU, zahrňte SCC do smluv s poskytovateli cloudových služeb.
- Privacy by design - implementujte pseudonymizaci a minimální sběr dat už při vývoji aplikace.
- Školení personálu - zajistěte, aby všichni terapeuté absolvovali alespoň 40 hodin školení o digitální bezpečnosti.
Praktický checklist pro poskytovatele
- Máte provedený risk assessment a DPIA?
- Je všechna data šifrována AES‑256 a přenosy zabezpečeny TLS 1.2+?
- Funguje role‑based access control (RBAC) a jsou auditní logy automaticky archivovány po 6 letech?
- Existuje proces pro okamžité hlášení incidentu do 72 hodin (GDPR) a 60 dnů (HIPAA)?
- Máte smlouvy s cloudovými poskytovateli obsahující SCC?
- Umožňujete klientům snadno stáhnout, opravit a požádat o výmaz svých dat?
- Provádíte pravidelné penetrační testy a revize kódu (např. OWASP Top 10)?
Uživatelské zkušenosti - co říkají klienti?
Na Trustpilot platforma BetterHelp získala průměrné hodnocení 3,8 / 5 a 68 % recenzentů uvádí „vysokou úroveň důvěrnosti dat“ jako klíčový faktor. Na Redditu se uživatel TherapySeeker89 podělil: „Mám rád, že videohovory jsou end‑to‑end šifrované, ale chybí mi možnost úplně smazat staré poznámky terapeuta.“ To odhaluje častý problém: GDPR vyžaduje výmaz na žádost, ale HIPAA ukládá záznamy po dobu minimálně 6 let. Když platformy nevyřeší tento konflikt, ztrácejí důvěru.
Budoucí trendy a co očekávat v následujících letech
Do roku 2025 bude 80 % online terapeutických služeb nabízet kombinovaný soulad s HIPAA i GDPR (Gartner, 2023). Mezi hlavní inovace patří:
- Umělá inteligence pro detekci anomálií v přístupu - 56 % vývojářů plánuje nasazení do roku 2024.
- Blockchainové záznamy o souhlasu - testují 32 % startupů v oblasti zdravotnictví.
- GDPR 2.0 - navržená reforma, která má zjednodušit přeshraniční přenosy zdravotnických dat.
Klíčové zůstává transparentnost. Pokud platforma jasně komunikuje, jakým způsobem uchovává a maže data, získá až 15 % vyšší ochotu klientů zaplatit za bezpečnější služby (Deloitte, 2023).
Často kladené otázky
Jaký je hlavní rozdíl mezi HIPAA a GDPR?
HIPAA se vztahuje jen na zdravotnické informace (PHI) v USA, zatímco GDPR chrání všechny osobní údaje občanů EU, a to i když jsou zpracovávány mimo EU.
Musím mít soulad s oběma předpisy, i když služby nabízím jen v EU?
Pokud máte klienty v USA nebo využíváte poskytovatele se sídlem v USA, musíte dodržovat i HIPAA. Jinak stačí GDPR.
Jak dlouho musím uchovávat záznamy podle HIPAA?
Minimálně 6 let od poslední aktivní interakce s pacientem.
Co jsou Standard Contractual Clauses (SCC) a kdy je potřebuji?
SCC jsou smluvní záruky, které umožňují legální přenos osobních dat z EU mimo oblast EU. Používají se, když data míří do USA nebo jiné třetí země.
Jaký je nejčastější bezpečnostní incident v online terapii?
Podle OWASP je to nedostatečné šifrování videokonferenčních kanálů - u 35 % prověřených platforem bylo identifikováno slabé šifrování.
Dodržovat HIPAA i GDPR není jednoduché, ale je to nejlepší cesta, jak zajistit klientům klidnou mysl a vám stabilní růst na globálním trhu s online terapií.
