HIPAA a GDPR v online terapii: Jak je chráněna bezpečnost vašich dat

当您坐在家里的沙发上，通过屏幕与心理治疗师交谈时，您是否想过：我的情绪记录、我的创伤故事、我的私密想法--这些数据到底去哪儿了？谁在看？谁在保存？又有没有人可能偷走它们？

Online terapie je dnes běžná součást péče o duševní zdraví. V Česku a po celé Evropě se jí využívá stále častěji. Ale s tím, jak se digitální terapie rozšiřuje, roste i riziko, že vaše nejcitlivější údaje budou narušeny. A to nejde jen o to, zda se vám někdo přihlásí na vaši schůzku. Jde o to, kdo má přístup k vašim záznamům, jak jsou šifrovány, kde jsou uloženy a jak dlouho zůstanou v systému. A tady začínají dva hlavní pravidla: HIPAA a GDPR.

Co je HIPAA a proč to vůbec má smysl v Evropě?

HIPAA je americký zákon z roku 1996, který chrání zdravotní informace - tzv. PHI (Protected Health Information). To znamená: vaše diagnózy, léky, terapeutické záznamy, historie závislostí, sezení s terapeutem. Pokud je platforma založená v USA nebo má klienty v USA, musí dodržovat HIPAA. Ale co když jste z Prahy a používáte BetterHelp? I když jste evropský uživatel, platforma může stále muset dodržovat HIPAA, protože má americké klienty. A to znamená, že vaše data mohou být chráněna podle amerických pravidel - což není vždy to nejlepší pro vás.

HIPAA se zaměřuje jen na zdravotní údaje. Nezajímá se o vaše e-mailové adresy, IP adresy nebo to, kde jste byli, když jste mluvili s terapeutem. Jen na to, co jste řekli o svém duševním zdraví. A to je klíčový rozdíl. HIPAA umožňuje implicitní souhlas - pokud jste klientem, předpokládá se, že souhlasíte s použitím vašich dat pro léčbu, platby a administrativu. Nežádá vás, abyste klikli na „souhlasím“.

GDPR: Evropský zákon, který vás opravdu chrání

GDPR, který vstoupil v platnost v roce 2016, je úplně jiný. Neříká jen: „chráň zdravotní údaje“. Říká: „chráň všechno, co může identifikovat tebe jako jednotlivce“. To znamená: vaše jméno, e-mail, telefon, poloha, IP adresa, dokonce i typ vašeho prohlížeče. A to všechno, bez ohledu na to, kde je platforma zaregistrovaná. Pokud máte evropskou adresu nebo jste v EU, GDPR vás chrání - i když platforma je z Kalifornie.

GDPR vyžaduje výslovný souhlas. Když se přihlásíte na platformu, musí vám vysvětlit, proč potřebuje vaše data, jak je použije, jak dlouho je uchová a kdo s nimi může pracovat. A vy musíte kliknout na „souhlasím“. Pokud ne, nemůžou vám poskytnout službu. To je rozdíl. V USA se předpokládá souhlas. V EU ho musíte aktivně dát.

GDPR také dává vašim datům právo na smazání. Pokud chcete, aby byly vaše záznamy z terapie odstraněny, můžete to požádat. Platforma musí to splnit - pokud to není zakázáno zákonem. HIPAA vám toto právo neposkytuje. V USA se záznamy z terapie uchovávají minimálně 6 let - i když už nechcete, aby byly kdekoliv.

Když se setkají HIPAA a GDPR: Co se děje v pozadí?

Největší problém pro online terapeutické platformy není technologie. Je to to, že musí splňovat oba zákony současně. Pokud chcete mít klienty v USA i v EU, musíte být HIPAA i GDPR kompatibilní. A to je jako snažit se najít společného jazyka mezi dvěma jazyky, které mají úplně jinou gramatiku.

GDPR vyžaduje, aby se porušení dat hlásilo do 72 hodin. HIPAA umožňuje až 60 dní. Co udělá platforma? Většina z nich volí GDPR - protože je přísnější. Takže i když jste americký klient, vaše data mohou být chráněna evropskými pravidly. To je dobré. Ale znamená to, že platforma musí mít složitý systém, který sleduje, kdo kdy přistupoval k vašim údajům, kde byly uloženy a jak byly přenášeny.

Technicky to znamená: šifrování AES-256 při ukládání a při přenosu, kontrola přístupu podle rolí (jen terapeut může vidět vaše záznamy, nikdo jiný), a auditní záznamy, které se uchovávají alespoň 6 let. Platforma musí mít TLS 1.2 nebo vyšší - jinak se vaše videokonference mohou dostat do rukou hackerů. A to není hypotéza. Podle OWASP je 35 % online terapeutických platform používá nešifrované nebo slabě šifrované videokonference. To znamená, že někdo může sledovat vaše sezení, když jste v počítači.

Co se stane, když se něco pokazí?

GDPR může uložit pokutu až 20 milionů eur nebo 4 % celkového příjmu. HIPAA má pokuty od 100 do 1,5 milionu dolarů. To znamená, že pro platformu je mnohem větší riziko porušit GDPR. A proto většina platform, které chtějí fungovat v Evropě, volí GDPR jako svůj základní standard - i pro americké klienty.

Co se stane, když dojde k úniku dat? Pokud jste v EU, platforma musí o tom říct vám a úřadu do 72 hodin. Pokud jste v USA, může vám to říct až za 60 dní. A to je důležité. Pokud se vaše údaje dostanou do rukou třetí strany, chcete vědět co nejdříve. GDPR vám to dává. HIPAA ne.

Uživatelské zkušenosti: Co si lidé skutečně říkají?

Na Trustpilotu má BetterHelp průměrné hodnocení 3,8 z 5. 68 % uživatelů říká, že „vysoká úroveň důvěrnosti dat“ je důvod, proč vybrali tuto platformu. To zní dobře. Ale na Redditu uživatel „TherapySeeker89“ napsal: „Oceňuji end-to-end šifrování, ale překvapilo mě, že nemohu smazat své historické poznámky.“

A to je ten problém. Platforma může mít šifrování, ale stále uchovávat vaše záznamy navždy. GDPR vám dává právo na smazání. Ale pokud platforma dodržuje HIPAA, musí záznamy uchovávat. A tak se stává, že vaše data jsou „chráněna“, ale nejsou „vaše“. Některé platformy vám umožní stáhnout své záznamy, ale neodstraní je z jejich systému. A to není soulad s GDPR.

23 % uživatelů na Capterra říká, že „nejsou si jisti, jak jsou jejich data chráněna při přenosu“. A to je realita. Pokud platforma nepoužívá správné šifrování, vaše hovory mohou být zachyceny. Pokud terapeut používá osobní e-mail nebo WhatsApp, je to porušení. A to se stává častěji, než byste si mysleli. Podle Berlínského institutu je 42 % incidentů v online terapii způsobeno tím, že terapeuti nevědí, jak bezpečně pracovat s daty.

Co můžete dělat vy?

Nejprve se podívejte na zásady ochrany osobních údajů platformy. Hledáte tyto věci:

• Používá šifrování AES-256 pro data v klidu i při přenosu?
• Má výslovný souhlas pro každý typ zpracování?
• Umožňuje vám smazat své záznamy (ne jen stáhnout)?
• Uchovává auditní záznamy?
• Je založená v EU nebo má datacentrum v EU?

Nezapomeňte na to, že pokud platforma je z USA, ale máte evropskou adresu, GDPR vás stále chrání. A to je vaše právo. Pokud vám platforma řekne „ne, nemůžeme vám to smazat“, můžete podat stížnost na český Úřad pro ochranu osobních údajů.

Nejlepší platformy dnes používají „privacy by design“ - to znamená, že bezpečnost je součástí každé funkce. Pseudonymizace dat, automatické odstraňování záznamů po určité době, omezení přístupu, pravidelné bezpečnostní audity. Pokud platforma to dělá, můžete mít důvěru. Pokud ne, nechte to.

Budoucnost: Co se bude dít?

Do roku 2025 bude 80 % online terapeutických platform používat kombinaci HIPAA a GDPR jako standard. To je dobrá zpráva. Ale problém je, že tyto zákony nejsou harmonizované. GDPR chce smazání. HIPAA chce uchování. GDPR chce 72 hodin. HIPAA chce 60 dní. To vytváří chaos.

Nové technologie pomáhají. Umělá inteligence sleduje, kdo se k vašim datům přihlásil. Blockchain umožňuje, aby jste měli kontrolu nad tím, kdo může přistupovat k vašim záznamům. Ale to je všechno ještě ve vývoji.

Největší příležitost je jednoduchá: transparentnost. Pokud platforma vám řekne přesně, co dělá s vašimi daty, kde je ukládá a jak dlouho je drží - můžete rozhodnout sami. A to je to, co vás opravdu chrání. Ne zákon. Ne šifrování. Ale vaše schopnost rozumět tomu, co se děje.

Online terapie je významná. Ale vaše bezpečnost je ještě důležitější. Nechte si vysvětlit, jak funguje ochrana dat. Ptějte se. Vyžadujte jasnost. A pokud vám to někdo skrývá - vyberte si něco jiného.