Když se připojíte k online terapii, nejde jen o to, že vás někdo poslouchá. Jde o to, že vám někdo zachycuje nejcitlivější části vašeho života - vaše úzkosti, traumata, vztahy, noční můry, přiznání, která jste nikdy nikomu neřekli. A všechno to se ukládá do počítače. Online terapie je pohodlná, ale bezpečnost vašich dat není samozřejmost. Mnoho lidí si myslí, že pokud platforma vypadá profesionálně, je vše v pořádku. To není pravda. Zákon, který vás chrání, závisí na tom, kde žijete, kde je firma, a jaké technické standardy používá. A to je důvod, proč HIPAA a GDPR nejsou jen technické termíny - jsou vaším základním ochranným štítem.
Co je HIPAA a proč ho znáte, i když nežijete v USA
HIPAA je americký zákon z roku 1996, který chrání vaše zdravotní informace. Ale ne všechny. Jen ty, které se týkají léčby, platby nebo zdravotnického provozu. To znamená: vaše diagnózy, léky, záznamy o sebevražedných myšlenkách, výsledky psychologických testů - to vše je chráněno jako PHI (Protected Health Information). Pokud platforma, kterou používáte, je založená v USA nebo má americké klienty, musí splňovat HIPAA. To znamená šifrování dat na serverech (AES-256), záznamy o tom, kdo kdy přistoupil k vašim údajům, a povinnost hlásit únik dat do 60 dní. Ale to není všechno. HIPAA neříká nic o vašem jménu, e-mailu nebo IP adrese - jen o tom, co se týká vašeho zdraví.GDPR: Více než jen zdravotní data - celý váš život je pod ochranou
GDPR je evropský zákon, který se vztahuje na všechny osobní údaje. To znamená: vaše jméno, e-mail, telefon, poloha, historie prohlížení, i to, kdy jste se připojili k terapii a jak dlouho jste zůstali. Pokud žijete v EU, GDPR vás chrání, bez ohledu na to, zda je terapeutická platforma z Německa, Indie nebo Kalifornie. GDPR vyžaduje výslovný souhlas - nemůžete se jen „přihlásit“ a předpokládat, že všechno je v pořádku. Musíte jasně souhlasit s každým druhem zpracování. A máte právo vymazat své údaje, přenést je jinam, nebo si je nechat poslat. Pokud dojde k úniku, platforma musí oznámit porušení do 72 hodin. Pokuty mohou dosáhnout 20 milionů eur nebo 4 % celkového obratu firmy. To je důvod, proč většina evropských platform používá datacentra v EU - aby se vyhnuly přenosu dat mimo území, kde by se musely dodržovat složité záruky jako SCC.Co se stane, když platforma pracuje v USA i EU?
Mnoho velkých platform, jako BetterHelp nebo Talkspace, má klienty po celém světě. To znamená, že musí splňovat jak HIPAA, tak GDPR. A to je problém. HIPAA umožňuje implicitní souhlas pro léčbu, GDPR vyžaduje výslovný. HIPAA umožňuje uchovávat záznamy 6 let, GDPR umožňuje vymazat je hned, pokud to požadujete. HIPAA dává 60 dní na hlášení úniku, GDPR jen 72 hodin. Jak to vyřeší platforma? Většina z nich zvolí nejpřísnější pravidlo - GDPR. Takže i americký klient dostane 72-hodinový limit, výslovný souhlas a možnost vymazání. Je to drahé, ale bezpečnější. A to je právě to, co klienti chtějí. Podle průzkumu American Psychological Association z roku 2023 78 % lidí říká, že jasná ochrana dat je klíčová pro jejich důvěru v platformu.
Co se skrývá za tím, že „všechno je šifrované“?
Když platforma říká „end-to-end šifrování“, neznamená to, že je vše bezpečné. Musíte vědět, kde je šifrování. Pokud je šifrováno jen při přenosu (např. přes Zoom), ale data na serveru jsou uložená jako normální text - to není bezpečné. HIPAA vyžaduje šifrování v klidovém stavu i při přenosu. GDPR doporučuje to samé. Ale v praxi 35 % online terapeutických platform podle OWASP z roku 2023 používá nešifrované nebo slabě šifrované videokonference. A 28 % má špatně nakonfigurovaná API - což je jako nechat dveře otevřené, i když máte zámek na hlavním vchodu. Nejlepší platformy používají AES-256 šifrování, TLS 1.2 nebo novější, a pravidelně testují své systémy. Pokud nevidíte, jaké technické standardy používají, nevěřte tomu, že je vše v pořádku.Co dělá terapeut, co by měl vědět o bezpečnosti?
Většina terapeutů není IT specialisté. Ale to neznamená, že mohou ignorovat bezpečnost. Podle Berlínského institutu pro kybernetickou bezpečnost z roku 2022 je 42 % všech incidentů v online terapii způsobeno chybami terapeutů. Například: odeslání záznamu na osobní e-mail, použití nezabezpečeného Wi-Fi, nebo uložení poznámek na telefon bez hesla. Terapeut musí mít minimálně 40 hodin školení v oblasti digitální bezpečnosti. A musí znát rozdíl mezi „záznamem o terapii“ (který je chráněn HIPAA) a „poznámkou o vaší zálibě v černém čaji“ (která je osobní údaj pod GDPR). Pokud terapeut neví, co je co, vaše data jsou v nebezpečí.Co dělat, když chcete vymazat své údaje?
GDPR vám dává právo na vymazání. Ale v praxi je to složité. 32 % stížností na platformách se týká obtížných procesů vymazání. Některé platformy vám řeknou: „Můžete smazat svůj profil, ale záznamy o terapii musíme uchovat kvůli právním povinnostem.“ To je pravda - HIPAA vyžaduje uchování záznamů 6 let. Takže pokud žijete v EU a chcete vymazat vše, platforma musí vymazat vaše jméno, e-mail, IP adresu, ale záznamy o terapii může ponechat - jen anonymizovat. To znamená: všechny identifikátory jsou odstraněny, ale obsah zůstává. Pokud to platforma nevysvětlí jasně, je to podvod. Váš pravomocný nárok na vymazání platí - ale jen pro osobní údaje, ne pro lékařské záznamy.
Co vás může překvapit na Trustpilotu a Redditu
Na Trustpilot má BetterHelp 3,8/5. 68 % lidí říká, že jejich důvěra vychází z „vysoké úrovně důvěrnosti dat“. Ale na Redditu uživatel „TherapySeeker89“ píše: „Oceňuji end-to-end šifrování, ale překvapilo mě, že nemohu vymazat historické poznámky terapeuta.“ To je klíčové. Platforma může mít šifrování, ale ne všechny funkce jsou pro uživatele transparentní. Některé platformy skrývají, že ukládají hlasové záznamy, chaty, nebo i snímky obrazovky. Pokud nevidíte v zásadách ochrany osobních údajů, co se ukládá a jak dlouho, nevěřte tomu, že máte kontrolu.Co se změní v příštích letech?
V roce 2023 byla HIPAA aktualizována, aby zahrnovala i cloudová řešení. A v EU se připravuje GDPR 2.0, která by měla zjednodušit přeshraniční zpracování zdravotních dat. Do roku 2025 bude 80 % globálních platform používat kombinaci obou předpisů jako standard. Umělá inteligence bude detekovat podezřelý přístup k vašim datům - například, když terapeut náhodně přistoupí k vašim záznamům v půlnoc. Blockchain se testuje pro záznamy o souhlasu - takže budete mít jasný, nezmenšitelný záznam, kdo a kdy souhlasil. Ale hlavní riziko zůstává: nedostatečná harmonizace mezi HIPAA a GDPR. To znamená, že platformy budou muset investovat stovky tisíc dolarů, aby splnily oba systémy. A to se projeví v cenách. Podle Deloitte z roku 2023 89 % lidí je ochotno platit až o 15 % více za platformu, která dokáže prokázat bezpečnost.Když vyberete online terapii, zeptejte se na toto
- Který zákon používáte: HIPAA, GDPR, nebo oba? - Kde jsou vaše data uložena? (EU nebo USA?) - Používáte šifrování AES-256 pro data v klidu i při přenosu? - Můžu si stáhnout své záznamy v čitelné formě? - Jak dlouho uchováváte mé záznamy a jaké jsou možnosti vymazání? - Kdo má přístup k mým datům, a jak se to kontroluje? - Jak dlouho trvá hlášení úniku dat? (Mělo by být do 72 hodin.) Pokud vám odpovědi nejsou jasné, nebo se vyhýbají, hledejte jinou platformu. Vaše psychické zdraví je důležité. Ale vaše data jsou stejně důležitá.Může můj terapeut přístup k mým datům, když je mimo práci?
Ne, pokud platforma dodržuje GDPR a HIPAA. Oba předpisy vyžadují, aby přístup k datům byl omezen pouze na účely léčby. Každý přístup se zaznamenává. Pokud terapeut přistoupí k vašim záznamům mimo pracovní dobu nebo bez důvodu, je to porušení. Platforma by měla mít systém, který vás upozorní, pokud dojde k neobvyklému přístupu. Pokud se nezaznamenávají přístupy, platforma není bezpečná.
Co se stane, když platforma zanikne?
Zákon vyžaduje, aby platforma měla plán, jak zachránit vaše údaje. Pokud zanikne, musí předat vaše záznamy jinému poskytovateli nebo vám je poslat. V případě GDPR musí být vaše data vydána v přenositelném formátu (např. PDF nebo CSV). V případě HIPAA musí být záznamy předány na požádání. Pokud platforma neříká, co se stane v případě uzavření, je to červená vlajka.
Je bezpečné používat online terapii z veřejného Wi-Fi?
Ne. I když platforma používá šifrování, veřejné Wi-Fi je nebezpečné. Hacker může zachytit vaše přihlašovací údaje nebo vás přesměrovat na falešnou stránku. Pokud musíte používat veřejnou síť, použijte VPN. Ale ideální je terapie z domova, přes bezpečný domácí internet. Záznamy o vašem psychickém zdraví nejsou data, která byste měli riskovat.
Můžu si vyžádat, aby můj terapeut nepoužíval poznámky?
Ano. GDPR vám dává právo požadovat omezení zpracování. Pokud nechcete, aby terapeut ukládal poznámky, můžete požádat o použití jen hlasových záznamů nebo omezeného záznamu. Terapeut musí tento požadavek respektovat. Pokud odmítne, můžete se obrátit na dozorový orgán. Většina terapeutů pochopí, že někteří klienti chtějí minimální záznamy - a to je v pořádku.
Jak vím, že platforma opravdu dodržuje GDPR nebo HIPAA?
Hledejte certifikace. Platforma by měla mít certifikát ISO 27001 (bezpečnost informací) nebo SOC 2 Type II (pro americké platformy). Tyto certifikáty nejsou jen „výrobní nálepka“ - znamenají, že nezávislý auditor ověřil jejich systémy. Pokud platforma nemá žádný certifikát, ale tvrdí, že je kompatibilní, je to riziko. Nejde o to, jestli „to vypadá dobře“. Jde o to, jestli to bylo ověřeno.
