HIPAA a GDPR v online terapii: Jak jsou chráněna vaše citlivá data?

Když se přihlásíte k online terapii, nejde jen o to, že vám někdo poslouchá. Jde o to, že mu sdělujete věci, které nemluvíte nikomu jinému. A tyto informace - vaše myšlenky, strachy, historie zneužívání, léky, diagnózy - jsou nejcitlivější data, která můžete mít. Pokud platforma, kterou používáte, není správně chráněná, tato data mohou být ukradená, prodaná nebo vystavena veřejnosti. A to není jen teorie. V roce 2023 se v Evropě a USA stalo více než 140 incidentů s únikem dat z online terapeutických platform, podle analýzy Censinet. Jak se tedy chrání vaše data? A proč se některé platformy řídí HIPAA, jiné GDPR, a některé oběma zároveň?

Co je HIPAA a proč se používá v online terapii?

HIPAA je americký zákon z roku 1996, který říká, jak mají zdravotnické poskytovatele zacházet s vaší zdravotní informací. V online terapii to znamená, že pokud platforma působí v USA, musí chránit Protected Health Information - tedy všechno, co se týká vašeho zdraví. To zahrnuje diagnózy, předepisované léky, záznamy z sezení, i to, že jste se k terapeutovi obrátili. HIPAA neříká nic o vašem jméně, e-mailu nebo IP adrese - jen o tom, co se týká vašeho těla a duše.

Co to prakticky znamená? Platforma musí mít šifrování dat - v klidu i při přenosu. To znamená AES-256, což je nejsilnější šifrování, které se dnes používá. Musí mít kontrolu přístupu: jen terapeut, který má k vám přístup, může vidět vaše záznamy. Každý přístup musí být zaznamenán - kdo, kdy, proč. A musíte mít možnost požádat o přístup k vlastním záznamům nebo o jejich opravu, pokud je něco špatně. HIPAA také vyžaduje, aby platforma každý rok prošla hodnocením rizik. To znamená, že někdo systematicky zkouší: „Co by se mohlo pokazit? Jak bychom to zjistili? Jak to zastavit?“

Co je GDPR a jak se liší od HIPAA?

GDPR je evropský zákon, který vstoupil v platnost v roce 2016. A je mnohem širší. Není jen o zdravotních údajích. Je o všem, co se vztahuje k vám jako osobě. Vaše jméno, e-mail, IP adresa, poloha, čas, kdy jste se přihlásili, jak dlouho jste zůstali na schůzce - všechno to je osobní údaj. A GDPR říká, že tyto údaje patří vám. Vy rozhodujete, kdo je může vidět, jak dlouho je má uchovávat, a kdy je můžete vymazat.

Porovnání je jasné: HIPAA je jako mikroskop, který se dívá jen na zdravotní údaje. GDPR je širokoúhlý objektiv, který zachycuje celý váš digitální život. A GDPR má přísnější pravidla. Například:

• Souhlas: HIPAA umožňuje „implicitní“ souhlas - tedy pokud jste se přihlásili k terapii, předpokládá se, že souhlasíte s použitím vašich dat pro léčbu. GDPR vyžaduje výslovný souhlas. Musíte kliknout na „souhlasím“ a rozumět, co to znamená.
• Právo na vymazání: Podle GDPR máte právo vyžádat si vymazání všech vašich dat. HIPAA vám umožňuje jen opravit nebo získat přístup k záznamům - ne vymazat je.
• Hlášení porušení: GDPR vyžaduje, aby platforma o incidentu ohlásila do 72 hodin. HIPAA umožňuje až 60 dní. To znamená, že platforma, která chce sloužit i v EU, musí přijmout 72hodinový limit - i pro americké klienty.
• Pokuty: GDPR může uložit pokutu až 20 milionů eur nebo 4 % celkového ročního obratu. HIPAA má pokuty až 1,5 milionu dolarů. V praxi to znamená, že evropské platformy mají větší motivaci dodržovat pravidla.

Co se děje, když platforma slouží i v USA, i v EU?

Největší platformy, jako BetterHelp nebo Talkspace, mají klienty po celém světě. To znamená, že musí splňovat obě pravidla. A to je problém. Například:

• GDPR říká: „Vymažte všechny údaje.“ HIPAA říká: „Uchovávejte záznamy alespoň 6 let.“ Co udělat? Platformy řeší to tak, že vymažou vaše osobní údaje (jméno, e-mail, IP), ale ponechají anonymizovaný záznam o terapii - tedy „osoba A, 45 let, žena, terapie úzkosti, 12 sezení“. To splňuje HIPAA, ale neznamená to, že jste „vymazáni“ podle GDPR.
• GDPR vyžaduje, aby data zůstávala v EU. Pokud platforma používá server v USA, musí mít speciální smlouvy (Standard Contractual Clauses), které zaručují, že data nebudou zneužita. HIPAA to nevyžaduje - pokud je server v USA, je to v pořádku.

Takže pokud jste z EU a používáte americkou platformu, vaše data pravděpodobně cestují přes oceán. A to je riziko. Podle průzkumu American Psychological Association z roku 2023 jen 31 % evropských klientů věří, že jejich data jsou bezpečně přenášena do USA. A to i přes šifrování.

Co můžete jako klient udělat?

Nejste jen oběť. Můžete se ptát. A můžete vybírat.

• Přečtěte si zásady ochrany osobních údajů: Pokud je to víc než dvě strany a neříká to jasně, jak se zachází s vašimi daty - běžte pryč. Žádná platforma, která chce být důvěryhodná, nemůže mít tyto podmínky skryté v 20 stránkách textu.
• Zeptejte se: „Používáte šifrování end-to-end pro videokonference?“ Většina platform používá jen „šifrování při přenosu“ - to znamená, že data jsou šifrovaná, dokud nejsou na serveru. Tam mohou být přečtena. End-to-end šifrování znamená, že jen vy a terapeut můžete data přečíst. To je nejbezpečnější. Podle OWASP v roce 2023 jen 65 % platform používalo end-to-end šifrování.
• Zeptejte se: „Můžu si stáhnout všechny své záznamy? A můžu je vymazat?“ Pokud vám odpoví: „Nemůžete je vymazat, protože to vyžaduje HIPAA“, je to nelegální podle GDPR. Pokud jste v EU, máte právo na vymazání. Pokud vám to odmítnou, můžete podat stížnost na vaši národní úřad pro ochranu dat - například Úřad pro ochranu osobních údajů v Česku.
• Vyberte si evropskou platformu: Pokud chcete maximální ochranu, zvažte platformy, které mají datacentra v EU - jako například česká Terapia.cz. Ty nemusí přenášet data přes oceán, a proto nemusí řešit složité smlouvy s USA. To znamená méně rizik.

Co je největší hrozba - a proč?

Největší hrozba není hacker. Není ani chyba v kódu. Je to terapeut.

Podle analýzy Berlínského institutu pro kybernetickou bezpečnost z roku 2022 je 42 % všech incidentů v online terapii způsobeno terapeuty. Co to znamená? Terapeut si uloží záznamy na osobní počítač. Použije nešifrovaný e-mail. Pošle příspěvek z vlastního účtu na WhatsApp. A to všechno bez vědomí platformy. A protože HIPAA a GDPR se vztahují jen na platformu, ne na jednotlivé terapeuty - vy jste v nebezpečí.

Platforma může mít nejlepší šifrování, ale pokud terapeut používá svůj telefon k odesílání záznamů - vaše data jsou ohrožená. A to je důvod, proč některé platformy nyní vyžadují, aby terapeuti absolvují 40 hodin školení o digitální bezpečnosti. To není jen o zákonech. Je to o kultuře.

Co se děje v budoucnu?

Trh online terapie roste. V roce 2023 byl hodnocen na 4,5 miliardy dolarů. Do roku 2030 by měl dosáhnout 17 miliard. A s tím roste i tlak na bezpečnost. Některé platformy už používají umělou inteligenci, která sleduje, kdo se k vašim záznamům přihlásil. Pokud terapeut, který vám nebyl přidělen, zkusí přístup - systém vás upozorní. Jiné testují blockchain - technologii, která by umožnila, aby jen vy měli klíč k tomu, kdo má přístup k vašim záznamům.

Ale hlavní výzva zůstává: HIPAA a GDPR se nekompatibilní. Jeden říká: „Uchovávejte.“ Druhý říká: „Vymažte.“ A platformy musí najít cestu, jak to obejít. To znamená, že budoucnost bude patřit těm, kdo budou schopni poskytnout transparentní, uživatelsky přívětivé mechanismy - tedy takové, které vám umožní vymazat data podle GDPR, ale zároveň zachovat anonymizovaný záznam podle HIPAA.

Podle průzkumu Deloitte z roku 2023 89 % klientů je ochotno zaplatit až o 15 % více za platformu, která dokáže prokázat, že jejich data jsou bezpečnější. To není jen o zákonech. Je to o důvěře. A důvěra se stává cenou - ne jen v penězích, ale i v tom, jak si vyberete terapii, která vás opravdu chrání.