Když se připojíte k online terapeutovi, nejde jen o to, že vás někdo poslechne. Jde o to, že mu důvěřujete své nejcitlivější myšlenky - úzkosti, vzpomínky, strachy, které jste nikdy neřekli nikomu jinému. A pak se ptáte: jak je to všechno chráněno? Nejsou vaše záznamy, videokonference nebo zprávy někde uložené na serveru, který může být hacknutý? Kdo má přístup k vašim datům? A co když se rozhodnete, že už to nechcete, aby někdo věděl?

Co vlastně HIPAA a GDPR dělají pro vaše data?

Na jedné straně máte HIPAA - americký zákon z roku 1996, který se týká pouze zdravotních informací. Pokud terapeut pracuje v USA nebo používá americkou platformu, musí dodržovat HIPAA. To znamená, že vaše diagnostiky, záznamy o sezeních, léky, které užíváte, nebo i slova, která jste řekli během konzultace, jsou považována za Protected Health Information (PHI). Tyto údaje smí mít přístup pouze ti, kdo jsou přímo zapojení do vaší péče - terapeut, administrativa, případně technický tým, který udržuje platformu. A musí to být šifrované.

Na druhé straně je GDPR - evropské nařízení, které vstoupilo v platnost v roce 2016. A to je důležité, protože pokud jste občan EU, nezáleží, jestli terapeut sedí v New Yorku nebo v Praze. GDPR vás chrání jako osobu. Nejen vaše zdravotní údaje, ale i vaše jméno, e-mail, IP adresu, polohu, dokonce i čas, kdy jste se přihlásili na konzultaci. GDPR říká: tohle je vaše data. Vy o nich rozhodujete.

Rozdíl je zásadní. HIPAA je jako klíč od pokojíku, kde jsou vaše zdravotní papíry. GDPR je jako zámek na vašem celém domě - všechno, co tam je, patří vám. A vy můžete požádat, aby vám ho otevřeli, přenesli nebo dokonce zničili.

Co musí online terapeutická platforma umět?

Není dost, aby platforma měla hezký design a rychlý připojení. Pokud chce být bezpečná, musí splňovat technické požadavky obou zákonů.

• Šifrování: Všechna data, která se přenášejí mezi vámi a terapeutem, musí být šifrovaná pomocí AES-256 - to je nejvyšší standard, který se používá i ve vojenských systémech. A to nejen při přenosu, ale i když jsou data uložená na serveru - v klidovém stavu.
• Kontrola přístupu: Pouze konkrétní lidé by měli mít přístup k vašim záznamům. Terapeut? Ano. Jeho asistent? Jen pokud má k tomu oprávnění a to jen na dobu, kdy je potřeba. Systém musí umět rozlišit, kdo co vidí. To se jmenuje RBAC - role-based access control.
• Auditní záznamy: Každý přístup k vašim datům musí být zaznamenán. Kdo, kdy, odkud a co si prohlédl. HIPAA vyžaduje, aby tyto záznamy byly uchovávané minimálně 6 let. GDPR je ještě přísnější - pokud jste požádali o výmaz, musí být záznamy o přístupu také smazány.
• Bezpečnostní testy: Platforma by měla pravidelně procházet bezpečnostními audity. Některé společnosti provádějí testy každých 3 měsíce. Pokud to dělá jen jednou za rok, je to příliš málo.

Podle analýzy OWASP z roku 2023 je 35 % online terapeutických platform nezabezpečených při videokonferencích. To znamená, že někdo by mohl naslouchat vašim konzultacím - pokud byste používali špatnou aplikaci. A 28 % mělo špatně nakonfigurovaná API, což je jako nezamčená zadní vrátka.

Práva, která máte podle GDPR

Pokud jste v EU, máte práva, která HIPAA vůbec nezná. A můžete je použít.

• Právo na přístup: Můžete požádat o kompletní kopii všech vašich dat - záznamy, zprávy, soubory, vše. Platforma musí poskytnout tyto informace do 30 dní.
• Právo na výmaz: Pokud už nechcete, aby vaše data zůstávala uložená, můžete je požádat o smazání. Neexistuje „ale“ - pokud nejsou zákonně nutné k uchování (např. kvůli lékařské povinnosti), musí být smazány.
• Právo na přenositelnost: Můžete požádat o přenos vašich dat do jiné platformy. Například, pokud chcete změnit terapeuta nebo platformu, nemusíte začít znovu od nuly.
• Právo na opravu: Pokud je ve vašich záznamech chyba - například nesprávně zapsané jméno nebo špatná diagnóza - můžete požádat o její opravu.

Naopak HIPAA vám umožňuje pouze přístup a opravu zdravotních údajů. Nic víc. A neexistuje právo na výmaz - pokud je záznam součástí vašeho zdravotního dokumentu, musí být uložený i po skončení terapie.

Co se stane, když se něco pokazí?

Představte si, že se někdo dostane k vašim datům. Co dál?

Podle GDPR musí platforma o porušení oznámit do 72 hodin. To je velmi krátký čas. A musí to udělat i vám. Nemůžou to zamlčet, protože to je trestné.

Podle HIPAA mají 60 dní. To je téměř dva měsíce. A nejsou povinni vás informovat, pokud se porušení nepovažuje za „vysoké riziko“.

Co to znamená pro vás? Pokud používáte platformu, která má klienty v USA i EU, musí dodržovat přísnější pravidlo - tedy 72 hodin. Většina dobrých platform už to dělá. Proč? Protože je jednodušší mít jedno pravidlo než dvě.

Pokuty jsou jinak. GDPR může uložit pokutu až 20 milionů eur nebo 4 % ročních příjmů. HIPAA má stupňované pokuty - od 100 dolarů za malou chybu až po 1,5 milionu dolarů za závažné porušení. Ale v praxi je GDPR mnohem účinnější. Evropské úřady jsou aktivní. V roce 2023 bylo uloženo přes 400 pokut za porušení GDPR v oblasti zdravotnictví.

Proč to všechno dělá některé platformy špatně?

Ne všechny online terapeutické platformy jsou stejné. Některé jsou jako velká nemocnice s týmem právníků a IT specialistů. Jiné jsou jen jedna osoba s aplikací, kterou si koupila na tržišti.

Nejčastější chyby?

• Nejasné podmínky souhlasu: „Používáním této platformy souhlasíte s našimi podmínkami.“ To není dost. GDPR vyžaduje výslovný, informovaný a volný souhlas. Pokud nemáte tlačítko „souhlasím“ a musíte přečíst 10 stran textu, který nechápete, není to platný souhlas.
• Nemožnost smazat data: Mnoho platform má tlačítko „odhlásit se“, ale ne „smazat vše“. Pokud se ptáte, jak smazat své záznamy, dostanete odpověď: „To nejde.“ To je porušení GDPR.
• Terapeuti nevědí: Podle studie z Berlína je 42 % incidentů způsobeno terapeuty, kteří nevědí, jak bezpečně pracovat s daty. Například: posílají záznamy e-mailem, používají osobní Google Drive nebo ukládají poznámky na telefon bez šifrování.

Na Trustpilotu 68 % uživatelů říká, že bezpečnost dat je pro ně klíčový důvod, proč vybírají konkrétní platformu. Ale na Redditu uživatel „TherapySeeker89“ napsal: „Oceňuji end-to-end šifrování, ale překvapilo mě, že nemohu vymazat historické poznámky terapeuta.“ To je přesně ten moment, kdy se systém neřídí GDPR.

Co si máte vybrat - a jak to zjistit?

Než se přihlásíte k online terapii, podívejte se na tři věci:

1. Zkontrolujte zásady ochrany osobních údajů: Mají je? Jsou napsané česky? Jsou konkrétní? Pokud píšou jen „chráníme vaše data“, je to špatně. Hledejte slova jako „šifrování AES-256“, „auditní záznamy“, „právo na výmaz“.
2. Podívejte se, kde jsou servery: Pokud platforma používá datacentra v EU (Německo, Nizozemí, Česko), je to bezpečnější. Pokud data cestují do USA, musí být použity Standard Contractual Clauses (SCCs) - a to musí být jasně uvedeno.
3. Zeptejte se: Napište jim: „Můžu si stáhnout všechny své záznamy? A mohu je vymazat? Jak dlouho je uchováváte?“ Pokud neodpoví jasně, nebo se vyhýbají, je to červená vlajka.

Platformy jako Terapia.cz, která je založená v Česku, mají výhodu - pracují pod českým a evropským právem. Nemusí se snažit splňovat HIPAA. Ale pokud chcete pracovat s terapeutem v USA, musíte vědět, že vaše data budou podléhat oběma zákonům. A to znamená větší komplexitu - ale také větší ochranu.

Budoucnost: Co se bude měnit?

Do roku 2025 bude 80 % globálních online terapeutických platform používat kombinaci HIPAA a GDPR jako standard. To je trend. Lidé nechtějí hledat, který zákon platí. Chtějí jednoduchost a jistotu.

Nové technologie se objevují. Některé startupy zkouší blockchain pro záznamy o souhlasu - takže každý přístup k vašim datům bude nezvratně zaznamenaný. Umělá inteligence pomáhá detekovat neobvyklé přístupy - například, když terapeut náhle přistupuje k vašim záznamům v 3 hodiny ráno.

Ale hlavní výzva zůstává: harmonizace. HIPAA a GDPR nejsou navzájem kompatibilní. Jeden vyžaduje uchovávání dat, druhý jejich výmaz. Platformy musí najít řešení, které splňuje obě - a to je drahé. Náklady na plnou kompatibilitu mohou dosáhnout 500 tisíc dolarů. Proto jsou nejbezpečnější platformy ty, které investují do toho, aby to dělaly správně - a ne jen aby to vypadalo dobře.

Podle Deloitte je 89 % klientů ochotno platit o 15 % více za prokazatelně bezpečnou terapii. To není jen o technice. Je to o důvěře. A důvěra se nevytváří slovy. Vzniká konzistencí, transparentností a důsledností.