Když se posadíte ke kameře a začnete mluvit o svých nejhlubších strachu, odepřených vzpomínkách nebo emocích, které nikdy nikdo neviděl - vy necháváte víc než slova. Zanecháváte své daty. Každá věta, kterou vyslovíte během online terapie, je zaznamenána, uložena a přenášena skrze server. A kdo ví, jak dobře jsou tyto informace chráněny?
Většina lidí si myslí, že když používají platformu jako BetterHelp nebo Terapia.cz, jsou jejich údaje v bezpečí. Ale to není pravda. Bezpečnost vašich dat závisí na tom, jaký zákon platí - a jestli platforma dodržuje HIPAA, GDPR, nebo oba. A to je důležité, protože rozdíly mezi těmito pravidly mohou znamenat, že vaše citlivé informace budou nebo nebudou vymazány, když je požádáte, nebo že budou nebo nebudou hlášeny, když se něco pokazí.
Co je HIPAA a proč to vůbec platí v Evropě?
HIPAA je americký zákon z roku 1996, který chrání pouze jednu věc: vaše zdravotní údaje. Pokud jste klientem terapeuta v USA, nebo používáte platformu, která má sídlo v USA, pak se vaše rozhovory, diagnózy, předpisy a dokonce i e-maily týkající se vašeho duševního zdraví považují za Protected Health Information - tedy chráněné zdravotní informace. HIPAA říká, že tyto údaje nesmí být sdíleny bez vašeho souhlasu, musí být šifrovány a uloženy v bezpečných systémech. Ale HIPAA neříká nic o vašem jménu, e-mailu nebo IP adrese - jen o tom, co se týká vašeho zdraví.
A co když jste z Česka? Proč vůbec mluvíme o HIPAA? Protože většina velkých online terapeutických platform, které používají lidé v Evropě, má své technické centrum v USA. I když jste v Praze, vaše data mohou cestovat přes servery v Texasu nebo Kalifornii. A když se tam dostanou, musí být chráněna podle HIPAA. To znamená, že i když jste v EU, vaše údaje mohou být chráněny podle amerických pravidel - což je problematické, protože HIPAA nezahrnuje všechno, co GDPR vyžaduje.
GDPR je všemocný - a to i pro vás
GDPR je evropský zákon, který se vztahuje na každý osobní údaj - nejen na zdravotní. Vaše jméno, e-mail, telefon, poloha, IP adresa, čas, kdy jste se přihlásili, jak dlouho jste seděli před obrazovkou, co jste napsali v chatu - všechno to je osobní údaj. A GDPR to říká jasně: máte právo vědět, kdo to má, proč to má, a kdy to může smazat. Máte právo požádat o přístup ke všem svým datům. Máte právo je přenést jinam. A máte právo je vymazat - úplně a bez výjimek.
Ve většině případů, pokud používáte online terapii z EU, GDPR vás chrání. I když platforma je z USA, pokud máte nějakého klienta v Evropě, musí dodržovat GDPR. To je klíčové. Znamená to, že vaše data nemohou být přesunuta do USA bez zvláštních záruk - jako jsou Standardní smluvní ustanovení (SCCs). A pokud se stane porušení, platforma musí oznámit incident do 72 hodin. V USA by to mohla být až 60 dní.
Co je vlastně větší bezpečnost - HIPAA nebo GDPR?
Nejde o to, který zákon je „lepší“. Jde o to, který vás chrání víc.
HIPAA je jako mikroskop. Zaměřuje se jen na zdravotní informace. Pokud vaše terapeutka něco napsala do poznámek o vašem stresu, to je chráněno. Ale pokud vaše e-mailová adresa byla ukradnutá - HIPAA to neřeší. GDPR ano. GDPR říká, že i vaše e-mailová adresa je citlivá informace, protože ji můžou použít k identifikaci vás - a pokud se spojí s vašimi terapeutickými poznámkami, může to být ničivé.
GDPR také dává vám moc. Můžete požádat o výmaz všech vašich dat. HIPAA vám umožňuje požádat o opravu zdravotních záznamů - ale ne o jejich smazání. Většina terapeutů musí uchovávat záznamy minimálně 6 let podle HIPAA. GDPR vám to zakazuje - pokud neexistuje legální důvod pro jejich uchování. To je konflikt. A platformy, které chtějí sloužit oběma trhům, musí řešit, jak to vyřešit.
Technické bezpečnostní opatření - co skutečně funguje
Bezpečnost není jen o zákonech. Je to o kódu, šifrování a systémech.
Nejbezpečnější platformy používají AES-256 šifrování - to je standard, který používají banky a vlády. Data jsou šifrována, když jsou na serveru (v klidu) a když se přenášejí (při přenosu). Pokud platforma používá jen TLS 1.2 nebo nižší, je to nebezpečné. Moderní platformy už používají TLS 1.3. Pokud nevíte, co to je - zeptejte se. Pokud vám odpověď zní jako „to je všechno za námi“, je to špatná zpráva.
Uživatelský přístup musí být řízen podle rolí. Terapeut by neměl mít přístup k administrativním nastavením. Správce systému by neměl mít přístup k poznámkám o terapii. Každý přístup musí být zaznamenán. A tyto záznamy musí být uloženy alespoň 6 let - podle HIPAA. GDPR neříká, kolik - ale pokud chcete být kompatibilní s oběma, musíte mít dlouhé záznamy.
Nejčastější chyby? Nedostatečné šifrování videokonferencí. Podle OWASP (2023) 35 % platform používá šifrování, které lze snadno prolomit. A 28 % má špatně nakonfigurovaná API - což znamená, že hacker může přistupovat k datům bez přihlášení. Pokud platforma neříká, jak šifruje konference - nevěřte jí.
Co říkají lidé, kteří to používají
Na Trustpilotu má BetterHelp průměrné hodnocení 3,8 z 5. Ale co je důležité? 68 % uživatelů říká, že právě bezpečnost dat je důvod, proč si vybrali tuto platformu. To není malé. Znamená to, že lidé jsou ochotni platit víc, pokud vědí, že jejich data nejsou vystavena riziku.
Ale ne všichni jsou spokojení. Na Redditu uživatel „TherapySeeker89“ napsal: „Oceňuji end-to-end šifrování, ale překvapilo mě, že nemohu vymazat své historické poznámky terapeuta.“ To je přesně ten problém. GDPR vám dává právo na vymazání. HIPAA to zakazuje, pokud je to zdravotní záznam. Platforma, která neumí obě pravidla vyřešit, vás zklame.
Na Capterra 23 % uživatelů říká, že nevědí, jak jsou jejich data chráněna při přenosu mezi terapeutem a platformou. To je závažné. Pokud nevíte, jestli vaše hovory jsou šifrovány od vašeho počítače až k serveru - nevíte, jestli jsou v bezpečí.
Co musíte dělat, abyste si byli jisti
Nečekáte, že budete expertem na zákony. Ale můžete si položit tři otázky, které vám řeknou, jestli platforma je bezpečná.
- Je platforma GDPR a HIPAA kompatibilní? Pokud odpověď zní „jen HIPAA“ nebo „jen GDPR“ - je to nebezpečné. Pokud říká „obě“, ptáte se dál.
- Je šifrování end-to-end pro videokonference? Pokud neví, co to znamená, nebo odpoví „máme šifrování“ - je to nejisté. End-to-end znamená, že ani platforma nemůže přečíst vaše hovory.
- Mohu si stáhnout všechny své údaje a vymazat je? Pokud vám řeknou, že „záznamy musíme uchovat 6 let“ - to je HIPAA. Pokud vám řeknou, že „můžete je vymazat, ale ne všechny“ - to je problém. GDPR říká: vymažte vše. Pokud to neumí, je to nekompatibilní.
Podívejte se na zásady ochrany osobních údajů. Nejen je přečtěte - hledejte konkrétní věty. Pokud tam není zmínka o „právu na vymazání“ nebo „přenositelnosti dat“ - nejde o GDPR kompatibilní platformu.
Co se děje v budoucnu?
Do roku 2025 bude 80 % online terapeutických platform používat kombinaci HIPAA a GDPR jako standard. To je dobrá zpráva. Ale znamená to, že platformy budou muset investovat do složitých systémů, které umožňují uchovávat záznamy podle HIPAA a zároveň umožňují vymazání podle GDPR. To je technicky náročné. A mnoho malých platform to prostě nezvládne.
Nové trendy přicházejí. Některé startupy testují blockchain pro ukládání souhlasů - takže každý souhlas je zaznamenán a nemůže být změněn. Jiné používají umělou inteligenci, která sleduje, kdo přistupuje k vašim datům, a hlásí neobvyklé aktivity. To je budoucnost. Ale zatím je to zřídka.
Největší hrozba? Není hacker. Je to terapeut. Podle studie z Berlína je 42 % všech incidentů způsobeno terapeuty, kteří nevědí, jak správně nakonfigurovat systém, nebo kteří si stáhnou záznamy na svůj osobní počítač. Bezpečnost není jen o technologii. Je to o lidích. A to je to, co se často zapomíná.
Bezpečnost vašich dat v online terapii není záležitostí, kterou můžete ignorovat. Je to stejně důležitá jako kvalita terapie. Pokud nevíte, kde jsou vaše údaje, nevíte, kdo je má, a nevíte, jak je chráněny - nejste v bezpečí. A žádná terapie nemůže fungovat, když se cítíte, že vaše nejcitlivější informace jsou v nebezpečí.
Nechte si vysvětlit, jak to funguje. Zeptejte se. Vyžadujte jasnost. Vaše duševní zdraví je důležité. Ale vaše data jsou jeho základem. A ty by měly být chráněny stejně pečlivě.
Co je rozdíl mezi HIPAA a GDPR v online terapii?
HIPAA chrání pouze zdravotní informace (PHI) v USA - například diagnózy, léky nebo poznámky o terapii. GDPR chrání všechny osobní údaje - jméno, e-mail, IP adresa, poloha, i zdravotní informace - a platí pro všechny občany EU, bez ohledu na místo platformy. HIPAA neumožňuje vymazání záznamů, GDPR ano. HIPAA umožňuje 60 dní na oznámení porušení, GDPR jen 72 hodin. Platforma, která slouží oběma trhům, musí splňovat oba zákony současně - což je složité.
Můžu si vymazat své poznámky z online terapie?
Pokud používáte platformu podle GDPR (například z Česka), máte právo požádat o úplné vymazání svých dat - včetně poznámek, hovorů a chatů. Pokud je platforma podle HIPAA (například americká), může odmítnout vymazání, protože zákony vyžadují uchovávat záznamy minimálně 6 let. Pokud platforma říká, že „nemůžete vymazat poznámky“, pravděpodobně neposkytuje plný GDPR soulad.
Je end-to-end šifrování skutečně důležité?
Ano. End-to-end šifrování znamená, že vaše hovory jsou šifrovány na vašem zařízení a dešifrovány pouze na zařízení terapeuta. Platforma nemůže přečíst ani zaznamenat vaše konverzace. Pokud platforma používá jen „šifrování při přenosu“, může mít přístup k vašim hovorům. To je rozdíl mezi bezpečností a výhodou. Pokud platforma neuvádí, že používá end-to-end šifrování - nevěřte, že vaše hovory jsou skutečně soukromé.
Co dělat, když platforma neodpovídá na požadavek o vymazání dat?
Pokud jste v EU a platforma odmítne vymazat vaše údaje podle GDPR, můžete podat stížnost na Českou úřad pro ochranu osobních údajů (ČÚOÚ). Platforma má povinnost odpovědět do jednoho měsíce. Pokud neodpoví nebo odmítne bez důvodu, můžete požádat o finanční sankce. Většina platform se vyhýbá stížnostem, protože pokuty mohou dosáhnout až 20 milionů eur.
Jak zjistím, zda platforma dodržuje GDPR?
Podívejte se na její zásady ochrany osobních údajů. Hledejte výrazy jako: „právo na přístup“, „právo na vymazání“, „právo na přenositelnost“, „Standardní smluvní ustanovení (SCCs)“, „Data Protection Officer (DPO)“. Pokud tam není žádná zmínka o GDPR nebo o vašich právech jako subjektu údajů - platforma nekompatibilní. Také zkontrolujte, zda má kontaktní údaje pro DPO. Pokud ne - je to varovný signál.