Безопасность и соответствие
HIPAA и GDPR для программного обеспечения терапевтов — что предлагает PR-TOP
Обновлено: июль 2026 · Проверено командой PR-TOP
PR-TOP размещён в ЕС и разработан с приоритетом GDPR. Он применяет шифрование AES на уровне приложения, неизменяемый журнал аудита, управление доступом на основе ролей и контроль согласия ко всем данным клиентов. Сертификация HIPAA отсутствует, BAA не предлагается. Практикам из ЕС, Украины, России и LATAM следует использовать включённое по умолчанию Дополнение об обработке данных GDPR.
Что на самом деле требует HIPAA
HIPAA (Закон о переносимости и подотчётности медицинского страхования США) распространяется на «покрытые организации» в США — поставщиков медицинских услуг, планы медицинского страхования и расчётные палаты здравоохранения — а также на их «деловых партнёров». Он устанавливает административные, физические и технические меры защиты защищённой медицинской информации (PHI). Если вы лицензированный терапевт в США, обрабатывающий PHI, ваши поставщики программного обеспечения должны быть готовы подписать Соглашение о деловом партнёрстве (BAA).
Большинство нероссийских терапевтов сталкиваются с HIPAA как с вопросом, а не как с правовым обязательством. Международные специалисты — из ЕС, Украины, России, Латинской Америки — не являются покрытыми организациями HIPAA. На них распространяется местное законодательство о защите данных: GDPR в ЕС, Закон о персональных данных на Украине и в России, национальные законы о конфиденциальности в странах LATAM. Для этих практик правильной планкой является соответствие GDPR, а не HIPAA.
PR-TOP создан для международного рынка. Он соответствует требованиям GDPR и применяет строгие технические меры контроля, которые параллельны многим требованиям HIPAA — но он не прошёл независимый аудит на соответствие HIPAA и не предлагает BAA, который требуется американским покрытым организациям. На этой странице объясняется, где именно средства контроля PR-TOP соответствуют требованиям HIPAA, а где есть пробелы.
PR-TOP работает между сессиями — не только в момент написания заметок. Клиенты ведут голосовой, текстовый или видео-дневник через Telegram между приёмами. Психологи назначают упражнения, а клиенты могут отправить одним нажатием SOS-сигнал прямо на почту психолога. Все эти данные проходят через тот же уровень шифрования AES, что и транскрипт сессии, поэтому записи между сессиями защищены теми же средствами контроля.
Требования HIPAA в сопоставлении со средствами контроля PR-TOP
| Требование HIPAA | Что требует HIPAA | Средство контроля PR-TOP | Пробел / Примечания |
|---|---|---|---|
| Контроль доступа | Уникальные идентификаторы пользователей, процедуры экстренного доступа, автоматический выход | JWT-аутентификация с HttpOnly-cookies, управление доступом на основе ролей (психолог / клиент / администратор), токены сессий с истечением срока | BAA не предлагается; независимый аудит HIPAA не проводился; таймер автоматического выхода не настроен по умолчанию |
| Аудит-контроль | Запись и анализ активности в системах, содержащих ePHI | Неизменяемый журнал аудита для всего доступа к данным класса A (дневник, транскрипты, заметки, резюме) | Журнал аудита разработан для соответствия этому требованию; формальная сертификация отсутствует |
| Шифрование при хранении | Адресуемый стандарт — шифровать ePHI при хранении там, где это разумно и уместно | Шифрование AES на уровне приложения для всех данных класса A перед хранением; база данных хранит шифротекст, а не открытый текст | Соответствует адресуемому стандарту; шифрование на уровне приложения, а не полного диска |
| Целостность | Защита ePHI от ненадлежащего изменения или уничтожения | Неизменяемый журнал аудита; отсутствие редактирования данных класса A на месте; удаления регистрируются | Соответствует намерению; формальный аудит по требованиям целостности HIPAA не проводился |
| Безопасность передачи | Защита ePHI при передаче по электронным сетям | TLS 1.2+ для всех соединений, только HTTPS, без передачи данных в открытом тексте | Стандартная реализация; требование выполнено |
| Соглашение о деловом партнёрстве | Требуется для покрытых организаций, использующих услуги делового партнёра | НЕ ПРЕДЛАГАЕТСЯ — PR-TOP не является деловым партнёром HIPAA | Международным практикам следует использовать Дополнение об обработке данных GDPR |
Эта таблица сопоставляет существующие средства контроля PR-TOP с категориями требований HIPAA только в информационных целях. Она не является юридической консультацией и не представляет собой сертификацию HIPAA. Покрытые организации США должны проконсультироваться с юрисконсультом перед использованием PR-TOP для PHI.
Почему GDPR-first может быть правильным выбором для вашей практики
GDPR (Общий регламент ЕС о защите данных) устанавливает высокую планку для обработки данных: правовое основание, минимизация данных, ограничение цели, права субъектов данных (доступ, исправление, удаление, переносимость), обязательное уведомление об утечках и — для обработчиков — Дополнение об обработке данных (DPA). PR-TOP соответствует всем этим требованиям по умолчанию.
Для психологов с лицензией ЕС GDPR является обязательной правовой базой. Для украинских психологов применяется Закон о персональных данных, который тесно согласован с принципами GDPR. Для LATAM-психологов национальные рамки (LGPD в Бразилии, Ley 1581 в Колумбии и т. д.) либо смоделированы на основе GDPR, либо совместимы с ним. В каждом случае правильной системой соответствия является местное законодательство, а не HIPAA.
PR-TOP обрабатывает все данные на инфраструктуре ЕС (центры обработки данных Hetzner). Для данных клиентов нет американских суб-обработчиков. Дополнение об обработке данных доступно по умолчанию — не по запросу, не за корпоративным уровнем. Клиенты могут реализовать права субъектов данных GDPR (доступ, исправление, удаление) непосредственно через панель психолога. Вы можете экспортировать или удалить полную запись клиента одним действием.
Подробнее: соответствие GDPR, суверенитет данных и архитектура журнала аудита.
Данные между сессиями: где шифрование важнее всего
Большинство программ для терапевтов сосредоточено на записях сессий — заметке, транскрипте, строке биллинга. Пространство между сессиями — это то место, где обычно возникают пробелы в защите данных: неформальные сообщения, проверки домашних заданий и кризисные контакты, которые хранятся в незашифрованных потребительских приложениях.
PR-TOP направляет все данные между сессиями через тот же зашифрованный уровень приложения, что и запись сессии. Запись в дневнике клиента в Telegram, выполненное упражнение, SOS-сигнал одним нажатием — каждый из них шифруется как данные класса A до попадания в базу данных. Психолог видит единую зашифрованную временную шкалу. Незашифрованных боковых каналов нет.
Смотрите также: архитектура шифрования и AI-заметки к сессиям для психологов.
Частые вопросы
PR-TOP соответствует требованиям HIPAA?
Нет. PR-TOP не прошёл независимый аудит на соответствие HIPAA и не предлагает Соглашение о деловом партнёрстве (BAA). Он применяет строгие технические средства контроля — шифрование AES на уровне приложения, неизменяемый журнал аудита, управление доступом на основе ролей, TLS 1.2+ — которые параллельны многим требованиям HIPAA, но размещён в ЕС и разработан в первую очередь для соответствия GDPR. Психологи из США, являющиеся покрытыми организациями и нуждающиеся в HIPAA-совместимой платформе с BAA, должны использовать американскую EHR-систему.
PR-TOP предлагает Соглашение о деловом партнёрстве?
Нет. PR-TOP не предлагает BAA. BAA является договорным требованием для покрытых организаций США по HIPAA. PR-TOP — это платформа, размещённая в ЕС и регулируемая GDPR. Для практик, которым нужен договор об обработке данных, PR-TOP по умолчанию предоставляет Дополнение об обработке данных GDPR (DPA) — включено в Условия обслуживания, не за корпоративным уровнем.
Какое шифрование использует PR-TOP?
PR-TOP применяет шифрование AES на уровне приложения для всех данных класса A: записей дневника, транскриптов сессий, AI-резюме и приватных заметок психолога. Шифрование происходит до попадания данных в базу данных, поэтому база данных хранит шифротекст, а не открытый текст. Данные класса B (временные метки, метаданные, идентификаторы) — это открытый текст с контролем доступа. Вся передача данных использует TLS 1.2+.
PR-TOP безопасен для психологов из ЕС в соответствии с GDPR?
Да. PR-TOP разработан и размещён в ЕС (инфраструктура Hetzner). Он обрабатывает все данные клиентов в соответствии с GDPR: правовое основание, минимизация данных, права субъектов данных и Дополнение об обработке данных, доступное по умолчанию. Сторонних аналитических трекеров нет — аналитика работает на self-hosted Umami. Вы можете экспортировать или удалить полную запись клиента одним действием.
Могут ли психологи из США использовать PR-TOP?
Психологи из США, не являющиеся покрытыми организациями HIPAA (например, коучи, некоторые консультанты, психологи, не выставляющие счета страховым компаниям), могут использовать PR-TOP и воспользоваться его надёжным шифрованием и средствами контроля, соответствующими GDPR. Психологи из США, являющиеся покрытыми организациями и обязанные подписывать BAA с поставщиками программного обеспечения, не могут использовать PR-TOP для PHI, поскольку PR-TOP не предлагает BAA. Проконсультируйтесь с юрисконсультом, если вы не уверены в своём статусе по HIPAA.
Какие данные PR-TOP шифрует?
Все данные класса A шифруются с помощью AES на уровне приложения перед хранением: записи дневника клиента (текст, голос, видео), аудио- и видеофайлы сессий, транскрипты Whisper, AI-резюме и приватные заметки психолога. Данные класса B — временные метки, метаданные, идентификаторы — представляют собой открытый текст с контролем доступа. Взлом сервера не раскроет содержимое записей клиентов.
GDPR-first, EU-hosted — попробуйте PR-TOP бесплатно
Бесплатный тариф Trial включает зашифрованный кабинет, Telegram-бот для клиентов, дневник, упражнения и SOS для ограниченного числа клиентов. Карта не нужна. DPA GDPR включён по умолчанию.