🔄

Доступна нова версія.

Безпека та відповідність

HIPAA і GDPR для програмного забезпечення терапевтів — що пропонує PR-TOP

Оновлено: липень 2026 · Перевірено командою PR-TOP

PR-TOP розміщено в ЄС і розроблено з пріоритетом GDPR. Він застосовує шифрування AES на рівні застосунку, незмінний журнал аудиту, управління доступом на основі ролей і контроль згоди до всіх даних клієнтів. Сертифікація HIPAA відсутня, BAA не пропонується. Практикам з ЄС, України, Росії та LATAM слід використовувати включене за замовчуванням Доповнення з обробки даних GDPR.

Що насправді вимагає HIPAA

HIPAA (Закон США про переносимість та підзвітність медичного страхування) поширюється на «покриті організації» в США — постачальників медичних послуг, плани медичного страхування та розрахункові палати охорони здоров'я — а також на їхніх «ділових партнерів». Він встановлює адміністративні, фізичні та технічні заходи захисту захищеної медичної інформації (PHI). Якщо ви ліцензований терапевт у США, який обробляє PHI, ваші постачальники програмного забезпечення повинні бути готові підписати Угоду про ділове партнерство (BAA).

Більшість нескаутських терапевтів стикаються з HIPAA як із запитанням, а не як із правовим зобов'язанням. Міжнародні фахівці — з ЄС, України, Росії, Латинської Америки — не є покритими організаціями HIPAA. На них поширюється місцеве законодавство про захист даних: GDPR в ЄС, Закон про персональні дані в Україні та Росії, національні закони про конфіденційність у країнах LATAM. Для цих практик правильною планкою є відповідність GDPR, а не HIPAA.

PR-TOP створено для міжнародного ринку. Він відповідає вимогам GDPR і застосовує суворі технічні засоби контролю, які паралельні багатьом вимогам HIPAA — але він не пройшов незалежний аудит на відповідність HIPAA і не пропонує BAA, який вимагається американським покритим організаціям. На цій сторінці пояснюється, де саме засоби контролю PR-TOP відповідають вимогам HIPAA, а де є прогалини.

PR-TOP працює між сесіями — не лише в момент написання нотаток. Клієнти ведуть голосовий, текстовий або відео-щоденник через Telegram між прийомами. Психологи призначають вправи, а клієнти можуть надіслати одним дотиком SOS-сигнал прямо на пошту психолога. Всі ці дані проходять через той самий рівень шифрування AES, що й транскрипт сесії, тому записи між сесіями захищені тими ж засобами контролю.

Вимоги HIPAA у зіставленні із засобами контролю PR-TOP

Вимога HIPAAЩо вимагає HIPAAЗасіб контролю PR-TOPПрогалина / Примітки
Контроль доступуУнікальні ідентифікатори користувачів, процедури екстреного доступу, автоматичний вихідJWT-автентифікація з HttpOnly-cookies, управління доступом на основі ролей (психолог / клієнт / адміністратор), токени сесій з терміном діїBAA не пропонується; незалежний аудит HIPAA не проводився; таймер автоматичного виходу не налаштовано за замовчуванням
Аудит-контрольЗапис і аналіз активності в системах, що містять ePHIНезмінний журнал аудиту для всього доступу до даних класу A (щоденник, транскрипти, нотатки, резюме)Журнал аудиту розроблено для відповідності цій вимозі; формальна сертифікація відсутня
Шифрування при зберіганніАдресований стандарт — шифрувати ePHI при зберіганні там, де це розумно і доречноШифрування AES на рівні застосунку для всіх даних класу A перед зберіганням; база даних зберігає шифротекст, а не відкритий текстВідповідає адресованому стандарту; шифрування на рівні застосунку, а не повного диска
ЦілісністьЗахист ePHI від неналежної зміни або знищенняНезмінний журнал аудиту; відсутність редагування даних класу A на місці; видалення реєструютьсяВідповідає наміру; формальний аудит за вимогами цілісності HIPAA не проводився
Безпека передачіЗахист ePHI при передачі по електронних мережахTLS 1.2+ для всіх з'єднань, лише HTTPS, без передачі даних у відкритому текстіСтандартна реалізація; вимога виконана
Угода про ділове партнерствоВимагається для покритих організацій, що використовують послуги ділового партнераНЕ ПРОПОНУЄТЬСЯ — PR-TOP не є діловим партнером HIPAAМіжнародним практикам слід використовувати Доповнення з обробки даних GDPR

Ця таблиця зіставляє наявні засоби контролю PR-TOP із категоріями вимог HIPAA лише з інформаційною метою. Вона не є юридичною консультацією і не є сертифікацією HIPAA. Покриті організації США повинні проконсультуватися з юрисконсультом перед використанням PR-TOP для PHI.

Чому GDPR-first може бути правильним вибором для вашої практики

GDPR (Загальний регламент ЄС про захист даних) встановлює високу планку для обробки даних: правова підстава, мінімізація даних, обмеження мети, права суб'єктів даних (доступ, виправлення, видалення, переносимість), обов'язкове повідомлення про витоки і — для обробників — Доповнення з обробки даних (DPA). PR-TOP відповідає всім цим вимогам за замовчуванням.

Для психологів із ліцензією ЄС GDPR є обов'язковою правовою базою. Для українських психологів застосовується Закон про персональні дані, який тісно узгоджений з принципами GDPR. Для LATAM-психологів національні рамки (LGPD у Бразилії, Ley 1581 у Колумбії тощо) або змодельовані на основі GDPR, або сумісні з ним. У кожному випадку правильною системою відповідності є місцеве законодавство, а не HIPAA.

PR-TOP обробляє всі дані на інфраструктурі ЄС (центри обробки даних Hetzner). Для даних клієнтів немає американських суб-обробників. Доповнення з обробки даних доступне за замовчуванням — не за запитом, не за корпоративним рівнем. Клієнти можуть реалізувати права суб'єктів даних GDPR (доступ, виправлення, видалення) безпосередньо через панель психолога. Ви можете експортувати або видалити повний запис клієнта однією дією.

Докладніше: відповідність GDPR, суверенітет даних та архітектура журналу аудиту.

Дані між сесіями: де шифрування важливіше всього

Більшість програм для терапевтів зосереджена на записах сесій — нотатці, транскрипті, рядку білінгу. Простір між сесіями — це те місце, де зазвичай виникають прогалини в захисті даних: неформальні повідомлення, перевірки домашніх завдань і кризові контакти, які зберігаються в незашифрованих споживчих застосунках.

PR-TOP направляє всі дані між сесіями через той самий зашифрований рівень застосунку, що й запис сесії. Запис у щоденнику клієнта в Telegram, виконана вправа, SOS-сигнал одним дотиком — кожен з них шифрується як дані класу A до потрапляння до бази даних. Психолог бачить єдину зашифровану часову шкалу. Незашифрованих бокових каналів немає.

Дивіться також: архітектура шифрування та AI-нотатки до сесій для психологів.

Поширені запитання

PR-TOP відповідає вимогам HIPAA?

Ні. PR-TOP не пройшов незалежний аудит на відповідність HIPAA і не пропонує Угоду про ділове партнерство (BAA). Він застосовує суворі технічні засоби контролю — шифрування AES на рівні застосунку, незмінний журнал аудиту, управління доступом на основі ролей, TLS 1.2+ — які паралельні багатьом вимогам HIPAA, але розміщений в ЄС і розроблений насамперед для відповідності GDPR. Психологи зі США, які є покритими організаціями і потребують HIPAA-сумісної платформи з BAA, повинні використовувати американську EHR-систему.

PR-TOP пропонує Угоду про ділове партнерство?

Ні. PR-TOP не пропонує BAA. BAA є договірною вимогою для покритих організацій США за HIPAA. PR-TOP — це платформа, розміщена в ЄС і регульована GDPR. Для практик, яким потрібен договір з обробки даних, PR-TOP за замовчуванням надає Доповнення з обробки даних GDPR (DPA) — включено до Умов надання послуг, не за корпоративним рівнем.

Яке шифрування використовує PR-TOP?

PR-TOP застосовує шифрування AES на рівні застосунку для всіх даних класу A: записів щоденника, транскриптів сесій, AI-резюме та приватних нотаток психолога. Шифрування відбувається до потрапляння даних до бази даних, тому база даних зберігає шифротекст, а не відкритий текст. Дані класу B (часові мітки, метадані, ідентифікатори) — це відкритий текст з контролем доступу. Вся передача даних використовує TLS 1.2+.

PR-TOP безпечний для психологів з ЄС відповідно до GDPR?

Так. PR-TOP розроблено і розміщено в ЄС (інфраструктура Hetzner). Він обробляє всі дані клієнтів відповідно до GDPR: правова підстава, мінімізація даних, права суб'єктів даних і Доповнення з обробки даних, доступне за замовчуванням. Сторонніх аналітичних трекерів немає — аналітика працює на self-hosted Umami. Ви можете експортувати або видалити повний запис клієнта однією дією.

Чи можуть психологи зі США використовувати PR-TOP?

Психологи зі США, які не є покритими організаціями HIPAA (наприклад, коучі, деякі консультанти, психологи, які не виставляють рахунки страховим компаніям), можуть використовувати PR-TOP і скористатися його надійним шифруванням і засобами контролю, що відповідають GDPR. Психологи зі США, які є покритими організаціями і зобов'язані підписувати BAA з постачальниками програмного забезпечення, не можуть використовувати PR-TOP для PHI, оскільки PR-TOP не пропонує BAA. Проконсультуйтеся з юрисконсультом, якщо ви не впевнені у своєму статусі за HIPAA.

Які дані PR-TOP шифрує?

Всі дані класу A шифруються за допомогою AES на рівні застосунку перед зберіганням: записи щоденника клієнта (текст, голос, відео), аудіо- та відеофайли сесій, транскрипти Whisper, AI-резюме та приватні нотатки психолога. Дані класу B — часові мітки, метадані, ідентифікатори — це відкритий текст з контролем доступу. Злом сервера не розкриє вміст записів клієнтів.

GDPR-first, EU-hosted — спробуйте PR-TOP безкоштовно

Безкоштовний тариф Trial включає зашифрований кабінет, Telegram-бот для клієнтів, щоденник, вправи та SOS для обмеженої кількості клієнтів. Картка не потрібна. DPA GDPR включено за замовчуванням.