Безпека та відповідність
HIPAA і GDPR для програмного забезпечення терапевтів — що пропонує PR-TOP
Оновлено: липень 2026 · Перевірено командою PR-TOP
PR-TOP розміщено в ЄС і розроблено з пріоритетом GDPR. Він застосовує шифрування AES на рівні застосунку, незмінний журнал аудиту, управління доступом на основі ролей і контроль згоди до всіх даних клієнтів. Сертифікація HIPAA відсутня, BAA не пропонується. Практикам з ЄС, України, Росії та LATAM слід використовувати включене за замовчуванням Доповнення з обробки даних GDPR.
Що насправді вимагає HIPAA
HIPAA (Закон США про переносимість та підзвітність медичного страхування) поширюється на «покриті організації» в США — постачальників медичних послуг, плани медичного страхування та розрахункові палати охорони здоров'я — а також на їхніх «ділових партнерів». Він встановлює адміністративні, фізичні та технічні заходи захисту захищеної медичної інформації (PHI). Якщо ви ліцензований терапевт у США, який обробляє PHI, ваші постачальники програмного забезпечення повинні бути готові підписати Угоду про ділове партнерство (BAA).
Більшість нескаутських терапевтів стикаються з HIPAA як із запитанням, а не як із правовим зобов'язанням. Міжнародні фахівці — з ЄС, України, Росії, Латинської Америки — не є покритими організаціями HIPAA. На них поширюється місцеве законодавство про захист даних: GDPR в ЄС, Закон про персональні дані в Україні та Росії, національні закони про конфіденційність у країнах LATAM. Для цих практик правильною планкою є відповідність GDPR, а не HIPAA.
PR-TOP створено для міжнародного ринку. Він відповідає вимогам GDPR і застосовує суворі технічні засоби контролю, які паралельні багатьом вимогам HIPAA — але він не пройшов незалежний аудит на відповідність HIPAA і не пропонує BAA, який вимагається американським покритим організаціям. На цій сторінці пояснюється, де саме засоби контролю PR-TOP відповідають вимогам HIPAA, а де є прогалини.
PR-TOP працює між сесіями — не лише в момент написання нотаток. Клієнти ведуть голосовий, текстовий або відео-щоденник через Telegram між прийомами. Психологи призначають вправи, а клієнти можуть надіслати одним дотиком SOS-сигнал прямо на пошту психолога. Всі ці дані проходять через той самий рівень шифрування AES, що й транскрипт сесії, тому записи між сесіями захищені тими ж засобами контролю.
Вимоги HIPAA у зіставленні із засобами контролю PR-TOP
| Вимога HIPAA | Що вимагає HIPAA | Засіб контролю PR-TOP | Прогалина / Примітки |
|---|---|---|---|
| Контроль доступу | Унікальні ідентифікатори користувачів, процедури екстреного доступу, автоматичний вихід | JWT-автентифікація з HttpOnly-cookies, управління доступом на основі ролей (психолог / клієнт / адміністратор), токени сесій з терміном дії | BAA не пропонується; незалежний аудит HIPAA не проводився; таймер автоматичного виходу не налаштовано за замовчуванням |
| Аудит-контроль | Запис і аналіз активності в системах, що містять ePHI | Незмінний журнал аудиту для всього доступу до даних класу A (щоденник, транскрипти, нотатки, резюме) | Журнал аудиту розроблено для відповідності цій вимозі; формальна сертифікація відсутня |
| Шифрування при зберіганні | Адресований стандарт — шифрувати ePHI при зберіганні там, де це розумно і доречно | Шифрування AES на рівні застосунку для всіх даних класу A перед зберіганням; база даних зберігає шифротекст, а не відкритий текст | Відповідає адресованому стандарту; шифрування на рівні застосунку, а не повного диска |
| Цілісність | Захист ePHI від неналежної зміни або знищення | Незмінний журнал аудиту; відсутність редагування даних класу A на місці; видалення реєструються | Відповідає наміру; формальний аудит за вимогами цілісності HIPAA не проводився |
| Безпека передачі | Захист ePHI при передачі по електронних мережах | TLS 1.2+ для всіх з'єднань, лише HTTPS, без передачі даних у відкритому тексті | Стандартна реалізація; вимога виконана |
| Угода про ділове партнерство | Вимагається для покритих організацій, що використовують послуги ділового партнера | НЕ ПРОПОНУЄТЬСЯ — PR-TOP не є діловим партнером HIPAA | Міжнародним практикам слід використовувати Доповнення з обробки даних GDPR |
Ця таблиця зіставляє наявні засоби контролю PR-TOP із категоріями вимог HIPAA лише з інформаційною метою. Вона не є юридичною консультацією і не є сертифікацією HIPAA. Покриті організації США повинні проконсультуватися з юрисконсультом перед використанням PR-TOP для PHI.
Чому GDPR-first може бути правильним вибором для вашої практики
GDPR (Загальний регламент ЄС про захист даних) встановлює високу планку для обробки даних: правова підстава, мінімізація даних, обмеження мети, права суб'єктів даних (доступ, виправлення, видалення, переносимість), обов'язкове повідомлення про витоки і — для обробників — Доповнення з обробки даних (DPA). PR-TOP відповідає всім цим вимогам за замовчуванням.
Для психологів із ліцензією ЄС GDPR є обов'язковою правовою базою. Для українських психологів застосовується Закон про персональні дані, який тісно узгоджений з принципами GDPR. Для LATAM-психологів національні рамки (LGPD у Бразилії, Ley 1581 у Колумбії тощо) або змодельовані на основі GDPR, або сумісні з ним. У кожному випадку правильною системою відповідності є місцеве законодавство, а не HIPAA.
PR-TOP обробляє всі дані на інфраструктурі ЄС (центри обробки даних Hetzner). Для даних клієнтів немає американських суб-обробників. Доповнення з обробки даних доступне за замовчуванням — не за запитом, не за корпоративним рівнем. Клієнти можуть реалізувати права суб'єктів даних GDPR (доступ, виправлення, видалення) безпосередньо через панель психолога. Ви можете експортувати або видалити повний запис клієнта однією дією.
Докладніше: відповідність GDPR, суверенітет даних та архітектура журналу аудиту.
Дані між сесіями: де шифрування важливіше всього
Більшість програм для терапевтів зосереджена на записах сесій — нотатці, транскрипті, рядку білінгу. Простір між сесіями — це те місце, де зазвичай виникають прогалини в захисті даних: неформальні повідомлення, перевірки домашніх завдань і кризові контакти, які зберігаються в незашифрованих споживчих застосунках.
PR-TOP направляє всі дані між сесіями через той самий зашифрований рівень застосунку, що й запис сесії. Запис у щоденнику клієнта в Telegram, виконана вправа, SOS-сигнал одним дотиком — кожен з них шифрується як дані класу A до потрапляння до бази даних. Психолог бачить єдину зашифровану часову шкалу. Незашифрованих бокових каналів немає.
Дивіться також: архітектура шифрування та AI-нотатки до сесій для психологів.
Поширені запитання
PR-TOP відповідає вимогам HIPAA?
Ні. PR-TOP не пройшов незалежний аудит на відповідність HIPAA і не пропонує Угоду про ділове партнерство (BAA). Він застосовує суворі технічні засоби контролю — шифрування AES на рівні застосунку, незмінний журнал аудиту, управління доступом на основі ролей, TLS 1.2+ — які паралельні багатьом вимогам HIPAA, але розміщений в ЄС і розроблений насамперед для відповідності GDPR. Психологи зі США, які є покритими організаціями і потребують HIPAA-сумісної платформи з BAA, повинні використовувати американську EHR-систему.
PR-TOP пропонує Угоду про ділове партнерство?
Ні. PR-TOP не пропонує BAA. BAA є договірною вимогою для покритих організацій США за HIPAA. PR-TOP — це платформа, розміщена в ЄС і регульована GDPR. Для практик, яким потрібен договір з обробки даних, PR-TOP за замовчуванням надає Доповнення з обробки даних GDPR (DPA) — включено до Умов надання послуг, не за корпоративним рівнем.
Яке шифрування використовує PR-TOP?
PR-TOP застосовує шифрування AES на рівні застосунку для всіх даних класу A: записів щоденника, транскриптів сесій, AI-резюме та приватних нотаток психолога. Шифрування відбувається до потрапляння даних до бази даних, тому база даних зберігає шифротекст, а не відкритий текст. Дані класу B (часові мітки, метадані, ідентифікатори) — це відкритий текст з контролем доступу. Вся передача даних використовує TLS 1.2+.
PR-TOP безпечний для психологів з ЄС відповідно до GDPR?
Так. PR-TOP розроблено і розміщено в ЄС (інфраструктура Hetzner). Він обробляє всі дані клієнтів відповідно до GDPR: правова підстава, мінімізація даних, права суб'єктів даних і Доповнення з обробки даних, доступне за замовчуванням. Сторонніх аналітичних трекерів немає — аналітика працює на self-hosted Umami. Ви можете експортувати або видалити повний запис клієнта однією дією.
Чи можуть психологи зі США використовувати PR-TOP?
Психологи зі США, які не є покритими організаціями HIPAA (наприклад, коучі, деякі консультанти, психологи, які не виставляють рахунки страховим компаніям), можуть використовувати PR-TOP і скористатися його надійним шифруванням і засобами контролю, що відповідають GDPR. Психологи зі США, які є покритими організаціями і зобов'язані підписувати BAA з постачальниками програмного забезпечення, не можуть використовувати PR-TOP для PHI, оскільки PR-TOP не пропонує BAA. Проконсультуйтеся з юрисконсультом, якщо ви не впевнені у своєму статусі за HIPAA.
Які дані PR-TOP шифрує?
Всі дані класу A шифруються за допомогою AES на рівні застосунку перед зберіганням: записи щоденника клієнта (текст, голос, відео), аудіо- та відеофайли сесій, транскрипти Whisper, AI-резюме та приватні нотатки психолога. Дані класу B — часові мітки, метадані, ідентифікатори — це відкритий текст з контролем доступу. Злом сервера не розкриє вміст записів клієнтів.
GDPR-first, EU-hosted — спробуйте PR-TOP безкоштовно
Безкоштовний тариф Trial включає зашифрований кабінет, Telegram-бот для клієнтів, щоденник, вправи та SOS для обмеженої кількості клієнтів. Картка не потрібна. DPA GDPR включено за замовчуванням.