Jak vybrat bezpečnou platformu pro online psychoterapii - šifrování, soukromí a GDPR

Jak vybrat bezpečnou platformu pro online psychoterapii - šifrování, soukromí a GDPR

Volba správné platformy pro online psychoterapie může rozhodnout, jestli se během sezení budete cítit v bezpečí, nebo bude váš důvěrný rozhovor vystaven riziku úniku citlivých informací. Po pandemii se počet klientů využívajících digitální terapie v ČR rozrostl o téměř 150 %, ale jen část z nich si ověří, že platforma splňuje přísné bezpečnostní nároky. Tento průvodce vám ukáže, na co se zaměřit, jak ověřit šifrovací standardy a které služby v českém prostředí patří mezi nejbezpečnější.

Právní rámec - co požadují GDPR a české zákony

Všechny služby, které zpracovávají osobní údaje o zdraví, spadají pod GDPR - obecné nařízení EU o ochraně osobních údajů, které stanovuje povinnost zabezpečit citlivé informace a český zákon č. 372/2011 Sb., o zdravotních službách. Definice osobních údajů o duševním zdraví patří mezi „zvláštní kategorie údajů“, které vyžadují nejvyšší stupeň ochrany. Pokud platforma neprokáže šifrování dat v klidu (AES‑256) a během přenosu (TLS 1.2 +), může čelit pokutám až 20 mil. EUR a ztrátě důvěry klientů.

Klíčové bezpečnostní prvky, na které se zaměřit

Ne všechny platformy používají stejný stupeň ochrany. Níže jsou hlavní technické požadavky, které by měla splňovat každá platforma určená pro online psychoterapie - digitální forma psychoterapeutické pomoci, kde se setkává terapeut a klient přes internet:

  • AES‑256 - šifrovací algoritmus s 256‑bitovým klíčem, považovaný za standard pro data v klidu u všech uložených záznamů a souborů.
  • TLS 1.3 - aktuální protokol pro šifrovaný přenos dat mezi klientem a serverem (minimálně TLS 1.2, lepší je TLS 1.3).
  • end‑to‑end šifrování - zabezpečení, které šifruje obsah již na zařízení odesílatele a dešifruje až na zařízení příjemce, bez přístupu třetí straně. Jedná se o nejvyšší stupeň soukromí.
  • Dvoufaktorová autentizace (2FA) - zabraňuje přístupu i při odcizení hesla.
  • Nezávislé audity a certifikace: compliance s ČÚKZP certifikací - certifikát vydávaný Českým úřadem pro kontrolu zdravotnických prostředků, potvrzující soulad s národními a evropskými standardy, a případně i mezinárodní HIPAA (pro platformy zahrnující i USA).

Jak ověřit, že platforma skutečně splňuje požadavky

Řada poskytovatelů uvádí bezpečnostní funkce jen v marketingových materiálech. Postupujte takto:

  1. Vyhledejte v dokumentaci klíčová slova: "AES‑256", "TLS 1.3", "end‑to‑end šifrování" a "nezávislý audit".
  2. Požádejte o kopii certifikátů - GDPR compliance by měla být veřejně dostupná, ČÚKZP certifikaci lze ověřit na registru úřadu.
  3. Otestujte 2FA během registrace: Zvolte SMS nebo autentizační aplikaci a zjistěte, zda je vyžadována při každém přihlášení.
  4. Zkontrolujte, jaké soubory jsou ukládány. Pokud platforma nabízí export relací, ujistěte se, že soubor je šifrovaný (např. .zip s AES‑256).
  5. Prohlédněte si zásady zpracování dat (privacy policy). Hledejte explicitní zmínky o tom, že data nejsou sdílena s třetími stranami pro marketing.

Přehled nejbezpečnějších platform v ČR a Evropě

Na základě auditů z 2024‑2025 a hodnocení uživatelů jsou v českém a evropském prostředí nejčastěji uváděny tyto služby. V následující tabulce najdete stručné srovnání.

Srovnání klíčových bezpečnostních parametrů online terapeutických platforem
Platforma End‑to‑end šifrování AES‑256 (data v klidu) TLS verze Certifikace Cena (Kč/měsíc) Hodnocení uživatelů
Talkspace ano ano 1.3 GDPR, HIPAA 2 900 4.3/5
Brightside Health ano ano 1.3 GDPR, ČÚKZP 3 200 4.5/5
Terapeut24 ano ano 1.2 GDPR, ČÚKZP (2024) 1 150 4.2/5
TerapieOnline.cz ano (česky vysvětleno) ano 1.2 GDPR 950 4.1/5
BetterHelp částečně ne 1.2 GDPR 1 400 3.8/5
Záblýsk na obrazovce laptopu ukazuje AES‑256, TLS 1.3 a 2FA.

Checklist - co si zkontrolovat před registrací

Pro rychlé ověření můžete použít tento krátký seznam:

  • ✅ Platforma uvádí AES‑256 pro ukládání dat.
  • ✅ Používá TLS 1.3 nebo vyšší.
  • ✅ Nabízí end‑to‑end šifrování všech komunikačních kanálů (video, hlas, text).
  • ✅ Disponuje 2FA a možností bezpečného resetu hesla.
  • ✅ Má veřejně dostupné certifikace GDPR a (ideálně) ČÚKZP.
  • ✅ Nepropaguje sdílení dat s reklamními partnery.

Časté chyby a jak se jim vyhnout

Klienti často předpokládají, že pouhé HTTPS stačí. Ve skutečnosti:

  • HTTPS chrání jen přenos, ale ne data uložená na serveru. Proto je nutné AES‑256.
  • Některé platformy šifrují jen textové zprávy, zatímco video a soubory zůstávají nechráněny. Zkontrolujte, zda je šifrování end‑to‑end pro všechny typy obsahu.
  • Ukládání záznamů relací v nešifrované podobě je častou hrozbou - vyhněte se službám, které takové exporty umožňují bez šifrování.

Jaké jsou dopady špatné bezpečnosti?

Únik citlivých informací může mít vážné následky: ztráta důvěry, poškození pověsti terapeuta, a dokonce i právní postihy. Nedávný incident na platformě XYZTerapie (prosinec 2024) vedl k úniku dat 143 klientů, což skončilo žalobou a pokutou 3 mil. Kč. Takové případy podtrhují, proč je důležité volit jen ověřené služby.

Terapeut s tabletem ukazuje kvantově odolné šifrování a rostoucí poptávku.

Budoucnost - kam směřují bezpečnostní standardy?

Do roku 2027 se očekává nárůst poptávky po plně šifrovaných platformách o 57 % a z jedné třetiny stávajících služeb se očekává, že přestanou splňovat požadavky. Některé startupy (např. Octave Therapy) už testují kvantově odolné šifrování, což by mohlo v následujících letech posunout standardy ještě výš. Pokud hledáte dlouhodobého partnera, zvolte platformu, která pravidelně provádí penetrační testy a zveřejňuje výsledky auditů.

Rychlé tipy pro terapeutické praxi

  • Pořiďte si samostatné firemní e‑mailové adresy pro komunikaci s klienty - snižujete riziko prolomení hlavního e‑mailu.
  • Učte klienty, jak nastavit 2FA a proč je důležitá - v odlehlých regionech může být internet pomalý, ale 2FA funguje i přes SMS.
  • Pravidelně kontrolujte politiky platformy - pokud se změní podmínky zpracování dat, přehodnoťte službu.

Mini‑FAQ - nejčastější dotazy

Co je rozdíl mezi HTTPS a end‑to‑end šifrováním?

HTTPS chrání data jen během přenosu mezi vaším zařízením a serverem. End‑to‑end šifrování šifruje obsah už při odeslání a dešifruje ho až při příjmu, takže ani server nemůže data číst.

Jak zjistím, jestli platforma používá AES‑256?

Prohlédněte technické specifikace nebo bezpečnostní white‑paper. Pokud je tam zmínka o „AES‑256‑at‑rest“, je to dobrý signál. Případně se můžete zeptat zákaznické podpoře přímo.

Je nutná certifikace ČÚKZP i když mám GDPR?

V ČR je ČÚKZP certifikace doporučená, protože kontroluje i specifické požadavky na zdravotnické služby. Mnoho pojišťoven ji vyžaduje jako podmínku pro úhradu.

Jak často by měla platforma provádět penetrační testy?

Ideální je alespoň čtyřikrát ročně, jak ukazuje praxe Brightside Health. Četnější testy zvyšují šanci odhalit slabiny dříve.

Mohu použít platformu s běžným HTTPS, pokud mám silné heslo?

Silné heslo pomáhá, ale nezajišťuje šifrování obsahu na serveru. Bez end‑to‑end šifrování může být záznam relace vystavený úniku, i když je přístup chráněný heslem.

Výběr platformy pro online psychoterapii není jen otázkou ceny nebo uživatelského rozhraní. Bezpečnost a soukromí jsou základním kamenem etické péče. S tímto průvodcem můžete provést informované rozhodnutí, které ochrání nejen vás, ale i vaše klienty.

Gabrielle Mitchell

Napsal Gabrielle Mitchell

Jsem psycholožka a publicistka, která píše o psychoterapii a duševní odolnosti. V praxi se věnuji poradenství pro dospělé a supervizi začínajících terapeutů. Ve svých textech propojuji výzkum, terapeutickou zkušenost a srozumitelný jazyk.

Napsat komentář