Bezpieczeństwo pacjentów w psychoterapii online
W dzisiejszych czasach psychoterapia online stała się powszechną i w pełni akceptowalną formą wsparcia psychologicznego. Przejście do przestrzeni wirtualnej niesie jednak ze sobą ogromne wyzwania związane z ochroną danych. Platformy takie jak Messenger, Zoom czy Skype zapewniają wygodę i popularność, jednak rzadko gwarantują ochronę danych wrażliwych. Brak rzetelnych procedur bezpieczeństwa zbyt często prowadzi do poważnych konsekwencji – od naruszenia prywatności po wycieki danych.
Bezpieczeństwo pacjentów w psychoterapii online to temat niezwykle rozległy, jednak jako praktyk, postanowiłam przyjrzeć się najważniejszym elementom, które decydują o bezpieczeństwie pacjenta w sieci.
Dlaczego ochrona danych w e-terapii jest kluczowa?
Podczas sesji psychoterapii pacjenci dzielą się najbardziej intymnymi, wrażliwymi historiami ze swojego życia. Wszelkie zaniedbania techniczne mogą sprawić, że nagrania albo transkrypcje spotkań trafią w niepowołane ręce. Konsekwencje takiego wycieku są dla pacjenta wręcz druzgocące – zaczynając od paraliżującego wstydu, przez szantaż, aż po trwałe naruszenie poczucia bezpieczeństwa osobistego.
Wnioski z analizy rynku. Smutna rzeczywistość.
Aby sprawdzić, jak teoria ma się do praktyki, przeprowadziłam własną analizę rynku e-terapii w Polsce. Przejrzałam oferty dokładnie 102 losowych stron internetowych oraz samodzielnych terapeutów, którzy oferują pomoc online. Wnioski są alarmujące.
Większość badanych podmiotów wykorzystuje wyłącznie darmowe komunikatory, a jednocześnie nie wdraża dodatkowych procedur bezpieczeństwa. Fakt, że narzędzia te towarzyszą nam w życiu codziennym, uśpił czujność zarówno specjalistów, jak i samych pacjentów. Większość właścicieli tych stron nie posiada wdrożonych procedur na wypadek incydentów bezpieczeństwa, takich jak np. wyciek danych czy włamanie na konto. Przekonanie, że „skoro wszyscy tak robią, to jest to bezpieczne”, staje się w tym przypadku ogromną pułapką.
Moje wnioski z analizy witryn idealnie pokrywają się z globalnymi trendami naukowymi. Publikacje medyczne na łamach Journal of Medical Internet Research oraz raporty opracowywane przez American Psychological Association regularnie wskazują na tę samą lukę. Pandemia przyspieszyła rozwój terapii online, jednak niewielu terapeutów zdobyło formalne kompetencje z zakresu cyberbezpieczeństwa. Kryterium wyboru platformy to wciąż najczęściej wygoda użytkowania, a nie rygorystyczna ochrona prywatności.
Zagrożenia w praktyce. Dwa scenariusze, które dzieją się naprawdę.
Brak procedur to nie tylko problem teoretyczny czy biurokratyczny. Przeanalizujmy dwa realne zagrożenia, które pokazują, jak łatwo naruszyć przestrzeń terapeutyczną.
Scenariusz 1: Atak hakerski i szantaż
Wyobraźmy sobie terapeutę, który prowadzi sesje online przez popularny komunikator bez włączonego uwierzytelniania dwuskładnikowego (2FA) i bez szyfrowania end-to-end. Podczas spotkania pacjent przepracowuje głęboką traumę związaną z wykorzystaniem seksualnym. Z powodu słabych zabezpieczeń konta terapeuty, dochodzi do ataku hakerskiego, a cyberprzestępca przejmuje zapis rozmowy albo dostęp do kamery. Pacjent staje się ofiarą szantażu, w którym stawką jest upublicznienie jego najbardziej intymnych wyznań.
Warto mieć świadomość, że dane dotyczące zdrowia psychicznego są obecnie na czarnym rynku cenniejsze niż numery kart kredytowych. Cykliczny raport IBM Security – Cost of a Data Breach Report od lat plasuje sektor ochrony zdrowia na pierwszym miejscu wśród branż najbardziej narażonych na dotkliwe finansowo i wizerunkowo skutki cyberataków. Przejęcie bazy danych pacjentów albo nagrań z sesji to dla cyberprzestępców gwarancja wysokiego zysku z szantażu.
Scenariusz 2: Smartfony jako „niewidzialni słuchacze”
Zarówno pacjent, jak i terapeuta często korzystają podczas sesji ze smartfonów z aplikacjami społecznościowymi i asystentami głosowymi. Aplikacje te, działając w tle w trybie czuwania, mogą zareagować na słowa kluczowe zbliżone do fraz aktywujących. Nagrane fragmenty rozmowy o lekach psychotropowych czy problemach rodzinnych są następnie przetwarzane przez algorytmy komercyjne. Pacjent zaczyna otrzymywać reklamy alternatywnych metod leczenia, a to narusza jego prywatność i osłabia zaufanie do procesu terapeutycznego.
W obu przypadkach konsekwencje dotykają również terapeutę. Lekceważenie cyberbezpieczeństwa może prowadzić do utraty zaufania pacjentów, postępowań przed organami nadzorczymi oraz poważnych konsekwencji zawodowych.
Eksperymenty badawcze, które są prowadzone m.in. przez naukowców z Northeastern University, wykazały, że popularni asystenci głosowi potrafią przypadkowo aktywować się i rejestrować fragmenty rozmów z otoczenia nawet kilkanaście razy na dobę – bez wypowiedzenia celowej frazy wybudzającej. Wystarczy słowo o podobnej fonetyce, aby telefon zaczął nasłuch i przesłał próbkę dźwięku na serwery korporacji.
Pułapka rozwoju algorytmów i polityki prywatności gigantów
W dobie wyścigu technologicznego i rozwoju „sztucznej inteligencji” (AI), dane z naszych rozmów stały się najcenniejszą walutą. Korzystając z darmowych narzędzi, musimy mieć świadomość, jak korporacje zarządzają naszymi informacjami.
Etyczne (deklarowane) wykorzystanie danych przez platformy:
- Analiza statystyczna – zbieranie zanonimizowanych trendów np. czas trwania połączeń, stabilność łącza w celu optymalizacji kodu.
- Wdrażanie poprawek bezpieczeństwa – wykrywanie luk w oprogramowaniu i łatanie ich przed działaniem hakerów.
- Rozwój narzędzi wspierających – projektowanie funkcji ułatwiających zarządzanie czasem pracy czy przesyłaniem dokumentów.
Nieetyczna i ukryta strona przetwarzania danych:
Niestety, granica między legalnym rozwojem a nadużyciem jest bardzo cienka. Wiele popularnych platform wielkich korporacji np. Microsoft w regulaminach usług Skype czy Teams wprost zastrzega sobie prawo do przetwarzania i analizowania nagrań głosowych oraz transkrypcji w celu „trenowania systemów rozpoznawania mowy” czy „ulepszania produktów”. Często w proces ten zaangażowani są zewnętrzni kontrahenci, którzy fizycznie odsłuchują próbki audio.
Firmy komercyjne analizują emocje zawarte w tekście i mowie, a następnie tworzą profile psychologiczne użytkowników. Dzięki temu mogą później wpływać na decyzje zakupowe użytkowników i jednocześnie zwiększać skuteczność działań marketingowych. Korporacje technologiczne są często świadome łamania standardów etycznych, jednak zyski z monopolu przewyższają dla nich ewentualne kary finansowe.
Gdzie podziały się standardy?
Przygotowując artykuł „Bezpieczeństwo pacjentów w psychoterapii online”, szukałam jasnych i jednoznacznych wytycznych. Analizowałam strony polskich urzędów oraz towarzystw psychologicznych, aby znaleźć standardy prowadzenia e-terapii. Niestety, brakuje spójnego, ogólnodostępnego standardu bezpieczeństwa cyfrowego dla zawodu psychoterapeuty w Polsce.
Większość środowiska słusznie rekomenduje spotkania stacjonarne jako najbezpieczniejsze, jednak doświadczenia z okresu pandemii pokazały, że praca online jest koniecznością. Terapia online stała się codzienną praktyką, jednak wiele miejsc nadal nie wdrożyło rygorystycznych procedur. Ponadto wiele podmiotów nie korzysta z oficjalnych zgód, dlatego sytuacja budzi uzasadniony niepokój.
Kluczowe zasady bezpiecznej e-terapii. Przewodnik dla specjalistów
Aby zminimalizować ryzyko i zapewnić pacjentom maksymalną ochronę, każdy terapeuta, który prowadzi sesje online powinien wdrożyć poniżej przedstawiony przykład dekalogu zasad:
- Świadomy wybór platformy – rezygnacja z darmowych komunikatorów na rzecz specjalistycznych, certyfikowanych platform medycznych/terapeutycznych. To właśnie one gwarantują pełne szyfrowanie end-to-end, zgodność z RODO oraz brak dostępu firm trzecich do strumienia audio/video.
- Obowiązkowa pisemna zgoda pacjenta – przed rozpoczęciem procesu pacjent musi podpisać dokument, w którym potwierdza, że został poinformowany o specyfice terapii online, zasadach ochrony danych oraz wymaganiach technicznych.
- Audyt regulaminów – regularna weryfikacja polityki prywatności narzędzi, z których korzystamy. Szczególną uwagę należy zwrócić na zapisy o przechowywaniu danych na serwerach poza EOG (Europejskim Obszarem Gospodarczym).
- Higiena cyfrowa w gabinecie – rekomendowanie pacjentom (oraz stosowanie przez samego terapeutę) zasady odkładania wyciszonych smartfonów poza przestrzeń słyszalności sesji w celu uniknięcia przypadkowego nasłuchiwania przez aplikacje i asystentów głosowych.
- Zabezpieczenie infrastruktury – korzystanie wyłącznie z bezpiecznych, szyfrowanych sieci Wi-Fi (zakaz używania publicznych hotspotów), stosowanie silnych, unikalnych haseł oraz bezwzględne włączenie weryfikacji dwuetapowej (2FA) na wszystkich kontach.
- Procedura kryzysowa – posiadanie jasnego planu działania na wypadek naruszenia bezpieczeństwa (kogo poinformować, jak zabezpieczyć resztę danych, jak zgłosić incydent do Prezesa UODO w ciągu 72 godzin).
Dlaczego pisemna zgoda pacjenta to absolutny fundament?
Terapeuta powinien uzyskać pisemną zgodę pacjenta na terapię online, przetwarzanie danych medycznych oraz korzystanie z wybranej platformy. Dokument ten pełni kilka istotnych funkcji:
- Ochrona prawna – dokumentuje, że specjalista w pełni dopełnił obowiązku informacyjnego wynikającego m.in. z RODO. Taka zgoda jasno określa zakres odpowiedzialności, a jednocześnie chroni terapeutę przed niektórymi roszczeniami. Dotyczy to zwłaszcza awarii technicznych, ataków na systemy dostawcy oraz naruszeń po stronie pacjenta.
- Transparentność procesu – pacjent zyskuje pełną jasność co do tego, gdzie, jak i przez kogo są przetwarzane jego dane. Świadomość, że platforma nie rejestruje rozmów w celach komercyjnych, buduje poczucie pełnej kontroli nad własną prywatnością.
- Budowanie przymierza terapeutycznego – formalne podejście do ochrony danych pokazuje pacjentowi, że jego prywatność i intymność są traktowane z najwyższym, profesjonalnym szacunkiem. To bezpośrednio przekłada się na głębokie poczucie bezpieczeństwa, ułatwia otwarcie się przed terapeutą i wspiera sukces samej terapii.
Bezpieczeństwo pacjentów w psychoterapii online. Podsumowanie.
Bezpieczeństwo pacjentów w psychoterapii online nie stanowi kwestii drugorzędnej. Stanowi ono integralny element etyki zawodowej oraz fundament zaufania terapeutycznego. Bez niego proces leczenia traci swoją stabilność i skuteczność.
Terapeuta powinien świadomie korzystać z technologii oraz regularnie rozwijać kompetencje cyfrowe. Jednocześnie powinien wdrażać procedury bezpieczeństwa i stale aktualizować swoją wiedzę. Tylko takie działania pozwalają skutecznie chronić pacjentów w psychoterapii online.
Jednocześnie temat bezpieczeństwa cyfrowego nie kończy się na samej terapii online. Obejmuje on również szersze procedury pracy psychologa w środowisku cyfrowym, komunikację oraz obecność w sieci. Jeżeli chcesz przejść dalej i zobaczyć, jak wyglądają praktyczne procedury pracy psychologa w świecie cyfrowym, zapoznaj się z artykułem – Cyfrowa obecność psychologa. Procedury i granice online.
Najczęściej zadawane pytania (FAQ)
Czy Skype, Zoom i Messenger są całkowicie zakazane w prowadzeniu psychoterapii?
Prawnie nie ma przepisu, który wprost zakazuje używania tych platform. Jednak korzystanie z ich darmowych, konsumenckich wersji wiąże się z ogromnym ryzykiem prawnym i etycznym. Narzędzia te w swoich standardowych regulaminach często zawierają zapisy o przetwarzaniu danych w celach komercyjnych albo marketingowych. Jeżeli terapeuta decyduje się na ich użycie, powinien korzystać wyłącznie z ich płatnych, biznesowych wersji dla placówek medycznych. To właśnie one oferują odpowiednie umowy powierzenia przetwarzania danych tzw. BAA albo umowy zgodne z RODO.
Czym różni się darmowy komunikator od dedykowanej platformy dla terapeutów?
Specjalistyczne platformy do e-terapii są projektowane od podstaw z myślą o tajemnicy lekarskiej i zawodowej. Gwarantują one pełne szyfrowanie end-to-end (dane są kodowane na urządzeniu nadawcy i dekodowane dopiero u odbiorcy, więc właściciel platformy nie ma do nich wglądu) oraz nie zbierają próbek głosowych do trenowania algorytmów „sztucznej inteligencji”. Ponadto umożliwiają bezpieczne przechowywanie dokumentacji medycznej w chmurze, która spełnia rygorystyczne normy bezpieczeństwa.
Jak technicznie zabezpieczyć domowy gabinet przed rozpoczęciem sesji online?
Przed uruchomieniem połączenia należy upewnić się, że system operacyjny oraz aplikacja do rozmów są zaktualizowane do najnowszej wersji. Połączenie powinno odbywać się przez zabezpieczoną hasłem, domową sieć Wi-Fi (nigdy przez sieci publiczne). Kluczowe jest także wyłączenie albo wyniesienie z pokoju urządzeń takich jak inteligentne głośniki czy smartfony z aplikacjami, aktywnymi asystentami głosowymi, które mogą rejestrować dźwięki z otoczenia. Warto także pamiętać, że gabinet online nie kończy się przy ekranie terapeuty. To także pomieszczenie w jakim znajduje się pacjent i urządzenia jakie posiada.
Co powinien zrobić terapeuta, jeżeli zorientuje się, że doszło do wycieku danych pacjenta?
Jeżeli terapeuta wykryje wyciek danych albo podejrzewa naruszenie bezpieczeństwa, powinien natychmiast zabezpieczyć swoje konta i systemy. Następnie powinien ocenić zakres incydentu oraz ustalić, jakie dane mogły zostać ujawnione. Jeżeli naruszenie stwarza ryzyko dla praw lub wolności pacjenta, terapeuta musi zgłosić incydent do Prezesa UODO w ciągu 72 godzin. Powinien również jak najszybciej poinformować pacjenta o zdarzeniu i jego możliwych konsekwencjach.
Bibliografia i literatura pomocnicza
- Urząd Ochrony Danych Osobowych (UODO) – Wytyczne dotyczące przetwarzania danych osobowych w sektorze zdrowia oraz zawodach zaufania publicznego, Warszawa.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – w szczególności Art. 9 dotyczące przetwarzania szczególnych kategorii danych osobowych (danych dotyczących zdrowia).
- Kodeks Etyczno-Zawodowy Psychologa – Polskie Towarzystwo Psychologiczne (PTP), sekcje dotyczące zachowania tajemnicy zawodowej i ochrony poufności danych pacjenta.
- American Psychological Association (APA) – Guidelines for the Practice of Telepsychology (wytyczne, które dotyczą praktyki telepsychologii), opisują standardy techniczne i prawne za oceanem, które stanowią wzorzec dla rynków europejskich.
- European Federation of Psychologists’ Associations (EFPA) – EuroPsy Guidelines on Telehealth (wytyczne wdrożeniowe dla e-zdrowia i terapii na odległość).
- Polskie Towarzystwo Terapii Poznawczej i Behawioralnej (PTTPB) / Polskie Towarzystwo Psychiatryczne – komunikaty i rekomendacje sekcji naukowej, które dotyczą prowadzenia psychoterapii za pośrednictwem systemów teleinformatycznych w trakcie i po okresie pandemii.







