Anthropic je omogućio firmama da same, bez posredovanja prodajnog tima, uključe režim usklađen sa američkim zakonom o zaštiti zdravstvenih podataka HIPAA na svojim Claude nalozima. Prema informacijama iz kompanijine dokumentacije i beleški o izmenama, opcija je dostupna organizacijama na Enterprise planu i onima koje koriste programski interfejs (API), a ceo postupak se sada obavlja kroz podešavanja naloga.
Do sada je zaključivanje ugovora koji zdravstvenim ustanovama dozvoljava obradu osetljivih podataka o pacijentima kroz Claude tražilo prepisku sa kompanijom. Novi tok rada, kako navodi Anthropic, sažima taj proces na nekoliko koraka koje administrator obavi sam. Uz jednostavnost dolazi i jedno bitno ograničenje: kada se režim jednom uključi, ne može se isključiti iz podešavanja organizacije.
Šta HIPAA znači u ovom kontekstu
HIPAA je američki savezni zakon koji uređuje kako se čuvaju i prenose zaštićene zdravstvene informacije, poznate pod skraćenicom PHI. Za svaku firmu koja u ime bolnice ili ordinacije obrađuje takve podatke, zakon traži poseban ugovor. Taj ugovor se zove Business Associate Agreement, ili BAA, i njime dobavljač usluge preuzima obaveze u pogledu zaštite podataka.
Za dobavljače veštačke inteligencije to je osetljiva tema. Jezički modeli po pravilu obrađuju i, u nekim konfiguracijama, zadržavaju tekst koji im korisnici pošalju. Ako taj tekst sadrži imena pacijenata, dijagnoze ili nalaze, obrada mora da se odvija pod strogim pravilima. Zbog toga uključivanje HIPAA režima nije samo formalnost, već menja način na koji nalog rukuje podacima.
Kako izgleda novi postupak
Prema Anthropicovom uputstvu, uključivanje može da izvede samo glavni vlasnik naloga, ne i drugi administratori. Postupak se nalazi u podešavanjima organizacije, u odeljku za podatke i privatnost, pod stavkom HIPAA. Vlasnik prvo pregleda i preuzme tekst ugovora BAA, zatim pregleda i preuzme uputstvo za primenu, pa potvrdi izbor dugmetom kojim prihvata i uključuje režim.
Kompanija naglašava da je ponuđeni ugovor standardan i da se njegove odredbe ne mogu menjati kroz ovaj samouslužni tok. Firme kojima trebaju posebni uslovi i dalje moraju da se obrate Anthropicu direktno. Uputstvo za primenu, koje se preuzima tokom postupka, opisuje tehničke i organizacione zahteve koje sama firma mora da ispuni da bi obrada bila u skladu sa zakonom.
Šta je pokriveno, a šta nije
Obuhvat režima nije jednak za sve Claude proizvode. Prema dokumentaciji, Enterprise plan i API su pokriveni, uključujući razgovore, projekte, pretragu, izradu datoteka i izvršavanje koda. Alat Claude Code ulazi u okvir ugovora samo ako je na kvalifikovanom nalogu uključeno nulto zadržavanje podataka. Radni prostor Cowork, kako stoji u uputstvu, za sada nije pokriven.
Anthropic razdvaja i starije od novijih ugovora prema datumu. Ugovori potpisani pre 2. decembra 2025. pokrivali su samo API, pa firmama koje žele da dodaju Enterprise pristup treba nov ugovor. Ugovori potpisani posle tog datuma mogu da pokriju i API i Enterprise pod istim dokumentom. U okviru programskog interfejsa, prema kompanijinim navodima, skup funkcija usklađenih sa HIPAA obuhvata keširanje upita, veb pretragu i strukturisane izlaze, uz najavu da će se pokrivenost vremenom širiti.
Zašto je važno što je odluka trajna
Najosetljiviji deo najave je nepovratnost. U dokumentaciji piše da se, kada se HIPAA jednom uključi i ugovor prihvati, izmena ne može poništiti iz podešavanja organizacije. To znači da firma koja greškom uključi režim, ili odluči da joj on više ne treba, ne može sama da ga ukloni kroz interfejs.
Za same zdravstvene ustanove trajnost je uglavnom prednost, jer smanjuje rizik da neko slučajno isključi zaštitu. Za firme koje samo isprobavaju alat pre šire primene, ista osobina traži oprez. Uključivanje HIPAA režima obično prati stroža podešavanja, poput zabrane pojedinih funkcija ili obaveznog nultog zadržavanja podataka, što može da promeni način rada tima. Zbog toga odluka o uključivanju nije reverzibilna u meri u kojoj su to druga podešavanja naloga.
Deo šireg zaokreta ka regulisanim delatnostima
Poteg ka samouslužnoj usklađenosti uklapa se u pravac koji Anthropic drži već mesecima. Kompanija je ranije uvela odvojene pakete za državnu upravu i posebne bezbednosne vodiče za javni sektor, a sada olakšava ulazak zdravstvenim organizacijama. Zajednička nit je smanjenje prepreka za delatnosti u kojima obrada podataka podleže strogim propisima.
Konkurencija ide sličnim putem. Ponuđači veštačke inteligencije koji ciljaju velike kupce sve više nude ugovore o zaštiti podataka i konfiguracije prilagođene propisima, jer bez toga bolnice, banke i državne agencije ne smeju da koriste njihove alate. Time se takmičenje delom seli sa same sposobnosti modela na pitanje poverenja i usklađenosti.
Šta to znači za korisnike u regionu
HIPAA je američki okvir i nema pravno dejstvo u Srbiji ili u Evropskoj uniji. Za ustanove u regionu merodavni su domaći propisi o zaštiti podataka o ličnosti i, za obradu koja dotiče EU, Opšta uredba o zaštiti podataka poznata kao GDPR. Ipak, najava je znak u kom smeru se kreće ponuda velikih dobavljača. Ako Anthropic i slične kompanije nastave da grade samouslužne tokove za usklađenost, moguće je da vremenom stignu i konfiguracije prilagođene evropskim pravilima, što bi domaćim zdravstvenim i finansijskim ustanovama olakšalo uvođenje ovakvih alata.
Za sada firme u regionu koje razmišljaju o Claudeu za obradu osetljivih podataka i dalje moraju samostalno da procene da li konfiguracija naloga zadovoljava zahteve domaćeg prava. Uputstvo za primenu koje Anthropic nudi opisuje obaveze prema američkom zakonu, ne prema evropskom ili srpskom.
Često postavljana pitanja
Šta je HIPAA režim na Claude nalogu
To je konfiguracija naloga koja, uz zaključen ugovor BAA, omogućava obradu zaštićenih zdravstvenih podataka u skladu sa američkim zakonom HIPAA. Dostupna je na Enterprise planu i preko programskog interfejsa.
Ko može da uključi HIPAA režim
Prema Anthropicovoj dokumentaciji, to može samo glavni vlasnik naloga, kroz podešavanja organizacije u odeljku za podatke i privatnost. Drugi administratori ne mogu da izvedu taj korak.
Može li se HIPAA režim isključiti kasnije
Ne kroz podešavanja organizacije. Kompanija navodi da je, jednom kada se režim uključi i ugovor prihvati, izmena nepovratna iz interfejsa naloga.
Da li HIPAA važi za ustanove u Srbiji
Ne. HIPAA je američki zakon. Ustanovama u Srbiji i Evropskoj uniji merodavni su domaći propisi o zaštiti podataka o ličnosti i, gde je primenljivo, evropski GDPR.
