Ist die kostenlose Supabase-Stufe HIPAA-konform?

Nein. HIPAA verlangt ein unterschriebenes BAA, das Supabase nur auf berechtigten kostenpflichtigen Plänen anbietet. Speichern Sie keine PHI auf der kostenlosen Stufe.

Macht das Unterzeichnen eines BAA meine Supabase-App HIPAA-konform?

Nein. Ein BAA deckt die Plattform ab. Ihre App ist nur dann konform, wenn Sie außerdem RLS, Zugriffskontrollen, Verschlüsselung und Logging korrekt konfigurieren und PHI in Ihrem gesamten Stack ordentlich handhaben.

Ist Supabase HIPAA-konform?

Supabase lässt sich für HIPAA-regulierte Apps nutzen: Es bietet auf seinen kostenpflichtigen Plänen eine HIPAA-konforme Stufe und unterzeichnet ein Business Associate Agreement (BAA). Aber dass die Plattform HIPAA-fähig ist, macht Ihre App nicht konform – Sie sind weiterhin dafür verantwortlich, Row-Level Security, Zugriffskontrollen, Verschlüsselung, Audit-Logging und Datenverarbeitung korrekt zu konfigurieren. HIPAA auf Supabase ist eine geteilte Verantwortung.

HIPAA-fähig?: Ja – auf kostenpflichtigen Plänen mit unterschriebenem BAA
BAA verfügbar?: Ja, auf berechtigten kostenpflichtigen Stufen
Ihre Verantwortung: RLS, Zugriffskontrolle, Verschlüsselung, Logging, PHI-Handhabung
Kostenlose Stufe: Nicht für PHI geeignet – kein BAA

Was Supabase für HIPAA bereitstellt

Auf berechtigten kostenpflichtigen Plänen unterzeichnet Supabase ein BAA und stellt die Infrastruktur-Kontrollen bereit, die HIPAA erwartet – Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen und die Möglichkeit, in einer konformen Konfiguration zu betreiben. Das macht Supabase zu einem legitimen Backend für Gesundheits-Apps, die geschützte Gesundheitsdaten (PHI) verarbeiten.

Was weiterhin in Ihrer Verantwortung liegt

Ein BAA deckt die Plattform ab, nicht Ihre Anwendung. Sie müssen Row-Level Security aktivieren und korrekt eingrenzen, damit PHI nie vom falschen Nutzer lesbar sind, den Service-Role-Schlüssel serverseitig halten, Autorisierung auf jedem Endpunkt erzwingen, Audit-Logging aktivieren und sicherstellen, dass PHI nicht in Logs, Analytics oder das Client-Bundle leaken. Die meisten „Supabase-HIPAA“-Fehler sind Fehlkonfigurationen auf App-Ebene, keine Plattformlücken.

HIPAA für per Vibe-Coding erstellte Gesundheits-Apps

Wenn Sie eine Gesundheits-App mit einem KI-Baukasten gebaut haben, seien Sie besonders vorsichtig: Generierte Apps werden häufig mit offener RLS und exponierten Schlüsseln ausgeliefert – inakzeptabel für PHI. Bevor Sie echte Patientendaten verarbeiten, verifizieren Sie die Zugriffskontrolle Ende-zu-Ende und holen Sie eine Sicherheitsprüfung ein. Ein kostenloser Scan sagt Ihnen in Minuten, ob PHI derzeit offenliegen.

Holen Sie sich die Freigabe vor dem Launch.

Tragen Sie sich auf die Early-Access-Liste ein. Wir bevorzugen Gründer mit einer bereits deployten App und einem festen Launch-Termin im Kalender.

Fragen

Ist die kostenlose Supabase-Stufe HIPAA-konform?: Nein. HIPAA verlangt ein unterschriebenes BAA, das Supabase nur auf berechtigten kostenpflichtigen Plänen anbietet. Speichern Sie keine PHI auf der kostenlosen Stufe.
Macht das Unterzeichnen eines BAA meine Supabase-App HIPAA-konform?: Nein. Ein BAA deckt die Plattform ab. Ihre App ist nur dann konform, wenn Sie außerdem RLS, Zugriffskontrollen, Verschlüsselung und Logging korrekt konfigurieren und PHI in Ihrem gesamten Stack ordentlich handhaben.