Falls du die letzte Woche damit verbracht hast, widersprüchliche Reddit-Threads darüber zu lesen, ob Supabase HIPAA-konform ist, die Kurzversion lautet: ja – aber nur im richtigen Plan, mit dem richtigen Add-on, und nur nach Unterzeichnung der BAA. Die längere Version erklärt, warum die meisten Teams das beim ersten Deployment falsch machen und wie dein Stack 2026 tatsächlich aussehen muss.Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.
Zwei Fakten haben 2025 die Rechnung verändert: Vercel hat HIPAA-BAAs für Pro-Teams als $350/Monat Add-on geöffnet, und Supabase hat sein HIPAA-Add-on von der Konsole aus selbstbedient gemacht. Die Gesamtkosten – $700/Monat für die Plattformebene – machen einen verteidigbaren HIPAA-konformen Next.js + Supabase Stack endlich für Pre-Series-A Health-Tech-Teams erreichbar. Vor 2025 erforderte dasselbe Setup Vercel Enterprise (etwa $45K/Jahr Median) und Supabase Enterprise (benutzerdefinierte Preise, typischerweise eine ähnliche Stufe), was die meisten frühen Teams stattdessen auf AWS oder Azure trieb.Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.
Ist Supabase 2026 HIPAA-konform?
Ja, mit zwei Bedingungen. Erstens musst du im Team-Plan ($599/Monat) oder Enterprise-Plan sein, plus das HIPAA-Add-on für $350/Monat. Die kostenlosen und Pro-Pläne unterstützen HIPAA nicht zum Preis – der Pro-Plan ($25/Monat) von Supabase kann PHI in keiner Konfiguration speichern. Zweitens musst du eine unterzeichnete Business Associate Agreement (BAA) mit Supabase haben, die über die Konsole für Team- und Enterprise-Kunden ausgeführt wird.
Das Speichern von PHI in einem Supabase Pro-Projekt ohne das HIPAA-Add-on ist eine HIPAA-Verletzung, unabhängig davon, wie sperrig deine RLS-Richtlinien sind. Die BAA ist die vertragliche Schicht, die die technischen Schutzmaßnahmen zählen lässt. Keine BAA, keine Compliance – dieselbe Regel wie bei jedem anderen Anbieter in deinem Stack.
Was das Supabase-HIPAA-Add-on für 350 Dollar pro Monat tatsächlich bringt
Das 350-Dollar-Add-on deckt vier Dinge ab, die Ihr Pro-Plan nicht hat: eine unterzeichnete BAA, zusätzliche Sicherheitskontrollen (Audit Logging, IP-Whitelist, MFA-Erzwingung, Log-Aufbewahrung), dedizierte Infrastruktur für compliance-sensitive Workloads und Zugang zu Supabase's Compliance-Dokumentation, die für Ihre eigenen Audits erforderlich ist.
- Verschlüsselung im Ruhezustand mit AES-256, im Transit mit TLS 1.2+ – gleich wie Pro, aber vertraglich unter der BAA scoped.
- Audit-Log-Aufbewahrung verlängert, um HIPAAs 6-Jahres-Anforderung für Zugriffsprotokolle zu erfüllen, die PHI berühren.
- Datenbank-Point-in-Time-Recovery und Backups sind im Umfang der BAA enthalten, sodass eine Wiederherstellung aus einem Backup Sie nicht außerhalb der Vereinbarung stellt.
- Storage Buckets, Auth, Edge Functions und Realtime sind alle im Umfang enthalten. Sie können die vollständige Plattform für HIPAA-Workloads nutzen.
- KI- / Vector-Funktionalität (pgvector) ist im Umfang enthalten, aber wenn Sie PHI in Vektoren einbetten, sind Sie selbst verantwortlich für die Verschlüsselungsposition der Embeddings selbst und für alle externen Embedding-API-Aufrufe.
Der vollständige 700-Dollar-pro-Monat-HIPAA-Stack: Vercel + Supabase + die Teile, die Sie noch selbst bauen müssen
Ein verteidigbarer HIPAA-konformer Next.js + Supabase Stack 2026 kostet $700/Monat für die Plattformebene – $350 an Vercel für das Pro-BAA-Add-on, $350 an Supabase für das HIPAA-Add-on. Der Preis geht davon aus, dass du bei Vercel Pro und Supabase Team bist, die zusammen vor den BAAs etwa $620/Monat Basis kosten. Gesamtuntergrenze: etwa $1.320/Monat, plus Plätze, plus HIPAA-fähige Dienste von Drittanbietern.
Was die Plattform-BAAs abdecken
- Hosting (Vercel): Edge-Laufzeit, Functions, ISR, Bildoptimierung, Log-Aufbewahrung. Pro BAA beinhaltet NICHT Secure Compute (isolierte Netzwerke, dedizierte IPs, VPC-Peering) – das ist nur auf Enterprise-Ebene mit etwa $45K/Jahr Median.
- Datenbank, Auth, Storage, Realtime, Edge Functions (Supabase): alle im Umfang der BAA enthalten.
- DNS, CDN, Build-Pipeline (Vercel): im Umfang enthalten.
Was die Plattform-BAAs NICHT abdecken – deine Verantwortung
- Audit-Logging auf der Anwendungsebene – jeder PHI-Lese- und Schreibvorgang muss in deiner eigenen Audit-Tabelle oder bei einem externen HIPAA-fähigen Logger wie einer Supabase Edge Function landen, die in einen separaten aufbewahrungsisolierten Bucket schreibt.
- Authentifizierung und Sitzungsverwaltung – Supabase Auth mit der BAA deckt die Speicherung von Anmeldeinformationen ab, aber dein Sitzungs-Handling-Code, deine Rollenprüfungen und deine Idle-Timeout-Durchsetzung sind Anwendungsebene.
- PHI in Fehlerprotokollen -- Sentry, Datadog, LogRocket, PostHog usw. sind NICHT im Scope, es sei denn, Sie haben deren separaten HIPAA-Tier (die meisten bieten einen an, alle berechnen Zusatzkosten). Sentry HIPAA-Tier existiert im Business-Plan ($80+/Sitz/Monat). Datadog HIPAA Add-on erfordert Enterprise.
- E-Mail -- Resend, Postmark, SendGrid: jeder hat seinen eigenen HIPAA-Tier. Resend HIPAA-Support kam 2025 im Pro-Plan mit separater BAA an. Vor dem Versand von Terminerinnerungen oder PHI in E-Mails überprüfen.
- Drittanbieter-Integrationen -- jede externe API, die PHI berührt, benötigt ihre eigene BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA bei $99/Monat enthalten), HubSpot Healthcare usw.
So fahren Sie ein HIPAA-konformes Next.js + Supabase Setup 2026 aus -- die praktische Abfolge
1. Signieren Sie die BAAs zuerst, bevor Sie das Schema schreiben
Richten Sie ein Vercel Pro-Konto ein, fügen Sie das HIPAA BAA Add-on über das Dashboard hinzu. Richten Sie ein Supabase Team-Konto ein, fordern Sie das HIPAA Add-on an, unterzeichnen Sie die BAA vom Dashboard aus. Beide sind Click-through-Vereinbarungen -- keine Enterprise-Verkaufsgespräche -- und beide sollten erledigt sein, bevor PHI Ihre Infrastruktur berührt. Wenn Sie zuerst bauen und später unterzeichnen, ist jedes PHI-Byte, das in Vor-BAA-Speicher landete, eine Verletzung.
2. Entwerfen Sie Ihr Schema mit PHI-Isolierung im Sinn
Trennen Sie PHI-Spalten von Non-PHI-Spalten. RLS-Richtlinien müssen auf jeder PHI-Tabelle durchgesetzt werden, wobei die Standardrichtlinie deny ist. Nutzen Sie pgcrypto für Verschlüsselung auf Spaltenebene bei hochsensiblen Feldern (SSN, Diagnose-Codes, psychische Gesundheitsnotizen) -- die BAA deckt AES-256 im Ruhezustand ab, aber Defense-in-Depth bei den sensibelsten Feldern ist das, was Ihr Auditor abfragen wird.
3. Audit-Protokollierung bei jedem PHI-Zugriff
HIPAA verlangt, dass Sie jeden Lese- und Schreibzugriff auf PHI protokollieren und die Protokolle sechs Jahre lang aufbewahren. Das Muster, das in Supabase funktioniert: eine separate audit_log-Tabelle, in die jede PHI-berührende Abfrage via Trigger oder Edge Function schreibt. Das Audit-Protokoll selbst ist PHI-benachbart -- Sie speichern Benutzer-IDs, Zeitstempel und Patienten-IDs, aber niemals den PHI-Inhalt selbst in der Audit-Zeile. Bewahren Sie das Audit-Protokoll mit einer separaten Aufbewahrungsrichtlinie von der Betriebsdatenbank auf.
4. Authentifizierung mit HIPAA-konformer Sitzungsverwaltung
Supabase Auth mit dem HIPAA Add-on fällt unter die BAA. Die Anforderungen auf Anwendungsebene liegen immer noch bei Ihnen: Idle-Timeout-Sitzungen (typischerweise 15 Minuten für klinische Workstations, 30 Minuten für patientengerichtete Apps), MFA-Erzwingung für Clinician-Konten, Passwort-Rotationsrichtlinien, falls Ihr Auditor diese verlangt, und explizite rollenbasierte Zugriffskontrolle auf jeder geschützten Route. Verwenden Sie Next.js Middleware für die Sitzungsprüfung, nicht nur Client-seitige Guards.
5. Speicher für PHI-Dokumente und Bilder
Supabase Storage mit dem HIPAA Add-on deckt Signed-URL-Zugriff, Verschlüsselung im Ruhezustand und BAA-scoped Buckets ab. Das Anwendungsebenen-Muster: Bucket pro Mandant, RLS-Richtlinie in der storage.objects-Tabelle, Signed URLs mit kurzer Gültigkeitsdauer (5-15 Minuten für PHI-Dokumente), und niemals öffentliche URLs zu PHI zu exponieren, nicht einmal durch Verborgenheit. Prüfen Sie den Lese- und Schreibzugriff jeder Signed URL in Ihr audit_log.
6. Formulare -- nutzen Sie JotForm Gold für $99/Monat, bevor Sie Ihre eigene bauen
Falls Ihre einzige PHI-Erfassung über Formulare läuft, kostet JotForm Gold mit 99 $/Monat HIPAA ohne zusätzliche Gebühren. Betten Sie das Formular per iframe ein, PHI berührt nie Ihre Infrastruktur, und Sie haben signierte BAA mit audit-geloggtem Formularspeicher an einem Nachmittag. Das native Bauen von HIPAA-konformen Formularen in Next.js + Supabase ist ein 2–3-Wochen-Engagement, das JotForm für 99 $ monatlich löst. Sparen Sie den Custom Build für die Teile Ihres Produkts, wo das Formular allein nicht ausreicht.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Wo Supabase für HIPAA-Workloads die falsche Wahl ist
- Falls Ihr Auditor verlangt, dass jedes PHI-Byte in Ihrer eigenen VPC lebt. Supabase HIPAA gibt Ihnen BAA-gestützte Multi-Tenant-Infrastruktur; es gibt Ihnen nicht VPC-Isolierung. Die Lösung ist Supabase Enterprise (individuelles Angebot) mit dedizierter Infrastruktur oder selbst gehostetes Postgres auf AWS RDS oder Azure unter deren BAA.
- Falls Sie zusätzlich zu HIPAA FedRAMP- oder StateRAMP-Abdeckung brauchen. Diese Zertifizierungen sind Azure- / AWS GovCloud-Territorium. Supabase hat keine FedRAMP-Berechtigung ab Mitte 2026.
- Falls Ihre Anwendung Sub-10ms-Leseverzögerung bei einem Multi-Region-Patientendatensatz benötigt. Supabase hat Read Replicas, aber die Multi-Region-Story ist noch nicht auf dem Level von CockroachDB + Vercel Edge mit Custom Replication.
- Falls Ihr Team null Postgres-Operational-Tiefe hat und Sie eine vollständig verwaltete klinische Datenbank mit herstellergestütztem Schema, FHIR-APIs und Clinical-Decision-Support aus dem Kasten brauchen. Das ist Aidbox-, Health Samurai- oder Particle Health-Territorium, nicht Supabase.
FAQ
Wie viel kostet eine Vercel HIPAA BAA?
Vercels HIPAA Business Associate Agreement ist ein 350-$/Monat-Add-on zum Pro-Plan, unterzeichnet per Self-Serve-Klick im Dashboard ohne Enterprise-Vertrag erforderlich. SAML SSO ist ein separates 300-$/Monat-Add-on. Kombiniert kostet ein typisches Compliance-Setup auf Vercel Pro 650 $ pro Monat vor Seat-Kosten. Enterprise (ca. 45.000 $/Jahr Median) bündelt BAA, SSO und Secure Compute zusammen.
Ist Supabase HIPAA-konform?
Ja, im Team-Plan (599 $ pro Monat) oder Enterprise-Plan plus dem HIPAA-Add-on für 350 $ pro Monat mit einer signierten Business Associate Agreement, die über das Dashboard ausgeführt wird. Supabase Free und Pro-Pläne unterstützen HIPAA in keiner Konfiguration. Das Speichern von PHI in einem Supabase Pro-Projekt ohne das HIPAA-Add-on ist eine HIPAA-Verletzung, egal wie abgesichert deine Row-Level-Security-Richtlinien sind.
Ist der Supabase Pro-Plan HIPAA-konform?
Nein. Supabase Pro für 25 $/Monat unterstützt HIPAA in keiner Konfiguration, und Supabase wird auf dem Pro-Plan keine BAA unterzeichnen. Um PHI auf Supabase zu speichern, benötigst du den Team-Plan (599 $/Monat) oder Enterprise plus das HIPAA-Add-on für 350 $/Monat. Die kombinierte Untergrenze liegt bei etwa 950 $/Monat nur für die Datenbankschicht, vor etwaigen Sitzkosten.
Deckt die Vercel BAA Supabase ab, oder benötige ich beide?
Sie brauchen beide. Vercel's BAA deckt deren Hosting, Runtime, Edge und Platform Services ab. Supabase's BAA deckt die Datenbank, Auth, Storage und Edge Functions auf Supabase's Infrastruktur ab. Jede Anbieter-BAA deckt nur ihre eigenen Services ab -- es gibt keine vendor-übergreifende HIPAA-Vererbung. Unterzeichnen Sie eine mit jedem Anbieter, der PHI berührt, einschließlich jeder Drittanbieter-API im Request-Path.
Kann ich Supabase Realtime für HIPAA-Workloads nutzen?
Ja, im Team-Plan mit dem HIPAA-Add-on ist Supabase Realtime im Scope der BAA enthalten. Regeln auf Anwendungsebene gelten weiterhin: Row-Level-Security muss auf den Broadcast-Kanälen erzwungen werden, deine Subscriber-Clients müssen sich über Supabase Auth authentifizieren, und PHI-Broadcast-Events müssen in deiner Audit-Tabelle genauso protokolliert werden wie direkte Datenbanklesevorgänge.
Was ist mit pgvector und AI auf Supabase HIPAA?
Die pgvector-Funktionalität ist im Scope der Supabase BAA enthalten. Der Haken ist: Wenn du PHI in Vektoren mit einer externen API (OpenAI, Anthropic, Voyage) einbettest, verlässt der Embedding-Call Supabase-Infrastruktur im BAA-Scope und landet bei einem Third-Party-Service, der seine eigene BAA benötigt. OpenAI-API unterstützt HIPAA über Zero-Retention-Endpunkte mit einer BAA von baa@openai.com. Anthropic Claude erfordert den Enterprise-Plan (typischerweise 50.000+ $/Jahr) für HIPAA. Der Vektor-Speicher in pgvector ist BAA-scoped; die Embedding-Pipeline ist deine Verantwortung für eine lückenlose BAA-Abdeckung.
Zählen Supabase Edge Functions als PHI-Verarbeitung unter der BAA?
Ja. Edge Functions im Team- oder Enterprise-Plan mit dem HIPAA-Add-on fallen darunter. Der Haken: Ausgehende Fetch-Aufrufe von einer Edge Function zu einer Drittanbieter-API fallen nicht darunter, es sei denn, dieser Drittanbieter hat ebenfalls eine BAA. Wenn deine Edge Function Stripe, Twilio oder Resend aufruft, muss jeder dieser Anbieter auf seiner HIPAA-Stufe sein, damit der Aufruf konform ist. Die Supabase BAA wird nicht auf die API weitergeleitet, die die Funktion aufruft.
Weiterführende Lektüre
HIPAA-konforme Apps 2026 -- Next.js, WordPress oder JotForm $99 -- der übergeordnete Beitrag in diesem Cluster, der alle drei Architektur-Pfade abdeckt. -- the parent post in this cluster covering all three architectural paths.
Hosting-Stacks, die 2026 tatsächlich eine HIPAA BAA unterzeichnen – umfassender Hosting-Vergleich einschließlich AWS, Azure, GCP und der WordPress-spezifischen HIPAA-Hosts. -- broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor – geben Sie Ihre URL ein und erhalten Sie in 30 Sekunden eine maßgeschneiderte Stack-Empfehlung. Nützlich, wenn Sie abwägen, ob Ihr Healthcare-Projekt tatsächlich das vollständige Next.js + Supabase-Setup benötigt oder ob der WordPress + JotForm-Weg es günstiger löst. -- paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
Wenn du sechs Wochen in deiner Healthcare-App steckst und die Frage „ist dein Stack heute HIPAA-konform" nicht einfach mit „ja" beantworten kannst, werden die nächsten dreißig Minuten es lösen.
Buchen Sie ein 30-minütiges HIPAA-Stack-Gespräch – beschreiben Sie das Produkt, gehen Sie durch Ihren aktuellen Stack und verlassen Sie das Gespräch mit einem HIPAA-Pfad, der für Ihren Auditor verteidigbar und für Ihre Wachstumsphase bezahlbar ist. -- describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.