Falls du die letzte Woche damit verbracht hast, widersprüchliche Reddit-Threads zu lesen, ob Supabase HIPAA-konform ist, die Kurzversion: ja — aber nur im richtigen Plan, mit dem richtigen Add-on und nur nach Unterzeichnung der BAA. Die längere Version erklärt, warum die meisten Teams das beim ersten Deploy falsch machen und wie dein Stack 2026 tatsächlich aussehen muss.
Zwei Fakten haben 2025 die Rechnung verändert: Vercel hat HIPAA-BAAs für Pro-Teams als 350-Dollar-Add-on geöffnet, und Supabase hat sein HIPAA-Add-on über das Dashboard selbstbedienbar gemacht. Die kombinanten Kosten — 700 Dollar pro Monat für die Platform-Schicht — bringen endlich einen verteidigbaren HIPAA-konformen Next.js + Supabase-Stack in Reichweite von Pre-Series-A-Health-Tech-Teams. Vor 2025 erforderte derselbe Stack Vercel Enterprise (im Median etwa 45.000 Dollar pro Jahr) und Supabase Enterprise (Custom Pricing, typischerweise ähnlicher Umfang), Preise, die die meisten Early-Stage-Teams stattdessen zu AWS oder Azure drängten.
Ist Supabase 2026 HIPAA-konform?
Ja, unter zwei Bedingungen. Erstens musst du im Team-Plan (599 Dollar pro Monat) oder Enterprise-Plan sein plus das HIPAA-Add-on für 350 Dollar pro Monat. Die Free- und Pro-Pläne unterstützen HIPAA zu keinem Preis — Supabase Pro (25 Dollar pro Monat) kann PHI unter keiner Konfiguration speichern. Zweitens musst du eine unterzeichnete Business Associate Agreement (BAA) mit Supabase haben, die über das Dashboard für Team- und Enterprise-Kunden ausgeführt wird.
PHI in einem Supabase-Pro-Projekt ohne HIPAA-Add-on zu speichern ist unabhängig davon, wie abgesichert deine RLS-Policies sind, eine HIPAA-Verletzung. Die BAA ist die vertragliche Schicht, die die technischen Schutzmaßnahmen zählt. Keine BAA, keine Compliance — dieselbe Regel wie bei jedem anderen Vendor in deinem Stack.
Was das Supabase-HIPAA-Add-on für 350 Dollar pro Monat tatsächlich bringt
Das 350-Dollar-Add-on deckt vier Dinge ab, die Ihr Pro-Plan nicht hat: eine unterzeichnete BAA, zusätzliche Sicherheitskontrollen (Audit Logging, IP-Whitelist, MFA-Erzwingung, Log-Aufbewahrung), dedizierte Infrastruktur für compliance-sensitive Workloads und Zugang zu Supabase's Compliance-Dokumentation, die für Ihre eigenen Audits erforderlich ist.
- Verschlüsselung in Ruhe mit AES-256, im Transit mit TLS 1.2+ — dasselbe wie Pro, aber vertraglich unter der BAA geregelt.
- Audit-Log-Aufbewahrung verlängert, um HIPAAs 6-Jahres-Anforderung für Zugriffsprotokolle zu erfüllen, die PHI berühren.
- Datenbank-Point-in-Time-Recovery und Backups sind im Umfang der BAA enthalten, sodass eine Wiederherstellung aus einem Backup Sie nicht außerhalb der Vereinbarung stellt.
- Storage Buckets, Auth, Edge Functions und Realtime sind alle im Umfang enthalten. Sie können die vollständige Plattform für HIPAA-Workloads nutzen.
- KI- / Vector-Funktionalität (pgvector) ist im Umfang enthalten, aber wenn Sie PHI in Vektoren einbetten, sind Sie selbst verantwortlich für die Verschlüsselungsposition der Embeddings selbst und für alle externen Embedding-API-Aufrufe.
Der vollständige 700-Dollar-pro-Monat-HIPAA-Stack: Vercel + Supabase + die Teile, die Sie noch selbst bauen müssen
Ein defensibles HIPAA-konformes Next.js + Supabase-Stack kostet 2026 700 Dollar pro Monat für die Plattformschicht — 350 Dollar an Vercel für das Pro-BAA-Add-on, 350 Dollar an Supabase für das HIPAA-Add-on. Dieser Preis setzt voraus, dass Sie auf Vercel Pro und Supabase Team sind, die zusammen im Basis-Setup etwa 620 Dollar pro Monat kosten, bevor die BAAs hinzukommen. Absolute Untergrenze: etwa 1.320 Dollar pro Monat, plus Seats, plus alle HIPAA-geeigneten Third-Party-Services.
Was die Plattform-BAAs abdecken
- Hosting (Vercel): Edge Runtime, Functions, ISR, Image-Optimierung, Log-Aufbewahrung. Pro BAA beinhaltet NICHT Secure Compute (isolierte Netzwerke, dedizierte IPs, VPC Peering) — das ist nur für Enterprise ab ca. 45.000 USD/Jahr Median verfügbar.
- Datenbank, Auth, Storage, Realtime, Edge Functions (Supabase): alle im Umfang der BAA enthalten.
- DNS, CDN, Build-Pipeline (Vercel): im Umfang enthalten.
Was die Platform-BAAs NICHT abdecken — Ihre Verantwortung
- Audit Logging auf der Anwendungsebene — jeder PHI-Lesezugriff/Schreibzugriff muss in Ihrer eigenen Audit-Tabelle landen oder zu einem externen HIPAA-geeigneten Logger wie einer Supabase Edge Function, die in einen separaten aufbewahrungsisolierten Bucket schreibt.
- Authentifizierung und Session-Management — Supabase Auth mit BAA deckt die Speicherung von Anmeldedaten ab, aber Ihr Session-Handling-Code, Ihre Rollenchecks und Ihre Idle-Timeout-Erzwingung sind auf Anwendungsebene.
- PHI in Error Logs — Sentry, Datadog, LogRocket, PostHog usw. sind NICHT im Umfang enthalten, wenn Sie nicht deren separate HIPAA-Tier haben (die meisten bieten eine an, alle berechnen extra). Sentry HIPAA Tier gibt es ab Business Plan (80+ USD/Platz/Monat). Datadog HIPAA Add-on erfordert Enterprise.
- E-Mail — Resend, Postmark, SendGrid: jeder hat seine eigene HIPAA-Tier. Resend HIPAA-Support kam 2025 im Pro Plan mit separater BAA an. Überprüfen Sie vor dem Versand von Terminbenachrichtigungen oder jeglichen PHI in E-Mails.
- Drittanbieter-Integrationen — jede externe API, die PHI berührt, benötigt ihre eigene BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA zu 99 USD/Monat enthalten), HubSpot Healthcare usw.
Wie man ein HIPAA-konformes Next.js + Supabase Setup 2026 ausliefert — die praktische Reihenfolge
1. Signieren Sie die BAAs zuerst, bevor Sie das Schema schreiben
Richten Sie ein Vercel Pro-Konto ein, fügen Sie das HIPAA BAA Add-on über das Dashboard hinzu. Richten Sie ein Supabase Team-Konto ein, fordern Sie das HIPAA Add-on an, signieren Sie die BAA vom Dashboard aus. Beides sind Click-through-Vereinbarungen — keine Enterprise-Verkaufsgespräche — und beides sollte erledigt sein, bevor PHI Ihre Infrastruktur berührt. Wenn Sie zuerst bauen und später signieren, ist jedes PHI-Byte, das in Pre-BAA-Speicher gelangt ist, ein Verstoß.
2. Entwerfen Sie Ihr Schema mit PHI-Isolierung im Sinn
Trennen Sie PHI-Spalten von Nicht-PHI-Spalten. RLS-Richtlinien müssen auf jeder PHI-Tabelle durchgesetzt werden, wobei die Standardrichtlinie „Deny" ist. Verwenden Sie pgcrypto für Verschlüsselung auf Spaltenebene bei hochsensiblen Feldern (SSN, Diagnosecodes, psychische Notizen) — die BAA deckt AES-256 im Ruhezustand ab, aber Defense-in-Depth bei den sensibilsten Feldern ist das, was Ihr Auditor fragen wird.
3. Audit-Protokollierung bei jedem PHI-Zugriff
HIPAA erfordert, dass Sie jeden Lese- und Schreibzugriff auf PHI protokollieren und die Protokolle sechs Jahre lang aufbewahren. Das Muster, das in Supabase funktioniert: eine separate audit_log-Tabelle, in die jede PHI-berührende Abfrage über einen Trigger oder eine Edge Function schreibt. Das Audit-Protokoll selbst ist PHI-nah — Sie speichern Benutzer-IDs, Zeitstempel und Patienten-IDs, aber niemals den PHI-Inhalt selbst in der Audit-Zeile. Bewahren Sie das Audit-Protokoll mit einer separaten Aufbewahrungsrichtlinie auf, getrennt von der operativen Datenbank.
4. Authentifizierung mit HIPAA-konformer Sitzungsverwaltung
Supabase Auth mit dem HIPAA Add-on fällt unter die BAA. Die Anforderungen auf Anwendungsebene liegen immer noch bei Ihnen: Idle-Timeout-Sitzungen (typischerweise 15 Minuten für klinische Workstations, 30 Minuten für patientengerichtete Apps), MFA-Erzwingung für Clinician-Konten, Passwort-Rotationsrichtlinien, falls Ihr Auditor diese verlangt, und explizite rollenbasierte Zugriffskontrolle auf jeder geschützten Route. Verwenden Sie Next.js Middleware für die Sitzungsprüfung, nicht nur Client-seitige Guards.
5. Speicher für PHI-Dokumente und Bilder
Supabase Storage mit dem HIPAA Add-on deckt Signed-URL-Zugriff, Verschlüsselung im Ruhezustand und BAA-scoped Buckets ab. Das Anwendungsebenen-Muster: Bucket pro Mandant, RLS-Richtlinie in der storage.objects-Tabelle, Signed URLs mit kurzer Gültigkeitsdauer (5-15 Minuten für PHI-Dokumente), und niemals öffentliche URLs zu PHI zu exponieren, nicht einmal durch Verborgenheit. Prüfen Sie den Lese- und Schreibzugriff jeder Signed URL in Ihr audit_log.
6. Formulare — nutzen Sie JotForm Gold für 99 $/Monat, bevor Sie Ihre eigene Lösung bauen
Falls Ihre einzige PHI-Erfassung über Formulare läuft, kostet JotForm Gold mit 99 $/Monat HIPAA ohne zusätzliche Gebühren. Betten Sie das Formular per iframe ein, PHI berührt nie Ihre Infrastruktur, und Sie haben signierte BAA mit audit-geloggtem Formularspeicher an einem Nachmittag. Das native Bauen von HIPAA-konformen Formularen in Next.js + Supabase ist ein 2–3-Wochen-Engagement, das JotForm für 99 $ monatlich löst. Sparen Sie den Custom Build für die Teile Ihres Produkts, wo das Formular allein nicht ausreicht.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Wo Supabase für HIPAA-Workloads die falsche Wahl ist
- Falls Ihr Auditor verlangt, dass jedes PHI-Byte in Ihrer eigenen VPC lebt. Supabase HIPAA gibt Ihnen BAA-gestützte Multi-Tenant-Infrastruktur; es gibt Ihnen nicht VPC-Isolierung. Die Lösung ist Supabase Enterprise (individuelles Angebot) mit dedizierter Infrastruktur oder selbst gehostetes Postgres auf AWS RDS oder Azure unter deren BAA.
- Falls Sie zusätzlich zu HIPAA FedRAMP- oder StateRAMP-Abdeckung brauchen. Diese Zertifizierungen sind Azure- / AWS GovCloud-Territorium. Supabase hat keine FedRAMP-Berechtigung ab Mitte 2026.
- Falls Ihre Anwendung Sub-10ms-Leseverzögerung bei einem Multi-Region-Patientendatensatz benötigt. Supabase hat Read Replicas, aber die Multi-Region-Story ist noch nicht auf dem Level von CockroachDB + Vercel Edge mit Custom Replication.
- Falls Ihr Team null Postgres-Operational-Tiefe hat und Sie eine vollständig verwaltete klinische Datenbank mit herstellergestütztem Schema, FHIR-APIs und Clinical-Decision-Support aus dem Kasten brauchen. Das ist Aidbox-, Health Samurai- oder Particle Health-Territorium, nicht Supabase.
FAQ
Wie viel kostet eine Vercel HIPAA BAA?
Vercels HIPAA Business Associate Agreement ist ein 350-$/Monat-Add-on zum Pro-Plan, unterzeichnet per Self-Serve-Klick im Dashboard ohne Enterprise-Vertrag erforderlich. SAML SSO ist ein separates 300-$/Monat-Add-on. Kombiniert kostet ein typisches Compliance-Setup auf Vercel Pro 650 $ pro Monat vor Seat-Kosten. Enterprise (ca. 45.000 $/Jahr Median) bündelt BAA, SSO und Secure Compute zusammen.
Ist Supabase HIPAA-konform?
Ja, im Team-Plan (599 $ pro Monat) oder Enterprise-Plan plus dem HIPAA-Add-on für 350 $ pro Monat mit einer signierten Business Associate Agreement, die über das Dashboard ausgeführt wird. Supabase Free und Pro-Pläne unterstützen HIPAA in keiner Konfiguration. Das Speichern von PHI in einem Supabase Pro-Projekt ohne das HIPAA-Add-on ist eine HIPAA-Verletzung, egal wie abgesichert deine Row-Level-Security-Richtlinien sind.
Ist der Supabase Pro-Plan HIPAA-konform?
Nein. Supabase Pro für 25 $/Monat unterstützt HIPAA in keiner Konfiguration, und Supabase wird auf dem Pro-Plan keine BAA unterzeichnen. Um PHI auf Supabase zu speichern, benötigst du den Team-Plan (599 $/Monat) oder Enterprise plus das HIPAA-Add-on für 350 $/Monat. Die kombinierte Untergrenze liegt bei etwa 950 $/Monat nur für die Datenbankschicht, vor etwaigen Sitzkosten.
Deckt die Vercel BAA Supabase ab, oder benötige ich beide?
Du benötigst beide. Die Vercel BAA deckt deren Hosting, Runtime, Edge und Plattformdienste ab. Die Supabase BAA deckt die Datenbank, Auth, Storage und Edge Functions auf Supabase-Infrastruktur ab. Die BAA jedes Vendors deckt nur seine eigenen Dienste ab – es gibt keine herstellerübergreifende HIPAA-Vererbung. Unterzeichne eine mit jedem Vendor, der PHI berührt, einschließlich jeder Third-Party-API im Anfragepfad.
Kann ich Supabase Realtime für HIPAA-Workloads nutzen?
Ja, im Team-Plan mit dem HIPAA-Add-on ist Supabase Realtime im Scope der BAA enthalten. Regeln auf Anwendungsebene gelten weiterhin: Row-Level-Security muss auf den Broadcast-Kanälen erzwungen werden, deine Subscriber-Clients müssen sich über Supabase Auth authentifizieren, und PHI-Broadcast-Events müssen in deiner Audit-Tabelle genauso protokolliert werden wie direkte Datenbanklesevorgänge.
Was ist mit pgvector und AI auf Supabase HIPAA?
Die pgvector-Funktionalität ist im Scope der Supabase BAA enthalten. Der Haken ist: Wenn du PHI in Vektoren mit einer externen API (OpenAI, Anthropic, Voyage) einbettest, verlässt der Embedding-Call Supabase-Infrastruktur im BAA-Scope und landet bei einem Third-Party-Service, der seine eigene BAA benötigt. OpenAI-API unterstützt HIPAA über Zero-Retention-Endpunkte mit einer BAA von baa@openai.com. Anthropic Claude erfordert den Enterprise-Plan (typischerweise 50.000+ $/Jahr) für HIPAA. Der Vektor-Speicher in pgvector ist BAA-scoped; die Embedding-Pipeline ist deine Verantwortung für eine lückenlose BAA-Abdeckung.
Zählen Supabase Edge Functions als PHI-Verarbeitung unter der BAA?
Ja. Edge Functions im Team- oder Enterprise-Plan mit dem HIPAA-Add-on fallen darunter. Der Haken: Ausgehende Fetch-Aufrufe von einer Edge Function zu einer Drittanbieter-API fallen nicht darunter, es sei denn, dieser Drittanbieter hat ebenfalls eine BAA. Wenn deine Edge Function Stripe, Twilio oder Resend aufruft, muss jeder dieser Anbieter auf seiner HIPAA-Stufe sein, damit der Aufruf konform ist. Die Supabase BAA wird nicht auf die API weitergeleitet, die die Funktion aufruft.
Weiterführende Lektüre
HIPAA-konforme Apps 2026 — Next.js, WordPress oder JotForm $99 — der übergeordnete Beitrag in diesem Cluster, der alle drei Architekturpfade abdeckt. — the parent post in this cluster covering all three architectural paths.
Hosting-Stacks, die tatsächlich eine HIPAA BAA unterzeichnen 2026 — umfassender Hosting-Vergleich einschließlich AWS, Azure, GCP und der WordPress-spezifischen HIPAA-Hosts. — broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor — gib deine URL ein und erhalte in 30 Sekunden eine maßgeschneiderte Stack-Empfehlung. Nützlich, wenn du abwägst, ob dein Healthcare-Auftrag wirklich das vollständige Next.js + Supabase-Setup benötigt oder ob der WordPress + JotForm-Pfad es günstiger löst. — paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
Wenn du sechs Wochen in deiner Healthcare-App steckst und die Frage „ist dein Stack heute HIPAA-konform" nicht einfach mit „ja" beantworten kannst, werden die nächsten dreißig Minuten es lösen.
Buche einen 30-minütigen HIPAA-Stack-Call — beschreibe das Produkt, gehe deinen aktuellen Stack durch und verlasse das Gespräch mit einem HIPAA-Pfad, der gegenüber deinem Auditor vertretbar und auf dein Stadium abgestimmt ist. — describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.