Next.js 2026 में HIPAA-अनुपालित AI: Claude, OpenAI, Azure BAA

अगर आप अपने Next.js ऐप में healthcare AI features बना रहे हैं और आपने इस महीने 'क्या OpenAI HIPAA compliant है' दो बार से ज़्यादा Google किया है, तो जवाब आखिरकार architecture decisions लेने के लिए काफ़ी settled है। संक्षिप्त संस्करण: OpenAI API और ChatGPT Enterprise के लिए BAA पर हस्ताक्षर करता है; Anthropic केवल Enterprise plan पर उन पर हस्ताक्षर करता है; Azure OpenAI text inputs के लिए Microsoft के Enterprise Agreement पर डिफ़ॉल्ट रूप से BAA-covered है। Image और audio modalities अभी भी gaps हैं। लंबा संस्करण बिल्कुल बताता है कि कौन से call types आपके Next.js Server Actions से safe हैं और कौन से आपको fine करवाएँगे।

Anthropic मार्च 2026 में SOC 2 Type II + HIPAA finish line पार कर गया, जिससे अंतिम procurement objection हटा दिया गया जो teams को healthcare AI के लिए Azure पर push कर रहा था। तीनों vendors अब BAA story पर effectively parity पर हैं — अंतर pricing में हैं, किन modalities को cover किया जाता है, और BAA scope training data को कैसे handle करता है। अपने use case के लिए गलत चुनें और आप अपने पहले prototype में HIPAA violation ship करेंगे।

Healthcare ऐप्स में AI के लिए 2026 BAA scoreboard

OpenAI API — BAA baa@openai.com के माध्यम से available है। केवल zero-data-retention endpoints को cover करता है। Email, 1-2 business days के अंदर response। ChatGPT Enterprise और ChatGPT for Healthcare BAAs sales-managed हैं।
Anthropic Claude — BAA केवल sales-managed Enterprise plan पर available है। Self-serve Enterprise tier में BAA शामिल नहीं है। Enterprise pricing लगभग $50K/year minimum से शुरू होता है, ज़्यादा आम तौर पर $170K-$2.2M first-year TCO consumption के आधार पर।
Azure OpenAI Service — Microsoft Enterprise Agreements और CSP arrangements में BAA डिफ़ॉल्ट रूप से शामिल है। टेक्स्ट inputs कवर किए गए हैं। Image inputs (DALL-E, vision) mid-2026 तक कवर नहीं हैं। GPT-Realtime audio coverage की घोषणा अभी नहीं की गई है।
AWS Bedrock (Claude, Llama, Titan) — AWS के standard BAA के तहत कवर किया गया है। AWS healthcare workloads के लिए sign करेगा। Bedrock model gateway scope में है; underlying model providers abstracted हैं।
Google Cloud Vertex AI / Gemini — Google के Vertex पर BAA के तहत कवर किया गया है। AI Studio पर Direct Gemini API BAA-eligible नहीं है।
Microsoft Copilot, ChatGPT consumer (free या Plus), Claude.ai consumer subscriptions — इनमें से कोई भी BAA support नहीं करता। PHI के लिए इनका उपयोग करना एक violation है।

Healthcare apps के लिए OpenAI: zero data retention के साथ API path

अगर आपका Next.js app OpenAI को directly call करता है, तो एकमात्र HIPAA-compliant configuration zero data retention enabled के साथ API है, BAA-eligible endpoints तक scoped, baa@openai.com से एक signed BAA के साथ। BAA team को अपनी company details और use case के साथ email करें, 1-2 business day response की उम्मीद रखें, और BAA contract size के आधार पर click-through या DocuSign agreement के रूप में आता है।

Zero data retention actually क्या मतलब है

Zero data retention के साथ, OpenAI response return होने के बाद आपके prompt या completion data को store नहीं करता। कोई training नहीं, कोई logging नहीं, कोई abuse-monitoring retention नहीं। समस्या यह है कि केवल कुछ endpoints qualify करते हैं। Flagship models पर Chat Completions API eligible है। कुछ नए specialty endpoints नहीं हैं। अपने BAA में eligible-endpoints list check करें — PHI को non-eligible endpoint पर भेजना उस call के लिए agreement को void कर देता है।

Non-API use cases के लिए ChatGPT Enterprise और ChatGPT for Healthcare

अगर आपकी team को ChatGPT-the-product (chat interface, API नहीं) की जरूरत है clinical research, drafting, या PHI को छूने वाले knowledge-work के लिए, ChatGPT Enterprise और ChatGPT for Healthcare दोनों OpenAI के sales team के माध्यम से BAA support करते हैं। Pricing custom है; $60-100/seat/month range की annual commitment के साथ उम्मीद करें। Healthcare-specific tier February 2026 में आया था और इसमें BAA-by-default plus enhanced retention controls शामिल हैं।

Anthropic Claude स्वास्थ्य सेवा ऐप्स के लिए: Enterprise-केवल और इसकी लागत क्या है

Claude मार्च 2026 में SOC 2 Type II के साथ HIPAA-तैयारी तक पहुंचा। BAA बिक्री-प्रबंधित Enterprise योजना के पीछे गेटेड है — self-serve Enterprise टियर में BAA शामिल नहीं है। Claude को स्वास्थ्य सेवा के लिए शामिल करने का अर्थ है एक विक्रय कॉल, सीट संख्या और प्रतिबद्ध API खपत पर अनुबंध बातचीत, और मूल्य निर्धारण जो न्यूनतम रूप से $50K/वर्ष से शुरू होता है। पहले वर्ष का सभी-में TCO Anthropic के प्रकाशित मार्गदर्शन के अनुसार स्केल के आधार पर $170K और $2.2M के बीच बैठता है।

यदि आपके स्वास्थ्य सेवा ऐप की AI विशेषताएं लंबे-संदर्भ दस्तावेज़ विश्लेषण (नैदानिक नोट्स, पूर्व प्राधिकार, चिकित्सा रिकॉर्ड सारांश) पर भारी हैं, तो Claude की 500K-token संदर्भ विंडो मूल्य टैग अर्जित करती है। यदि आपकी AI छोटी-फॉर्म चैट या कॉपी जनरेशन है, तो OpenAI API पथ समान अनुपालन स्थिति पर अर्थपूर्ण रूप से सस्ता है।

Azure OpenAI: सबसे अधिक enterprise स्वास्थ्य सेवा टीमें जिस पथ को डिफ़ॉल्ट करती हैं

Azure OpenAI Microsoft Enterprise Agreements या CSP व्यवस्था पर ग्राहकों के लिए डिफ़ॉल्ट रूप से BAA-कवर किया गया है। टेक्स्ट इनपुट अलग BAA बातचीत के बिना HIPAA-पात्र हैं — Microsoft BAA मानक EA शर्तों में गुना हुआ है। आवश्यक कॉन्फ़िगरेशन गैर-तुच्छ है: virtual networks (VNet), private endpoints, Azure AD-आधारित पहुंच नियंत्रण, RBAC, और Conditional Access, जिनमें से सभी आपकी Microsoft टीम को तैनात करने का तरीका पहले से पता होना चाहिए।

क्या शामिल है और क्या नहीं है

Chat Completions पर टेक्स्ट इनपुट और आउटपुट: EA BAA के अंतर्गत शामिल। प्रॉम्प्ट और प्रतिक्रियाओं में PHI कवर किया गया है।
Embeddings (text-embedding-3-large, आदि): शामिल। PHI को वेक्टर खोज के लिए एम्बेड किया जा सकता है।
Image inputs (vision models, DALL-E): मध्य-2026 तक शामिल नहीं है। Microsoft के अनुपालन दस्तावेज़ स्पष्ट रूप से image modalities को बाहर करते हैं। PHI मानों के तहत Azure OpenAI vision endpoints को चिकित्सा चित्र न भेजें।
GPT-Realtime audio API: BAA scope अभी घोषित नहीं किया गया है। PHI workloads के लिए तब तक बचें जब तक Microsoft मार्गदर्शन प्रकाशित न कर दे, जिसकी प्रत्याशा प्रारंभिक 2026 audit cycle है।
डिफ़ॉल्ट व्यवहार: Azure OpenAI प्रशिक्षण, उत्पाद सुधार, या टेलीमेट्री के लिए प्रॉम्प्ट या completions को स्टोर नहीं करता है, और प्लेटफ़ॉर्म लॉग PHI को संग्रहीत नहीं करते हैं। यह डिफ़ॉल्ट है, opt-in नहीं — लेकिन यह कॉन्फ़िगर करने योग्य है, इसलिए अपने tenant के डेटा-हैंडलिंग सेटिंग्स को verify करें।

HIPAA-अनुपालनशील AI कॉल के लिए Next.js Server Actions पैटर्न

आपके Next.js ऐप से हर AI कॉल एक Server Action या Route Handler के पीछे होना चाहिए जिसमें ये प्रॉपर्टीज़ हों: यह request body में raw PHI के साथ क्लाइंट तक कभी नहीं पहुँचता, यह कॉल से पहले और बाद में एक non-PHI audit row लॉग करता है, यह आपके zero-retention कॉन्फ़िगरेशन के साथ initialize किए गए vendor SDK का उपयोग करता है, और इसमें explicit error handling होती है जो PHI को किसी भी thrown error से scrub करती है उससे पहले कि वह Sentry या आपके error logger तक पहुँचे।

न्यूनतम-व्यावहारिक संरचना

Server Action एक sanitised request payload प्राप्त करता है जिसे आपके RLS या session-bound role check द्वारा pre-validated किया गया है।
Audit log row लिखी गई: user_id, action ('ai_call'), model, timestamp। कभी prompt content नहीं।
Vendor SDK के माध्यम से AI कॉल की गई है जिसमें zero-retention headers explicitly सेट हैं (OpenAI: 'X-OpenAI-Beta: zero-data-retention' या आपके project-level कॉन्फ़िगरेशन के माध्यम से)।
Response प्राप्त, parsed, calling Server Component को या क्लाइंट को वापस किया गया। Response स्वयं PHI है; इसे किसी भी अन्य PHI read की तरह treat करें।
Audit log row को status (success, error, content_filter_triggered) और response token count के साथ अपडेट किया गया। कभी response content स्वयं नहीं।
Error की स्थिति में: PHI को error message से scrub करें logging से पहले। Sentry का beforeSend hook इस enforce करने के लिए standard जगह है।

डी-आइडेंटिफिकेशन: जब आप BAA से पूरी तरह बच सकते हैं

HIPAA-अनुपालक AI आर्किटेक्चर का सबसे सस्ता तरीका वह है जहाँ आप पहली जगह PHI को AI के पास भेजते ही नहीं। HIPAA का Safe Harbor डी-आइडेंटिफिकेशन मानदंड 18 विशिष्ट आइडेंटिफायर्स को हटा देता है — नाम, वर्ष से ज्यादा विस्तृत तारीखें, राज्य से छोटी भौगोलिक इकाइयाँ, खाता नंबर, बायोमेट्रिक ID, पूरा चेहरा वाली तस्वीरें, और 11 अन्य। अगर आपकी prompts डी-आइडेंटिफाइड डेटा से बनाई जा सकें, तो AI विक्रेता को कभी PHI नहीं मिलता और उस कॉल पाथ के लिए कोई BAA की जरूरत नहीं है।

व्यावहारिक पैटर्न: एक Server Action रोगी-बंधी request को स्वीकार करता है, आपके डेटाबेस में डी-आइडेंटिफाइड context को देखता है, आइडेंटिफायर्स के बिना prompt को तैयार करता है, AI विक्रेता को भेजता है, response प्राप्त करता है, फिर client-side पर या downstream Server Component में रोगी का context फिर से जोड़ता है। AI कॉल को केवल क्लिनिकल कंटेंट दिखाई देता है। यह पैटर्न निदान समर्थन, क्लिनिकल डॉक्यूमेंटेशन ड्राफ्टिंग, prior-auth पत्र लेखन, और अधिकांश LLM उपयोग मामलों के लिए काम करता है जहाँ रोगी की वास्तविक पहचान की जरूरत नहीं है।

जहाँ यह विफल हो जाता है: कुछ भी जहाँ AI को रोगी की पहचान से जुड़ी कार्रवाई करनी हो (अपॉइंटमेंट बुक करना, notification भेजना, किसी विशिष्ट रोगी रिकॉर्ड को देखना)। उन उपयोग मामलों के लिए, BAA पाथ आवश्यक है।

जहाँ 2026 में healthcare apps में AI अभी भी गलत जाता है

PHI error logs में — Sentry, Datadog, PostHog, LogRocket। उनके HIPAA tier के साथ भी, आपके AI error पाथ को error fire होने से पहले PHI को scrub करना चाहिए। अधिकांश टीमें यह अपने पहले audit में खोजती हैं, पहले नहीं।
Streaming responses बिना partial-response audit logging के। अगर आप tokens को client तक stream करते हैं और कनेक्शन drop हो जाता है, तो आपके audit log को पता होना चाहिए कि क्या भेजा गया था और क्या नहीं। अधिकांश Next.js streaming AI implementations यह छोड़ देते हैं।
Embedding pipelines जो non-BAA embedding provider को hit करते हैं। Voyage, Cohere, और अधिकांश third-party embedding services के पास शुरुआत में BAA नहीं है। अगर आप vector search के लिए PHI को embed करते हैं, तो embedding कॉल को OpenAI (BAA के साथ) या Azure OpenAI (EA BAA के साथ) पर जाना चाहिए, सस्ते specialty providers पर नहीं।
Function-calling और tool use जो PHI को non-BAA tool पाथ में फिर से लाते हैं। अगर आपका Claude या OpenAI tool-call किसी third-party API को invoke करता है AI की response के लिए, तो उस third party के पास भी आपके stack में BAA होना चाहिए।
Vector stores जो HIPAA-eligible नहीं हैं। Pinecone के पास एक HIPAA tier है; Weaviate Cloud के पास Enterprise में है; AWS पर open-source self-hosted route आपकी जिम्मेदारी है AWS के BAA के अंतर्गत। अगर आप PHI को non-HIPAA vector store में embed करते हैं, तो storage layer violation है चाहे embedding API का compliance कुछ भी हो।

FAQ

क्या ChatGPT HIPAA अनुपालन है?

Consumer ChatGPT (Free, Plus, Pro) किसी भी कॉन्फ़िगरेशन में HIPAA अनुपालन नहीं है और PHI स्वीकार नहीं कर सकता। ChatGPT Enterprise और ChatGPT for Healthcare बिक्री-प्रबंधित उत्पाद हैं जो Business Associate Agreement का समर्थन करते हैं और BAA पर हस्ताक्षर के बाद PHI वर्कफ़्लो के लिए उपयोग किए जा सकते हैं। OpenAI API एक अलग मार्ग है: BAA baa@openai.com के माध्यम से उपलब्ध है, 1 से 2 कार्य दिवसों में प्रतिक्रिया, लेकिन केवल zero-data-retention endpoints ही योग्य हैं।

क्या OpenAI 2026 में HIPAA अनुपालन है?

हाँ, हस्ताक्षरित BAA और zero data retention सक्षम के साथ, योग्य API endpoints पर। BAA के लिए अनुरोध करने के लिए baa@openai.com पर ईमेल करें — आमतौर पर 1-2 कार्य दिवसों में प्रतिक्रिया। ChatGPT Enterprise और ChatGPT for Healthcare भी OpenAI की बिक्री टीम के माध्यम से BAA का समर्थन करते हैं। Consumer ChatGPT (मुक्त या Plus) BAA-योग्य नहीं है और PHI के लिए उपयोग नहीं किया जा सकता।

क्या Anthropic Claude HIPAA अनुपालन है?

हाँ, केवल बिक्री-प्रबंधित Enterprise plan पर। self-serve Enterprise tier में BAA शामिल नहीं है। Enterprise मूल्य निर्धारण लगभग $50K/वर्ष न्यूनतम से शुरू होता है। Anthropic ने मार्च 2026 में SOC 2 Type II और HIPAA-readiness प्राप्त किया, इसलिए खरीद मार्ग अब स्पष्ट है, लेकिन OpenAI के API + BAA मार्ग की तुलना में लागत की न्यूनतम सीमा काफी अधिक है।

क्या Azure OpenAI डिफ़ॉल्ट रूप से HIPAA अनुपालन है?

पाठ इनपुट Microsoft के Enterprise Agreement BAA के तहत डिफ़ॉल्ट रूप से कवर हैं — अलग BAA बातचीत की आवश्यकता नहीं है। छवि इनपुट (DALL-E, vision) मध्य-2026 तक कवर नहीं हैं। GPT-Realtime audio अभी तक दायरे में नहीं है। ग्राहकों को deployment को HIPAA-defensible बनाने के लिए VNet isolation, private endpoints, Azure AD authentication, RBAC, और Conditional Access कॉन्फ़िगर करना चाहिए।

क्या मैं Claude.ai या consumer ChatGPT को PHI भेज सकता हूँ?

नहीं। उपभोक्ता Claude.ai सदस्यताएं और उपभोक्ता ChatGPT (मुफ्त, Plus, Pro) BAA का समर्थन नहीं करते हैं और किसी भी कॉन्फ़िगरेशन में HIPAA-अनुपालक नहीं हैं। इन सेवाओं को PHI भेजना HIPAA का उल्लंघन है, चाहे आपकी सदस्यता स्तर कुछ भी हो। BAA के साथ API पाथ, BAA के साथ ChatGPT Enterprise, या BAA के साथ Claude Enterprise का उपयोग करें।

क्या मुझे BAA की आवश्यकता है यदि मैं पहले डेटा को डी-आइडेंटिफाई करूँ?

यदि आपका डेटा HIPAA के Safe Harbor डी-आइडेंटिफिकेशन मानक को पूरा करता है — 18 विशिष्ट पहचानकर्ता हटा दिए गए हैं — तो डेटा HIPAA के तहत अब PHI नहीं है, और आप उस डेटा प्रवाह के लिए AI विक्रेता के साथ BAA की आवश्यकता नहीं है। डी-आइडेंटिफिकेशन रक्षणीय होना चाहिए: अधिकांश टीमें अपर्याप्त रूप से डी-आइडेंटिफाई करती हैं और Safe Harbor मान लेती हैं जब उन्होंने वास्तव में सभी 18 पहचानकर्ताओं को नहीं हटाया होता है। Expert Determination विधि उन मामलों के लिए वैकल्पिक पाथ है जहां Safe Harbor बहुत अधिक उपयोगिता को नष्ट कर देगा।

कौन सा वेक्टर डेटाबेस HIPAA को बॉक्स से बाहर समर्थन करता है?

Pinecone के पास अपनी Enterprise योजना पर एक HIPAA-योग्य टीयर है जिसमें एक हस्ताक्षरित BAA है। Weaviate Cloud Enterprise पर HIPAA का समर्थन करता है। Supabase pgvector Team या Enterprise योजना पर $350/माह HIPAA ऐड-ऑन के साथ HIPAA-योग्य है। AWS या Azure पर स्व-होस्ट किए गए वेक्टर स्टोर क्लाउड प्रदाता के BAA को विरासत में पाते हैं। तीसरे पक्ष की वेक्टर सेवाओं से बचें जो HIPAA टीयर प्रकाशित नहीं करते हैं — PHI एंबेडिंग के लिए उनका उपयोग एक उल्लंघन है।

Pick your view

Next.js ऐप्स में HIPAA-अनुपालित AI: Claude, OpenAI, और Azure OpenAI 2026 में