Backup pentru cabinete medicale: cerințe GDPR, date pacienți și cum te protejezi

Datele medicale sunt clasificate ca „date speciale" în GDPR — Art. 9(1)(h) — și beneficiază de cel mai înalt nivel de protecție din regulament. Aceasta înseamnă că obligațiile unui cabinet medical privind securitatea datelor sunt mai stricte decât ale unei firme obișnuite. O clinică sau un cabinet privat fără backup corespunzător nu este doar vulnerabil tehnic: este expus legal, cu risc de amenzi semnificative și obligații de notificare în caz de incident.

Mulți medici de familie, stomatologi sau cabinete de kinetoterapie nu realizează că în momentul în care stochează o fișă de pacient pe calculator, au intrat sub incidența celui mai exigent regim GDPR.

Ce date stochează un cabinet medical și de ce sunt speciale

Orice cabinet medical stochează date care, prin natura lor, necesită protecție maximă:

• Fișe medicale: diagnostice, istoricul bolilor, medicație, alergii
• Imagini medicale: radiografii DICOM (stomatologie, ortopedie), ecografii, RMN-uri
• Date psihologice: notițe din sesiuni, diagnostice psihiatrice — categorie cu restricții suplimentare
• Date CNAS: dacă ești contractat cu Casa Națională de Asigurări de Sănătate, transmiți electronic date medicale agregateste — acestea necesită protecție separată
• Date de facturare legate de tratament: suma plătită pentru un anume tratament poate indirect dezvălui un diagnostic

Conform GDPR Art. 9, prelucrarea acestor date este permisă în scop medical, dar obligațiile de securitate (Art. 32) rămân pe deplin aplicabile și sunt interpretate mai strict de autorități în cazul datelor de sănătate.

Ce obligații GDPR concrete are un cabinet medical privind backup-ul

Art. 32 GDPR — Securitatea prelucrării impune „măsuri tehnice adecvate" pentru asigurarea confidențialității, integrității și disponibilității datelor. Pentru un cabinet medical, aceasta înseamnă:

• Backup criptat obligatoriu: stocarea datelor medicale fără criptare este o vulnerabilitate care, în caz de incident, constituie automat o breșă de securitate
• Disponibilitate și recuperabilitate: Art. 5(1)(f) impune că datele trebuie să poată fi restaurate în caz de incident tehnic — dacă nu ai backup și HDD-ul se strică, ești în situație de neconformitate
• Testare periodică: Art. 32(1)(d) cere evaluarea periodică a eficacității măsurilor tehnice — backup-ul netestat nu satisface această cerință
• Retenție conform legislației medicale: Legea 46/2003 și Ordinul MS 1101/2016 impun păstrarea fișelor medicale 10 ani de la ultima consultație — backup-urile trebuie să respecte această perioadă

Art. 33 GDPR — Notificarea ANSPDCP: în caz de breșă de securitate care implică date medicale, ai la dispoziție 72 de ore pentru a notifica autoritatea. Fără backup, nu ai nimic de restaurat și ești oricum obligat să notifici.

Un DPA (Data Processing Agreement) trebuie semnat cu orice furnizor cloud unde stochezi date medicale — inclusiv furnizorul de backup cloud.

Riscurile specifice cabinetelor medicale

Cabinetele medicale sunt ținte valoroase pentru atacatori tocmai pentru că datele lor sunt valoroase:

• Ransomware care blochează fișele pacienților: cabinet complet paralizat — consultațiile devin imposibile fără acces la istoricul medical. Situație cu impact direct asupra sănătății pacienților.
• Exfiltrare de date medicale: datele medicale se vând pe dark web la prețuri mult mai mari decât datele de card bancar. Un atac cu exfiltrare obligă la notificarea ANSPDCP și a tuturor pacienților afectați.
• Defect hardware cu fișe vechi: un HDD cu 5 ani de fișe care se defectează permanent înseamnă pierderea istoricului medical al tuturor pacienților — imposibil de recuperat fără backup.
• Laptop furat cu fișe: dacă laptopul nu e criptat, datele medicale ale pacienților sunt compromise — breșă automată care trebuie notificată ANSPDCP și pacienților.
• Incendiu sau inundație la cabinet: tot echipamentul local distrus, inclusiv calculatorul cu programul medical și backup-ul local dacă există în același spațiu.

Ce nu funcționează ca backup medical

Soluțiile improvizate sunt periculoase tocmai pentru că oferă o falsă senzație de siguranță:

• Folderul sincronizat pe OneDrive sau Google Drive: ransomware-ul criptează și folderul sincronizat — în ore, copia cloud devine la fel de inutilizabilă ca originalul. În plus, datele medicale în cloud fără DPA cu furnizorul = neconformitate GDPR.
• USB extern conectat permanent la calculator: criptat de ransomware odată cu restul sistemului, sau distrus/furat fizic alături de calculator.
• Backup fără criptare: dacă cineva accesează backup-ul (furt fizic, atac informatic), datele medicale ale pacienților sunt complet expuse — breșă automată.
• Baza de date a softului medical (Hipocrate, etc.) fără backup extern: dacă serverul pe care rulează aplicația este distrus sau atacat, toată baza de date dispare.

Soluția corectă pentru cabinete medicale

Implementarea pe care o recomandăm și o configurăm pentru cabinete medicale are patru componente:

1. NAS Synology local cu snapshot-uri imuabile la 4-8h: snapshot-urile imuabile nu pot fi modificate sau șterse de ransomware. RPO de 4-8h — acceptabil pentru majoritate cabinetelor; configurabil la 1-2h pentru cabinete cu volum mare de date noi.
2. Backup offsite criptat AES-256 pe Wasabi (eu-central-1): date în afara rețelei locale — protecție completă la incendiu, inundație sau furt. Criptare end-to-end: cheia rămâne la tine, nici Wasabi nu poate citi fișele pacienților.
3. Retenție configurată conform Legii 46/2003: fișele medicale sunt păstrate 10 ani de la ultima consultație — politica de backup respectă automat această cerință.
4. Documentație completă pentru audit GDPR: procedura de backup, rapoarte de restaurare trimestriale, DPA semnat — tot ce verifică ANSPDCP la un audit.

Cost estimat și de ce merită

Costul unui sistem de backup complet pentru un cabinet medical cu 1-3 calculatoare:

• NAS Synology DS223 (2 bay-uri, pentru început): ~600–800 EUR o singură dată
• 2 HDD-uri Seagate IronWolf 4TB (RAID 1): ~250–300 EUR o singură dată
• Wasabi cloud storage 500GB (suficient pentru fișe text + radiografii): ~3,5 EUR/lună
• Serviciu BackupFirma (configurare + monitorizare + DPA): inclus în pachetele Business sau Professional

Total investiție inițială: ~900–1.100 EUR. Cost lunar: sub 5 EUR.

Comparat cu amenda minimă GDPR pentru un cabinet medical care nu poate demonstra măsuri tehnice adecvate după un incident: 5.000–50.000 EUR. Calculul este simplu.

Citește și

GDPR GDPR și backup: ce obligații concrete are firma ta față de protecția datelor GDPR GDPR 2026: ce documente și backup-uri trebuie să ai pregătite pentru audit Ransomware Cât costă un atac ransomware în România: cifrele reale în 2026