RODO w gabinecie stomatologicznym — checklista IT
Dlaczego RODO w gabinecie to przede wszystkim zadanie IT?
Karta pacjenta, plan leczenia, zdjęcia pantomograficzne czy wpisy w Elektronicznej Dokumentacji Medycznej to dane dotyczące zdrowia, czyli szczególna kategoria danych osobowych opisana w art. 9 RODO. Prawo wymaga dla nich zabezpieczeń „odpowiednich do ryzyka” — a w praktyce o tym, czy dane są bezpieczne, decyduje nie segregator z polityką ochrony danych, lecz stan komputerów, sieci i kopii zapasowych. UODO w postępowaniach po naruszeniach pyta wprost: czy dyski były zaszyfrowane, kto miał dostęp do bazy, czy istniała kopia zapasowa i czy była testowana. Poniższa checklista porządkuje te wymagania punkt po punkcie, w kolejności, w jakiej wdrażamy je w placówkach medycznych.
Checklista: stanowiska pracy i konta użytkowników
- Szyfrowanie dysków — każdy komputer z dostępem do danych pacjentów (w tym laptopy i serwer) powinien mieć włączone szyfrowanie, np. BitLocker w Windows Pro. Kradzież niezaszyfrowanego laptopa z bazą pacjentów to niemal pewne zgłoszenie do UODO i zawiadomienie pacjentów.
- Konta imienne — koniec ze wspólnym loginem „recepcja”. Każda osoba pracuje na własnym koncie w systemie Windows i w oprogramowaniu gabinetowym (ProDentis, FELG Dent, Medicus mają rozbudowane moduły uprawnień), a asystentka nie potrzebuje dostępu do rozliczeń.
- Hasła i MFA — menedżer haseł zamiast karteczek na monitorze, unikalne hasła, a tam gdzie to możliwe uwierzytelnianie wieloskładnikowe: do poczty, do systemu P1/e-zdrowie, do panelu bankowości i do zdalnego dostępu.
- Blokada ekranu — wygaszacz z hasłem po maksymalnie 5 minutach bezczynności, a w recepcji ustawienie monitora tak, by pacjenci nie widzieli terminarza z danymi innych osób.
Checklista: kopie zapasowe i ciągłość działania
Utrata dostępności danych — np. po awarii dysku albo ataku ransomware — to również naruszenie RODO, nie tylko wyciek. Dlatego minimum to codzienna, automatyczna kopia zapasowa przechowywana poza lokalizacją gabinetu, zaszyfrowana i regularnie testowana przez próbne odtworzenie. Pamiętaj też o retencji: dokumentację medyczną przechowuje się co do zasady 20 lat, więc kopie muszą obejmować pełne archiwum, a nie tylko bieżącą bazę. Szczegółowe wymagania — zasadę 3-2-1, szyfrowanie AES-256 i testy odtworzeniowe — opisaliśmy w poradniku o backupie danych w gabinecie zgodnym z prawem.
Checklista: sieć, aktualizacje i oprogramowanie
- Wi-Fi dla pacjentów oddzielone od sieci gabinetu — goście nigdy nie powinni być w tej samej sieci co serwer z bazą, RTG i stanowiska lekarskie; wystarczy router klasy biznesowej z wydzielonym VLAN-em.
- Aktualizacje — systemy Windows, oprogramowanie gabinetowe i przeglądarki aktualizowane na bieżąco; wsparcie dla starych wersji systemów wygasa, a niezałatane luki to najczęstsza droga włamania.
- Ochrona antywirusowa/EDR — na każdym stanowisku, z centralnym podglądem, czy działa i czy nie zgłasza alertów.
- Kontrola dostępu zdalnego — serwis IT i dostawca oprogramowania łączą się wyłącznie przez nadzorowane, szyfrowane kanały, a nie przez otwarty pulpit zdalny wystawiony do internetu.
Checklista: oprogramowanie gabinetowe i system P1
Osobny punkt to programy, w których żyją dane pacjentów. Sprawdź, czy baza oprogramowania gabinetowego jest zabezpieczona hasłem innym niż domyślne, czy dostęp serwisowy producenta jest udzielany tylko na czas prac, a certyfikaty do systemu P1/e-zdrowie (do raportowania zdarzeń medycznych i wystawiania e-recept) są przechowywane bezpiecznie, a nie skopiowane na każdym stanowisku „na wszelki wypadek”. Jeśli korzystasz z wersji chmurowej programu, upewnij się, że dostawca deklaruje przechowywanie danych w Europejskim Obszarze Gospodarczym i ma z Tobą podpisaną umowę powierzenia. Dokumentacja EDM podpisywana elektronicznie musi być dodatkowo archiwizowana w sposób gwarantujący integralność — to wprost wymaganie przepisów o dokumentacji medycznej.
Checklista: dokumenty i procedury, które sprawdzi UODO
Warstwa formalna musi opisywać to, co realnie działa technicznie. Skompletuj: umowy powierzenia przetwarzania z każdym dostawcą mającym dostęp do danych (producent oprogramowania gabinetowego, dostawca chmury i backupu, firma IT, biuro rachunkowe), rejestr czynności przetwarzania, upoważnienia dla personelu oraz procedurę zgłaszania naruszeń. Ta ostatnia jest kluczowa: od stwierdzenia naruszenia masz 72 godziny na zgłoszenie do UODO, więc personel musi wiedzieć, komu zgłosić zgubiony pendrive, phishing czy zaszyfrowany komputer — natychmiast, a nie po weekendzie.
Ile kosztuje uporządkowanie RODO od strony IT?
Orientacyjnie na 2026 r.: audyt bezpieczeństwa z raportem dla małego gabinetu to ok. 800–2000 zł, wdrożenie braków (szyfrowanie, kopie, porządek w kontach i sieci) — zwykle 1500–4000 zł jednorazowo, a stała opieka informatyczna z monitoringiem i backupem to abonament od ok. 500–1200 zł miesięcznie. Ostateczna wycena zależy od liczby stanowisk, sprzętu diagnostycznego i zakresu SLA. Wyspecjalizowana obsługa informatyczna gabinetów stomatologicznych i klinik medycyny estetycznej zaczyna się od analizy potrzeb, po której dobierane są SLA i abonament — dzięki temu płacisz za realne ryzyka swojej placówki, a nie za usługi „z katalogu”. Checklistę najlepiej przejść raz z profesjonalnym audytem, a potem utrzymywać ją w ramach stałej umowy: RODO to proces, nie jednorazowy projekt.
Najczęstsze pytania
Czy mały gabinet stomatologiczny naprawdę musi szyfrować dyski?
Tak. Dane o zdrowiu to szczególna kategoria danych z art. 9 RODO, a szyfrowanie dysków (np. BitLocker) jest dziś uznawane za standardowe, tanie zabezpieczenie. Kradzież lub zgubienie niezaszyfrowanego komputera z bazą pacjentów oznacza obowiązek zgłoszenia naruszenia do UODO i zwykle także zawiadomienia pacjentów.
Z kim gabinet musi podpisać umowę powierzenia danych?
Z każdym podmiotem, który ma dostęp do danych pacjentów w Twoim imieniu: producentem oprogramowania gabinetowego (np. ProDentis, FELG Dent, Medicus — jeśli świadczy serwis lub hosting), dostawcą chmury i backupu, firmą IT oraz biurem rachunkowym przetwarzającym dane pracowników. Bez umowy powierzenia przekazanie dostępu jest naruszeniem RODO.
Ile czasu mam na zgłoszenie naruszenia danych do UODO?
72 godziny od stwierdzenia naruszenia — licząc również weekendy i święta. Dlatego procedura musi być znana całemu personelowi: każdy podejrzany incydent (phishing, zgubiony nośnik, zaszyfrowane pliki) zgłasza się natychmiast osobie odpowiedzialnej, która ocenia ryzyko i decyduje o zgłoszeniu.
Ile kosztuje wdrożenie checklisty RODO w gabinecie?
Orientacyjnie na 2026 r.: audyt 800–2000 zł, jednorazowe wdrożenie zabezpieczeń 1500–4000 zł, stała opieka IT z monitoringiem i backupem od ok. 500–1200 zł miesięcznie dla małego gabinetu. Ostateczna wycena zależy od liczby stanowisk, sprzętu diagnostycznego i uzgodnionego SLA.
Potrzebujesz wsparcia IT w swoim gabinecie lub klinice?
Obsługujemy placówki stomatologiczne i medycyny estetycznej w Warszawie i okolicach.