Ce faci practic în primele 72 de ore după o breșă de securitate?

Protocolul de răspuns include: Ora 0–2 — izolarea amenințării, schimbarea parolelor compromise și documentarea incidentului; Ora 2–24 — evaluarea amploarei (date afectate, număr clienți, tipuri de informații); Ora 24–72 — pregătirea notificării către ANSPDCP și informarea persoanelor vizate dacă riscul este ridicat; Post-incident — analiza cauzei, implementarea măsurilor corective și actualizarea procedurilor interne.

Ce criterii tehnice trebuie să îndeplinească o platformă de telepsihologie conformă GDPR?

O platformă conformă trebuie să ofere criptare end-to-end (E2EE), autentificare multi-factor (MFA), jurnale de audit (audit logs), acord de prelucrare a datelor (DPA) semnat și stocare securizată cu servere preferabil în Spațiul Economic European. Zoom standard, Skype, FaceTime, WhatsApp și Google Meet gratuit nu sunt conforme pentru ședințe de psihoterapie.

GDPR în cabinetul psihologului: cât de protejate sunt datele pacienților tăi

Competențe tehnice esențiale pentru securitatea datelor pacienților — de la consimțământ informat la infrastructură digitală.

Consimțământul informat semnat la prima ședință nu mai este suficient.

Dacă folosești o platformă de videoconferință pentru ședințe online, o aplicație de programare sau stocare cloud pentru fișele psihologice, gestionezi date cu caracter special în sensul Regulamentului General privind Protecția Datelor (RGPD/GDPR — Regulamentul UE 2016/679). Aceasta este categoria cea mai sensibilă din legislația europeană privind protecția datelor, alături de datele genetice și biometrice.

În 2018, Colegiul Psihologilor din România (CPR) și Asociația Psihologilor din România (APR) au publicat un ghid dedicat implementării GDPR în cabinetele de psihologie, subliniind obligațiile psihologului ca operator de date cu caracter personal. Totuși, mulți practicieni continuă să opereze cu soluții adoptate rapid în perioada pandemiei, fără o evaluare sistematică a riscurilor.

Ghidul APA revizuit în 2024 (Guidelines for the Practice of Telepsychology) a extins cadrul inițial de la 8 la 11 direcții, adăugând explicit linii directoare privind securitatea datelor, eliminarea datelor, documentația și tehnologiile emergente. Mesajul central: competența digitală nu mai este opțională, ci o componentă a competenței profesionale.

Articolul 9 din RGPD clasifică datele privind sănătatea drept categorii speciale de date cu caracter personal. Informațiile consemnate în fișa de anamnezie, notele de ședință, rezultatele evaluărilor psihologice, diagnosticele clinice și planurile terapeutice intră toate în această categorie. Așa cum subliniază și ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), prelucrarea acestor date este permisă doar în condiții strict reglementate.

Psihologul cu cabinet individual este, juridic vorbind, operator de date cu caracter personal. Aceasta înseamnă că el decide scopul și mijloacele prelucrării și poartă responsabilitatea integrală pentru conformitatea cu RGPD. Ghidul CPR-APR din 2018 a specificat clar această calitate, detaliind obligațiile: evidența operațiunilor de prelucrare, cunoașterea drepturilor clienților, gestionarea breșelor de securitate și analiza necesității unui responsabil cu protecția datelor (DPO).

Ce date prelucrează efectiv un cabinet de psihologie?

Dincolo de notele clinice evidente, operațiunile de prelucrare includ: datele de contact (nume, telefon, email), datele din fișa de anamnezie (istoricul medical, medicația), rezultatele probelor psihologice, comunicările prin email sau mesagerie, facturile și chitanțele, programările din calendar și chiar notele de supervizare care pot conține elemente identificabile. Fiecare dintre aceste categorii implică obligații GDPR distincte.

Platforme de telepsihologie: ce trebuie să verifici tehnic

Ghidul APA revizuit (2024) dedică o direcție integrală securității, gestionării și transmiterii datelor. Competențele tehnice necesare psihologului nu se limitează la „a ști să deschidă o ședință video”, ci implică capacitatea de a evalua dacă infrastructura digitală folosită respectă standardele de securitate.

Criterii tehnice obligatorii pentru o platformă conformă

Criptare end-to-end (E2EE). Aceasta înseamnă că datele sunt criptate pe dispozitivul tău și decriptate doar pe dispozitivul clientului. Nimeni între — nici furnizorul platformei — nu poate accesa conținutul sesiunii. Nu este același lucru cu „criptarea în tranzit” (TLS), care protejează datele doar pe parcursul transmisiei, dar le lasă accesibile pe serverele furnizorului.

Controlul accesului și autentificarea multi-factor (MFA). Contul tău profesional trebuie protejat prin cel puțin doi factori de autentificare: parolă plus un cod trimis pe telefon sau o aplicație de autentificare. Un singur factor (doar parola) este insuficient pentru date cu caracter special.

Jurnale de audit (audit logs). Platforma trebuie să înregistreze cine a accesat datele, când și ce acțiuni a efectuat. În cazul unui incident de securitate, aceste jurnale sunt esențiale pentru raportarea către ANSPDCP în termenul de 72 de ore prevăzut de RGPD.

Acord de prelucrare a datelor (DPA). Orice furnizor de servicii care procesează date ale clienților tăi acționează ca persoană împuternicită în sensul RGPD. Trebuie să existe un contract scris (DPA) care stabilește obligațiile furnizorului privind protecția datelor. Dacă furnizorul nu acceptă să semneze un astfel de acord, platforma nu este o opțiune viabilă.

Stocare securizată și localizare a datelor. Verifică unde sunt stocate datele fizic. Ideal, serverele trebuie să fie în Spațiul Economic European (SEE). Transferul datelor în afara SEE implică obligații suplimentare sub RGPD (clauze contractuale standard, decizii de adecvare).

⚠ Atenție: Zoom standard, Skype, FaceTime, WhatsApp și Google Meet (versiunea gratuită) nu sunt conforme pentru ședințe de psihoterapie. Zoom for Healthcare, cu BAA semnat și configurare adecvată, poate fi o opțiune. Dar versiunea standard pe care o folosim zilnic nu oferă garanțiile necesare.

Stocare cloud: unde sunt datele pacienților tăi?

Una dintre cele mai frecvente vulnerabilități în cabinetele de psihologie este stocarea fișelor clinice în conturi personale de cloud (Google Drive personal, Dropbox gratuit, iCloud). Această practică ridică mai multe probleme:

Lipsa unui DPA: conturile gratuite ale serviciilor cloud nu includ de regulă un acord de prelucrare a datelor adecvat pentru date cu caracter special.
Acces necontrolat: un cont personal poate fi accesat de pe orice dispozitiv autentificat, fără separare între datele profesionale și cele personale.
Partajare accidentală: o simplă eroare de setare a permisiunilor poate face un dosar clinic accesibil public.
Lipsa criptării la nivel de fișier: majoritatea serviciilor cloud criptează datele în tranzit, dar nu oferă criptare end-to-end la nivel de fișier în planurile gratuite.

Alternative practice

Soluțiile variază în funcție de dimensiunea cabinetului: pentru un cabinet individual, un hard disk extern criptat (cu BitLocker sau VeraCrypt), stocat într-un spațiu securizat, poate fi suficient pentru fișele clinice. Pentru colaborări sau cabinete cu mai mulți specialiști, un serviciu cloud cu DPA semnat, criptare AES-256, servere în SEE și control granular al accesului devine necesar. Independent de soluția aleasă, principiul este același: datele profesionale trebuie separate complet de cele personale, atât la nivel de cont, cât și la nivel de dispozitiv.

Aplicații de programare și comunicații: riscuri subestimate

Aplicațiile de programare online (Calendly, SimplyBook.me, Booksy și altele) colectează date cu caracter personal: numele clientului, numărul de telefon, adresa de email și, frecvent, motivul programării. Unele permit chiar adăugarea de note sau mesaje care pot conține informații clinice.

Înainte de a integra orice aplicație în fluxul tău de lucru, verifică: unde sunt stocate datele introduse de clienți, dacă există un DPA disponibil, dacă datele sunt criptate, dacă poți șterge datele la cerere (dreptul la ștergere prevăzut de RGPD) și dacă aplicația permite anonimizarea sau pseudonimizarea datelor.

De asemenea, comunicarea cu clienții prin SMS, WhatsApp sau email nesecurizat implică riscuri. Ghidurile de bună practică recomandă utilizarea unor canale de mesagerie criptate (de exemplu, Signal) sau a portalurilor securizate ale platformelor de management al cabinetului. Dacă totuși folosești email, evită includerea de informații clinice identificabile în corpul mesajului.

Dimensiunea clinică: de ce protecția datelor este o chestiune terapeutică

Protecția datelor nu este doar o obligație birocratică — este o extensie a cadrului terapeutic. Confidențialitatea este fundamentul alianței terapeutice, iar în mediul digital, aceasta depinde direct de securitatea infrastructurii tehnice pe care o folosești.

Codul Deontologic al profesiei de psiholog cu drept de liberă practică stabilește clar obligația psihologului de a proteja confidențialitatea informațiilor obținute în cadrul relației profesionale. În mediul digital, această obligație se traduce în responsabilitatea de a asigura că instrumentele tehnologice utilizate oferă un nivel de protecție adecvat sensibilității informațiilor gestionate.

Un client care descoperă că ședințele sale au fost desfășurate pe o platformă nesecurizată sau că fișa sa psihologică a fost stocată într-un cont personal de cloud nu va experimenta aceasta doar ca o problemă tehnică — ci ca o ruptură a încrederii. Repararea acestei rupturi este adesea mai dificilă decât prevenirea ei.

Competențe tehnice minime pentru psihologul practician

Ghidurile APA 2024 definesc trei categorii de competențe în telepsihologie: competențe de conținut (cunoașterea legislației și a principiilor etice), competențe tehnice (abilitatea de a utiliza și evalua tehnologiile) și competențe populaționale (adaptarea la nevoile specifice ale diverselor categorii de clienți în mediul digital).

Traduse în abilități practice, acestea înseamnă:

Să poți verifica dacă o platformă oferă criptare end-to-end (nu doar „criptare” generică menționată în materialele de marketing).
Să știi să activezi autentificarea multi-factor pe toate conturile profesionale (email, platformă de telepsihologie, cloud).
Să poți identifica un DPA și să înțelegi ce trebuie să conțină (clauze privind securitatea, confidențialitatea, dreptul de audit, obligații la terminarea contractului).
Să poți gestiona o breșă de securitate conform procedurii: identificare, evaluare risc, notificare ANSPDCP în 72 de ore (dacă este cazul), informarea persoanelor vizate.
Să menții actualizate softurile utilizate (sisteme de operare, antivirus, aplicații) și să folosești parole unice, complexe, gestionate preferabil printr-un manager de parole.
Să știi să criptezi dispozitivele pe care stochezi date profesionale (BitLocker pe Windows, FileVault pe macOS, criptare integrală pe dispozitive mobile).

Breșa de securitate: ce faci practic în primele 72 de ore

RGPD obligă notificarea ANSPDCP în termen de 72 de ore de la constatarea unei breșe de securitate, cu excepția cazului în care breșa nu prezintă un risc pentru drepturile și libertățile persoanelor vizate. Dată fiind natura sensibilă a datelor din cabinetele de psihologie, pragul de notificare este practic foarte scăzut — orice breșă care implică date clinice identificabile trebuie considerată cu risc ridicat.

Protocol de răspuns la incident:

Ora 0–2: Izolează amenințarea. Schimbă parolele compromise, deconectează dispozitivul afectat, documentează ce s-a întâmplat.
Ora 2–24: Evaluează amploarea: ce date au fost afectate, câți clienți, ce tipuri de informații. Consultă un specialist IT dacă este necesar.
Ora 24–72: Pregătește notificarea către ANSPDCP (formularul disponibil pe dataprotection.ro). Dacă riscul este ridicat, informează și persoanele vizate.
Post-incident: Analizează cauza, implementează măsuri corective, actualizează procedurile interne.

Următorul checklist poate fi parcurs periodic (recomandat: cel puțin anual) pentru a verifica conformitatea cabinetului tău cu cerințele RGPD. Nu este exhaustiv, dar acoperă vulnerabilitățile cele mai frecvente.

Elemente de verificare	STATUS
DOCUMENTE ȘI PROCEDURI
Nota de informare GDPR actualizată și disponibilă clienților	☐ Da ☐ Nu
Consimțământ explicit pentru prelucrarea datelor speciale	☐ Da ☐ Nu
Registrul activităților de prelucrare (conform Art. 30 RGPD)	☐ Da ☐ Nu
Procedură internă de răspuns la breșe de securitate	☐ Da ☐ Nu
DPA semnat cu fiecare furnizor care procesează date	☐ Da ☐ Nu
Politică de reținere și ștergere a datelor documentată	☐ Da ☐ Nu
INFRASTRUCTURĂ TEHNICĂ
Platformă de telepsihologie cu criptare end-to-end	☐ Da ☐ Nu
Autentificare multi-factor activată pe toate conturile profesionale	☐ Da ☐ Nu
Dispozitive profesionale criptate (laptop, telefon)	☐ Da ☐ Nu
Datele profesionale separate de cele personale (conturi/dispozitive)	☐ Da ☐ Nu
Backup regulat, criptat, al fișelor clinice	☐ Da ☐ Nu
Softuri actualizate (SO, antivirus, aplicații)	☐ Da ☐ Nu
Manager de parole utilizat pentru conturile profesionale	☐ Da ☐ Nu
COMUNICĂRI
Canal de comunicare criptat pentru mesaje cu clienții	☐ Da ☐ Nu
Emailuri fără informații clinice identificabile	☐ Da ☐ Nu
Notificări din aplicații de programare fără date sensibile	☐ Da ☐ Nu
FORMARE ȘI ACTUALIZARE
Audit GDPR realizat în ultimele 12 luni	☐ Da ☐ Nu
Formare continuă în competențe digitale și securitate	☐ Da ☐ Nu
Verificarea periodică a conformității furnizorilor	☐ Da ☐ Nu

O competență profesională, nu o corvoadă birocratică

Este ușor să percepi GDPR ca pe o povară administrativă — încă un set de documente de completat, încă o sursă de anxietate profesională. Dar protecția datelor este, în esență, o formalizare a ceea ce psihologii fac deja prin natura profesiei: protejează confidențialitatea și demnitatea persoanelor cu care lucrează.

Ceea ce s-a schimbat în ultimii ani este mediul în care se exercită această protecție. Când fișele erau exclusiv pe hârtie, într-un dulap încuiat, riscurile erau fizice și locale. Acum, când datele circulă prin servere, aplicații și rețele, riscurile sunt digitale și potențial globale. Competența tehnică nu mai este un „nice to have” — este o condiție a practicii etice.

Rămâne deschisă o întrebare pe care țin să o adresez comunității profesionale: ar trebui CPR să includă un modul de competențe digitale și securitatea datelor în programa de formare continuă obligatorie? Ghidurile APA 2024 merg deja în această direcție. Poate că e timpul să o luăm și noi.

Referințe

Regulamentul (UE) 2016/679 (RGPD/GDPR), în special Art. 9 (categorii speciale de date), Art. 30 (evidența activităților de prelucrare), Art. 32 (securitatea prelucrării), Art. 33–34 (notificarea breșelor).
American Psychological Association (2024). Guidelines for the Practice of Telepsychology (revizuite). Cuprinde 11 direcții, inclusiv securitatea datelor, eliminarea datelor și tehnologiile emergente.
Perle, J.G., Smucker-Barnwell, S., Morland, L.A., et al. (2025). A Compendium for the 2024 APA Guidelines for the Practice of Telepsychology: Guideline Applications and Resources. American Psychologist.
Colegiul Psihologilor din România și Asociația Psihologilor din România (2018). Ghid privind protecția datelor personale (GDPR) pentru psihologi.
Codul Deontologic al profesiei de psiholog cu drept de liberă practică, actualizat 2018/2026.
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Legea nr. 213/2004 privind exercitarea profesiei de psiholog cu drept de liberă practică, cu modificările ulterioare.