Listă de Conformitate
Tot ce are nevoie platforma și fiecare clinică pentru a opera legal. Lansarea inițială este exclusiv în România / UE, deci GDPR și legea română sunt cerințele din prima zi. HIPAA devine relevant numai la extinderea pentru a servi clinici cu sediul în SUA.
Ziua Unu — Lansare România / UE
RestartiX (platforma) trebuie să aibă
| Cerință | Ce Este | Reglementare |
|---|---|---|
| Șablon de Acord de Prelucrare a Datelor (APD) | Contract standard între RestartiX și fiecare clinică. Definește ce date sunt procesate, cum și conform căror instrucțiuni. Fiecare clinică îl semnează înainte de a intra în producție. | GDPR Art. 28 |
| Lista sub-procesatorilor | Listă publică a tuturor terților care procesează date în numele RestartiX (Clerk, AWS, Daily.co). Trebuie menținută curentă și clinicile notificate la modificări. | GDPR Art. 28 |
| Evaluarea Impactului asupra Protecției Datelor (DPIA) | O evaluare formală de risc pentru procesarea datelor de sănătate. GDPR face acest lucru obligatoriu pentru orice prelucrare cu risc ridicat — sănătatea se califică întotdeauna. Trebuie finalizată înainte de începerea prelucrării, nu după. | GDPR Art. 35 |
| Desemnarea Responsabilului cu Protecția Datelor (DPO) | O persoană numită responsabilă pentru supravegherea protecției datelor. Necesar la procesarea datelor de sănătate la scară. Poate fi intern sau extern. Trebuie să fie independent și să raporteze direct conducerii. | GDPR Art. 37–39 |
| Registrul Activităților de Prelucrare (ROPA) | Un inventar formal al: ce date procesează platforma, în ce scop, pe ce bază legală, cât timp sunt reținute și cine are acces. Trebuie să fie disponibil autorităților de reglementare la cerere. | GDPR Art. 30 |
| Documentația transferurilor transfrontaliere de date | Dacă vreun sub-procesator mută date în afara UE (AWS, Clerk, Daily.co probabil o fac), RestartiX trebuie să aibă Clauze Contractuale Standard (SCC-uri) sau să se bazeze pe o decizie de adecvare pentru fiecare transfer. Post-Schrems II, aceasta este riguros examinată. | GDPR Arts. 44–49 |
| Politica de rezidență a datelor | Documentație explicită despre unde sunt stocate datele geografic (ex. AWS EU-Central-1 Frankfurt) și un angajament că nu vor fi mutate fără notificare. | GDPR Capitolul V |
| Procedura de notificare a breșelor | O procedură documentată pentru detectarea, clasificarea și raportarea breșelor — clinicilor în 72 de ore, și sprijinirea clinicilor în notificarea ANSPDCP (autoritatea română de supraveghere). | GDPR Art. 33 |
| Planul de răspuns la incidente | Depășește notificarea breșelor. Acoperă toate incidentele de securitate: DDoS, compromiterea credențialelor, ransomware, amenințări interne. Include escaladare, izolare, criminalistică și revizuire post-incident. | Bune practici / GDPR Art. 32 |
| Termeni de Serviciu / Acord de Servicii Principale (MSA) | Contractul comercial între RestartiX și fiecare clinică. Acoperă nivelurile de servicii, răspunderea, rezilierea și procedurile de returnare a datelor. APD este de obicei o anexă la acesta. | Comercial / contractual |
| Evaluarea ca dispozitiv medical | O evaluare formală dacă software-ul se califică drept dispozitiv medical conform EU MDR. Consultați Clasificarea ca Dispozitiv Medical pentru evaluarea completă. Chiar dacă răspunsul ar fi „nu", evaluarea documentată este necesară. | EU MDR 2017/745 |
| Verificarea licenței specialiștilor | Un mecanism pentru verificarea că specialiștii în reabilitare (fizioterapeuți, kinetoterapeuti etc.) sunt licențiați să practice, cu urmărirea expirării. Clinica este în cele din urmă responsabilă pentru licențele specialiștilor, dar platforma ar trebui să susțină acest lucru. | Legea medicală română (Legea 95/2006) |
| Revizuire de conformitate specifică României | O revizuire față de Legea română privind Protecția Datelor, cerințele ANSPDCP și reglementările române în materie de sănătate. Legea română implementează GDPR, dar are cerințe suplimentare (ex. vârsta de consimțământ digital este 16 ani). | Legea națională română |
| Consimțământul pentru cookie-uri / ePrivacy | Dacă platforma folosește cookie-uri sau analiză pe client, un mecanism de consimțământ pentru cookie-uri este necesar conform Directivei ePrivacy. Trebuie să permită opt-in granular înainte ca cookie-urile non-esențiale să fie setate. | Directiva ePrivacy 2002/58 |
Fiecare clinică (organizație) trebuie să aibă
| Cerință | Ce Este | Reglementare |
|---|---|---|
| Politica de Confidențialitate | Document public care explică ce date colectează clinica, de ce, cât timp sunt păstrate și drepturile pacienților. Trebuie să fie specifică clinicii, nu generică. Prezentată pacienților în timpul admiterii ca formular de consimțământ de blocare. | GDPR Arts. 13–14 |
| Termeni de Serviciu | Contract între clinică și pacient acoperind serviciul de telereabilitare. Stabilește baza legală „executarea contractului" pentru prelucrarea datelor de reabilitare de bază. | GDPR Art. 6(1)(b) |
| Consimțământ informat pentru telereabilitare | Pacienții trebuie să dea un consimțământ informat specific pentru primirea serviciilor de reabilitare la distanță. Acesta este separat de consimțământul general de confidențialitate — acoperă natura, limitările și riscurile tratamentului la distanță. | Directiva UE 2011/24, legea română a telemedicinei |
| APD semnat cu RestartiX | Copia clinicii din Acordul de Prelucrare a Datelor. Semnat în timpul înregistrării clinicii pe platformă. | GDPR Art. 28 |
| Formulare de consimțământ (configurate în platformă) | Formulare de tip disclaimer pentru activități specifice de prelucrare: partajarea profilului, înregistrarea video, date biometrice. Create ca șabloane de formulare în platformă. | GDPR Art. 7 |
| Documentația bazei legale | Clinica trebuie să poată explica, pentru fiecare tip de date pe care le colectează, de ce are dreptul legal să le colecteze (contract, consimțământ sau obligație legală). RestartiX poate furniza un șablon. | GDPR Art. 6 |
Pacienții primesc
| Document | Când | Cum |
|---|---|---|
| Politica de Confidențialitate a clinicii | În timpul admiterii la fiecare clinică | Prezentată ca formular de disclaimer de blocare — trebuie semnat înainte de a continua |
| Consimțământ informat pentru telereabilitare | În timpul admiterii la fiecare clinică | Formular de blocare — acoperă natura, limitările și riscurile primirii serviciilor de reabilitare la distanță |
| Consimțământul de Partajare a Profilului | În timpul admiterii la fiecare clinică | Formular de blocare — personalul clinicii vede numai numele pacientului până la semnare |
| Consimțăminte specifice activității (înregistrare video, urmărire biometrică etc.) | Înainte de activitatea relevantă | Prezentate ca formulare de disclaimer de blocare legate de tipuri specifice de programări sau servicii |
| Consimțăminte de preferință (marketing, remindere SMS, analiză) | În timpul sau după admitere | Comutator în interfața de setări — nu este necesar formular sau semnătură |
Important dar Nu Blocante pentru Ziua Unu
| Cerință | Cine | Ce Este | Reglementare |
|---|---|---|---|
| Evaluarea conformității NIS2 | Platforma (numai dacă este în domeniu) | NIS2 clasifică „furnizorii de servicii de sănătate" ca entități esențiale — dar asta înseamnă clinicile, nu platforma SaaS. RestartiX este un furnizor de software / operator de date, nu un furnizor de servicii de sănătate. În plus, NIS2 scutește întreprinderile mici (mai puțin de 50 de angajați și sub 10M cifră de afaceri). Ca startup, RestartiX este aproape sigur scutit. Revizuiți dacă: compania crește peste pragurile de dimensiune, sau dacă DNSC România desemnează specific platforma ca în domeniu. Notă: clinicile mai mari (50+ angajați) pot necesita conformitate NIS2 ele însele — aceasta este responsabilitatea lor. România a transpus NIS2 prin OUG 155/2024 și Legea 124/2025. | Directiva UE 2022/2555 |
| Program de formare a personalului în securitate | Platforma + Clinica | GDPR așteaptă formare de conștientizare în protecția datelor pentru oricine gestionează date cu caracter personal. Trebuie documentat cu înregistrări de finalizare. | GDPR Art. 39 |
| Asigurare de răspundere cibernetică | Platforma | Nu este obligatorie legal, dar practic așteptată de clienții clinici și investitori. Ar trebui să acopere costurile breșelor de date, amenzile de reglementare (acolo unde este asigurabil) și apărarea legală. | Standard industrie |
| Reglementările prescripțiilor digitale | Platforma + Clinica | Dacă prescripțiile sunt emise prin platformă, legea română are cerințe specifice de format și semnătură digitală. | Ordinul român 900/2006 |
| Configurarea retenției datelor per clinică | Platforma | Permite fiecărei clinici să configureze perioadele de retenție. Lucrările automate de curățenie le impun. Legile române de retenție a evidențelor medicale pot stabili perioade minime. | GDPR Art. 5(1)(e) |
| Șablon ROPA pentru clinici | Platforma | Furnizează clinicilor un șablon pre-completat de Registru al Activităților de Prelucrare pe care îl pot adapta. Face mai ușor pentru clinicile mici să-și îndeplinească obligațiile conform GDPR Art. 30. | GDPR Art. 30 |
La Extinderea pe Piața SUA — Cerințe HIPAA
HIPAA este o lege exclusiv americană. Se aplică RestartiX numai când o clinică cu sediul în SUA folosește platforma. Consultați Conformitate HIPAA pentru prezentarea completă a ce este HIPAA și cum o suportă deja platforma.
RestartiX (platforma) trebuie să adauge
| Cerință | Ce Este | Reglementare |
|---|---|---|
| Acorduri de Asociat de Afaceri (BAA) cu sub-procesatorii | Contracte semnate cu fiecare furnizor care atinge PHI: Clerk (autentificare), AWS (infrastructură), Daily.co (video). | HIPAA |
| Desemnarea Ofițerului de Securitate | O persoană numită responsabilă pentru securitatea PHI. Poate fi aceeași persoană ca DPO. | HIPAA Security Rule |
| Evaluarea Riscului de Securitate HIPAA | O analiză formală anuală de risc a tuturor sistemelor care ating PHI. Identifică vulnerabilitățile, evaluează probabilitatea și impactul și documentează planurile de atenuare. Necesară anual, nu doar o singură dată. | HIPAA 164.308(a)(1) |
| Formarea personalului HIPAA | Formare regulată a personalului privind gestionarea PHI, specifică cerințelor HIPAA. Trebuie documentată cu înregistrări de finalizare. | HIPAA 164.308(a)(5) |
Fiecare clinică din SUA trebuie să adauge
| Cerință | Ce Este | Reglementare |
|---|---|---|
| BAA semnat cu RestartiX | Un Acord de Asociat de Afaceri. Necesar înainte ca clinica să poată folosi platforma pentru a procesa PHI al pacienților din SUA. | HIPAA |
| Desemnarea Ofițerului de Confidențialitate | O persoană numită responsabilă pentru programul de confidențialitate HIPAA al clinicii. | HIPAA Privacy Rule |
| Formarea personalului privind PHI | Tot personalul clinicii care accesează platforma trebuie format pe regulile HIPAA pentru gestionarea PHI. | HIPAA 164.308(a)(5) |
| Program propriu de conformitate HIPAA | Clinica trebuie să mențină propriile politici HIPAA, evaluări de risc și proceduri de raportare a breșelor — independent de ceea ce furnizează RestartiX. | HIPAA |
Pentru dezvoltatori
Detalii de implementare tehnică — logica de anonimizare GDPR, schema de urmărire a consimțământului, middleware-ul de audit, algoritmii de criptare — sunt disponibile în secțiunea Referință Tehnică a Documentației pentru Dezvoltatori.