Czy nasza solo-klinika jest realnym celem?

Tak, choć inaczej niż większe firmy. Wektor #1 to przejęcie konta Instagram lub Facebook - tu pacjentki rezerwują wizyty, tu jest portfolio kliniki. Utrata konta z 30 tys. obserwujących to realna utrata przychodów na miesiące. Drugi wektor - vishing fałszywego przedstawiciela botoxu lub wypełniacza.

Dlaczego zdjęcia przed/po są szczególne pod RODO?

Bo są jednocześnie danymi medycznymi (art. 9 RODO - szczególna kategoria) i wizerunkiem (art. 81 prawa autorskiego). Jeden wyciek = potencjalnie trzy naruszenia: RODO, wizerunku, dóbr osobistych (art. 23 KC). Wymaga podwójnej zgody (zabieg plus osobno publikacja), szyfrowania, ograniczonego dostępu, usuwania po wycofaniu zgody.

Czy mogę używać Dropbox lub Google Drive na zdjęcia pacjentek?

Tylko z DPA art. 28 RODO podpisaną z dostawcą (Google Workspace Business z DPA, Microsoft OneDrive for Business, Dropbox Business z DPA). Darmowe konsumenckie wersje - nie. Plus szyfrowanie at-rest, MFA na koncie, kontrola udostępniania (nie publiczny link), audit log każdego pobrania.

Czy Booksy i Versum są bezpieczne?

Same systemy są stabilne i certyfikowane (Booksy ma DPA art. 28 dostępną dla klientów). Ryzyko to konta dostępowe kliniki: MFA, hasła unikalne w menedżerze, brak współdzielonych loginów, minimalizacja danych w formularzu rezerwacji (nie wszystkie dane wrażliwe online), klauzula informacyjna przy rezerwacji.

Co z kamerami IP w gabinetach?

Hikvision i Dahua mają znane podatności (CVE-2021-36260 i podobne) pozwalające na przejęcie bez uwierzytelnienia. Obrona: aktualizacje firmware co kwartał, segmentacja na osobnym VLAN, zmiana domyślnych haseł, brak wystawiania kamer do internetu (zdalny podgląd przez VPN z MFA).

Czy IOD jest obowiązkowy?

Solo-klinika i mała klinika z portfelem do kilkuset pacjentek - zwykle nie. Klinika z 1 000+ pacjentkami i przetwarzająca dane medyczne na dużą skalę - tak (art. 37 RODO). Outsourcing IOD-a 800-2 500 zł miesięcznie.

Co zrobić, gdy pacjentka prosi o usunięcie zdjęć?

Macie 30 dni od pisemnego wycofania zgody (art. 7 ust. 3 + art. 17 RODO). Procedura: potwierdzenie przyjęcia w 7 dni, usunięcie z social media i strony, usunięcie z CRM kliniki, usunięcie z backupów przy najbliższej rotacji, udokumentowanie wycofania w karcie + rejestrze.

Ile kosztuje minimum cyber dla solo-kliniki?

8-20 tys. zł rocznie: Microsoft 365 Business Premium z EDR (~25-30 zł/użytkownik/miesiąc), backup z immutable dla zdjęć (200-500 zł/miesiąc), audyt (CyberAudyt CyberCerber - wycena w cenniku), ubezpieczenie cyber 3-12 tys. zł. Mniej niż jeden zabieg lifting twarzy.

Czy mogę korzystać z prywatnego Instagrama do publikacji portfolio?

Nie. Konta prywatne nie mają MFA dla biznesu, profil nie jest zweryfikowany, brak DPA. Konieczne: konto biznesowe Instagram (Meta Business), MFA odporne na phishing (FIDO2/U2F klucz, nie SMS), email recovery z odrębnej domeny niż firmowa.

Co z deepfake'ami głosowymi?

W 2026 r. realny wektor: atakujący klonuje głos lekarki z LinkedIn-owego nagrania i dzwoni do recepcji z prośbą o zmianę numeru konta dostawcy botoxu. Obrona: weryfikacja drugim kanałem (oddzwonić na znany numer), hasło-fraza ustalone z zespołem, procedura pisemna dla wszystkich poleceń finansowych przez telefon.

Co zrobić, gdy klinika zostanie zaatakowana ransomware?

Odłączyć zainfekowane stacje od sieci (nie wyłączać), zachować logi, zgłosić CERT Polska (cert.pl/zglos), zgłosić UODO w 72h (dane medyczne pacjentek). Sprawdzić No More Ransom przed jakąkolwiek decyzją o okupie. Wykonać post-mortem - prawie zawsze wektorem był phishing recepcji lub kompromitacja Instagrama.

Cyberbezpieczeństwo w klinice medycyny estetycznej - praktyczny przewodnik

Q: Czy klinika podlega NIS2?

Prawie zawsze nie. Procedury kosmetyczne nie kwalifikują się jako świadczenia zdrowotne (art. 3 ust. 2 ustawy o działalności leczniczej z 2011 r.). Wyjątek: klinika z certyfikowanym personelem medycznym świadcząca procedury z pogranicza (laser medyczny, podologia). Wówczas decyduje próg ≥50 pracowników. Pełny test w pillarze NIS2/UKSC.

Cyberbezpieczeństwo kliniki medycyny estetycznej obejmuje pięć warstw szczególnie ważnych w tej branży: ochronę zdjęć przed/po (RODO art. 9 plus prawo wizerunku), zabezpieczenie kont Instagram i Facebook (główny kanał przychodów), bezpieczne systemy rezerwacji (Booksy, Versum, Moment), MFA na koncie systemu kliniki, regularne audyty kamer IP (Hikvision CVE-2021-36260). Audyt zewnętrzny raz w roku obejmuje wszystkie pięć warstw.

1. Co jest specyficzne dla medycyny estetycznej

Medycyna estetyczna nie jest “zwykłym MŚP” z perspektywy cyber. Trzy specyficzne ryzyka, których nie ma standardowy plan obrony dla biura czy gabinetu stomatologicznego.

Wizerunek pacjentki jako waluta. Zdjęcia przed/po są jednocześnie dokumentacją medyczną i materiałem marketingowym. Wyciek = potrójne naruszenie (RODO + wizerunek + dobra osobiste). Pacjentka ma prawo do zapomnienia po wycofaniu zgody marketingowej; brak procedury usunięcia = realna kara UODO.

Instagram jako kanał przychodów. Solo-klinika lub mała klinika ma zwykle 60-90% rezerwacji przez Instagram lub Facebook. Konto z 30 000 obserwujących to lata pracy. Przejęcie konta przez SIM-swap lub phishing “od Meta” = miesiące utraconych przychodów + utrata reputacji.

Niski próg wejścia atakującego. Vishing fałszywego przedstawiciela botoxu, fałszywej “dostawy próbek wypełniacza” - to nie są ataki na infrastrukturę, tylko na recepcję. Atakujący nie musi być technicznie wyrafinowany, wystarczy znać branżę.

Plan obrony kliniki musi być inny niż dla biura księgowego. Nacisk na: konta social, prywatność zdjęć, kontrola dostępu do galerii, procedury phone-based.

2. Pięć warstw obrony dla kliniki

Instagram i Facebook na koncie biznesowym, nie prywatnym. Meta Business Suite, weryfikacja biznesu, osobny e-mail recovery na odrębnej domenie (nie firmowej - bo jeśli firmową domenę przejmą, recovery nie zadziała).

MFA odporne na phishing. Klucz sprzętowy FIDO2/U2F (YubiKey Security Key Series, Google Titan), nie SMS (podatne na SIM swap). Wymiana, jeśli klucz zgubicie - drugi klucz w sejfie.

Brak współdzielonych kont. Każdy pracownik z osobnym dostępem do Meta Business (ról: administrator, edytor, analityk). Kosmetyczka odchodząca z pracy = natychmiastowe odebranie dostępu w panelu Meta Business.

Polityka publikacji wizerunku. Zgoda osobna od zgody na zabieg, ograniczona w czasie, łatwo cofnąć. Procedura usunięcia 30-dniowa (patrz Warstwa 2).

Pogłębione tematy: Przejęcie konta Instagram/Facebook kliniki.

Warstwa 2 - Ochrona zdjęć przed/po

Triple-regime: RODO + wizerunek + KC. Zdjęcia są danymi medycznymi (art. 9 RODO), wizerunkiem (art. 81 prawa autorskiego), dobrami osobistymi (art. 23 KC). Jeden wyciek = potencjalnie trzy roszczenia. Pacjentka może żądać odszkodowania niezależnie od kary UODO.

Podwójna zgoda. Dwa odrębne dokumenty: 1) zgoda na zabieg i dokumentację medyczną (RODO art. 9 lit. h - leczenie, niezbywalna); 2) zgoda na rozpowszechnianie wizerunku (odwoływalna, opcjonalna). Pacjentka może wybrać tylko pierwszą i nadal otrzymać zabieg.

Szyfrowanie at-rest. Zdjęcia w bazie kliniki - szyfrowane. Backup zdjęć - szyfrowany. Telefony służbowe z fotografiami - blokada biometryczna + szyfrowanie. Nigdy zdjęcia na prywatnym telefonie.

Ograniczony dostęp. Audit log każdego wglądu w galerię. Recepcjonistka nie ma dostępu do galerii pacjentek innych lekarek. Każda lekarka widzi tylko swoje pacjentki, chyba że konsultacja zespołowa.

Procedura wycofania zgody (30 dni). Pisemne wycofanie → potwierdzenie w 7 dni → usunięcie z Instagrama, Facebooka, strony WWW, materiałów marketingowych w 30 dni → usunięcie z backupów przy najbliższej rotacji → wpis w karcie i rejestrze.

Pogłębione tematy: Ochrona zdjęć przed/po - pillar flagowy (głębsza warstwa compliance).

Warstwa 3 - Booking online i RODO

Booksy, Versum, Moment. Trzy najpopularniejsze polskie systemy rezerwacji. Wszystkie oferują DPA art. 28 RODO dla klientów biznesowych - wymóg podpisania przed rozpoczęciem korzystania.

MFA na koncie kliniki. Bezpłatne w każdym z trzech systemów, większość klinik tego nie włącza. Konfiguracja w 5-10 minut.

Minimalizacja danych w formularzu. Pacjentka nie musi w booking podawać alergii, leków, schorzeń przewlekłych - to dotyczy konsultacji w gabinecie. W booking minimum: imię, nazwisko, telefon, e-mail, wybrany zabieg. Reszta - na karcie pacjentki w systemie kliniki.

Klauzula informacyjna przy rezerwacji. Krótka, przejrzysta, z linkiem do pełnej polityki prywatności na stronie. Wymóg art. 13 RODO.

Pogłębione tematy: Booking online a RODO - pillar systemów rezerwacji.

Warstwa 4 - System kliniki i konta wewnętrzne

MFA na systemie zarządzania kliniką (Estima, ProgMedica, e-Doctor i inne). Każda lekarka i recepcjonistka z osobnym loginem, MFA, audit log.

Backup karty pacjentek i galerii zdjęć. Reguła 3-2-1 z immutable - ransomware celuje w zdjęcia (double extortion: szyfruje + grozi publikacją). Test odzysku co miesiąc.

Aktualizacje systemu. Dostawca publikuje patche - subskrybujcie alerty, instalujcie w 7 dni dla krytycznych CVE, w 30 dni dla wysokich.

Warstwa 5 - Sprzęt: kamery IP, IoT, urządzenia diagnostyczne

Kamery IP Hikvision i Dahua. CVE-2021-36260 (Hikvision) pozwala na przejęcie kamery bez uwierzytelnienia. Obrona: aktualizacje firmware co kwartał, osobny VLAN dla kamer (brak dostępu z sieci recepcji ani Wi-Fi pacjentek), zmiana domyślnych haseł, brak wystawienia do internetu.

Urządzenia diagnostyczne na osobnym VLAN. Lasery medyczne, lampy IPL, urządzenia diagnostyczne często pracują na starym Windows bez aktualizacji. Segmentacja - brak bezpośredniego dostępu z poczty, przeglądarki, sieci pacjentów.

Wi-Fi pacjentów = osobna sieć. Wi-Fi gościnne na odrębnym SSID i VLAN, brak dostępu do sieci kliniki.

Pogłębione tematy: Kamery IP - podatności Hikvision/Dahua.

3. Compliance - co dotyczy kliniki

RODO art. 9. Dane medyczne plus zdjęcia. Wymaga: klauzul informacyjnych, zgody podwójnej, rejestru czynności, umów powierzenia z Booksy/Versum, dostawcą chmury, dostawcą systemu kliniki.

Prawo wizerunku (art. 81 prawa autorskiego). Każda publikacja wizerunku pacjentki wymaga zgody. Cofnięcie zgody = obowiązek usunięcia.

NIS2 - prawie zawsze nie dotyczy. Procedury kosmetyczne nie są świadczeniami zdrowotnymi (art. 3 ust. 2 ustawy o działalności leczniczej z 2011 r.). Wyjątek: klinika z certyfikowanym personelem medycznym i procedurami z pogranicza. Test zakresu w pillarze NIS2/UKSC.

4. Budżet

Roczne widełki dla typowej kliniki 3-15 osób, 50-500 pacjentek miesięcznie:

0-1 000 zł rocznie. MFA na social i koncie systemowym (bezpłatne), SPF/DKIM/DMARC, BitLocker, polityka pisemna.
1 000-5 000 zł rocznie. Microsoft 365 Business Premium z EDR, backup chmurowy z immutable dla zdjęć 200-500 zł miesięcznie, klucze sprzętowe YubiKey dla social media (2-3 sztuki).
5 000-15 000 zł rocznie. Roczny audyt zewnętrzny (CyberAudyt CyberCerber - wycena w cenniku), profesjonalny phishing simulator, ubezpieczenie cyber 3-12 tys. zł.
Powyżej 15 000 zł rocznie. Sieć klinik, IOD outsourcing, pełen pentest co 2 lata, SOC w retainer.

Punkt odniesienia: jeden incydent przejęcia konta IG z miesiącami odzysku = wielokrotność rocznego budżetu cyber.

Pogłębione tematy: Budżet cyber dla kliniki estetycznej.

5. Plan 30-60-90 dni

MFA na Instagram, Facebook (klucz sprzętowy YubiKey - nie SMS), MFA na systemie kliniki, MFA na Booksy/Versum, MFA na poczcie. Audyt umów z Booksy/Versum (DPA podpisana?), audyt umowy z dostawcą chmury na zdjęcia.

Tydzień 3-4: Backup + szyfrowanie zdjęć

Backup 3-2-1 z immutable dla galerii zdjęć i karty pacjentek. Pierwszy test odzysku - jedna pacjentka, jedno przed/po. BitLocker / FileVault na wszystkich urządzeniach z fotografiami. Blokada biometryczna na telefonach służbowych.

Tydzień 5-8: Procedury i zgody

Wzór podwójnej zgody (zabieg + osobno wizerunek). Pisemna procedura wycofania zgody marketingowej (30 dni). Klauzula informacyjna w booking i na stronie. Krótkie szkolenie zespołu - rozpoznawanie phishingu i vishingu (fałszywy przedstawiciel botoxu).

Tydzień 9-12: Audyt + kamery

Zewnętrzna ocena podatności CyberAudyt CyberCerber. Aktualizacja firmware kamer IP, segmentacja na osobnym VLAN. Inwentaryzacja urządzeń IoT (kamery, lasery), segmentacja. Polityka bezpieczeństwa IT.

6. CyberCerber dla kliniki

CyberCerber dostarcza zewnętrzną ocenę podatności specjalnie dla klinik medycyny estetycznej - obejmującą wszystkie pięć warstw, w tym konta social, booking, kamery IP. Trzy produkty: PreScan (bezpłatny skan diagnostyczny w 24h), CyberAudyt (audyt CyberCerber - pełna ocena podatności, raport w 5 dni), Pentest (dla klinik z wymogiem korporacyjnym lub regulowanym). Gwarancja na CyberAudyt: jeśli raport nie zawiera co najmniej trzech działań naprawczych, pełen zwrot.

Bezpłatne skanowanie wstępne - 24 godziny, bez instalacji. Cennik pakietów. Strona usługi dla klinik medycyny estetycznej.

7. FAQ

(See faq field in frontmatter - 12 atomic Q/A pairs rendered as FAQPage JSON-LD.)

8. Powiązane przewodniki

Linki do głównego przewodnika SMB: