Backup para clínicas é a cópia segura de imagens DICOM, prontuários eletrônicos, laudos e financeiro, guardada fora da clínica em nuvem criptografada. Esses dados têm prazo legal de guarda (CFM) e são protegidos pela LGPD — e exame de ultrassom perdido não tem como ser refeito.
Mas Maurício, a minha clínica já tem um servidor aqui dentro com todas as imagens. Por que eu precisaria de backup para clínicas em nuvem também?
Deixa eu te responder com uma pergunta de volta: se esse servidor pegar fogo hoje à noite, tragar as imagens, e você chegar amanhã cedo sem acesso a nenhum exame — qual é o seu plano B?
Porque o dado de uma clínica não é como o dado de uma loja que pode reabrir a tabela de preços. Ultrassom feito não tem como ser refeito. Laudo assinado pelo radiologista não tem como ser reconstruído. Tomografia de um paciente em acompanhamento de câncer não tem segunda chance.
É esse risco que eu quero conversar com você hoje. Vou falar sobre backup para clínicas (ou becape, como chamamos aqui), por que o volume de imagens médicas muda completamente o jogo, o que a lei exige e como a gente protege esse tipo de dado na prática.
Por que backup para clínicas é diferente dos outros setores?
Quando trabalho com escritório de advocacia ou contabilidade, o volume de dados costuma ser relativamente pequeno. Documentos de texto, planilhas, PDFs — dá pra fazer backup de anos inteiros em poucos gigabytes.
Clínica de imagens é outro jogo.
Um único exame de tomografia computadorizada pode gerar facilmente centenas de imagens no formato DICOM (o padrão mundial de imagem médica digital, do inglês Digital Imaging and Communications in Medicine). Uma ressonância magnética completa pode passar de 500 MB só num paciente. Multiplica isso por dezenas de exames por dia, semana após semana, mês após mês.
Uma clínica de radiologia de porte médio acumula terabytes de DICOM rapidamente. O servidor PACS (que armazena e distribui as imagens para os médicos) vira o ativo mais crítico da operação — e, ao mesmo tempo, costuma ser o ponto mais negligenciado do plano de backup.
Se esse servidor falhar sem backup adequado, não é só um problema técnico. É um problema clínico, legal e reputacional ao mesmo tempo.
Quais dados uma clínica precisa proteger — e por quanto tempo?
Antes de falar de tecnologia, deixa eu montar um mapa do que está em jogo. Pedi para organizar em tabela porque fica mais fácil de visualizar:
| Tipo de dado | Exemplos | Risco se perder | Prazo de guarda |
|---|---|---|---|
| Imagem médica (DICOM) | Raio-X, tomografia, ressonância, ultrassom, mamografia | Exame não pode ser refeito; paciente em risco; responsabilidade médica | Mínimo de 20 anos após o último atendimento (Resolução CFM nº 1.821/2007); se digitalizado em meio adequado, pode ser permanente. Imagens vinculadas ao prontuário seguem a mesma regra |
| Prontuário eletrônico | Histórico do paciente, diagnósticos, prescrições, evoluções | Perda de continuidade do tratamento; risco legal e ético gravíssimo | Mínimo de 20 anos após o último atendimento (Resolução CFM nº 1.821/2007); o prontuário digitalizado em meio adequado pode ser mantido em definitivo |
| Laudos e relatórios | Laudo assinado pelo médico, relatório de exame, parecer | Sem laudo, sem evidência; disputas jurídicas sem como se defender | Vinculado ao prontuário — mesmo prazo (mínimo 20 anos; Resolução CFM nº 1.821/2007) |
| Agenda e cadastro de pacientes | Nome, CPF, contato, histórico de consultas | Dado pessoal sensível (LGPD); perda operacional imediata | Enquanto o paciente for ativo + prazo legal após saída |
| Financeiro e faturamento | Notas fiscais, repasse de convênios, contas a pagar e receber | Prejuízo financeiro direto; auditoria de convênio sem documentação | 5 anos (Receita Federal) — mínimo |
Você reparou que praticamente tudo na tabela acima tem prazo de guarda longo e risco alto. Não é dado que você pode apagar daqui a um ano e esquecer. É dado que, em alguns casos, você precisa guardar por décadas.
O que a lei diz — CFM e LGPD na saúde
Tem dois eixos legais que toda clínica precisa entender antes de falar de tecnologia.
O primeiro é o CFM (Conselho Federal de Medicina), que estabelece o prazo mínimo de guarda do prontuário. A Resolução CFM nº 1.821/2007 determina guardar o prontuário por, no mínimo, 20 anos a partir do último atendimento — e o prontuário digitalizado em meio adequado pode ser mantido em definitivo (a Lei nº 13.787/2018 segue a mesma linha). Deixo a fonte no rodapé pra você conferir. O ponto que não muda é a obrigação de guardar — e por muito tempo. Colocar todos os ovos num único servidor físico dentro da clínica, sem cópia externa, não é plano de guarda — é risco concentrado.
O segundo eixo é a LGPD (Lei Geral de Proteção de Dados). Dado de saúde é classificado como dado sensível, a categoria de maior proteção da lei. A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão que fiscaliza o cumprimento. Isso significa que sua clínica precisa de medidas técnicas e organizacionais para proteger esses dados — criptografia, controle de acesso, e sim, backup adequado faz parte disso.
Perder dados de pacientes por falha técnica que poderia ter sido evitada com backup é o tipo de incidente que pode precisar ser notificado à ANPD. Não quero assustar, mas quero que você entenda que o risco não é só operacional. É regulatório.
Ransomware em clínica: o sequestro mais cruel que existe
Se você quer entender o que é ransomware (sequestro de dados) em mais detalhe, escrevi um post específico sobre isso — vale a leitura: o que é ransomware. Mas deixa eu te contar o que esse tipo de ataque faz num ambiente de saúde.
O bandido entra na rede, geralmente por um link clicado em e-mail ou por uma brecha no acesso remoto, e começa a criptografar tudo. Prontuários. Imagens DICOM. O banco de dados da agenda. O financeiro.
Quando o sistema da recepção trava e aparece uma mensagem pedindo pagamento em criptomoeda, a clínica está paralisa. Médico que precisa ver o exame anterior do paciente não consegue. Fila de atendimento cresce. A pressão é enorme pra pagar o resgate.
Já trabalhamos com empresas que sofreram mais de 15 ataques de ransomware ao longo dos anos que a gente está operando. Nenhum cliente WSpeed pagou resgate — em nenhum deles. Sabe por quê? Porque o dado estava na nuvem, intacto, fora do alcance do ataque. A gente fez o restore e a empresa voltou a trabalhar.
Mas vi de perto o que acontece com quem não tinha backup. Um parceiro nosso me contou de um cliente — que não era cliente WSpeed — que usava só HD externo. Ransomware entrou, o HD estava plugado, foi criptografado junto. Pagou R$ 5.705,49 de resgate. E o bandido não devolveu os dados. O dinheiro foi, o dado ficou perdido.
Agora imagine isso com o PACS de uma clínica de radiologia. Anos de imagens. Laudos assinados. Prontuários inteiros. O cenário é muito pior.
E se der enchente, incêndio, ou o servidor simplesmente morrer?
Esse é o ponto que as pessoas esquecem enquanto ficam preocupadas com hacker.
Em maio de 2024, o Rio Grande do Sul sofreu uma enchente histórica. Tivemos 9 clientes debaixo d’água. Servidores, computadores, tudo físico da empresa — embaixo da lama. Mas o dado deles estava na nuvem. Em dias, eles estavam trabalhando de casa, acessando o sistema remotamente, reconstruindo a operação.
Não importa se for enchente, incêndio, roubo ou simplesmente o servidor que morre de velhice às 7h da manhã de uma segunda-feira. Se o dado só existe dentro da sua clínica, ele está em risco. Ponto.
Para entender melhor a lógica de ter cópias em lugares diferentes, explico isso com mais detalhe no post sobre o que é backup — leitura de 5 minutos que pode mudar como você enxerga a sua proteção hoje.
O volume de imagens DICOM muda o que você precisa contratar
Aqui é onde muita clínica erra ao tentar resolver sozinha.
Backup de escritório? Você contrata um plano básico de backup em nuvem, instala um agente no servidor, e pronto. Os dados são pequenos, o tempo de backup é curto, a janela noturna dá conta.
Backup de DICOM é diferente por três motivos:
1. Volume absurdo. Terabytes de imagens exigem uma solução que aguente esse volume sem travar o servidor durante o expediente e sem estourar o orçamento em armazenamento.
2. Velocidade de upload/download importa. Quando você precisa fazer restore de um DICOM grande num momento de urgência, você não tem tempo para esperar horas. A infraestrutura de nuvem precisa ser dimensionada para isso.
3. O PACS precisa de atenção especial. O servidor PACS tem características técnicas específicas. O agente de backup precisa lidar com arquivos abertos, banco de dados em uso e a estrutura de pastas do DICOM sem corromper nada.
É exatamente por isso que a WSpeed tem um produto específico para esse cenário: o backup de imagens médicas, pensado para o volume, o formato e a criticidade que a saúde exige. Não é um backup genérico com outra roupagem — é uma solução dimensionada pro seu tipo de dado.
Como funciona o backup de uma clínica na WSpeed, na prática?
Vou ser direto, porque você merece saber o que está contratando:
Os dados saem criptografados da sua clínica — ninguém aqui lê o seu DICOM ou o prontuário do seu paciente. Viajam pela internet já protegidos e chegam nos nossos datacenters parceiros, onde ficam guardados no Backblaze B2 (nossa nuvem primária, especializada em armazenamento e mais econômica) com AWS S3 disponível como opção. Ambos fora do Brasil, geograficamente separados de qualquer desastre local.
O backup roda automático. Sem depender de alguém lembrar de plugar HD. Sem dependência de que o estagiário seguiu o procedimento. Automático, monitorado, com alerta se falhar.
E o mais importante: a WSpeed tem garantia em contrato. Não é papo de vendedor. Se a gente não conseguir recuperar os seus dados, existe uma multa financeira predefinida no contrato. Isso força a gente a ter a operação afinada — porque se a gente errar, dói aqui também.
O que fazer agora, hoje, antes de acontecer alguma coisa?
Primeiro, mapeie onde está o seu dado. Servidor local? HD externo? Só na memória do técnico terceirizado? Saber onde está é o primeiro passo.
Segundo, teste o restore. Não basta o relatório dizer “backup ok”. Pega um arquivo DICOM de um exame antigo e tenta restaurar. Se travar, se demorar demais, se pedir senha que ninguém sabe — você acabou de descobrir que não tem backup funcional.
Terceiro, avalie se a sua solução atual aguenta o volume e o prazo legal de guarda. Uma conta rápida: quantos GB por semana de imagem médica a sua clínica gera? Em quanto tempo você está guardando a última cópia? Tem versões anteriores salvas?
Se quiser ver como funciona na prática para uma clínica como a sua, a nossa solução para clínicas e laboratórios mostra o que montamos especificamente pra esse setor.
Se preferir conversar direto antes de qualquer decisão, me chama no WhatsApp. Não tem script de vendas, não tem call center — quem atende é quem construiu a operação.
Afinal, o equipamento você pode trocar. O servidor você pode comprar de novo. Mas o laudo do seu paciente de dez anos atrás, a imagem que prova que o tratamento funcionou, o prontuário que te defende numa disputa judicial — esse dado não tem segunda chance.
Comente abaixo: qual é o maior volume de dados que você precisa proteger na sua clínica? Imagem médica, prontuário eletrônico, os dois? Me conta — assim posso ajudar mais quem está lendo.
Abraço e até o próximo artigo ou vídeo.
Perguntas frequentes
Por quanto tempo uma clínica é obrigada a guardar o prontuário do paciente?
A Resolução CFM nº 1.821/2007 exige guardar o prontuário por, no mínimo, 20 anos a partir do último atendimento; o prontuário digitalizado em meio adequado pode ser mantido em definitivo (a Lei nº 13.787/2018 segue a mesma linha). O link da resolução está nas Fontes, no fim do artigo.
O que é DICOM e por que pesa tanto no backup?
DICOM (Digital Imaging and Communications in Medicine) é o formato padrão de imagens médicas: tomografia, ressonância, raio-X, ultrassom. Um único exame pode passar de 500 MB. Uma clínica de imagens com dezenas de pacientes por dia acumula terabytes em pouco tempo — muito mais do que um sistema de ERP comum.
A LGPD se aplica a clínicas e laboratórios?
Sim. Dados de saúde são classificados como dados sensíveis pela LGPD, exigindo medidas de segurança reforçadas. A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão fiscalizador. Manter backup criptografado e com controle de acesso é parte fundamental da adequação.
Sincronizar em nuvem (tipo Drive ou Dropbox) resolve o backup de uma clínica?
Não. Ferramenta de sincronização espelha arquivos — se um ransomware criptografar os DICOMs, a versão corrompida sobe e sobrescreve a boa. Backup profissional guarda versões anteriores isoladas, para que você possa voltar ao estado anterior ao problema.
Quanto custa um ataque de ransomware para uma clínica?
O custo vai muito além do resgate. Inclui dias sem atender, retrabalho de equipe, possível notificação à ANPD se dados de pacientes foram expostos e dano à reputação. Clínicas que não tinham backup ficaram sem acesso a laudos e prontuários por dias — ou para sempre.
