Proteção de Dados

O acesso a informações de saúde requer garantia de segurança e proteção de dados

Informações de saúde pessoais se referem, em suma, a informações demográficas, históricos médicos, resultados de exames e laboratórios, condições de saúde mental, informações sobre seguros e outros dados que um profissional de saúde coleta para identificar um indivíduo e determinar cuidados adequados.

Essas mesmas informações detalhadas a respeito de nossa saúde também são um produto. Além do uso para pacientes e profissionais de saúde, elas também são valiosas para pesquisadores clínicos e científicos quando anonimizadas.

Para hackers esses dados são um tesouro. Afinal, são informações pessoais de pacientes que podem ser roubadas e vendidas em outro lugar. E ainda, eles podem sequestrar os dados através de ransomware até que a instituição médica pague o valor do resgate.

As instituições de saúde lidam com detalhes confidenciais sobre cada paciente e isso pode ser um risco

Como vimos, pela natureza do setor, as instituições de saúde lidam com detalhes confidenciais dos pacientes. Essas informações incluem data de nascimento, condições médicas e solicitações de seguro de saúde.

Seja em registros em papel ou em um sistema de registro eletrônico, as informações pessoais de saúde descrevem o histórico médico de um paciente, incluindo assim doenças, tratamentos e resultados.

Para se ter uma ideia, desde os primeiros momentos após o nascimento, um bebê hoje provavelmente terá suas informações pessoais de saúde inseridas em um sistema de registro eletrônico de saúde, incluindo peso, comprimento, temperatura corporal e quaisquer complicações durante o parto.

O rastreamento dessas informações durante a vida de um paciente oferece ao médico o contexto da saúde da pessoa. Dessa forma fica melhor para o profissional tomar decisões de tratamento.

Quando registradas de forma adequada, as informações pessoais de saúde podem ser armazenadas sem recursos de identificação e adicionadas anonimamente a grandes bancos de dados de informações de pacientes.

Esses dados não identificados podem contribuir para a gestão de saúde da população e programas de cuidados baseados em valor.

Entretanto, há casos em que as medidas de segurança, proteção e privacidade de dados não são aplicadas. Assim instituições de saúde, funcionários e principalmente os pacientes correm um sério risco.

Ameaças de segurança cibernética na saúde afetam pacientes e instituições

À medida que a tecnologia avança, os profissionais de saúde trabalham para implementar inovações visando a melhora dos atendimentos, mas as ameaças à segurança cibernética também continuam evoluindo.

Ataques de ransomware e violações de dados de assistência médica continuam sendo as principais preocupações de entidades de saúde e parceiros de negócios de todos os tamanhos.

O ransomware é um bom exemplo de grande impacto para o setor de assistência médica. Ele é considerado de alto risco, uma vez que as organizações de saúde são encarregadas de cuidar de pessoas. Assim, se certas informações ficarem trancadas ou inacessíveis, esse cuidado poderá ser afetado.

A responsabilidade pela proteção das informações de saúde são de todas as instituições e seus parceiros de negócio

Uma situação às vezes mal interpretada pelas instituições de saúde é que a privacidade e a segurança das informações de saúde nem sempre se movem em conjunto.

Embora a privacidade exija medidas de segurança, é possível ter restrições de segurança que não protegem totalmente as informações privadas de pacientes e responsáveis.

Vamos pensar em um exemplo: se uma instituição de saúde ou um fornecedor de nuvem compartilham dados médicos criptografados para uma clínica ambulatorial, a proteção e a privacidade podem ficar em risco. Afinal, as instituições precisam firmar um contrato de parceria que inclua requisitos dos processos e políticas de segurança de dados. Se isso não ocorrer, as informações compartilhadas correm alto risco.

Apesar do grande risco, é possível proteger sua organização contra o cibercrime assegurando as informações dos pacientes

Os ataques de ransomware e outros cibercrimes ocorrem quando algum hacker obtém acesso à rede de uma organização. Na sequência, arquivos são criptografados ou roubados.

No caso específico do ransomware, os arquivos ficam inacessíveis pelo alvo até que um valor seja pago como resgate.

Para proteger a sua organização contra ataques como esse e outros crimes cibernéticos direcionados ao setor de saúde, os especialistas em proteção de dados recomendam dez práticas visando a garantia das informações de saúde:

1. Defina políticas e processos claros de proteção e privacidade de dados

Um importante passo na proteção e privacidade das informações de saúde de pacientes e responsáveis é definir de forma clara as políticas e processos de proteção e privacidade de dados.

Esse é o pontapé inicial para todos as demais recomendações de segurança em benefício das instituições médicas.

2. Proteja as informações de saúde do paciente no local de trabalho

Utilize controles de acesso a fim de garantir que as informações de saúde dos pacientes sejam acessadas apenas pelos funcionários autorizados.

3. Realize a capacitação dos funcionários sobre políticas e processos de proteção e privacidade de dados

Uma instituição de saúde protegida deve treinar todos os membros da sua força de trabalho sobre as políticas e procedimentos com relação às informações de saúde.

O treinamento deve ser fornecido a cada novo profissional dentro de um período razoável de tempo após a pessoa ingressar na instituição.

Além disso, os membros do time também devem ser treinados se suas funções forem afetadas por uma mudança material nas políticas e procedimentos nas regras de privacidade e proteção definidas.

4. Procedimentos para divulgação ou compartilhamento de dados devem ser documentados e autorizados

É necessária uma autorização por escrito do paciente quando uma instituição de saúde precisar compartilhar ou divulgar documentos, informações ou notas de psicoterapia, distúrbio de abuso de substâncias e registros de tratamento.

5. Defina procedimentos seguros de armazenamento e recuperação de dados

Backup dos dados devem ser feitos periodicamente. Aliás, é uma prática recomendada também fazer backup de dados regularmente por meio de hardware, como unidades flash e discos rígidos externos, e depois copiar os dados pela nuvem enquanto ela está sendo modificada.

Essa redundância garante que informações críticas estejam prontamente disponíveis. Se possível, as instituições de saúde devem ter backups em vários locais.

6. Firewalls são essenciais para garantir que as informações eletrônicas de saúde protegidas não sejam destruídas incorretamente

Usar adequadamente um firewall pode ajudar a evitar que sua instituição seja vítima de um acesso não autorizado com potencial de comprometer a confidencialidade, integridade ou disponibilidade das informações de saúde dos pacientes.

7. As informações de saúde registradas em papel devem ser protegidas

A preocupação com a proteção de dados e privacidade também se aplica ao uso de papel e outros arquivos físicos. Além de políticas e procedimentos abrangendo a segurança física de documentos, os funcionários devem ser orientados a relatar imediatamente todos os incidentes que possam envolver a perda ou roubo de tais registros em papel.

8. Informações de saúde do paciente nunca devem ser deixadas sem supervisão

Cuidados extras devem ser tomados quando os prontuários dos pacientes são transportados temporariamente para outras instituições de saúde.

Essas informações devem ter a supervisão e proteção de profissionais responsáveis durante o percurso, entrega e armazenamento das informações de saúde.

9. A criptografia de documentos e dispositivos deve proteger contra hackers

Em suma, os dispositivos e documentos devem ser protegidos com uso da criptografia e assinatura digital durante o compartilhamento entre instituições e outros profissionais de saúde.

10. Manter os softwares antivírus e antimalware atualizados é de vital importância

Além disso, a atualizações e patches de software devem ser aplicados em tempo hábil para manter as redes e sistemas seguros.

Vale lembrar também que o bom senso é sempre uma boa prática recomendada. Os funcionários nunca devem compartilhar senhas. As senhas padrão devem ser alteradas imediatamente após a atribuição de um novo aplicativo. Por fim, elas não devem ser reutilizadas entre sistemas diferentes e devem também ser alteradas caso forem comprometidas.

O objetivo final é atingir níveis elevados de segurança, proteção e privacidade de dados, garantindo assim a integridade das informações de saúde de pacientes e demais responsáveis.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.