Proteção de Dados

Proteger a privacidade das informações é uma das prioridades da saúde hoje

Proteger a privacidade das informações de saúde, assim como a segurança dos registros médicos deve ser uma das principais prioridades do setor de saúde hoje. E isso deve ocorrer não apenas pelo aumento do número e o impacto das violações de dados, mas também por regulamentos como a Lei Geral de Proteção de Dados (LGPD), que exige proteção das informações pessoais de clientes e que impõem pesadas multas pela não conformidade.

Com esse novo cenário definido, os hospitais e outras instituições do setor de saúde devem garantir a proteção das informações médicas de seus pacientes durante todo o ciclo de vida do atendimento e o período necessário de armazenamento, sempre de acordo com LGPD e todas as demais legislações vigentes que definem requisitos exigidos pela gestão adequada dos registros médicos.

Proteção de dados até quando os registros médicos precisarem ser destruídos

O ciclo de vida dos registros médicos incluem também os procedimentos para a sua destruição. O fim da proteção dos dados não se resume no descarte das informações em uma lixeira. Afinal, as legislações existentes também definem os requisitos apropriados para esse processo.

Existem diferenças nas informações específicas contidas nos registros médicos e em outros documentos. Entretanto, as melhores práticas de segurança para todos os registros envolvem políticas seguras de retenção e destruição de documentos.

Quando se trata da destruição de registros médicos, existem leis de retenção obrigatórias para documentos que exigem que os registros médicos sejam mantidos por um período de tempo. Temos por exemplo a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), ela exige que os registros médicos sejam mantidos por seis anos a partir da data de sua criação ou último uso.

A HIPAA é uma legislação americana, mas leis federais brasileiras, como a LGPD, também possuem requisitos de retenção de documentos, onde trata dos cenários quanto ao período de retenção e descarte de registros médicos.

De qualquer maneira, quando o período de retenção de um prontuário médico terminar e o documento não tiver mais um propósito útil, ele deverá ser eliminado com segurança, pois o negligenciar só vai aumentar a probabilidade de divulgação acidental ou violação de dados.

Que tipos de registros médicos precisam ser protegidos?

As regras existentes de proteção e privacidade de dados exigem salvaguardas apropriadas para proteger as informações dos pacientes durante toda a vida útil do documento. Dessa forma, é fundamental conhecer quais tipos de informações existentes nos registros médicos e demais documentos utilizados em procedimentos de atendimento que precisam ser protegidos.

Os exemplos mais comuns são os seguintes:

  • Nomes;
  • Identificadores geográficos de localização;
  • Números de telefone;
  • Endereço de e-mail;
  • Números de prontuários médicos;
  • Identificadores biométricos (por exemplo, impressão digital ou digitalização da retina);
  • Números de Seguridade Social;
  • Fotos de rosto inteiro e imagens comparáveis;
  • Números de beneficiários do plano de saúde;
  • Números de conta corrente, cartão de crédito ou qualquer documento financeiro;
  • Identificadores de veículo e números de série (incluindo placas);
  • Números de certificado ou licença;
  • Identificadores de dispositivo e números de série que possam ser associados a pacientes;
  • Números de endereço IP;
  • Números, características ou códigos de identificação exclusivos.

Vale destacar que a preocupação com a proteção e privacidade de informações aplicam-se a registros médicos em todos os formatos, tanto um registro eletrônico de saúde, quanto em papel. Por tanto, certifique-se de tomar as medidas adequadas ao coletar, processar, armazenar e descartar qualquer registro médico a fim de garantir sua conformidade com as legislações vigentes.

Anonimização é proteger a privacidade do indivíduo

Anonimização de dados, basicamente, é o uso de uma ou mais técnicas projetadas para tornar impossível, ou pelo menos mais difícil, identificar um indivíduo em particular a partir de dados armazenados relacionados a eles.

O objetivo da anonimização ou o anonimato de dados é proteger a privacidade do indivíduo, tornando assim seguro e legal o compartilhamento de dados. Os métodos de anonimização de informções incluem criptografia, hash e pseudonimização entre as principais técnicas.

O principal benefício do anonimato dos dados é permitir que as organizações aproveitem mais essas informações, habilitando o uso como análise e compartilhamento de dados de maneira consciente da proteção e privacidade.

Geralmente você deve anonimizar os dados confidenciais antes de compartilhá-los, protegendo assim a privacidade dos pacientes e titulares dos dados. A maioria das organizações faz isso classificando, criptografando, com uso de tokens ou hash em informações consideradas sensíveis de acordo com os requisitos de proteção e privacidade de dados.

Quais técnicas estão disponíveis para anonimizar dados?

Uma variedade de métodos está disponível e a escolha dependerá do grau de risco e do uso pretendido dos dados.

  • Substituição

Um método de substituição envolve a modificação do nome das pessoas integradas nos dados, mantendo a consistência entre os valores, como “código postal + cidade”.

  • Embaralhamento

Técnicas de embaralhamento envolvem uma mistura ou ofuscação de letras. Por exemplo: Maria pode se tornar “Iaram”. Às vezes, o processo pode ser reversível.

  • Mascaramento

Uma técnica de mascaramento permite ocultar parte dos dados com caracteres aleatórios ou outros dados.

  • Anonimização personalizada

Este método permite ao usuário utilizar sua própria técnica de anonimização. O anonimato personalizado pode ser realizado usando scripts ou um aplicativo.

  • Desfocagem

A desfocagem de dados usa uma aproximação dos valores dos dados para tornar seu significado obsoleto e/ou impossibilitar a identificação de indivíduos.

Proteger os dados do paciente com criptografia de dados

Informações pessoais de saúde são uma mina de ouro. Para muitos especialistas, essas informações são “100 vezes mais valiosas que os cartões de crédito roubados”.

Os possíveis usos indevidos dos dados de pacientes vão desde a venda de curas milagrosas falsas a pacientes desesperados até chantagens criminais.

Existem basicamente duas maneiras de proteger um documento que contém informações confidenciais contra hackers. Uma é proteger todos os terminais que levam a ele, para que os dados não sejam acessíveis aos hackers. 

O outro é criptografar os dados, para que, mesmo com os hackers conseguindo chegar ao documento, eles não consigam ler o conteúdo.

Em suma, ambas abordagens de proteção podem e devem ser usadas. Entretanto, dado o difícil ambiente operacional em que os profissionais médicos trabalham, a criptografia de dados de assistência médica é, por uma ampla margem, a ferramenta mais poderosa para proteger os dados dos pacientes.

A criptografia de ponta a ponta que abrange os dados em repouso nas unidades de armazenamento e os dados em movimento durante a transferência de arquivos oferece a proteção mais completa disponível para um documento durante todo o seu ciclo de vida.

Como o processo de criptografia pode ser automatizado, é possível implementa-lo com confiança, mesmo para usuários que não estão acostumados a pensar em segurança, como alguns profissionais de saúde, por exemplo.

As informações pessoais de saúde são uma mina de ouro que deve ser acessível apenas aos médicos e aos próprios pacientes. A criptografia de dados aplicada a assistência médica é uma maneira poderosa e confiável de garantir que se continue assim.

O futuro da segurança médica

Como mais dados eletrônicos estão disponíveis do que nunca, a segurança da troca de informações de saúde está se tornando uma preocupação cada vez mais importante, quando se trata de compartilhar informações entre sistemas com níveis variados de privacidade.

A proteção de registros médicos pode incluir desde biometria e autenticação em duas etapas até computação quântica, algoritmos difíceis de quebrar e a tecnologia Blockchain, que permite às informações digitais serem distribuídas, mas não copiadas.

Qualquer que seja o futuro, as inovações em segurança na saúde precisam passar pela adesão das leis que destacam a proteção e privacidade de dados, a exemplo da LGPD e aos padrões de criptografia, que fazem com que dados confidenciais sejam criptografados até que um destinatário com uma chave privada possa desbloquear as informações.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.