Assinatura Digital

Segurança da informação – Práticas e regulação em saúde

Segundo a Pesquisa TIC Saúde 2016, organizações de saúde possuem uma arquitetura tecnológica complexa. Nela coexistem diversos sistemas tradicionais utilizados para suportar a operação. Por exemplo, registro eletrônico de dados do paciente, websites para prover serviços variados (agendamentos de exames e consultas, informações sobre preparos relacionados a exames e acesso a resultados diagnósticos, entre outros), sistemas de logística, administração, finanças, recursos humanos e educação. Diante disso, como ficam as práticas em relação a segurança da informação?

À medida que a tecnologia da informação evolui, as organizações de saúde e os profissionais passam a demandar novas funcionalidades. Além disso, também se torna necessária uma maior integração entre os sistemas. Os departamentos de TI das organizações enfrentam diversos desafios de performance, estabilidade, integridade dos dados e segurança das informações. De acordo com a Symantec, organizações de saúde norte-americanas gastam em média 6% do seu orçamento de TI com segurança. Enquanto isso, organizações do setor financeiro despendem 13% e o governo federal americano gasta em média 16% (Symantec Corporation, 2016).

Os dados da saúde são valiosos

As complexas práticas de produção e gestão de dados da saúde ajudam a torna-la especialmente suscetível a riscos na esfera digital. Dados relacionados a condição de saúde e, sobretudo, às doenças de pessoas ou populações são especialmente valiosas no mundo moderno.

Do ponto de vista dos indivíduos, o mau uso dessas informações pode ser especialmente prejudicial. Afinal, informações sobre a saúde, ou mesmo as fragilidades das pessoas, expõem alguns dos seus aspectos mais íntimos e vulneráveis.

Por isso, as soluções que armazenam e gerenciam informações de saúde devem ser desenvolvidas de acordo com as melhores práticas. Junto a isso, deve-se pensar também nas garantias de confidencialidade, disponibilidade e integridade dos dados.

Falta de cuidado por parte das instituições

A pesquisa TIC Saúde 2015, coordenada pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), trouxe um dado alarmante: somente 24% dos estabelecimentos de saúde que utilizaram a internet nos 12 meses anteriores à realização do estudo possuíam uma politica de segurança da informação (PSI). A proporção dos que possuíam o documento era maior entre os grandes estabelecimentos. Aqueles com área de internação com mais de 50 leitos (48%). A elaboração de uma politica de segurança da informação é um dos primeiros passos para que uma instituição de médio ou grande porte possa funcionar adequadamente. Vemos assim que a situação é crítica, faltam práticas de segurança digital.

De maneira geral, os números indicam que as instituições realmente procuram implementar alguns controles de segurança da informação. Entretanto, de forma heurística e sem uma formação conceitual mínima para a elaboração de uma politica de segurança da informação. Isso revela a necessidade de melhor capacitação das equipes de tecnologia em saúde, assim como maior atenção à segurança digital.

A esfera legal

O Brasil ainda não possui uma lei federal específica sobre privacidade e proteção de informações pessoais no ambiente eletrônico. Alguns instrumentos que orientam as práticas nesse sentido são:

  • O código de Defesa do Consumidor (Lei n. 8.078, de 11 de setembro de 1990). Ele garante ao consumidor o acesso a todas as informações existentes sobre ele utilizadas pelo fornecedor. Além disso, garante também a imediata correção dos seus dados;
  • A Regulamentação do Comércio Eletrônico (Decreto n. 7.962, de 15 de março de 2013). Exige que o fornecedor utilize mecanismos de segurança eficazes para o pagamento e para o tratamento de dados do consumidor;
  • O Marco Civil da Internet (Lei n. 12.965 de abril de 2014). Sua seção “Da proteção aos registros, aos dados pessoais e às comunicações privadas” define regras para proteger informações pessoais. Elas estão dividas em três artigos. O artigo 10° indica que a guarda e disponibilização dos registros de conexão e acesso a aplicações, dos dados pessoais e das comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas; O artigo 11º fala sobre coleta, armazenamento, guarda, tratamento de registros ou comunicação coletados, ao menos parcialmente, no Brasil. Eles deverão respeitar a legislação brasileira e os direitos à privacidade e sigilo. Isto ocorre independente da matriz da empresa ser baseada no exterior; O artigo 12° estabelece as sanções aplicadas. Elas variam de suspensão dos serviços à multa de até 10% do faturamento do grupo no Brasil.

Orientações importantes

Com relação às pessoas, o melhor investimento é um contínuo processo de conscientização, abordando vários aspectos relativos à segurança cibernética. Entre as práticas mais recomendadas, destaca-se ter uma comunicação constante, simples, que procure passar poucos conceitos de cada vez.

Para complementar, é possível seguir algumas orientações gerais relativas à segurança de dados na utilização de sistemas de informação nas instituições de Saúde:

  • Os acessos às informações devem ser sempre identificados (por meio de senhas);
  • As senhas são pessoais e intransferíveis;
  • A importância da responsabilidade pela guarda das senhas deve ser compreendida pelos profissionais;
  • Ao finalizar sua atuação no sistema, os profissionais devem “fechar” aquela sessão de trabalho. Assim, impedirão que outros possam acessar as informações;
  • Os profissionais devem acessar as informações somente daqueles indivíduos aos quais estão prestando cuidados naquele momento;
  • Os profissionais não devem compartilhar informações de pacientes – ainda que não pareçam, num primeiro momento, sensíveis – em redes sociais;
  • Os profissionais devem ser treinados para identificar e-mails e links suspeitos. Na duvida, a recomendação é para não abri-los;
  • Os profissionais devem evitar trocar informações sensíveis – dados de pacientes, por exemplo – em e-mails, redes sociais ou aplicativos de comunicação que não sejam os institucionais;
  • Finalmente, as consequências pela falta de adesão a estas recomendações devem ser claras.

O artigo completo, escrito por Luis Gustavo Kiatake, com colaboração de Ricardo Santoro, CIO do Hospital Israelita Albert Einstein, e com Vladimir Pizzo, CMO (Chief Medical Officer) do Hospital Sírio-Libanês, está na ultima edição da pesquisa TIC SAÚDE, publicada pelo comitê gestor da Internet no Brasil.
Para acessar o material, clique aqui!

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.