Temos recebido muitas interações sobre certificação digital aplicada aos estabelecimentos de saúde, então, procuramos a E-VAL que é uma das empresas com maior especialização em certificação digital na área de saúde, e também, a que implantou no Brasil o maior número de projetos neste segmento para nos ajudar a responder as questões levantadas por nossos leitores.
Prontamente a E-VAL nos atendeu e as perguntas foram respondidas diretamente por Luis Gustavo Kiatake, diretor executivo da E-VAL.
Engenheiro Elétrico pela Escola Politécnica da USP que atua há mais de 16 anos em Pesquisa e Desenvolvimento, Ensino e no mercado de Tecnologia de Comunicação e Informação.
CryptoID: Desde quando a E-VAL atua no setor de Saúde? E porque se direcionaram a este mercado?
Kiatake: A E-VAL iniciou a participação no mercado de saúde em 2005, com a contribuição aos requisitos de segurança do processo de certificação de Sistemas de Registro Eletrônico (S-RES) do convênio entre a Sociedade Brasileira de Informática em Saúde (SBIS) e o Conselho Federal de Medicina (CFM), e em seguida, em 2006, com o estabelecimento da Comissão de Estudo Especial de Informática em Saúde, quando contribuímos com a relatoria do Grupo de Trabalho em Segurança.
Esse direcionamento se deu no sentido de termos identificado uma potencial contribuição de nossa parte com a expansão da informatização da área da saúde, trazendo o conhecimento já consolidado na área da segurança da informação e criptografia junto ao setor financeiro à ICP-Brasil e nossas contribuições junto ao comitê de segurança da informação da ABNT.
CryptoID: Quantos estabelecimentos de Saúde existem no Brasil e, aproximadamente, quantos utilizam registros eletrônicos?
Kiatake: Segundo a pesquisa TIC Saúde 2013, realizada pelo CETIC.br, o Brasil possuía 89.141 estabelecimentos de saúde. Destes, cerca de 5.000 possuem internação até 50 leitos e outros 2.500 acima de 50 leitos, 70 mil não possuem internação e 11 mil são laboratórios.
Os resultados da pesquisa indicaram que cerca de 22% das instituições possuem registros eletrônicos de saúde que incluem dados de enfermagem.
CryptoID: Tramita no Senado Federal Projeto de lei 167/2014, que autoriza a digitalização ou microfilmagem de documentos do setor de saúde desde que seja aplicada a certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Em sua opinião, quais serão os benefícios gerados com a aprovação desta lei?
Kiatake: Já temos em vigor a Lei 12.682 de 9/9/2012 que exige que toda digitalização precisa da aposição de um certificado ICP-Brasil, e a Lei 12.865, de 9/10/2013, que permite à equivalência legal ao documento digitalizado no âmbito do sistema financeiro nacional. Essa é uma questão sem volta!
No caso do PLS 167/2014, o grande benefício será a maior clareza jurídica para o descarte dos documentos em papel existentes, liberando às instituições espaço físico hoje alocado ao SAME e acabando com o ônus da manipulação da imensa quantidade de prontuários em papel existente.
Alguns juristas, no entanto, já sinalizam que isso já é possível com o suporte legal atual bastando as instituições estarem com bom suporte jurídico e técnico.
Para o caso de documentos médicos, lembramos que a resolução CFM 1821/2007 ainda indica que, para não haver o suporte em papel, o sistema deve seguir as especificações do manual SBIS/CFM, o qual possui uma sessão específica sobre digitalização.
CryptoID: A adoção pelos centros de saúde do Prontuário Eletrônicos do Paciente – PEP é opcional para todas as atividades do setor? O que diz a CFM?
Kiatake: O prontuário do paciente é um documento obrigatório, regulado pelos conselhos de classe de atividades em saúde, como o CFM, CFO, COFEN etc.
No caso da adoção de meios eletrônicos para esses registros, o Conselho Federal de Medicina (CFM) por meio de sua resolução CFM 1821/2007, autoriza essa prática, desde que o sistema de registro siga os requisitos do manual de certificação de S-RES da SBIS. Ainda salienta que, para não existir o suporte em papel, é ainda necessário satisfazer o Nível de Garantia de Segurança 2 (NGS2) do referido manual, o qual estabelece as questões técnicas de geração da assinatura digital com utilização de certificados ICP-Brasil.
O Conselho de Odontologia publicou a resolução CFO 91/2012, com o mesmo teor, e o Conselho de Enfermagem publicou a resolução 429/2012 indicando a necessidade de assinatura digital quando os registros são somente eletrônicos.
CryptoID: Além de soluções para instalação do PEP a E-VAL desenvolveu um sistema próprio para gestão hospitalar?
Kiatake: Não. A E-VAL não possui um sistema de gestão hospitalar.
Nossa grande especialidade é o desenvolvimento de sistemas de assinatura digital e segurança e seus serviços correlatos de emissão de certificados e implantação desses projetos nas instituições de saúde, já que essa atividade possui muitas e detalhadas questões técnicas, que nossa experiência de mais de 10 anos em implantações corporativas nos propiciou.
Trabalhamos em intensa parceria com os maiores desenvolvedores de PEP do país há mais de 6 anos, não só provendo componentes, mas orientação na implementação e no impacto clínico.
CryptoId: Em quantos centros de saúde já foram instados o PEP ?
Kiatake: Em cerca de 60 centros de saúde, desde pequenas unidades básicas de saúde à grandes complexos hospitalares.
CryptoId: Poderia citar alguns centros de saúde em que já implementaram a certificação digital?
Kiatake: Complexo do Hospital das Clínicas da Universidade de São Paulo (HC-USP), que inclui o Instituto do Câncer do Estado de São Paulo (ICESP), nosso primeiro cliente; Hospital Samaritano; Unimed Recife; Unimed Volta Redonda; Unimed Campinas, entre outros.
CryptoID: Você poderia descrever simplificadamente como funciona sua solução de assinatura digital? Utilizam HSM?
Kiatake: A solução trabalha de forma híbrida, tanto viabilizando a assinatura em dispositivos portáteis como cartões e tokens, como em repositórios centralizados, como um HSM.
CryptoID: Em quais procedimentos a assinatura digital é exigida?
Kiatake: A assinatura digital gerada com certificados ICP-Brasil é obrigatório em qualquer instituição de saúde que não imprime o registro e apõe a assinatura do profissional de saúde responsável pelo ato clínico, independentemente do procedimento clínico, ou se é um profissional médico, de enfermagem, ou da equipe multidisciplinar, ou seja, se não imprime precisa da assinatura digital ICP-Brasil, ou então não está em conformidade com a regulamentação nacional.
CryptoID: Os projetos são customizados?
Kiatake: Em geral projetos são sim customizados, de forma a se caracterizar em um projeto, com especificação, requisitos, testes, homologações, e uma gestão das atividades e cronograma.
CryptoID: Tecnicamente o certificado digital que é instalado no HSM é um certificado A1 ou A3? Pessoa física ou jurídica?
Kiatake: O ITI já se manifestou indicando viável o armazenamento de um certificado pessoa física em HSM.
Para assinaturas de procedimentos clínicos por profissionais de saúde, não parece pertinente a utilização de um certificado de pessoa jurídica, ainda que haja uma relação contratual empresarial entre o profissional e a instituição.
O certificado tipo A1, por sua natureza de não associação a um dispositivo específico, permite seu armazenamento em qualquer mídia.
Já o certificado tipo A3 é intrinsecamente associado a uma mídia específica, seja o cartão ou o HSM, que precisa ser obrigatoriamente homologado pela ICP-Brasil e configurado conforme a homologação.
Além disso, é necessária uma garantia para a Autoridade Certificadora de que o certificado foi, de fato, gerado naquele dispositivo. No caso do uso de HSM, essas questões são mais contestáveis, de forma que é necessário um posicionamento da ICP-Brasil e do ITI sobre o tema, antes de sua utilização. Estamos trabalhando nessa questão, mas que ainda não finalizou.
Agora, vamos as dúvidas dos médicos.
Tenho um certificado digital que está em um HSM do hospital. Posso utilizar meu certificado digital em outros hospitais? Como?
Kiatake: Em princípio, isso não é possível, a não ser que haja um acordo de cooperação entre os hospitais, o que não é tão simples, e o consentimento do titular do certificado.
Corro algum risco em deixar meu certificado digital de posse do hospital?
Kiatake: Sem dúvidas. É necessário que o titular esteja confortável com os procedimentos de segurança implementados. Um deles, é que haja uma autenticação específica para a geração da assinatura, de forma que ninguém tenha acesso às chaves sem essa senha ou biometria, incluindo os administradores técnicos de bases de dados ou de sistemas das instituições e dos fornecedores.
Se me desligar do hospital como faço para pegar meu certificado digital de volta?
Kiatake: Em caso de desligamento, o profissional titular do certificado poderá revoga-lo, em processo equivalente ao bloqueio de um cartão de crédito. Se o certificado for custeado pela instituição, a mesma também poderá revogá-lo no momento de um desligamento. No caso do certificado ter sido custeado pelo profissional e fornecido ao hospital, o profissional pode manter consigo uma cópia de segurança. O sistema do hospital deve possuir uma interface de gerenciamento de certificados que permita, ao menos, apagar o certificado em questão.
Posso ter mais que um certificado digital ICP-Brasil?
Kiatake: Sim. Apesar de não ser exatamente o propósito dos certificados digitais ICP-Brasil, não temos ainda o esperado Registro de Identificação Civil (RIC) em formato eletrônico e com certificado digital, assim como ainda não possuímos os Certificados de Atributo, que poderão ser gerados pelos conselhos de classe e instituições de saúde atestando uma determinada condição sobre uma pessoa, como titulação, especialização ou cargo. Enquanto isso, é sim possível uma pessoa possuir mais de um certificado digital ICP-Brasil.
Quais são os benefícios que a Certificação Digital pode trazer ao meu consultório diretamente e aos meus pacientes?
O benefício direto e mais comentado à instituição é não ser mais necessária a manutenção dos prontuários em papel. Contudo, há outro aspecto de segurança envolvido, como a garantia da integridade daquela informação, de forma que não é possível uma adulteração sem deixar evidências. Por mais segura que seja a proteção de um sistema informatizado e uma base de dados, a integridade e autoria do documento se perde quando essa informação deixa aquele sistema. A certificação digital garante essa questão a cada documento assinado, que pode ser uma evolução, prescrição, encaminhamento, etc.
Os pacientes também poderão receber e armazenar essa informação com essas propriedades, de um documento íntegro assinado pelo profissional e com validade jurídica. Isso já acontece no caso de atestados médicos, e estamos em grande discussão de utilizar esse formato para receitas médicas com aceitação pelas farmácias.
Agradecemos a E-VAL e ao Luis Gustavo Kiatake pela entrevista, e em breve, voltaremos ao tema quando ele vai nos apresentar alguns cases de sucesso com os benefícios reais gerados para as instituição que implementou a Certificação Digital em seus processos.
Se você tem outras perguntas a fazer, envie-nos uma mensagem ou faça seus comentários abaixo deste artigo.
Sobre Luis Gustavo G. Kiatake
Graduado e mestre em Engenharia Elétrica pela Escola Politécnica da USP. Atua há mais de 16 anos em Pesquisa e Desenvolvimento, Ensino e no mercado de Tecnologia de Comunicação e Informação. Pesquisador do Laboratório de Sistemas Integráveis (LSI) da EPUSP por 8 anos, desenvolveu projetos nas áreas de imagens médicas, computação de alto desempenho, transmissão multimídia e redes de alta velocidade. Atualmente, é diretor executivo da E-VAL tecnologia, empresa focada em Desenvolvimento e Soluções de Segurança, Certificação Digital e BI, como plataformas para assinatura digital, serviços de hacker ético e sistemas de detecção de fraudes.