O artigo ” A LGPD e a Proteção de Dados em Sistemas de Informação em Saúde e Telemedicina” é o terceiro artigo da série especial escrito pelo Dr. Renato M.E. Sabbatini, PhD, CPHIMS, FACMI, FIAHSI para o Crypto ID® – Portal sobre Criptografia e Identificação Digital em que são abordados aspectos sobre identificação digital na prática da medicina no Brasil. Os artigos trazem conceitos e atualizações normativas sobre o tema
Por Renato M.E. Sabbatini, PhD, CPHIMS, FACMI, FIAHSI
Todo mundo sabe que todo e qualquer sistema de informações que contenha dados pessoais e sensíveis, principalmente quando esses dados são identificados, ou seja, podem ser referidos ao titular de dados, precisam implementar vários dispositivos e funcionalidades de proteção da confidencialidade, sigilo, privacidade etc.
Apesar desse conhecimento ser amplo e aceito, é impressionante como milhares de aplicativos e sistemas de informação em saúde os ignoram e não implementam de forma adequada ou completa esses controles.
Com isso, abrem os dados (que não pertencem aos controladores, e sim aos titulares) para toda sorte de abusos, violações de segurança e outros incidentes catastróficos).
As boas práticas, e, agora, a legislação, por meio da rigorosa Lei Geral de Proteção de Dados Pessoais brasileira, exigiriam uma abordagem dupla:
1- Tudo que o software e o sistema de gestão de bancos de dados (SGBD) e o sistema operacional (SO) podem garantir tecnicamente, em termos de proteção de dados, devem fazê-lo obrigatoriamente. Essa responsabilidade pertence, obviamente, ao desenvolvedor do sistema, seja ele comercialmente disponível ou por desenvolvimento próprio!
2 – Além disso, coisas que não dependem exclusivamente do software, que são processos, infraestrutura, políticas de segurança e proteção de dados, procedimentos (como fazer cópias de segurança e mantê-las em local separado), defesa de perímetro, contratos com terceiros etc. devem ser objeto de um Sistema de Gestão de Segurança da Informação (SGSI) competente e completo. Essa determinação vale para os fornecedores de sistemas na modalidade SaaS (Software as a Service), e também para todas as instituições que utilizam tais sistemas.
É importante notar que ambas valem também para plataformas de telemedicina, mesmo as mais simples.
A melhor abordagem para garantir a todos os interessados (pacientes, grupos de advocacia, governo, pagadores, instituições de serviço, clientes de sistemas) que essas boas práticas e compliance (respeito às normas e legislação vigentes) são implementadas e respeitadas, é procurar certificações por organizações independentes. Existem duas:
1 – Para os sistemas de software e BDs, a certificação de Sistemas de Registros Eletrônicos de Saúde, desenvolvida e auditada pela Sociedade Brasileira de Informática em Saúde desde 2007. Recentemente (novembro de 2020) a SBIS editou vários manuais novos de requisitos, cobrindo também PEP (Prontuário Eletrônico de Paciente) ambulatoriais e de consultórios isolados, bem como de telemedicina (teleconsulta, teleinterconsulta e teletriagem);
2 – Para o SGSI já existe há tempos no Brasil a norma certificável ISSO 27.001 e um conjunto de outras normas relacionadas referentes às boas práticas, como a ISO 27.002, e, especificamente para a área de saúde, a ISSO 27.799, ambas já traduzidas e publicadas pela ABNT (Associação Brasileira de Normas Técnicas).
A preparação para essas certificações é complexa, demorada e custosa, mas traz enormes vantagens e benefícios para seus portadores. Devem ser renovadas periodicamente, também, para manter sua validade (veja as referências ao final do artigo, para mais informações a respeito).
Com relação à segurança da informação, a SBIS especifica dois Níveis de Garantia de Segurança, ou NGS. Ambos são obrigatórios para plataformas de telemedicina. O NGS1 implementa requisitos comuns e necessários para qualquer sistema que se declare seguro. Alguns exemplos:
— O controle de autenticação de acesso aos aplicativos deve ter senha forte (8 caracteres, com no mínimo uma letra e um número), parametrizável, protegida por criptografia forte na base de dados, que expire regularmente. O sistema também deve implementar autenticação de dois níveis (por exemplo, senha mais biometria, ou código enviado para celular). As sessões devem ter tempo de expiração;
— Implementação de um subsistema completo de trilha de auditoria. Os registros da trilha não devem conter dados clínicos ou quaisquer que permitam a identificação do paciente (pseudo-anonimização);
— O sistema deve se responsabilizar por fazer e gerenciar as cópias de segurança, com controles de integridade na gravação e recuperação, e alerta automático de limiar de ocupação de disco atingido;
— Componentes dinâmicos utilizados no software (ActiveX, Applets etc.) devem ter controle de origem/autoria e integridade;
— Todos os dados e documentos devem ser armazenados exclusivamente no SGBD, de forma criptografada. Quaisquer arquivos que tenham sido gerados temporariamente fora do SGBD (por exemplo, para fins de interoperabilidade, visualização, assinatura etc.) devem ser excluídos após o término da operação, inclusive os que ficaram no cache e resquícios de arquivos XML após o seu processamento
— O S-RES deve permitir a criptografia de documentos eletrônicos exportados que contenham dados de saúde identificados (por exemplo, geração de arquivo do prontuário para visualização ou impressão) para fins de portabilidade, ou seja, armazenamento ou entrega ao paciente em mídia, dispositivo portátil ou removível (por exemplo, pen drive, CD-ROM ou notebook) ou envio (e-mail ou webservice).
— A comunicação entre os componentes distribuídos do SRES deve implementar os serviços de segurança de autenticação de parceiro, integridade e sigilo dos dados (por exemplo, é obrigatório o uso de certificados de sigilo SSL ou similar, e tecnologia HTTPS na comunicação entre cliente e servidor)
— O S-RES deve ter a possibilidade de exportar os registros eletrônicos assinados, de forma que seja possível efetuar a validação da assinatura digital externamente ao S-RES. Para a exportação de prescrições/receitas, solicitações de exames, atestados médicos e laudos, o SRES deve estar aderente às especificações apresentadas no documento
Em relação a algumas exigências da LGPD, a SBIS também tomou o cuidado de inclui-las entre os requisitos, como por exemplo, permitir:
— Termo de concordância sobre o uso do sistema e as políticas de privacidade sobre o tratamento apropriado das informações pessoais e de saúde
— Registro da contestação do paciente em relação às suas informações
— Registro de solicitações de esquecimento de dados dos prontuários de paciente. Porém, o armazenamento dos dados, sem direito a esquecimento, deve ser por no mínimo até 20 anos depois da morte ou falta de contato com o titular
— O termo de consentimento livre e esclarecido por parte do titular dos dados, especialmente em sessões de telemedicina, gravadas ou não.
— A anonimização e pseudo-anonimização de dados sensíveis e de identificação do paciente
Concluindo, o grau de conscientização dos fornecedores de soluções e dos seus usuários precisa aumentar muito ainda no Brasil, principalmente em face da LGPD. A busca de certificação certamente é uma garantia que se pode oferecer, auditada por organizações independentes, como a SBIS.
Auto declarações não são aceitas pelo mercado, não têm validade, pois não é prático para quem as adquire ou implementa fazer esse trabalho de auditoria.
Recorrer a consultores especializados e auditores internos para realizar uma boa preparação para as auditorias é algo também bastante recomendável, caso a organização não disponha de know-how próprio.
Referências:
- Sociedade Brasileira de Informática em Saúde: Certificação de Sistemas de Registro Eletrônico de Saúde. URL: http://www.sbis.org.br/certificacao-sbis
- Sociedade Brasileira de Informática em Saúde: “Especificações Técnicas para Exportação de Documentos Assinados Digitalmente”, São Paulo, novembro de 2020. Disponível na Internet. URL: http://www.sbis.org.br/certificacao/Especificacoes_Exportacao_Documentos_Assinados_Digitalmente_v1-0.pdf
- Sabbatini, Renato M.E. : Qual o Seu Nível de Segurança? Segurança da Informação e Proteção de Dados em Modelos SaaS em Saúde. Revista Healthcare Management 51: p. 56–59, 2020. Disponível na Internet. URL: https://link.medium.com/vedDqa0xcdb
- Sabbatini, Renato M.E.: Os Novos Requisitos de Assinatura Digital para a Certificação de Sistemas de Registros Eletrônicos de Saúde. Crypto ID, 30 de dezembro de 2021. URL: https://cryptoid.com.br/banco-de-noticias/os-novos-requisitos-de-assinatura-digital-para-a-certificacao-de-sistemas-de-registros-eletronicos-de-saude/
- Sabbatini, Renato M.E.: A certificação de plataformas de telemedicina para uso da assinatura digital. Crypto ID News. URL: https://cryptoid.com.br/identidade-digital-destaques/a-certificacao-de-plataformas-de-telemedicina-para-uso-da-assinatura-digital/
- Sabbatini, R.M.E. — A Norma ISO/IEC 27.799 para Gestão da Segurança da Informação em Saúde. Simpósio ABNT de Normas de Informação em Saúde Alinhadas com a e-Saúde, no Congresso Internacional eSaúde & PEP 2017, em São Paulo, Brasil, em 20 de setembro de 2017. Vídeo disponível na Internet. Revista de Segurança da Informação em Saúde, URL: https://medium.com/p/13263d921464
O Autor:
O Prof.Dr. Renato M.E. Sabbatini é um dos pioneiros da informática em saúde, saúde digital e telemedicina, com 50 anos de experiência profissional na área. É Fellow da International Academy of Health Sciences Informatics e do American College of Medical Informatics e foi presidente da Sociedade Brasileira de Informática em Saúde. Na área de segurança da informação, é auditor líder certificado pela Associação Brasileira de Normas Técnicas para a certificação ISO 27001 e foi coordenador associado do Grupo de Trabalho 4 (Segurança da Informação e do Paciente) da ABNT, onde foi o tradutor da norma ISO 27799. Atua também, desde 2010, como consultor de certificação de Sistemas de Registro Eletrônico de Saúde da Sociedade Brasileira de Informática em Saúde (SBIS) junto a empresas desenvolvedoras (www.educert.com.br).
Contato: renato@sabbatini.com
A certificação de plataformas de telemedicina para uso da assinatura digital. Por Renato Sabbatini
Os Novos Requisitos de Assinatura Digital para a Certificação de Sistemas de Registros Eletrônicos de Saúde. Por Renato Sabbatini
A LGPD e a Proteção de Dados em Sistemas de Informação em Saúde e Telemedicina. Por Renato Sabbatini
Entrevista com Dr. Renato Sabbatini, a maior autoridade em Tecnologia Médica do Brasil
A importância da análise de dados para avançar na assistência em saúde
Semana de webinars da BRy Tecnologia debate como inovar na desmaterialização de processos