Saúde e tecnologia caminham de mãos dadas. Essa afirmação é confirmada pela forma como a informação em tempo-real vem assumindo um papel de destaque na tomada de decisões na prática da medicina. Por isso, o segmento deve tomar algumas precauções, uma vez que lida com dados sigilosos tanto de pacientes como de empresas do ramo. É neste ponto que entra a segurança da informação. Porém, no Brasil, ao contrário de outros países, essa é uma realidade que começa a ser enxergada há bem pouco tempo.
Nos Estados Unidos, por exemplo, esta preocupação é mais antiga. Em 1996, foi criada a HIPAA (Health Insurance Portability and Accountability Act) que é uma lei de portabilidade de seguros médicos projetada para resguardar, por meio de padrões de segurança e legislação federal de privacidade, as informações de assistência de saúde. Essa lei define exigências para o armazenamento dos dados eletrônicos do pacientes antes, durante e após o atendimento médico.
Apesar de ainda estarmos atrás dos EUA e Europa no quesito segurança da informação na saúde, alguns órgãos e organizações já começam a prestar atenção ao setor, criando grupos de estudos e análises. Um exemplo claro disso foi à concepção do SBIS (Sociedade Brasileira de Informática em Saúde). A entidade tem como objetivo promover o desenvolvimento de todos os aspectos da tecnologia aplicada à saúde. Como não existe uma especificação formal, esse órgão trabalha junto com o Conselho Federal de Medicina ? CFM ? para estabelecer padrões na área de atendimento para TI e garantir o sigilo dos dados.
Entre algumas iniciativas que vem sendo desenvolvidas estão a Resolução CFM 1638/2002 e a CFM 1639/2002 que garantem as normas técnicas para o uso de sistemas informatizados para a guarda e manuseio do Prontuário Médico; o Cadastro Nacional de Usuários do SUS, que identifica 133 milhões de pessoas cadastradas na base federal; e o Cadastro Nacional de Estabelecimentos e Profissionais de Saúde. Este identifica todas as empresas de saúde no País.
Além disso, a ABNT estabeleceu, em 2006, a Comissão Especial de Estudos em Informática em Saúde, também conhecido como TC-215 que concentra-se nos padrões de segurança da informação. Para 2010, a SBIS e o CFM estão trabalhando na especificação de um certificado ICP-Brasil para melhor atendimento das necessidades da área médica.
Este assunto torna-se ainda mais vital no momento em que a saúde no País passa por modificações como a municipalização, a implantação do Piso Assistencial Básico (PAB) e, principalmente, do projeto piloto do Cartão Nacional de Saúde. Estas inovações exigem a troca de informação num cenário distribuído que só poderá ocorrer se os modelos estiverem claramente definidos. Atreladas a este cenário, além dos riscos financeiros, estão questões jurídicas e, principalmente, éticas.
Um dos maiores desafios está em promover junto à entidades governamentais e órgãos reguladores a conscientização sobre os riscos envolvidos. Também é importante estender este esforço a todos os provedores de serviços da área de saúde para que possam oferecer soluções completas como: políticas de segurança e procedimentos operacionais, tecnologias seguras, especialmente criptografia, assinatura digital, autenticação e controle de acesso.
Para tal, devemos ficar atentos para as mudanças que ocorrem em TI e melhorar constantemente. O prontuário eletrônico, que nada mais é que o histórico do paciente em formato digital deve ser um destaque. Com ele, a confiabilidade das informações é garantida, além de possibilitar o mapeamento epidemiológico por meio de análises de cruzamento de dados clínicos, administrativos e gerenciais. Com aplicação adequada da tecnologia, médicos poderão ter acesso aos dados do paciente no local onde ocorrer um acidente ou, ainda, levantar e atualizar, em tempo real, dados que serão úteis para os atendimentos na chegada do paciente ao hospital.
Por conter dados sigilosos, tais como: nome, endereço, tratamento em andamento, histórico de doenças, alergias, exames e até a dosagem de remédio utilizado; é recomendado que os documentos estejam protegidos por um sistema de codificação, e que as chaves digitais utilizadas nestas operações sejam armazenadas e gerenciadas por um HSM (Hardware Security Module). O hardware funciona como um cofre digital e garante o sigilo por meio de criptografia e controle de acesso.
Assinaturas digitais também desempenham um papel importante, pois garantem a conferência da procedência e da integridade dos dados, uma vez que o prontuário eletrônico deve ser imune a alterações indevidas. Tais assinaturas devem ser integradas aos sistemas de workflow, gestão de documentos e operar em conjunto com aplicações de escritório utilizadas atualmente.
Médicos e enfermeiros, desde que devidamente identificados e autorizados, poderão ter acesso a informações de consultas e medicamentos prescritos anteriormente, doenças pré-existentes ou crônicas, alergias e tratamentos, em qualquer unidade de saúde, tornando os atendimentos mais ágeis e assertivos.
Hospitais, laboratórios, planos de saúde, clínicas estão cada vez mais interconectados, enquanto a indústria farmacêutica, seguradoras e empresas privadas começam a perceber o valor de tais informações consolidadas. Por isso, a preocupação com integridade e sigilo deve ser uma prioridade. Imagine o efeito nas ações de uma empresa se for divulgado que o principal líder de uma empresa possui uma enfermidade grave? Quantas empresas contratantes não gostariam de saber se uma pessoa tem uma doença pré-existente ou crônica? É correto que uma empresa de planos de saúde e previdência tenha acesso aos dados de prontuário de possíveis clientes? Qual o valor de tais informações? Para garantir a ética e impedir a divulgação não autorizada de dados, o setor de saúde deve apostar na segurança dos dados.
Pedro Goyn é presidente da True Access Consulting ? empresa especializada em segurança da informação