Article image
Douglas Boldrini
Douglas Boldrini10/10/2024 19:30
Compartilhe

Desafios de Segurança da Informação da Telemedicina

  • #Segurança, Autenticação, Autorização
  • #DevSecOps
  • #Segurança da Informação

Este artigo visa expor os desafios de se proteger os dados de saúde dos pacientes, abordando resoluções e regulamentações, além das melhores práticas em cibersegurança.

Este tema além de importante, é muito particular, pois trabalho a mais de 10 anos com tecnologia e saúde. E um dos temas que mais me chamam atenção, motivo pelo qual depois da conslusão da minha faculdade eu ingressei em uma pós de segurança da informação.

Da oportunidade ao seu surgimento

A fim de se respeitar as orientações da Organização Mundial da Saúde (OMS) estabelecidas para o enfrentamento à pandemia da COVID-19, tais como a adoção medidas sanitárias de isolamento social, o Conselho Federal de Medicina reconheceu a possibilidade e eticidade do uso da Telemedicina no país.

Dessa forma, a Telemedicina surge como oportunidade de garantir a continuidade da realização de atendimentos para muitos consultórios médicos, ao mesmo tempo em que garante a proteção dos profissionais de saúde e seus pacientes do contágio do novo coronavírus.

Entretanto, para que o médico conseguisse realizar uma jornada de sucesso por essa nova forma de prestação de serviços, foi necessario a inevitável interação entre médico e a tecnologia.

Em paralelo surgiram muitas empresas de tecnologia oferecendo este tipo de serviço, ou integrando em seus proprios produtos funcionalidade de serviços de telemedicina.

Nasce o problema

Por outro lado, a fim de sair dos prontuários manuais e ir para os digitais, através de sistemas de agendamento, automatização e integração à fluxo de autorização de consultas e exames de operadoras, em meio a uma pandemia, muitos médicos e empresas de saúde, foram forçadas a tomar uma decisão, formalizando parceria com estas empresas de desenvolvimento baseado na necessidade sem uma análise critica do produto que estava sendo adquirido.

Em uma visão pessoal, para neste, ou em qualquer outro processo de aquisição, quando forçado por eventos como de uma pandemia global, nem sempre a requisito SEGURANÇA é levado em conta em uma integração ou aquisição de uma solução como esta. E um dos temas, de suma importância para que se realize a escolha de uma plataforma de serviços de saúde que agrege valor, e proporcione tranquilidade ao médico e ao paciente para realização de seus atendimentos é a SEGURANÇA.

A legislação

A prática da telemedicina no Brasil é subordinada aos termos da Resolução do Conselho Federal de Medicina (CFM) nº 1.643/2002, atualmente em vigor. Entretanto suas possibilidades foram expandidas, com o ofício (n° 1.756/2020 (Acesse aqui) emitido pelo Conselho Federal de Medicina ao Ministério da Saúde, no dia 19 de março de 2020, em que foi permitida a utilização da telemedicina em caráter excepcional como medida de auxílio para o enfrentamento da COVID-19.

Ademais, no dia 25 de março de 2020, foi publicada a Portaria (467/20) (Acesse aqui ) pelo Ministério da Saúde, que permitiu também a realização de Teleconsultas em caráter excepcional.

Após amplo debate, CFM regulamenta práticas da Telemedicina no Brasil, no dia 04 de Maio de 2022 foi publica a Resolução nº 2.314/2022 (Acesse aqui), que define e regulamenta a telemedicina no Brasil, como forma de serviços médicos mediados por tecnologias e de comunicação. A norma, fruto de um amplo debate reaberto em 2018 com entidades médicas e especialistas, passa a regular a prática em substituição à Resolução CFM nº 1.643/2002 e entra em vigor a partir da data de sua publicação.

Baseada em rígidos parâmetros éticos, técnicos e legais, a norma abriu as portas da integralidade para milhões de brasileiros que dependem exclusivamente do Sistema Único e Saúde (SUS) e, ao mesmo tempo, confere segurança, privacidade, confidencialidade e integridade dos dados dos pacientes.

Para assegurar o respeito ao sigilo médico, por exemplo, um princípio ético fundamental na relação com os pacientes, nos serviços prestados por telemedicina, a Resolução nº 2.314/2022 garante:

image

Print retirado da resolução 2.314/2022 (in.gov.br)

De acordo com a nova resolução:

  • O atendimento por telemedicina deve ser registrado em prontuário médico físico ou no uso de sistemas informacionais, em Sistema de Registro Eletrônico de Saúde (SRES) do paciente, atendendo aos padrões de representação, terminologia e interoperabilidade.
  • Os dados de anamnese e propedêuticos e os resultados de exames complementares, e a conduta médica adotada, relacionados ao atendimento realizado por telemedicina também devem ser preservados, sob guarda do médico responsável pelo atendimento em consultório próprio ou do diretor técnico, no caso de interveniência de empresa ou instituição.

Não há dúvida de que esta inovação tecnológica traz uma grande contribuição para o atendimento dos pacientes, mas, como em qualquer ato de saúde, o paciente precisa ter certeza de que existe uma estrutura de governança confiável no local. A qualidade e a segurança do atendimento deve ser uma prioridade nesses pontos de atendimento.

Além da resolução que garante a possibilidade do uso da Telemedicina, atualmente, existem normas e leis que visam garantir a segurana e a privacidade. Das quais posso citar:

  • HIPAA: Lei norte-americana que vem servindo de inspiração para hospitais do nosso país. Estar em conformidade com a HIPAA demonstra uma maior maturidade da segurança das informações das instituições
  • LGPD: Lei Geral de Proteção de Dados no Brasil que visam garantir um cuidado com a proteção das informações de pacientes transmitidas entre sistemas de hospitais, clinicas e operadoras de saúde.

HIPAA

HIPAA (Health Insurance Portability and Accountability Act) é um conjunto de normas que organizações de saúde norte-americanas devem cumprir para proteger as informações. Em português, seria traduzida como Lei de Portabilidade e Responsabilidade de Seguro Saúde.

A norma HIPAA ganhou visibilidade quando houve uma série de crimes cibernéticos nos Estados Unidos: um sequestro de dados dos sistemas de hospitais provocou prejuízos inestimáveis à imagem dessas instituições, além das possíveis chantagens em troca de pequenas fortunas, que já acontecem em vários hospitais.

Por isso, quando falamos em HIPAA, estamos tratando diretamente sobre a segurança das informações de saúde.

Suas normas abrangem:

  • Entidades cobertas: prestam ou pagam por serviços de saúde, como clínicas, planos de saúde, provedores de cuidados de saúde, hospitais e outros estabelecimentos;
  • Entidades Híbridas: organizações que exercem parte de suas funções cobertas pela HIPAA, como as universidades que possuem hospitais.

Como a Compliance se aplica à HIPAA?

Pensar em compliance, ou, estar conforme a HIPAA é pensar em se adequar às normas que ela estabelece.

Elas são abrangentes e objetivas, abordando a identificação e a proteção contra ameaças à segurança ou à integridade da informação, bem como contra usos ou divulgações não autorizadas, ou inadmissíveis. A norma HIPAA também foca em confidencialidade, integridade e disponibilidade das informações protegidas de saúde.

No entanto, ela não aborda somente questões gerais. Pensar em HIPAA, o que é e como se adequar, é também pensar nas questões técnicas. Isso inclui uma avaliação sobre tamanho, complexidade e capacidade da instituição. No mesmo sentido, é preciso entender e analisar a infraestrutura técnica, de hardware e software, os custos das medidas de segurança, e o possível impacto dos riscos potenciais.

Quais os benefícios da HIPPA?

Estar conforme a HIPAA auxilia as instituições de saúde a atenderem a muitos preceitos da LGPD. As duas normas são, inclusive, coincidentes em diversos aspectos. Por isso, os benefícios são muito semelhantes àqueles proporcionados pela Lei Geral de Proteção de Dados. Tanto para a organização quanto para os cidadãos.

No entanto, é preciso destacar que a HIPAA é uma norma norte-americana que aprofunda questões técnicas de infraestrutura que a LGPD, lei brasileira, não aborda. Assim, ambas devem ser consideradas complementares, sendo a norma HIPAA uma forma para atender à LGPD com ainda mais segurança técnica.

HIPAA: Segurança da informação

Após entender HIPAA, o que é e o que se considera na adequação, é mais fácil entender o motivo da norma ser relacionada à segurança da informação: ao focar em confidencialidade, integridade e disponibilidade das informações de saúde, a norma HIPAA valoriza os três pilares principais da segurança da informação.

Por isso, a organização de saúde deve ter especial atenção às suas vulnerabilidades. Identificá-las é importante para conseguir conformidade com a HIPAA. A gestão desses riscos traz grande valor para qualquer estabelecimento, seja de pequeno, médio ou grande porte.

Gateways de api com autenticação segura, Firewalls, antivírus, atualizações de sistemas, e outros mecanismos podem ajudar a ficar conforme a norma HIPAA. Agora que você sabe mais sobre HIPAA, deve estar se perguntando se existe uma Certificação HIPAA. Por se tratar de uma lei dos Estados Unidos, em nosso país, ela não é uma exigência, nem existem documentos oficiais que atestem a conformidade.

No Brasil, quando falamos de estar em compliance com a Certificação HIPAA, estamos falando de se adequar às normas de proteção das informações de saúde.

Por isso, hospitais buscam a conformidade com a norma HIPAA. Para serem vistos como instituições que atendem aos mais rigorosos padrões internacionais de segurança da informação. Isso é muito positivo, porque os pilares dessa certificação estão também muito alinhados com a LGPD.

LGPD

Com o elevado tráfego e compartilhamento de dados pessoais e dados pessoais sensíveis, realizado em ambiente interconectado e totalmente digital, o risco de ocorrer tratamento irregular e incidente de segurança é alto.

O direito e a ética ainda não traçaram "com exatidão" o caminho seguro a ser trilhado, especialmente em relação à privacidade, à segurança da informação, ao sigilo profissional, e à responsabilidade do médico quanto ao armazenamento e ao compartilhamento seguro e regular de dados pessoais sensíveis de saúde.

Desde 2020, clínicas médicas, hospitais, consultórios e demais estabelecimentos na área da saúde precisam manter seus sistemas adequados à Lei Geral de Proteção de Dados (LGPD). A LGPD na Saúde ainda pode passar por mudanças, mas profissionais da saúde e diretores dessas instituições devem estar atentos para adaptar seus processos e culturas internas de forma a garantir a segurança de dados de seus pacientes.

É importante entender estas alterações e contatar especialistas da área de TI e serviços que atendam essas exigências. Isso porque as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$ 50 milhões.

Publicada no Diário Oficial da União em agosto de 2018, a lei número 13.709 fecha o cerco contra o compartilhamento de informações de clientes/pacientes sem consentimento.

A LGPD na Saúde ainda pode passar por alterações, mas pontuamos a seguir as principais alterações as quais gestores da área da saúde devem estar atentos de acordo com o que diz a lei hoje. Veja a seguir:

  1. Dados de pacientes só poderão ser coletados e armazenados em sistemas com a autorização dos mesmos. Isso vale tanto para prontuários que serão criados daqui para frente quanto para dados que já estão no sistema. Isso quer dizer que as clínicas médicas terão de ir atrás dos pacientes já cadastrados no sistema para buscar esta autorização;
  2. A medida anterior vale para toda transação de informação, não necessariamente só para a parte eletrônica, ou seja, dados registrados em papel, por exemplo, também precisarão da autorização;
  3. As mudanças previstas na LGPD na Saúde se aplicam a um vasto número de situações, como telemedicina, cobrança de serviços de saúde via TISS (Troca de Informações em Saúde Suplementar), SUS, intercâmbio de informações entre diferentes S-RES (como pedidos de exames de laboratórios), entre outros;
  4. Mensagens trocadas entre médicos e pacientes via Whatsapp ainda poderão ser feitas, mas além da necessidade de serem criptografadas (o que o aplicativo já faz), as caixas postais com mensagens persistentes também terão de ser protegidas, já que contêm identificação da pessoa;
  5. Empresas terão de nomear um responsável interno para proteção dos dados ou terceirizar a gestão de segurança de informação, conforme as normas de contratação de parceiros de negócios, como a norma ISO 27.001 e ISO 27.799 (esta é especial para a área da saúde);
  6. Se a empresa contratada para proteção dos dados dos pacientes não tiver um sistema realmente seguro e houver qualquer fator que mostre quebra deste protocolo, o contratante do serviço também é responsabilizado pelo ato;
  7. Os pacientes terão o direito de saber quais dados deles constam no sistema e para que finalidade essas informações serão utilizadas. Estes dados também deverão estar disponíveis para a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que editará normas e fiscalizará procedimentos relacionados à segurança dos dados pessoais dos usuários;
  8. Os dados pessoais dos pacientes, assim como todas as transmissões de informações no sistema, deverão ser criptografados e, depois de cumprirem o objetivo; devem ser apagados;
  9. O envio de informações para as operadoras referente ao faturamento não precisará de consentimento, mas se houver dados clínicos mais detalhados, como um relatório médico, já não há clareza absoluta sobre a necessidade do documento.,

Como garantir a segurança de dados dos pacientes

Para se blindar deste tipo de situação, as clínicas e hospitais devem contratar serviços com tecnologia de ponta, que garantam de fato a segurança dos dados dos pacientes, além da adoção das melhores práticas na arquitetura de suas integrações.

Recomenda-se que:

  • Façam uma auditoria interna com um especialista em segurança da informação e proteção de dados pessoais para que verifiquem o que está ou não em conformidade com a lei e suas sanções, providenciando que todas as informações de bancos de dados e para transmissões ou transações digitais sejam criptografadas.
  • Implementem uso de assinatura digital (que consta na Lei de Digitalização do Prontuário, de 27 de dezembro de 2018).
  • Elaborarem documento de consentimento em suas jornadas de atendimento, informando aos pacientes o fluxo de coleta e tratamento das informações, inclusive para as informações cadastrais.
  • Certifiquem que seus fornecedores de softwares e bancos de dados e provedor de hospedagem, por exemplo, também estejam adequados às novas regras, garantindo a certificação de segurança para os softwares e aplicativos que contenham informações de pacientes.
  • Implementem as melhores praticas e padrões de arquitetura em suas integrações, usando como por exemplo gateway de apis, afim de se garantir escalabilidade de forma segura.

Além dos cuidados com a segurança oferecida pelos sistemas utilizados e em adequar as tecnologias já utilizadas à nova lei, profissionais da saúde precisarão rever a segurança na troca de informações em alguns processos usuais.

Embora a troca de mensagens via aplicativos ou redes sociais, como o Whatsapp, não estejam proibidas, com a LGPD, os profissionais da área da saúde devem ficar atentos aos riscos assumidos para permanecer dentro das exigências.

Compartilhe
Comentários (1)
Carlos Nascimento
Carlos Nascimento - 13/10/2024 05:54

Excelente artigo! Muito interessante a aplicabilidade da segurança da informação a saúde.