Últimas notícias

Fique informado

A LGPD e a Proteção de Dados em Sistemas de Informação em Saúde e Telemedicina. Por Renato Sabbatini

21 de janeiro de 2021

O artigo ” A LGPD e a Proteção de Dados em Sistemas de Informação em Saúde e Telemedicina” é o terceiro artigo da série especial escrito pelo Dr. Renato M.E. Sabbatini, PhD, CPHIMS, FACMI, FIAHSI para o Crypto ID® – Portal sobre Criptografia e Identificação Digital em que são abordados aspectos sobre identificação digital na prática da medicina no Brasil. Os artigos trazem conceitos e atualizações normativas sobre o tema

Por Renato M.E. Sabbatini, PhD, CPHIMS, FACMI, FIAHSI

certificação — Renato M.E. Sabbatini – PhD, CPHIMS, FIAHSI, FACMI

Todo mundo sabe que todo e qualquer sistema de informações que contenha dados pessoais e sensíveis, principalmente quando esses dados são identificados, ou seja, podem ser referidos ao titular de dados, precisam implementar vários dispositivos e funcionalidades de proteção da confidencialidade, sigilo, privacidade etc.

Apesar desse conhecimento ser amplo e aceito, é impressionante como milhares de aplicativos e sistemas de informação em saúde os ignoram e não implementam de forma adequada ou completa esses controles.

Com isso, abrem os dados (que não pertencem aos controladores, e sim aos titulares) para toda sorte de abusos, violações de segurança e outros incidentes catastróficos).

As boas práticas, e, agora, a legislação, por meio da rigorosa Lei Geral de Proteção de Dados Pessoais brasileira, exigiriam uma abordagem dupla:

1- Tudo que o software e o sistema de gestão de bancos de dados (SGBD) e o sistema operacional (SO) podem garantir tecnicamente, em termos de proteção de dados, devem fazê-lo obrigatoriamente. Essa responsabilidade pertence, obviamente, ao desenvolvedor do sistema, seja ele comercialmente disponível ou por desenvolvimento próprio!

2 – Além disso, coisas que não dependem exclusivamente do software, que são processos, infraestrutura, políticas de segurança e proteção de dados, procedimentos (como fazer cópias de segurança e mantê-las em local separado), defesa de perímetro, contratos com terceiros etc. devem ser objeto de um Sistema de Gestão de Segurança da Informação (SGSI) competente e completo. Essa determinação vale para os fornecedores de sistemas na modalidade SaaS (Software as a Service), e também para todas as instituições que utilizam tais sistemas.

É importante notar que ambas valem também para plataformas de telemedicina, mesmo as mais simples.

A melhor abordagem para garantir a todos os interessados (pacientes, grupos de advocacia, governo, pagadores, instituições de serviço, clientes de sistemas) que essas boas práticas e compliance (respeito às normas e legislação vigentes) são implementadas e respeitadas, é procurar certificações por organizações independentes. Existem duas:

1 – Para os sistemas de software e BDs, a certificação de Sistemas de Registros Eletrônicos de Saúde, desenvolvida e auditada pela Sociedade Brasileira de Informática em Saúde desde 2007. Recentemente (novembro de 2020) a SBIS editou vários manuais novos de requisitos, cobrindo também PEP (Prontuário Eletrônico de Paciente) ambulatoriais e de consultórios isolados, bem como de telemedicina (teleconsulta, teleinterconsulta e teletriagem);

2 – Para o SGSI já existe há tempos no Brasil a norma certificável ISSO 27.001 e um conjunto de outras normas relacionadas referentes às boas práticas, como a ISO 27.002, e, especificamente para a área de saúde, a ISSO 27.799, ambas já traduzidas e publicadas pela ABNT (Associação Brasileira de Normas Técnicas).

A preparação para essas certificações é complexa, demorada e custosa, mas traz enormes vantagens e benefícios para seus portadores. Devem ser renovadas periodicamente, também, para manter sua validade (veja as referências ao final do artigo, para mais informações a respeito).

Com relação à segurança da informação, a SBIS especifica dois Níveis de Garantia de Segurança, ou NGS. Ambos são obrigatórios para plataformas de telemedicina. O NGS1 implementa requisitos comuns e necessários para qualquer sistema que se declare seguro. Alguns exemplos:

— O controle de autenticação de acesso aos aplicativos deve ter senha forte (8 caracteres, com no mínimo uma letra e um número), parametrizável, protegida por criptografia forte na base de dados, que expire regularmente. O sistema também deve implementar autenticação de dois níveis (por exemplo, senha mais biometria, ou código enviado para celular). As sessões devem ter tempo de expiração;

— Implementação de um subsistema completo de trilha de auditoria. Os registros da trilha não devem conter dados clínicos ou quaisquer que permitam a identificação do paciente (pseudo-anonimização);

— O sistema deve se responsabilizar por fazer e gerenciar as cópias de segurança, com controles de integridade na gravação e recuperação, e alerta automático de limiar de ocupação de disco atingido;

— Componentes dinâmicos utilizados no software (ActiveX, Applets etc.) devem ter controle de origem/autoria e integridade;

— Todos os dados e documentos devem ser armazenados exclusivamente no SGBD, de forma criptografada. Quaisquer arquivos que tenham sido gerados temporariamente fora do SGBD (por exemplo, para fins de interoperabilidade, visualização, assinatura etc.) devem ser excluídos após o término da operação, inclusive os que ficaram no cache e resquícios de arquivos XML após o seu processamento

— O S-RES deve permitir a criptografia de documentos eletrônicos exportados que contenham dados de saúde identificados (por exemplo, geração de arquivo do prontuário para visualização ou impressão) para fins de portabilidade, ou seja, armazenamento ou entrega ao paciente em mídia, dispositivo portátil ou removível (por exemplo, pen drive, CD-ROM ou notebook) ou envio (e-mail ou webservice).

— A comunicação entre os componentes distribuídos do SRES deve implementar os serviços de segurança de autenticação de parceiro, integridade e sigilo dos dados (por exemplo, é obrigatório o uso de certificados de sigilo SSL ou similar, e tecnologia HTTPS na comunicação entre cliente e servidor)

— O S-RES deve ter a possibilidade de exportar os registros eletrônicos assinados, de forma que seja possível efetuar a validação da assinatura digital externamente ao S-RES. Para a exportação de prescrições/receitas, solicitações de exames, atestados médicos e laudos, o SRES deve estar aderente às especificações apresentadas no documento

Em relação a algumas exigências da LGPD, a SBIS também tomou o cuidado de inclui-las entre os requisitos, como por exemplo, permitir:

— Termo de concordância sobre o uso do sistema e as políticas de privacidade sobre o tratamento apropriado das informações pessoais e de saúde

— Registro da contestação do paciente em relação às suas informações

— Registro de solicitações de esquecimento de dados dos prontuários de paciente. Porém, o armazenamento dos dados, sem direito a esquecimento, deve ser por no mínimo até 20 anos depois da morte ou falta de contato com o titular

— O termo de consentimento livre e esclarecido por parte do titular dos dados, especialmente em sessões de telemedicina, gravadas ou não.

— A anonimização e pseudo-anonimização de dados sensíveis e de identificação do paciente

Concluindo, o grau de conscientização dos fornecedores de soluções e dos seus usuários precisa aumentar muito ainda no Brasil, principalmente em face da LGPD. A busca de certificação certamente é uma garantia que se pode oferecer, auditada por organizações independentes, como a SBIS.

Auto declarações não são aceitas pelo mercado, não têm validade, pois não é prático para quem as adquire ou implementa fazer esse trabalho de auditoria.

Recorrer a consultores especializados e auditores internos para realizar uma boa preparação para as auditorias é algo também bastante recomendável, caso a organização não disponha de know-how próprio.

Referências:

Sociedade Brasileira de Informática em Saúde: Certificação de Sistemas de Registro Eletrônico de Saúde. URL: http://www.sbis.org.br/certificacao-sbis
Sociedade Brasileira de Informática em Saúde: “Especificações Técnicas para Exportação de Documentos Assinados Digitalmente”, São Paulo, novembro de 2020. Disponível na Internet. URL: http://www.sbis.org.br/certificacao/Especificacoes_Exportacao_Documentos_Assinados_Digitalmente_v1-0.pdf
Sabbatini, Renato M.E. : Qual o Seu Nível de Segurança? Segurança da Informação e Proteção de Dados em Modelos SaaS em Saúde. Revista Healthcare Management 51: p. 56–59, 2020. Disponível na Internet. URL: https://link.medium.com/vedDqa0xcdb
Sabbatini, Renato M.E.: Os Novos Requisitos de Assinatura Digital para a Certificação de Sistemas de Registros Eletrônicos de Saúde. Crypto ID, 30 de dezembro de 2021. URL: https://cryptoid.com.br/banco-de-noticias/os-novos-requisitos-de-assinatura-digital-para-a-certificacao-de-sistemas-de-registros-eletronicos-de-saude/
Sabbatini, Renato M.E.: A certificação de plataformas de telemedicina para uso da assinatura digital. Crypto ID News. URL: https://cryptoid.com.br/identidade-digital-destaques/a-certificacao-de-plataformas-de-telemedicina-para-uso-da-assinatura-digital/
Sabbatini, R.M.E. — A Norma ISO/IEC 27.799 para Gestão da Segurança da Informação em Saúde. Simpósio ABNT de Normas de Informação em Saúde Alinhadas com a e-Saúde, no Congresso Internacional eSaúde & PEP 2017, em São Paulo, Brasil, em 20 de setembro de 2017. Vídeo disponível na Internet. Revista de Segurança da Informação em Saúde, URL: https://medium.com/p/13263d921464

O Autor:
O Prof.Dr. Renato M.E. Sabbatini é um dos pioneiros da informática em saúde, saúde digital e telemedicina, com 50 anos de experiência profissional na área. É Fellow da International Academy of Health Sciences Informatics e do American College of Medical Informatics e foi presidente da Sociedade Brasileira de Informática em Saúde. Na área de segurança da informação, é auditor líder certificado pela Associação Brasileira de Normas Técnicas para a certificação ISO 27001 e foi coordenador associado do Grupo de Trabalho 4 (Segurança da Informação e do Paciente) da ABNT, onde foi o tradutor da norma ISO 27799. Atua também, desde 2010, como consultor de certificação de Sistemas de Registro Eletrônico de Saúde da Sociedade Brasileira de Informática em Saúde (SBIS) junto a empresas desenvolvedoras (www.educert.com.br).

Contato: renato@sabbatini.com

A certificação de plataformas de telemedicina para uso da assinatura digital. Por Renato Sabbatini

Os Novos Requisitos de Assinatura Digital para a Certificação de Sistemas de Registros Eletrônicos de Saúde. Por Renato Sabbatini

A LGPD e a Proteção de Dados em Sistemas de Informação em Saúde e Telemedicina. Por Renato Sabbatini

Entrevista com Dr. Renato Sabbatini, a maior autoridade em Tecnologia Médica do Brasil

A importância da análise de dados para avançar na assistência em saúde

Semana de webinars da BRy Tecnologia debate como inovar na desmaterialização de processos

Leia outros artigos sobre identificação digital no setor de Medicina e Saúde aqui !

Últimas notícias

Cloud Destaques IA Notícias

Gartner prevê que gastos mundiais de usuários finais com Nuvem Pública irão ultrapassar US$ 675 bilhões em 2024

Gartner prevê crescimento anual que deve superar 20%, impulsionado por aplicativos habilitados para Inteligência Artificial Generativa

6 de junho de 2024

Cibersegurança Destaques

Bombardeio MFA: Nova Técnica de Phishing Mirando Usuários de Dispositivos Apple

Os especialistas da Norton, uma marca de cibersegurança para o consumidor da Gen™ (NASDAQ: GEN), alertam sobre uma nova modalidade conhecida como “bombardeio MFA” ou “push bombing,

6 de junho de 2024

Destaques Eventos Notícias

Everymind e Salesforce abrem inscrições para evento de RGM para mercado de varejo e consumo

A Salesforce e a Everymind promovem o evento exclusivo “RGM em Foco: Conectando a Estratégia com o Campo” no dia 2 de julho em São Paulo.

6 de junho de 2024

Destaques Eventos Notícias

CoopsParty 2024 é oportunidade para desmitificar a inovação e aproximar jovens do cooperativismo

O CoopsParty, pela primeira vez em Goiás, 18 e 19 de novembro, já pode ser considerado o maior evento de inovação do cooperativismo brasileiro

6 de junho de 2024

Carreiras Notícias

3C Gaming anuncia Renato Paiva como novo Vice-Presidente de Operações

Empresário chega para nova fase de expansão da empresa com

5 de junho de 2024

Destaques Eventos Notícias

Febraban Tech 2024 traz inovações tecnológicas para o setor financeiro

Febraban Tech reunirá nomes de peso e organizações de ponta. Vencedora do Prêmio Nobel de Economia, Esther Duflo, tem presença confirmada.

5 de junho de 2024

Carreiras Destaques Notícias

Inscrições para concurso temporário para profissionais de TI serão encerradas em 15 dias

Novos servidores atuarão no Programa Startup GOV.BR, inscrições para concurso temporário para profissionais de TI serão encerradas em 15 dias

5 de junho de 2024

Cibersegurança COLUNISTAS Destaques Longinus Timochenco Notícias Proteção de dados

Cibersegurança em Pequenas e Médias Empresas (PMEs): Estratégias e Ferramentas

A cibersegurança é como a lei de trânsito: aplica-se a todos, sem exceção, vivemos em um mundo digital de alto tráfego e volume de dados

5 de junho de 2024

Receba Novidades

Cadastre-se em nossa newsletter e fique ligado em tudo que acontece no Crypto ID.

julho, 2024

Filtrar eventos

Ordenar por:

Data

Título

Cor

Postado

Tipo de evento:

Todos

Local do evento:

Todos

Organizador do evento:

Todos

24jul(jul 24)09:0025(jul 25)18:00Blockchain Rio 2024O maior evento de tecnologia blockchain e finanças digitais da América Latina está de volta!09:00 - 18:00 (25) EXPO MAG, R. Beatriz Larragoiti Lucas, s/n - Cidade Nova, Rio de Janeiro - RJ, 20211-175

Mais

Detalhes do evento

O maior evento de tecnologia blockchain e finanças digitais da América Latina está de volta!

O time do Blockchain.Rio preparou uma edição incrivel para o ano de 2024, que acontecerá nos dias 24 e 25 de julho no Expo Mag que fica localizado no Centro do Rio de Janeiro.

Um dia antes do evento, 23 de julho, acontece um encontro de networking na Casa Camolese que fica localizada no Bairro do Jardim Botânico.

A medida que a inovação e a regulação avançam, Bancos, Fintechs, Grandes Varejistas e até Times de Futebol tem adotado o uso da tecnologia. Aprender sobre as caracteristicas deste mercado e sobre como a tecnologia funciona, nunca foi tão necessário como agora. Estamos em um momento chave para a “Internet do Valor” e você não pode ficar de fora.

Sobre o Blockchain.Rio Expo Mag

O evento chega a sua terceira edição na cidade maravilhosa, apresenta uma semana inteira repleta de eventos espalhados pela cidade e contará com a participação de diversos hubs de inovação que apresentam ao público um ecossistema completo de empresas ligadas ao setor.

Na programação, o evento principal que será realizado no Expo Mag apresenta ao público geral, palestras com os principais líderes do setor, além de uma feira de negócios onde as empresas poderão apresentar suas soluções ao público presente, que também poderá interagir com experiencias imersivas e visitar a uma galeria de arte digital (Rio Digital Arts).

Drex, Tokenização de ativos, Framework Regulatório, Pagamentos Digitais, DeFi, NFT, Halving, Ordinals, Arte Digital, Inteligencia artificial e muito mais.

Sobre o Blockchain Leaders – Casa Camolese

**Casa Camolese** – Rua Jardim Botânico, 983
Rio de Janeiro

O Blockchain.Rio 2024, apresenta aos líderes e decisores do mercado de blockchains e finanças digitais, um super encontro aos braços do Cristo Redentor, em um cenário belíssimo, repleto de muito networking e insights sobre o futuro da tecnologia além de um buffet maravilhoso.

O Evento contará com a presença das principais personalidades do setor de blockchains e finanças digitais, além da participação dos patrocinadores oficiais do Blockchain.Rio e de diversos profissionas que representam as principaais instituições financeiras e de tecnologia no Brasil e no Mundo.

Essa é a sua chance de aprender e se relacionar com os principais líderes do setor participando de debates e discussões de alto nível sobre o tema.

O próximo Blockchain Rio Festival está programado para ocorrer de 24 a 26 de julho de 2024, prometendo conectar os participantes ao ecossistema de tecnologia, inovação e negócios. Para mais detalhes sobre a programação, é possível acessar o site oficial do evento. https://blockchainfestival.io

Hora

24 (Quarta) 09:00 - 25 (Quinta) 18:00

Localização

EXPO MAG

R. Beatriz Larragoiti Lucas, s/n - Cidade Nova, Rio de Janeiro - RJ, 20211-175

Organizador

Blockchain Festival

Saiba mais

Calendário GoogleCal

Cadastre-se em nossa newsletter

Últimas notícias

A LGPD e a Proteção de Dados em Sistemas de Informação em Saúde e Telemedicina. Por Renato Sabbatini

As boas práticas, e, agora, a legislação, por meio da rigorosa Lei Geral de Proteção de Dados Pessoais brasileira, exigiriam uma abordagem dupla:

Com relação à segurança da informação, a SBIS especifica dois Níveis de Garantia de Segurança, ou NGS. Ambos são obrigatórios para plataformas de telemedicina. O NGS1 implementa requisitos comuns e necessários para qualquer sistema que se declare seguro. Alguns exemplos: