Confira artigo de Inon Neves, vice-presidente da Access
Com o avanço da tecnologia e a digitalização dos serviços de Saúde, o setor ficou bastante exposto a ataques de cibercriminosos que atuam na exfiltração de dados e, muitas vezes, no pedido de resgate pelas informações. Não raramente, a massa de informações roubadas – que na maioria dos casos, são de pacientes – terminam sendo publicadas na deep web.
Infelizmente, essa é uma cena corriqueira no Brasil. Dezenas de empresas do setor de Saúde sofreram com ataques nos últimos anos – o que nos leva à conclusão de que, se no passado, as empresas lutavam para evitar que vazamentos de dados ocorressem a partir de vetores internos – como uma falha ou um funcionário mal-intencionado, hoje as organizações precisam se proteger de ameaças externas.
E, além do aumento exponencial no cibercrime, a implementação da Lei Geral de Proteção de Dados (LGPD) em setembro de 2020 provocou uma corrida das empresas com o objetivo de proteger os dados. Mesmo assim, dados publicados pela Associação Brasileira de Empresas para Proteção de Dados apontam que apenas 36% das empresas declararam estar totalmente em conformidade com a regulamentação.
De fato, a legislação fornece um quadro legal robusto para a proteção dos dados pessoais, incluindo as informações de saúde. A LGPD exige que as empresas sejam transparentes sobre como os dados dos pacientes são coletados, armazenados e utilizados, além de garantir que os pacientes tenham direitos sobre seus próprios dados.
As medidas, inclusive, ajudam as instituições de saúde a adotar medidas rigorosas para proteger os dados contra acessos não autorizados, vazamentos e outras formas de tratamento inadequado. Isso inclui a implementação de políticas de acesso restrito, onde apenas profissionais autorizados possam visualizar informações sensíveis, bem como o uso de técnicas avançadas de anonimização e pseudonimização para proteger a identidade dos pacientes.
Segurança da informação no contexto de proteção das informações
Neste cenário, a segurança da informação é de importância vital. De acordo com a Pesquisa Global de Segurança da Informação da PwC, o Brasil está entre os países mais afetados por ataques cibernéticos, com o setor de Saúde sendo um dos alvos mais visados.
A violação de dados pode ter consequências desastrosas, incluindo danos à reputação da empresa, perdas financeiras significativas e, mais importante, a exposição de informações sensíveis dos pacientes. Ou seja, a adoção de sistemas e práticas voltadas à cibersegurança é um passo essencial para a proteção das informações.
A capacidade de resposta a incidentes de segurança também deve ser uma prioridade para as empresas do setor de saúde. Segundo o relatório da IBM Security, o custo médio de uma violação de dados no setor de Saúde é significativamente mais alto do que em outros setores.
Ter um plano de resposta a incidentes robusto e bem documentado pode ajudar a minimizar os danos e a restaurar rapidamente a confiança dos pacientes em caso de uma violação de dados. Esse plano deve incluir procedimentos para a detecção e análise de incidentes, comunicação com as partes afetadas, contenção e erradicação da ameaça, e medidas de recuperação e prevenção de futuros incidentes.
Além disso, a conformidade com regulamentações legais e normativas é imprescindível. Para o setor de Saúde, que lida com dados sensíveis como histórico médico e informações genéticas, o cumprimento da LGPD é ainda mais crítico. As empresas devem garantir que todas as práticas de coleta, armazenamento e compartilhamento de informações estejam em conformidade com a lei. Isso inclui a obtenção de consentimento explícito dos pacientes para o uso de seus dados, bem como a implementação de políticas claras de privacidade e proteção de dados.
Interoperabilidade é fator técnico essencial
A interoperabilidade dos sistemas de informação também é um fator-chave para a eficiência operacional. A falta de integração entre os diferentes sistemas de gestão hospitalar e registros eletrônicos de saúde pode levar a erros médicos, duplicação de exames e tratamentos desnecessários.
Estudos do setor apontam que a interoperabilidade pode melhorar significativamente a qualidade do atendimento ao permitir o acesso rápido e preciso às informações dos pacientes por diferentes profissionais de saúde.
Por conta disso, a implementação de padrões de interoperabilidade, como o HL7 (Health Level Seven) e o FHIR (Fast Healthcare Interoperability Resource) – ambos já em adoção no país – pode facilitar a troca de informações entre sistemas diversos e melhorar a coordenação do cuidado.
O padrão HL7, por exemplo, é aplicado em iniciativas governamentais como e-SUS do Ministério da Saúde, e também em instituições privadas. Junto ao FHIR, essas tecnologias têm sido aplicadas em telemedicina, e também em plataformas de registros eletrônicos de Saúde (RES).
Integridade das informações também conta
A precisão e a integridade dos dados é outro aspecto essencial. Dados imprecisos ou incompletos podem comprometer a qualidade do atendimento e levar a decisões clínicas errôneas. Um estudo da Universidade de São Paulo ressalta que erros nos registros de saúde podem resultar em diagnósticos e tratamentos inadequados, afetando negativamente os resultados dos pacientes.
A terceirização da gestão documental no setor de Saúde é um fator preponderante para a proteção das informações, pois permite que as empresas se beneficiem da expertise de provedores especializados em segurança e conformidade de dados.
Esses fornecedores externos dispõem de tecnologias avançadas e práticas atualizadas que garantem a integridade, confidencialidade e disponibilidade dos dados, ao mesmo tempo em que liberam os recursos internos para focar no core business da organização.
Além disso, a terceirização facilita a implementação de medidas de segurança robustas e a conformidade com regulamentações como a LGPD, reduzindo os riscos de violação e assegurando que os dados dos pacientes estejam sempre protegidos contra ameaças e acessos não autorizados.
Em suma, a gestão das informações dos pacientes no setor de saúde no Brasil requer uma abordagem multifacetada que engloba segurança da informação, conformidade legal, interoperabilidade, precisão dos dados, privacidade e capacidade de resposta a incidentes.
Cada um desses aspectos desempenha um papel crucial na garantia de que as informações dos pacientes sejam manejadas de maneira segura, eficiente e ética. Os tomadores de decisão devem estar atentos às melhores práticas e às inovações tecnológicas que podem auxiliar na superação desses desafios, sempre com o objetivo de proporcionar um atendimento de qualidade e preservar a confiança dos pacientes na organização.