GESTÃO EM SEGURANÇA DA INFORMAÇÃO         OS RISCOS DE FALHAS HUMANAS EM UM                           AMBIENTE DE PACS    ...
ABSTRACTMedicine has advanced considerably with the use of technology. All specialties within thisscience have realized th...
Os sistemas baseados em PACS evoluíram exponencialmente e seu usopassou a ser considerado estratégico em várias unidades d...
Este artigo pretende trazer uma reflexão sobre a segurança da informaçãoque deve ser inserida no escopo do projeto relatan...
processos como geração e agendamento de exames, manutenção egeração de laudos e relatórios (SALOMÃO, 2010, p. 18).A criaçã...
Esta etapa do processo, a solicitação do exame, pode ser realizada porvários tipos de profissionais dependendo do quanto e...
responsabilidades atribuídas definidas no SGSI seja competente para                  desempenhar as tarefas requeridas. (I...
pacientes chamada de worklist, o que além de garantir uma agilidade maiorno fluxo de atendimento ao paciente, minimiza o r...
Sendo confirmada a troca de paciente deve-se substituir o paciente erradopelo correto ou verificar se o paciente atendido ...
que está no chassi de fósforo apagando-a em seguida para que este possaser utilizado em um próximo exame. Na tela do CR o ...
erro o que fará com que a película seja descartada e o exame sejarealizado novamente. Somente após a validação que a image...
informação segundo as normas ISO/IEC 27001:2006 e 27002:2005, adisponibilidade.A imagem ou qualquer outro dado do paciente...
Nesta etapa do processo também é importante a conscientização doradiologista sobre a segurança da informação para que este...
segundo radiologista faça a conferência de todos os dados contidos nossistemas além de possibilitar uma nova visão em rela...
necessário a respectiva avaliação da adequação e eficiência.                 (SANTOS, 2007, p. 10).Neste ponto a unidade d...
envolvidas para que estas estejam conscientes sobre a sua importância nagarantia de entrega de um laudo seguro.A gestão de...
ARAÚJO, S. C. Segurança na circulação de informação clínica. Porto:Universidade Lusíadas, 2007.ASSOCIAÇÃO BRASILEIRA DE NO...
NOBRE, A. C. S..; RAMOS, A. S. M; NASCIMENTO, T. C. Adoção depráticas de gestão de segurança da informação: um estudo comg...
Próximos SlideShares
Carregando em…5
×

Artigo renato goncalves da silva - 13 seg

683 visualizações

Publicada em

Artigo sobre Riscos em um ambiente de PACS e como as normas da família ISO 27000 podem contribuir para diminuir ou mitigar os riscos.

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
683
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
17
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Artigo renato goncalves da silva - 13 seg

  1. 1. GESTÃO EM SEGURANÇA DA INFORMAÇÃO OS RISCOS DE FALHAS HUMANAS EM UM AMBIENTE DE PACS Renato Gonçalves da Silva, RM 39705 renatogonca@ig.com.br Orientador: Prof. Gianni Ricciardi RESUMOA medicina tem avançado consideravelmente com o uso da tecnologia. Todas asespecialidades dentro desta ciência têm percebido vantagens na utilização da tecnologia eas possibilidades que estas trazem ao seu exercício. A Radiologia é uma dasespecialidades médicas que mais avanços teve nos últimos anos. Equipamentosavançados possibilitando gerar imagens que exibam cada detalhe da anatomia do pacientepara auxiliar a análise e o diagnóstico por parte do Radiologista; monitores de altaresolução que possibilitam a visualização de micro fissuras; links robustos e estáveis,trazendo a possibilidade de implantação de centrais de laudos onde é possível manterespecialistas em um único local fornecendo laudos para vários hospitais e ambulatóriosespalhados trazendo com isso uma redução de custo, entre tantas outras possibilidades.No meio de tantas facilidades trazidas pelas inovações tecnológicas faz-se necessáriopensar em como incluir e manter a segurança da informação como um dos pilares doprojeto. KOBAYASHI e FURUIE citam em seu artigo apresentado no X CongressoBrasileiro de Informática em Saúde que “com a disseminação dos sistemas informatizadospara a área de saúde, a questão da segurança da informação passa a assumir umaimportância cada vez mais crucial.” Essa importância citada deve estar no contexto dossistemas de saúde utilizados e também nos processos e procedimentos realizados. Aintegridade da informação deve ser garantida desde a entrada dos dados do paciente noHospital Information System (HIS) ou Radiology Information System (RIS), passando pelacorreta identificação do paciente no momento da realização do exame até chegar à últimaetapa do processo onde se assina o laudo. Para que isso seja possível AZEVEDO-MARQUES cita serem necessários dois pré-requisitos: uma estrutura adequada(redundante e balanceada) e padrões de comunicação bem definidos, porém esses doispré-requisitos tem o foco na estrutura ou em sistemas, não em processos.Todas as etapas manuais e todas as interfaces geradas devem ter por foco a segurança,para que o paciente obtenha sempre o laudo correto para que sua avaliação clínica sejasempre adequada.Este artigo pretende trazer uma reflexão sobre as falhas humanas possíveis de ocorreremdentro do processo e demonstrar como normas e procedimentos que privilegiam asegurança da informação podem contribuir para que o resultado final do processo esteja deacordo com o esperado.Palavras-chave: Segurança da informação em PACS.
  2. 2. ABSTRACTMedicine has advanced considerably with the use of technology. All specialties within thisscience have realized the advantages of using technology and the possibilities they bring tothe exercise. Radiology is a medical specialty that most of the advance had in recent years.Advanced equipment allowing to generate images that show every detail of anatomy patientto assist the analysis and diagnosis by the Radiologist, high-resolution monitors that allowthe visualization of micro cracks, robust and stable links, bringing the possibility ofimplanting centers reports where you can keep specialists in one location providing reportsto various hospitals and clinics around bringing with it a cost reduction, among many otherpossibilities.Amongst all the facilities brought by technological innovation is necessary to think abouthow to add and maintain information security as one of the pillars of the project.KOBAYASHI and FURUIE reported in their article presented at the X Brazilian Congress ofInformatics in Health that "The increasing adoption of information systems in healthcareleads to a scenario where information security plays a crucial." This importance should bementioned in the context of health systems and also used in the processes and procedures.The integrity of information must be guaranteed since the entry of patient data at theHospital Information System (HIS) or Radiology Information System (RIS), to the correctpatient identification at the time of the exam until the last step of the process where signsthe report. To make this possible AZEVEDO-MARQUES quotes are two necessaryprerequisites: an appropriate structure (redundant and balanced) and well definedcommunication patterns, but these two prerequisites must focus on the structure orsystems, not processes.All manual steps and all interfaces should be generated by focusing on security, so thatpatients always receive the award for its correct clinical evaluation is always appropriate.This article aims to bring a reflection on the possible human errors occur in the process anddemonstrate how standards and procedures that emphasize information security cancontribute to the outcome of the process is in line with expectations.Keywords: Information security in PACS. INTRODUÇÃOPicture Archiving and Communication System (PACS) ou Sistema deComunicação e Armazenamento de Imagens são dispositivos de aquisiçãode imagem, unidades de armazenamento, processamento computacional ebanco de dados de imagens médicas integrados em rede (COSTA, 2008, p.13) possibilitado a consulta das imagens por toda equipe médica de umhospital ou uma clínica médica.O PACS não é uma tecnologia considerada tão recente, em meados de1982 os radiologistas já conversavam sobre este assunto (TONG, 2009, p.3).
  3. 3. Os sistemas baseados em PACS evoluíram exponencialmente e seu usopassou a ser considerado estratégico em várias unidades de saúde portrazerem várias vantagens sobre o tradicional sistema analógico.As vantagens mais perceptíveis são a manutenção de um histórico dospacientes da unidade de saúde onde todas as imagens deste pacienteestão armazenadas possibilitando que o médico radiologista veja nãoapenas os laudos já emitidos, mas também as imagens geradasanteriormente o que permite a comparação do exame em estudo, comexames anteriormente realizados e diagnosticados, existentes na base dedados (JUNIOR, 2007, p. 1).Isso traz possibilidades de comparação não existentes no sistema analógicoe a diminuição de lixo químico gerado pelo processo analógico trazendo umganho no que se refere a questões ambientais.Com o processo digital sendo realizado pouco se imprime, pois as imagenspodem ser visualizadas em estações de visualização, e o que se imprime éde material muito menos poluente do que as películas utilizadas noprocesso analógico.Com a crescente expansão no uso de PACS por unidades de saúde há umapreocupação em como garantir a segurança da informação dentro doprocesso, neste caso as informações são: dados do paciente, imagem doexame realizado e laudo. (NOBRE, 2007) já demonstrou a preocupaçãocom a segurança dentro do processo em seu artigo desenvolvido em 2007:Certificação Digital de Exames em Telerradiologia: Um Alerta Necessário. “[...] Esta tendência torna necessária a divulgação e o esclarecimento de conceitos como a certificação digital, a criptografia de dados na internet, a confiabilidade de sites, o documento eletrônico confiável e a assinatura digital.” (NOBRE, 2007, p. 415).Preocupação já observada também por (KOBAYASHI, 2006) em um artigoapresentado no X Congresso Brasileiro de Informática em Saúde:Segurança em Imagens Médicas: uma Revisão. “[...] o comprometimento da confiabilidade de tais informações pode minar a credibilidade das instituições de saúde e prejudicar a pesquisa, na medida em que dados incorretos levarão naturalmente a diagnósticos e resultados incorretos”. (KOBAYASHI, 2006, p. 773).
  4. 4. Este artigo pretende trazer uma reflexão sobre a segurança da informaçãoque deve ser inserida no escopo do projeto relatando que muito dapreocupação com segurança da informação precisa ser inserida dentro dossoftwares, interfaces e infra-estrutura a fim de garantir confidencialidade,integridade e disponibilidade que são os requisitos básicos da segurança dainformação segundo as normas ISO/IEC 27001:2006 e ISO/IEC 27002:2005de acordo com a Associação Brasileira de Normas Técnicas – ABNT, masmuito desta preocupação deve ser inserida nos processos econscientização das pessoas através de políticas, normas e procedimentosbem definidos e divulgados, o que é possível através de um bom sistema degestão da segurança da informação utilizando como principal referência osrequisitos da norma ISO/IEC 27001:2006 (KROLLI, 2010, p. 2).Segurança da informação se insere em duas áreas de conhecimento: aCiência da Informação e a Ciência da computação (PEREIRA, 2010, p. 71).Deve, portanto, fazer parte da mentalidade das organizações de saúde quebuscam uma solução de PACS a criação e implementação de políticas,normas e procedimentos de segurança da informação devendo tambémrealizar um trabalho consistente através de treinamentos paraconscientização das pessoas envolvidas sobre a importância deste assunto. “[...] O usuário precisa estar comprometido com a proteção da informação na organização para qual ele trabalha como funcionário ou prestador de serviço. O usuário é o elemento que faz a diferença para que o processo de segurança exista de forma eficaz. Para tanto ele precisa ser treinado e conscientizado. Isto acontecendo, o usuário sairá do estágio de envolvimento com a segurança para o estágio de comprometimento.” (FONTES, 2008, p. 186). 1. A entrada de dados e a realização do exameO sistema utilizado em unidades de saúde sejam hospitais, ambulatórios ouclínicas são chamados de Hospital Information System (HIS), sistemaresponsável por gerenciar, armazenar e prover acesso a diversasinformações de pacientes (SALOMÃO, 2010, p. 17), sendo os examesradiológicos solicitados dentro de um módulo do HIS ou através doRadiology Information System (RIS), sistema concebido para controlar
  5. 5. processos como geração e agendamento de exames, manutenção egeração de laudos e relatórios (SALOMÃO, 2010, p. 18).A criação de uma interface entre o HIS ou RIS com os sistemas de PACS eas modalidades é fundamental para que a segurança da informação sejaalcançada já no início do processo.A criação dessa interface favorece a não ocorrência de erros nos dados dospacientes quando da realização do exame, pois todos os dados necessáriosestarão inseridos automaticamente nas modalidades e no sistema de PACSa partir dos dados cadastrados no HIS/RIS.Como instrui a Sociedade Brasileira de Informática em Saúde (SBIS) emseu Manual de Certificação para Sistemas de Registro Eletrônico em Saúde(2009, p. 14) o Health Level Seven (HL7) é o padrão mais utilizado paraintercâmbio de dados na área da saúde no cenário internacional, sendo opadrão que deve ser seguido para manter a interoperabilidade entre ossistemas. A SBIS também inclui em seu manual uma série derecomendações para Sistemas de Registro Eletrônico em Saúde (S-RES)tendo por finalidade que os sistemas utilizados na área de saúde sigamrecomendações que garantam a segurança da informação e estejam maisbem preparados para futuras integrações que se tornem necessárias.O Manual de Certificação de Informática em Saúde procura tambémreforçar a necessidade de seguir alguns controles que fazem parte danorma ISO/IEC 27001:2006 fazendo relações com os Requisitos de Níveisde Garantia de Segurança detalhados no manual.Não é objetivo de esse artigo detalhar as cláusulas, objetivos de controlesda norma ou as recomendações sugeridas no Manual da SBIS e simrealizar uma reflexão sobre a segurança da informação em um ambiente dePACS, porém no decorrer do artigo alguns controles serão detalhados nointuito de dar mais fundamento à reflexão realizada para o desenvolvimentodeste artigo.A garantia que os dados sejam inseridos corretamente no HIS/RIS etransmitidos sem alterações ao PACS deve ser realizada com apreocupação de ter integridade nos dados.
  6. 6. Esta etapa do processo, a solicitação do exame, pode ser realizada porvários tipos de profissionais dependendo do quanto está informatizada aunidade de saúde. A solicitação do exame ficará a cargo do próprio médicoque fará esta solicitação diretamente no HIS/RIS ou será realizada atravésde um formulário que será encaminhado a uma recepção ou um escrituráriopara que este faça a solicitação eletrônica do exame.Este segundo cenário é o que mais facilita a possibilidade de falhashumanas. Normalmente os formulários preenchidos trazem uma caligrafiade difícil leitura possibilitando a leitura incorreta e conseqüentemente umcadastro errado. É importante a unidade de saúde implantar em seuprocedimento a utilização de etiquetas emitidas pelo HIS/RIS com os dadosdo paciente para que esta possa ser colada no formulário e que o formulárioutilizado contenha todos os procedimentos possíveis de serem solicitadosimpressos para que o médico possa apenas fazer uma marcação noprocedimento desejado.Os formulários de solicitação de exames trazem dados do paciente os quaisdevem ser conferidos e validados antes da entrada dos mesmos nosistema, portanto deve haver um procedimento e um processo de educaçãopermanente para que a recepção, ou a área responsável por essa entradade dados, realize uma conferência dos dados.A unidade de saúde deve inserir em seu procedimento a validação dasinformações que pode ser realizada através da solicitação de umdocumento de identidade do paciente, para confirmação dos dadospessoais e através de questionamento ao paciente sobre qual foi oprocedimento solicitado pelo seu médico, para que a informação sejavalidada com o que foi identificado no formulário de solicitação de exame.Percebe-se que este processo é manual e qualquer implementação desegurança nesta etapa será através de procedimentos, não de sistema.Este objetivo só será alcançado através da conscientização dosparticipantes do processo o que será possível atendendo a normativa daAssociação Brasileira de Normas Técnicas – ABNT. “[...] cláusula 5.2.2: Treinamento, Conscientização e Competência: A organização deve assegurar que todo o pessoal que tem
  7. 7. responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas. (ISO/IEC 27001, 2006, p. 10).O HIS/RIS também pode contribuir cumprindo os requisitos do objetivo decontrole A.12.2 da norma: Processamento correto de aplicações: Validaçãodos dados de entrada (ISO/IEC 27001, 2006, p. 26). Uma forma de validaros dados é verificando, por exemplo, que o campo gravidez não sejapreenchido no caso do paciente ser do sexo masculino.Ao finalizar a entrada dos dados o HIS/RIS deve integrar com a próximaetapa do processo, as modalidades e o PACS, tendo garantida aintegridade dos dados neste momento onde haverá comunicação entrediversos sistemas diferentes.A integração dos sistemas traz a vantagem de não haver necessidade denenhum processo posterior ao primeiro atendimento entrar com dadosmanuais, minimizando a possibilidade de erros de digitação. Os dados dopaciente e o procedimento realizado estarão disponíveis nos outrossistemas e nas modalidades radiológicas bastando haver uma pesquisa nalistagem de pacientes recebidos por estes.No PACS, assim como qualquer sistema, os pacientes recebem um códigode identificação. Este código deve ser mantido o mesmo sem sofreralteração em todas as consultas do paciente que pode fazer um ou maisexames a cada consulta.Sistemas de comunicação e armazenamento de imagens possuem umcódigo para identificar cada exame realizado pelo paciente, códigochamado de Accession Number, o qual é um código único para diferenciarcada exame realizado e nunca será repetido.Quando não há integração de sistemas o técnico de radiologia irá digitar noconsole do equipamento a ser utilizado para realização do exame os dadosdo paciente, podendo digitar dados diferentes dos que foram cadastradosno HIS/RIS e irá criar manualmente um Accession Number, podendo inserirum código já utilizado ou um código que não coincide com o código correto.Com a integração entre os sistemas não haverá a necessidade de entradade dados nesta etapa do processo, apenas a pesquisa em uma listagem de
  8. 8. pacientes chamada de worklist, o que além de garantir uma agilidade maiorno fluxo de atendimento ao paciente, minimiza o risco de erro.Com a integração entre sistemas tem-se garantida a integridade dasinformações, mas neste momento há uma necessidade manual de segarantir a segurança da informação no processo e volta-se a reflexão sobrea necessidade de procedimentos bem definidos e bem conscientizadospelos profissionais.Ao receber o paciente, o que normalmente ocorre após uma entrevistachamada de anamnese que é realizada por um profissional da enfermagem,o técnico responsável pela realização do exame deve garantir que os dadosobtidos na tela de comando do equipamento sejam realmente do pacienteque ele está recebendo. Deve-se, portanto, estar inserido no procedimentoa realização de quatro perguntas a serem realizadas pelo técnico aopaciente: nome completo, data de nascimento, nome da mãe eprocedimento a ser realizado.O objetivo de controle A.10.1 Procedimentos e ResponsabilidadesOperacionais, detalha sobre a necessidade de ter documentação dosprocedimentos de operação. Os procedimentos de operação devem serdocumentados, mantidos atualizados e disponíveis a todos os usuários quedeles necessitam (ISO/IEC 27001, 2006, p. 19).Sendo identificado que alguma das respostas não coincide com asinformações recebidas anteriormente deve-se verificar se o pacienterecebido não é o paciente esperado ou se houve algum erro de cadastro noprocesso anterior. Não é recomendável confirmar com o paciente citando asinformações encontradas no cadastro. O paciente pode confirmarmecanicamente as informações citadas por distração ou tensão devido aoexame que está prestes a realizar e com isso o erro não seria percebido.Ocorrendo erro no cadastro este deve ser corrigido no HIS/RIS antes darealização do exame para que a correção seja replicada aos sistemas quepossuem integração e com isso as imagens geradas tenham asinformações corretas.
  9. 9. Sendo confirmada a troca de paciente deve-se substituir o paciente erradopelo correto ou verificar se o paciente atendido tem uma solicitação abertacom dados gerados no worklist e realizar o procedimento adequado.Neste ponto há que se observarem as diferentes maneiras de se realizar oexame. Equipamentos digitais utilizam o protocolo Digital Imaging andCommunications in Medicine (DICOM). “[...] O padrão DICOM foi desenvolvido sob orientação da National Eletric Manufactures Association (NEMA) [...]. É um protocolo para manuseio, armazenamento, impressão e transmissão de imagens médicas [...] desenvolvido para operação em redes tipo TCP/IP. (FONSECA, 2008, p. 30).O uso desse protocolo permite o envio das imagens automaticamente damodalidade utilizada. Equipamentos como Ressonância Magnética,Tomografia Computadorizada possuem este protocolo, assim como muitosequipamentos de Ultrassom, Densitometria Óssea, por exemplo.Equipamentos analógicos precisam que alguma adaptação seja realizadapara que possa realizar o armazenamento e a transmissão das imagens.Esta adaptação pode ser a inclusão de um computador com placa decaptura de vídeo para receber imagens dos equipamentos ou a inclusão deum periférico chamado DICOM BOX que faz a mesma função. Em algunscasos essas imagens são armazenadas simplesmente como histórico, nãotendo qualidade suficiente para realização de diagnóstico, devendo oestudo ser observado utilizando a imagem na tela do equipamento médicono momento do exame e dessa maneira, segundo (MAIA, 2006, p. 37), épossível computadorizar um equipamento obsoleto e estender sua vida útil.Muitas unidades de saúde que implantam PACS mantêm em uso osequipamentos de Raios-X e Mamografia analógicos que já possuem. Estasunidades de saúde adquirem equipamentos CRs e Chassis de fósforo parapoderem, mesmo com equipamentos analógicos, utilizarem a tecnologia doPACS. Os chassis de fósforo substituem as chapas analógicas utilizadasnos exames de Raio-X convencional. O chassi receberá o laserarmazenando a imagem em seu interior. Os chassis são levados à sala deequipamentos para serem lidos pelo CR. O CR realiza a leitura da imagem
  10. 10. que está no chassi de fósforo apagando-a em seguida para que este possaser utilizado em um próximo exame. Na tela do CR o técnico de radiologiaterá a possibilidade de trabalhar a imagem para que esta seja enviada aoPACS.Há um grande risco operacional de erro na realização desses examessendo possível realizar a leitura do chassi em um paciente que não é ocorreto.Uma forma de evitar o erro é a conferência dos dados com o paciente antesde qualquer procedimento. Logo após a conferência deve-se realizar ovínculo do chassi a ser utilizado com a solicitação de exame do paciente eapós isso realizar o procedimento. Finalizando o procedimento não haveriamais risco de troca, pois na leitura do chassi a imagem iria para o pacienteindicado.Qualquer que seja a modalidade é necessário que as imagens e suaqualidade sejam conferidas logo após a realização do procedimento. Isto éfeito pelo próprio técnico de radiologia. Estando dentro dos padrões dequalidade recomendados as imagens são transmitidas ao PACS e a partirdeste momento estarão disponíveis para visualização por qualquer médicoda unidade que possua estação de visualização.Esta etapa do processo se mostra também bastante crítica e é importantemostrar a diferença do processo analógico com o processo digital.Unidades de saúde que não possuem PACS realizam a maior parte dosprocedimentos exatamente da mesma maneira que uma unidade de saúdeinformatizada. Talvez a grande diferença seja a dinâmica e a rapidez comque as informações estarão disponíveis para o corpo clínico da unidade, oque torna fundamental a preocupação com a integridade das informações.No modo analógico após todas as etapas de cadastro do paciente erealização do procedimento as imagens serão impressas, no caso deTomografia Computadorizada e Ressonância Magnética, ou reveladascomo os exames de Raio-X e Mamografia. Em Raio-X e Mamografia aqualidade da realização do procedimento só será conhecida após arevelação do filme, sendo que neste momento poderá ser percebido um
  11. 11. erro o que fará com que a película seja descartada e o exame sejarealizado novamente. Somente após a validação que a imagem está corretaesta será entregue ao paciente que retornará para sua consulta clínica.Exames realizados digitalmente possibilitam que alguns erros sejamcorrigidos após o envio das imagens ao PACS. Isto traz uma vantagem aopaciente que não precisará receber uma nova radiação, mas pode trazerproblemas para o processo caso não seja rapidamente verificado ecorrigido.Como a imagem estará disponível para consulta logo após ser enviada aosistema será possível que o corpo clínico as visualize antes que qualquercorreção tenha sido feita. Tendo algum erro na imagem, nos dados dopaciente, na lateralidade ou algum outro, haverá um risco de se tomarconclusões diagnósticas errôneas.É importante que a unidade de saúde crie um processo de Gestão deincidentes de segurança da informação e melhorias, demonstrando umapreocupação clara em identificar eventuais problemas para que possa ter oprocesso de melhoria continuada sempre em execução.Com a implantação de um processo de gestão de incidentes de segurançada informação a unidade de saúde também estará atendendo o objetivo decontrole A.13.2 da norma ISO/IEC 27001:2006 identificandoresponsabilidades, aprendendo com os incidentes e coletando evidências.Além da preocupação com a integridade das informações deve-se ter muitocuidado com a confidencialidade das informações. Segundo resolução denúmero 1821 do Conselho Federal de Medicina (CFM, 2007) os dadoscontidos no prontuário do paciente ou qualquer outro dado armazenadopela unidade de saúde pertencem ao paciente e só devem ser divulgadossegundo sua autorização ou a de seu responsável. Os dados devem servisualizados dentro da unidade de saúde apenas pelos profissionais quenecessitam realizar o acompanhamento ou diagnóstico do paciente.Por serem informações eletrônicas há uma terceira preocupação que nãopode ser esquecida. Preocupação que fecha o tripé da segurança da
  12. 12. informação segundo as normas ISO/IEC 27001:2006 e 27002:2005, adisponibilidade.A imagem ou qualquer outro dado do paciente precisa estar disponívelsempre que necessário pelos profissionais de saúde ou quando requisitadopelo próprio paciente.Não pode ser deixada de lado a preocupação com a infra-estrutura sendonecessário, portanto, um projeto de redundância de servidores, políticasobre armazenamento de imagens, uma boa distribuição de estações devisualização, cabeamento e ativos de rede adequados, equipe de tecnologiada informação preparada para uso dessa tecnologia realizando verificaçõese monitoramento sobre toda a infra-estrutura desenhada, planos derecuperação de desastre e de continuidade do negócio.Os planos de recuperação de desastre e continuidade do negócio precisamser divulgados e testados periodicamente para que seja identificado seestão realmente adequados às necessidades da organização e também sesão realmente eficientes. 2. A análise da imagem e realização do laudoApós todas as etapas anteriormente citadas entra a figura do Radiologista.Este pode estar fisicamente no mesmo prédio onde foi realizado o examedo paciente ou pode estar remotamente em uma central de laudos.Aqui se percebe a importância na realização de todos os procedimentosanteriores priorizando a segurança da informação, pois o laudo emitido peloradiologista será totalmente baseado em informações contidas nos sistemasde informação das unidades de saúde envolvidas e nos procedimentosrealizados pelos participantes do processo.Erro de cadastro, identificação incorreta de lateralidade, falta de avaliaçãodo técnico em relação à qualidade da imagem, envio da imagem parapaciente errado e outros erros podem impossibilitar a realização do laudoou possibilitar uma conclusão errada por parte do radiologista.
  13. 13. Nesta etapa do processo também é importante a conscientização doradiologista sobre a segurança da informação para que este contribua comalgumas verificações que estão ao seu alcance.O radiologista deve realizar algumas conferências antes da realização dolaudo verificando se os dados cadastrais do paciente condizem com ainformação recebida com a imagem.Alguns sistemas permitem que documentos sejam anexados e transmitidospara o radiologista. Normalmente se faz isso com a anamnese e com asolicitação médica.A anamnese contribuirá para que o radiologista, mesmo distante, possa termais informações a respeito do paciente, pois receberá diversasinformações sobre seu estado de saúde.A solicitação médica permitirá que o radiologista confira se os dados dopaciente condizem com os dados visualizados no sistema, como nome,idade, sexo; também constará na solicitação médica o procedimentosolicitado pelo médico clínico, o que permitirá que o radiologista avalie se aimagem e o procedimento cadastrado no PACS estão compatíveis com asolicitação; e trará uma hipótese diagnóstica ajudando o radiologista em suainvestigação diagnóstica dando uma idéia do que deve ser procurado.Esta seria a última etapa do processo antes da realização do laudo e aúltima oportunidade de ser evitado algum erro antes da conclusãodiagnóstica, portanto qualquer dado incorreto ou considerado suspeito peloradiologista deve ser revisado e alterado caso tenha a comprovação deerro. Tendo alteração dos dados deve ser feita uma investigação paraencontrar onde está a origem do erro, pois a informação incorreta já teriapassado por várias etapas do processo e a identificação da origem do erroé importante para que um trabalho de reeducação seja realizado.Pode-se estender um pouco mais o processo de segurança da informaçãoneste ponto tornando parte do processo a solicitação de uma segundaopinião por parte do emissor do laudo. Isto pode ser feito em umadeterminada quantidade de laudos ou até mesmo para todos os laudosemitidos, aumentando a segurança da informação por possibilitar que um
  14. 14. segundo radiologista faça a conferência de todos os dados contidos nossistemas além de possibilitar uma nova visão em relação à conclusãodiagnóstica.Tendo uma segunda opinião ou não o laudo será assinado pelo radiologista.A forma mais segura de garantir a autenticidade do laudo é a utilização deassinatura através de um certificado digital que pode ser adquirido emautoridades certificadoras como Serasa Experian, CertSign, entre outras.Sendo esta a forma mais segura de garantir a autenticidade e a única formaeletrônica legalmente aceita no Brasil utilizando-se da Infra-estrutura deChaves Públicas Brasileira (SBIS, 2009, p. 12), além disso, uma assinaturadigital não permite o repúdio, isto é, o emitente não pode alegar que nãorealizou a ação (FERREIRA, 2008, P. 107).Tornou-se hábito a utilização de assinatura digitalizada para substituir aassinatura realizada após a impressão do laudo, porém embora uma práticacomum é uma prática que pode ser questionada caso venha a ter questõesjudiciais envolvidas e desta forma o sistema não estará atendendo oRequisito de Nível de Segurança 2.01.01 do Manual de Certificação paraSistemas de Registro Eletrônico em Saúde o qual detalha a utilização decertificado digital emitido por AC credenciada à ICP-Brasil para osprocessos de autenticação de usuários e para assinatura digital dedocumentos eletrônicos no S-RES (SBIS, 2009, p. 62).Com a emissão do laudo entende-se que todas as etapas do processoforam cumpridas com êxito e este laudo estará disponível para consulta domédico solicitante, do corpo clínico da unidade de saúde e do própriopaciente.Para que o processo tenha chegado ao seu final espera-se que todas asrecomendações sobre a segurança da informação tenham sido seguidas ecumpridas, desvios tenham sido percebidos no decorrer do processo,tenham sido notificados e corrigidos para que a informação entregue aofinal do processo seja íntegra. “[...] Para que as medidas tenham o efeito desejado devem estar enquadradas por uma política de segurança da informação que vise garantir um nível de protecção adequado e controlado, para o que é
  15. 15. necessário a respectiva avaliação da adequação e eficiência. (SANTOS, 2007, p. 10).Neste ponto a unidade de saúde deve manter em sua política de segurançada informação a preocupação com a disponibilidade dos dados, a qualquermomento pode ser necessária a visualização dos exames do paciente; apreocupação com a confidencialidade dos dados, respeitando o direito àprivacidade do paciente e desta forma o tripé da segurança da informação,os quais são confidencialidade, no qual a informação somente pode seracessada por pessoas autorizadas; a disponibilidade, no qual a informaçãoou sistema de computador deve estar disponível a quem possa acessá-lano momento em que a mesma for necessária e a integridade, que é aproteção dos dados ou informações contra modificações intencionais ouacidentais não autorizadas (NOBRE, 2011, p. 98), será alcançada. “[...] Não existem soluções de segurança perfeitas ou completas. Exige-se uma melhoria contínua.” (ARAÚJO, 2007, p. 119)Alguns controles da ISO/IEC 27001:2006 e requisitos de níveis desegurança do Manual de Certificação para Sistemas de Registro Eletrônicoem Saúde da SBIS podem e devem ser utilizados para que asnecessidades de segurança da informação sejam atendidas. CONCLUSÃOA tecnologia da informação trouxe nos últimos anos uma possibilidade decontribuir com a área da saúde tornando a realização de exames de altacomplexidade mais rápida, com maior comodidade para o paciente e parao médico.Este artigo apresentou uma reflexão sobre a inserção da segurança dainformação nos processos que fazem parte da realização de examesradiológicos, demonstrando que embora o avanço da tecnologia nossistemas seja muito grande há a necessidade de olhar para as pessoas
  16. 16. envolvidas para que estas estejam conscientes sobre a sua importância nagarantia de entrega de um laudo seguro.A gestão de uma unidade de saúde deve ter atenção com a necessidadede criar e divulgar uma política de segurança da informação que forneçauma diretriz e mostre aos colaboradores sua preocupação com esteassunto e a partir da política definida criar normas e procedimentos queserão conhecidos por todos para que realizem suas tarefas diárias tendo abusca da segurança em todos os seus processos. “[...] Normas e modelos de segurança apresentam práticas fundamentais para que organizações possam estar de acordo com um nível esperado de segurança.” (WAGNER, 2011, p. 17)Profissionais administrativos, profissionais técnicos e médicos devem sertreinados e envolvidos no escopo da segurança da informação sendoconhecedores da política da organização e dos riscos existentes caso osprocedimentos seguros não sejam realizados com extrema atenção porestes.Não há dúvida que todo profissional da área da saúde possui apreocupação com o paciente, porém, rotinas diárias podem fazer com queos processos sejam executados de forma mecânica e tenham asvalidações e conferências sugeridas neste artigo esquecidas pelaspessoas que deveriam realizá-las. Dessa forma erros passarão a ocorreraumentando o risco ao paciente.Deve haver, portanto, um monitoramento contínuo se os requisitos desegurança da informação estão sendo cumpridos e uma educaçãopermanente para que colaboradores experientes assim como novoscolaboradores estejam sempre conscientes da necessidade de seguir osprocedimentos definidos pela gestão. REFERÊNCIASALAMU, F. O.; EMUOYIBOFARHE, O. J.; OKE, A. O. Developing a robustmultimedia picture archiving and communication system. Internationaljournal of computer applications – Volume 34: Novembro, 2011.
  17. 17. ARAÚJO, S. C. Segurança na circulação de informação clínica. Porto:Universidade Lusíadas, 2007.ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27001:Tecnologia da Informação: Técnicas de segurança: Sistema de gestão desegurança da informação: Requisitos. Rio de Janeiro, Março, 2006.______. ISO/IEC 27002: Tecnologia da Informação: Técnicas de segurança:Código de prática para a gestão de segurança da informação. Rio deJaneiro, Agosto, 2005.AZEVEDO-MARQUES, P. M.; SALOMÃO, S. C. PACS: Sistemas deArquivamento e Distribuição de Imagens. São Paulo: Revista Brasileira deFísica Médica, 2009.CFM. Resolução 1821/2007. On-line. Disponível em:http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm. Acessoem 05 dez. 2012.COSTA, R. G.; BARBOSA, A. C. P.; BORTOLON, S. Um sistema baseadoem grid para interoperabilidade de PACS distribuídos e heterogêneos.Vitória: UFES, 2008.FERREIRA, F. N. F.; ARAÚJO, M. T. Política de segurança da informação– Guia prático para elaboração e implementação. Rio de Janeiro: CiênciaModerna Ltda., 2008.FONSECA, D. S. Análise do padrão HL7 para sistemas de informaçãohospitalares. São Paulo: USP, 2008.FONTES, E. L. G. Praticando a segurança da informação. Rio de Janeiro:Brasport, 2008.JUNIOR, A. L. Uma metodologia eficiente para recuperação de examesmédicos dicom por similaridade de características visuais. Florianópolis:UFSC, 2007.KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Imagens Médicas:uma revisão. São Paulo: USP, 2006.KROLLI, J.; D’ORNELLAS; M. C., FONTOURA; L. M. Desenvolvimento desistemas de gestão da segurança da informação através da integraçãodas normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM). SantaMaria: UFSM, 2010.MAIA, R. S. Um sistema de telemedicina de baixo custo em larga escala.Florianópolis: USFC, 2006.NATIONAL ELETRICAL MANUFACTURES ASSOCIATION. Digital Imagingand Communications in Medicine: Part 17: Explanation Information.USA, 2008.
  18. 18. NOBRE, A. C. S..; RAMOS, A. S. M; NASCIMENTO, T. C. Adoção depráticas de gestão de segurança da informação: um estudo comgestores públicos. Belo Horizonte: UNA, 2011.PEREIRA, S. R.; PAIVA, P. B.; TOQUETTI, L. Z. RICCI, D; LODDI, S, A.Segurança na arquitetura de sistemas informatizados. Botucatu: FATEC,2010.SALOMÃO, S. C. Integrando Sistemas de Auxílio ao Diagnóstico noSistema Gerenciador de Imagens Médicas. São Carlos: USP, 2010.SANTOS, A. M. R. C. Segurança nos sistemas de informaçãohospitalares: políticas, práticas e avaliação. Braga: Universidade doMinho, 2007.SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE. Manual deCertificação para Sistemas de Registro Eletrônico em Saúde. São Paulo,SBIS, 2009.NOBRE, L. F.; WANGENHEIM, A. V.; MAIA, R. S.; FERREIRA, L.;MARCHIORI, E. Certificação Digital de Exames em Teleradiologia: UmAlerta Necessário. Florianópolis: UFSC, 2007.TONG, C. K. S.; WONG, E. T. T. Governance of Picture Archiving andCommunications Systems: Data Security and Quality Management ofFilmless Radiology. United States of America: Information ScienceReference, 2009.WAGNER, R.; Processos de desenvolvimento de software confiáveisbaseados em padrões de segurança. Santa Maria: UFSM, 2011.

×