Este documento resume o processo de certificação SBIS/CFM para sistemas de registro eletrônico de saúde no Brasil. A certificação tem como objetivos melhorar a qualidade e segurança destes sistemas e garantir o cumprimento de normas técnicas. O processo inclui autoavaliação, adequação do sistema, auditoria externa e emissão de selo de certificação válido por dois anos.
1. Certificação de Registros Eletrônicos
de Saúde
O Que Há de Novo na Certificação
SBIS/CFM v.4.1 2013/2014
Renato M.E. Sabbatini, PhD, CPHIMS
Instituto Edumed
Programa EduCert
Instituto HL7 Brasil
2. Prof. Renato M.E. Sabbatini
Graduado e doutorado pela Faculdade de Medicina de Ribeirão
Preto da USP (1968 e 1977)
Professor Adjunto da Faculdade de Medicina da UNICAMP,
fundador e diretor do Núcleo de Informática Biomédica (1983-
2003)
Fundador e ex-presidente da Sociedade Brasileira de
Informática em Saúde (SBIS, 1986), Diretor de Educação e
Capacitação Profissional (2008-2012)
Ex-diretor de Informática Médica da AMB (1997-2000)
Fundador e presidente do Instituto Edumed (2000-presente)
Fundador e presidente da Sabbatini Consultores Associados
Secretário Geral e Diretor de Educação do Instituto HL7 Brasil
Coordenador do Programa EduCert (2013-presente)
3. www.educert.com.br
Cursos
Formação de
auditores e
consultores
Consultoria de pré-auditoria
Consultoria de
desenvolvimento e
aperfeiçoamento de
SRES
Utilização de padrões
4. Clientes EduCert
Mais de 60 empresas
atendidas em cursos
Mais de 30 empresas
atendidas em
consultorias
Preparação pré-auditoria
de 12 das 25
certificações SBIS
100% de aprovações
em primeira instância
5. Tópicos da apresentação
Motivação e objetivos da certificação
Histórico da certificação
O processo da certificação
Escopo da certificação
Conceitos, normas e condições da certificação
A versão 4.1: o que há de novo
Validade da certificação
Extensão da certificação
O Processo para a extensão da certificação
Uso da informação relacionada com a certificação
O futuro da certificação SBIS/CFM
Como saber mais
6. Motivação da certificação
Eliminação do prontuário em papel
Demanda por parte de fornecedores
de soluções
Anseio por parte dos médicos
(Conselho Federal de Medicina) e
dentistas (CFO)
Elevado número de softwares para
hospitais e consultórios sem garantia
de segurança e qualidade
7. Objetivos da Certificação
Melhoria da qualidade dos SRES;
Conscientização do mercado quanto à importância de
funcionalidades básicas em SRES.
Redirecionar as prioridades de investimentos em
informática em saúde visando a melhoria da qualidade,
segurança e eficiência
Contribuir para a confidencialidade e privacidade das
informações de saúde e garantir a legalidade das
informações armazenadas nestes sistemas pelo uso de
tecnologia reconhecida no país (ICP/Brasil).
Aumentar o uso da informática em saúde no Brasil, e em
consequência, melhorar a eficiência e a eficácia do sistema
de saúde brasileiro.
8. Cooperação SBIS/CFM
Uma resolução normativa (CFM 1821/2007),
que definiu alguns pontos importantes e
regulamentou o uso de SRES,
principalmente no que diz respeito aos
quesitos de segurança e proteção da
confidencialidade, e já prevendo que o CFM
emitiria certificados digitais para os médicos
brasileiros (CRM Digital);
Um conjunto de normas e requisitos pela
SBIS, de certificação de software para
SRES, com base na resolução acima citada
9. Certificação SBIS/CFM
O Processo de Certificação SBIS/CFM
destina-se, genericamente, a Sistemas de
Registro Eletrônico de Saúde (S-RES).
É voluntária
Qualquer sistema que capture, armazene,
apresente, transmita ou imprima
informação identificada em saúde
Ainda é opcional, porém poderá vir a ser
obrigatória
Em novembro de 2014: 25 sistemas
certificados pela SBIS.
10. Histórico da certificação
Certificação Fase 1 – 2004
Manual de Requisitos de Segurança, Conteúdo e
Funcionalidades para Sistemas de Registro Eletrônico
em Saúde (RES) V2.1 – Fev-2004
Auto declaração
70 empresas se declararam conformes
Resolução 1821-2007
Aprova as normas técnicas concernentes à digitalização
e uso dos sistemas informatizados para a guarda e
manuseio dos documentos dos prontuários dos
pacientes, autorizando a eliminação do papel e a troca
de informação identificada em saúde.
11. Histórico da certificação
Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde - ver 3.2. de agosto de 2008
Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde - ver 3.3 Maio-2009.
Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde – ver 4.1 novembro-2013
Manual Operacional de Testes e Ensaios – ver 1.0
Maio de 2009
Manual Operacional de Testes e Ensaios – ver 2.0
– Outubro de 2009
14. O processo de certificação
• Semelhante aos processos de acreditação hospitalar
e/ou certificações ISO
• A Certificação SBIS-CFM estabelece que a auditoria
seja realizada por equipe especializada, que verifica se
os requisitos obrigatórios para a categoria selecionada
são atendidos pelo S-RES.
• A auditoria é realizada por meio de uma bateria de
testes que testam detalhadamente o S-RES em
condições reais de operação
• Os auditores são membros titulares da SBIS,
selecionados, treinados, credenciados.
15. Etapas da certificação: auto-exame
Analisar a documentação sobre o
processo de certificação disponível no
sítio da SBIS na Internet;
Verificar se o S-RES a ser certificado
atende a todos os requisitos
obrigatórios para as categorias
desejadas;
Os requisitos de segurança são
obrigatórios para qualquer categoria
16. Etapas da certificação:
adequação
Realizar a bateria de testes internamente em
sua instituição, conforme descrito no Manual
Operacional de Ensaios e Análises;
Modificar o S-RES nos pontos em que obteve-se
conformidade parcial ou não-conformidade;
Nessa fase pode ser interessante obter os
serviços de uma consultoria especializada em
preparação para a auditoria;
Após atingir 100% de conformidade, iniciar
formalmente o processo para obtenção da
Certificação SBIS/CFM.
17. Fases da Pré-Auditoria
Fase I: Análise item a item dos
requisitos e dos scripts para
certificação, segundo o Manual
Fase IIa: Ajustes e modificações do
software para os itens não conformes
Fase IIb: Re-execução dos scripts de
auditoria. Declaração de conformidade
Fase III: Preparação para a auditoria,
simulação da auditoria, ajustes finais.
18. Exemplo de estatísticas de
conformidade em uma empresa
ÁREA SIM PARCIAL NÃO NÃO APLICATotal
NGS1 19 5 11 3 38
NGS2 0 0 12 0 12
FUNC 12 1 5 0 18
ESTR 14 0 7 0 21
TISS 14 0 0 0 14
Total NGS 19 5 23 3 50
% 38,00% 46,00%
Total s/ TISS 45 6 35 3 89
50,50% 59,30%
Total c/TISS 59 6 35 3 103
% 57,20% 5,80% 40,00% 2,90%
Conformidade geral: baixa (38 % NGSs,
50% ítens exceto TISS, 57,2% incluindo
TISS)
21. Escopo da certificação
Categorias e Enquadramento
Assistencial
Ambulatorial
SADT (ainda não disponível)
GED (ainda não disponível)
TISS (só na versão 3.3)
Níveis de Garantia de Segurança
NGS1
NGS2
23. Componentes do S-RES
Para a auditoria o S-RES deverá ser
identificado através de cada um de seus
componentes, ou seja, a infraestrutura
necessária e todos os componentes de
software e hardware que serão
utilizados no processo de certificação.
Sistema Operacional
SGBD/ Banco de dados e conectores
Arquitetura do S-RES (cliente/servidor, ASP, ...)
Sistema de diretórios (AD, LDAP)
24. Componentes alternativos
Lista contendo SOs e SGBDs para os quais o S-RES
também funciona e produzem exatamente
os mesmos efeitos no que tange à
conformidades dos requisitos deste manual.
Na eventualidade de uma aprovação na
auditoria a SBIS publicará as duas listas de
componentes esclarecendo o que foi testado e o
que foi apenas declarado pelo solicitante.
Caso uma configuração alternativa não
preservar as características, será gerada uma
violação grave.
25. Configurações e versões do S-RES
Configuração de S-RES
São as características dos componentes do
S-RES que são avaliados no processo de
auditoria.
Versões de S-RES
Cada certificação está relacionada a uma
versão específica do S-RES, testada no
processo de auditoria e totalmente de
acordo com os requisitos estabelecidos.
26. Modificações sem necessidade
de recertificação
Pequenos Ajustes
Modificação no nome do produto
Consertos de bugs cujo objetivo primário
é apenas o de corrigir o funcionamento
do S-RES.
Pequenas modificações na interface com
o usuário (cores, fontes, estilos de
botões...).
Adição de novas funcionalidades ou
módulos fora do escopo da certificação
27. Mudanças com necessidade de
recertificação
Ajustes Relevantes
Remoção de qualquer funcionalidade ou
módulo essencial para a obtenção da
certificação.
Substituição de bibliotecas ou componentes
de software.
Remodelagem significativa da interface com o
usuário, por exemplo, mudando a estrutura
dos menus, nomenclatura de telas, etc.
Substituição de componentes internos.
28. Manutenção da conformidade
O cliente poderá, opcionalmente, declarar que
a nova versão de um S-RES certificado
mantém total conformidade com a versão
certificada, não havendo necessidade de
extensão da certificação.
A responsabilidade é da empresa solicitante.
Destaque para o requisito NGS1.01.03.
A falta com a verdade poderá ser considerada
uma violação grave.
29. Violações graves do contrato
Penalidades previstas no contrato que
poderão acarretar:
O cancelamento do certificado.
Proibição de submeter o S-RES ao
processo de certificação por um período
de um ano.
30. Validade da certificação
O Certificado SBIS/CFM será valido por
um período calculado da seguinte forma:
Dois anos, a partir da emissão, ou
Um ano a contar da publicação pela SBIS de
uma nova versão do Manual de Certificação
S-RES
O que ocorrer depois.
Assim um certificado nunca terá validade
inferior a dois anos.
32. Validade da certificação [2]
Quando da publicação de uma nova versão do
Manual de Certificação S-RES durante um
período de 90 dias poderão ser emitidos
Certificados SBIS/CFM com base na versão
anterior;
A SBIS poderá estender a certificação para
outras configurações ou versões de um S-RES já
certificado, desde que tal extensão seja obtida
durante o período de validade da certificação do
S-RES original, ou seja, até 90 dias do
lançamento de uma nova versão
33. Condições para a extensão
Nova configuração ou nova versão;
O responsável deverá declarar que as
alterações estão na categoria de pequenos
ajustes, listando-as detalhadamente;
A SBIS avaliará e poderá conceder a
extensão;
Trata-se de falta grave a não comunicação
de alterações, podendo acarretar o
cancelamento da certificação.
34. Uso da informação sobre a
certificação
Referências ao Estado de S-RES
Certificado
O nome da empresa ou instituição
O nome do produto certificado
A versão do produto certificado
O ano-base dos requisitos considerados na
certificação
Data de emissão do selo
As categorias certificadas
35. Instrumentos formais
Ficha de Inscrição para Certificação
Contrato de Certificação
Certificado (Diploma de Certificação)
Selo de Certificação SBIS/CFM
Ficha de Inscrição para Extensão de
Certificação
Termo de Extensão de Certificação
36. Procedimento de inscrição
Ficha de Inscrição
Contrato de Certificação
Atendimento por ordem de inscrição
Avaliação inicial da adequação do
sistema para certificação (NOVO!)
Gerente do Centro de Certificação
Secretaria Administrativa
37. Preparação
Seleção dos auditores
Agendamento
Montagem do ambiente e do sistema
Instalá-lo em um microcomputador da SBIS
Levá-lo já instalado em um microcomputador
Acessá-lo diretamente através da internet
Acessá-lo indiretamente através da internet (ex.:
VNC, PC Anywhere, etc.)
Algum outro meio equivalente
38. Preparação
Montagem dos cenários para os scripts
Personagens
Prontuários
Material de apoio (manuais,
aplicativos, etc)
Reunião de preparação (SBIS e
Solicitante)
Eventual reagendamento
39. Execução da auditoria
Na sede da SBIS, em São Paulo
1 a 3 profissionais do Solicitante
3 Auditores Seniores
Auditores Trainees
Duração de 1 a 3 dias
Sessões gravadas (vídeo e audio)
Execução dos scripts de teste
Preenchimento do caderno de resultados
Reunião no final da sessão
Parecer dos auditores
Possibilidade de ajustes e 2º ciclo de auditoria
40. Taxas e preços
NGS1 + Assistencial: R$ 14.400,00
NGS2 + Assistencial: R$ 18.000,00
NGS2 + Assistencial + TISS: R$ 21.600,00
Taxa de Inscrição: R$ 100,00
Taxa de Extensão (pequenos ajustes): 3% da Certif.
Taxa de Extensão (ajustes relevantes): 20% a 80% da Certif.
Taxa de 2º Ciclo de Auditoria: 20% a 50% da Certif.
Taxa de Reagendamentode Auditoria: 10% da Certif.
41. Versão 4.1: O que há de novo
Alerta:
Essa versão ainda deve sofrer
modificações
42. Alteração da categorização do
escopo
NGS1
Obrigatório para todos
Passou a incorporar parte do NGS2 da
versão anterior (autenticação)
NGS2: opcional:
Só assinatura
GED
ECF: Assistencial e/ou ambulatorial
TISS 3.2 não suportado
43. NGS1: Novidades
Requisitos para autenticação biométrica
Compatibilidade retroativa com versões anteriores do
software
Aviso ao usuário sobre o último acesso ao sistema
Parâmetros mínimos de segurança
Reautenticar o usuário em alguns casos
Cópia de segurança deve ser armazenada em repositório
com controle de acesso
Deve alertar quando o BD está chegando ao limite
Testar se CPF, CNPJ, CNAES, CNS. Etc. não estão
duplicados na base de usuários e pacientesCH
44. NGS1.08: Auditoria
03: Conteúdo da trilha
04: Operações que geram auditoria
05: Interface de visualização das
trilhas de auditoria
45. NGS1.09: Documentação
01: Manuais em português. Manuais
para visão geral,
instalação/configuração, idem
componentes complementares, forma
de configuração é operação segura
04: Configuração do operador do
backup no manual de segurança
...outros
46. NGS1.12: Autenticação com
Certificado Digital
Totalmente novo
03: Todos os que utilizam assinatura
com ICP-Brasil devem autenticar com
ICP-Brasil
47. NGS1.13: Privacidade
01: Exibir mensagem de confidencialidade
e uso apropriado, usuário deve aceitar
02: Consentimento do paciente
03: Associação do consentimento à
informação
04: Acesso de emergência
05: Propósito de uso
06: Restrição de exportação
07: Restrição para transmissão e
exportação
48. NGS2.2: Assinatura Digital
01: Formato de assinatura: DOC-ICP-15 para a
normatização da AD-RB, AD-RV e AD-RC, bem
como o selo cronológico
15: Encadeamento de registros com AD e
16: Validação do encadeamento
17: Assinatura de contingência: por outro
profissional, fica pendente de assinatura pelo
profissional que tinha seu CD indisponivel
18: Aviso de pendência de assinatura
49. ESTR
01.03: Independência de hardware, software, aplicativo,
SO, etc.,das informações compartilhadas
02.01: Condição holística do paciente (ex.: situação
funcional, problemas, condições, ambientais, etc.)
03.02: Identificar univocamente o paciente, profissional,
tipo de local de atendimento, etc.
04.02: Registrar descrição e método do exame
05.01: Conversão de unidades de medida
05.08: Períodos de tempo, momentos aproximados,
alternados
06.01: Faixas de normalidade e atributos e contextos
relativos à mensuração – em campos estruturados
07.01: Registrar o contexto temporal de uma observação
50. FUNC
04.01: Funcionalidade de alertas, lembretes e avisos
04.06: Mensagens claras e legíveis e em português
04.07: Rótulos de campos claros e legíveis
11.02: Resolução adequada de imagens
11.03: Informação sobre imagens
16.01 a 04: Registrar consentimentos informados,
informar sobre consentimento, registrar propósitos,
bwm como data e hora
18.06: Registrar o papel do profissional de saúde
27.01: Compatibilidade entre versões
28.01: Direito de acesso apenas aos profissionais de
saúde indicado pelo paciente
51. O futuro da certificação
SBIS/CFM
Novas categorias previstas:
GED
SADT, principalmente disponibilização de
laudos pela rede
Internação hospitalar
Requisitos ECF totalmente remodelados, em
conformidade com ISSO
Uso de terminologias padronizadas e
modelos de interoperabilidade
Certificação de práticas e processos
52. Adoção de padrões pelo
Ministério da Saúde
Registro Eletrônico em Saúde (RES): OpenEHR
Interoperabilidade entre sistemas: HL7 - Health Level 7.
Codificação de termos clínicos: SNOMED-CT
Interoperabilidade com sistemas de saúde suplementar:
TISS
Arquitetura do documento clínico: HL7 CDA.
Exames de imagem: DICOM.
Codificação de exames laboratoriais: LOINC
Modelos de conhecimento: ISO 13606-2.
Identificadores de pacientes: IHE-PIX
Classificações: CID, CIAP-2, TUSS e CBHPM
54. Programa do Curso de Capacitação em
Certificação de SRES
Introdução à Certificação
Introdução à segurança dos RES
Análise de requisitos NGS1
Introdução ao certificado digital
Análise de requisitos NGS2
Introdução à estrutura e
funcionalidades
Análise de requisitos ECF
Análise de requisitos GED
Análise de requisitos TISS
Procedimentos da auditoria SBIS
Dois dias (16 h presenciais, 8 h a
distância)
55. Site de Inscrição – Curso Introdutório
www.edumed.org.br/cursos/certificacao-CPS.html
56. Dados de Contato
Dr. Renato M.E. Sabbatini
Sabbatini Consultores Associados
renato@sabbatini.com
http://renato.sabbatini.com
Tel. (19) 3287-5958