Este documento resume o processo de certificação SBIS/CFM para sistemas de registro eletrônico de saúde no Brasil. A certificação tem como objetivos melhorar a qualidade e segurança destes sistemas e garantir o cumprimento de normas técnicas. O processo inclui autoavaliação, adequação do sistema, auditoria externa e emissão de selo de certificação válido por dois anos.

1. Certificação de Registros Eletrônicos
de Saúde
O Que Há de Novo na Certificação
SBIS/CFM v.4.1 2013/2014
Renato M.E. Sabbatini, PhD, CPHIMS
Instituto Edumed
Programa EduCert
Instituto HL7 Brasil

2. Prof. Renato M.E. Sabbatini
 Graduado e doutorado pela Faculdade de Medicina de Ribeirão
Preto da USP (1968 e 1977)
 Professor Adjunto da Faculdade de Medicina da UNICAMP,
fundador e diretor do Núcleo de Informática Biomédica (1983-
2003)
 Fundador e ex-presidente da Sociedade Brasileira de
Informática em Saúde (SBIS, 1986), Diretor de Educação e
Capacitação Profissional (2008-2012)
 Ex-diretor de Informática Médica da AMB (1997-2000)
 Fundador e presidente do Instituto Edumed (2000-presente)
 Fundador e presidente da Sabbatini Consultores Associados
 Secretário Geral e Diretor de Educação do Instituto HL7 Brasil
 Coordenador do Programa EduCert (2013-presente)

3. www.educert.com.br
 Cursos
 Formação de
auditores e
consultores
 Consultoria de pré-auditoria
 Consultoria de
desenvolvimento e
aperfeiçoamento de
SRES
 Utilização de padrões

4. Clientes EduCert
 Mais de 60 empresas
atendidas em cursos
 Mais de 30 empresas
atendidas em
consultorias
 Preparação pré-auditoria
de 12 das 25
certificações SBIS
 100% de aprovações
em primeira instância

5. Tópicos da apresentação
 Motivação e objetivos da certificação
 Histórico da certificação
 O processo da certificação
 Escopo da certificação
 Conceitos, normas e condições da certificação
 A versão 4.1: o que há de novo
 Validade da certificação
 Extensão da certificação
 O Processo para a extensão da certificação
 Uso da informação relacionada com a certificação
 O futuro da certificação SBIS/CFM
 Como saber mais

6. Motivação da certificação
 Eliminação do prontuário em papel
 Demanda por parte de fornecedores
de soluções
 Anseio por parte dos médicos
(Conselho Federal de Medicina) e
dentistas (CFO)
 Elevado número de softwares para
hospitais e consultórios sem garantia
de segurança e qualidade

7. Objetivos da Certificação
 Melhoria da qualidade dos SRES;
 Conscientização do mercado quanto à importância de
funcionalidades básicas em SRES.
 Redirecionar as prioridades de investimentos em
informática em saúde visando a melhoria da qualidade,
segurança e eficiência
 Contribuir para a confidencialidade e privacidade das
informações de saúde e garantir a legalidade das
informações armazenadas nestes sistemas pelo uso de
tecnologia reconhecida no país (ICP/Brasil).
 Aumentar o uso da informática em saúde no Brasil, e em
consequência, melhorar a eficiência e a eficácia do sistema
de saúde brasileiro.

8. Cooperação SBIS/CFM
 Uma resolução normativa (CFM 1821/2007),
que definiu alguns pontos importantes e
regulamentou o uso de SRES,
principalmente no que diz respeito aos
quesitos de segurança e proteção da
confidencialidade, e já prevendo que o CFM
emitiria certificados digitais para os médicos
brasileiros (CRM Digital);
 Um conjunto de normas e requisitos pela
SBIS, de certificação de software para
SRES, com base na resolução acima citada

9. Certificação SBIS/CFM
 O Processo de Certificação SBIS/CFM
destina-se, genericamente, a Sistemas de
Registro Eletrônico de Saúde (S-RES).
 É voluntária
 Qualquer sistema que capture, armazene,
apresente, transmita ou imprima
informação identificada em saúde
 Ainda é opcional, porém poderá vir a ser
obrigatória
 Em novembro de 2014: 25 sistemas
certificados pela SBIS.

10. Histórico da certificação
 Certificação Fase 1 – 2004
 Manual de Requisitos de Segurança, Conteúdo e
Funcionalidades para Sistemas de Registro Eletrônico
em Saúde (RES) V2.1 – Fev-2004
 Auto declaração
 70 empresas se declararam conformes
 Resolução 1821-2007
 Aprova as normas técnicas concernentes à digitalização
e uso dos sistemas informatizados para a guarda e
manuseio dos documentos dos prontuários dos
pacientes, autorizando a eliminação do papel e a troca
de informação identificada em saúde.

11. Histórico da certificação
 Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde - ver 3.2. de agosto de 2008
 Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde - ver 3.3 Maio-2009.
 Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde – ver 4.1 novembro-2013
 Manual Operacional de Testes e Ensaios – ver 1.0
Maio de 2009
 Manual Operacional de Testes e Ensaios – ver 2.0
– Outubro de 2009

12. Histórico da certificação

13. Histórico da certificação

14. O processo de certificação
• Semelhante aos processos de acreditação hospitalar
e/ou certificações ISO
• A Certificação SBIS-CFM estabelece que a auditoria
seja realizada por equipe especializada, que verifica se
os requisitos obrigatórios para a categoria selecionada
são atendidos pelo S-RES.
• A auditoria é realizada por meio de uma bateria de
testes que testam detalhadamente o S-RES em
condições reais de operação
• Os auditores são membros titulares da SBIS,
selecionados, treinados, credenciados.

15. Etapas da certificação: auto-exame
 Analisar a documentação sobre o
processo de certificação disponível no
sítio da SBIS na Internet;
 Verificar se o S-RES a ser certificado
atende a todos os requisitos
obrigatórios para as categorias
desejadas;
 Os requisitos de segurança são
obrigatórios para qualquer categoria

16. Etapas da certificação:
adequação
 Realizar a bateria de testes internamente em
sua instituição, conforme descrito no Manual
Operacional de Ensaios e Análises;
 Modificar o S-RES nos pontos em que obteve-se
conformidade parcial ou não-conformidade;
 Nessa fase pode ser interessante obter os
serviços de uma consultoria especializada em
preparação para a auditoria;
 Após atingir 100% de conformidade, iniciar
formalmente o processo para obtenção da
Certificação SBIS/CFM.

17. Fases da Pré-Auditoria
 Fase I: Análise item a item dos
requisitos e dos scripts para
certificação, segundo o Manual
 Fase IIa: Ajustes e modificações do
software para os itens não conformes
 Fase IIb: Re-execução dos scripts de
auditoria. Declaração de conformidade
 Fase III: Preparação para a auditoria,
simulação da auditoria, ajustes finais.

18. Exemplo de estatísticas de
conformidade em uma empresa
ÁREA SIM PARCIAL NÃO NÃO APLICATotal
NGS1 19 5 11 3 38
NGS2 0 0 12 0 12
FUNC 12 1 5 0 18
ESTR 14 0 7 0 21
TISS 14 0 0 0 14
Total NGS 19 5 23 3 50
% 38,00% 46,00%
Total s/ TISS 45 6 35 3 89
50,50% 59,30%
Total c/TISS 59 6 35 3 103
% 57,20% 5,80% 40,00% 2,90%
 Conformidade geral: baixa (38 % NGSs,
50% ítens exceto TISS, 57,2% incluindo
TISS)

19. Exemplo de relatório

20. Selo de Certificação SBIS/CFM

21. Escopo da certificação
 Categorias e Enquadramento
 Assistencial
 Ambulatorial
 SADT (ainda não disponível)
 GED (ainda não disponível)
 TISS (só na versão 3.3)
 Níveis de Garantia de Segurança
 NGS1
 NGS2

22. Modelo de Certificação 2013 v.4

23. Componentes do S-RES
 Para a auditoria o S-RES deverá ser
identificado através de cada um de seus
componentes, ou seja, a infraestrutura
necessária e todos os componentes de
software e hardware que serão
utilizados no processo de certificação.
 Sistema Operacional
 SGBD/ Banco de dados e conectores
 Arquitetura do S-RES (cliente/servidor, ASP, ...)
 Sistema de diretórios (AD, LDAP)

24. Componentes alternativos
 Lista contendo SOs e SGBDs para os quais o S-RES
também funciona e produzem exatamente
os mesmos efeitos no que tange à
conformidades dos requisitos deste manual.
 Na eventualidade de uma aprovação na
auditoria a SBIS publicará as duas listas de
componentes esclarecendo o que foi testado e o
que foi apenas declarado pelo solicitante.
 Caso uma configuração alternativa não
preservar as características, será gerada uma
violação grave.

25. Configurações e versões do S-RES
 Configuração de S-RES
 São as características dos componentes do
S-RES que são avaliados no processo de
auditoria.
 Versões de S-RES
 Cada certificação está relacionada a uma
versão específica do S-RES, testada no
processo de auditoria e totalmente de
acordo com os requisitos estabelecidos.

26. Modificações sem necessidade
de recertificação
 Pequenos Ajustes
 Modificação no nome do produto
 Consertos de bugs cujo objetivo primário
é apenas o de corrigir o funcionamento
do S-RES.
 Pequenas modificações na interface com
o usuário (cores, fontes, estilos de
botões...).
 Adição de novas funcionalidades ou
módulos fora do escopo da certificação

27. Mudanças com necessidade de
recertificação
 Ajustes Relevantes
 Remoção de qualquer funcionalidade ou
módulo essencial para a obtenção da
certificação.
 Substituição de bibliotecas ou componentes
de software.
 Remodelagem significativa da interface com o
usuário, por exemplo, mudando a estrutura
dos menus, nomenclatura de telas, etc.
 Substituição de componentes internos.

28. Manutenção da conformidade
 O cliente poderá, opcionalmente, declarar que
a nova versão de um S-RES certificado
mantém total conformidade com a versão
certificada, não havendo necessidade de
extensão da certificação.
 A responsabilidade é da empresa solicitante.
 Destaque para o requisito NGS1.01.03.
 A falta com a verdade poderá ser considerada
uma violação grave.

29. Violações graves do contrato
 Penalidades previstas no contrato que
poderão acarretar:
 O cancelamento do certificado.
 Proibição de submeter o S-RES ao
processo de certificação por um período
de um ano.

30. Validade da certificação
 O Certificado SBIS/CFM será valido por
um período calculado da seguinte forma:
 Dois anos, a partir da emissão, ou
 Um ano a contar da publicação pela SBIS de
uma nova versão do Manual de Certificação
S-RES
 O que ocorrer depois.
 Assim um certificado nunca terá validade
inferior a dois anos.

31. Exemplos de validade

32. Validade da certificação [2]
 Quando da publicação de uma nova versão do
Manual de Certificação S-RES durante um
período de 90 dias poderão ser emitidos
Certificados SBIS/CFM com base na versão
anterior;
 A SBIS poderá estender a certificação para
outras configurações ou versões de um S-RES já
certificado, desde que tal extensão seja obtida
durante o período de validade da certificação do
S-RES original, ou seja, até 90 dias do
lançamento de uma nova versão

33. Condições para a extensão
 Nova configuração ou nova versão;
 O responsável deverá declarar que as
alterações estão na categoria de pequenos
ajustes, listando-as detalhadamente;
 A SBIS avaliará e poderá conceder a
extensão;
 Trata-se de falta grave a não comunicação
de alterações, podendo acarretar o
cancelamento da certificação.

34. Uso da informação sobre a
certificação
 Referências ao Estado de S-RES
Certificado
 O nome da empresa ou instituição
 O nome do produto certificado
 A versão do produto certificado
 O ano-base dos requisitos considerados na
certificação
 Data de emissão do selo
 As categorias certificadas

35. Instrumentos formais
 Ficha de Inscrição para Certificação
 Contrato de Certificação
 Certificado (Diploma de Certificação)
 Selo de Certificação SBIS/CFM
 Ficha de Inscrição para Extensão de
Certificação
 Termo de Extensão de Certificação

36. Procedimento de inscrição
 Ficha de Inscrição
 Contrato de Certificação
 Atendimento por ordem de inscrição
 Avaliação inicial da adequação do
sistema para certificação (NOVO!)
 Gerente do Centro de Certificação
 Secretaria Administrativa

37. Preparação
 Seleção dos auditores
 Agendamento
 Montagem do ambiente e do sistema
 Instalá-lo em um microcomputador da SBIS
 Levá-lo já instalado em um microcomputador
 Acessá-lo diretamente através da internet
 Acessá-lo indiretamente através da internet (ex.:
VNC, PC Anywhere, etc.)
 Algum outro meio equivalente

38. Preparação
 Montagem dos cenários para os scripts
 Personagens
 Prontuários
 Material de apoio (manuais,
aplicativos, etc)
 Reunião de preparação (SBIS e
Solicitante)
 Eventual reagendamento

39. Execução da auditoria
 Na sede da SBIS, em São Paulo
 1 a 3 profissionais do Solicitante
 3 Auditores Seniores
 Auditores Trainees
 Duração de 1 a 3 dias
 Sessões gravadas (vídeo e audio)
 Execução dos scripts de teste
 Preenchimento do caderno de resultados
 Reunião no final da sessão
 Parecer dos auditores
 Possibilidade de ajustes e 2º ciclo de auditoria

40. Taxas e preços
NGS1 + Assistencial: R$ 14.400,00
NGS2 + Assistencial: R$ 18.000,00
NGS2 + Assistencial + TISS: R$ 21.600,00
Taxa de Inscrição: R$ 100,00
Taxa de Extensão (pequenos ajustes): 3% da Certif.
Taxa de Extensão (ajustes relevantes): 20% a 80% da Certif.
Taxa de 2º Ciclo de Auditoria: 20% a 50% da Certif.
Taxa de Reagendamentode Auditoria: 10% da Certif.

41. Versão 4.1: O que há de novo
Alerta:
Essa versão ainda deve sofrer
modificações

42. Alteração da categorização do
escopo
 NGS1
 Obrigatório para todos
 Passou a incorporar parte do NGS2 da
versão anterior (autenticação)
 NGS2: opcional:
 Só assinatura
 GED
 ECF: Assistencial e/ou ambulatorial
 TISS 3.2 não suportado

43. NGS1: Novidades
 Requisitos para autenticação biométrica
 Compatibilidade retroativa com versões anteriores do
software
 Aviso ao usuário sobre o último acesso ao sistema
 Parâmetros mínimos de segurança
 Reautenticar o usuário em alguns casos
 Cópia de segurança deve ser armazenada em repositório
com controle de acesso
 Deve alertar quando o BD está chegando ao limite
 Testar se CPF, CNPJ, CNAES, CNS. Etc. não estão
duplicados na base de usuários e pacientesCH

44. NGS1.08: Auditoria
 03: Conteúdo da trilha
 04: Operações que geram auditoria
 05: Interface de visualização das
trilhas de auditoria

45. NGS1.09: Documentação
 01: Manuais em português. Manuais
para visão geral,
instalação/configuração, idem
componentes complementares, forma
de configuração é operação segura
 04: Configuração do operador do
backup no manual de segurança
 ...outros

46. NGS1.12: Autenticação com
Certificado Digital
 Totalmente novo
 03: Todos os que utilizam assinatura
com ICP-Brasil devem autenticar com
ICP-Brasil

47. NGS1.13: Privacidade
 01: Exibir mensagem de confidencialidade
e uso apropriado, usuário deve aceitar
 02: Consentimento do paciente
 03: Associação do consentimento à
informação
 04: Acesso de emergência
 05: Propósito de uso
 06: Restrição de exportação
 07: Restrição para transmissão e
exportação

48. NGS2.2: Assinatura Digital
 01: Formato de assinatura: DOC-ICP-15 para a
normatização da AD-RB, AD-RV e AD-RC, bem
como o selo cronológico
 15: Encadeamento de registros com AD e
 16: Validação do encadeamento
 17: Assinatura de contingência: por outro
profissional, fica pendente de assinatura pelo
profissional que tinha seu CD indisponivel
 18: Aviso de pendência de assinatura

49. ESTR
 01.03: Independência de hardware, software, aplicativo,
SO, etc.,das informações compartilhadas
 02.01: Condição holística do paciente (ex.: situação
funcional, problemas, condições, ambientais, etc.)
 03.02: Identificar univocamente o paciente, profissional,
tipo de local de atendimento, etc.
 04.02: Registrar descrição e método do exame
 05.01: Conversão de unidades de medida
 05.08: Períodos de tempo, momentos aproximados,
alternados
 06.01: Faixas de normalidade e atributos e contextos
relativos à mensuração – em campos estruturados
 07.01: Registrar o contexto temporal de uma observação

50. FUNC
 04.01: Funcionalidade de alertas, lembretes e avisos
 04.06: Mensagens claras e legíveis e em português
 04.07: Rótulos de campos claros e legíveis
 11.02: Resolução adequada de imagens
 11.03: Informação sobre imagens
 16.01 a 04: Registrar consentimentos informados,
informar sobre consentimento, registrar propósitos,
bwm como data e hora
 18.06: Registrar o papel do profissional de saúde
 27.01: Compatibilidade entre versões
 28.01: Direito de acesso apenas aos profissionais de
saúde indicado pelo paciente

51. O futuro da certificação
SBIS/CFM
 Novas categorias previstas:
 GED
 SADT, principalmente disponibilização de
laudos pela rede
 Internação hospitalar
 Requisitos ECF totalmente remodelados, em
conformidade com ISSO
 Uso de terminologias padronizadas e
modelos de interoperabilidade
 Certificação de práticas e processos

52. Adoção de padrões pelo
Ministério da Saúde
 Registro Eletrônico em Saúde (RES): OpenEHR
 Interoperabilidade entre sistemas: HL7 - Health Level 7.
 Codificação de termos clínicos: SNOMED-CT
 Interoperabilidade com sistemas de saúde suplementar:
TISS
 Arquitetura do documento clínico: HL7 CDA.
 Exames de imagem: DICOM.
 Codificação de exames laboratoriais: LOINC
 Modelos de conhecimento: ISO 13606-2.
 Identificadores de pacientes: IHE-PIX
 Classificações: CID, CIAP-2, TUSS e CBHPM

53. www.educert.com.br

54. Programa do Curso de Capacitação em
Certificação de SRES
 Introdução à Certificação
 Introdução à segurança dos RES
 Análise de requisitos NGS1
 Introdução ao certificado digital
 Análise de requisitos NGS2
 Introdução à estrutura e
funcionalidades
 Análise de requisitos ECF
 Análise de requisitos GED
 Análise de requisitos TISS
 Procedimentos da auditoria SBIS
 Dois dias (16 h presenciais, 8 h a
distância)

55. Site de Inscrição – Curso Introdutório
www.edumed.org.br/cursos/certificacao-CPS.html

56. Dados de Contato
Dr. Renato M.E. Sabbatini
Sabbatini Consultores Associados
renato@sabbatini.com
http://renato.sabbatini.com
Tel. (19) 3287-5958

57. Copyright desta apresentação
Copyright © 2012 Renato Marcos Endrizzi Sabbatini
Para todo o conteúdo de autoria própria. Proibida a
reprodução, distribuição e comercialização por
quaisquer meios, eletrônicos ou impressos, sem a
autorização por escrito do autor.