As estratégias de saúde governamentais somadas à crescente demanda por acesso a informações clínicas e pessoais sejam pelas organizações e profissionais de saúde ou pelos próprios pacientes, tem demandado a implantação metódica de medidas de segurança adequadas nas mais diversas áreas das organizações de saúde, as quais devem atender as regulamentações vigentes e colaborar para a melhora no atendimento e redução de custos.
A palestra aborda os desafios que as organizações de saúde enfrentam e àqueles que estão por vir, ilustra ainda a complexidade relacionada à conectividade e controle de acessos, apontando as melhores práticas de segurança, conforme o enfoque ISC-CISSP.
4. DemandasDiretrizes Saúde
Saúde está Doente
Melhoria no Atendimento
Redução de Custos
Assertividade
Otimização de Recursos
Identificação de Tendências
Políticas Melhor Orientadas
Planejamento
Melhorar Auditoria
"Accuratissima Brasiliae Tabula" de 1597
5. ProntuáriosDiretrizes Digitalização
Digitalização de Prontuários
Resolução 1.821 de 2007
Aprova as normas técnicas concernentes à
digitalização e uso dos sistemas
informatizados para a guarda e manuseio
dos documentos dos prontuários dos
pacientes, autorizando a eliminação do
papel e a troca de informação identificada
em saúde
"Accuratissima Brasiliae Tabula" de 1597
6. CFM Conselho Federal de Medicina
O que deve constar no Prontuário
(Resolução 1638, Art, 5)
Identificação (nome, nascimento,
endereço, etc)
Anamnese (entrevista), Exames,
diagnóstico e suas Hipóteses,
tratamento realizado
Evolução diária com detalhes dos
Procedimentos
ProntuáriosDiretrizes Conteúdo
7. PNIIS Política Nacional de Informática e
Informação em Saúde
Registro eletrônico disponível nas várias instituições
nas quais o paciente for atendido (Mar/2004)
Assim, as atividades que tem foco no indivíduo,
independente do seu aspecto preventivo ou curativo, se
beneficiam de um registro eletrônico, usualmente
chamado de "Prontuário Eletrônico do Paciente",
que permite recuperar de forma integrada toda a
informação disponível sobre o mesmo, ao longo do
tempo e das várias instituições com que tem
contato. Parágrafo 1, página 16,
http://bvsms.saude.gov.br/bvs/publicacoes/PoliticaInformacaoSaude29_03_2004.pdf
ProntuáriosDiretrizes Digitalização
13. Diagnósticos
Custos
Erros
Garantir Privacidade
Identificação Paciente
Propriedade do
Paciente
Compartilhamento
Acessos Devidos
Armazenamento
Padrões
Chave Pública BR
autenticidade, integridade e validade jurídica
Diretos e
IndiretosBenefícios
Prontuário
Digital
Segurança
Padrões
Garantias
14. Padrões
Diagnósticos
Custos
Erros
Identificação e
Autenticação (CIA)
Confidencialidade, Integridade e Disponibilidade
Controle de Sessão
Geração e Recuperação
de Cópias de Segurança
Confiabilidade e
Segurança dos Dados
Auditoria e Registro (log)
Certificação Digital e
Assinatura Digital
Diretos e
IndiretosBenefícios
Prontuário
Digital
Exigências CFM
Segurança
15. Padrões
Diagnósticos
Custos
Erros
Dependência de
Sistemas
Duração Consulta
Resistência
Exposição de Conduta
Imagem Institucional
Implementação
Prontuário em Papel é
Considerado Público
Diretos e
IndiretosBenefícios
Prontuário
Digital
Dificuldades
Segurança
17. AmparoDiretrizes Legal
Garantias
Constituição de 1988, Artigo 5
Inviolabilidade do direito à
segurança, abrangendo:
Sigilo de dados
Intimidade, vida privada, honra e imagem
Código de Defesa Consumidor, Artigo 5
Dá o direito de acesso aos pacientes aos
seus dados em prontuários
18. Penalidades
Código Penal, Artigos 153 e 154
Divulgar sem justa causa informações
pessoais que possam produzir dano a
outrem, incluindo:
Informações contidas ou não em sistemas
de informação ou bancos de dados da
administração pública
Revelar segredo obtido em razão de
função para prejudicar a outrem.
AmparoDiretrizes Legal
19. Autorização do Paciente
A resolução 1.605/2000 (CFM, 2000)
Garante privacidade e impede que sejam
reveladas informações do
prontuário sem sua autorização.
Onde a comunicação de doença é
compulsória, o médico deve comunicar
somente a autoridade competente.
AmparoDiretrizes Legal
20. Administrativas
Gestão de Riscos
Políticas de Sanções
Análise de Atividade nos
Sistemas
Controle de Acesso
Proteção contra MalWares
Monitoramento de logs
Resposta a Incidentes
Plano de contingência
Contratos Escritos entre
Parceiros
DiretrizesHIPAA Proteção
Instalações Físicas
Operações em
contingência
Plano de Proteção das
Instalações
Acesso Restrito as
Estações de Trabalho
Estações com
Funcionalidade e
Atribuições Mapeadas
Controle de mídias
Técnicas
Controle de Acesso (identificação unívoca de
usuário, procedimentos de acesso de
emergência, logout automático, encriptação)
Auditoria
Integridade (mecanismos para autenticar PEP
eletrônico)
Autenticação de Pessoas e Entidades
Transmissão (integridade e encriptação)
Health Insurance
Portability and
Accountability Act
21. Falha de Programação
EUA Indiana – 187k Registros Trocados
(Jul/2013) In one of the largest HIPAA breaches
reported this year, the Indiana Family and Social
Services Administration is notifying 187,533 clients
that their protected health information,
financial and employment data and, in many cases,
Social Security numbers have been compromised
following a computer programming glitch.
This error caused documents being sent to
clients to be duplicated and also inserted
with documents sent to other clients.
Violação
HIPAACasos Reais Privacidade
22. 277mil microfilmes
descartados e não destruídos
Texas – 277k Microfilmes Descartados
(Jul/2013) In the biggest HIPAA privacy
breach of 2013 -- and among the largest to
date -- Texas Health Harris Methodist Fort
Worth is notifying some 277,000 patients that
their protected health information has been
compromised after several hospital
microfilms, which were supposed to
be destroyed, were found in various
public locations.
Violação
HIPAACasos Reais Privacidade
24. RiscosQuestões Consciência
Brasileiros são os que mais se preocupam com
violação de dados em instituições de saúde -
InfoMoney (Jul/2013)
Quando perguntados sobre ameaças relacionadas à
violação de dados causada pela perda acidental,
roubo ou ação de hackers em empresas que
hospedam seus dados pessoais, 93% dos
brasileiros afirmaram se preocupar com
essa questão nas empresas da área de
saúde.
Essa conclusão contraria a média mundial, que em
geral considera o setor de saúde como um dos mais
seguros no que diz respeito à proteção dos dados
pessoais.
25. Hospital (Rede Interna)
WEB
Troca de Informações
Médicas Intermunicipais
Paciente
(Acesso Doméstico)
Troca de Informações Médicas entre Organizações
Clínica
Hospital
Laboratório
HTTP
HL7
SOAP
Diversidade de Formas de Acesso
aos Dados do Paciente
Médico
(Acesso Consultório)
RiscosQuestões
Ambiente
Distribuído
26. Acesso
Diferentes Níveis de Permissão
Menor Permissão Possível
Diversidade de Sistemas
Integração dos Sistemas
Distribuídos
Performance
Disponibilidade
Criptografia
Centralizado
Pré-carga
CuidadosQuestões
Ambiente
Distribuído
32. Segurança em Geral
Auxiliar as Organizações a
Implantar Medidas de
Segurança
Credibilidade Perante
Clientes
ISO e ANSPadrões Segurança
ISO 27000
33. Gestão Estruturada de
Segurança
Abordagem Sistemática
(sistema de gestão da segurança da
informação)
Escritório de Segurança
Documentação de Ativos
Análise de Riscos Contínua
Riscos Direcionam
Controles 27002 a Escolher
ISO e ANSPadrões Segurança
ISO 27000
ISO 27001
Conforme
Grau de
Exposição
34. Lista de Boas Práticas
Abrange Cada uma das
Partes da Estrutura do
Negócio
recursos humanos, ambientais,
equipamentos e sistemas
Implantação Gradual
Gestão de Riscos
ISO e ANSPadrões Segurança
ISO 27000
ISO 27001
ISO 27002
35. ISO 27002
Normas Específicas para
Saúde
Identificação de Ativos
Fórum Determine Diretrizes
de Segurança
Guarda e Manuseio do PEP
Contratos de SLA
Treinamento
Desligamento de RH
Termo de Compromisso
ISO e ANSPadrões Segurança
ISO 27000
ISO 27001
ISO 27799
37. Brasil – Distrito Federal
“As informações referentes às pessoas atendidas
na Recanto das Emas podem ser compartilhadas
entre todas as outras unidades de saúde
que fazem parte do projeto GDF, considerada a maior
iniciativa de integração de informações no setor de
saúde pública brasileiro. “Com isso, o atendimento se
torna mais humano e eficiente”, explica Vogt. “Além
disso, há uma enorme economia para o governo
que pode reduzir significativamente o uso de papel e a
repetição de exames perdidos”.
Casos ReaisConclusão Distrito Federal
38. Brasil – Uberlândia
“O prontuário eletrônico está em fase inicial de
implantação e Uberlândia faz parte das duas cidades do
interior do país que foram contempladas nesse início de
processo. O software tem o objetivo agilizar o atendimento
e reduzir a quantidade de exames.
O profissional de saúde terá acesso a
informações do paciente como consultas,
exames e todos os procedimentos realizados através do
Sistema Único de Saúde, e essas informações
estarão disponíveis nos prontuários
médicos de cada cidadão”.
GLOBO.COM
Casos ReaisConclusão Uberlância
39. EUA – Rhode Island
There are health IT programs, including the development of
the Nationwide Health Information Network (NwHIN) a
large network that stores patient records.
These will help move health care to a process where
information is stored and shared securely and electronically.
Health information will follow the patient
and be available for clinical decision making as well as for
uses beyond direct patient care, such as measuring quality of
care.
Casos ReaisConclusão Rhode Island