Venda de dados da saúde: As 3 perguntas que podem evitar riscos

Por Jomar Nascimento

Todos nós conhecemos alguém ou até já fomos vítimas de tentativas de golpes financeiros. De maneira geral, os criminosos, cada vez mais rebuscados em suas estratégias, se aproveitam do pouco conhecimento sobre segurança digital das pessoas para alcançar seus objetivos.

No primeiro semestre de 2021, os golpes contra clientes de banco cresceram 165% em relação ao mesmo período em 2020, de acordo com levantamento realizado pela Federação Brasileira de Bancos (Febraban).

Sim, os dados bancários valem muito na dark web, mas vamos te contar algo muito impressionante: os dados de um paciente, hoje, podem valer 50 vezes mais que dados bancários!

Segundo o Relatório Anual da Apura Cyber Intelligence, em 2021, a área da saúde foi a terceira mais atacada no Brasil por ransomware, ficando atrás apenas de Governo e Indústria.

Por que a venda de dados da Saúde se tornou tão estimada?

Você já parou para pensar por que não temos os mesmo cuidados com os dados de Saúde que temos com os dados bancários? Dados bancários nos remetem imediatamente à dinheiro, o que é verdade. Porém, os dados de Saúde valem ainda mais, gerando prejuízos desastrosos.

Por que então não se fala muito sobre isso? Porque querem te fazer acreditar que não é necessário todo este cuidado e que o mundo de hoje é movido a dados, “então, fazer o quê?” Mas a realidade é dura e precisamos falar sobre isso. Os dados da saúde movem tantos outros mercados, que lucram com base nas informações de pacientes, expondo diversos atores a riscos, inclusive os profissionais de saúde.

O diretor da consultoria de negócios Peers Consulting, Alexandre Sgarbi, explica que “as informações de um paciente não mudam nunca e podem nutrir detalhes para golpes ainda maiores do que um desvio do saldo bancário”. Afinal, quem compra essas informações pessoais sensíveis, consegue, por exemplo, fraudar seguro de vida, com valores muito maiores do que um roubo de cartão.

O que diz a lei?

A LGPD diz que é totalmente proibida a comunicação ou o uso compartilhado entre controladores de dados referentes à Saúde com o objetivo de obter vantagem econômica.

É comum concordarmos, sem muita noção da proporção desta decisão – em usar algum sistema que expõe nossos dados, compartilham ou até vendem para terceiros. Milhares de médicos e outros profissionais da Saúde permitem que seus dados e os de seus pacientes trafeguem entre plataformas integradas. As pessoas podem pensar que esta é a realidade e não há muito o que fazer. Ou ainda, podem acreditar que o compartilhamento de dados é algo inovador, tendência do futuro e não há como fugir disso.

Não, não é bem assim. É preciso mudar essa mentalidade.

Com o grande fluxo de troca de informações no ambiente digital, muitos profissionais da Saúde buscam sistemas que sejam capazes de se comunicar entre si, o que chamamos de interoperabilidade. Este é um conceito muito válido, porém existe uma linha tênue entre o que pode ou não ser comunicado para outros elementos e a finalidade do uso desta informação. A interoperabilidade só faz sentido se beneficiar o indivíduo, no caso, o paciente, dono de seus dados.

Entretanto, o que acontece é a comercialização dos dados. O exemplo mais simbólico é o marketplace de medicamentos, inclusive, já proibido pelo CFM, na Resolução Nº 2.299/2021.

Inovação de verdade é aquela que simplifica sua vida e se preocupa com a sua segurança.

Como saber se os sistemas que você usa te fazem correr riscos legais, reputacionais e operacionais?

1. O sistema possui banco de dados isolado por cliente?

A resposta que você deve receber é “sim”. Inúmeros ataques hackers acontecem em banco de dados gigantescos, como foram os casos recentes da Renner e do Conecte SUS.

Quando isso ocorre e o sistema não tem um banco de dados isolado, milhares de pessoas são vítimas de exposição de dados. Ou seja, basta um único ataque para impactar milhares de usuários.

2. O sistema tem apps nativos ou são aplicações web (browser, site responsivo)?

É comum encontrarmos por aí soluções que se dizem em nuvem ou até mesmo aplicativos, mas que são páginas web responsivas compartilhadas com os usuários.

O aplicativo nativo é muito mais rápido, seguro e confiável. Isso porque ele consegue utilizar todos os recursos oferecidos pelos smartphones e tablets, proporcionando uma melhor experiência para o usuário.

As clínicas e consultórios que optam por usar sistemas web, ou seja, sites responsivos executados na internet, acessam o sistema a partir de qualquer tipo de navegador, através de uma URL, que são suscetíveis a injeção de códigos maliciosos, malwares, permitindo a invasão por hackers. Ou seja, não é prático; é muito perigoso.

3. O sistema tem um prescritor próprio ou utiliza uma solução complementar?

Fique atento para não cair na cilada de prescrever eletronicamente em sistemas gratuitos e/ou integrados aos softwares. Eles não atendem aos requisitos legais, éticos e podem te expor a muitos riscos. Fuja do pensamento de “todo mundo usa”. Vamos te explicar porquê.

Existem várias opções de prescritores no mercado e o que você precisa saber na hora de escolher qual usar é se segue todos os preceitos éticos, sem jamais vender ou compartilhar seus dados e de seus pacientes; se está 100% alinhado à LGPD e se atende à nova Resolução do CFM Nº 2.299/2021.

Não poderia deixar de falar da HIPAA. Afinal, ela é uma certificação eficaz para quem opera no Brasil?

Nos Estados Unidos, devido à alta exposição a ciberataques, existem certificações para segurança da informação na Saúde. Uma delas é bastante conhecida, a HIPAA, sigla para Health Insurance Portability and Accountability Act.

Na verdade, a HIPAA é uma lei estrangeira aplicável apenas no território americano e válida para o mercado de Saúde de lá. A HIPAA serviu como um exemplo importante de segurança da informação, quando o Brasil ainda não tinha uma legislação clara dedicada ao assunto.

Dizer ser “HIPAA Compliant” é uma abordagem comumente utilizada por empresas de softwares brasileiras, porém na prática, para ser HIPAA Compliant é preciso ser uma empresa americana, que siga as leis vigentes naquele país.

Muitas vezes, empresas brasileiras estão em um datacenter certificado HIPAA, ou seja, têm um parceiro americano, que atende a essa lei. No entanto, nem o aplicativo, nem a infraestrutura do fornecedor, nem mesmo a operação do aplicativo são certificados. Portanto, a afirmação é falsa e é usada apenas para a busca da credibilidade, baseada em sua boa fé.

Hoje, no Brasil, a Lei Geral de Proteção de Dados (LGPD) é a lei que regulariza o ambiente digital e é ela que deve ser considerada

Com o crescimento exponencial de soluções no mercado e um ambiente altamente competitivo, muitas empresas escolhem caminhos mais “fáceis”, fabricando números e fazendo promessas vazias, ao invés de evoluir suas soluções de verdade. Avalie a fundo as comunicações, posicionamento e histórico antes de tomar a decisão de ter um parceiro e/ou um fornecedor para a sua clínica e para você.

Sistemas seguros, empresas com histórico positivo e preocupação legítima com segurança são o único caminho para se construir o futuro dos negócios e das pessoas.


*Jomar Nascimento é CEO da ProDoctor

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Importante: A Medicina S/A usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Veja nossa Política de Privacidade.