Os riscos derivados de aplicativos web de Prontuários eletrônicos
Por Jomar Nascimento
As soluções digitais estão cada vez mais presentes no cotidiano dos profissionais de saúde, que buscam otimizar suas rotinas por meio da tecnologia. O desenvolvimento e a adoção de inovações tecnológicas é acelerado e, muitas vezes, não permite que o entendimento de segurança chegue aos usuários. Ainda existe uma falta de conhecimento de variáveis tecnológicas que afetam diretamente o mercado da saúde, já que os médicos têm responsabilidade direta sobre as informações de seus pacientes e para qual fim elas estão sendo utilizadas. Essa lacuna se aplica aos aplicativos web, muito utilizados por profissionais que buscam softwares de gestão para suas clínicas ou consultórios.
Um aplicativo web – ou web app – é um site responsivo, que se comporta como um aplicativo. Neste caso, os aplicativos são executados na internet, o que quer dizer que os dados são processados e armazenados dentro da internet, podendo ser acessado de qualquer tipo de navegador, através de uma URL. Práticos, são cada vez mais usados, porém escondem riscos importantes, que precisam ser considerados.
Afinal, que riscos um web app traz para o usuário e seus pacientes?
Muitos profissionais de saúde buscam uma solução simples e prática para gerir suas clínicas e, neste processo de decisão – muitas vezes direcionada por preço e praticidade – optam por um web app para gerenciar prontuários, controlar agenda, gestão financeira do estabelecimento, dentre outros. Porém, esse processo de decisão precisa considerar outros critérios mais complexos e profundos. A questão é maior que a simplificação da rotina médica, que é o princípio básico da busca do médico por softwares de gestão. Vai além: é uma questão legal e reputacional.
Aplicações web funcionam para transações de baixo risco, leitura de notícias, redes sociais e jogos online, por exemplo. Porém, se exige algum nível de segurança, não deveria ser uma opção a ser considerada. Entenda quais são os riscos.
Falta de supervisão e marketing irresponsável: Aplicações Web não são supervisionadas como os aplicativos, já que não existe nada que controle este ecossistema. Um exemplo clássico é o caso de aplicações de softwares médicos que prometem ser HIPAA Compliant (HIPPA foi aprovada em 1996 e é a lei de portabilidade e responsabilidade de seguro saúde – Health insurance portability and accountability act). Esse “claim” é comum, mas é no mínimo uma visão limitada com a finalidade de atrair atenção dos profissionais. Na prática, isso não faz nenhum sentido. O que ocorre, na verdade, é que por estarem em um datacenter certificado HIPAA, empresas usam esse argumento na tentativa de gerar mais vendas de clientes preocupados com segurança. No entanto, nem o aplicativo, nem a infraestrutura do fornecedor, nem mesmo a operação do aplicativo são certificados. O claim utilizado para iludir o usuário é apenas um pequeno exemplo de diversas outras inconsistências que existem em vários níveis.
Apps distribuídos em lojas de todos os sistemas operacionais têm regras para que sejam disponibilizados e, em caso de qualquer inconsistência, falha, não cumprimento de regras e até mesmo má fé, os mesmos não são publicados ou são retirados da loja até que os problemas sejam resolvidos. Esta supervisão garante ao usuário um certo nível de segurança.
Violação de dados: Aplicações Web dependem diretamente do navegador, onde qualquer configuração de segurança incorreta pode abrir portas para terceiros terem acesso aos dados do usuário. As instituições bancárias já perceberam isso há algum tempo e começaram a exigir a instalação de componentes de segurança complementares, além de incentivar a migração da aplicação web para seus Apps disponibilizados nas lojas oficiais de aplicativos. Essa lógica deveria se aplicar também ao mercado de saúde, que trabalha com dados sensíveis e sigilosos dos pacientes e dos próprios médicos.
Flexibilizações de segurança: Outro ponto ainda mais crítico é que para que para aplicações Web possam executar funções mais avançadas, como assinatura digital e acesso a periféricos, são necessárias flexibilizações de segurança no navegador, instalação de componentes adicionais não verificados e, muitas vezes, executadas durante a primeira execução do “site”. O usuário acaba não tomando conhecimento e fica exposto. A validação do certificado que garante a criptografia nas aplicações Web é bastante limitada, o que pode viabilizar hackers a interceptar a comunicação, mesmo quando se tenta garantir a validade dos certificados de segurança nas pontas. Uma validação completa e eficaz só é possível em apps nativos.
Não atualização do navegador: Outro ponto crítico é a não atualização do navegador, uma vez que periodicamente são implementadas correções e melhorias que, se não instaladas, deixam o usuário vulnerável.
Levar informação é responsabilidade do setor com as pessoas
A educação dos profissionais de saúde é fundamental para manter a sua segurança e a dos seus pacientes. A LGPD (Lei Geral de Proteção de Dados) determina que os indivíduos são proprietários de seus dados. Porém, o termo de consentimento, exigido em muitas clínicas que estão trabalhando para se adequar à LGPD, não exime o profissional da responsabilidade sobre estes dados, o que significa que a decisão por usar um software, app ou plataforma deve ser uma escolha consciente e responsável. Neste caso, análises rasas não são suficientes. É preciso compreender os níveis de segurança aplicadas ao seu negócio, pois além de profissionais de saúde, médicos também exercem o papel de gestores.
Qual seria então a melhor alternativa para uma aplicação Web? As soluções cloud (em nuvem) reais contam com aplicativos disponibilizados nas lojas oficiais de cada sistema operacional e oferecem um ecossistema mais completo, seguro e supervisionado. Estes representam a próxima geração de aplicações, que já estão sendo oferecidas pelas empresas atualizadas tecnologicamente e preocupadas com a segurança de seus clientes.
A busca crescente dos profissionais de saúde por apps seguros e por empresas com histórico positivo e preocupação legítima com segurança, é um dever. Somente assim será possível garantir o alinhamento com a lei, com a ética e com a segurança de todos os envolvidos. Afinal, violação de privacidade é coisa séria!
*Jomar Nascimento é Diretor Geral e Co-Fundador da ProDoctor.