Segurança da Informação e Dados: os desafios no setor de saúde
Por Bruna Travassos e Marcello Albuquerque
Seja qual for a área de atuação de uma empresa, sabemos que a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em setembro de 2020, ainda é motivo de preocupação em estar compliance com as suas normativas. No entanto, não devemos pensar isoladamente em LGPD, mas contemplar a famosa tríade de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.
Nesse novo cenário, o setor de saúde certamente é de alta criticidade, porque lida com vidas, além de ser um dos seguimentos que mais tratam de dados sensíveis.
É sabido que o compartilhamento necessário de dados no ecossistema da saúde é frágil diante das exigências da Lei, já que abrange desde clínicas médicas, hospitais, laboratórios, farmácias, pacientes e agentes de saúde e a toda a esfera pública, como o sistema do SUS. O alcance dos dados, portanto, vai desde o registro de um simples cadastro em um consultório até a entrada em um PS de um Hospital (público ou privado). Ao mesmo tempo, é interessante que os resultados clínicos passem a entender a jornada do paciente, coletando desde informações biométricas – com monitoramento remoto – até dados coletados em cada prestador, dessa forma a interoperabilidade passa ser imperativa.
Como estabelecer uma cultura forte de segurança dessas informações nesse fluxo constante, amplo e frenético de informações sensíveis? Com certeza há que se promover melhores práticas para alinhamento ao cenário evolutivo de Segurança da Informação. E com certeza, a LGPD é um caminho para se apoiar, como, por exemplo, o texto da lei que é amplamente apoiado na finalidade, adequação e necessidade para o tratamento de dados pessoais, direcionando que ocorra com propósitos legítimos, específicos, explícitos e informados e compatíveis com a finalidade informada e limitados ao mínimo necessário. Dessa forma, não se trata de frear a interoperabilidade, ou seja, a tríade de Segurança da Informação pode ser garantida por meio de recursos como avaliação e apetite aos riscos, encriptação, certificação digital, entre outros.
Não existe bala de prata
Para ter um ambiente seguro, apoiado nas melhores práticas de Segurança da Informação e ser adequado à LGPD, não existe “bala de prata”. A Lei veio para nos ajudar a proteger os dados pessoais e organizar a forma como isso acontece, padronizando e criando regras para o jogo. O melhor caminho é procurar uma abordagem que se adapte a cada negócio. Mas é essencial que exista o apoio total e irrestrito da alta gestão da empresa.
Para isso, é preciso realizar um assessment completo do ambiente e mapear todo o ciclo de vida do dado, que é fundamental para traçar estratégias e ações que podem ir desde a formação de um comitê para as estratégias de Segurança da Informação e Privacidade de Dados, até implementação de soluções, redesenho de processos, treinamentos etc. Mas o ideal é que isso seja realizado de forma integrada, com apoio jurídico – quando envolver legislação – pensando nos processos, sistemas e infraestrutura.
As adequações às práticas atuais envolvem atenção aos riscos de vazamento, infrações, disponibilidade, integridade, políticas de proteção de dados sensíveis, capacitação em segurança, investigação e rastreabilidade. Vale ressaltar que a cultura de Segurança da Informação e Privacidade de Dados precisa ser assimilada pela organização – imposição de práticas desconexas com o contexto do negócio traz mais dúvidas do que soluções.
Pensando em LGPD, um ponto importante para facilitar a gestão de conformidade é o cuidado no momento da coleta de dados. Quais são realmente necessários? Para qual finalidade servirão? Por exemplo, é realmente relevante saber a orientação sexual daquele paciente?
É primordial ter base(s) legal(is) da LGPD para padronizar procedimentos em cada área do hospital ou clínica, laboratórios, entre outros atores do ecossistema de saúde. E para essa adequação de maneira integral e uníssona, o único caminho é o treinamento em todas as áreas e em todas as esferas.
Riscos de vida e à imagem
Proteger os dados para preservar a privacidade do paciente é uma inegável evolução que é observada na Segurança da Informação, empoderando os direitos do paciente, já que a proteção de dados inadequada ou inexistente também pode colocar em risco a vida de pessoas. É preciso garantir a segurança da informação com tecnologias e políticas de segurança para evitar ataques de hackers. Ao mesmo tempo, apenas possuindo uma visão holística da jornada do paciente será possível sair de uma visão centrada na doença para uma visão centrada na saúde. Com planejamento e o uso adequado de tecnologias, não estamos diante de uma “escolha de Sofia”.
Podemos citar como exemplo desse risco um Hospital na Alemanha, que, recentemente, sofreu um ataque de ransomware, que exigia resgate para a retirada de vírus que afetaram os sistemas. Por conta desse episódio, uma mulher morreu após não conseguir atendimento de emergência.
Podemos citar ainda um estudo do Gary and Mary West Health Institute que diz que 50% das enfermeiras já viram um erro médico em função da falta de interoperabilidade.
Nesse panorama, a Segurança da Informação e Proteção de Dados precisa contar, muito além de recursos tecnológicos, também com a responsabilidade de cada profissional da área de saúde, que representa a empresa onde trabalha nesse processo. A tecnologia é uma aliada que viabiliza esse compromisso e vem simplificando o dia a dia de médicos e paramédicos, antecipando diagnósticos e ajudando a salvar vidas.
*Bruna Travassos e Marcello Albuquerque, gerente de Consultoria para segurança e diretor de Consultoria com foco no setor de saúde, respectivamente.