Telemedicina: como garantir a segurança de dados do paciente
Atualizado em 13 de agosto de 2024 por Redação
Quando o assunto é segurança de dados do paciente, o primeiro ponto a se destacar é a proteção da tríade CID: confidencialidade, integridade e disponibilidade. Estes três fundamentos ganharam importância ainda maior com a Lei Geral de Proteção dos Dados (LGPD), que entra em vigor em agosto de 2020.
Veja neste artigo no que consistem estes três pilares, como se aplicam na área da saúde, o que muda com a lei de proteção de dados, de que forma as clínicas médicas podem garantir a segurança das informações dos pacientes nos serviços de telemedicina e a que fatores devem estar atentas na hora de contratar este serviço.
Os três pilares da segurança de dados do paciente
Os fundamentos da segurança de informações independem do formato em que elas serão disponibilizadas (de forma escrita, em imagens ou vídeo, por exemplo). Eles estão relacionados com a garantia da segurança das informações. Entenda cada um dos pilares a seguir:
Confidencialidade:
Consiste em garantir que só pessoas autorizadas tenham acesso à informação;
Integridade:
É a garantia de que as informações estejam no formato verdadeiro e somente possam ser alteradas por pessoas autorizadas;
Disponibilidade:
É permitir que este recurso ou dado esteja disponível quando ele for necessário.
Além desta tríade, temos o conceito de autenticidade, que consiste em garantir que a identidade de quem está enviando a informação é legítima, e, por último, a irretratabilidade, onde o autor não pode negar a autoria ou que fez determinada ação.
Todos estes conceitos ganham importância ainda maior com a LGPD, que normatiza a privacidade dos dados sensíveis do paciente, ou seja, os dados que possam identificá-lo. Ela foi aprovada em agosto de 2018 e passa a valer após 24 meses, ou seja, em agosto de 2020.
O que muda com a nova lei
A lei número 13.709, publicada no Diário Oficial da União em agosto de 2018, visa ampliar a segurança de dados de todo usuário de internet e o fim do compartilhamento de suas informações sem prévia autorização. Além disso, obriga empresas a deixarem claro para os usuários qual a finalidade de pedirem as suas informações.
Na área da saúde este assunto é ainda mais sensível, visto que a troca de informações entre dados de pacientes entre laboratórios, clínicas, hospitais e serviços de telemedicina é uma prática usual e necessária para qualidade do estudo e do diagnóstico.
Logo, todas precisarão adequar os seus sistemas de forma a garantirem o cumprimento de todos os requisitos impostos pela nova lei.
A LGPD estabelece que o uso indevido de dados pessoais sensíveis de pacientes ou o vazamento destas informações são passíveis de multa de 2% do faturamento da empresa, podendo chegar a até R$ 50 milhões.
Para garantir a segurança de dados do paciente, considera-se uso indevido:
- Compartilhamento não autorizado de informações pessoais;
- Venda de dados dos usuários (prática comum hoje entre empresas de marketing, por exemplo);
- Falta de cuidado de coleta, armazenamento, uso ou descarte destes dados pessoais sensíveis.
Portanto, na área médica, a troca de informações de pacientes entre laboratórios e clínicas ou hospitais, por exemplo, ou entre serviços de telemedicina e clínicas não poderá ocorrer sem uma autorização por escrito do paciente.
Além disso, será necessário contratar serviços de inteligência avançada que ofereçam sistemas seguros contra a ação de hackers, já que o vazamento de informação por fragilidade do sistema também terá penalidade.
Segurança de dados do paciente na telemedicina
O processo de emissão de laudos à distância, ou seja, da telemedicina, é realizado por meio da transmissão de dados dos exames diretamente dos equipamentos para uma central médica.
Depois do médico especialista laudar o exame, a central devolve automaticamente o laudo para a clínica que o solicitou.
Para que todo este processo ocorra com sucesso é fundamental que seja feito por meio de um ambiente confiável e seguro.
É importante ressaltar que a LGPD considera que a responsabilidade sobre dados pessoais é de toda a cadeia. Isso quer dizer que, caso haja qualquer tipo de falha na proteção das informações ou uso indevido dos dados, tanto a empresa responsável pelo serviço de tecnologia da informação (TI) contratada quanto o contratante responderão pela ocorrência.
Ao contratar um serviço de telemedicina, a clínica ou hospital deve se certificar de que o mesmo garante e cumpre todos os fundamentos citados acima.
Como garantir a proteção de dados dos pacientes
Mas o que garante a proteção das informações e que estes fundamentos sejam respeitados? Existem algumas questões técnicas que os sistemas devem ter para garantir a segurança de dados do paciente:
- Criptografia de ponta-a-ponta – criptografar significa codificar ou embaralhar uma mensagem a ponto de ela ficar ininteligível na origem, e decodificá-la no destino, onde somente quem tem a regra correta de decodificação, ou seja somente alguém autorizado, consegue fazê-lo.
Para garantir a segurança de dados do paciente é necessário fazer isso em todas as etapas do processo: desde a obtenção do exame no equipamento até o médico, no retorno do laudo (quando este for feito via telemedicina), armazenamento deste exame e depois o acesso a essa informação pela clínica e pelo paciente. Para garantir a confidencialidade dos dados é preciso ter um sistema de criptografia em todos os pontos. - Sistema de validação de transferência dos arquivos – uma vez que um sistema fizer um upload de um exame de uma clínica, precisa de algum tipo de validação de checksum ou hash para garantir a integridade dos dados ao médico, ou seja, que o arquivo não sofreu alterações ou foi corrompido durante o processo.
- Sistema de armazenamento seguro – é importante averiguar se o servidor conta com um sistema seguro de armazenamento destes exames para garantir que estes dados estejam disponíveis quando necessário. Vale lembrar que de acordo a resolução 1.821/07 do Conselho Federal de Medicina (CFM), todos exames de imagens e laudos são de responsabilidade da instituição de saúde por 20 anos, ou seja, é importante contratar um bom parceiro para ter acesso a estes dados mesmo depois de tanto tempo.
- Acesso individualizado – Também é importante que todos os usuários e senhas atualizados no sistema tenham um nível de segurança alto para evitar que algum usuário possa ser utilizado indevidamente. Além disso, é importante que cada usuário tenha o seu perfil com as liberações adequadas de acordo com as necessidades da sua função. Por exemplo, permissões diferentes para médicos, dono da clínica ou colaborador do setor administrativo.
- Assinatura digital – Garante a autenticidade dessas informações. É como um carimbo digital.
- Rastreabilidade – Além de tudo isso, todos as trocas de dados entre médicos e clínica e serviço de telemedicina, devem ser armazenados com os respectivos usuários e datas, para auditorias futuras.
Fatores importantes a considerar na contratação de uma empresa de telemedicina
Ao contratar um serviço de telemedicina, é importante verificar se a empresa oferece:
- Senha segura – verificar a complexidade da senha deste serviço de telemedicina, que deve ter letras, números, caracteres especiais e se há uma política de troca de senha após determinado período, como a cada seis meses, por exemplo.
- Cadastro dos usuários – averiguar se o gestor da clínica tem autonomia para criar e bloquear usuários no sistema quando precisar, independente da telemedicina;
- Acesso criptografado – verificar se a aplicação utiliza HTTPS, ou seja, no browser apresenta um cadeado informando que a conexão é segura.
- Prevenção de vulnerabilidades: as versões dos browsers exigidas para utilização das aplicações da telemedicina estão atualizados? É importante acompanhar as versões mais novas para utilizar as correções de vulnerabilidades.
- Aplicativos de mensagem – é importante verificar que este serviço de telemedicina não utiliza aplicativos de mensagens gratuito ou e-mail para enviar os laudos. Vale lembrar que uma vez envolvido um serviço de terceiros que é gratuito, perde-se a confidencialidade destes dados. Isso porque perde-se o controle de quem vai manipular estes dados e para onde eles vão;
- Armazenamento de dados – é também necessário verificar qual nuvem a telemedicina está utilizando para armazenar todos estes dados. Esse ambiente já está compatível com alguma outra regra de proteção de dados, como o HIPPA (Health Insurance Portability and Accountability Act), americana ou GDPR (General Data Protection Regulation), europeia? Se sim, isso é um ponto positivo pois mostra que este ambiente já está alinhado com as regras da lei brasileira.
Conclusão
Conforme mencionado neste artigo, a segurança de dados do paciente deixou de ser apenas uma questão ética. Virou obrigação por lei, sob pena de multas que podem chegar a valores exorbitantes.
A responsabilidade sobre estas informações não é mais exclusiva das empresas de TI. Portanto, as clínicas de saúde, hospitais e demais instituições da área precisam já se familiarizar com este processo e buscar criteriosamente empresas que cumpram todas as exigências impostas.
A Portal Telemedicina, por exemplo, é uma empresa que investe em inovação e tem um produto na área de tecnologia que atende a medicina que está em conformidade com as exigências do CFM. Além disso, cumpre os requisitos das leis de segurança de dados internacionais, como a GDPR, implementada pela União Europeia, e o HIPPA Americano, para aumentar o rigor quanto a proteção de dados e identidade de seus cidadãos.
Na hora de buscar um serviço de telemedicina é importante certificar se a empresa atende a todos os fundamentos que embasam a segurança de dados do paciente.
Além de garantir a modernização da sua unidade, reduzir custos, agilizar o retorno dos laudos e ser uma forma da sua clínica ter acesso aos melhores profissionais de cada área para laudar exames, a contratação de um serviço de telemedicina dentro de todos estes requisitos será um aliado na adequação da nova lei de proteção de dados.
Saiba mais sobre os produtos e serviços da Portal Telemedicina.