É fato que, até mesmo por influência da Lei Geral de Proteção de Dados (LGPD), as empresas brasileiras estão cada vez mais se organizando e repensando as formas como armazenam seus dados. Essa percepção do valor de proteger as informações é crescente, sobretudo na saúde. Afinal, os dados dos pacientes precisam de um tratamento cuidadoso, para evitar tanto vazamentos quanto acessos maliciosos, roubos ou modificações de conteúdo de prontuários.
Visando esclarecer quais são os melhores caminhos para garantir a segurança e o nível de proteção de dados necessários no atendimento aos pacientes, a 1ª edição do Telemedicina Evolution Forum, que aconteceu no dia 12 de setembro e foi transmitida por meio do YouTube, contou com painel exclusivo para debater o tema. Melhores práticas, ferramentas, legislação e até mesmo a importância que as pessoas têm nesse processo foram pontos abordados. Entre os painelistas estavam Victor Prata, coordenador do Grupo de Trabalho Segurança da Informação e Proteção de Dados da Saúde Digital Brasil (SDB); Fabiano Carrijo, CIO da Conexa e cofundador da Psicologia Viva; e Italo Calvano, vice-presidente da Claroty para a América Latina.
O debate permeou os inúmeros desafios regulatórios que o setor enfrenta. Atualmente, existe uma série de normas que podem ser aplicadas e inúmeras autoridades envolvidas nesse processo. Entre elas estão a Agência Nacional da Vigilância Sanitária (Anvisa), a Agência Nacional de Saúde Suplementar (ANS), a Agência Nacional de Proteção de Dados (ANPD), o Conselho Federal de Medicina (CFM) e o próprio Ministério da Saúde. Em se tratando de saúde digital, somam-se a esses requisitos as normas que regulam a internet e a infraestrutura de segurança. Além disso, como muitas empresas têm bancos e armazenamento em nuvem no exterior, para estar em conformidade com os padrões de segurança, é preciso considerar as regulamentações vigentes nesses países.
De acordo com Prata, só é possível desenvolver e enraizar culturas de segurança e de proteção de dados eficientes se as áreas envolvidas “andarem de mãos dadas”. Ou seja, o diretor de segurança da informação (CISO), o diretor de tecnologia (CTO) e o executivo responsável pela área de dados (DPO) devem sempre estar em colaboração, pensando em como criar uma estrutura segura e capaz de proteger as informações dos clientes, usuários, etc. Ferramentas, mecanismos de controle, pentests, certificações e melhores práticas de segurança devem sempre estar inseridos nesse pacote.
Nesse sentido, durante o debate foi apontada a importância das ações conduzidas pelo Grupo de Trabalho da Saúde Digital Brasil, incluindo o Manual de Boas Práticas de Telessaúde e Telemedicina, para apoiar as empresas em seus desafios. “Estamos falando de ambiente de discussão, envolvendo todos os stakeholders, independente de concorrência, e olhando de fato para as melhores práticas. Porque no final do dia a preocupação é única: garantir a segurança do paciente, dos profissionais de saúde e conseguir efetivar o acesso à saúde para todos”, enfatiza Prata.
Victor complementou dizendo que um ponto crítico em debate no grupo é a troca de informações entre participantes da cadeia de saúde (hospitais, clínicas e laboratórios) e as vulnerabilidades que isso traz. Há uma grande discussão na ANPD sobre a regulamentação na cadeia de saúde para designar a responsabilidade dos possíveis atores quando acontece um vazamento. No entanto, embora a saúde, assim como o financeiro, seja um setor prioritário, ainda não existe na agenda regulatória uma previsão para que se estabeleçam padrões específicos a serem seguidos pelo setor. Nesse caso, na ausência disso, o próprio mercado age como regulador.
“Estamos discutindo quais são os melhores padrões de segurança. Se o órgão regulador concordará ou definirá da mesma forma, ainda não se sabe. Acreditamos muito nessa abordagem de regulação responsiva, em que o mercado se organiza e acessa o regulador, apresentando os caminhos dentro do que já funciona. Isso é crucial, por exemplo, para que não seja imposto nada muito distante da realidade, que certamente as empresas conseguirão cumprir. Embora a ANPD não esteja ainda entrando no âmbito da saúde digital, já existem iniciativas, consultas e audiências públicas convidando a sociedade e o mercado a participar dessa construção de parâmetros palpáveis em outros setores”, explica o coordenador.
Também foi abordado que o uso de tecnologia, políticas de seguranças e certificações são mandatórios. No entanto, na opinião de Prata, o elo fraco da cadeia são as pessoas e, por mais que o controle exista, sem a capacitação ele será útil apenas para mitigar danos e aplicar sanções punitivas. Disso decorre a necessidade de estabelecer processos e de conscientizar todo o time, sem exceções, incluindo desde a alta administração até as áreas que, em um primeiro momento, pareçam não ter nenhuma relação direta com isso.
Exatamente por isso, tanto o Manual da SDB como todos os frameworks de segurança do mundo apontam o aculturamento como essencial, orientando a adoção de algumas práticas e mudanças de hábitos no dia a dia, entre elas, o uso de senha consciente. Ou seja, é preciso orientar os colaboradores para que eles não empreguem, por exemplo, a mesma senha de suas redes sociais para acessar os prontuários. Os devices pessoais também não devem ser plugados na rede das instituições de saúde. Além disso, é indicado implementar a estratégia de mesa limpa, que contempla a eliminação de anotações e dos famosos papéis adesivos coloridos com lembretes de acessos colocados por toda a parte, que geram uma alta vulnerabilidade para toda a companhia.
“O treinamento é um pilar estratégico para evitar vazamentos, sejam eles propositais ou não. Sem isso, nada funciona. Quando se tem cultura de segurança instituída em todos os níveis da organização é que de fato se resolve o problema”, finaliza Prata.