Mesmo com todo o avanço em tecnologia e legislação, a área da Saúde enfrenta mais desafios na digitalização e no armazenamento de dados do que outros segmentos de mercado. Além de manter informações financeiras e de recursos humanos, as empresas de Saúde precisam arquivar dados de saúde, classificados pela Lei Geral de Proteção de Dados (LGPD) como sensíveis.
A LGPD especifica “como informações sensíveis” origem racial
ou étnica, convicções filosóficas ou religiosas, opiniões políticas, questões
genéticas, biométricas sobre saúde ou a vida sexual. Além dessas, as
informações pessoais também precisam ser mantidas de forma apropriada.
Embora a nossa legislação tenha sido influenciada pelo
conjunto normativo norte-americano em relação à segurança médica, o conceito de
informação sensível no Brasil é mais amplo do que nos Estados Unidos – que
conceitua especificamente quais os dados médicos precisam ser protegidos.
Em 1966 foi criado nos EUA o Health Insurance Portability
and Accountability Act – HIPAA (Lei de Portabilidade e Responsabilidade de
Seguro Saúde, em português) para assegurar a confidencialidade, integridade e
disponibilidade na proteção de informações dos pacientes como: diagnóstico,
número do seguro social, tratamento, exames, prescrição médica, faturas de cobrança,
entre outros. Conhecer como as empresas norte-americanas protegem esses dados
pode ajudar os profissionais do Brasil em sua estratégia de digitalização e
armazenamento.
Do físico para o digital
O grande avanço de digitalização nos Estados Unidos começou
a partir de 2009, com a Health Information Technology for Economic and Clinical
Health – HITECH (Lei de Tecnologia de Informação em Saúde para Saúde Econômica
e Clínica, em português), que estimulou, por meio de incentivos financeiros, a
digitalização dos dados de saúde. O programa MyHealthEData, lançado em 2018,
promoveu o conceito que os pacientes deveriam ter o controle de suas
informações e poderiam transferi-las de um médico a outro, o que estimulou as
organizações a buscarem ferramentas para a interoperabilidade de dados.
Segundo o Office of the National Coordinator for Health
Information Technology – ONC (Gabinete da Coordenação Nacional de Tecnologia da
Informação em Saúde, em português), dos Estados Unidos, em 2008, 9% dos
hospitais e 17% dos médicos usavam registros eletrônicos dos pacientes. Em
2021, os números eram de 96% dos hospitais e 78% dos médicos.
No Brasil, em 2009, foi publicada a Resolução do Conselho
Federal de Medicina (CFM) nº 1.931. A norma estabelecia que o prontuário ficaria
sob a guarda do médico ou da instituição que assiste o paciente, vedava o
manuseio e o conhecimento dos prontuários por pessoas não obrigadas ao sigilo
profissional e concedia ao paciente ter acesso ao seu prontuário quando
solicitado.
A digitalização avançou aqui a partir de 2018, ano de
publicação da LGPD e da Lei 13.787, que dispõe sobre a digitalização e a
utilização de sistemas informatizados para a guarda, o armazenamento e o
manuseio de prontuário de paciente. Nos anos posteriores, o governo já
organizou várias iniciativas para ampliar a digitalização. A última, em janeiro
de 2024, foi a realização da 1ª Jornada de Proteção de Dados Pessoais no SUS,
pela Secretaria de Informação e Saúde Digital do Ministério da Saúde – Seidigi,
que buscou orientar sobre a necessidade de serem desenvolvidas habilidades para
aumentar a segurança da informação, interpretação da LGPD e tratamento e
compartilhamento de dados pelo poder público em conjunto com a sociedade civil.
Atualmente, as organizações de saúde devem ter políticas e
procedimentos de gestão de registros médicos - físicos e agora digitais - para
manter a conformidade, garantir a privacidade dos pacientes e mitigar riscos
como erros médicos e violações de dados. Ao mesmo tempo é preciso se preparar
para uma era de interoperabilidade dessas informações.
O preço da má gestão
Segundo o relatório da IBM Cost of a Data Breach Report, de
2023, pelo 13º ano seguido o setor de saúde foi o que registrou o maior
prejuízo com o vazamento de dados com o custo médio de US$ 10,93 milhões, valor
53,3% superior ao registrado em 2020. A pesquisa, realizada entre março de 2022
e março de 2023, analisou mais de 550 empresas, de 17 setores da economia, em
16 países, incluindo o Brasil.
Nos Estados Unidos, um único ataque ocorrido em 2015, causou
a um hospital prejuízos estimados em US$ 260 milhões. O valor inclui
indenizações às pessoas que tiveram os dados vazados, ações para notificar
sobre a ocorrência e a implantação de medidas de segurança.
O ataque mais recente, que ganhou notoriedade no Brasil,
aconteceu em janeiro de 2024, quando funcionários do Instituto Nacional do
Câncer (Inca) não conseguiram inserir informações no sistema. Apesar dos
hackers não acessarem os dados dos pacientes, a unidade do instituto que mais
recebe pacientes para fazer o tratamento de radioterapia precisou parar o
serviço por três dias.
Além de ataques, o mau gerenciamento dos dados gera prejuízo
e riscos jurídicos. Em 2019, a 7ª Vara Cível de Campo Grande (MS) condenou um
hospital ao pagamento de R$ 5 mil de danos morais a um paciente, pois o
hospital não forneceu seu prontuário médico. A solicitação foi feita no ano de
2015, pois o paciente queria solicitar a indenização do seguro DPVAT. E a
resposta do hospital, já na esfera judicial, foi que não conseguia encontrar o
documento.
Como gerenciar bem os dados
A conversão de arquivos físicos em documentos eletrônicos
pode ser complexa. Contar com o apoio de uma empresa especializada na gestão de
documentos com especialistas, que tenham as ferramentas corretas para
digitalizar as informações pode tornar o processo mais simples e eficiente.
Da criação até a destruição, os registros dos pacientes
devem estar seguros. Os registros eletrônicos devem ter uma trilha de auditoria
detalhada e os registros em papel devem ser trancados com segurança em uma sala
com acesso restrito. Os registros armazenados fora do local devem ser mantidos
em instalações certificadas e com controle climático. No final de seu ciclo de
vida, 20 anos após a última consulta do paciente, os registros em papel e
eletrônicos devem ser destruídos com segurança.
As organizações devem treinar todos os membros da força de
trabalho nos procedimentos de segurança dos registros médicos, limitar o acesso
às instalações onde os registros são armazenados ou acessíveis, implementar
hardware, software e procedimentos para monitorar o acesso.
Os registros realizados em vídeo e áudio devem ter o mesmo
tratamento dos textuais e precisam ser realizados de maneira transparente e com
autorização do paciente. Também é preciso manter a privacidade dos dados dos
funcionários das instituições de saúde.
A finalidade dos avanços tecnológicos, da digitalização à
interoperabilidade das informações, é reduzir os custos operacionais das
instituições de saúde, melhorar o desfecho do atendimento e aumentar a
percepção de acolhimento do paciente e seus familiares.
Inon Neves - vice-presidente sênior da Access Latam
Nenhum comentário:
Postar um comentário