A proteção das informações pessoais tem sido pauta prioritária na agenda das organizações de todos os segmentos. No mercado da saúde, a questão torna-se ainda mais crítica devido à sensibilidade dos dados tramitados e a preocupação não se limita a proteção de pacientes e colaboradores, mas também em preservar a reputação da própria instituição. Mas quais dados são considerados sensíveis na área da saúde?
A Lei Geral de Proteção de Dados (LGPD) optou por granular os níveis de sensibilidade das informações. Desta forma, existem categorias de dados que compõem o que chamamos de “Dados Pessoais”, ou seja, informações que nos permitem identificar uma pessoa física, e uma categoria denominada “Dados Pessoais Sensíveis”, composto por informações realmente críticas, e que podem permitir que uma pessoa seja discriminada, perseguida religiosa e politicamente, submetida a situações humilhantes ou discriminatórias sobre aspectos relacionados à sua saúde ou vida sexual, entre outros.
Quando observamos o contexto da LGPD dentro do segmento da saúde, é fácil notar que praticamente todos os dados de um paciente são categorizados como dados sensíveis, pois mesmo a ficha de recepção deste paciente provavelmente conterá informações sensíveis, como por exemplo uma condição genética, doenças, medicamentos ou até seu nome social ou orientação religiosa.
Protegendo os dados sensíveis na área da saúde
Ao desenvolver estratégias de proteção e privacidade de dados é preciso observar diferentes aspectos que devem ser abordados, divididos em ao menos três pilares: humano, legal e tecnológico.
Dentro da estratégica humana é fundamental construir uma visão clara de todos os processos que envolvem as hipóteses de tratamento de informações pessoais a fim de mapear quais são os riscos inerentes àqueles processos. Este mapeamento, somado a uma avaliação do aspecto cultural da proteção de dados entre os colaboradores permitirá compreender quais esforços de formação serão necessários para que os times que manipulam dados pessoais compreendam a importância de assumir uma postura protetiva quando à privacidade destas informações.
Já no aspecto legal, a análise e a estratégia de adequação incidem sobre os contratos de trabalho e planos de formação técnica dos colaboradores, aditivos contratuais e auditorias sobre os fornecedores da organização, além de uma avaliação sobre a conformidade nos consentimentos e no atendimento às demandas dos titulares dos dados, sempre alinhado às legislações específicas da área da saúde relativas ao prontuário do paciente e às obrigações legais específicas desse segmento.
Em uma visão tecnológica, os desafios são ainda maiores. O fluxo de dados na saúde é enorme, além de envolver o maior acervo de dados sensíveis entre diferentes segmentos. De acordo com o relatório da IBM “Cost of a Data Breach Report 2021”, o segmento da saúde, pelo 11º ano consecutivo é o que possui o maior custo de violação entre todos os setores, com um aumento em 2021 em relação ao ano anterior na ordem de 29,5%, subindo de US$ 7,13 milhões para US$ 9,23 milhões por violação. As soluções para garantir um alto nível de segurança a essas estruturas estão disponíveis, mas o planejamento dessa proteção precisa contar com a visibilidade de todos os processos de negócio, de atendimento da cadeia assistencial e das integrações entre hospitais, laboratórios e operadoras, não apenas para que o plano seja eficiente, mas para que os custos sejam viáveis. Neste contexto, soluções tecnológicas de apoio a proteção desses sistemas são fundamentais.
Desafios da adequação à LGPD
Para garantir a proteção dos dados sensíveis, a adequação à LGPD por parte das instituições de saúde é mandatória, e a implementação de um sólido Programa de Privacidade e Proteção de Dados pode ser a chave. Quando a organização possui visibilidade dos seus maiores riscos, do seu nível de maturidade cultural no conceito de privacidade e proteção de dados, e conhece as demandas de proteção da infraestrutura e de seus sistemas, ela torna-se capaz de planejar uma estratégia de proteção assertiva no sentido de priorizar os maiores gaps e minimizar os riscos de vazamento e violação de dados.
De acordo com estudo “Data Governance 2.0, Lock, Michael”, 66% dos consumidores se sentem mais confortáveis em compartilhar seus dados caso exista uma forte política de segurança em vigor. Isso demonstra que a proteção de dados não é apenas uma imposição legal em função da vigência da LGPD, mas estabelece um marco que passa a garantir às organizações mais ágeis na adequação uma clara vantagem competitiva.
Mapeamento dos dados sensíveis na área da saúde
Uma particularidade do segmento da saúde é o compartilhamento de dados dos pacientes entre os diferentes entes do processo de atendimento. Na saúde suplementar, além do hospital, os dados são compartilhados com laboratórios, operadoras de saúde e com o governo federal. Durante a avaliação das integrações é importante verificar se as informações que estão sendo compartilhadas possuem previsão legal ou consentimento do titular, bem como compreender se são realmente necessárias dentro daquele processo de negócio.
Entender os processos aos quais os dados fazem parte, conhecer e mapear esses fluxos e quais softwares participam de cada etapa, e elaborar uma matriz de risco são etapas essenciais para iniciar a jornada de proteção de dados de uma organização. Nesse sentido, um dos principais desafios deste mapeamento de dados para adequação à LGPD é a descoberta de informações pessoais em sistemas, servidores, processos e integrações que a própria organização desconhece. Isso pode ocorrer com processos que foram adaptados pelos colaboradores, mas não são formais e nem foram avaliados, ou ainda através de integrações que não foram documentadas e que possuem, por exemplo, um acervo de informações sendo compartilhadas com um fornecedor e que são mais abrangentes do que seria necessário para aquele processo de negócio.
Impacto da cibersegurança na área da saúde
A estratégia de segurança da informação para uma organização de saúde deve considerar aspectos como a disponibilidade, por exemplo. É comum encontrar estratégias de continuidade de negócio bastante agressivas em termos de RTO (Recovery Time Objective) e RPO (Recovery Point Objective). E elas são especialmente importantes, considerando que os sistemas de gestão hospitalar controlam todas as etapas do fluxo assistencial no atendimento ao paciente.
Isso significa que embora existam protocolos médicos para contingência, os sistemas hospitalares são necessários desde a dispensação de medicamentos na farmácia do hospital ao controle de resultados de exames e aparelhos de monitoramento do paciente. Sob a ótica de segurança cibernética, as estratégias de proteção de sistemas e das camadas de transporte se aplicam de forma equivalente a outros segmentos.
A Digisystem pode ser a sua parceira em todas as etapas do processo de adequação à LGPD. Atuamos desde o primeiro passo, no mapeamento de dados e confecção dos relatórios de análise risco, como nas demais fases da jornada para a conformidade. Quer saber mais? Entre em contato e fale com um de nossos especialistas.