UNIVERSIDADE FEDERAL DO ABC UFABC CURSO DE ESPECIALIZAO EM TECNOLOGIAS E SISTEMAS DE INFORMAO

DINARDE ALMEIDA BEZERRA

ESTUDO DOS DESAFIOS DA SEGURANA DA INFORMAO NO PRONTURIO ELETRNICO DO PACIENTE

SANTO ANDR SP 2013

DINARDE ALMEIDA BEZERRA

ESTUDO DOS DESAFIOS DA SEGURANA DA INFORMAO NO PRONTURIO ELETRNICO DO PACIENTE

Monografia apresentada ao Curso de Especializao da Universidade Federal do ABC, como requisito parcial obteno do ttulo de Especialista em Tecnologias e Sistemas de Informao.

Orientador: Prof. Dr. Roberto Jacobe Rodrigues

SANTO ANDR SP 2013

FICHA CATALOGRFICA

Dedico esse trabalho primeiramente a Deus que a essncia de tudo.

E a todos que contriburam para que este trabalho fosse concretizado.

AGRADECIMENTOS

Universidade Federal do ABC UFABC por proporcionar a obteno do ttulo de Especialista em Tecnologias e Sistemas de Informao. Ao orientador Prof. Dr. Roberto Jacobe Rodrigues pelo apoio e orientao ao longo da redao deste trabalho. Ao tutor Adilson Castro da Silva pela compreenso e conselhos. Ao deputado Dr. Alexandre Roso e sua assessoria de imprensa por atender prontamente aos questionamentos contidos neste trabalho. Ao Vanderlei de Castro Ezequiel que contribuiu com a reviso do trabalho e incentivou a concluso do mesmo. Sonia Regina Juliani por sua compreenso, apoio aos estudos e por me fazer continuar acreditando que possvel fazer o melhor. Prof. MSc. Samris Ramiro Pereira que contribuiu com o fornecimento de materiais bibliogrficos sobre o tema. E a famlia e aos amigos que de alguma forma contriburam para a concretizao deste trabalho.

RESUMO

evidente o ganho em desempenho e eficincia na rea da sade quando se tm um Sistema de Informao aderente aos processos da instituio de sade. Inerente e fundamental a esta rea a questo da segurana da informao. Neste trabalho foram apresentados os requisitos fundamentais que viabilizam a segurana da informao na rea da sade, provendo tambm o embasamento terico necessrio para superar os desafios para esta rea. Tambm foi consolidado, por meio deste estudo, o foco sobre os desafios da segurana da informao no Pronturio Eletrnico do Paciente. Para traar as perspectivas de futuro deste tema foi realizada uma entrevista com o deputado presidente da subcomisso para informatizao da sade pblica no Brasil. Ratificou-se com este trabalho que a discusso desse assunto bem ampla e que existem diversos pontos e impasses ainda em aberto e que devem ser resolvidos a medida que esse movimento de transio para o pronturio eletrnico ganhe mais fora e diretrizes do governo, tanto em mbito federal quanto estadual.

Palavras-chave:

Segurana

da

Informao;

Pronturio

Eletrnico;

Certificao SBIS; Assinatura Digital;

ABSTRACT

Clearly the gain in performance and efficiency in health care when it has an Information System adheres to the processes of the health institution. Inherent and fundamental to this area is the question of information security. This paper presented the fundamental requirements that enable information security in healthcare, also providing the necessary theoretical framework to overcome the challenges in this area. Was also consolidated by this study, the focus on the challenges of Information Security in Electronic Patient. To outline the future prospects of this subject was interviewed with the Deputy Chairman of the Subcommittee for computerization of public health in Brazil. Ratified this work was that the discussion of this subject is very broad and there are several points and deadlocks still open to be resolved as we move this transition to electronic medical records to gain more strength and guidance of the government, both federal and state.

Keywords: Information Security, Electronic Health Record; Certification SBIS, Digital Signature;

LISTA DE ILUSTRAES

FIGURA 1 EVOLUO HOSPITALAR EM CONTRASTE COM A EVOLUO DO PRONTURIO MDICO. .............................................................................................................................................. 21 FIGURA 2 NVEIS EVOLUTIVOS NO PEP. ..................................................................................... 23 FIGURA 3 ARQUITETURA DA SOLUO APLICADA NO ICESP. ............................................... 50

LISTA DE TABELAS

TABELA 1 CUSTO INDIVIDUAL DO CERTIFICADO DIGITAL. ..................................................... 39 TABELA 2 MEMBROS DA SUBCOMISSO PARA INFORMATIZAO DA SADE. ................. 58

LISTA DE SIGLAS

AC - Autoridade Certificadora ANS Agncia Nacional de Sade Suplementar ANVISA Agncia Nacional de Vigilncia Sanitria AR - Autoridade Registradora BYOD - Bring Your Own Device CFM Conselho Federal de Medicina CFO Conselho Federal de Odontologia CRM-SC Conselho Regional de Medicina de Santa Catarina GED Gerenciamento Eletrnico de Documento HSM Hardware Security Module ICESP Instituto do Cncer do Estado de So Paulo ICP-Brasil Infraestrutura de chaves pblicas do Brasil IDSUS ndice de Desempenho do Sistema nico de Sade IOM Institute of Medicine ISO International Organization for Standardization MP Medida Provisria NGS Nvel de Garantia de Segurana ONA Organizao Nacional de Acreditao PDI Plano Diretor de Informtica PEP Pronturio Eletrnico do Paciente PPP Parceria Pblico-Privada

10

RES Registro Eletrnico de Sade S-RES Sistema de Registro Eletrnico de Sade SBIS Sociedade Brasileira de Informtica em Sade SGSI Sistema de Gesto de Segurana da Informao TI Tecnologia da Informao TIC Tecnologia da Informao e Comunicao TICS Tecnologia da Informao e Comunicao em Sade TISS Troca de Informao em Sade Suplementar UPA Unidade de Pronto Atendimento UTI Unidade de Tratamento Intensivo

11

SUMRIO

1. INTRODUO .................................................................................................... 13 1.1. Objetivos ......................................................................................................... 14 1.2. Metodologia ..................................................................................................... 15 2. REVISO BIBLIOGRFICA .............................................................................. 17 2.1. Pronturio: da antiguidade ao pronturio eletrnico .................................. 17 2.1.1. 2.1.2. 2.1.3. 2.2. 2.2.1. Definindo pronturio .................................................................................. 17 Vantagens e desvantagens do uso de pronturio em papel .................. 18 Transio e justificativa para a utilizao do PEP ................................... 19 Pronturio Eletrnico do Paciente (PEP) ................................................. 22 Construo do PEP .................................................................................... 22

2.2.1.1. Vantagens e desvantagens do PEP ............................................................. 23 2.2.2. Uma anlise da diferena entre PEP e pronturio digitalizado .............. 25

2.3. Segurana da informao em sade............................................................. 26 2.3.1. 2.3.2. 2.3.3. 2.3.4. Pilares fundamentais da segurana.......................................................... 28 Plano diretor de informtica em sade ..................................................... 31 Aspectos legais e ticos da segurana da informao em sade ......... 33 Assinatura digital: Discusso da obrigatoriedade e o pronturio 100%

digital 35 2.3.4.1. CRM Digital .................................................................................................. 38 2.3.5. 2.3.6. Verificao de atendimento resoluo CFM N 1821/2007 ................... 39 Certificao de sistema de informao em sade no Brasil .................. 40

2.3.6.1. Fases do processo de certificao SBIS / CFM ........................................... 41 2.3.6.2. Nvel de Garantia de Segurana (NGS) ....................................................... 42 2.3.6.3. Categorias da certificao ............................................................................ 43 2.3.6.4. A ISO 27799 ................................................................................................. 44

12

2.3.7.

A importncia da engenharia da usabilidade para a segurana em

sistema PEP ............................................................................................................. 45 2.3.8. 2.3.9. Implementao do pronturio eletrnico do ponto de vista jurdico ..... 47 Passivo do pronturio em papel ............................................................... 48

2.4. Cases de sucesso e perspectivas para o futuro .......................................... 49 2.4.1. 2.4.2. Cases de sucesso na implantao de PEP .............................................. 49 O futuro do PEP segundo perspectiva de um especialista no assunto 51

2.5. Oportunidades de pesquisa relacionadas rea de informtica em sade 52 3. CONCLUSO ..................................................................................................... 53 REFERNCIA BIBLIOGRFICA.............................................................................. 54 ANEXO 1 ENTREVISTA COM O PRESIDENTE DA SUBCOMISSO PARA INFORMATIZAO DA SADE .............................................................................. 57 ANEXO 2 RESOLUO CFM N 1.821/2007 ....................................................... 64

13

1.

INTRODUO

Um dos grandes desafios nessa transio do pronturio no formato tradicional, em papel, para o registro em formato eletrnico a questo da segurana da informao. Neste sentido, a resoluo do Conselho Federal de Medicina (CFM) N 1821, de 11 de julho de 2007, aprovou uma srie de normas tcnicas concernentes digitalizao e uso dos sistemas informatizados para guarda e manuseio dos documentos dos pronturios dos pacientes. J a resoluo do CFM N 1638/2002 institui, entre outros, que os pronturios devem ser revisados nas instituies de sade. Erros mdicos, superlotao e m gesto dos recursos fsico-financeiros so apenas alguns dos problemas que poderiam ser tratados com o uso da Tecnologia da Informao e Comunicao (TIC), problemas estes que influenciam diretamente o ndice de Desempenho do Sistema nico de Sade (IDSUS). Com esse propsito que foi instituda na Cmara dos Deputados uma subcomisso que est analisando a informatizao na sade pblica no Brasil (IMPRENSA DEMOCRTICA, 2013). So muitos os ganhos a curto, mdio e, principalmente, a longo prazo na adoo da TIC na rea da sade. Porm, um grande desafio para gestores da sade na hora de tomar a deciso de implantar solues informatizadas o alto custo envolvido. Outro importante aspecto a ser considerado a segurana do paciente e consequentemente a segurana da informao. Esta necessidade de garantir a segurana da informao exigida nesta rea um fator determinante para elevao do custo final da implantao de um Pronturio Eletrnico do Paciente (PEP). So diversos requisitos que devem ser observados ao desenvolver, especificar ou adquirir software e equipamentos de Tecnologia da Informao (TI), como ser apresentado neste trabalho. Por isso, a segurana da informao o maior desafio para a implantao do conceito de hospital sem papel. Este trabalho tem como principal motivao contribuir com o debate sobre a segurana da informao na implantao das TIC na rea da sade. Tambm visa

14

contribuir para que decises sejam tomadas visando nveis maiores de eficincia e qualidade na prestao de servios de sade populao, garantindo a devida segurana para o paciente. Existe uma srie de requisitos que visam garantir a autenticidade, confidencialidade e integridade das informaes de sade (SBIS, 2012). Este trabalho apresentar um breve resumo dos principais desafios para garantir a segurana da informao no registro de informaes em sade. H outros pontos envolvidos na segurana da informao nesta rea, como por exemplo, a transmisso de dados dos pacientes pela rede, intercomunicao entre instituies de sade, segurana em dispositivos mveis, entre outros, porm no objeto desta pesquisa detalhar o mecanismo que deve ser empregado para segurana da informao nestas tecnologias e nem outros aspectos que ultrapassam o objetivo principal desta pesquisa. Entre outras aplicaes, o material produzido neste Trabalho de Concluso de Curso pretende ser um bom subsdio terico para gestores da rea da sade, principalmente na hora de especificar os termos de referncia para licitaes. Portanto, espera-se que, ao final deste trabalho, haja a promoo do conhecimento necessrio para auxiliar profissionais de sade, TI, administradores, enfim, todos os envolvidos no processo de informatizao da sade.

1.1.

Objetivos

Este trabalho tem como objetivo geral discutir os principais aspectos relacionados segurana da informao nos sistemas de pronturio eletrnico do paciente. Os objetivos especficos so: Explanar as diferenas entre registro em papel e o registro eletrnico (anlise de viabilidade desta migrao); Apresentar os requisitos legais envolvidos na segurana da informao aplicada ao setor de sade; Promover o debate de ideias sobre os requisitos legais envolvidos;

15

Discutir as perspectiva do futuro desta rea.

1.2.

Metodologia

A metodologia principal utilizada para o desenvolvimento deste trabalho a pesquisa bibliogrfica, tendo como objetivo reunir e consolidar um estudo detalhado sobre os requisitos de segurana necessrio para a implantao de um sistema que registra eletronicamente informaes de sade dos pacientes. Por meio da tcnica de entrevista, apresenta-se uma consulta ao presidente da subcomisso especial da Cmara de Deputados destinada a discutir a informatizao da sade no Brasil, visando entender o que est sendo discutido no Congresso Nacional, e verificar qual o posicionamento da subcomisso com relao a segurana da informao no PEP. A linha de raciocnio para desenvolvimento deste trabalho ser a seguinte: Mostrar argumentos que justificam a transio do meio fsico para o meio eletrnico; Apresentar requisitos especficos do aspecto de segurana da informao para o PEP; Mostrar etapas para obteno de certificao Sociedade Brasileira de Informtica em Sade (SBIS); Introduzir a demais temas ligados a segurana e fazer prospeco de futuro do tema; Apresentar concluso do tema.

As principais referncias tericas deste trabalho esto relacionadas s resolues do Conselho Federal de Medicina (CFM) e SBIS. Outra fonte importante que contribuiu para o cumprimento dos objetivos deste trabalho so os dados fornecidos pela assessoria da subcomisso da informatizao da sade pblica.

16

Dentre os autores visitados durante a elaborao deste trabalho, os mais destacados so: Requisitos legais exigidos pelas resolues do CFM; Materiais orientadores fornecidos pela SBIS, inclusive palestras virtuais, disponvel em site da SBIS; Artigo: Segurana da Informao em Sade: Pronturio Eletrnico do Paciente - Samris Ramiro Pereira e Paulo Bandiera Paiva. Apresentado no 9 International Conference on Information Systems and Technology Management (CONTECSI). Dissertao de Mestrado: Desenvolvimento e Avaliao

Tecnolgica de um Sistema de Pronturio Eletrnico do Paciente, Baseado nos Paradigmas da World Wide Web e da Engenharia de Software Claudio Giulliano Alves da Costa. Dissertao de Mestrado: Sistema de gesto de segurana da informao em organizaes da rea da sade Carlos Eduardo Ribas. Livro: Direito Digital Aplicado Patrcia Peck Pinheiro.

17

2.

REVISO BIBLIOGRFICA

2.1.

Pronturio: da antiguidade ao pronturio eletrnico

O registro no apenas um patrimnio do humano, mas tambm formador do humano, construtor de subjetividades, constituidor de nossas formas de ver o mundo. (JANER, 2012)

2.1.1.

Definindo pronturio

No contexto desse trabalho, como ser apresentado, o registro de informaes est relacionado ao pronturio do paciente. O nome pronturio provm do latim prontuarium e refere-se ao lugar onde se guardam coisas que devem estar mo, despensa, armrio, etc. (ALVES, 2010). O artigo 1 da resoluo do CFM N 1638/2002 define pronturio do paciente como (CFM, 2002):
Documento nico constitudo por conjunto de informaes, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situaes sobre a sade do paciente e a assistncia a ele prestada, de carter legal, sigiloso e cientfico, utilizado para possibilitar a comunicao entre membros da equipe multiprofissional e a continuidade da assistncia prestada ao indivduo.

Em resumo, pronturio um conjunto de informaes pertinentes ao paciente e ao seu tratamento, portanto, do paciente. A premissa de o pronturio ser propriedade do paciente impe uma srie de requisitos e, inclusive, requisitos de segurana da informao. O contedo do pronturio do paciente no gerado apenas por mdicos. Todo e qualquer atendimento em sade deve ser registrado. Isso pressupe que mltiplas categorias de profissionais de sade efetuam registro, tais como: mdicos, enfermeiros, nutricionistas, psiclogos, fisioterapeutas, farmacuticos e outros. Alm de haver diversos profissionais inserindo informaes no pronturio, existe uma

18

diversidade de locais onde acontecem os atendimentos, tais como: sala de cirurgia, ambulatrio, enfermaria, Unidade de Tratamento Intensivo (UTI), farmcia, na prpria casa do paciente, entre outros. Percebe-se, ento, que o dado clnico muito heterogneo para ser introduzido em sistemas tradicionais de informao (CONSELHO ECONMICO E SOCIAL DA ONU apud PEREIRA e PAIVA, 2012).

2.1.2.

Vantagens e desvantagens do uso de pronturio em papel

O pronturio em papel ainda a realidade da grande maioria dos hospitais brasileiros. Entretanto, h diversos pontos negativos gerados pelo uso do pronturio no formato de papel. Alm do espao fsico requerido para manter o grande volume de papel, pode-se destacar alguns pontos como (YABUMOTO, 2011) (COSTA, 2001) (SBIS, 2012): Preenchimento irregular; Extravio; Ilegibilidade ou dificuldade de leitura; Falta de organizao do contedo ou no arquivamento; Logstica fsica do pronturio; Pronturio em papel pode estar em apenas um nico lugar de cada vez; Ambiguidade; Multiplicidade de pastas; Dificuldade de pesquisa coletiva; Dificuldade de acesso; Fragilidade do papel; Pronturio em papel no disparam lembretes/alertas, ou seja, um mtodo passivo; Para estudos cientficos os dados devem ser transcritos, aumentando a probabilidade de erro.

19

O pronturio em papel no possui s desvantagens. Se bem estruturado ele possui algumas vantagens considerveis (COSTA, 2001): Facilidade para transporte (portar um papel no dia a dia mais fcil que portar um dispositivo eletrnico); Maior liberdade na forma de escrever; Facilidade no manuseio; No requer treinamento especial; menos suscetvel a indisponibilidade se comparado com o eletrnico.

2.1.3.

Transio e justificativa para a utilizao do PEP

Na Tecnologia da Informao e Comunicao em Sade (TICS) o PEP tido como a principal ferramenta que o mdico precisa ou precisar nas suas atividades dirias no atendimento ao paciente, seja no consultrio, centro diagnstico ou hospital (SBIS, 2012). Segundo pesquisa da NPR/Kaiser Family Foundation (2009) realizada nos Estados Unidos, 75% das pessoas adultas acredita que a utilizao de PEP muito importante ou tem alguma importncia (NPR, 2009). Do ponto de vista legal, em 2002 o CFM publica a primeira resoluo que abre a possibilidade de haver o pronturio do paciente no formato eletrnico. A resoluo CFM N 1638/2002 define e apresenta consideraes sobre o tema, passando o pronturio a no ser entendido como somente um documento em papel. A resoluo CFM N 1639/2002 revoga a resoluo CFM N 1331/1989 e determinava rgidos critrios para a utilizao legalizada do PEP. Porm, a resoluo CFM N 1639/2002 j foi revogada e substituda pela resoluo CFM N 1821/2007, a qual aprova as normas tcnicas concernentes digitalizao e uso dos sistemas informatizados para guarda e manuseio dos documentos dos pronturios dos pacientes, autorizando a eliminao do papel e a troca de informao identificada em sade (CFM, 2007).

20

O PEP um elemento chave para a melhoria na qualidade e eficincia na sade em geral. Para isso, fundamental que o mdico disponha de um sistema PEP de alta qualidade e confiabilidade, seguro e que possa auxili-lo na histria clnica, exames, prescrio, hipteses diagnsticas, anamnese, etc. (CFM, 2007). Como demonstrado na figura 2, houve um grande avano na maioria dos seguimentos em sade, porm a complexidade, resistncia e custos envolvidos nesta transio entre o pronturio em papel e o PEP explica a baixa adeso ao PEP, ou seja, apesar de reconhecerem a importncia da TIC, as instituies da rea de sade ainda carecem de viso estratgica. Embora 73% delas digam que a TIC essencial, somente 24% a entendem como estratgica, 28% como componente para aumentar a competitividade. Enquanto isso, 24% veem a tecnologia apenas como custo extra, e outros 24% tem dvidas se devem investir ou no (VIEIRA, 2013). Segundo SBIS (2012), com um bom sistema de pronturio eletrnico, o mdico pode dedicar mais tempo para os pacientes. O mdico deve gastar tempo com o cuidado com o paciente e no preenchendo milhares de papis. Estudos ao redor do mundo tm demonstrado o impacto positivo sobre a sade que a implementao de um PEP pode trazer tanto para os profissionais de sade, como para os pacientes, gestores e toda a equipe envolvida na ateno sade (SBIS, 2012). Mesmo assim, a informatizao no a soluo definitiva. H uma baixa qualidade dos pronturios em boa parte dos hospitais, principalmente os universitrios. A reviso e atualizao destes pronturios devem preceder qualquer tentativa de informatizao, pois no existe ao possvel para a segurana da informao eletrnica em dados incompletos ou que apresentem erros (PEREIRA e PAIVA, 2012).

21

Figura 1: Evoluo hospitalar em contraste com a evoluo do pronturio mdico. Fonte: Adaptao do autor (COSTA, 2003).

Observam-se mais iniciativas dos governos, tanto no Brasil quanto fora, para o uso de sistemas eletrnicos para conservao e sustentao das informaes sobre a sade. Ser visto que o governo federal est realizando algumas iniciativas para tornar a sade pblica brasileira informatizada. No tpico sobre a subcomisso para informatizao da sade ser apresentada com maior detalhe. Fora do Brasil, em 2003 o governo da Dinamarca forou os hospitais a investirem em sistemas eletrnicos at 2005. Em 2009, o presidente Obama incentivou os hospitais dos Estados Unidos a utilizarem os sistemas de informao hospitalares (YABUMOTO apud PEREIRA e PAIVA, 2012). Outro fator que est impulsionando a utilizao do PEP o fato de haver uma dificuldade no gerenciamento do conhecimento mdico nos mtodos tradicionais baseados em papel.

22

Converter o pronturio do papel para o meio eletrnico complexo e s o primeiro passo (PEREIRA e PAIVA, 2012).

2.2. Pronturio Eletrnico do Paciente (PEP)

2.2.1.

Construo do PEP

O Institute of Medicine (IOM), entende que o Pronturio Eletrnico do Paciente um registro eletrnico que reside em um sistema especificamente projetado para apoiar os usurios fornecendo acesso a um completo conjunto de dados corretos, alertas, sistemas de apoio deciso e outros recursos, como links para bases de conhecimento mdico (IOM apud MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO, R. S. DE, 2003). O Registro Eletrnico de Sade (RES) comumente confundido como sendo sinnimo do PEP difere em sua conotao, pois na realidade o RES um passo alm do PEP. O RES permite o armazenamento e compartilhamento seguro das informaes de pacientes, ou seja, permite o compartilhamento de informaes sobre a sade de um ou mais indivduos, inter e multi-instiuio, dentro de uma regio (municpio, estado ou pas), ou ainda, entre um grupo de hospitais. A construo do PEP um processo, portanto h diversas etapas. Peter Waegemann, em 1996, apresenta estas etapas (CONSELHO ECONMICO E SOCIA DA ONU apud PEREIRA e PAIVA; ASSISTANT SECRETARY FOR PLANNING AND EVALUATION apud PEREIRA e PAIVA, 2012): 1. Registro Mdico Automatizado (Automated Medical Record):

Armazenagem da informao em computadores pessoais. No cumpre requisitos legais e, portanto, o pronturio em papel deve ser mantido. 2. Registro Mdico Computadorizado (Computerized Medical Record): Todo o corpo clnico coletam a informao no formato de papel e o documento em papel digitalizado e armazenado em um sistema computacional. uma modalidade de sistema pouco integrada.

23

Cumpre alguns requisitos legais e pode ser possvel dispensar o papel em alguns casos. 3. Registro Mdico Eletrnico (Electronic Medical Record): Modelo interdepartamental, reunindo os requisitos legais para

confidencialidade, segurana e integridade dos dados. 4. Registro Eletrnico do Paciente (Electronic Patient Record): Interligam todas as informaes do paciente, inclusive interinstitucional. necessria uma maneira de identificar o paciente de forma unvoca e nacional, como projeto do carto SUS. 5. Registro Eletrnico de Sade (Electronic Health Record): Alm das caractersticas evolutivas dos anteriores, a responsabilidade de manter o pronturio dividida entre profissionais de sade e paciente.

Registro Mdico Eletrnico Registro Mdico Computadorizado Registro Mdico Automatizado

Registro Eletrnico do Paciente

Registro Eletrnico de Sade

Figura 2: Nveis evolutivos no PEP. Fonte: O autor.

2.2.1.1. Vantagens e desvantagens do PEP

Sem dvida, o PEP oferece muitas vantagens em relao ao modelo em papel, tais como (PEREIRA e PAIVA, 2012) (SBIS, 2012): Acesso rpido e simultneo ao pronturio; Disponibilidade remota; Maior controle da segurana, por meio do uso de senhas, backup, controle de acesso, gesto de incidentes e outros;

24

Legibilidade irrestrita; Reduo considervel no espao fsico de armazenamento; Extino de perda da informao por ms condies de

acondicionamento; Flexibilidade do layout dos dados; Eliminao da redundncia de dados, exames, prescries e outros; Fim da redigitao de informaes; Mitigao da possibilidade de erro; Possibilidade de integrao com outros sistemas de informao; Processamento contnuo e em tempo real dos dados, podendo gerar alertas instantneos; Organizao mais sistemtica; Visualizao flexvel. Os dados podero ser apresentados e analisados de diversas formas; Pode ser implementado com sistemas de alerta e de apoio deciso; Reduo de custo, se bem implantado; Melhor gerenciamento dos recursos, seja fsico, humano e financeiro; Avaliao da qualidade; Possibilidade de busca coletiva do conhecimento, pesquisas, epidemiologia e estatsticas; Captao automtica de dados fisiolgicos do paciente atravs de equipamentos de diagnstico; Disponibilidade de consulta de resultados de exames laboratoriais ou de imagem; Melhoria da efetividade do cuidado; Maior segurana ao paciente.

Da mesma forma, segue uma lista de algumas desvantagens do PEP: Necessidade de grande investimento em hardware, software e treinamento; Retorno do investimento no imediato; Resistncia dos usurios aos procedimentos informatizados, podendo chegar at uma sabotagem;

25

Sujeito falha tanto de hardware quanto de software; Sujeito indisponibilidade das informaes; Sistema pode cair em desuso se mal aceito e/ou usurio no consiga operar o sistema.

A segurana destacada como uma das principais vantagens do PEP sobre o pronturio em papel. Outra vantagem destacada, possvel mediante o devido cumprimento dos requisitos de segurana do PEP, o compartilhamento automtico de informaes com outros profissionais e instituies que esto prestando assistncia mdica ao paciente.

2.2.2.

Uma anlise da diferena entre PEP e pronturio digitalizado

A percepo de alguns quando se fala em pronturio eletrnico que ser apenas um papel armazenado no computador, porm isso difere do que realmente o PEP. O pronturio em papel pode e deve ser digitalizado, porm isso no o torna um PEP. Trata-se de um pronturio no formato de papel que foi escaneado e armazenado, preferencialmente, em um sistema de Gerenciamento Eletrnico de Documentos (GED)1 que, ao indexar e armazenar os pronturios facilita seu manuseio, acesso e disponibilidade do pronturio em papel. Este procedimento est regido pela Resoluo CFM N 1821/2007 que normatiza e legitima o pronturio digitalizado (SBIS, 2012). Ento, eletrnico diferente de digitalizado. De acordo com CASTRO apud SBIS (2012), documento eletrnico pode ser entendido como a representao de um fato concretizada por meio de um computador e armazenado em formato especfico (organizao singular de bits e bytes), capaz de ser traduzido ou apreendido pelos sentidos mediante o emprego de programa ( software) apropriado.

GED: um conjunto de tecnologias que permite o gerenciamento de documentos no formato digital. (SILVA et al., 200-).

26

Sero considerados eletrnicos quando estes documentos forem elaborados e armazenados utilizando um sistema informatizado. Documentos eletrnicos na rea de sade: Anamnese 2; Exame fsico; Prescrio mdica; Resultado de exame laboratorial; Laudo de exame de imagem; Anotao de enfermagem e outros; Odontograma 3.

2.3.

Segurana da informao em sade

Com o grande avano da TIC, aumentou-se tambm o nmero de fraudes e falsificaes. Como contrapartida, diversas tecnologias de segurana da informao surgiram e esto sendo utilizadas para garantir a trade: integridade,

confidencialidade e autenticidade (de dados e entidades) sobre informaes digitais. Alguns conceitos iniciais sobre segurana da informao podem ser obtidos em trabalho anterior (BEZERRA e SOUSA, 2008). Pode-se dividir a segurana da informao em duas frentes (PEREIRA e PAIVA, 2012): Gesto de segurana; Pesquisa, anlise e utilizao das tecnologias de segurana.

Anamnese: Do grego ana, trazer de novo e mnesis, memria. Reaquisio da memria, regresso da memria. Histrico dos antecedentes de uma doena (ANAMNESE, 2013).
3

Odontograma: Ficha que contm a representao grfica dos dentes, na qual o dentista anota as caractersticas dentrias de cada paciente (ODONTOGRAMA, 2013).

27

A segurana da informao em ambas as frentes, gesto ou tecnologias, interagem com a rea de conhecimento na qual estiver envolvida, como por exemplo, neste caso: a sade. H uma pluralidade de reas envolvidas na segurana da informao. Essa integrao de reas de conhecimento distintas torna o trabalho complexo e modular. A segurana da informao para o PEP/RES fundamental para aumentar a qualidade do sistema e proporcionar um aumento na qualidade do cuidado prestado ao paciente. Costa (2001) faz outras consideraes relativas segurana da informao: Mxima confidencialidade e mximo controle de acesso no coexistem; A segurana de transaes na Internet pode garantir a segurana dos dados do paciente no processo de transmisso; A maioria dos casos de quebra de confidencialidade dos dados do paciente realizada pelos prprios profissionais da instituio. As questes relacionadas privacidade, confidencialidade e segurana so fundamentais em sistema PEP e pela falta destes requisitos que muitos sistemas PEPs fracassam e no substituem os pronturios em papel. O custo elevado requerido pela implementao dos requisitos de segurana faz com que muitos desenvolvedores no implemente a totalidade dos requisitos. Alguns incidentes de segurana viraram notcia no mundo inteiro, como o caso do Hacker rouba fichas de 5 mil pacientes de hospital nos Estados Unidos ((ISC) apud PEREIRA e PAIVA, 2012) e Hospital nos Estados Unidos perde dados de 130 mil pacientes (IDG NEWS SERVICE, 2010). Incidentes assim acaloram as discusses sobre o uso desta tecnologia no setor da sade. O atendimento cada requisito do PEP de fundamental importncia para a segurana da informao, pois um dos focos da segurana da informao que o funcionamento correto do sistema e que os objetivos de seus usurios sejam atendidos (PEREIRA e PAIVA, 2012).

28

2.3.1.

Pilares fundamentais da segurana

A segurana apoia-se em trs pilares fundamentais: (1). Pessoas, (2). Tecnologias e; (3). Aspectos jurdicos. 1. Pessoas: Segundo Costa (2001), um sistema PEP depende em 80% das pessoas e apenas 20% das tecnologias. No h sistema bem sucedido sem que haja uma boa aceitao dos usurios envolvidos. fundamental o comprometimento de todos. Estudo realizado no Hospital Universitrio da Faculdade de Medicina de Marlia revela que os profissionais realizam acessos indevidos aos dados dos pacientes (SALVADOR e ALMEIDA FILHO, 2004). Nesse ambiente hospitalar, foi constatado o vazamento de dados por meio do acesso indevido a informaes privadas de pacientes e tambm o manuseio inadequado dos dados. As pesquisas revelam tambm que, h uma preocupao dos mdicos com relao a quebra do sigilo mdico. Mesmo sabendo dos benefcios e vantagens do PEP, tais fatores trazem resistncia na adeso do PEP (PEREIRA e PAIVA, 2012). A implantao de um PEP um processo delicado e requer anlise de vulnerabilidades em alguns pontos (MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO, R. S. DE, 2003): Falta de entendimento das capacidades e benefcios do PEP e envolvimento dos usurios: fundamental que todos os envolvidos estejam cientes de todos os recursos e benefcios que o PEP pode oferecer. importante que os usurios tenham o sentimento de estar includo no processo. Isso facilitar todo o processo desde a coleta de requisitos at a ps-implantao do PEP; Padronizao: A falta de padronizao nos sistemas provoca a perda de dados e inviabiliza muitos dos recursos; Interface com o usurio: Para que os dados sejam armazenados adequadamente, de forma estruturada, fundamental que a entrada

29

tambm seja estruturada. Ento, a interface com o usurio primordial para que os dados estejam adequados; Mudana de comportamento: Os usurios devem estar cientes da necessidade da mudana. O sistema a ser implantado deve ser o menos impactante possvel na rotina dos usurios. Sistemas que interferem nos hbitos rotineiros das pessoas, em geral no so bem aceitos ou demoram algum tempo, exigindo um esforo maior. Treinamento: O insucesso de muitos sistemas se deve falta ou a falha no treinamento na implantao. Esse um processo contnuo. Apoio estratgico: O apoio da diretoria da instituio imprescindvel para o sucesso na implantao de um sistema PEP.

2. Tecnologias: O ciclo de vida til de uma TIC, habitualmente, relativamente curto. importante que seja implantando sempre as tecnologias modernas e que essas, uma vez implantadas, que sejam atualizadas, evitando a obsolescncia. A inovao em TIC deve ser permanente (PEREIRA e PAIVA, 2012). A deficincia na infraestrutura tecnolgica acarreta uma srie de possveis vulnerabilidades na segurana de um sistema. Antes que seja implantado um sistema PEP, a infraestrutura deve estar adequada e seguindo os requisitos necessrios. O controle de acesso fundamental para um sistema PEP. Ele garantir o sigilo das informaes dos pacientes contidas nos PEP. Os usurios devem somente ver as informaes que compete ao desempenho do trabalho. fundamental que haja auditorias constantes a fim de coibir acessos no autorizados. importantssimo tambm, garantir que todo e qualquer dado transmitido em rede seja seguro. Em ambiente Web as questes relacionadas segurana so a principal limitao para o uso do PEP. Ao implantar um sistema PEP, Costa (2001) percebeu que a principal dificuldade encontrada foi o atendimento aos requisitos de segurana e devido a limitao oramentria, no foi possvel implantar em sua totalidades os

30

requisitos necessrios ao PEP. Esse um fato que ocorre em muitas implantaes. Nesta implantao, alguns requisitos foram previsto, mas no foram implantados, tais como (PEREIRA e PAIVA, 2012): Criptografia na transmisso dos dados; Banco de dados inviolvel; Autenticao biomtrica dos usurios; Plano de contingncia para desastres; Segurana fsica no acesso aos servidores.

Outros mecanismos importantes que recomendvel que se empregue no PEP so (PEREIRA e PAIVA, 2012): Controle de acesso por usurio e senha; Identificao por biometria; Autenticao por certificado digital; Implantao de polticas clara sobre os requisitos de segurana da informao; Auditorias peridicas; Treinamento e a conscientizao para o uso adequado do PEP.

3. Aspectos jurdicos: Um sistema que no valoriza a segurana e confidencialidade pode estar fadado ao fracasso, desencadear processos judiciais, e gerar ou aumentar a falta de confiana dos usurios (PEREIRA e PAIVA, 2012). Nesse processo de transformao cientfica e tecnologia fundamental que as leis acompanhem essa evoluo. Nos requisitos desejveis em um PEP, observa-se a necessidade de cuidados com a segurana da informao, os quais devem observar os preceitos ticos e legais. A segurana da informao em sade apresenta uma abordagem jurdica complexa.

31

tica mdica: proibido ao profissional de sade revelar fato de que tenha conhecimento em virtude do exerccio de sua profisso (Cdigo de tica Mdica), a casos clnicos identificveis, exibir pacientes ou seus retratos em veculo de mdia ou qualquer tipo de publicao, revelar informaes confidenciais obtidas e/ou diagnosticadas (PEREIRA e PAIVA, 2012). A violao da privacidade e da intimidade dos pacientes pelos profissionais de sade no ocorre somente em uma conduta positiva ou dolosa, tal crime tambm ocorre na modalidade culposa, pois a previsibilidade subjetiva requisito da culpabilidade do crime culposo. A conduta ocorre tanto na ao como na omisso, sendo a primeira qualquer movimento corpreo tendente a uma finalidade, podendo tambm o agente pratic-la de maneira puramente esttica, que no uma omisso, mas uma ao positiva, um fazer, no um abster-se de fazer. o caso quando o profissional de sade publica, divulga ou permite que seja divulgado informaes ou dados dos pacientes contra sua vontade ou sem a devida anuncia. Segundo Pinheiro (2012), os aspectos tcnico-legais mais relevantes para um trabalho de sade digital, ou seja, implantao no apenas de PEP, como tambm de GED, certificao digital, biometria, digitalizao, cadastro e credenciamento online, apresentao de resultados ambulatoriais pela Internet, entre outros, so: Autenticidade dos dados prova de auditoria; Inviolabilidade dos dados prova de integridade (criptografar, ter senha de acesso, controle de acesso, fazer guarda histrica sem sobrescrever, fazer guarda dos logs); Padronizao do modelo de guarda permitir integrao de Banco de Dados e uso por diferentes agentes; Capacidade de recuperao dos dados (disponibilidade e acesso); Garantia de acesso das informaes pela Justia (histrico mdico pronturio do paciente); Possibilidade de controle (atuao dos organismos pblicos de controle da sade e da tica mdica).

2.3.2.

Plano diretor de informtica em sade

32

de fundamental importncia que haja um plano diretor focado na rea sade, assim como em outras reas, para alcanarem-se os resultados desejados (PEREIRA e PAIVA, 2012). Considera-se como plano diretor o documento que sintetiza e torna explcitos os objetivos consensuados para uma instituio e estabelece princpios, diretrizes e normas a serem utilizadas como base para que as decises dos atores envolvidos no processo em questo convirjam, tanto quanto possvel, na direo desses objetivos (SABOYA apud PEREIRA e PAIVA, 2012). Um Plano Diretor de Informtica (PDI) consiste na elaborao estratgica de investimento nas reas de TIC a fim de assegurar o bom funcionamento das atividades institucionais, bem como prover informaes necessrias para estudos de investimentos futuros em tecnologia. O PDI tem por objetivo o levantamento de recursos, tais como: hardware, software, pessoas, processos, segurana da informao e necessidades emergentes e futuras (DFIORI, 2013). O PDI um documento fundamental para que uma instituio possa utilizar melhor os recursos da TIC e realizar seus projetos norteados e com projees de investimentos de TIC. O PDI pode ser aplicado tanto em organizaes pblicas quanto privadas. O plano diretor em segurana da informao um brao do PDI. Assim como em outras reas, o plano diretor h algumas subdivises, por exemplo: Backup; Segurana fsica; Plano de contingncia; Gesto de incidentes; Controle de acesso; Segurana em sistemas.

Os Sistemas de RES (S-RES) no Brasil podem receber dois tipos de certificaes: a ISO 27001 (ABNT, 2009) e/ou SBIS (SBIS, 2009). Nesse contexto, um plano diretor de segurana de informao voltado para a sade pode objetivar:

33

1. Certificar o S-RES com a certificao SBIS; 2. Certificar o S-RES com a International Organization for Standardization (ISO) 27001; 3. Implementar aspectos de segurana da informao para eficcia da segurana do sistema, independente de certificao.

2.3.3.

Aspectos legais e ticos da segurana da informao em sade

...Penetrando no interior das famlias, meus olhos sero cegos e minha lngua calar os segredos que me forem confiados... Hipcrates, 460 a.C. (CRM-SC, 2000).

Uma das maiores barreiras e fator crtico para o sucesso na implantao de um sistema PEP/RES ganhar a confiana do corpo clnico. H uma legtima preocupao com relao ao sigilo mdico. Segundo manual de orientao tica e disciplinar do Conselho Regional de Medicina de Santa Catarina (CRM-SC) (2000), no h possibilidade do exerccio da medicina sem a existncia e a estrita observncia do sigilo mdico. Ele a segurana do paciente. O Cdigo de tica Mdica, no seu artigo 11, impe o segredo como um princpio fundamental para o exerccio da medicina. No captulo IX esto as obrigaes com o segredo profissional. O dever de segredo no se limita ao mdico, mas a todos aqueles que, em funo de sua profisso, tenham acesso a estes dados. Porm, seus acessos deveriam se limitar somente s informaes para o exercer de suas profisses (SALVADOR e FILHO, 2004). A confidencialidade das informaes do PEP um direito de todo cidado, com respaldo na Constituio Federal de 1988, em seu artigo 5, inciso X que garante a inviolabilidade da intimidade, da vida privada, da imagem e da honra das pessoas. Este dever de preservao de segredo previsto no nosso Cdigo Penal, artigo 154, e na maioria dos cdigos de tica profissional da sade (SALVADOR e FILHO, 2004). O PEP regulado por algumas leis e so (PINHEIRO, 2012):

34

Constituio Federal, artigo 5, inciso X; Cdigo Civil, artigos 225, 330, 331, 332, 333; Cdigo de Processo Civil, artigos 368, 371, 389; MP 2.200-2/2001; Resoluo CFM N 1821/2007; Resoluo CFM N 1931/2009 Cdigo de tica Mdica; Parecer CFM N 30/20024.

Com intuito de estabelece as normas, padres e regulamentos para o PEP/RES no Brasil, foi firmado um convnio de cooperao tcnico-cientfica entre o CFM e a SBIS. Com esse convnio houve a criao de um processo de certificao de sistemas RES. Um marco regulatrio importante foi a publicao da resoluo do CFM N 1821/2007, cuja sua ementa a seguinte (CFM, 2007):
Aprova as normas tcnicas concernentes digitalizao e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos pronturios dos pacientes, autorizando a eliminao do papel e a troca de informao identificada em sade.

Em anexo conta o contedo integral desta. Em 2009 o Conselho Federal de Odontologia (CFO) publicou uma resoluo que idntica a resoluo CFM N 1821/2007 aprovando o uso do pronturio eletrnico para pacientes de odontologia. A resoluo publicada foi a CFO N 91/2009. Quer seja um pronturio eletrnico ou em papel (modelo convencional), ambos devem seguir as orientaes e determinaes da Resoluo CFM N 1638/2002 que traz a definio de pronturio mdico e torna obrigatria a criao de comisso de reviso de pronturios nas instituies de sade (SBIS, 2012). Esta resoluo traz conceitos que independe da forma de origem e armazenamento da informao. Ela trata o que o espera-se de um pronturio mdico.

Parecer CFM N 30/2002 Para garantir a autenticidade e a confidencialidade na transmisso dos dados, o PEP deve implementar a criptografia de chave pblica, de acordo com normas da ICP-Brasil (PINHEIRO, 2002)

35

Outra exigncia que a feita pelo CFM exige que os S-RES atendam todos os requisitos obrigatrios da certificao, porm o CFM, neste momento, ainda no torna obrigatria a auditoria do SBIS nos S-RES, facultando ao desenvolvedor do sistema submeter o sistema certificao (SBIS, 2012). Estes requisitos esto definidos e detalhados na Resoluo CFM N 1821/2007 j citada.

2.3.4.

Assinatura digital: Discusso da obrigatoriedade e o pronturio 100% digital

Segundo SBIS (2012), para que um PEP possa eliminar 100% a utilizao de papel (paperless), obrigatrio o uso de certificao digital dos profissionais para assinatura digital dos pronturios. Esse o posicionamento da SBIS / CFM: S h validade jurdica em documento assinado digitalmente. Contudo, segundo anlise das especialistas em direito digital Patrcia Peck Pinheiro e Sandra Paula Tomazi Weber (2012), a MP 2.200/2002 abre a possibilidade de um documento possuir validade jurdica por outros tipos de certificados ou ainda outras formas para a identificao de autoria, at pelo princpio de presuno da boa-f (um simples e-mail enviado presume-se oriundo daquele destinatrio at que se faa prova em contrrio).
O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento (MP2200-002/01 art. 10, pargrafo 2)

O certificado digital transfere a responsabilidade sobre a autoria do documento para Autoridade Certificadora (AC) e por isso tem sido muito adotado. Porm ele no deve ser entendido como a nica forma de possuir validade jurdica, como afirma Pinheiro (2012). O judicirio permitiu o peticionamento eletrnico por meio de usurio e senha. Hoje a biometria j adotada como forma de reconhecimento do indivduo, seja para

36

passaporte ou no processo eleitoral. Ento, no correto afirmar que se o PEP no for assinado por meio de certificao digital ICP-Brasil ele no possui validade jurdica. Os documentos eletrnicos, assim como PEP e o prprio e-mail, j so utilizados como instrumentos de prova nos processos atuais, independente de terem sido assinados ou no via certificado digital. Isto sustentado pelo artigo 225 do Cdigo Civil (PINHEIRO, 2012) e artigo 332 do Cdigo de Processo Civil:
As reprodues fotogrficas, cinematogrficas, os registros fotogrficos e, em geral, quaisquer outras reprodues mecnicas ou eletrnicas de fatos ou coisas fazem prova plena destes, se a parte, contra quem forem exibidos no lhes impugnar a exatido (Art. 225 do Cdigo Civil).

Todos os meios legais, bem como os moralmente legtimos, ainda que no especificados neste Cdigo, so hbeis a provar a verdade dos fatos, em que se funda a ao ou defesa (Art. 332 do Cdigo de Processo Civil).

Ento, a assinatura eletrnica em um documento eletrnico que seja feita em consonncia com as disposies da MP 2200-002/01 equipara-se a uma assinatura feita de prprio punho em um documento em papel. Logo, se tradicionalmente os documentos so assinados em papel sem a exigncia do reconhecimento de firma, por que deveramos exigir isso agora? H outras tcnicas que podem ser adotadas, desde que preservadas a integridade e autenticidade do documento eletrnico (PINHEIRO, 2012). Essa interpretao da SBIS / CFM atrasa a informatizao da sade no Brasil, colocando mais barreiras nesse processo. Devido a esse posicionamento, se o sistema a ser implantado quiser obter a certificao da SBIS, infalivelmente ser necessria a utilizao da certificao digital. A exigncia da certificao digital nos PEPs, a flutuao no quadro de mdicos e demais profissionais de sade fazem com que muitos hospitais adotem o sistema hbrido, ou seja, os dados so inseridos em sistema eletrnico, esses dados so impressos e ento realiza-se uma assinatura de prprio punho no documento.

37

Tais sistemas no maximiza o ganho de ter um pronturio eletrnico, e ainda a essa prtica fere os princpios jurdicos de proteo legal de documento original da Sociedade Digital, pois gera um novo documento que precisa de uma nova autenticao e que pode sofrer quebra de integridade na migrao de suporte eletrnico para suporte papel (PINHEIRO, 2012). H um grande risco nessa soluo, pois h duas fontes distintas de informao e isso pode gerar a leitura no integral do pronturio do paciente, podendo gerar diagnsticos, decises, prescries, entre outros, equivocadas. Embora seja um complicador nesse processo de informatizao da sade, se optada pela adoo da assinatura eletrnica por meio de certificado digital ICPBrasil, ela trar algumas vantagens, como a j citada transferncia de responsabilidade sobre a autoria do documento para AC. Um sistema que utiliza assinatura digital pode operar nos modos centralizado e distribudo (E-VAL, 2013): Operao centraliza: as chaves de assinatura so armazenadas em dispositivo Hardware Security Module (HSM). Instalados no servidor do servio. Promove maior usabilidade aos usurios, que no precisaro portar um dispositivo mvel de carto ou token; Operao distribuda: cada profissional utiliza seu carto ou token, para realizar as assinaturas diretamente nos computadores do ponto de cuidado.

Segundo Paulo Kulikovsky, vice-presidente da Certisign (CERTISIGN, 2013):

A certificao digital a soluo para reduo dos custos dos hospitais com aumento da segurana, tanto para o paciente como para os prprios hospitais, alm do aumento na produtividade do corpo clnico e facilidade de acesso s informaes. Quando implantado o processo de certificao digital, so eliminados todos os esforos administrativos e os erros advindos do uso do pronturio em papel.

38

Observa-se que no h um consenso sobre a obrigatoriedade do uso da assinatura digital. A assinatura digital por ser mais regulada, trar mais benefcios em caso de processos judiciais, pois simplificar a prova da autenticidade e integridade das informaes, porm h um alto custo a ser pago por essa segurana jurdica.

2.3.4.1. CRM Digital

O CFM lanou em maro de 2011 o CRM Digital que visa estimular e massificar o uso de certificao digital pelos mdicos no Brasil. Gradualmente o smart card est substituindo o modelo tradicional de carto (SBIS, 2012). Para utilizar o CRM digital no pronturio eletrnico o mdico dever procurar uma Autoridade Registradora (AR) que o rgo competente e autorizado a inserir um certificado digital padro ICP-Brasil vlido. Na primeira etapa deste processo, o certificado digital a ser inserido no CRM Digital o mesmo que o e-CPF A3, ou seja, um certificado digital ICP-Brasil para pessoa fsica vlido por 3 anos. O CFM realizou um termo de cooperao com a Caixa Econmica Federal para baratear o custo do certificado digital para o CRM Digital. Esse termo foi realizado atravs de um estudo realizado em 2011, onde foi tabulado os seguintes preos para certificao:

39

Tabela 1 Custo individual do certificado digital. Fonte: (CFM, 2013).

2.3.5.

Verificao de atendimento resoluo CFM N 1821/2007

A resoluo do CFM N 1639/2002 traz normas tcnicas para o uso de sistemas informatizados e para a guarda e manuseio do pronturio mdico. Porm, com o convnio estabelecido com a SBIS, esta resoluo foi revogada e a norma vigente a presente no manual da SBIS, conforme Art. 1 da resoluo CFM N 1821/2007. Para verificar se o S-RES atende a todos os requisitos da resoluo CFM N 1821/2007 h duas formas. A primeira por meio da certificao do S-RES. Para isto, verifique o nome do sistema, desenvolvedor/empresa e nmero da verso (nmero da verso o elemento essencial, pois a certificao vlida para determinada verso de sistema, no abrangendo verses futuras). Com estas informaes, acesse o site da SBIS: http://www.sbis.org.br/certificacao e verifique se esse sistema consta na lista de sistemas auditados pela SBIS (SBIS, 2012). No site constar:

40

Nmero do certificado; Situao atual do certificado; Nome do produto; Nome da empresa / organizao; CNPJ da empresa / organizao; Verso do produto; Ano de referncia; Data de emisso do certificado; Data de validade estimada do certificado; Nvel de garantia de segurana (NGS); Categoria do S-RES; e arquivo em formato digital do certificado emitido.

A segunda forma questionar a diretoria tcnica da instituio de sade a fim de, mesmo no auditado, verificar se o S-RES atende todos os requisitos da certificao de software. Como mencionado anteriormente, a certificao ainda no um requisito obrigatrio, ento essa segunda forma s ser vlida enquanto no houver legislao que obrigue a certificao dos S-RES. Como prev o art. 18 do cdigo de tica mdica prev que vedado ao mdico desobedecer ou desrespeitar aos acrdos e s resolues dos conselhos federal e regionais de medicina. Em eventual processo judicial ou nos conselhos regionais, no sero consideradas vlidas como prova legal se essas estiverem armazenadas em S-RES que estejam em desacordo com as exigncias da certificao.

2.3.6.

Certificao de sistema de informao em sade no Brasil

Em 2002 foi firmado um convnio de cooperao tcnico-cientfica entre o CFM e a SBIS para definio do PEP/RES e estabelecimento dos requisitos mnimos e obrigatrios para esse tipo de sistema e tendo como grande motivador a segurana do paciente. A percepo destes rgos foi a que as informaes da

41

sade dos pacientes no estavam sendo armazenadas, at ento, de forma segura, sendo necessrio estabelecer padres e o reconhecimento de sistemas que adotam esses padres. Surgiu ento a certificao para S-RES (SBIS, 2012). A certificao S-RES um processo de auditoria em sistemas informatizados que armazenam informao identificada de sade e que consiste em verificar o atendimento do sistema aos requisitos do manual de certificao. A base da formulao destes requisitos foi reviso de experincias e projetos similares, normas e padres nacionais e internacionais, de forma que fossem atendidas integralmente as legislaes nacionais. Um dos principais requisitos estabelecido o uso da assinatura eletrnica com certificado digital padro ICP-Brasil. No S-RES, se atendido os requisitos do manual de certificao e possui a assinatura digital para assinar o pronturio, os registros gerados no so passveis de modificao. Se for necessria modificao ser necessrio gerar um novo registro versionado da informao. J em um sistema no certificado no h garantias que o registro no seja modificado (SBIS, 2012).

2.3.6.1. Fases do processo de certificao SBIS / CFM A certificao de um S-RES possui trs fases (DAVILA, 2004): Fase I Declarao de conformidade; Processo simples via Internet; Aderncia aos requisitos do manual; Apenas uma fase de adaptao e treinamento do mercado.

Fase II Selo SBIS / CFM; Selo de qualidade para o software, certificando que o mesmo atende requisitos; Necessidade de auditoria; Certificado para o produto (software) pela SBIS e registrado no CFM.

42

Fase III Certificao de RES. Modelo mais amplo; Certificao de hospitais, clnicas para o uso do PEP; Abandonar o papel; Metodologia de certificao estilo Organizao Nacional de

Acreditao (ONA); Envolvimento da Agncia Nacional de Vigilncia Sanitria (ANVISA).

Este um processo complicado que exige pelo menos dois aspectos: a anlise do produto e a sua utilizao no ambiente em que est instalado.

2.3.6.2. Nvel de Garantia de Segurana (NGS)

Um dos pontos mais importantes da certificao SBIS-CFM a segurana da informao (SBIS, 2012). O processo de certificao SBIS/CFM classifica os S-RES, do ponto de vista de segurana da informao, em dois Nveis de Garantia de Segurana (NGS): NGS1: define requisitos obrigatrios de segurana, tais como controle de verso do software, controle de acesso e autenticao,

disponibilidade, comunicao remota, auditoria e documentao. NGS2: Alm de todos os requisitos do NGS1, exige a utilizao de certificados digitais ICP-Brasil para a assinatura e autenticao. Somente os sistemas que esto em conformidade com esse nvel so considerados de 100% digitais, pois no requer a impresso de documentos do pronturio. Este o atualmente o nvel mais elevado de segurana de certificao S-RES. No manual de certificao (SBIS, 2009) constam todos os requisitos de segurana que cada nvel exige.

43

No item 8.2 e 8.3 do manual esto descritos estes itens. Constam na tabela a identificao (ID), requisito, conformidade, local e remoto. So exemplos de requisitos: Controle de verso do software: Verso software, cdigo fonte, repositrio de verses, entre outros; Identificao e autenticao de usurio: Mtodo de autenticao, segurana de senhas, controle de tentativas de login, entre outros; Disponibilidade do RES: Cpia de segurana, segurana da comunicao entre cliente e servidor, entre outros; Assinatura digital: Formato de assinatura, referncia temporal para revogao, validade da assinatura digital entre outros; Entre outros.

2.3.6.3. Categorias da certificao

Genericamente o processo de certificao SBIS/CFM destina-se ao S-RES. S-RES, segundo definio da norma ISO, qualquer sistema que capture, armazene, apresente, transmita ou imprima informao identificada em sade (SBIS, 2012). Exemplos de S-RES: Sistemas de gesto hospitalar; Pronturio eletrnico; Sistemas para clnicas e consultrios; Sistemas de resultado de exames laboratoriais; Sistemas para laudos de exames de imagens; Sistemas para sade do trabalhador; Entre outros.

44

Na verso atual do manual de certificao, verso 3.3, foram criados requisitos somente para algumas categorias, permitindo que os S-RES das categorias abaixo possam ser auditados. Assistencial: qualquer sistema que auxilie o mdico no atendimento ao paciente; Gerenciamento Eletrnico de Documentos (GED): utilizados para o armazenamento e visualizao de documentos, desde que

relacionados informao de sade. Troca de Informao em Sade Suplementar (TISS): categoria dirigida ao atendimento do padro TISS da Agncia Nacional de Sade Suplementar (ANS).

2.3.6.4. A ISO 27799

A srie 27000 da ISO concentra-se nos requisitos, controles de segurana e orientado para implementao de um Sistema de Gesto de Segurana da Informao (SGSI) (RIBAS, 2010). A ISO 27001:2006 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI (ISO apud RIBAS, 2010). A ISO 27002 estabelece um cdigo com as melhores prticas em segurana da informao. Ela lista os objetivos de controle e recomenda uma srie de controles de segurana especfico (RIBAS, 2010). A ISO 27799 define diretrizes para auxiliar organizaes da rea da sade e outras que armazenam informaes mdicas na interpretao e na execuo da ISO 27002. A ISO 27799 um complemento da ISO 27002. Todos os objetivos descritos nela so relevantes para a rea da sade, mas alguns controles requerem esclarecimentos adicionais a respeito de como eles podem ser usados para proteger a confidencialidade, integridade e disponibilidade de informaes mdicas. H tambm requisitos adicionais especficos do setor da sade. Esta norma fornece

45

uma orientao adicional de forma que as pessoas responsveis pela segurana da informao na sade possam facilmente compreender e aprovar (ISO apud RIBAS, 2010).

2.3.7.

A importncia da engenharia da usabilidade para a segurana em sistema PEP

A engenharia da usabilidade visa conquistar a aceitao do usurio a um sistema e assim efetivar sua utilizao. preciso mudar esta viso contribuindo para o desenvolvimento e a operao de sistemas de informao funcionais e seguros (PEREIRA e PAIVA, 2012). Como mencionado os sistemas informatizados so essenciais na rea da sade, mas sua eficcia diretamente proporcional sua usabilidade. Um sistema com uma usabilidade adequada reduz falhas na segurana, sejam elas intencionais ou no, oriundas do usurio. Na rea da sade, a necessidade de segurana ainda mais crtica do que em outras reas, pois afetar diretamente o bem estar e a vida humana envolvida. A segurana da informao permeia todos os colaboradores da instituio, sendo necessrio que todos os profissionais se familiarizem com a engenharia da usabilidade e que haja a conscincia que ela uma poderosa ferramenta na reduo dos riscos na segurana do PEP (PEREIRA e PAIVA, 2012). Em pesquisa realizada por Koppel et al. (2005) e Ash et al. (2004) revela algumas falhas impactantes por falta de usabilidade do sistema, tais como (PEREIRA e PAIVA, 2012). Usurio no conseguia utilizar corretamente o equipamento e desta forma atrasava ou impossibilita o procedimento. O sistema assumia a dosagem do medicamento com base na unidade cadastrada. No considerava a possibilidade de prescrio de dosagem atpica;

46

Os prescritores frequentemente inseriam registro de novas doses sem cancelarem o registro antigo: o paciente recebia a soma das doses; Usurios anotavam dados em papel e depois os lanavam no sistema. As informaes perdiam consistncia e atualizao; Anotao do procedimento com defasagem de tempo. H falha na consistncia de tempo e dois ou mais trabalhos para o mesmo procedimento.

Um medicamento prescrito trs vezes por dia foi suspenso, mas o sistema no permitiu o fechamento da prescrio incompleta; Medicamentos urgentes podiam ser ministrados pelos enfermeiros antes da ordem do mdico. Porm, o PEP inviabilizava essa exceo, exigindo que houvesse primeiramente a prescrio mdica;

Pacientes no pronto-socorro no poderiam ser atendidos sem cadastro, Mesmo em estado de emergncia, sem o porte da documentao, o sistema no permitia a alocao de leito, retirada de medicamento, consulta ou solicitao de exames;

Problema da meia-noite: na rea da sade, ministrar um remdio s 23h55 ou s 00h05 anlogo, mas para o sistema outro dia, gerando inconformidades nas informaes.

O PEP um caminho sem volta e que exige a presena da engenharia da usabilidade para que haja a segurana da informao necessria e a aceitao dos usurios do sistema (PEREIRA e PAIVA, 2012). O profissional de sade deseja que o PEP seja: Integrado; Atualizado em tempo real; Tenha autenticidade e confidencialidade; Aderente legislao vigente.

Um dos maiores equvocos no desenvolvimento dos sistemas, no somente do PEP, a construo de interfaces por profissionais isolados, concentrados no computador e alheio ao dia a dia dos usurios. Por isso, o envolvimento dos usurios (mdicos, enfermeiros, fisioterapeutas, outros) importantssimo para a

47

construo e evoluo de um sistema que seja eficiente na sua usabilidade, tornando assim o sistema mais seguro, bem aceito e amplamente utilizado. Um sistema bem construdo, do ponto de vista da usabilidade, quebra a barreira da resistncia dos usurios com relao implantao.

2.3.8.

Implementao do pronturio eletrnico do ponto de vista jurdico

Tendo em vista a importncia da padronizao do modelo tcnico-jurdico de sade digital, necessria uma anlise jurdica minuciosa, a fim de dar cumprimento s leis em vigor no Pas, considerando temas como (PINHEIRO, 2012): Modelo tcnico-legal de referncia e requisitos de software e sistemas; Modelo tcnico-legal de referncias e requisitos para bases de dados. Modelo de autenticao forte (prova de autoria e identidade) com anlise de aplicao de Certificao Digital da ICP-Brasil e/ou registro Biomtrico; Poltica de privacidade eletrnica; Poltica de segurana da informao; Especificao para contratao de solues e fornecedores TI; Modelo de contrato de fornecedores de TI; Termo de uso do ambiente e vacinas legais para as interfaces grficas (aplicvel a vrios tipos de autenticao e acesso); Termo de confidencialidade; Termo de coleta biomtrica; Referncia para extrao de anlise dos dados de PEP para fins estatsticos (no identificveis); Capacitao com palestras e treinamentos para construo de uma cultura paperless na sade, orientando mdicos e equipes sobre o uso tico, seguro e legal do pronturio eletrnico; Recomendaes e Procedimentos para hospitais, clnicas, laboratrios, seguradoras de sade e mdicos;

48

Atualizao do Cdigo de Conduta Mdica para inserir a questo do PEP; Participao em reunies de discusso e validao do modelo brasileiro; Registros em atas de reunio; Homologao legal das solues apresentadas por parceiros ou fornecedores; Elaborao de pareceres tcnico-legais para apoiar implementao de PEP nas instituies pblico-privadas; Resposta s dvidas e consultas de hospitais, seguradoras e demais agentes de mercado.

Ento, na implementao de um PEP necessria uma base jurdica bem estruturada, alm de treinamentos especficos para os profissionais envolvidos (PINHEIRO, 2012).

2.3.9.

Passivo do pronturio em papel

O pronturio pode e deve ser digitalizado, porm isso no autoriza o descarte do papel. Pela lei brasileira atual est autorizada a eliminao do papel em caso de microfilmagem5 dos documentos. Segundo resoluo CFM N 1821/2007, est autorizada a eliminao do pronturio em papel desde que o arquivo resultante do processo de digitalizao seja assinado com um certificado digital ICP-Brasil e este devem ser mantidos em sistema. Porm, ainda no h um consenso visto que o pronturio multiprofissional e inclui anotaes de diversas categorias de profissionais de sade e, como mencionado, parte dos demais conselhos de classe no houve regulamentao efetiva nesse assunto. Mesmo ao digitalizar o pronturio, os originais em papel

Microfilme: uma mdia analgica de armazenamento para livros, peridicos, documentos e desenhos.

49

devem ser armazenados por um perodo mnimo de 20 anos, conforme determina resoluo CFM N 1821/2007, no art. 8. Este um problema gerado pelo uso do papel. Mesmo implementando um SRES, haver um passivo que dever ser tratado, pois no poder ser eliminado o papel do dia para noite. um trabalho de longo prazo para descartar de vez toda obrigao legal sobre uso do papel para registro de informaes dos pacientes. A resoluo CFM N 1821/2007, no art. 7 estabelece a guarda permanente para os pronturios mdicos arquivados eletronicamente em meio tico ou magntico, e microfilmados.

2.4.

Cases de sucesso e perspectivas para o futuro

2.4.1.

Cases de sucesso na implantao de PEP

Segundo Costa apud Vieira (2013), ter um hospital digital no tarefa trivial, pois a infraestrutura necessria muito grande. O hospital digital ainda no existe no Brasil, mas ele possvel e est prximo de ser alcanado em instituies como o Hospital das Clnicas de Porto Alegre em Rio Grande do Sul, o Instituto do Cncer do Estado de So Paulo (Icesp) e o Hospital Samaritano em So Paulo, Unidade de Pronto Atendimento (UPA) do Imbiribeira em Pernambuco, entre outros (VIEIRA 2, 2013). O Icesp uma grande referncia no uso do PEP. Ele foi destaque no prmio Referncias em TI (JUNIOR e MARCHESINI, 2013). A instalao do PEP evitou rasuras nos documentos e facilitou o arquivamento e troca de informaes. O Icesp implantou a assinatura digital de seus documentos dando validade aos documentos armazenados e gerados eletronicamente, tornando mais seguro, gil e com benefcios econmicos financeiros por meio da economia de papel e

50

melhor gerenciamento dos recursos. O projeto comeou em abril de 2010 e finalizou em junho de 2012, com investimento de R$5 milhes. O Icesp adotou a arquitetura centralizada na operao de assinatura digital. H um mdulo HSM que responsvel pela a guarda das chaves. No evento EducaSUS (2011) o diretor de TI do Icesp, Dr. Kaio Jia Bin, menciona que a arquitetura de operao centralizada tem algumas vantagens, como por exemplo, o profissional no tem como esquecer a chave, j que seu armazenamento fica in loco. Porm, essa adoo gerou alguns problemas, como cita, que se fosse para optar hoje, ele optaria pela arquitetura distribuda. Alm de dar mais transparncia ao profissional (aparente garantia que ningum ir utilizar sua chave, j que est em sua posse), e o fato dos profissionais trabalharem em mais de um lugar faz com quem eles no consigam reutilizar a mesma chave em vrios locais. O Icesp est deixando de consumir 800 mil folhas por ms, trazendo uma reduo no custo, tanto na aquisio quanto na guarda do papel.

Figura 3 Arquitetura da soluo aplicada no Icesp. Fonte: (E-VAL, 2013).

51

A fundao Hospital Infantil Sabar, em So Paulo, est realizando a implantao do PEP com NGS2. A meta reduzir os custos com impresso de documentos de R$ 16 mil para R$ 7 mil, segundo Milton Alves, diretor de TI e facilities do hospital (CERTISIGN, 2013). Com um investimento de R$ 400 mil, o Hospital Samaritano pretende deixar de imprimir 500 mil folhas de papel por ms. A instituio certificou digitalmente 2500 funcionrios para poderem assinar digitalmente o PEP (CERTISIGN, 2013).

2.4.2.

O futuro do PEP segundo perspectiva de um especialista no assunto

Em mbito federal, foi criada uma subcomisso para discutir a informatizao da sade. Em entrevista ao deputado federal Dr. Alexandre Roso, ele fala um pouco dos objetivos dessa subcomisso. A ntegra apresentada no ANEXO 1. Essa subcomisso tem como objetivo: a) Fazer um diagnstico do cenrio atual da informatizao da sade traando metas; b) Propor um projeto de lei e c) Avaliar as aes do governo para incrementar a informatizao da sade, assim como ocorreu no judicirio. Como citou o deputado, menos de 1% do oramento da sade vai para a rea de TI e isto pouco para uma rea que poderia ter o status da principal ferramenta para se alavancar a eficincia da sade pblica no Brasil. No que tange a custos envolvidos, o deputado menciona que o benefcio alcanado por um sistema de informao eficaz supera o custo de sua implantao. A verba vir do prprio ministrio da sade e h a possibilidade de ser feita uma Parceria Pblico-Privada (PPP). A segurana da informao um elemento principal nesse processo e tem um alto custo envolvido e isto est sendo levado a debate na subcomisso.

52

A inteno criar um sistema que interaja e integre com todo o setor pblico e tambm com instituies privadas. A chave para que esse processo ocorra que haja a unificao do cadastro dos pacientes e isto j vem ocorrendo por meio do carto SUS. O deputado finaliza a entrevista trazendo trs pontos principais:

desfinaciamento da sade, a gesto e os recursos humanos. Nos trs pontos a informatizao a ferramenta de gesto fundamental para que haja eficincia.

2.5.

Oportunidades de pesquisa relacionadas rea de informtica em sade

Segue algumas sugestes de pesquisa que daria continuidade a este trabalho: PEP e a utilizao em dispositivos mveis (m-health); Segurana da informao de sade no contexto de Bring Your Own Device (BYOD) Traga seu prprio dispositivo); Segurana da informao de sade no contexto de Cloud Computing; Segurana da informao na transmisso e compartilhamento de dados entre instituies de sade; Segurana da informao de sade em telemedicina; Estudo sobre o protocolo Health Level 7 (HL7); Auditoria em sistema PEP; Direito digital para o PEP.

53

3.

CONCLUSO

Os principais aspectos relacionados segurana da informao nos sistemas de registro eletrnico em sade foram discutidos, onde as diferenas entre registro em papel e o registro eletrnico foram esplanadas identificando-se vantagens e desvantagens, bem como se analisou a viabilidade da migrao papel para eletrnico. Os requisitos legais envolvidos na segurana da informao aplicada ao setor de sade foram cuidadosamente abordados e analisados, onde promoveu-se um debate de ideias. Finalmente, discutiram-se as perspectivas do futuro desta rea, incluindo a sntese de uma entrevista feita com o deputado Dr. Alexandre Roso. Finalmente, com base em todo o estudo do assunto tratado neste TCC, bem como na entrevista realizada, conclui-se que a adoo do pronturio eletrnico a mais adequada aos requisitos da sade devido a suas inmeras vantagens sobre o pronturio em papel. A questo da segurana da informao na sade o elemento chave nesse processo, tanto com relao garantia e transparncia ao corpo clnico quanto a legalidade do sistema. Portanto, a segurana da informao o principal obstculo a ser superado, em um cenrio em que garantir a segurana da informao garantir a segurana do Paciente.

54

REFERNCIA BIBLIOGRFICA

ALVES, Leonardo. Histria: o primeiro pronturio mdico. Ago. 2010. Disponvel em: <http://www.meuprontuario.net/prontuario-medico/blogcorporativo/Historia-o-primeiro-prontuario-medico.html>. Acesso em: 11 set. 2013. ANAMNESE. In: Michaelis. Disponvel <http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=anamnese>. Acesso em: 08 out. 2013. em:

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC 27000:2009: Sistema de Gerenciamento de Segurana da informao. 2009. BEZERRA, Dinarde Almeida; SOUZA, Gustavo Magno. Protocolos criptogrficos. Disponvel em: <http://pt.scribd.com/doc/7526941/ProtocolosCriptograficos>. Acesso em: 01 mai. 2013. CERTISIGN. Casos de sucesso. Disponvel em: <http://www.certisign.com.br/solucoes-corporativas/casos-sucesso>. Acesso em: 09 jul. 2013. CFM, Conselho Federal de Medicina. CRM Digital. Disponvel em: <http://portal.cfm.org.br/crmdigital/crm-digital.html>. Acesso em: 09 jul. 2013. CONSELHO FEDERAL DE MEDICINA. Aprova as normas tcnicas concernentes digitalizao e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos pronturios dos pacientes, autorizando a eliminao do papel e a troca de informao identificada em sade, Resoluo n. 1821, de 23 de novembro de 2007. CONSELHO FEDERAL DE MEDICINA. Define pronturio mdico e torna obrigatria a criao da Comisso de Reviso de Pronturios nas instituies de sade, Resoluo n. 1638, de 9 de agosto de 2002. COSTA, Claudio G. A. da. Desenvolvimento e Avaliao Tecnolgica de um Sistema de Pronturio Eletrnico do Paciente, Baseado nos Paradigmas da World Wide Web e da Engenharia de Software. Dissertao de Mestrado em Engenharia Biomdica na UNICAMP, Universidade Estadual de Campinas. 2001. COSTA, Claudio G. A. da. Pronturio eletrnico do paciente: Legislao, auditoria e conectividade. In: CONGRESSO LATINO AMERICANO DE SERVIOS DE SADE, 8, 2003, So Paulo. Anais... [S. l. : s. n.]. CRM-SC, Conselho Regional de Medicina do Estado de Santa Catarina. Manual de orientao tica e disciplinar. Disponvel em: <http://www.portalmedico.org.br/Regional/crmsc/manual/parte3c.htm>. Acesso em: 15 de ago. 2013. DAVILA, Roberto Luiz. A certificao SBIS-CFM. Disponvel em: <http://www.portalmedico.org.br/include/forum_informatica/Forum%20Inf.%20em%2 0S%E1ude.ppt>. Acesso em: 11 set. 2013.

55

DFIORI, Solues em Comunicaes e Segurana. Plano Diretor de Informtica. Disponvel em <http://www.dfiori.com.br/servicos/index-3.htm>. Acessado em: 25 set. 2013. EDUCASUS: Hospitais beneficentes trocando experincias: Pronturio eletrnico e assinatura digital. Disponvel em: <www.fcmscsp.edu.br/ead/educasus/evento.php?eve_id=346>. Acesso em: 13 set. 2013. E-VAL. MADICS: Mdulo de Assinatura Digital e Certificao em Sade . Disponvel em <http://www.evaltec.com.br/images/MADICS.pdf>. Acesso em: 25 set. 2013. IDG News Service. Hospital nos Estados Unidos perde dados de 130 mil pacientes. Disponvel em: <http://computerworld.uol.com.br/seguranca/2010/06/30/hospital-nos-eua-perdedados-de-130-mil-pacientes >. Acesso em: 07 set. 2009. IMPRENSA DEMOCRTICA. Deputado Mandetta relator da comisso que analisa informatizao na sade. Disponvel em: <http://www.youtube.com/watch?v=3lYHPunhwoo>. Acesso em: 03 jul. 2013. JANER, Jader. A Construo da prtica cotidiana na educao infantil. Disponvel em: <https://docs.google.com/presentation/d/1yj5bXdjAlpsKClFAEXZWnhK6gWHtr_SKop AMLpisvlY/edit#slide=id.i0>. Acesso em: 17 mai. 2013. JUNIOR, Giberto Pavoni; MARCHESINI, Adriele. Icesp destaque do prmio Referncias em TI. Disponvel em: <http://www.saudeweb.com.br/38489/icesp-e-destaque-do-premio-referencias-emti>. Acesso em: 26 set. 2013. MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO, R. S. DE . Pronturio Eletrnico do Paciente: Definies e Conceitos. In: Eduardo Massad; Heimar de Ftima Marin; Raymundo Soares de Azevedo Neto. (Org.). O Pronturio Eletrnico do Paciente na Assistncia, Informao e Conhecimento Mdico. 1 ed. So Paulo: , 2003, v. , p. 1-20. NPR/Kaiser Family Foundation/Harvard School of Public Health. The public and the health care delivery system. Disponvel em: <http://www.npr.org/documents/2009/apr/nprpoll_topline.pdf>. Acesso em: 23 set. 2013. ODONTOGRAMA. In: iDicionrio Aulete. Disponvel <http://aulete.uol.com.br/odontograma>. Acesso em: 08 out. 2013. em:

PEREIRA, Samris Ramiro; PAIVA, Paulo Bandiera. Information security in health: Eletronic Patient Record. CONTECSI INTERNATIONAL CONFERENCE ON INFORMATION SYSTEMS AND TECHNLOGY MANAGEMENT, 9, 2012, So Paulo. Anais [S.l.]: TECSI, [2012]. p. 289 PINHEIRO, Patrcia Peck (Org.). Direito digital aplicado. 1. ed. So Paulo: Intelligence, 2012. 360 p.

56

RIBAS, Carlos Eduardo. Sistema de gesto de segurana da informao em organizaes da rea da sade. Dissertao de Mestrado em cincias na Faculdade de Medicina da Universidade de So Paulo. 2010. SALVADOR, V. F. M.; ALMEIDA FILHO, F. G. VAZ DE. Aspectos ticos e de Segurana do Pronturio Eletrnico do Paciente. JORNADA DO CONHECIMENTO E DA TECNOLOGIA - UNIVEM, 2, 2004. Marlia, SP, 2004. Anais... [S. l.]: UEL, [2004]. SBIS, Sociedade Brasileira de Informtica em Sade. Cartilha sobre pronturio eletrnico: A certificao de sistemas de registro eletrnico de sade. Disponvel em: <http://www.sbis.org.br/certificacao/Cartilha_SBIS_CFM_Prontuario_Eletronico_fev_ 2012.pdf>. Acesso em: 01 mai. 2013. SBIS, Sociedade Brasileira de Informtica em Sade. Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES) verso 3.3. Disponvel em: <http://www.sbis.org.br/certificacao/Manual_Certificacao_SBISCFM_2009_v3-3.pdf>. Acesso em: 01 mai. 2013. SILVA, Danielle P. da et al. GED Gerenciamento Eletrnico de Documentos: A tecnologia que est mudando o mundo. Disponvel em: < http://www.iterasolucoes.com.br/Site/images/stories/Itera/SalaLeitura/ged_gerenciam ento_eletronico_de_documentos.pdf>. Acesso em: 08 out. 2013. VIEIRA, Marcelo. Sade ainda no v TI como estratgica. Disponvel em: <http://www.saudeweb.com.br/39267/saude-ainda-nao-ve-ti-como-estrategica>. Acesso em: 26 set. 2013. VIEIRA 2, Marcelo. Hospital digital no Brasil tarefa difcil, mas possvel. Disponvel em: <http://www.saudeweb.com.br/39094/hospital-digital-no-brasil-etarefa-dificil-mas-possivel>. Acesso em: 26 set. 2013. YABUMOTO, S. Base eletrnica de dados clnicos e cirrgicos em tromboembolismo venoso. Dissertao de Mestrado em Clnica Cirrgica na UFPR, Universidade Federal do Paran. 2011.

57

ANEXO 1 ENTREVISTA COM O PRESIDENTE DA SUBCOMISSO PARA INFORMATIZAO DA SADE

Transcrio da entrevista com o Deputado Dr. Alexandre Roso, presidente da subcomisso para informatizao da sade no Brasil, gravada no dia 18 de setembro de 2013. Pauta da entrevista: Informatizao da sade no Brasil Objetivos da entrevista: Verificar quais os objetivos, preocupaes e desafios do governo com a criao da subcomisso para informatizao no Brasil, principalmente no que tange a questo da segurana da informao neste setor. Contedo da entrevista: Dinarde: Fale-me um pouco: Quem o deputado Dr. Alexandre Roso. (Breve resumo) Dr. Alexandre: Alexandre Roso nasceu em 12 de novembro de 1964, no Hospital Centenrio, em So Leopoldo. mdico, formado em 15 de dezembro de 1990, na Universidade de Caxias do Sul. Em 1992, j atendia como cirurgio no hospital onde nasceu. Especialista em Cirurgia Geral e em Cirurgia do Aparelho Digestivo, membro Titular do Colgio Brasileiro de Cirurgia Digestiva, habilitado em Videocirurgia do Aparelho Digestivo e cirurgia oncolgica do aparelho digestivo, ambas pelo Colgio Brasileiro de Cirurgia Digestiva. Atualmente realiza mestrado em Gesto de Servios de Sade na UTAD Universidade de Trs-os-Montes e Alto Douro (Portugal). Em Braslia, membro titular da Comisso de Seguridade Social e Famlia e o presidente da subcomisso para a informatizao da sade no Brasil e aplica sua experincia e dedicao para a ampliao de propostas que promovam a sade. autor de diversos expedientes relacionados sade. Entre eles o que institui a Semana Nacional de Combate Obesidade Infantil e determina que as escolas desenvolvam atividades de educao em sade relacionadas ao tema.

58

Dinarde: Como se encontra estruturada a subcomisso? composta apenas por deputados? H envolvimento da SBIS, do CFM e da sociedade civil? Dr. Alexandre: Presidente: Deputado Alexandre Roso PSB/RS Relator: Deputado Mandetta DEM/MS N de Membros: 6 Constituio: 20/03/13 Instalao: 17/04/13

Tabela 2 Membros da subcomisso para informatizao da sade. Fonte: Assessoria de impressa do deputado Dr. Alexandre Roso.

Dinarde: Quais so os objetivos da subcomisso para informatizao da sade? Dr. Alexandre: Os objetivos da subcomisso fazer um diagnostico do grau da informatizao da sade brasileira e propor um projeto de lei que incremente-a, avaliando as aes do Ministrio da Sade, toda avaliao que o Tribunal de Contas da Unio tem sobre o sistema de sade brasileiro. Em cima desses preceitos, propor algo que incremente a informatizao na rea da sade.

59

Dinarde: So cada vez mais notrios os problemas existentes na rea da sade no Brasil. Seja na demora por atendimento, falta de infraestrutura, diagnsticos imprecisos, superlotaes, mau gerenciamento das instituies de sade e de seus recursos, falta de medicamentos e materiais, entre outros. Tenho percebido ao longo dos anos uma preocupao do governo em construir hospitais e unidades de sade, realizar programas como o programa sade da famlia, o recente programa mais mdicos, entre outros, e no vejo, at ento, uma ao efetiva do governo em informatizar a sade do Brasil como um todo, que, a meu ver, daria um grau de eficincia enorme na sade pblica. Qual a percepo do deputado e, consequentemente, do governo com relao informatizao da sade no Brasil? Por que h tanto atraso neste setor? Dr. Alexandre: Primeiro que a minha percepo diferente da percepo do governo. Sou deputado, portanto trabalho no parlamento fiscalizando e propondo aes. Meu partido faz parte da base do governo, mas a minha avaliao sobre a informatizao muito diferente da do governo porque, nos ltimos anos o governo brasileiro investiu menos de 1% do seu oramento da rea da sade para informatizar os processos, informatizar o sistema de sade brasileiro. Portanto, minha percepo que o setor da sade o setor mais desinformatizado da sociedade brasileira, o que nos faz pensar comparando com outras reas da sociedade, como por exemplo, o comrcio. Ns podemos comprar em uma loja, em qualquer lugar nesse Brasil, e nosso crdito, por intermdio de um sistema informatizado, avaliado no momento real que esta compra est sendo feita. Ento, eu acho que temos um setor muito desinformatizado e este um dos principais problemas. Lembrando que, a informatizao melhora a gesto, cobe muito a corrupo na rea da sade e consequentemente o nmero dos investimentos ficam mais claros para a populao. Acho que talvez esse seja um dos motivos que o governo no invista tanto na informatizao, pois ficaria bem claro que, das esferas de governo, o governo federal o que menos investe na sade do brasileiro. Dinarde: Um dos grandes desafios/preocupaes na informatizao da sade com relao segurana da informao no Pronturio Eletrnico do Paciente e Registro Eletrnico em Sade (PEP/RES). Alm da complexidade e do alto custo

60

envolvido, h a questo da resistncia e legtima preocupao do corpo clnico em aceitar esse formato de guarda de informao. Como o governo pretende vencer esses desafios com relao ao custo e mudana de cultura no mbito da segurana da informao? Dr. Alexandre: No houve resposta para a pergunta. Dinarde: H uma perspectiva de quanto ser necessrio investir para garantir a integridade, confiabilidade, disponibilidade, autenticidade e auditoria neste processo de informatizao? (Investimentos na segurana da informao e segurana paciente) Dr. Alexandre: No uma perspectiva de quanto ser necessrio para garantir a integridade, confiabilidade, disponibilidade, autenticidade e auditoria neste processo da informatizao. No tenho ideia de quanto isto custar. O que eu tenho uma percepo que isso trar uma economia para todo o sistema. Vamos fazer uma anlise assim: Hoje so feitas 70 milhes de consultas, apenas na ateno bsica. Cada consulta dessas, em sua grande maioria, feita com preenchimento de uma ficha. S o tempo de preenchimento dessa ficha j seria uma economia muito grande para todo o sistema que tem uma relao direta quanto questo de funcionrios para fazer esse preenchimento, as dificuldades, os erros na hora que se faz a escrita por no existir um cadastramento da populao. Ento, eu acho que o investimento na segurana da informatizao fundamental. Hoje, a informatizao e a questo da segurana um debate que tem um custo, mas o retorno para a populao enorme quando ns informatizamos todos os processos como, em especial, a ficha clnica do paciente. Porque ns podemos, inclusive, colocar alguns filtros que nos do a possibilidade de fazer um planejamento e saber quais so as patologias que esto atingindo a populao, porque no Brasil hoje, por causa dessa desinformatizao da sade, os nmeros so totalmente irreais. Dinarde: De acordo com a Sociedade Brasileira de Informtica em Sade (SBIS) existem dois nveis de garantia de segurana nos sistemas. No primeiro nvel (NGS1) h uma srie de requisitos para garantir a segurana da informao, porm sem a exigncia da assinatura digital dos profissionais e consequentemente no h a eliminao total do uso de papel. J o segundo nvel (NGS2) exige a utilizao de

61

certificados digitais por todos os signatrios do pronturio para o processo de assinatura e autenticao, sendo assim possvel a eliminao total do papel. Em qual nvel de garantia de segurana o governo pretende chegar? Dr. Alexandre: Mas uma vez vou falar pela minha percepo, porque no tenho como falar pelo governo. Esse Nvel de Garantia de Segurana ao qual o governo pretende chegar um dos objetivos que tem essa comisso especial de informatizao da sade. Esses so os questionamentos que temos feito para o Ministrio, para que eles apresentem qual o grau de segurana que tem em relao s informaes. Posso garantir que uma das coisas que o governo se preocupou foi em unificar todos os cadastros. Para se ter ideia tinha pacientes que, s o cadastro, dez, quinze, vinte registros com alguma diferena. Ento, essa primeira parte que ns tivemos contato com o ministrio da sade foi pra fazer a higienizao dos cadastros. Havia mais cadastros que habitantes aqui no pas. Ento, ns ainda no chegamos nessa discusso. Acho que essa discusso uma discusso muito importante para saber qual o mtodo que o governo est tentando utilizar. Aqui eu me lembrei de uma coisa que muito importante, porque, quando a comisso pe isso em pauta, ela puxa esse assunto devido importncia que ela tem, para que a gente possa esclarecer a sociedade e a sociedade possa participar e cobrar um pouco mais de agilidade quanto informatizao da sade no Brasil. Dinarde: A subcomisso j conseguiu quantificar o custo x benefcio desse projeto de informatizao? Dr. Alexandre: No, ns ainda no temos a noo do tamanho disso e nem onde ele est. Nossas reunies ainda esto comeando e esse um dos objetivos dessa subcomisso: avaliar o custo x benefcio do projeto de informatizao. Dinarde: H recursos j disponveis para custear o projeto? E qual origem destes recursos? Dr. Alexandre: Como j respondi em pergunta anterior, o valor que o governo investe em informatizao da sade um valor muito pequeno. Ns entendemos que menos de 1% do oramento do ministrio no um valor compatvel com o tamanho desse projeto, mas a origem desse recurso do prprio ministrio da sade.

62

Dinarde: Qual o cronograma do projeto? Dr. Alexandre: O cronograma do projeto no nos foi apresentado. Entendemos que a primeira etapa, que era unificar esses registros, porque a informatizao comeou a mais de dez anos atrs com o cadastro, o famoso Carto SUS, isso era uma pequena ponta. O que ns entendemos que esse projeto est muito inicial e um dos objetivos da comisso que esse projeto ande e que essa informao a qual est me solicitando possa chegar at a sociedade. Dinarde: Seguindo a atual tendncia, o governo pretende executar o projeto atravs de parcerias pblico-privadas (PPP)? Dr. Alexandre: A impresso que ns temos em relao a projeto que ele vai ter que se d por meio de parcerias pblico-privadas, porque no h como criar uma estrutura e a constante evoluo dentro da rea da informtica no d para criar uma estrutura apenas pblica para tratar disso de tudo que ns falamos referente informatizao. Dinarde: Como o governo pretende ganhar apoio e envolvimento dos profissionais de sade? Dr. Alexandre: Esta outra barreira que ns temos que vencer. Pela experincia que eu tenho quando trabalhei como gestor no plano municipal que ns temos um baixo envolvimento. Normalmente as pessoas so refratarias. Elas no aceitam a introduo da informatizao. Ns temos que vencer toda parte de educao das pessoas, principalmente algumas pessoas. Os jovens aceitam melhor todo o produto da informtica. E com os profissionais mais antigos ns temos realmente uma dificuldade que eles entendam que a informatizao uma das formas de qualificar a sade. Dinarde: H alguma previso de interoperar com o sistema de sade privado? Dr. Alexandre: Sim. A relao ns vamos fazendo fazer atravs do usurio de sade, tanto privado como pbico e certo grau disso j vem acontecendo quando ns estamos cruzando os dados em um cadastro nico apenas. O cadastro tem como foco a pessoa (paciente) e isso vai ter a relao, pelo menos, de cruzar esses

63

dados, para que a gente entenda que no um paciente que atendido no sistema pblico e que esse paciente tendo um convenio ser atendido como se fosse outro paciente. a mesma pessoa, e ns temos que dar prioridade a isso. Dinarde: Faa suas consideraes finais Dr. Alexandre: Esse tema muito importante. As pessoas ainda no perceberam o quanto importante informatizao nas nossas vidas. Hoje, ns trabalhos diariamente com algum sistema de informao. J define que a informatizao na sociedade nas outras reas, a no ser a rea da sade, ela muito mais evoluda. Ns temos atravs desses processos de coleta de dados, da utilizao dessas informaes, ainda na sade, muito baixo o grau de informatizao e acho que ns temos que melhorar. E esse um dos objetivos de comisso. Puxar esse assunto como um assunto primordial para a gesto, porque hoje sade ns discutimos trs coisas principais: 1. O desfinanciamento da sade; 2. A gesto; 3. E os Recursos humanos (RH). Em todos esses trs aspectos, a informatizao uma ferramenta de gesto fundamental para que a gente tenha uma agilidade na questo desses nmeros e esses nmeros possam, inclusive, fazer planejamento. No h como planejar um sistema to grande se ns no tivermos um grau de informatizao alto no sistema de.

64

ANEXO 2 RESOLUO CFM N 1.821/2007

(Publicada no D.O.U. de 23 nov. 2007, Seo I, pg. 252)

Aprova as normas tcnicas concernentes digitalizao e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos pronturios dos pacientes, autorizando a eliminao do papel e a troca de informao identificada em sade.

O CONSELHO FEDERAL DE MEDICINA, no uso das atribuies que lhe confere a Lei n 3.268, de 30 de setembro de 1957, alterada pela Lei n 11.000, de 15 de dezembro de 2004, regulamentada pelo Decreto n 44.045, de 19 de julho de 1958, e CONSIDERANDO que o mdico tem o dever de elaborar um pronturio para cada paciente a que assiste; CONSIDERANDO que o Conselho Federal de Medicina (CFM) a autoridade certificadora dos mdicos do Brasil (AC) e distribuir o CRM-Digital aos mdicos interessados, que ser um certificado padro ICP-Brasil; CONSIDERANDO que as unidades de servios de apoio, diagnstico e
teraputica tm documentos prprios, que fazem parte dos pronturios dos pacientes;

CONSIDERANDO o crescente volume de documentos armazenados pelos vrios tipos de estabelecimentos de sade, conforme definio de tipos de unidades do Cadastro Nacional de Estabelecimentos de Sade, do Ministrio da Sade; CONSIDERANDO os avanos da tecnologia da informao e de

telecomunicaes, que oferecem novos mtodos de armazenamento e transmisso de dados; CONSIDERANDO o teor das Resolues CFM nos 1.605, de 29 de setembro de 2000, e 1.638, de 9 de agosto de 2002;

65

CONSIDERANDO o teor do Parecer CFM n 30/02, aprovado na sesso plenria de 10 de julho de 2002, que trata de pronturio elaborado em meio eletrnico; CONSIDERANDO que o pronturio do paciente, em qualquer meio de armazenamento, propriedade fsica da instituio onde o mesmo assistido independente de ser unidade de sade ou consultrio , a quem cabe o dever da guarda do documento; CONSIDERANDO que os dados ali contidos pertencem ao paciente e s podem ser divulgados com sua autorizao ou a de seu responsvel, ou por dever legal ou justa causa; CONSIDERANDO que o pronturio e seus respectivos dados pertencem ao paciente e devem estar permanentemente disponveis, de modo que quando solicitado por ele ou seu representante legal permita o fornecimento de cpias autnticas das informaes pertinentes; CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade do indivduo, deve estar sujeito s normas estabelecidas na legislao e no Cdigo de tica Mdica, independente do meio utilizado para o armazenamento dos dados no pronturio, quer eletrnico quer em papel; CONSIDERANDO o disposto no Manual de Certificao para Sistemas de Registro Eletrnico em Sade, elaborado, conforme convnio, pelo Conselho Federal de Medicina e Sociedade Brasileira de Informtica em Sade; CONSIDERANDO que a autorizao legal para eliminar o papel depende de que os sistemas informatizados para a guarda e manuseio de pronturios de pacientes atendam integralmente aos requisitos do Nvel de garantia de segurana 2 (NGS2), estabelecidos no referido manual; CONSIDERANDO que toda informao em sade identificada individualmente necessita de proteo em sua confidencialidade, por ser principio basilar do exerccio da medicina;

66

CONSIDERANDO os enunciados constantes nos artigos 102 a 109 do Captulo IX do Cdigo de tica Mdica, o mdico tem a obrigao tica de proteger o sigilo profissional; CONSIDERANDO o preceituado no artigo 5, inciso X da Constituio da Repblica Federativa do Brasil, nos artigos 153, 154 e 325 do Cdigo Penal (Decreto-Lei n 2.848, de 7 de dezembro de 1940) e no artigo 229, inciso I do Cdigo Civil (Lei n 10.406, de 10 de janeiro de 2002); CONSIDERANDO, finalmente, o decidido em sesso plenria de 11/7/2007, RESOLVE: Art. 1 Aprovar o Manual de Certificao para Sistemas de Registro Eletrnico em Sade, verso 3.0 e/ou outra verso aprovada pelo Conselho Federal de Medicina, anexo e tambm disponvel nos sites do Conselho Federal de Medicina e Sociedade Brasileira de Informtica em Sade (SBIS),

respectivamente, www.portalmedico.org.br e www.sbis.org.br. Art. 2 Autorizar a digitalizao dos pronturios dos pacientes, desde que o modo de armazenamento dos documentos digitalizados obedea a norma especfica de digitalizao contida nos pargrafos abaixo e, aps anlise obrigatria da Comisso de Reviso de Pronturios, as normas da Comisso Permanente de Avaliao de Documentos da unidade mdico-hospitalar geradora do arquivo. 1 Os mtodos de digitalizao devem reproduzir todas as informaes dos documentos originais. 2 Os arquivos digitais oriundos da digitalizao dos documentos do pronturio dos pacientes devero ser controlados por sistema especializado (Gerenciamento eletrnico de documentos - GED), que possua, minimamente, as seguintes caractersticas: a) Capacidade de utilizar base de dados adequada para o armazenamento dos arquivos digitalizados; b) Mtodo de indexao que permita criar um arquivamento organizado, possibilitando a pesquisa de maneira simples e eficiente;

67

c) Obedincia aos requisitos do Nvel de garantia de segurana 2 (NGS2), estabelecidos no Manual de Certificao para Sistemas de Registro Eletrnico em Sade; Art. 3 Autorizar o uso de sistemas informatizados para a guarda e manuseio de pronturios de pacientes e para a troca de informao identificada em sade, eliminando a obrigatoriedade do registro em papel, desde que esses sistemas atendam integralmente aos requisitos do Nvel de garantia de segurana 2 (NGS2), estabelecidos no Manual de Certificao para Sistemas de Registro Eletrnico em Sade; Art. 4 No autorizar a eliminao do papel quando da utilizao somente do Nvel de garantia de segurana 1 (NGS1), por falta de amparo legal. Art. 5 Como o Nvel de garantia de segurana 2 (NGS2), exige o uso de assinatura digital, e conforme os artigos 2 e 3 desta resoluo, est autorizada a utilizao de certificado digital padro ICP-Brasil, at a implantao do CRM Digital pelo CFM, quando ento ser dado um prazo de 360 (trezentos e sessenta) dias para que os sistemas informatizados incorporem este novo certificado. Art. 6 No caso de microfilmagem, os pronturios microfilmados podero ser eliminados de acordo com a legislao especfica que regulamenta essa rea e aps anlise obrigatria da Comisso de Reviso de Pronturios da unidade mdicohospitalar geradora do arquivo. Art. 7 Estabelecer a guarda permanente, considerando a evoluo tecnolgica, para os pronturios dos pacientes arquivados eletronicamente em meio ptico, microfilmado ou digitalizado. Art. 8 Estabelecer o prazo mnimo de 20 (vinte) anos, a partir do ltimo registro, para a preservao dos pronturios dos pacientes em suporte de papel, que no foram arquivados eletronicamente em meio ptico, microfilmado ou digitalizado. Art. 9 As atribuies da Comisso Permanente de Avaliao de Documentos em todas as unidades que prestam assistncia mdica e so detentoras de arquivos de pronturios de pacientes, tomando como base as atribuies estabelecidas na

68

legislao arquivstica brasileira, podem ser exercidas pela Comisso de Reviso de Pronturios. Art. 10 Estabelecer que o Conselho Federal de Medicina (CFM) e a Sociedade Brasileira de Informtica em Sade (SBIS), mediante convnio especfico, expediro selo de qualidade dos sistemas informatizados que estejam de acordo com o Manual de Certificao para Sistemas de Registro Eletrnico em Sade, aprovado nesta resoluo. Art. 11 Ficam revogadas as Resolues CFM nos 1.331/89 e 1.639/02, e demais disposies em contrrio. Art. 12 Esta resoluo entra em vigor na data de sua publicao.

Braslia, 11 de julho de 2007.

Edson de Oliveira Andrade, Presidente. Lvia Barros Garo, Secretria-geral.