Privacidade e segurança de dados: como se preparar para evitar incidentes?

Compartilhe:
segurança de dados

Sumário

De acordo com levantamento feito pela IBM, o custo médio do vazamento de dados chegou a US$ 4,24 milhões em 2021, o valor mais alto em 17 anos. Mas os prejuízos não são meramente financeiros. Instituições que sofrem com problemas de segurança de dados e violação da privacidade perdem a confiança de clientes e investidores e têm sua reputação abalada no mercado.

Na saúde, isso não é diferente. Os dados de pacientes são valiosos e os ataques na tentativa de obtê-los são constantes. Por isso, é preciso estar preparado. Neste artigo, trazemos algumas dicas essenciais para evitar incidentes relacionados a segurança de dados

Mas antes, explicamos os conceitos de privacidade, o papel do consentimento como base legal da LGPD e outros pontos a serem considerados na definição de uma política corporativa de proteção a dados e, é claro, na escolha de sistemas de prontuário eletrônico adequados às necessidades da sua instituição.

Leia agora mesmo!

O que é privacidade e qual a importância da segurança de dados no contexto da saúde?

Privacidade, no contexto da segurança de dados, diz respeito ao direito de todo cidadão de ter suas informações pessoais protegidas, sem possibilidade de acesso por terceiros não autorizados. Quando se fala em saúde, isso se torna muito importante, já que os dados de pacientes são valiosos.

Por isso, garantir a segurança de dados de pacientes — seja em pequenos consultórios ou em grandes hospitais — é essencial. Tão essencial que pode, inclusive, gerar multas e outras penalidades para quem não assegurar a privacidade dos usuários de um serviço.

A segurança de dados pode ser de dois tipos:

  • proativa — quando todas as medidas de segurança de dados são tomadas para evitar vazamento de dados ou invasão de sistemas;
  • reativa — quando tudo que está ao alcance do controlador e do operador dos dados é feito para minimizar as consequências de violações, vazamentos ou ocorrências similares.

O que a Lei Geral de Proteção de Dados (LGPD) recomenda em relação ao assunto?

Em vigor no Brasil desde 2020 (com aplicação de sanções desde 2021), a Lei Geral de Proteção de Dados (LGPD) tem grande impacto no setor da saúde. A utilização de dados pessoais na área, inclusive, supera a questão do sigilo médico, do ponto de vista legal.

Originalmente, o sigilo entre médico e paciente está ligado à confidencialidade dos dados de saúde e sua não divulgação a terceiros não autorizados. A LGPD, no entanto, vai além: ela também trata de pontos como as condições e limites de utilização das informações, obrigações relacionadas à transparência, regras sobre prestação de contas e cuidados adicionais necessários no compartilhamento de dados.

Assim, pode-se dizer que a LGPD e a segurança de dados na saúde andam de mãos dadas. Afinal, manter as informações de pacientes protegidas é uma necessidade, e a legislação existe para garantir que as determinações serão cumpridas.

Para mais detalhes, acesse a íntegra da lei.

Quando é necessário ter consentimento do paciente para enviar dados?

O consentimento do paciente é necessário sempre que outra base legal não possa ser usada como justificativa para o tratamento de dados. Um dos pontos mais importantes quando se fala de segurança de dados, as bases legais propostas na LGPD devem ser usadas corretamente no tratamento dessas informações.

Nem todo mundo sabe, por isso é importante esclarecer: o consentimento do paciente nem sempre é necessário para o tratamento de dados, inclusive na saúde. Apesar de ser considerada uma das principais bases legais da LGPD, há situações em que outras bases podem ser usadas sem ferir a lei.

Para dados pessoais comuns, as bases legais, além do consentimento, são:

  • cumprimento de obrigação legal ou regulatória;
  • execução de políticas públicas pela Administração Pública;
  • realização de estudos por órgãos de pesquisa, desde que garantida a anonimização de dados pessoais;
  • execução de contrato;
  • exercício regular de direito em processo judicial, administrativo ou arbitral;
  • proteção da vida ou incolumidade física do titular ou de terceiro;
  • tutela de saúde;
  • interesses legítimos do controlador ou de terceiro;
  • proteção ao crédito.

Para dados pessoais sensíveis, também há outras bases legais que podem ser usadas para o tratamento de dados, além do consentimento. São elas:

  • cumprimento de obrigação legal ou regulatória;
  • execução de políticas públicas pela Administração Pública;
  • realização de estudos por órgãos de pesquisa, desde que garantida a anonimização de dados pessoais;
  • exercício regular de direito em contrato ou em processo;
  • proteção da vida ou incolumidade física do titular ou de terceiro;
  • tutela de saúde;
  • prevenção à fraude e garantia de segurança do titular em processo de autenticação.

Critérios do consentimento

Quando o consentimento é a única base legal possível, é necessário levar em conta alguns critérios para que ele seja válido. O consentimento precisa ser livre, informado, inequívoco e usado para uma finalidade determinada.

Na prática, o controlador dos dados deve deixar clara a forma como os dados serão tratados e ter o consentimento coletado por escrito. Caso não haja outra opção que não seja aceitar os termos propostos, o consentimento não é válido.

Quais os cuidados necessários em relação a integração de sistemas no contexto da segurança de dados?

A integração de sistemas é um dos pontos mais discutidos na saúde nos últimos tempos, porque ela garante uma experiência mais qualificada para o paciente e uma jornada mais rica, no que diz respeito a disponibilização de dados, para as instituições.

No entanto, alguns cuidados devem ser tomados nessa comunicação entre diferentes sistemas, possibilitada pela interoperabilidade, para garantir a segurança dos dados. Veja alguns pontos críticos:

  • manter a base de dados isolada em um ambiente digital apropriado;
  • garantir a extração de dados por meio de canais seguros;
  • usar criptografia para que os dados não possam ser “lidos” por eventuais invasores;
  • trafegar dados somente por meio de protocolos seguros, como HTTPS;
  • usar VPN como uma camada de segurança a mais na transmissão de dados entre diferentes sistemas, entre outros.

5 dicas para evitar incidentes envolvendo segurança de dados

Mais do que dor de cabeça aos gestores e profissionais de saúde, incidentes envolvendo segurança de dados podem custar caro — seja em sanções com base na LGPD, seja em processos movidos por pacientes.

Por isso, ficar ciente das principais maneiras de evitar esse tipo de situação é o primeiro passo para evitá-las. Confira!

1. Invista em criptografia

Já mencionamos a criptografia no tópico anterior, mas nunca é demais ressaltar sua importância. Imagine que um invasor conseguiu, de alguma forma, superar todas as barreiras de segurança de um sistema. Ele está cara a cara com os preciosos dados de seus pacientes. Porém, eles estão ilegíveis e, portanto, não tem valor para o hacker e nem podem ser compartilhados. É isso que a criptografia faz.

Ao tornar os dados incompreensíveis por terceiros que venham a ter acesso a eles, a criptografia se torna uma das principais aliadas dos gestores de saúde na hora de garantir a segurança das informações de seus pacientes. É melhor que uma invasão nunca chegue a esse ponto, é claro. Mas caso chegue, essa barreira ajuda a evitar o pior.

2. Isole a base de dados

Também já falamos brevemente sobre a importância de isolar a base de dados no contexto da integração de sistemas, mas voltamos a reforçar ainda mais seu caráter essencial para a segurança de forma geral. Impedir que dados circulem por caminhos vulneráveis é obrigatório no cenário atual, de ataques constantes a sistemas em todos os setores.

3. Mantenha os dados em nuvem

Mais um ponto muito importante é manter os dados em nuvem, em servidores com rígidos padrões de segurança. Guardar os dados de pacientes em um computador ou celular — ou, pior ainda, em prontuários de papel — é sinônimo de vulnerabilidade a furtos, assaltos ou outros tipos de crimes comuns. 

A perda dos equipamentos é o que menos importa, já que eles podem ser substituídos. Mas o vazamento dos dados inseridos neles pode acabar com a reputação de um consultório ou instituição de saúde.

4. Tenha uma comunicação clara com os usuários

Estabelecer boas práticas de comunicação com os usuários de um sistema também é fundamental. Deixar claro quais os canais usados (como SMS e WhatsApp com conta verificada, por exemplo), não passar informações sigilosas por telefone (especialmente quando o contato partiu do usuário) e evitar o uso de links (que podem ser usados por pessoas mal-intencionadas para direcionar usuários a ambientes inseguros) são algumas delas.

5. Garanta a usabilidade dos softwares médicos utilizados

A usabilidade é essencial não apenas para proporcionar uma boa experiência para os profissionais que atuam em uma instituição de saúde, mas também para evitar que erros — e possíveis vazamentos de dados — ocorram.

O preenchimento de campos, a inserção de dados e outras atividades básicas — porém críticas — podem expor informações sigilosas a terceiros, caso não sejam feitas da melhor forma. Um software médico com boa usabilidade garante que isso não aconteça.

Chegamos ao fim deste conteúdo direcionado aos gestores de saúde que valorizam os dados de seus pacientes e que se preocupam em oferecer os mais altos níveis de segurança em suas instituições. 

Para saber ainda mais sobre o assunto, que tal conferir nosso e-book sobre LGPD na saúde?

Marketing Prontmed

Marketing Prontmed

Deixe um Comentário:

Conteúdo relacionado

14 de junho de 2022
A troca do PEP pode ser necessária por uma série de razões. Garantir a migração de dados com segurança é um dos desafios desse movimento.
7 de junho de 2022
O metaverso é um dos assuntos mais comentados na área de tecnologia nos últimos tempos, e a saúde não ficará de fora.
1 de junho de 2022
O faturamento de contas médicas é um dos elementos mais importantes na gestão de saúde, e evitar glosas é essencial.