A LGPD diz que é totalmente proibida a comunicação ou o uso compartilhado entre controladores de dados referentes à Saúde com o objetivo de obter vantagem econômica.
É comum concordarmos, sem muita noção da proporção desta decisão – em usar algum sistema que expõe nossos dados, compartilham ou até vendem para terceiros. Milhares de médicos e outros profissionais da Saúde permitem que seus dados e os de seus pacientes trafeguem entre plataformas integradas. As pessoas podem pensar que esta é a realidade e não há muito o que fazer. Ou ainda, podem acreditar que o compartilhamento de dados é algo inovador, tendência do futuro e não há como fugir disso.
Não, não é bem assim. É preciso mudar essa mentalidade.
Com o grande fluxo de troca de informações no ambiente digital, muitos profissionais da Saúde buscam sistemas que sejam capazes de se comunicar entre si, o que chamamos de interoperabilidade. Este é um conceito muito válido, porém existe uma linha tênue entre o que pode ou não ser comunicado para outros elementos e a finalidade do uso desta informação. A interoperabilidade só faz sentido se beneficiar o indivíduo, no caso, o paciente, dono de seus dados.
Entretanto, o que acontece é a comercialização dos dados. O exemplo mais simbólico é o marketplace de medicamentos, inclusive, já proibido pelo CFM, na Resolução Nº 2.299/2021.
Inovação de verdade é aquela que simplifica sua vida e se preocupa com a sua segurança.
Como saber se os sistemas que você usa te fazem correr riscos legais, reputacionais e operacionais?
1. O sistema possui banco de dados isolado por cliente?
A resposta que você deve receber é “sim”. Inúmeros ataques hackers acontecem em banco de dados gigantescos, como foram os casos recentes da Renner e do Conecte SUS.
Quando isso ocorre e o sistema não tem um banco de dados isolado, milhares de pessoas são vítimas de exposição de dados. Ou seja, basta um único ataque para impactar milhares de usuários.
2. O sistema tem apps nativos ou são aplicações web (browser, site responsivo)?
É comum encontrarmos por aí soluções que se dizem em nuvem ou até mesmo aplicativos, mas que são páginas web responsivas compartilhadas com os usuários.
O aplicativo nativo é muito mais rápido, seguro e confiável. Isso porque ele consegue utilizar todos os recursos oferecidos pelos smartphones e tablets, proporcionando uma melhor experiência para o usuário.
As clínicas e consultórios que optam por usar sistemas web, ou seja, sites responsivos executados na internet, acessam o sistema a partir de qualquer tipo de navegador, através de uma URL, que são suscetíveis a injeção de códigos maliciosos, malwares, permitindo a invasão por hackers. Ou seja, não é prático; é muito perigoso.
3. O sistema tem um prescritor próprio ou utiliza uma solução complementar?
Fique atento para não cair na cilada de prescrever eletronicamente em sistemas gratuitos e/ou integrados aos softwares. Eles não atendem aos requisitos legais, éticos e podem te expor a muitos riscos. Fuja do pensamento de “todo mundo usa”. Vamos te explicar porquê.
Existem várias opções de prescritores no mercado e o que você precisa saber na hora de escolher qual usar é se segue todos os preceitos éticos, sem jamais vender ou compartilhar seus dados e de seus pacientes; se está 100% alinhado à LGPD e se atende à nova Resolução do CFM Nº 2.299/2021.
Não poderia deixar de falar da HIPAA. Afinal, ela é uma certificação eficaz para quem opera no Brasil?
Nos Estados Unidos, devido à alta exposição a ciberataques, existem certificações para segurança da informação na Saúde. Uma delas é bastante conhecida, a HIPAA, sigla para Health Insurance Portability and Accountability Act.
Na verdade, a HIPAA é uma lei estrangeira aplicável apenas no território americano e válida para o mercado de Saúde de lá. A HIPAA serviu como um exemplo importante de segurança da informação, quando o Brasil ainda não tinha uma legislação clara dedicada ao assunto.
Dizer ser “HIPAA Compliant” é uma abordagem comumente utilizada por empresas de softwares brasileiras, porém na prática, para ser HIPAA Compliant é preciso ser uma empresa americana, que siga as leis vigentes naquele país.
Muitas vezes, empresas brasileiras estão em um datacenter certificado HIPAA, ou seja, têm um parceiro americano, que atende a essa lei. No entanto, nem o aplicativo, nem a infraestrutura do fornecedor, nem mesmo a operação do aplicativo são certificados. Portanto, a afirmação é falsa e é usada apenas para a busca da credibilidade, baseada em sua boa fé.
Hoje, no Brasil, a Lei Geral de Proteção de Dados (LGPD) é a lei que regulariza o ambiente digital e é ela que deve ser considerada
Com o crescimento exponencial de soluções no mercado e um ambiente altamente competitivo, muitas empresas escolhem caminhos mais “fáceis”, fabricando números e fazendo promessas vazias, ao invés de evoluir suas soluções de verdade. Avalie a fundo as comunicações, posicionamento e histórico antes de tomar a decisão de ter um parceiro e/ou um fornecedor para a sua clínica e para você.
Sistemas seguros, empresas com histórico positivo e preocupação legítima com segurança são o único caminho para se construir o futuro dos negócios e das pessoas.
Fonte: Medicina S/A. Leia matéria completa.
