Normas e Leis Para a Segurança da Informação Hospitalar no Brasil

Introdução

A segurança da informação hospitalar é um tema de grande relevância no Brasil, considerando especialmente a crescente digitalização dos registros médicos e a necessidade de proteger a privacidade dos pacientes. Existem várias leis e regulamentos que tratam deste assunto, incluindo a Lei Geral de Proteção de Dados (LGPD), o Código de Ética Médica e a Resolução CFM n.º 2.227/2018 (1)


1. A Lei Geral de Proteção de Dados (LGPD) e a Saúde

A LGPD (Lei n.º 13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Ela define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. 

A LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada (2)

Segue abaixo um resumo extraído e adaptado do canal MV Saúde Digital (5):

Prova de Conformidade

A LGPD é um compliance de prova. Quem atua na área de T.I., ou é DPO, com responsabilidade em relação à LGPD, deve perguntar-se: minha empresa consegue provar a conformidade?

Provar a conformidade é muito simples, estamos falando de organizações, e a resposta também vem de organizações. Quando houver um vazamento de dados, um incidente, uma ciberseguradora pode até repor, mas depois ela vai se remeter contra o causador disso, vindo com uma série de perguntas. Quando ele olhar para a sua empresa e ver que você não tem um mapa das operações de tratamento de dados, não tem um mapa de riscos, não tem governança, não gerencia ou monitora a LGPD, você perderá o litígio.

A LGPD trouxe assessment, diagnóstico e visibilidade. Trouxe à tona o risco dos fornecedores e cláusulas contratuais. 

Sua empresa faz gestão das cláusulas contratuais que tem com seus controladores de dados? Por exemplo, caso haja um incidente, determinado controlador ou contrato que eu tenha, possui essa obrigatoriedade, especificidade de reporte, com penalidades atribuídas. São as cláusulas contratuais, as penalidades, as sanções, que trazem esse grande impacto, a mudança que precisamos. 

A LGPD não trouxe nada de novo. Apenas tornou em obrigação legal aquilo que já deveríamos fazer.

Continuidade de Negócios

A continuidade de negócios mudará. Esse tema é negligenciado nas empresas, a continuidade dos negócios, a recuperação de desastres, é um dos principais riscos que as empresas tem globalmente e para quem atua em saúde, a integração do DPO com a área de compliance, com a ouvidoria e com o canal de denúncia.

Lembrando que os ataques continuarão a avançar e o que é boa prática hoje, poderá não ser amanhã. Atualizações serão necessárias, incluindo a conscientização pelo treinamento e a responsabilização.

Assessment de Segurança

Assessment (análise) de segurança, programa de certificação de LGPD funciona assim: 

Implanta-se os controles de ISO, diretrizes para elaborar a política de segurança das empresas.

As empresas tomam ciência de segurança quando acontece um incidente. 

Uma falsa segurança persiste no pensamento do empresário ou diretor hospitalar brasileiro. O pensamento é: não serei atacado. A resposta é: você será atacado, só não sabe quando.

No programa de LGPD, há uma etapa denominada assessment de segurança, onde o especialista entra, conversa com o cliente e os dois começam a realizar avaliações de riscos na empresa: softwares, funcionários. É feita a identificação dos ativos críticos, análise das ameaças que aconteceram na rede da organização e a possibilidade de existir alguma coisa no EDR ou no antigo antivírus. Em seguida, faz-se análise de vulnerabilidades dos softwares internos e externos. Existe uma gama de softwares internos e pode haver servidores expostos. Verifica-se as regras do firewall, a procura de algum servidor exposto. A questão é: esse servidor está exposto, mas está direcionado para um endereço específico? Ou está exposto para o mundo? Se ele estiver exposto para o mundo, a organização tem as seguranças necessárias ali dentro? Quando um fornecedor de serviços faz alguma coisa remota no ambiente organizacional, existe o acompanhamento ou esse profissional apenas recebe o acesso e trabalha?

No programa de assessment de segurança, realizamos ataque, mas não como PenTest. Testamos a vulnerabilidade de email, enviamos fishing sem avisar, etc.

Devemos comunicar as políticas de segurança aos funcionários.

Cada empresa é única, e as estratégias de segurança de cada empresa devem ser aplicadas de forma única.

Mantenham sempre o equilíbrio entre segurança e acessibilidade dos dados de saúde. Esse é o ponto crucial.

E treinem seus colaboradores.

2. Outras Legislações Relevantes

Código de Ética Médica

O Código de Ética Médica estabelece as normas que devem ser seguidas pelos médicos no exercício de sua profissão, inclusive no exercício de atividades relativas ao ensino, à pesquisa e à administração de serviços de saúde (3, 4). Ele destaca a importância do sigilo profissional e da proteção dos dados pessoais dos pacientes (4).

Resolução CFM n.º 2.227/2018

A Resolução CFM n.º 2.227/2018 define e disciplina a telemedicina como forma de prestação de serviços médicos mediados por tecnologias. Ela estabelece que as informações sobre o paciente identificado só podem ser transmitidas a outro profissional com prévia permissão do paciente, mediante seu consentimento livre e esclarecido e com protocolos de segurança capazes de garantir a confidencialidade e integridade das informações (1).

3. Direitos e Deveres

Os profissionais de saúde, as instituições de saúde e os pacientes têm direitos e deveres em relação ao uso, ao armazenamento e ao compartilhamento de dados. Os profissionais de saúde devem garantir a confidencialidade e a segurança dos dados dos pacientes, enquanto as instituições de saúde devem implementar medidas de segurança adequadas para proteger esses dados. Os pacientes, por sua vez, têm o direito de acessar seus dados, solicitar correções e deletar seus dados, conforme estabelecido pela LGPD (2).

Conclusão

Em resumo, a segurança da informação hospitalar no Brasil é regulada por uma série de leis e regulamentos que visam proteger a privacidade dos pacientes e garantir a confidencialidade dos dados médicos. É essencial que todos os envolvidos na prestação de cuidados de saúde estejam cientes dessas leis e regulamentos e os cumpram para garantir a segurança da informação hospitalar.

Referências:

(1) RESOLUÇÃO CFM n.º 2.227/2018. https://portal.cfm.org.br/images/PDF/resolucao222718.pdf. Acesso em: 06/11/2023.

(2) O que é a LGPD? — Lei Geral de Proteção de Dados. https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd. Acesso em: 06/11/2023.

(3) CÓDIGO DE ÉTICA MÉDICA — CFM. https://portal.cfm.org.br/images/PDF/cem2019.pdf. Acesso em: 06/11/2023.

(4) Código de Ética Médica — Atual — CFM. https://rcem.cfm.org.br/index.php/cem-atual. Acesso em: 06/11/2023.

(5) MV Saúde Digital. Imersão Unimed | Vazamento de Dados e Ameaças Cibernéticas em Instituições de Saúde. https://www.youtube.com/watch?v=3gnfG3oWwnw Acesso em 06/11/2023.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Entrevista com Douglas Lockshield, Profissional de Cibersegurança

Imagem
Introdução Prepare-se para uma conversa imperdível! Hoje, o blog Mafra Security (MASEC) tem a honra de receber um verdadeiro mestre na arte de proteger o ciberespaço: Douglas Lockshield! Se você está pensando em trilhar uma carreira em cibersegurança, esta entrevista é o ponto de partida perfeito. Douglas compartilha sua jornada com uma clareza impressionante, oferecendo dicas práticas e valiosas para quem está começando. Cada resposta é uma bússola que aponta o caminho certo para o sucesso. Então, prepare seu bloco de notas e venha descobrir como um profissional de alto calibre constrói sua trajetória na cibersegurança. A entrevista foi cuidadosamente organizada por categorias, para que você absorva cada detalhe como um verdadeiro especialista. Vamos nessa? 1. Carreira e Experiência MASEC: Vamos começar pela trajetória. Como você iniciou sua carreira em cibersegurança? Quais foram os seus primeiros passos e desafios? Lockshield: Eu iniciei em cibersegurança na area técnica, gerencia...
Continue »

Inclusão: A Jornada Inspiradora de Juan Mathews na Cibersegurança

Imagem
 A pessoa com deficiência visual na área de cibersegurança Será interessante informar ao pessoal que enxerga,  que é possível pessoas com deficiência entrarem na área Cyber!  (Juan Mathews) Apresentação É com grande entusiasmo que apresentamos Juan Mathews Rebello Santos, um verdadeiro exemplo de superação e excelência no campo da cibersegurança! Juan é a primeira pessoa com deficiência visual a atuar como Analista de Help Desk na Metadados, destacando-se em áreas cruciais como Segurança da Informação, Blue Team, Threat Intelligence, e muito mais. Com mais de uma década de experiência em informática e uma paixão inabalável pela tecnologia, Juan acumulou um vasto conhecimento em sistemas operacionais como Windows e Linux, além de dominar o pacote Office e uma série de ferramentas Google e Microsoft. Entre suas qualificações, Juan é certificado pela Microsoft em SC-900 e AI-900, além de ser um Certified Network Security Practitioner (CNSP). Ele também possui formação acadêm...
Continue »

Gerenciamento de Identidade e Acesso: IAM

Imagem
Introdução O Gerenciamento de Identidade e Acesso (IAM, do inglês Identity and Access Management) é um conjunto de processos, políticas e tecnologias que facilita o gerenciamento de identidades digitais e controla o acesso a recursos de informação em uma organização. O IAM desempenha um papel crucial na segurança cibernética, especialmente para as equipes de defesa cibernética (Blue Team), responsáveis por proteger os sistemas e dados contra ameaças internas e externas. Este artigo aborda as principais responsabilidades e habilidades necessárias para profissionais que atuam com IAM no contexto de um Blue Team. 1. Provisionamento de Acesso O provisionamento de acesso envolve a criação, modificação e remoção de contas de usuário e suas permissões associadas. Este processo garante que os usuários recebam os níveis de acesso apropriados com base em suas funções e responsabilidades dentro da organização. Algumas atividades-chave incluem: Criação de Contas: Configuração de novas contas de u...
Continue »