Eliminação do Papel em Saúde Luis Gustavo Kiatake kiatake@evaltec.com.br Coordenador GT Segurança do Comitê Informática em Saúde ABNT Representante ABNT TC-215 Health Informatics ISO Membro titular da SBIS e GT Certificação de Software Diretor da E-VAL Tecnologia 13 de março de 2008
Histórico
O Edifício 2004 1935 Fonte: Ed Hammond kiatake@evaltec.com.br
A Enfermaria 2004 1935 Fonte: Ed Hammond kiatake@evaltec.com.br
O Centro Cirúrgico 1935 Fonte: Ed Hammond 2004 kiatake@evaltec.com.br
O SAME (e o Prontuário) 2004 1935 Fonte: Ed Hammond kiatake@evaltec.com.br
Certificação Digital e Saúde
Certificação Digital Elimina papel Privacidade kiatake@evaltec.com.br 8
Elimina o papel pois provê: A identidade dos atores Como identificar os profissionais, pacientes, prestadores que acessam o sistema? A autoria das informações Quem originou essa informação? A integridade dos dados A informação foi adulterada? A privacidade dos dados dos pacientes Quem consegue ver as informações? kiatake@evaltec.com.br 9
Amparo Legal
Validade jurídica Amparo Legal Amparo legal MP 2200-2/2001 1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP- Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 - Código Civil. PL 7316 Substitui a MP 2200-2 kiatake@evaltec.com.br 11
Suporte CFM Amparo Legal Resolução N o 1821/07- publicada em 23/11/07 Art. 3 Autorizar o uso de sistemas informatizados para a guarda e manuseio de prontuários de pacientes e para a troca de informação identificada em saúde, eliminando a obrigatoriedade do registro em papel, desde que esses sistemas atendam integralmente aos requisitos do Nível de garantia de segurança 2 (NGS2), estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em Saúde; NGS2 - categoria... que viabilizam a eliminação do papel... utilização de certificados digitais ICP-Brasil para os processos de assinatura e autenticação. Art. 11 Ficam revogadas as Resoluções CFM nos 1.331/89 e 1.639/02, e demais disposições em contrário kiatake@evaltec.com.br 12
Amparo Legal Suporte ANS TISS RN No. 153 (28/05/2007) CAPÍTULO VI - DA SEGURANÇA E DA PRIVACIDADE Art. 9º Para as transmissões remotas de dados identificados, os sistemas deverão possuir um certificado digital... ICP-Brasil, a fim de garantir a identidade do sistema. kiatake@evaltec.com.br 13
O Certificado kiatake@evaltec.com.br 14
O Certificado Equivale a um documento de identificação (RG/CRM/COREN/OAB) É emitido por entidades autorizadas ICP-Brasil Precisa da validação presencial exigência ICP-Brasil Pode identificar pessoa ou empresa PF PJ kiatake@evaltec.com.br 15
O Certificado kiatake@evaltec.com.br 16
O Certificado Possui data de validade Essa informação está no próprio certificado Pode ser revogado pelo proprietário Essa informação é publicada em uma lista de certificados revogados pela Autoridade Certificadora que o emitiu Senha No momento da emissão o usuário precisa definir uma senha de uso Compromisso O usuário assina, em papel, um compromisso de uso adequado kiatake@evaltec.com.br 17
O Certificado Pode ser usado para Controle de acesso portais Internet sistemas de computadores Assinatura Prontuários Laudos Prescrições Guias Contratos I.R.... kiatake@evaltec.com.br 18
A Prática kiatake@evaltec.com.br 19
Como Funciona Instalar os drivers do smartcard, leitora ou token no computador a ser utilizado Utilizar programas com rotinas específicas de manipulação de certificados digitais No momento da assinatura, ou do acesso ao sistema, o usuário introduz o cartão e será solicitada a senha do mesmo (como um cartão de banco) Nesse momento é realizado um processamento criptográfico dentro do cartão/token, que assina, criptografa ou autentica o usuário kiatake@evaltec.com.br 20
Validação Como Funciona Equivale ao reconhecimento de firma Pode ser realizado por qualquer pessoa, a qualquer momento, por meio do uso de programas específicos Certifica Que o documento não foi adulterado Que a assinatura estava válida (não vencida nem revogada) no momento da aposição kiatake@evaltec.com.br 21
Já existente Eliminação do Papel Processo de GED Documento nasce eletrônico Aplicativo conduz o fluxo de assinaturas kiatake@evaltec.com.br 22
Quem está usando SRF Receita Federal Para PFs Para PJs Nota Fiscal Eletrônica - SEFAZ Bancos SPB Autenticação no Internet Banking Assinatura de contratos Cartórios Certidões Juízes Recursos (STF) Peças e atos autos Petições (e-pet STJ) Saúde Assinatura de Laudos e Prontuários Eliminação dos prontuários em papel (GED) kiatake@evaltec.com.br 23
Iniciativas kiatake@evaltec.com.br 24
ABNT - ISO kiatake@evaltec.com.br 25
ABNT Comissão Especial de Estudos em Informática em Saúde 4 grupos de trabalho GT 1 Modelos GT 2 Interoperabilidade GT 3 Conceitos (terminologias) GT 4 Segurança Objetivos Traduzir e adaptar as normas internacionais do ISO TC-215 (Health Informatics) Propor e colaborar com a elaboração de normas internacionais ISO TC-215 Necessita da colaboração nos estudos e trabalhos por participação voluntária Com suporte do Ministério da Saúde, RIPSA, OPAS e ANS promoveu a participação da comitiva brasileira nas reuniões de 2007 em Montreal (Canadá) e Brisbane (Austrália) kiatake@evaltec.com.br 26
ISO TC-215 Principais trabalhos em discussão no WG-4 Security ISO/TC-215 (Health Informatics) ICP e Autoridade de Atributos Gestão de Segurança da Informação Segurança na comunicação de registros Pseudonimização Riscos de TI Arquivamento Trilhas de auditoria Requisitos de certificação de software kiatake@evaltec.com.br 27
SBIS Sociedade Brasileira de Informática em Saúde
SBIS Fundada em 1986 600 sócios participação multidisciplinar Ações Pesquisa Congresso Brasileiro de Informática em Saúde Revista Aplicações Simpósio Prontuário Eletrônico do Paciente - PEP Desenvolvimento e Divulgação de Padrões Ensino kiatake@evaltec.com.br 29
Convênio SBIS - CFM
Convênio SBIS-CFM Certificação de Sistemas de Registro Eletrônico de Saúde Desenvolvimento do Manual de Certificação Processo Requisitos Avaliação Selo SBIS-CFM kiatake@evaltec.com.br 31
Convênio SBIS-CFM Suporte na definição CRM-Digital CFM entende a importância do uso de certificados digitais ICP-Brasil Privacidade Eliminação do papel Viabilização de certificados e aplicativos para a classe médica Suporte nas resoluções de segurança, privacidade e eliminação do papel kiatake@evaltec.com.br 32
Novo Manual SBIS-CFM
Novo Manual SBIS-CFM Novo Manual Baseado em padrões nacionais e internacionais ISO TC-215, ISO JTC1/SC27, HL7 CNS, TISS, ICP-Brasil, ABNT Categorias de certificação Sistemas Assistenciais Sistemas SADT GED TISS kiatake@evaltec.com.br 34
Novo Manual SBIS-CFM Requisitos especificados no novo manual Segurança Estrutura e Conteúdo Funcionalidades TISS Requisitos de segurança: 2 níveis 1º (NGS1) é obrigatório para todos os sistemas 2º (NGS2) é opcional para sistemas completamente sem papel kiatake@evaltec.com.br 35
Novo Manual SBIS-CFM Nível de Garantia de Segurança 1 (NGS1) Controle de versão de software Identificação e autenticação de usuário Controle de sessão de usuário Autorização e controle de acesso Disponibilidade Canais de comunicação Segurança de dados Auditoria Documentação kiatake@evaltec.com.br 36
Novo Manual SBIS-CFM Nível de Garantia de Segurança 2 (NGS2) Certificação digital ICP-Brasil Assinatura digital Autenticação de usuário Digitalização de documentos kiatake@evaltec.com.br 37
Nova Resolução CFM
Nova Resolução CFM Art. 1º Aprovar o novo manual SBIS-CFM Art. 2º Autorizar a digitalização dos prontuários Art. 3 Autorizar o uso de sistemas informatizados para a guarda e manuseio de prontuários de pacientes e para a troca de informação identificada em saúde, eliminando a obrigatoriedade do registro em papel, desde que esses sistemas atendam integralmente aos requisitos do Nível de garantia de segurança 2 (NGS2) do novo manual kiatake@evaltec.com.br 39
Nova Resolução CFM Anuncia o CRM-Digital Art. 5º Como o Nível de garantia de segurança 2 (NGS2), exige o uso de assinatura digital, e conforme os artigos 2º e 3º desta resolução, está autorizada a utilização de certificado digital padrão ICP-Brasil, até a implantação do CRM Digital pelo CFM... Art. 10 Estabelecer que o Conselho Federal de Medicina (CFM) e a Sociedade Brasileira de Informática em Saúde (SBIS), mediante convênio específico, expedirão selo de qualidade dos sistemas informatizados... kiatake@evaltec.com.br 40
Nova Resolução CFM N o 1821/07- publicada em 23/11/07 Revoga a Resolução CFM n.º 1639, de 10 de julho de 2002 Art. 11 Ficam revogadas as Resoluções CFM nos 1.331/89 e 1.639/02, e demais disposições em contrário Já aprovada na plenária geral do CFM Será publicada após finalização do novo manual SBIS-CFM em novembro de 2007 kiatake@evaltec.com.br 41
Conclusões
Conclusões Padrões são fundamentais para propiciar interoperabilidade e evitar retrabalhos. Há muito a evoluir nas questões da segurança da informação para a área de saúde no mundo. No Brasil, há recentes esforços do MS, ANS, CFM, SBIS e ABNT. O processo de certificação de software SBIS-CFM iniciou a atenção pelo aplicativo, sendo as questões de segurança do ambiente ainda importantes. O Brasil precisa aperfeiçoar a legislação e fiscalização no uso de dados digitais - privacidade. kiatake@evaltec.com.br 43
Convite do Simpósio kiatake@evaltec.com.br 44
Convite Simpósio de Padrões em Informática em Saúde 2008 ABNT/CEE-IS Estado da Arte e Desafios 16 a 19 de julho de 2008, São Paulo 16/07 Tutoriais (HL7, Certificação SBIS, Segurança,...) 17/07 Modelos (Don Nesham HealthInfoway) e Padrões (Ed Hammond) 18/07 Terminologia e Segurança 19/07 Aplicações dos padrões kiatake@evaltec.com.br 45
Obrigado Luis Gustavo Kiatake kiatake@evaltec.com.br