Reviso sobre Normas e Parões e Seg u ran ç a a I n f ormaç o p ara o Reg ist ro E l et rô n ic o em Saú e H e i t o r G o t t b e r g 1, T h i a g o M a r t i n i a C o s t a 2, Be a t r i z e F a r i a L e o 3, I v a n T o r r e s P i s a 4 1 Programa e Pó s-grauaç o em Saúe C oletiv a, Univ ersiae F eeral e S o Paulo (UN IF ESP) 2 Programa e Pó s-grauaç o em Informática em Saúe, UN IF ESP 3 Z ilics Sistemas e Informaç o em Saúe, Brasil 4 Departamento e Informática em Saúe, UN IF ESP Resumo. A migraç o para um amb iente totalmente sem-papel no processo assistencial torna-se hoj e possí v el graç as aos av anç os a tecnologia a informaç o (TI) aplicaa à saúe. Instituiç õ es internacionais, como a International Organiz ation for Stanariz ation (ISO) e Health L ev el 7 (HL 7 ), e nacionais, como C onselho F eeral e Meicina (C F M), Socieae Brasileira e Informática em Saúe (SBIS) e Agê ncia N acional e Saúe Suplementar (AN S) esenv olv eram normas e parõ es que v isam garantir que esta migraç o n o traga prej uí z os ao paciente nem à instituiç o. A certificaç o e processos as organiz aç õ es em saúe e os sistemas e R egistro Eletrô nico em Saúe (R ES). Este artigo apresenta rev is o sob re as normas e seguranç a a informaç o quanto o uso os R ES e propõ e as aç õ es necessárias para garantir a seguranç a a informaç o em saúe. Palav ras-chav e. Informática em Saúe, G erenciamento e Informaç o, Seguranç a (computaç o); Armaz e- namento e R ecuperaç o a Informaç o. A b st r a c t. The migration to a patient-care paper-less env ironment is toay possib le ue to the latest av ance in information technology (IT) applie to healthcare. International institutions, such as the International Organiz ation for Stanariz ation (ISO) an Health L ev el 7 (HL 7 ), an Braz ilian organiz ations, e.g. the N ational C ouncil of Meicine (C F M), Braz ilian Society for Healthcare Informatics (SBIS) an the N ational Agency of Supplementary Healthcare (AN S) hav e ev elope regulations an stanars to assure that this migration is harmless to patients an health care prov iers. certifications of the healthcare organiz ations processes an Electronic Health R ecors (EHR ) sy stems. So, it is possib le to foresee that w e w ill b e ab le to mak e use of av antages on igital healthcare. A concern rises ab out the information security of those igitaliz e ata. This article focuses on highlighting the eb ates aroun information security w hen using EHR s, concluing w ith actions that the C hief Information Officer (C IO) of a healthcare organiz ation shall pay attention w hen ex pose to the challenge of igitaliz ing the healthcare processes. K ey w ors: Health Informatics, Information Management, R ules Health Information Security, Information Storage an R etriev al. I n t r o uç o O tema o Prontuário Eletrô nico o Paciente (PEP), ou R egistro Eletrô nico em Saúe (R ES) é amplo e circunao atualmente por v ários eb a- tes na área a Informática em Saúe. Em N o- v emb ro e 20 0 7, o Brasil eu mais um importante passo na v iab iliz aç o o uso o R ES pelas Organiz aç õ es em Saúe (OS) com a pub licaç o no Diário Oficial a R esoluç o 18 21/ 0 7 que aprov a as normas técnicas concernentes à igitaliz aç o e uso os sistemas informatiz aos para a guara e manuseio os ocumentos os prontuários os pacientes, autoriz ano a eliminaç o o papel e a troca e informaç o ientificaa em saúe [1]. C om esta resoluç o estab elece-se o amparo legal para o uso o registro e saúe em meio ex clusiv amente igital. Ao mesmo tempo, a quest o a seguranç a a informaç o ganha uma nov a imens o quano os aos confienciais e pacientes passam a estar armaz enaos em computaores e iscos rí gios. Um relató rio [2] sob re um estuo iscos rí gios escartaos e práticas e limpez a os aos mostrou que, em Agosto e 20 0 2, o C entro Méico e Aministraç o os V eteranos os EUA, em Inianó polis, v eneu ou oou 139 computaores sem remov er aos confienciais, incluino nomes e pacientes e AIDS e oenç as mentais. Em Maio e 20 0 6 um artigo e j ornal [2] enunciou que uma falha nos computaores poe ter lev ao ao roub o e aos referentes a 60.0 0 0 pacientes que v isitaram o C entro Méico a Univ ersiae e Ohio. Estes ex emplos serv iram e motiv aç o para que pesquisássemos o que v em seno eb atio em relaç o a parõ es e regulamentaç õ es e seguranç a a informaç o igital em saúe e quano o uso o R ES. Este artigo apresenta os resultaos e um lev antamento as normas e iretriz es nacionais e internacionais sob re a e seguranç a a informaç o na área e saúe.. 1
M é t o os Para compor o foco este artigo, consieramos 2 imensõ es a preparaç o a organiz a- ç o para o uso o R ES: a aequaç o e processos organiz acionais e a utiliz aç o e Sistemas e R ES (S-R ES) aequaos, b uscano os trab alhos que ex põ em os requisitos que garantam o chamao tripé a seguranç a a informaç o, isto é, confiencialiae, integriae e isponib iliae a informaç o. A F igura 1 representa graficamente este escopo. C oe of Practice for Information Security Management [5]. N o Brasil, as normas a ISO s o rev isaas e eitaas pela Associaç o Brasileira e N ormas Técnicas (ABN T), tornano-se, uma v ez aprov a- as, normas ABN T N BR ISO. A N orma ABN T N BR ISO 27 0 0 1 [3] escrev e um ciclo e ativ iaes o qual, uma v ez seguio, lev a à implementaç o e um Sistema e G est o a Seguranç a a Informaç o (SG SI) rob usto e com reconhecimento internacional no que se refere à garantia, pela organiz aç o, a seguranç a a informaç o entro e uma instituiç o [4]. A F igura 2 mostra os passos sugerios pela ISO com um estaque na seleç o os controles e seguranç a a informaç o. Figura 1: Representaç o o f oc o este artigo. Para atingir o mapeamento esej ao foram estuaas as normas e regulamentaç õ es em instituiç õ es inicaas por especialistas no tema. As instituiç õ es inicaas foram: C onselho F eeral e Meicina (C F M), Socieae Brasileira e Informática em Saúe (SBIS), Unite States Department of Health an Human Serv ices (US- HHS), International Organiz ation for Stanariz a- tion (ISO), Associaç o Brasileira e N ormas Técnicas (ABN T) e Instituto Health L ev el 7 (HL 7 ). Artigos sob re o tema que complementassem as informaç õ es ob tias tamb ém foram estuaos. Resul t a os Ab aix o mostramos o resultao a rev is o os materiais encontraos sob re o tema em caa uma as instituiç õ es, separano em parõ es internacionais e seguranç a a informaç o em saúe (one estuamos a ISO/ ABN T e o HL 7 ) e as legislaç õ es e regulamentaç õ es os EUA e o Brasil referentes ao tema. ISO e ABN T A ISO tem como ob j etiv o o esenv olv imento e parõ es internacionais nas mais iv ersas áreas. N o que se refere à seguranç a a informaç o, pub licou, por ex emplo, a ISO/ IEC 27.0 0 2; 20 0 5 - Information Technology - Security Techniques - Figura 2: Passos e im pl em entaç o e um sistem a e gest o a seguranç a a inf orm aç o. A apta o e [ 4]. Para suportar a efiniç o os controles e seguranç a em TI, a ISO esenv olv eu a norma ISO/ IEC 27 0 0 2 [5] hoj e j á com sua v ers o b rasileira a N BR ISO/ IEC 27 0 0 2:20 0 5 [6] que é um par o reconhecio internacionalmente e que prov ê controles e seguranç a a informaç o em ez áreas, como, por ex emplo, gerenciamento e ativ os; gerenciamento as operaç õ es e a comunicaç o, e gerenciamento a continuiae os negó cios. Os 127 controles listaos nesta norma s o irecionaos a toos os segmentos e Mercao. C aa organiz aç o ev e escolher um sub - conj unto estes controles que se aeque à sua realiae e metas quano o estab elecimento e um SG SI [5]. A ISO 27 0 0 2 (antigamente conhecia com ISO 17 7 9 9 ) j á v em seno usaa pelas áreas e informática para a gest o a seguranç a a informaç o. Além isso, a ISO formou um comitê técnico chamao e TC 215 Health Informatics para eb ater as especificiaes as emanas o segmento e saúe, propono parõ es especí ficos que atenam às caracterí sticas a prestaç o e serv iç os em saúe. Este comitê está atualmente finaliz ano o esenv olv imento o par o ISO-DIS 27 7 9 9 Health informatics - Information security management in health using ISO/ IEC 2
e 17 7 9 9 que b usca prov er alguns controles aicionais e uma ex plicaç o mais aprofunaa os controles escritos na ISO 27 0 0 2, para proteger a confiencialiae, integriae e isponib iliae a informaç o quano se trata o segmento e saúe [4]. A ISO/ DIS 27 7 9 9 recomena, por ex emplo, que a infra-estrutura e TI sej a capaz e prov er uma sincroniz aç o e tempo os ev entos e forma certificaa e v ália legalmente uma v ez que, em saúe, a linha cronoló gica os fatos e os registros e atenimento poe ser necessária e inv estigaç õ es. A norma ressalta aina ameaç as aicionais para as quais as organiz aç õ es e saúe ev em atentar, como a ameaç a e repuiaç o, ou sej a, e um usuário negar ter env iao ou receb io uma mensagem, fato que poe ser muito relev ante com a transmiss o e aos e pacientes entre instituiç õ es e tamb ém em auitorias ou inv estigaç õ es [7 ]. N o Brasil, as iniciativ as a ISO v ê m seno replicaas pela ABN T, que formou a C EE 1.7 8 C omiss o e Estuo Especial e Informática em Saúe, que está trab alhano em conj unto com a ISO na av aliaç o aequaç o as normas internacionais para a realiae b rasileira e possí v eis construç õ es e normas especí ficas ao contex to b rasileiro. Dentro esta C EE, um os grupos e trab alho é focao nas questõ es relativ as à seguranç a. Health L ev el 7 (HL 7 ) O HL 7 é uma as organiz aç õ es esenv olv eoras e parõ es certificaas pelo AN SI (sigla para Institutos N acionais Americanos e Paroniz a- ç o) operano na área e saúe com foco especí fico em normas para aos clí nicos e aministrativ os. N o Brasil, em fev ereiro e 20 0 7, foi criao o Instituto HL 7 Brasil com o fim e representar as ativ iaes o Instituto HL 7 no paí s [8 ]. Em F ev ereiro e 20 0 7 o Instituto HL 7 eitou o Moelo F uncional para S-R ES (em inglê s: EHR Sy stem F unctional Moel) que fornece uma lista com mais e 160 funç õ es que ev em estar presentes em um S-R ES. C omo v emos na representaç o a F igura 3, este moelo funcional é iv iio em 3 seç õ es: atenimento ireto; suporte e infra-estrutura e informaç o, seno que uma sub seç o esta última se refere à seguranç a [9 ]. Figura 3: Representaç o o m o el o f unc ional o H L 7 para sistem as e RES. Os requisitos a sub seç o e seguranç a v isam garantir que o S-R ES ex ecute suas funç õ es nas áreas e atenimento ireto e suporte, em um amb iente seguro. N a Tab ela 1 s o apresentaos quais os tó picos s o ab oraos pelo moelo funcional sugerio pelo HL 7 no que se refere à seguranç a e quantiae e critérios e conformiae que os S-R ES ev er o cumprir para estarem em conformiae com o moelo. m G â m b V T m H L Sub item a Sub seç o Nú ero e Seguranç a Crité rios Autentic aç o e Enti a e 4 Autoriz aç o e Enti a e 7 Control e e Ac esso e Enti a e 4 est o o Ac esso o Pac iente 1 N o-repu iaç o 4 Interc io Seguro e Da os 5 Roteam ento Seguro e Da os 3 al i aç o a Inf orm aç o 7 Priv ac i a e e Conf i enc ial i a e o 10 Pac iente ab el a 1: Req uisitos e seguranç a para S-RES segun- o o o el o ref erenc ial o 7. O etalhamento os critérios poe ser encontrao no ocumento o moelo referencial o HL 7. Por ex emplo, o item n o-repuiaç o eclara que o S-R ES ev e limitar a possib iliae e um usuário e negar (repuiar) a origem, o receb imento ou a autoriz aç o e uma troca e aos na qual o usuário participou. Em saúe, esta informaç o é e v ital importâ ncia para o acompanhamento os profissionais que ateneram eterminao paciente, b em como em comprov aç õ es j urí icas e legais. Para cumprir tal requisito, o moelo o HL 7 coloca como critérios ob rigató rios, que o S-R ES tenha um registro temporal (t i m s t a m p ) as aç õ es nele ex ecutaas além e funç õ es especificas e n o-repuiaç o epeneno a prática méica, as polí ticas a instituiç o e a legislaç o [9 ]. Estas normas e parõ es esenv olv ios por organiz aç õ es internacionais, como ISO e HL 7, acab am serv ino e b ase para as legislaç õ es e 3
caa paí s para o uso o R ES, somaas às especificiaes e caa naç o. R egulamentaç õ es e L egislaç õ es e Uso o R ES A seguranç a a informaç o na atenç o à saúe n o é só um tema as organiz aç õ es em saúe. Em muitos paí ses há um env olv imento gov ernamental no estab elecimento e uma regulamentaç o que garantas a confiencialiae, isponib iliae e integriae os aos o paciente e as informaç õ es e saúe uma v ez que se tornam igitais. Estuamos as regulamentaç õ es os EUA e o Brasil. N os EUA, esta regulamentaç o é b aseaa na lei e 19 9 6 chamaa e HIPAA, sigla para Health Insurance Portab ility an Accountab ility Act, a qual etermina a paroniz aç o nas transaç õ es e aos entre prov eores e pagaores os serv iç os e saúe. Determina aina a ex istê ncia e polí ticas formais para proteger e manter o acesso aos aos e pacientes e que tamb ém forneç a aos clientes o ireito e ter acesso à informaç o e como e por quem seus aos pessoais ser o usaos, permitino aos mesmos inspecionar e possiv elmente aicionar informaç õ es [10 ]. A HIPAA cob re os planos e saúe e prov eores e serv iç o que transacionem informaç õ es e saúe e moo eletrô nico. Esta lei foi promulgaa b uscano aumentar a eficiê ncia e eficácia o sistema e saúe com meias e simplificaç o aministrativ a. Estas meias forç a- v am a aoç o e parõ es nacionais para a troca e informaç õ es e saúe em meio igital. Para garantir que a informatiz aç o os aos e pacientes n o prej uicasse a confiencialiae e a priv aciae, a legislaç o incluiu proteç õ es feerais à priv aciae a informaç o iniv iual ientificaa em saúe [11]. A parte a HIPAA referente à priv aciae e seguranç a (parte no. 164) estab elece os requisitos que a organiz aç o em saúe ev e implementar. Estes requisitos env olv em proteç õ es nos â mb itos aministrativ o, fí sico e técnico. N a parte e seguranç a, uma atenç o especial é aa à priv aciae a informaç o ientificaa em saúe [12]. O número e requisitos e caa um os 3 b locos e proteç õ es a HIPAA s o mostraos na Tab ela 2. Proteç õ es Dem an a as pel a H IPAA No. e Req uisitos a Serem Im pl em enta- os õ m õ f í õ c Proteç es a inistrativ as 23 Proteç es sic as 10 Proteç es té nic as 9 T ab el a 2: Nú m ero e req uisitos a serem im pl em enta os nas proteç õ es em an a as pel a H IPAA. Se compararmos a HIPAA à ISO 27 0 0 2 v e- remos que a iferenç a funamental é que esta regulamentaç o americana é focaa na proteç o a informaç o em saúe enquanto a norma ISO v isa a proteç o e qualquer tipo e informaç o [13]. N o Brasil, o C onselho F eeral e Meicina (C F M) pub licou recentemente a R esoluç o 18 21/ 20 7 que regula o uso e métoos e igitaliz aç o e aos e pacientes e ou uso e S-R ES com registro e informaç õ es e saúe e moo informatiz ao. Esta resoluç o aprov ou o Manual e C ertificaç o para Sistemas e R egistro Eletrô - nico em Saúe, elab orao em conv ê nio com a Socieae Brasileira e Informática em Saúe (SBIS) [1]. O manual eitao pela SBIS/ C F M etalha os requisitos que os S-R ES ev em atener separaos em (1) requisitos e seguranç a, (2) conteúo e funcionaliaes e (3) requisitos o par o Troca e Informaç õ es em Saúe Suplementar (TISS), a Agê ncia N acional e Saúe Suplementar (AN S), como poemos v er na representaç o a F igura 4 [14]. Figura 4: Req uisitos para o S-RES segun o SB IS/ CFM. A certificaç o os S-R ES é passo funamental para a igitaliz aç o total o prov imento e serv iç os e saúe e o ab anono os registros em papel. N o que se refere a esta meta, o manual estab elece ois ní v eis e garantia e seguranç a chamaos e N G S1 e N G S2 (conforme F igura 4). A F igura 5 mostra qual o uso e caa um estes ní v eis pelas organiz aç õ es em saúe [14]. Figura 5: Ní v eis e garantia e seguranç a para S-RES. O N G S1 é um grupo e requisitos que o S- R ES ev e atener e forma a poer ser utiliz ao em hospitais e outras instituiç õ es prestaoras e serv iç os em saúe. Estes requisitos usam como b ase o moelo funcional o HL 7, normas ISO e seguranç a a Informaç o (i.e, ISO N BR 27 0 0 1) e e certificaç o e softw are (p.ex, ISO 8 60 1), além e normas efinias pela SBIS/ C F M. Estes requisitos est o iv iios em 11 categorias, caa uma com uma quantiae e itens a serem atenios, como mostrao na Tab ela 3 [14]. 4
V Categoria No. e Req uisitos Control e a ers o o Sof tw are 4 I entif ic aç o e Autentic aç o e Usuário 5 Control e e Sess o e Usuário 2 Autoriz aç o e Control e e Ac es- 9 T O c so Disponib il i a e o RES 2 Com unic aç o Rem ota 6 Seguranç a e Da os 8 Au itoria 4 Doc um entaç o 8 em po 2 Notif ic aç o e orrê nc ias 1 T ab el a 3: Req uisitos q ue os S-RES ev em aten er para NG S1 O N G S2 introuz a utiliz aç o e certificaos igitais permitino à organiz aç o eliminar o uso o registro em papel os aos e saúe e atenç o aos pacientes. Para isso, estab elece requisitos aicionais ao N G S1 que o S-R ES ev e atener, b aseaos na IC P-Brasil além e normas b aseaas em resoluç õ es o C F M, SBIS e a Electronic Signatures Infrastructure (ETSI). A Tab ela 4 mostra as categorias e a quantiae e requisitos [14]. z ( c G T q Categoria No. e Req uisitos Certif ic aç o Digital 4 Assinatura Digital 8 Autentic aç o e Usuário Util i- an o Certif ic a o Digital 4 Digital iz aç o e Doc um entos apenas para S-RES a ategoria ED-G est o El etrô nic a e 9 Doc um entos) ab el a 4: Req uisitos a ic ionais ue os S-RES ev em aten er para NG S2. C omo mostramos no iní cio o artigo, um S- R ES que garanta a seguranç a a informaç o e saúe precisa estar aliao a um SG SI a organiz aç o como um too. N o que se refere a esta emana, o C F M/ SBIS recomena a utiliz aç o as práticas e gest o a seguranç a a informaç o escritas na N BR ISO/ IEC 27 0 0 2 e a certificaç o e aerê ncia à N orma ABN N BR ISO/ IEC 27 0 0 1:20 0 6 [14]. Além a regulamentaç o para o uso o R ES no fornecimento e saúe, no Brasil, a AN S estab eleceu a R N 153/ 20 0 7 como par o ob rigató rio para a troca e informaç õ es entre operaoras e planos priv aos e assistê ncia à saúe e prestaores e serv iç os e saúe sob re os ev entos e saúe, realiz aos em b eneficiários e plano priv ao e assistê ncia à saúe, o TISS. A F igura 6 mostra as 4 partes componentes este par o [15]. Figura 6: Partes c om ponentes o T ISS. N o que se refere à seguranç a o par o estab elece os requisitos mí nimos as proteç õ es aministrativ as, técnicas e fí sicas necessárias à garantia a confiencialiae as informaç õ es em saúe. Para isso, ex ige iferentes ní v eis e seguranç a para iferentes serv iç os. Para as empresas que optem pela transmiss o v ia internet, sej a por conex o pró pria ou e terceiras, ex ige-se o N G S1 o manual eitao pelo SBIS/ C F M citao acima, além a ob serv â n- cia os controles citaos na N BR ISO/ IEC 17 7 9 9 (hoj e, ISO 27 0 0 2). J á para empresas que optem pelo uso e serv iç os w eb (SOAP/ X ML ), recomena-se a aequaç o ao N G S2. Q uanto à transmiss o remota e aos i- entificaos, o TISS ex ige que os sistemas possuam um certificao igital emitio pela IC P Brasil [15]. A v ers o final o primeiro manual que etalha o processo e certificaç o está atualmente (J ulho e 20 0 8 ) em consulta púb lica e, uma v ez aprov ao, será possí v el que fab ricantes e S- R ES iniciem os trab alhos e testes e certificaç o j unto à SBIS/ C F M. C on c l usõ es C oncluí mos com este estuo que há material e conhecimento esenv olv io para suportar a migraç o para a saúe igital no que iz respeito à seguranç a a informaç o. As principais normas b rasileiras e internacionais, como ISO, HL 7, SBIS/ C F M e AN S, eicam um foco especial ao tema. Ientificamos que a preparaç o para a eliminaç o o papel na atenç o à saúe passa pela escolha e S-R ESs que sej am certificaos, mas tamb ém por uma preparaç o organiz acional com o estab elecimento e um SG SI que faç a com que os processos a organiz aç o sej am tamb ém seguros o suficiente para a prestaç o e serv iç os em saúe. N este momento em que temos a efetiv aç o e passos importantes para que a saúe igital se estab eleç a no Brasil, como a pub licaç o a resoluç o 18 21/ 0 7 o C F M, a pergunta que nos fica é: qu o preparaas est o nossas instituiç õ es e saúe para garantir a seguranç a a informaç o igital?. É sob re esta pergunta que a pesquisa seguirá em seus pró x imos passos, b uscano formas e irecionar uma metoologia para responer tal quest o. 5
Ref er ê n c i a s [1] C onselho F eeral e Meicina (C F M), R esoluç o C F M N º 1.8 21, Diário Oficial a Uni o; Poer Ex ecutiv o, Brasí lia, DF, 23 nov. 20 0 7. Seç o I, p. 252. (cerca e 6 páginas) isponí v el em: http:/ / w w w.portalmeico.org.b r/ resolucoes/ cfm/ 20 0 7 / 18 21_ 20 0 7.htm.20 0 7. [2] Hoffman S, Pogursk i A, " In Sick ness, Health, an C y b erspace: Protecting the Security of Electronic Priv ate Health Information" ; isponí v el em: http:/ / ssrn.com/ ab stract= 9 310 69. 20 0 6. [3] ABN T N BR ISO/ IEC 27.0 0 1; Sistemas e G est o e Seguranç a a Informaç o R equisitos. Disponí v el em: http:/ / w w w.ab ntnet.com.b r/ ecommerce/ efault.asp. 20 0 6. [4] ISO TC 215, 20 0 6; ISO/ Draft of international stanar 27 7 9 9 : health informatics security management in health using ISO/ IEC 17 7 9 9, IC S 35.240.8 0 ; International Stanar Organiz ation Technical C ommittee 215 Health Informatics. 20 0 6. [5] ISO/ IEC 27.0 0 2; Information technology - Security techniques -- C oe of practice for information security management. Disponí v el em: http:/ / w w w.iso.org/ iso/ iso_ catalogue/ catalogue_ tc/ catalogue_ etail.htm? csnumb er= 50 29 7. 20 0 5. [6] ABN T N BR ISO/ IEC 27.0 0 2; C ó igo e Prática para a G est o a Seguranç a a Informaç o. Disponí v el em: http:/ / w w w.ab ntnet.com.b r/ ecommerce/ efault.asp. 20 0 5. [7 ] G ottb erg H, Pisa I, L e o B ; Dealing w ith the complex ities w hen implementing information security practices in healthcare organiz ations; HealthIN F 20 0 8, Portugal. 20 0 8. [8 ] Instituto Health L ev el 7 Brasil; (cerca e 1 página) isponí v el em: http:/ / w w w.hl7 b raz il.org/. 20 0 8. [9 ] HL 7 Institute; 20 0 7 ; HL 7 - EHR -S F unctional Moel; isponí v el em: http:/ / w w w.hl7.org/ ehr/ ow nloas/ inex _ 20 0 7.asp.20 0 7. [10 ] Shortliffe E, C imino J ; Biomeical Informatics: C omputer Applications in Health C are an Biomeicine, 3r E.; Springer Science+ Business Meia, L L C. 20 0 6. [11] US-HHS,; G eneral ov erv iew of stan-ars for priv acy of iniv iually ientifiab le health information; Unite States Dept. of Health an Human Serv ices; isponí v el em: http:/ / w w w.hhs.gov / ocr/ hipaa/ guielines/ ov erv iew. pf. 20 0 3. [12] US-HHS,HIPAA Aministrativ e Simplification R egulation Tex t; Unite States Dept. of Health an Human Serv ices isponí v el em: http:/ / w w w.hhs.gov / ocr/ AminSimpR egtex t.pf;.20 0 6. [13] Bork in S; HIPAA F inal Security Stanars an ISO/ IEC 17 7 9 9 ; SAN S Institute. 20 0 3. [14] L e o B, C osta C, F orman J, Silv a M, G alv ao D (e); Manual e C ertificaç o para Sistemas e R egistro Eletrô nico em Saúe Manual v ers o 3.1; isponí v el em: http:/ / w w w.sb is.org.b r/ certificacao/ Manual_ C ertific cao_ SBIS_ C F M_ F ase2_ v 3.1_ C onsulta_ Pub lica.p f.; 20 0 8. [15] Agê ncia N acional e Saúe Suplementar (AN S); 20 0 7 ; R esoluç o N ormativ a 153 e 28 / Maio/ 20 0 7. 20 0 7. C on t a t o O autor principal poe ser encontrao atrav és o e mail heitor@ cisco.com e e sua página no L ink ein: http:/ / w w w.link ein.com/ in/ heitor. Os e- mails os emais autores s o: thiagopg@ is.epm.b r; b fleao@ terra.com.b r e iv an.pisa@ unifesp.b r. 6