SEGURANÇA DE DADOS CLÍNICOS 6/16/2005 HSM/SSIT-07062005/CA Carls Ferreira Hspital de Santa Maria Serviç de Sistemas de Infrmaçã e Telecmunicações Av. Prf. Egas Mniz 1649-035 Lisba Tel.: (+351) 217805327 Fax: (+351) 217805682 E-mail: carlsferreira@hsm.min-saude.pt 1
Denminaçã, natureza e missã O Serviç de Sistemas de Infrmaçã e Telecmunicações, abreviadamente designad pr SSIT, é um Serviç de Gestã e Lgística, directamente dependente d Cnselh de Administraçã, cuja missã genérica cnsiste em cntribuir para a eficácia d aparelh administrativ e clínic, em especial ns dmínis crrespndentes às funções d HSM, através da prmçã, desenvlviment, implementaçã e api à explraçã de sistemas e tecnlgias de infrmaçã, n quadr de uma perspectiva glbal de ecnmia de recurss e de prtecçã d investiment. 2
Resum As instituições sã cada vez mais cnfrntadas cm mensagens de que têm de mdernizar, invar, investir em nvas tecnlgias, dar frmaçã a pessal, etc. Na mairia das vezes as pressões vindas d exterir chegam u prpagam-se cm dificuldades através da rganizaçã e facilmente sã descurads aspects imprtantes a nível da segurança, seja ela de pessal, dads u instalações. A evluçã recente da medicina deve muit às cntribuições da electrónica e das ciências da cmputaçã; A prática médica assenta e está hje dependente destes rams d cnheciment e seria certamente um retrcess abdicar deles; O regist de dads referente as dentes é ainda muit basead em suprte papel embra já se verifique uma frte tendência para regist electrónic; A gestã das unidades de Saúde, e da Saúde em terms glbais, tem estad assente num mdel puramente administrativ send mdel clínic apenas definid pela utilizaçã de equipaments cmputrizads; 3
Segred prfissinal O Jurament Hipcrátic define um cnjunt de regras que rienta e tipifica exercíci da actividade de quem trata e alivia sfriment, ist é, exercíci médic, nmeadamente: Sigil O sigil u segred médic nã é apenas um dever ds Médics mas sim de tds s prfissinais, incluind estudantes A manutençã d sigil permite que, perante Médic, estad psiclógic, físic e pensaments d Paciente sejam expsts sem que exista vilaçã u devassa; A relaçã Médic/Paciente é um cntrat u quase-cntrat que exige uma verdadeira aliança inter-pessal, cuj expente briga a atitudes de respeit, veracidade e fidelidade, essenciais à instauraçã de um clima de cnfiança; O segred médic nã é um privilégi d prfissinal mas sim sua grave respnsabilidade: é um direit e usufrut d dente (in Declaraçã de Lisba da Assciaçã Médica Mundial, 1981); O segred prfissinal advém de múltipls serviçs de acçã inter-humana e é recebid pr quem s exerce, pressupnd-se um pact implícit de segred cnfiad, pel que se cnstitui em cntrat u quase-cntrat; 4
Segred prfissinal - limites N Jurament de Hipócrates segred médic deveria assumir um carácter geral e abslut O geral deveria cbrir tud que Médic pde saber, cmpreender u adivinhar n exercíci prfissinal; O abslut cnduziria a situações absurdas pis, sem excepções, nem Médic, nem Paciente dele pderiam dispr Ns últims ans, a cntrári d sigil, a autnmia para exercíci da medicina deixu de significar apenas a vntade sberana d Médic e passu a enquadrar respeit pela vntade e sistema de valres de quem sfre, ist é, a autnmia d dente Recnheciment que Dente é um ser human de igual dignidade e direits d Médic e cnsequentemente apt para exercíci da autnmia; Surge uma nva frma de estar na relaçã Médic-Dente assente n respeit pela vntade d utr, uvind-, prestand-lhe as infrmações necessárias e verdadeiras para que decida em funçã ds seus valres, interesses e bens, decrrend desta prática cnsentiment infrmad. 5
Segred - limites Quand quebrar sigil u segred prfissinal? Cnsentiment infrmad; Exigência d bem cmum; Exigência d bem de terceir; Se a revelaçã pupar prejuíz grave à pessa interessada n segred; Se da nã revelaçã d segred decrrer prejuíz grave para respectiv depsitári. 6
Desafis A manutençã d sigil, mesm que seja adaptada às cndições sciculturais e a cas em apreç, e a trca de infrmaçã entre Médic e Paciente tem sid hje a ba prática médica. Será que regist electrónic e a criaçã de sistemas de infrmaçã clínics clcam em risc a manutençã d sigil? Ou regist electrónic e a criaçã de sistemas de infrmaçã clínics: clcam a nu a falta de sensibilidade para s aspects de segurança? facilitam a discussã aberta d cas entre Médic e Paciente? brigam à existência de Médics infrmads, cm frmaçã permanente, incluind em técnicas de cmunicaçã brigam à existência de mecanisms de pesquisa na web e a biblitecas de cnheciment n-line? sã determinantes na gestã mderna e eficiente através da abrdagem prática à gestã estratégica? sã imprtantes na gestã da mudança rganizacinal e na melhria ds prcesss de negóci? 7
Actualidade sistemas clínics assentes em suprte papel Quem acede as prcesss? Auxiliares de Acçã Médica? Assistentes Administrativs? Enfermeirs? Médics? Utente/Dente? Que regist de cnteúds? Onde se lcalizam s arquivs? Áreas públicas/reservadas? Onde estã guardads s prcesss? Armáris fechads/prateleiras abertas? Que prcediments de acess? Existem regists de levantament e rastreabilidade? Sistemas de cntrl de acesss? Que sistemas de segurança física? Alarme cntra intrusã? Detecçã e aut-extinçã de incêndi? Que infra-estruturas envlvem s arquivs? 8
9
Actualidade um exercíci de segurança Sistemas essencialmente assentes em suprte papel DESCRIÇÃO IMPACTO Instalar s cmputadres e impressras ds Labratóris em znas de menr acessibilidade Sem custs Arquivar prcesss mrts num únic lcal Sem custs Arquivar prcesss em armáris fechads Custs elevads Instalar sistemas de segurança física Custs elevads (média - Acesss de 22.000 pr cnjunt - Videvigilância de 4 sub-sistemas). - Detecçã de intrusã Outrs custs - Detecçã e aut-extinçã de incêndi peracinais e lgístics Nã permitir acess de visitas a lcais de tratament u de acess a estes Sem custs Definir nrmas de cnfidencialidade e segurança ds prcesss (acess, regist, manusei, transprte) Custs baixs Cntrlar acess de visitantes Custs elevads Nmear um respnsável pela segurança Efectuar acções de frmaçã para sensibilizar s recurss humans para as questões de segurança (eventualmente nã só relativas as prcesss clínics) Manter cópias de segurança ds prcesss Prender s PC às secretárias Sem custs. Eventuais prblemas intra e inter prfissinais e classes Custs elevads Custs elevads Custs de investiment (100 /PC) e peracinais 10
Sistemas clínics práticas para garantir a segurança de dads Desenvlver aplicações baseadas em arquitectura web; Integrar s sub-sistemas infrmátics utilizand padrões tecnlógics nrmalizads; Reclher apenas dads que sejam relevantes para a missã; Implementar plíticas de gestã de palavras-chave; Cntrlar acess às aplicações, incluind a palavra-chave única (single signn); Implementar auditrias para regist de actividade (audit lgs); Eliminar pnts de cntact da rede interna cm utras redes u serviçs; Mnitrar permanentemente a rede interna; Instalar sistemas de autenticaçã e certificaçã, nmeadamente crrei electrónic; PC e servidres cm sistemas perativs e sistemas anti-vírus permanentemente actualizads; Certificar que sftware em utilizaçã se encntra desenvlvid tend em atençã ataques; Utilizar mecanisms que garantam a segurança e privacidade ds dads, nmeadamente a cifra na cmunicaçã de dads e cópias de segurança cifradas e redundantes; Criar uma cultura de segurança e uma visã hlística da segurança: tecnlgia, pessas, prcesss; Implementar cntrls de segurança 11
Sistemas clínics práticas para garantir a segurança de dads Para ser efectiva, a segurança deve ser: bem definida; bem cmunicada; seguida; implementada; Medida. Alguns princípis básics de segurança: 1. Segurança cmeça pr dentr e nã pr fra; 2. segurança nã é um bich-de-sete-cabeças, mas pde ser tã difícil quant desejarms que seja; 3. quant mais cmplicada se fizer a segurança, mais difícil ela será; 4. se definirms segurança apenas n final, falharems; 5. algures n temp haverá uma falha de segurança planeie-se agra! 6. manter a infrmaçã afastada de criminss; 7. permitir que s utilizadres certs tenham acess à infrmaçã crrecta; 8. garantir que a segurança é amigável para utilizadr. 12
Us ds SI/TI nas rganizações 5º - Dads 7º - Infra-estrutura tecnlógica 6º - Aplicações infrmáticas 4º - Requisits funcinais e técnics 3º - Regras e prcediments rganizacinais 1º - Pessas 2º - Objectivs (de negóci) 13
Cnclusões A utilizaçã de sistemas clínics e a implementaçã ds mecanisms de segurança supera tda a lógica actual; Os sistemas clínics electrónics nã alteram a natureza d mau us da infrmaçã; Sistemas cm divulgaçã restrita as utilizadres credenciads; Apiam wrkflw ds actres clínics; Ptenciam melhres decisões clínicas; Minimizam errs de prcess e clínics; Aumentam a eficiência da utilizaçã ds recurss; Reduzem a variabilidade, melhram a qualidade; Permitem acess a melhres práticas; Facilitam a cmunicaçã na equipa de cuidads; Auxiliam a intrduçã de mudança e melhria cntínua; 14
Obrigad pela atençã 6/16/2005 HSM/SSIT-07062005/CA Carls Ferreira Hspital de Santa Maria Serviç de Sistemas de Infrmaçã e Telecmunicações Av. Prf. Egas Mniz 1649-035 Lisba Tel.: (+351) 217805327 Fax: (+351) 217805682 E-mail: carlsferreira@hsm.min-saude.pt 15