O desafio da segurança da informação na era da telemedicina

Prestes a entrar em vigor, a nova Resolução 2.227/18 permite aos médicos brasileiros realizar consultas online, tele cirurgias, tele diagnósticos, entre outras formas de atendimento à distância. Em um País de dimensão continental, como o Brasil, os ganhos dessa prática são imensuráveis. A partir de maio, quem reside nas regiões mais distantes poderá ser assistido por médicos de maneira remota, conforme estabelece a nova determinação do Conselho Federal de Medicina (CFM). No entanto, a permissão também trará diversos desafios no que tange à segurança da informação, exigindo um esforço amplo e colaborativo entre médicos, pacientes e fornecedores de tecnologia.

É fato que o Brasil permite a prática da telemedicina hoje, porém, com algumas ressalvas. Atualmente, os médicos podem auxiliar outros profissionais de saúde por meio de teleconferência, mas não realizar um atendimento à distância. A nova resolução do CFM libera a consulta remota desde que uma anterior já tenha sido realizada. Com isso, é esperado que as consultas ganhem mais agilidade e reduza o número de filas nos prontos-socorros, ampliando o número de pessoas atendidas nas regiões menos povoadas, sobretudo nas mais carentes de difícil acesso.

No entanto, em tempos de Lei Geral de Proteção de Dados (LGPD) é inevitável não nos questionarmos como ficará a segurança dessas informações. É sabido que o dado médico é extremamente valorizado no mercado negro, mais até que uma informação financeira. Isso porque o dado médico tem a capacidade de sensibilizar a vítima, gerando inúmeras maneiras de extorquir o usuário por meio de engenharia social.

O CFM determinou que todos os atendimentos sejam gravados e armazenados, sendo que o paciente receberá um relatório onde é assegurado o sigilo médico. Mas como garantir tal confidencialidade e que a consulta não sofrerá interferência de um cibercriminoso? Como impedir o vazamento de alguma informação confidencial?

Segundo o Conselho, as imagens e os dados dos pacientes deverão trafegar em uma rede que garanta a privacidade do paciente e ambos armazenem tais informações num ambiente que assegure sua integridade. É imprescindível ainda que todos os envolvidos nessa comunicação, ou seja, os fornecedores que implantarão as tecnologias de transmissão e armazenamento, também se responsabilizem pela segurança dessas informações.

Como ainda somos carentes de uma legislação mais específica acerca dos procedimentos que essas organizações terão que se submeter para prestar o atendimento remoto, é esperado que o padrão internacional seja o melhor exemplo a ser seguido provisoriamente. Globalmente, uma das principais referências é a ‘Health Insurance Portability and Accountability Act (HIPAA)’, uma lei americana criada principalmente para modernizar o fluxo de informações de saúde, estipular como as informações de identificação pessoal devem ser mantidas e protegidas contra fraude e roubo.

A HIPPA determina quais tipos de entidades estão sujeitas a ela, baseando-se no nível e tipo de informação de saúde que ela processa. Com isso, traça diretrizes – maior parte não técnicas – que devem ser seguidas por cada uma delas. Apesar de ser uma lei americana, fabricantes, desenvolvedores e servidores de tecnologia mundiais a seguem como um padrão global de normas.

Entre os requisitos mandatórios estabelecidos pela HIPAA estão: garantir a confidencialidade, integridade e disponibilidade de todos os prontuários que eles criam, recebem, mantém ou transmitem. Proatividade em identificar e proteger contra ameaças cibernéticas antes delas acontecerem e, proteção contra o mau uso ou divulgação de relatórios não permitidos.

As recomendações ainda exigem que as organizações atendam todas as demais medidas exigidas para salvaguardar as informações confidenciais, seja no ambiente físico ou virtual, como acesso limitado às instalações onde os dados estão armazenados, políticas de gerenciamento de acesso, transferência, remoção e descarte dos relatórios.

Nessa nova era do atendimento médico remoto brasileiro é imprescindível que tecnologias, processos e pessoas trabalhem em sintonia fina a fim de mitigar ao máximo os riscos de ciberataques. Os danos causados por esses incidentes cibernéticos podem ser irreparáveis e inviabilizar uma prática que só tende a contribuir com os usuários.

Assegurar os dados dos pacientes aumenta significativamente a responsabilidade dos médicos. Portanto, para que essa iniciativa dê certo no Brasil, é fundamental que os profissionais de saúde estejam suportados por parceiros que forneçam ferramentas e serviços que os auxiliem a oferecer um diagnóstico mais preciso, seja por meio de consultoria e treinamento como recursos técnicos, suporte e experiência internacional.

*João Alcântara é Sr. Solutions Architect da Dimension Data