Posso Auditar Prontuário de Paciente de casa?

A resposta é depende. 

E vou explicar ao longo deste artigo.

Tenho notado muitos auditores dizendo que estão fazendo auditoria em casa normalmente como se estivessem fazendo nas empresas. 

Me preocupo muito com essa informação porque tenho notado o envio de documentos por email, whatsapp e acesso a prontuários com problemas de segurança de informação e por esta razão me sinto na obrigação de fazer alguns esclarecimentos e de alertar para alguns riscos.

Apesar da LGPD (lei geral de proteção de dados ) ainda não estar em vigor é preciso estar atento que neste período os hackers estão invadindo mais os sistemas e por se tratar de prontuários que tem dados sensíveis, no caso de uma invasão as consequências serão graves.

Funcionários em home office viram alvos prioritários para golpes cibernéticos de hackers (1)

O Brasil já perdeu US$ 22 bilhões em 2017 com ataques cibernéticos (2)

Brasil é o segundo país no mundo com maior número de crimes cibernéticos (3)

Falha em sistema da Unimed expõe dados pessoais e até exames de pacientes em novembro de 2019 (4)

Uma publicação recente de março deste ano (5) diz que "o setor de saúde enfrentou o maior número de violações de dados  em um período de 15 anos. Dos 6355 incidentes de violação relatados durante 2005–2019, 3912 foram registrados apenas no setor de saúde. Isso representa 61,55% do total. O setor MED é seguido pelos setores EDU e GOV, que representam 10,55% e 8,82%, respectivamente. Dos 3912 incidentes enfrentados pelo setor de saúde, 1587 foram realizados nos últimos cinco anos (2015 a 2019), representando 40,56% do total de violações de dados de saúde. Isso é motivo de grande alarme e exige ações corretivas imediatas.” 

Infelizmente no Brasil isso ainda não tem a atenção que é necessária.

O que tem acontecido nas  auditorias remotas  é que alguns auditores estão visualizando dados de forma remota e com uso de VPN (rede privada virtual) , mas tem aqueles que não estão usando e estão correndo sérios riscos. Mas só ter VPN na máquina não basta!

Mas o que é exatamente VPN ?

“ permite que você crie um túnel virtual seguro através da Internet para outra rede ou dispositivo. Se você acessar a Internet a partir desse túnel virtual, é difícil para qualquer pessoa, inclusive o seu ISP, espionar as suas atividades de navegação. As VPNs continuam sendo um dos meios mais eficazes para manter a privacidade online. No entanto, é importante notar que praticamente qualquer coisa pode ser hackeada, especialmente se você for um alvo de alto valor e seu adversário tiver tempo, fundos e recursos suficientes.”(6)

Temos outros pilares de segurança de informação que somente VPN não garante. É um conjunto de medidas e então é preciso se atentar se tem todos eles . Recomendo a leitura da cartilha de segurança desenvolvido pelo CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil)(7)

Identificação: permitir que uma entidade ( pessoa, empresa ou programa de computador) se identifique, ou seja, diga quem ela é.

Autenticação: verificar se a entidade é realmente quem ela diz ser.

Autorização: determinar as ações que a entidade pode executar.

Integridade: proteger a informação contra alteração não autorizada.

Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.

Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.

Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

E ainda temos outro pilar que alguns citam “Conformidade” para assegurar que seus processos obedeçam às leis e normas regulamentadas. (8)

Isto na saúde quer dizer seguir além da LGPD,  as regulamentações dos conselhos de medicina e dos demais conselhos de profissionais da saúde e outros outros orgãos específicos da saúde. 

O pilar que devo chamar mais atenção para os auditores é relacionado a integridade . Como auditar prontuários de forma remota se não conseguimos garantir integridade porque a maioria dos prontuários sofre de registros retroativos e não utilizam certificado digital padrão ICP- Brasil que é a única forma com validade jurídica  e que garante integridade de dados !?

E se fizer auditoria por Skype, Zoom , enviar informações do paciente por email pode?

Você empresa tem como assegurar que o auditor ou outra pessoa não fará print de tela, não está gravando e que só ele está tendo acesso a informação ?

Se o auditor estiver acessando da sua própria máquina e não da empresa ,você empresa tem como assegurar que o sistema não está desatualizado e tem outras vulnerabilidades?

Já foi detectado vulnerabilidades ainda não corrigidas pela plataforma Zoom em que hackers instalam vírus no computador , tentam invadir conversas e as contas estão sendo vendidas no mercado negro da internet. (9)

Empresas grandes que já trabalham de forma remota não permitem, por exemplo uso de computadores que não sejam da própria empresa, porque o empregado com seu próprio computador pode acessar arquivos que podem ser invadidos , isso é bem comum de acontecer. 

Um outro ponto muito importante é que quando estamos de casa outras pessoas podem ter acesso a estes dados sensíveis e infelizmente não tem como controlar isso então como mitigar esses riscos ?  

Por isso a ambientação é muito importante e o treinamento dos colaboradores também!!! 

Email é o ponto mais comum de comprometimento de informações. No Relatório de Cibersegurança em Saúde para 2020 do Grupo Herjavec apresenta dados de um relatório de um fornecedor do HIPAA Journal que afirma que os ataques de fraude por email na área da saúde aumentaram 473% em dois anos. (10)

Quanto a LGPD, como ainda não há preocupação em cumprir a lei, alguns aspectos  importantíssimos que ainda não estão sendo vistos , mas que considero que vale a pena considerar.

- O paciente precisa autorizar o acesso a suas informações para cada usuário que acessar assinando um termo de consentimento livre e esclarecido.

- Os sistemas acessados precisam ter rastreabilidade das informações, de modo que se o paciente solicitar tudo o que  está sendo visto por esses usuários poderá ser informado com detalhes para o paciente (caminho da informação)

E se o auditor assinar um termo sobre o acesso as informações e sigilo das mesmas, isso infelizmente não garante muita coisa porque poderá ser invadido da mesma forma e a empresa também responderá pelo vazamento da informação.

 Sou muito a favor de auditorias de forma remota desde que cumpram todos os requisitos de segurança e não conheço nenhuma empresa na área da saúde que tenha todos eles, inclusive já se adequando a conformidade com a LGPD. Se alguém souber pode me informar . Não tem como ser 100% seguro porque há pessoas nos processos e ainda precisa ter uma mudança de comportamento dos profissionais relacionados a segurança de informação. Quem sabe a LGPD traga esta conscientização .

Pensando em termos de sigilo de informação e para que possa garantir privacidade , uma forma de mitigar riscos  é anonimizando os dados dos pacientes . Na minha visão , nós auditores não precisamos saber o nome do paciente em muitas análises, por exemplo, mas outros dados são relevantes, então por que não mapear as informações do que realmente nós auditores precisamos ter acesso para análise e só deixar isso visualizado e com acesso ?

Se o auditor precisa acessar de forma remota o prontuário é importante que as informações sejam anonimizadas para diminuir os riscos e interessante também que visualize em outro sistema independente de um PEP porque caso haja invasão não será possível conectar as informações originais.

Portanto, além de pensar em toda a infraestrutura de segurança em que as informações vão trafegar, o ponto principal são sobre os dados sensíveis em que o paciente é o dono da informação e é a primeira parte de um processo de auditoria remota que deve ser levada em consideração. Se o paciente não autorizar o acesso as suas informações, a auditoria não deverá ser permitida. 

Infelizmente tanto empresas, como profissionais, ainda não estão preparados para esta nova forma de trabalho (por todos os motivos que falei acima)

Para os tempos atuais, eu não recomendaria esta forma de auditoria remota, mas certamente é o momento para pensar em como fazer isso, seguindo todos os requisitos de segurança , mapear processos e principalmente avaliar quais atividades do auditor valem a pena serem feitas e de forma remota. Muitas das análises podem ser feitas por robôs e eu investiria o trabalho dos auditores, em auditoria concorrente junto aos atendimentos dos pacientes, mas isso já é outro assunto.

Referencial consultado

1. https://cryptoid.com.br/identidade-digital-destaques/funcionarios-em-home-office-viram-alvos-prioritarios-para-golpes-ciberneticos-de-hackers/

2. https://www.uol.com.br/tilt/noticias/redacao/2018/02/15/brasil-e-o-segundo-pais-no-mundo-com-maior-numero-de-crimes-ciberneticos.htmsegurança-no-trabalho-remoto-1.779084

3. https://www.uol.com.br/tilt/noticias/redacao/2018/02/15/brasil-e-o-segundo-pais-no-mundo-com-maior-numero-de-crimes-ciberneticos.htm

4. https://www.uol.com.br/tilt/noticias/redacao/2019/11/17/falha-em-sistema-da-unimed-expoe-dados-pessoas-e-ate-exames-de-pacientes.htm

5. https://www.mdpi.com/2227-9032/8/2/133

6. https://pt.vpnmentor.com/blog/as-vpns-podem-ser-hackeadas-analisamos-em-profundidade/ https://cartilha.cert.br/mecanismos/#footnote001

7. https://cartilha.cert.br/mecanismos/#footnote001

8. https://blog.netsupport.com.br/blog/pilares-seguranca-da-informacao/

9. https://www.istoedinheiro.com.br/contas-hackeadas-da-zoom-sao-vendidas-em-mercado-negro-da-internet/

10. https://www.herjavecgroup.com/wp-content/uploads/2019/12/Healthcare-Cybersecurity-Report-2020.pdf