Princípios que devem reger um prontuário único do paciente

Princípios que devem reger um prontuário único do paciente
Jacques Wainer, Carlos José Reis de Campos, Flavio Lichtenstein , Daniel Sigulem
Departamento de Informática em Saúde/UNIFESP
Sumário
Este artigo discute os requisitos de segurança de um Registro Eletrônico de Saúde (RES) central e
único. Os requisitos são baseados em princípios de confidencialidade e integridade bem conhecidos
e princípios menos discutidos de controle e valor legal. O artigo não discute quaisquer soluções
técnicas ou legais aos princípios em si propostos.
Palavras chaves: Segurança, RES, Registro de Saúde, Ética.
I. INTRODUÇÃO
A Internet possibilita a existência de um prontuário único para cada pessoa. Diferentes profissionais
de saúde quanto tratando do paciente, acessam seu prontuário único, e fazem novas anotações que
refletem as decisões e ações desses profissionais em relação ao paciente.
Chamamos esse
prontuário único do paciente de Registro Eletrônico de Saúde (RES).
Existe uma vasta literatura referente à segurança de sistemas de RES. Estes artigos abrangem desde
modelos teóricos em mecanismos de controle de acesso ou criptografia [1] até descrições de
diferentes desenvolvimentos de sistemas [2], descrições de diferentes experiências nacionais [3,4,
27, 28], comparações úteis de diferentes padrões, e guias de condutas para desenvolvimento de
padrões de segurança particulares [5]. Mas, a maioria destes artigos diz respeito, principalmente,
com o aspecto de confidencialidade dos registros: de tal forma que nenhuma parte “não autorizada”
tenha a acesso aos registros. Assim, como discutimos neste artigo, existe um conjunto mais
complexo de requerimentos relativos à integridade, controle e aspectos legais, além de outros
aspectos de um RES integrado.
O RES precisa ser distinguido de um registro computacional dos eventos de saúde do paciente que
é guardado, controlado e mantido por uma única organização de saúde . Denomina-se esta segunda
forma de Prontuário Eletrônico do Paciente (PEP). PEPs são mantidos por uma única
organização de saúde [23, 24, 30] (hospitais, clinicas, etc), e contém dados sobre a saúde do
paciente enquanto sob cuidados desta organização. Desta forma, existem diferentes PEPs para um
particular paciente como: a) num hospital próximo onde ele ou ela se submeteu a uma cirurgia
trivial, b) num hospital distante onde tal paciente foi tratado quanto aos ferimentos ocorridos em um
acidente de carro, c) no consultório do médico de família atual ou passado deste paciente, d) no
consultório de seu dentista atual ou passado, e assim por diante. O cenário de múltiplos PEPs para
cada paciente reflete a situação corrente na maioria das localidades do mundo.
A idéia de um RES único, e acessível por internet foi mencionada muitas vezes na literatura,
algumas vezes sob o nome de Registro de Saúde da Existência ou Registro de Saúde Pessoal, mas
nenhum destes artigos discute os requisitos destes sistemas além da confidencialidade [3,4,6-8].
Neste artigo discute-se os requerimentos de tal sistema de RES num nível conceitual, sem
referência à tecnologia, políticas, ou leis para a aplicação dos mesmos requisitos.
Utiliza-se, além de RES e REP o termo Profissional de Saúde (PS), que inclui todos os tipos de
profissionais que podem ter acesso a um RES de um paciente, incluindo médicos, enfermeiras,
farmacêuticos, nutricionistas, dentistas, psicólogos, profissionais de medicina alternativa entre
outros. Também utilizamos o termo Organização de Saúde (OS) que inclui organizações desde
uma simples clínica profissional até hospitais.
Acreditamos que o ponto central de um RES é o ganho de qualidade e eficiência nos cuidados à
saúde do paciente. As condições de saúde do mesmo e a história completa de sua saúde estão
disponíveis para o PS de forma a assistir no diagnóstico, planejamento terapêutico e cuidados. Esta
assistência pode ser de três formas: prover informações essenciais da saúde do paciente, eficiência
através do reuso dos dados (como de exames laboratoriais anteriores, resultados e laudos), e
melhorias oportunistas em qualidade. Discutiremos estas três formas de assistência brevemente.
Além disto, o RES serve como registro das ações do PS em relação ao paciente e deve ser a única e
definitiva fonte de informação sobre estas ações para propósitos profissionais ou legais. Portanto, se
alguma entidade
profissional ou legal estiver avaliando a competência do PS, o registro das suas
ações armazenados no RES deste paciente devem ser a fonte definitiva de informação.
Este artigo está organizado da seguinte forma: Em “Princípios Gerais” discutimos
confidencialidade, controle, integridade e valores legais e metas de um RES. É importante
mencionar que os princípios gerais de confidencialidade e integridade são bem conhecidos [25] e
bem discutidos na literatura, mas acreditamos que também é importante listar estes juntamente com
outros princípios menos conhecidos e menos discutidos por motivo de completeza. Nas próximas
três sessões discutiremos os sub-princípios relacionados com integridade, confidencialidade e
controle, além do valor legal do RES. Em “Outras Considerações Práticas” discutimos outros
princípios de natureza mais prática, que acreditamos serem também muito importantes. Em
“Pesquisa Relacionada” discutimos alguma literatura referente a estes assuntos, e na sessão final
discutimos alguns assuntos ainda em aberto.
Este artigo não se propõe a dar qualquer solução legal ou técnica para os princípios propostos. Caso
estes princípios sejam aceitos, será como resultado dos esforços de muitos pesquisadores e
programas de pesquisa.
II PRINCÍPIOS GERAIS
Assumem-se os seguintes princípios gerais para o RES, suas exceções e flexibilizações são tratadas
mais adiante:
 Confidencialidade: Os dados do paciente armazenados no RES são privados e
confidenciais; nenhuma pessoa não autorizada pode inspecionar os conteúdos dos
mesmos.
 Controle: O paciente é quem controla o acesso a seus dados no RES. O paciente
deve dar direito de acesso ao PS e revogá-lo quando o tratamento terminar.
 Integridade: A vida do paciente pode depender nos dados contidos no RES e,
portanto, somente pessoas autorizadas podem manipular os mesmos.
 Valor legal: as informações armazenadas no RES do paciente são registros
completos e inalterados com todas as ações tomadas pelos PS’s em relação ao
paciente e deve ser a fonte definitiva de informação sobre essas ações .
Os princípios gerais de confidencialidade, integridade e valor legal serão elaborados a seguir e
discutidos na sessão que se segue. As certezas aqui expressas serão relativizadas assim que
elaboramos os princípios éticos e práticos.
Em termos gerais, confidencialidade e controle são princípios cujo interessado maior é o paciente.
Confidencialidade permite ao paciente a certeza que somente pessoas autorizadas podem ler seus
registros. Controle permite ao paciente dar direito a um PS para ler, e incluir dados no seu RES e
então retirar o acesso quando ele ou ela decidir que o PS não deva mais acessá-los.
Integridade é um um principio cujo maior interessado é o PS - se o profissional não confiar na
veracidade dos fatos registrados no RES, não há razão para usa-lo.
Finalmente, o valor legal é um aspecto muito importante do RES, não secundário, assim como às
vezes é assumido. O RES deve ser a fonte definitiva de informação sobre as ações dos PSs em
relação ao paciente.
III – REGISTROS EM SAÚDE
Registros médicos, especialmente registros baseados em papel, têm um propósito dual: estes
servem como um documento legal que registra as ações dos PSs e das OSs e como um meio de
colaboração escrito entre PSs (no caso do paciente estar sendo tratado por múltiplos PSs) ou como
uma ferramenta de lembrança de um único PS durante o tempo.
Um RES central de longa duração tem outras duas vantagens quando comparado com os registros
em papel. Primeiramente, o RES tem o potencial de melhorar a qualidade das ações e decisões do
PS já que o RES contém todas as informações relevantes da saúde do paciente. Em segundo lugar, o
RES traz o potencial de economia no tratamento do paciente através da reutilização de resultados de
exames, etc.
O mais importante aspecto do RES é que este registra todos os aspectos relevantes da saúde do
paciente incluindo: doença(s) corrente(s), queixa(s) corrente(s), alergias e outras condições de
saúde, medicações que estão sendo utilizadas, entre outras informações. A disponibilidade desses
dados no RES melhora a qualidade dos cuidados do paciente auxiliando o PS a evitar interações
entre drogas reconhecimento de sintomas iatrogênicos, evitando reações alérgicas a drogas, e
assim por diante.
Além do mais, o RES precisa conter todos os resultados de exames laboratoriais. Por exemplo,
no caso do paciente ter recentemente feito um exame de níveis de glicose no sangue que
demonstre níveis normais , se o PS confia no laboratório que fez a analise, e se o exame ainda é
valido, então não há necessidade deste pedir um novo exame.
Por fim, o RES deve conter toda a história da saúde do paciente . Usando as informações
históricas, o PS pode determinar que uma queixa corrente pode ser atribuída a sequelas de uma
doença passada que o paciente já acreditava ter sido curada. Portanto, as decisões do PS podem
ser melhoradas através do uso oportunístico da informação armazenada na história médica do
paciente.
Comparação entre REP e PEP
Um Prontuario Eletrônico do Paciente (PEP) é um registro médico localizado, mantido na forma
eletrônica. Ele é normalmente controlado ou mantido por uma OS, e seu propósito é similar ao
registro médico baseado em papel: como um documento legal e uma ferramenta de lembrança e
colaboração.
A literatura de PEP foca principalmente em confidencialidade. Uma pesquisa no PubMed em
fevereiro de 2007 para a frase "Medical Records Systems, Computerized" entre outras palavras
chaves resultou nos seguintes números de artigos listados na Tabela 1.
Palavra chave
Número de artigos
Nenhum
11,481
Privacidade
758
Confidencialidade
1,408
Disponibilidade
181
Integridade
114
Tabela 1: Resultado da pesquisa no PubMed sobre PEP e palavras chaves relacionadas.
Assume-se que integridade é a responsabilidade dos responsáveis pelo PEP (as organizações de
saúde) e portanto é um requisito obvio. Confidencialidade, como discutido acima, é um requisito
que serve mais ao paciente, e não a OS, e portanto deve ser imposto por meio de legislação ou de
outras formas.
O controle é uma questão irrelevante no PEP: caso o paciente escolha uma OS determinada está
dando implicitamente a esta OS direitos para criar e administrar seu PEP. Mas, é muito duvidoso
como um paciente retira os direitos da OS de manter e acessar seus registros. Pode o paciente pedir
seu prontuário? Pode ou deve uma OS manter uma cópia dos prontuários no caso de um processo
contra a OS?
Claramente todas as OSs estão conscientes sobre os aspectos legais dos registros, especialmente
requisitos tais como a observância das regulações nacionais sobre o armazenamento dos registros.
Mas, além dos requisitos legais de armazenamento dos mesmos, não sabemos sobre as discussões
concernentes aos efeitos do valor legal do PEP nos requisitos do sistema.
IV. QUESTÃO DE INTEGRIDADE
Já mencionada anteriormente, acreditamos que os aspectos de integridade do RES são os de maior
importância para seus propósitos, que é de prover informações seguras de forma a melhorar a
qualidade do cuidado, a possibilidade de economia e a possibilidade de um ganho oportunístico de
qualidade. Mas, de maneira a utilizar a informação, o PS precisa acreditar que esta está correta,
completa e atualizada.
O princípio geral de integridade é que nenhuma pessoa “não autorizada” possa ser capaz de
adicionar, remover, ou mudar qualquer dado no RES . Além de integridade, os princípios seguintes
estão intimamente relacionados:
Princípio 1: Disponibilidade. O RES precisa estar disponível quando o PS dele precisar. È
necessário todo o cuidado em fazer o sistema robusto e redundante
Princípio 2: Atualidade. O RES precisa conter todas as últimas informações relevantes sobre a
saúde do paciente, de tal forma que não possa haver quaisquer atrasos significantes entre a entrada
dos dados no registro e o momento deste se tornar disponível para diferentes PSs. Caso um PS
prescreva algum medicamento a um paciente, a informação precisa ser incluída no RES o mais
rápido possível, de tal forma que caso o paciente logo a seguir consulte algum outro OS, esta
informação deve estar disponível
Princípio 3: Usabilidade. Embora usabilidade não seja uma característica da integridade, ela
também se faz central para o correto uso do RES: um PS não deve precisar ler todos os dado do
paciente para descobrir , por exemplo, que este tem uma alergia a novocaína que fora diagnosticada
15 anos atrás durante uma consulta odontológica. Todas as condições relevantes de saúde
correntes, incluso alergias, precisam estar facilmente acessíveis e oferecidas de uma maneira clara
ao PS. Facilidades de pesquisa também precisam ser providas de forma a permitir ao PS localizar
um dado específico no registro do paciente.
V. QUESISTOS DE CONFIDENCIALIDADE E CONTROLE
A confidencialidade define que o paciente pode esperar que nenhuma parte “não autorizada”
venha a ter condições de ler os seus registros médicos. Portanto, o armazenamento e transmissão de
um RES devem ser resguardados por medidas de segurança que previnam espionagem.
O controle define que o paciente pode decidir quem deve ter acesso a seus registros e quando este
acesso deve ser retirado. O paciente concede direitos de acesso sobre seu RES a um PS por uma
duração limitada, mas não predefinida. Enquanto este PS estiver tratando o paciente este poderá
acessá-lo, mas assim que o tratamento se encerrar, o acesso deste PS aos registros é fechado.
Isto leva à interessante questão sobre o encerramento do tratamento. No caso de hospitalizações
existem atividades que marcam o fim do tratamento, mas em outros casos isto não fica claro.
Torna-se evidente que o paciente deva decidir que o tratamento acabou porque ele ou ela não
planeja mais se consultar com este PS. Neste caso, deve existir um modo que o paciente retire o
acesso do PS a seu RES sem sua presença no consultório.
Outra alternativa parcial é a de dar permissão de acesso somente durante a consulta. Mas isto
prevenir o acesso do PS aos resultados de exames que serão registrados no RES pelo laboratório
logo após a consulta. Isto também previne que o PS discuta o caso com colegas, e assim por diante.
Princípio 4: Sem direito de acesso do paciente. O paciente não tem o direito de ler ou mudar o
RES; o paciente pode somente delegar direitos de acesso de seus registros ao PS ou OS. Nós
acreditamos que o RES é um meio de comunicação entre PS's e é responsabilidade ética e
profissional dos PS de mediar o acesso do paciente à informação contida no seu RES.
Este princípio é controverso, pois vai contra os requisitos aceitos regularmente sobre os registros
médicos eletrônicos. Por exemplo, este princípio viola os Princípios de Acesso do Código de Ética
da IMIA para Informações de Saúde de Profissionais:
O sujeito relativo a um registro eletrônico de saúde tem o direito de acessar tal registro e o direito
de corrigi-lo com respeito a sua acuracidade, completude e relevância[9].
Nós acreditamos que o direito de corrigir os registros, como afirmado no Princípio de Acesso da
IMIA, está mal formulada e viola tanto o valor legal e especialmente os requisitos de integridade do
registro. Por exemplo, pode um paciente com a síndrome de Munchausen (“a fabricação repetida de
doenças físicas – normalmente aguda, dramática e convincente – como um paciente que anda de
hospital em hospital em busca de um tratamento” [10]) ter o direito de corrigir seus registros em
prol de completude e relevância?
Dar a permissão ao paciente somente de ler seu registro também nos parece problemático. Pode um
paciente com uma psique frágil ser capaz de ler o que seu médico está considerando uma doença
séria e degenerativa como hipótese diagnóstica? Pode o paciente ler em seus registros que ele está
tomando placebo para suas queixas psicossomáticas? Nós acreditamos que é da responsabilidade
ética e profissional do PS escolher o que e como informar seus pacientes. Alguns profissionais
podem escolher revelar toda a informação a seus paciente, alguns podem escolher o contrário, mas
é de responsabilidade profissional do PS a tomada desta decisão.
Nós não discordamos que na maioria dos casos é provavelmente benéfico ao paciente que este
tenha acesso a seus registros, mas esta é uma decisão profissional do PS, para a qual este
profissional deva responder ética, profissional e legalmente.
Princípio 5: Acesso em emergência. Existem situações práticas nas quais um PS pode acessar os
registros de um paciente sem a sua autorização prévia. Isto é particularmente claro em emergências:
se o paciente chega a um pronto socorro inconsciente, ou inabilitado de permitir acesso a seu
registro, o PS responsável deverá ter acesso ao registro.
Princípio 6: Aceitação implícita da estrutura da OS. Ao permitir acesso a seu RES à OS ou ao
PS, o paciente implicitamente aceita todas as delegações de acessos que existam no local, na OS, ou
qualquer delegações de acesso que o PS assim definir. A OS e o PS podem ser criticados ou até
punidos por suas delegações, depois do fato, mas o paciente não pode controlar quem dentro da OS
tem acesso, ou que tipo de acesso, relativo a seu RES.
Princípio 7: Acesso limitado a leitura para saúde pública, organizações judiciárias e entidades
profissionais. Algumas organizações judiciárias, de saúde pública ou entidades profissionais
podem ter acesso de leitura limitado, de forma anônima ao RES sem a aprovação do paciente
Caso uma OS ou PS esteja sendo investigada pela policia, ou esta sendo avaliada por uma entidade
de classe, estes grupos podem ter acesso de leitura, de forma anônima, a segmentos dos registros do
paciente referentes às decisões e ações dos PS's (ou OS’s), independentemente da aprovação dos
pacientes.
VI. VALOR LEGAL
Como foi discutido anteriormente, qualquer registro médico tem um propósito dual: como registro
de dados do paciente e como registro das ações do PS's em relação ao paciente. O valor legal do
RES diz respeito a este segundo aspecto: quando desafiado num contexto legal, o PS precisa ser
capaz de utilizar partes do RES de forma a justificar suas decisões e ações. Desta forma, no
contexto legal apropriado, deve ser possível acessar uma dada ação de um PS gravada no RES do
paciente, independente da vontade do paciente sobre este assunto.
Princípio 8: Incrementabilidade. O RES precisa ser incremental, ou seja, as informações não
podem ser removidas ou alteradas de um registro, somente adicionadas
É claro que precisa
haver um mecanismo para adicionar correções às informações já presentes na forma de adendos.
Quando os dados forem apresentados ao PS, o sistema deve mostrar somente a versão correta dos
dados, mas como discutido anteriormente, o dado incorreto precisa ser mantido, assim como sua
correção, quem o fez e quando.
Princípio 9: Não repudiabilidade. Um PS não pode negar que fez uma entrada de dados no RES
de um paciente. Este é um requerimento importante para preservar o valor legal do registro - caso o
registro afirme que um PS decidiu por uma dada terapia ou definiu um particular diagnóstico, o PS
não poderá negar tal registro.
Princípio 10: Delegações explícitas. Dentro de uma OS diferentes profissionais entram diferentes
dados no RES de um paciente. A identidade das pessoas que entraram as informações, o PS que
delegou este direito a esta outra pessoa, etc, devem estar armazenados no RES.
Princípio 11: Possibilidade de recuperação do estado em momentos específicos. De maneira a
verificar a qualidade das ações e decisões dos PSs, é necessário recuperar o estado RES no
particular momento quando o PS estava tomando as decisões e as ações sob avaliação. Portanto, o
sistema precisa ser capaz de mostrar partes do RES naquele tempo, sem as correções e os dados
gravados em momentos posteriores.
VII. OUTRAS CONSIDERAÇÕES PRÁTICAS
Princípio 12: Unicidade do RES. O único lugar no qual o PS deve entrar dados, decisões e ações
sobre o paciente é o RES.
Caso o PS necessite registrar informações sobre suas ações em algum outro documento ou sistema
, existe um risco que o RES acabe incompleto Por exemplo, caso uma farmácia hospitalar não
esteja conectada ao sistema de RES o PS terá que entrar as prescrições duas vezes, no RES e no
sistema de farmácia do hospital. Esta dualidade de registros irá provavelmente resultar em uma
incompletude do RES pois haverá casos nos quais o PS só entrará a prescrição de medicamentos no
sistema hospitalar e não no RES.
Princípio 13: Direitos sobre o registro no seu próprio trabalho. O PS e a OS devem ter acesso
de leitura a uma cópia anônima do segmento do RES que reflete suas ações e até se estes não
tiverem mais direitos de acesso ao RES.
Este princípio segue do princípio da unicidade . Os PSs e as OSs têm usos legítimos para as
informações que eles entraram no RES, incluindo, pagamentos, pesquisa e controle de qualidade.
O PS e a OS devem ser capazes de extrair os segmentos apropriados que refletem suas ações no
RES do paciente, ao invés de manter uma segunda ou terceira cópia pare estes propósitos (que
violaria o principio de unicidade).
Infelizmente, os três legítimos usos para com a informação do paciente listados acima têm
requisitos distintos relativos ao conteúdo do RES. As cópias para pesquisa e controle de qualidade
devem ser anônimas, isto é não precisam da identificação do paciente, mas devem conter
informações prévias suficientes de tal forma que alguém possa julgar a qualidade das ações
realizadas ou ao menos considerar estas ações em diferentes contextos. No que se refere ao
faturamento, entretanto, é necessário a identificação do paciente, mas não informações prévias
sobre o paciente. Logo, deve-se tomar cuidado ao evitar a ligação entre ambas as cópias porque
podem revelar muita informação sobre o paciente.
Princípio 14: Longo tempo de armazenagem. O RES precisa durar ao menos enquanto o paciente
viver e possivelmente além da vido do paciente. Tal fato impõe restrições importantes no
armazenamento dos dados. Os dados precisam estar aptos à leitura após décadas de sua
armazenagem. Mais revelante que a habilidade de ler os dados, são as assinaturas digitais que
certificam a integridade e origem dos dados - elas precisam se manter válidas no período
correspondente, de tal forma que os dados gravados e assinados digitalmente possam ser
verificados décadas depois.
Princípio 15: Múltiplos pontos de entradas. Não se deve assumir que o paciente tenha um único
PS ou um único ponto de entrada de dados no RES. O paciente pode se consultar com diferentes
PS's em paralelo e em diferentes OSs.
As conseqüências do princípio dos múltiplos pontos de entrada é que o RES não pode ser mantido
sob custódia por uma única OS. Mesmo que o paciente seja admitido a um hospital, é possível que
este paciente dê o direito de acesso aos registros de um PS privado durante sua estadia.
Princípio 16. Capacidade de troca de senhas e chaves. Não é racional pensar que um paciente irá
lembrar de sua senha ou manter um único cartão inteligente durante toda sua vida. Precisa existir
um mecanismo gerador de novas senhas ou chaves para o paciente (uma vez que sua identidade
tenha sido estabelecida com a certeza apropriada). Mesmo que o mecanismo de identificação seja
baseado em dados biométricos, alguns dados biométricos podem mudar com o tempo.
VIII. PESQUISA RELACIONADA
Um artigo de Buckovich et al. [11], que expressa similares preocupações ao nosso, lista 28
princípios a respeito de registros médicos eletrônicos, compilados de 10 documentos de políticas e
de organizações dos EUA (tais como o Conselho de Pesquisa Nacional), e faz uma revisão
comparativa entre os diferentes conjuntos de princípios. O princípio 12 em seu artigo afirma,
Os provedores de cuidados em saúde têm o direito de manter registros privados de observações,
opiniões e impressões cuja liberação estes consideram poder ser potencialmente danosa ao bom
estado do paciente. Eles não devem divulgar esta informação sem um trabalho de reflexão do
impacto de tal liberação.
Este princípio é particularmente relevante a nosso trabalho uma vez que é parte de nossa
justificação de negar o direito de acesso aos pacientes, que por sua vez contradizem os princípios 2,
3 e 4 (o direito de acesso, o direito de cópia, e o direito de corrigir ou revisar um de seus registros)
do mesmo artigo. O princípio 12 é também nossa justificação para com o direito dos PS's e as OS’s
de copiar registros no seus próprio trabalho.
Um artigo de Ross e Lin [12] faz revisão da literatura para com os benefícios que os pacientes têm
de ler seus próprios registros e conclui que apesar dos estudos serem de qualidade limitada, eles
mostram “melhorias modestas na comunicação paciente-médico, adesão ao tratamento, e educação
do paciente”. O estudo também aponta problemas de aumento de ansiedade quando registros
psiquiátricos são disponibilizados aos pacientes. Um artigo de Staroselsky et al.[13] reporta os
benefícios de prover acesso à leitura e e limitado acesso à escrita ao RES do paciente em termos de
acuracidade dos dados e conformidade com os tratamentos. Um artigo de Powell et al.[14]
apresenta uma investigação de 31 pacientes sobre quais informações médicas eles não desejam
colocar no RES, que incluía matérias sobre gravidez, contraceptivos, saúde sexual e saúde mental.
Também são relevantes os achados que alguns pacientes revelaram informações que suas crenças
estavam incorretas sobre eles nos registros médicos, mas outras informações foram encontradas na
forma correta (isto é, correspondiam ao que o médico se propôs a registrar). Estes achados dão
consistência a nossos argumentos de que o paciente não precisa ter acesso de escrita aos seus
próprios registros.
Para nossa surpresa, achamos que nossa visão de não dar direito de acesso a seus próprios registros
de saúde não é contraditório às legislações nacionais tanto dos EUA como do Reino Unido. Por
exemplo, a HIPAA, relativo aos direitos do paciente em acessar seus registros médicos, permite ao
provedor de cuidados de saúde em não concordar na liberação da informação ao paciente, caso “um
profissional de cuidados em saúde licenciado, em exercício de seu julgamento profissional,
determine que seja possível racionalmente que o acesso à informação requerida possa colocar em
perigo a vida ou a segurança física do consumidor ou outra pessoa"[15]. Além do mais, a HIPAA
não inclui notas psicoterapêuticas como um documento médico para as quais o paciente pode ter
acesso. No Reino Unido o acesso aos registros de saúde [16] está muito perto desta visão: “Casos
onde o direito de acesso pode ser parcialmente excluído: 1) o acesso não deve ser concedido sobre a
seção “3”, 2) acima de qualquer parte do registro de saúde a) que, na opinião do mantenedor do
registro, deverá revelar i) informação que provavelmente cause sérios prejuízos à saúde física e
mental do paciente ou de qualquer outro indivíduo”.
Verity and Nicoll[17] descrevem a tensão entre confidencialidade do REP e o interesse da
vigilância em saúde pública, e demonstram que existem múltiplos EPR’s para cada paciente. Logo,
tornar os registros anônimos torna-se uma problemática por causa da duplicação dos dados para uso
secundário. Na nossa proposição de um único RES centralizado, estas preocupações tornam-se
menos problemáticas.
Uma abordagem diferente a uma RES único e central é de ter REP’s que permitam
interoperabilidade de dados (como o Projeto de RES Nacional da Holand [27]) . Existem diversos
artigos que discutem a necessidade de padrões para troca e compartilhamento de REP’s através de
diferentes organizações e países[4,18,24].
Outros artigos de pesquisas discutem diferentes técnicas e aspectos relevantes aos tópicos
abordados neste documento. Pharow e Blobel [19] discutem o tópico relativo à armazenagem de
longa duração e seu impacto com relação às assinaturas digitais no RES. Behlen e Johnson[20] e
Quantin et al.[21] discutem assuntos e técnicas de anonimização dos registros médicos. Finalmente,
para nosso conhecimento Bakker [22] foi o primeiro a revelar o requisito de recuperação em
momentos específicos, mas o artigo discute a dificuldade em implementar este requisito uma vez
que um RES é somente um conjunto de ponteiros (ou ligações) para com dados e processos de
uma específica OS.
IX. ASSUNTOS EM ABERTO
Uma gama grande de assuntos não está presente neste artigo. Primeiro, nós não propusemos
qualquer desenvolvimento ou solução técnica de requisitos de segurança aqui. Tais soluções
certamente irão envolver técnicas complexas de criptografia, servidores centrais certificados,
procedimentos operacionais em OS’s e legislação a nível nacional . Nós também não discutimos o
conteúdo do RES nem por quanto tempo os dados devem permanecer disponíveis.
Mas, acreditamos que algumas das questões éticas aqui abordadas gerarão discussões futuras. Uma
delas é quando o paciente pode solicitar que certa informação se torne privada e não fique
disponível para outros PS's. O paciente pode contar a um dado PS alguma informação porque ele
confia neste PS e acredita que o mesmo pode realizar o uso apropriado das informações para seu
benefício. Mas, o paciente pode não confiar no sistema de saúde inteiro e, portanto, poder desejar
que tal informação permaneça indisponível para outros PS's autorizados.
Um outro tópico ético complexo é o da ligação entre diferentes REP’s. Claramente há muitas
situações nas quais se conhecendo as condições de saúde dos parentes dos pacientes ou de seu
parceiro chega-se a uma melhoria dos cuidados do mesmo. Entretanto, o parceiro ou parentes
podem não ter dados direito de acesso de seus registros ao PS.
REFERENCIAS
[1]
Chandramouli R. A framework for multiple authorization types in a healthcare application
system. In: 17th Annual Computer Security Applications Conference (ACSAC ’01). Washington
(DC): IEEE Computer Society; 2001. p. 137.
[2]
Blobel B, Pharow P, Spiegel V, Engel K, Engelbrecht R. Securing interoperability between
chip card based medical information systems and health networks. Int J Med Inform. 2001 Dec;
64(2-3):401-15. PMID: 11734401
[3]
Bernstein K, Bruun-Rasmussen M, Vingtoft S, Andersen SK, Nøhr C. Modelling and
implementing electronic health records in Denmark. Int J Med Inform. 2005 Mar;74(2-4):213-20.
PMID: 15694627
[4]
Mohan J, Razali Raja Yaacob R. The Malaysian Telehealth Flagship Application: a national
approach to health data protection and utilisation and consumer rights. Int J Med Inform.
2004;73(3):217–27. PMID: 15066550
[5]
Blobel B. Authorisation and access control for electronic health record systems. Int J Med
Inform. 2004 Mar 31;73(3):251-7. PMID: 15066555
[6]
Beun JG. Electronic healthcare record; a way to empower the patient. Int J Med Inform.
2003 Mar;69(2-3):191-6. PMID: 12810123
[7]
Kim MI, Johnson KB. Personal health records: evaluation of functionality and utility. J Am
Med Inform Assoc. 2002 Mar-Apr;9(2):171-80. PMID: 11861632
[8]
Iakovidis I. Towards a health telematics infrastructure in the European Union. Stud Health
Technol Inform. 2000;76:23-33. PMID: 10947498
[9]
IMIA. International Medical Informatics Association code of ethics for health information
professionals. http://www.imia.org/English_code_of_ethics.html (accessed November 2007)
[10]
Beers MH, Berkow R, editors. Psychiatry in medicine. In: The Merck manual of diagnosis
and therapy. 17th ed. Whitehouse Station (NJ): Merck and Co., Inc.; 2005. ch. 185.
[11]
Buckovich SA, Rippen HE, Rozen MJ. Driving toward guiding principles: a goal for
privacy, confidentiality, and security of health information. J Am Med Inform Assoc. 1999
Mar-Apr;6(2):122-33. PMID: 10094065
[12]
Ross SE, Lin CT. The effects of promoting patient access to medical records: a review. J
Am Med Inform Assoc. 2003 May-Jun;10(3):294. PMID: 12595402
[13]
Staroselsky M, Volk LA, Tsurikova R, Pizziferri L, Lippincott M, Wald J, et al. Int J Med
Inform. 2006 Oct-Nov;75(10-11):693-700. Epub 2005 Dec 9. PMID: 16338169
[14]
Powell J, Fitton R, Fitton C. Sharing electronic health records: the patient view. Inform Prim
Care. 2006;14(1):55-7. PMID: 16848967
[15]
Sonya Schartz. Rights to Access Medical Records Under the HIPAA Privacy Regulation.
Health Assistance Partnership. Washington, DC. 2003. (available at
http://www.hapnetwork.org/medicare/HIPAA_Resource_Center.html - accessed November 2007)
[16]
Office of Public Sector Information. Access to Health Record Act 1990 (c. 23). (available at
http://www.opsi.gov.uk/acts/acts1990/ukpga_19900023_en_1#pb2-l1g3 - accessed November
2007)
[17]
Verity C, Nicoll A. Consent, confidentiality, and the threat to public health surveillance.
BMJ. 2002 May 18;324(7347):1210-3. PMID: 12016192
[18]
Espinosa AL. Availability of health data: requirements and solutions. Int J Med Inform.
1998 Mar;49(1):97-104. PMID: 9723807
[19]
Pharow P, Blobel B. Electronic signatures for long-lasting storage purposes in electronic
archives. Int J Med Inform. 2005 Mar;74(2-4):279-87. PMID: 15694634
[20]
Behlen FM, Johnson SB. Multicenter patient records research: security policies and tools. J
Am Med Inform Assoc. 1999 Nov-Dec;6(6):435-43. PMID: 10579601
[21]
Quantin C, Allaert FA, Dusserre L. Anonymous statistical methods versus cryptographic
methods in epidemiology. Int J Med Inform. 2000 Nov;60(2):177-83. PMID: 11156739
[22]
Bakker A.; Access to EHR and access control at a moment in the past: a discussion of the
need and an exploration of the consequences. Int J Med Inform. 2004 Mar 31;73(3):267-70. PMID:
15066557
[23]
Healthcare Informatics Online, EHR vs. CPR vs. EMR, Whatever you call it, the vision is of
superior care through uniform, accessible health records; C. Peter Waegemann; May 2003;
http://www.providersedge.com/ehdocs/ehr_articles/EHR_vs_CPR_vs_EMR.pdf
[24]
A Health Information Network for Australia - Report to Health Ministers by the National
Electronic Health Records Taskforce July 2000; Smallwood R.;
http://www.health.gov.au/internet/hconnect/publishing.nsf/Content/7746B10691FA666CCA25712
8007B7EAF/$File/ehrrept.pdf
[25]
Ethics, Computing and Medicine – informatics and transformation of health care; Goodman
K.W.; Cambridge University Press; 1998
[26]
Comparison of Methodologies for Calculating Quality Measures Based on Administrative
Data versus Clinical Data from an Electronic Health Record System: Implications for Performance
Measures; J Am Med Inform Assoc. 2007;14:10 –15; Tang P.C., Ralston M.; Arrigotti M.F.,
Qureshi L, Graham J,; Palo Alto Medical Foundation San Francisco, CA
[27]
Implementing an electronic health record in the Netherlands: pitfalls and challenges; 2005
Albert de Roos; http://albertderoos.nl/?p=105
[28] Advanced Health Telematics and Telemedicine: The Magdeburg Expert Summit Textbook;
Editors Blobel B., Pharow P.; IOS Press; 2003;
http://books.google.com/books?hl=pt-BR&lr=&id=Ckg9elyyAT0C&oi=fnd&pg=PA15&dq=hollan
d+health+ehr&ots=TeFY5V-WnP&sig=q-zRev-PUjf5NAy5EjHPwtPdeOw#PPA5,M1
[29] Patients like me - http://www.patientslikeme.com/;
http://blog.patientslikeme.com/tag/paul-wicks/
[30]
A Healthy Revolution; Roberts A.;
http://www.infoloom.com/gcaconfs/WEB/granada99/roba.HTM; ultimo acesso julho/2007