Princípios que devem reger um registro único do paciente Jacques Wainer, Carlos José Reis de Campos, Flavio Lichtenstein , Daniel Sigulem Departamento de Informática em Saúde/UNIFESP Sumário Este artigo discute os requisitos de segurança de um Registro Eletrônico de Saúde (RES) central e único. Os requisitos são baseados em princípios de confidencialidade e integridade bem conhecidos e princípios menos discutidos de controle e valor legal. O artigo não discute quaisquer soluções técnicas ou legais aos princípios propostos. Palavras chaves: Segurança, RES, Registro Eletrônico de Saúde, Ética, Prontuário Eletrônico do Paciente Abstract This paper discusses the security requirements of a unique and centralized Electronic Health Record (EHR). The requirements are based on the well known principles of confidentiality and integrity, but also on the less discussed principles of control and legal value. This paper does not discuss or propose any technical or legal solutions to the problems proposed herein. Key words: Security, Electronic Health Record, Ethics, Electronic Patient Record. 1 INTRODUÇÃO A Internet possibilita a existência de um prontuário único para cada pessoa. Diferentes profissionais de saúde quanto tratando de um paciente acessariam o mesmo prontuário único desse paciente, e fariam novas anotações que refletiriam as decisões e ações desses profissionais em relação ao paciente. Chamamos esse prontuário único e central do paciente de Registro Eletrônico de Saúde (RES). Existe uma vasta literatura referente à segurança de sistemas de RES. Esses artigos abrangem desde modelos teóricos em mecanismos de controle de acesso ou criptografia [1] até descrições de diferentes desenvolvimentos de sistemas [2], descrições de diferentes experiências nacionais [3,4, 26, 27], comparações de diferentes padrões, e guias de condutas para desenvolvimento de padrões de segurança particulares [5]. Mas a maioria desses artigos diz respeito, principalmente, ao aspecto de confidencialidade dos registros: a garantia que nenhuma parte “não autorizada” tenha acesso aos registros. Como discutiremos neste artigo, existe um conjunto mais complexo de requisitos relativos à integridade, controle e aspectos legais, além de outros aspectos de um RES integrado. O RES precisa ser distinguido de um registro computacional dos eventos de saúde do paciente que é guardado, controlado e mantido por cada organização de saúde. Denomina-se essa segunda forma de Prontuário Eletrônico do Paciente (PEP). PEPs são mantidos por uma organização de saúde [23, 24, 28] (hospitais, clinicas, etc), e contém dados sobre a saúde do paciente enquanto sob cuidados daquela organização. Dessa forma, existem diferentes PEPs para um particular paciente como por exemplo a) num hospital próximo onde ele ou ela se submeteu a uma cirurgia eletiva, b) num hospital distante onde tal paciente foi tratado quanto aos ferimentos ocorridos em um acidente de carro, c) em todos os consultórios dos médicos de família atual e passados deste paciente, d) em todos os consultórios de seus dentistas, atual e passados, e assim por diante. O cenário de múltiplos PEPs para cada paciente reflete a situação corrente na maioria das localidades do mundo. A idéia de um RES único, e acessível por Internet foi mencionada muitas vezes na literatura, algumas vezes sob o nome de Registro Único de Saúde ou Registro de Saúde Pessoal, mas nenhum desses artigos discute os requisitos desses sistemas além da confidencialidade [3,4,6-8]. No caso brasileiro, o Cartão Nacional de Saúde (CNS), pode ser considerado como um primórdio de um RES brasileiro. Ao que parece, o principal objetivo do cartão era a possibilidade de um cadastro único de paciente, mas em alguns documentos sobre o CNS fala-se me registro clínico dos dados do paciente (queixas, diagnósticos, procedimentos aplicados, e medicamentos prescritos) [29]. Finalmente, iniciativas recentes como o Google Health[30] e Microsoft Healtvault[31] podem também ser vistas como iniciativas de RES mantido por organizações particulares. Neste artigo, utiliza-se, além de RES e PEP o termo Profissional de Saúde (PS), que inclui todos os tipos de profissionais que podem ter acesso a um RES de um paciente, incluindo médicos, enfermeiras, farmacêuticos, nutricionistas, dentistas, psicólogos, profissionais de medicina alternativa, entre outros. Também utilizamos o termo Organização de Saúde (OS) que inclui organizações desde uma simples clínica profissional até hospitais. Acreditamos que o ponto central de um RES é o ganho de qualidade e eficiência nos cuidados à saúde do paciente. As condições de saúde do paciente e a história completa de sua saúde estão disponíveis para o PS de forma a assistir no diagnóstico, planejamento terapêutico e cuidados. A contribuição do RES pode ser de três formas: prover informações essenciais da saúde do paciente, eficiência através do reuso dos dados (como de exames laboratoriais anteriores, resultados e laudos), e melhorias oportunistas em qualidade. Discutiremos essas três formas de assistência brevemente. Além disto, o RES serve como registro das ações do PS em relação ao paciente e deve ser a única e definitiva fonte de informação sobre essas ações para propósitos profissionais ou legais. Portanto, se alguma entidade profissional ou legal estiver avaliando a competência do PS, o registro das suas ações armazenadas no RES do paciente devem ser a fonte definitiva dessa informação. Este artigo está organizado da seguinte forma: Em “Princípios Gerais” discutimos confidencialidade, controle, integridade e valores legais e metas de um RES. É importante mencionar que os princípios gerais de confidencialidade e integridade são bem conhecidos [25] e bem discutidos na literatura, mas acreditamos que também é importante listar esses juntamente com outros princípios menos conhecidos e menos discutidos por motivo de completeza. Nas próximas três sessões discutiremos os sub-princípios relacionados com integridade, confidencialidade e controle, além do valor legal do RES. Em “Outras Considerações Práticas” discutimos outros princípios de natureza mais prática, que acreditamos serem também muito importantes. Em “Pesquisas Relacionadas” discutimos alguma literatura referente a esses assuntos, e na sessão final discutimos alguns assuntos ainda em aberto. Este artigo não se propõe a dar qualquer solução legal ou técnica para os princípios propostos. Caso esses princípios sejam aceitos, a implementação desses princípios em sistemas reais se dará como resultado dos esforços de muitos pesquisadores e programas de pesquisa. 2 PRINCÍPIOS GERAIS Assumem-se os seguintes princípios gerais para o RES, suas exceções e flexibilizações são tratadas mais adiante: ● Confidencialidade: Os dados do paciente armazenados no RES são privados e confidenciais; nenhuma pessoa não autorizada pode inspecionar os conteúdos dos mesmos. ● Controle: O paciente é quem controla o acesso a seus dados no RES. O paciente deve dar direito de acesso ao PS e revogá-lo quando o tratamento terminar. ● Integridade: A vida do paciente pode depender dos dados contidos no RES e, portanto, somente pessoas autorizadas podem manipular os mesmos. ● Valor legal: As informações armazenadas no RES do paciente são os registros completos e inalterados com todas as ações tomadas pelos PSs em relação ao paciente e deve ser a fonte definitiva de informação sobre essas ações . Os princípios gerais de confidencialidade, integridade e valor legal serão elaborados a seguir e discutidos na sessão que se segue. Em termos gerais, confidencialidade e controle são princípios cujo interessado maior é o paciente. Confidencialidade permite ao paciente a certeza que somente pessoas autorizadas podem ler seus registros. Controle permite ao paciente dar direito a um PS para ler, e incluir dados no seu RES e , então, retirar o acesso quando ele ou ela decidir que o PS não deve mais acessá-los. Integridade é um princípio cujo maior interessado é o PS - se o profissional não confiar na veracidade dos fatos registrados no RES, não há razão para usá-lo. Finalmente, o valor legal é um aspecto muito importante do RES, e não secundário como às vezes é assumido. O RES deve ser a fonte definitiva de informação sobre as ações dos PSs em relação ao paciente. 3 REGISTROS EM SAÚDE Registros médicos, especialmente registros baseados em papel, têm um propósito dual: esses servem como um documento legal que registra as ações dos PSs e das OSs e como um meio de colaboração escrito entre PSs (no caso do paciente estar sendo tratado por múltiplos PSs) ou como uma ferramenta de lembrança de um único PS durante o tempo. Um RES central de longa duração tem outras duas vantagens quando comparado com os registros em papel. Primeiramente, o RES tem o potencial de melhorar a qualidade das ações e decisões do PS já que o RES contém todas as informações relevantes da saúde do paciente. Em segundo lugar, o RES traz o potencial de economia no tratamento do paciente através da reutilização de resultados de exames, etc. O mais importante aspecto do RES é que este registra tudo que for relevante sobre a saúde do paciente incluindo: doença(s) corrente(s), queixa(s) corrente(s), alergias e outras condições de saúde, medicações que estão sendo utilizadas, entre outras informações. A disponibilidade desses dados no RES melhora a qualidade dos cuidados do paciente auxiliando o PS a evitar interações entre drogas, reconhecimento de sintomas iatrogênicos, evitando reações alérgicas a drogas, e assim por diante. Além do mais, o RES precisa conter todos os resultados de exames laboratoriais. Por exemplo, no caso do paciente ter recentemente feito um exame de níveis de glicose no sangue que demonstre níveis normais, se o PS confia no laboratório que fez a análise, e se o exame ainda é válido, então não há necessidade deste pedir um novo exame. Por fim, o RES deve conter toda a história da saúde do paciente. Usando as informações históricas, o PS pode determinar que uma queixa corrente pode ser atribuída a seqüelas de uma doença passada que o paciente já acreditava ter sido curada. Ou que os valores de um exame laboratorial recem feito, embora altos, não são muito diferentes da serie histórica desse paciente e que portanto provavelmente não são explicativos da queixa atual. Portanto, as decisões do PS podem ser melhoradas através do uso oportuno da informação armazenada na história médica do paciente. 3.1 Comparação entre REP e PEP Um Prontuário Eletrônico do Paciente (PEP) é um registro médico localizado, mantido na forma eletrônica. Ele é normalmente controlado ou mantido por uma OS, e seu propósito é similar ao registro médico baseado em papel: como um documento legal e uma ferramenta de lembrança e colaboração. A literatura de PEP foca principalmente em confidencialidade. Uma pesquisa no PubMed em fevereiro de 2007 para a frase "Medical Records Systems,Computerized" entre outras palavras chaves resultou nos seguintes números de artigos listados na Tabela 1. Palavra chave Nenhum Privacidade Confidencialidade Disponibilidade Número de artigos 11,481 758 1,408 181 Integridade 114 Tabela 1: Resultado da pesquisa no PubMed sobre PEP e palavras chaves relacionadas. Assume-se que integridade é responsabilidade dos responsáveis pelo PEP (as organizações de saúde) e, portanto, é um requisito óbvio. Confidencialidade, como discutido acima, é um requisito que serve mais ao paciente, e não a OS, e, portanto, deve ser imposto por meio de legislação ou de outras formas. O controle é uma questão irrelevante no PEP: caso o paciente escolha uma OS determinada está dando implicitamente a OS direitos para criar e administrar seu PEP. Mas, é muito duvidoso como um paciente retira os direitos da OS de manter e acessar seus registros. O paciente pode pedir seu prontuário? Pode ou deve uma OS manter uma cópia dos prontuários no caso de um processo contra a OS? Claramente todas as OSs estão cientes dos aspectos legais referente aos registros de saúde, especialmente requisitos tais como a observância das regulações nacionais sobre o armazenamento dos registros. Mas, além dos requisitos legais de armazenamento, até onde sabemos, não há discussões concernentes aos efeitos do valor legal do PEP nos requisitos do sistema. 4 INTEGRIDADE Acreditamos que os aspectos de integridade do RES são os de maior importância para seus propósitos, que é de prover informações seguras de forma a melhorar a qualidade do cuidado, a possibilidade de economia e a possibilidade de um ganho oportunístico de qualidade. Mas, para utilizar a informação o PS precisa acreditar que esta está correta, completa e atualizada. O princípio geral de integridade dita que nenhuma pessoa “não autorizada” possa ser capaz de adicionar, remover, ou mudar qualquer dado no RES. Além de integridade, os princípios seguintes estão intimamente relacionados: Princípio 1: Disponibilidade. O RES precisa estar disponível quando o PS dele precisar. É necessário todo o cuidado em fazer o sistema robusto e redundante. Princípio 2: Atualidade. O RES precisa conter todas as últimas informações relevantes sobre a saúde do paciente, de tal forma que não deve haver quaisquer atrasos significativos entre a entrada dos dados no registro e o momento deste se tornar disponível para diferentes PSs. Caso um PS prescreva algum medicamento a um paciente, a informação precisa ser incluída no RES o mais rápido possível, de tal forma que caso o paciente logo a seguir consulte algum outro OS, essa informação deverá estar disponível. Princípio 3: Usabilidade. Embora usabilidade não seja uma característica da integridade, ela também se faz central para o correto uso do RES: um PS não deve precisar ler todos os dado do paciente para descobrir , por exemplo, que este tem uma alergia a novocaína que foi diagnosticada 15 anos atrás durante uma consulta odontológica. Todas as condições relevantes de saúde correntes, incluso alergias, precisam estar facilmente acessíveis e oferecidas de uma maneira clara ao PS. Facilidades de pesquisa também precisam ser providas de forma a permitir ao PS localizar um dado específico no registro do paciente. 5 CONFIDENCIALIDADE E CONTROLE A confidencialidade define que o paciente pode esperar que nenhuma parte “não autorizada” venha a ter condições de ler os seus registros médicos. Portanto, o armazenamento e transmissão de um RES devem ser resguardados por medidas de segurança que previnam espionagem. O controle define que o paciente pode decidir quem deve ter acesso a seus registros e quando esse acesso deve ser retirado. O paciente concede direitos de acesso sobre seu RES a um PS por uma duração limitada, mas não predefinida. Enquanto este PS estiver tratando o paciente este poderá acessá-lo, mas assim que o tratamento se encerrar, o acesso deste PS aos registros é fechado. Isto leva à interessante questão sobre o encerramento do tratamento. No caso de hospitalizações existem atividades que marcam o fim do tratamento, mas em outros casos isto não é tão claro. É evidente que o paciente decidiu que o tratamento acabou se ele ou ela não planeja mais se consultar com este PS. Nesse caso, deve existir um modo que o paciente retire o acesso do PS a seu RES sem sua presença no consultório. Outra alternativa parcial é a de dar permissão de acesso somente durante a consulta. Mas isso previne o acesso do PS aos resultados de exames que serão registrados no RES pelo laboratório logo após a consulta. Isto também previne que o PS discuta o caso com colegas, e assim por diante. Princípio 4: Sem direito automático de acesso do paciente. O paciente não tem o direito de ler ou mudar o RES; o paciente pode somente delegar direitos de acesso de seus registros ao PS ou OS. Nós acreditamos que o RES é um meio de comunicação entre PSs e é responsabilidade ética e profissional dos PS de mediar o acesso do paciente à informação contida no seu RES. Esse princípio é controverso, pois vai contra os requisitos aceitos regularmente sobre os registros médicos eletrônicos. Por exemplo, esse princípio viola o princípio de acesso do Código de Ética da IMIA (International Medical Informatics Associations): O sujeito relativo a um registro eletrônico de saúde tem o direito de acessar tal registro e o direito de corrigi-lo com respeito a sua acuracidade, completude e relevância[9]. Nós acreditamos que o direito de corrigir os registros, como afirmado no princípio de acesso do Código de Ética da IMIA, está mal formulado e viola o valor legal e especialmente a integridade do registro. Por exemplo, pode um paciente com a síndrome de Munchausen (“a fabricação repetida de doenças físicas – normalmente aguda, dramática e convincente – como um paciente que anda de hospital em hospital em busca de um tratamento” [10]) ter o direito de corrigir seus registros em prol de completude e relevância? Dar a permissão ao paciente somente de ler seu registro também nos parece problemático. Deve um paciente com uma psique frágil ser capaz de ler o que seu médico está considerando uma doença séria e degenerativa como hipótese diagnóstica? Pode o paciente ler em seus registros que ele está tomando placebo para suas queixas psicossomáticas? Nós acreditamos que é da responsabilidade ética e profissional do PS escolher o que e como informar seus pacientes. Alguns profissionais podem escolher revelar toda a informação a seus pacientes, alguns podem escolher o contrário, mas é de responsabilidade profissional do PS a tomada desta decisão. Nós não discordamos que na maioria dos casos é provavelmente benéfico ao paciente que este tenha acesso a seus registros, mas esta é uma decisão profissional do PS, para a qual esse profissional deva responder ética, profissional e legalmente. Princípio 5: Acesso em emergência. Existem situações práticas nas quais um PS pode acessar os registros de um paciente sem a sua autorização prévia. Isso é particularmente claro em emergências: se o paciente chega a um pronto socorro inconsciente, ou inabilitado de permitir acesso a seu registro, o PS responsável deverá ter acesso ao registro. Princípio 6: Aceitação implícita da estrutura da OS. Ao permitir acesso a seu RES à OS ou ao PS, o paciente implicitamente aceita todas as delegações de acessos que existam no local, na OS, ou qualquer delegações de acesso que o PS assim definir. A OS e o PS podem ser criticados ou até punidos por suas delegações, depois do fato, mas o paciente não pode controlar quem dentro da OS tem acesso, ou que tipo de acesso, relativo a seu RES. Princípio 7: Acesso limitado a leitura para saúde pública, organizações judiciárias e entidades profissionais. Algumas organizações judiciárias, de saúde pública ou entidades profissionais podem ter acesso de leitura limitado, de forma anônima ao RES sem a aprovação do paciente. Caso uma OS ou PS esteja sendo investigada pela polícia, ou está sendo avaliada por uma entidade de classe, esses grupos podem ter acesso de leitura, de forma anônima, a segmentos dos registros do paciente referentes às decisões e ações dos PSs (ou OSs), independentemente da aprovação dos pacientes. 6 VALOR LEGAL Como foi discutido anteriormente, qualquer registro médico tem um propósito dual: como registro de dados do paciente e como registro das ações do PSs em relação ao paciente. O valor legal do RES diz respeito a esse segundo aspecto: quando desafiado num contexto legal, o PS precisa ser capaz de utilizar partes do RES de forma a justificar suas decisões e ações. Dessa forma, no contexto legal apropriado, deve ser possível acessar uma dada ação de um PS gravada no RES do paciente, independente da vontade do paciente sobre esse assunto. Princípio 8: Incrementabilidade. O RES precisa ser incremental, ou seja, as informações não podem ser removidas ou alteradas de um registro, somente adicionadas. É claro que precisa haver um mecanismo para adicionar correções às informações já presentes na forma de adendos. Quando os dados forem apresentados ao PS, o sistema deve mostrar somente a versão correta dos dados, mas como discutido anteriormente, o dado incorreto precisa ser mantido, assim como sua correção, quem a fez, e quando. Princípio 9: Não repudiabilidade. Um PS não pode negar que fez uma entrada de dados no RES de um paciente. Esse é um requerimento importante para preservar o valor legal do registro - caso o registro afirme que um PS decidiu por uma dada terapia ou definiu um particular diagnóstico, o PS não poderá negar tal registro. Princípio 10: Delegações explícitas. Dentro de uma OS diferentes profissionais entram com diferentes dados no RES de um paciente. A identidade das pessoas que entraram as informações, o PS que delegou esse direito a esta outra pessoa, etc, devem estar armazenados no RES. Princípio 11: Possibilidade de recuperação do estado em momentos específicos. De maneira a verificar a qualidade das ações e decisões dos PSs, é necessário recuperar o estado RES no particular momento quando o PS estava tomando as decisões e as ações sob avaliação. Portanto, o sistema precisa ser capaz de mostrar partes do RES naquele tempo, sem as correções e os dados gravados em momentos posteriores. 7 OUTRAS CONSIDERAÇÕES PRÁTICAS Princípio 12: Unicidade do RES. O único lugar no qual o PS deve entrar dados, decisões e ações sobre o paciente é o RES. Caso o PS necessite registrar informações sobre suas ações em algum outro documento ou sistema, existe um risco que o RES acabe incompleto Por exemplo, caso uma farmácia hospitalar não esteja conectada ao sistema de RES, o PS terá que entrar as prescrições duas vezes, no RES e no sistema de farmácia do hospital. Essa dualidade de registros irá provavelmente resultar em uma incompletude do RES pois haverá casos nos quais o PS só entrará a prescrição de medicamentos no sistema hospitalar e não no RES. Princípio 13: Direitos sobre o registro no seu próprio trabalho. O PS e a OS devem ter acesso de leitura a uma cópia anônima do segmento do RES que reflete suas ações e até se esses não tiverem mais direitos de acesso ao RES. Esse princípio segue do princípio da unicidade. Os PSs e as OSs têm usos legítimos para as informações que eles entraram no RES, incluindo, pagamentos, pesquisa e controle de qualidade. O PS e a OS devem ser capazes de extrair os segmentos apropriados que refletem suas ações no RES do paciente, ao invés de manter uma segunda ou terceira cópia pare esses propósitos (que violaria o principio de unicidade). Infelizmente, os três legítimos usos para com a informação do paciente listados acima têm requisitos distintos relativos ao conteúdo do RES. As cópias para pesquisa e controle de qualidade devem ser anônimas, isto é, não precisam da identificação do paciente, mas devem conter informações prévias suficientes de tal forma que alguém possa julgar a qualidade das ações realizadas ou ao menos considerar estas ações em diferentes contextos. No que se refere ao faturamento, entretanto, é necessário a identificação do paciente, mas não informações prévias sobre o paciente. Logo, deve-se tomar cuidado ao evitar a ligação entre ambas as cópias porque podem revelar muita informação sobre o paciente (que violaria a confidencialidade). Princípio 14: Longo tempo de armazenagem. O RES precisa durar ao menos enquanto o paciente viver e possivelmente além da vida do paciente. Tal fato impõe restrições importantes no armazenamento dos dados. Os dados precisam estar aptos à leitura após décadas de sua armazenagem. Mais revelantes que a habilidade de ler os dados, são as assinaturas digitais que certificam a integridade e origem dos dados - elas precisam se manter válidas no período correspondente, de tal forma que os dados gravados e assinados digitalmente possam ser verificados décadas depois. Princípio 15: Múltiplos pontos de entradas. Não se deve assumir que o paciente tenha um único PS ou um único ponto de entrada de dados no RES. O paciente pode se consultar com diferentes PS's em paralelo e em diferentes OSs. As conseqüências do princípio dos múltiplos pontos de entrada é que o RES não pode ser mantido sob custódia por uma única OS. Mesmo que o paciente seja admitido a um hospital, é possível que esse paciente dê o direito de acesso aos registros de um PS privado durante sua estadia. Princípio 16. Capacidade de troca de senhas e chaves. Não é racional pensar que um paciente irá lembrar de sua senha ou manter um único cartão magnético/inteligente durante toda sua vida. Precisa existir um mecanismo gerador de novas senhas ou chaves para o paciente (uma vez que sua identidade tenha sido estabelecida com a certeza apropriada). Mesmo que o mecanismo de identificação seja baseado em dados biométricos, alguns dados biométricos podem mudar com o tempo. 8 PESQUISAS RELACIONADAS Um artigo de Buckovich et al. [11], que expressa similares preocupações ao nosso, lista 28 princípios a respeito de registros médicos eletrônicos (PEPs), compilados de dez documentos de políticas e de organizações dos EUA e faz uma revisão comparativa entre os diferentes conjuntos de princípios. O princípio 12 em seu artigo afirma: Os provedores de cuidados em saúde têm o direito de manter registros privados de observações, opiniões e impressões cuja liberação estes consideram poder ser potencialmente danosa ao bom estado do paciente. Eles não devem divulgar esta informação sem um trabalho de reflexão do impacto de tal liberação. Esse princípio é particularmente relevante ao nosso trabalho uma vez que é parte de nossa justificativa para negar o direito de acesso (leitura e escrita) aos pacientes. Um artigo de Ross e Lin [12] faz revisão da literatura sobre os benefícios que os pacientes têm de ler seus próprios registros e conclui que apesar dos estudos serem de qualidade limitada, eles mostram “melhorias modestas na comunicação paciente-médico, adesão ao tratamento, e educação do paciente”. O estudo também aponta problemas de aumento de ansiedade quando registros psiquiátricos são disponibilizados aos pacientes. Um artigo de Staroselsky et al.[13] reporta os benefícios de prover acesso à leitura e limitado acesso à escrita ao RES do paciente em termos de acuracidade dos dados e conformidade com os tratamentos. Um artigo de Powell et al.[14] apresenta uma investigação de 31 pacientes sobre quais informações médicas eles não desejam colocar no RES, que incluía matérias sobre gravidez, contraceptivos, saúde sexual e saúde mental. Também é relevantes o fato que alguns pacientes acreditavam que seus prontuários continham informações erradas quando essas informações estavam corretas (isto é, correspondiam ao que os médicos pretendiam registrar). Esses achados dão consistência a nossos argumentos de que o paciente não deve ter acesso de escrita aos seus próprios registros. Para nossa surpresa, descobrimos que nossa visão de não dar direito de acesso de leitura a seus próprios registros de saúde não é contraditório às legislações nacionais tanto dos EUA como do Reino Unido. Por exemplo, a HIPAA, relativo aos direitos do paciente em acessar seus registros médicos, permite ao provedor de cuidados de saúde em não concordar na liberação da informação ao paciente, caso “um profissional de saúde licenciado, em exercício de seu julgamento profissional, determine que seja possível racionalmente que o acesso à informação requerida possa colocar em perigo a vida ou a segurança física do consumidor ou outra pessoa"[15]. Além do mais, a HIPAA não inclui notas psicoterapêuticas como um documento médico para as quais o paciente pode ter acesso. No Reino Unido o acesso aos registros de saúde [16] está muito perto desta visão: “Casos onde o direito de acesso pode ser parcialmente excluído: 1) o acesso não deve ser concedido sobre a seção “3”, 2) acima de qualquer parte do registro de saúde a) que, na opinião do mantenedor do registro, deverá revelar i) informação que provavelmente cause sérios prejuízos à saúde física e mental do paciente ou de qualquer outro indivíduo”. Finalmente é importante notar que nossa posição é contrária a legislação brasileira que diz que o prontuário é do paciente (embora sob a guarda da OS). Em particular, a legislação brasileira provavelmente contradiz com o nosso princípio 13 - direito ao registro de seu próprio trabalho: se um paciente pede para um OS seu prontuário (que afinal é dele segundo a legislação), a OS ficará sem um registro (legal) das ações que fez em prol desse paciente! Verity and Nicoll[17] descrevem a tensão entre confidencialidade do PEP e o interesse da vigilância em saúde pública, e demonstram que existem múltiplos PEPs para cada paciente. Logo, tornar os registros anônimos torna-se uma problemática por causa da duplicação dos dados para uso secundário. Na nossa proposição de um único RES centralizado, essas preocupações tornam-se menos problemáticas. Uma abordagem diferente a um RES único e central é de ter PEPs que permitam interoperabilidade de dados (como o Projeto de RES Nacional da Holand [26]) . Existem diversos artigos que discutem a necessidade de padrões para troca e compartilhamento de REP’s através de diferentes organizações e países[4,18,24]. Outros artigos discutem diferentes técnicas e aspectos relevantes aos tópicos abordados neste documento. Pharow e Blobel [19] discutem o tópico relativo à armazenagem de longa duração e seu impacto com relação às assinaturas digitais. Behlen e Johnson[20] e Quantin et al.[21] discutem assuntos e técnicas de anonimização dos registros médicos. Finalmente, segundo o nosso conhecimento Bakker [22] foi o primeiro a revelar o requisito de recuperação em momentos específicos. 9 ASSUNTOS EM ABERTO Uma gama grande de assuntos não está contemplada neste artigo. Primeiro, nós não propusemos qualquer solução técnica para os requisitos de segurança aqui colocados. Tais soluções certamente irão envolver técnicas complexas de criptografia, servidores centrais certificados, procedimentos operacionais em OSs e legislação a nível nacional. Nós também não discutimos o conteúdo do RES nem por quanto tempo os dados devem permanecer disponíveis. Mas, acreditamos que algumas das questões éticas aqui abordadas gerarão discussões futuras. Uma delas é se e como o paciente pode solicitar que certa informação se torne privada e não fique disponível para outros PSs. O paciente pode contar a um dado PS alguma informação porque ele confia nesse PS e acredita que o mesmo pode realizar o uso apropriado das informações para seu benefício. Mas, o paciente pode não confiar no sistema de saúde inteiro e, portanto, poder desejar que tal informação permaneça indisponível para outros PSs autorizados. Um outro tópico ético complexo é o da ligação entre diferentes REPs. Claramente há muitas situações nas quais se conhecendo as condições de saúde dos parentes dos pacientes ou de seu parceiro chega-se a uma melhoria dos cuidados do mesmo. Entretanto, o parceiro ou parentes podem não ter dados direito de acesso de seus registros ao PS. 10 CONCLUSÕES Esse artigo propõe um inicio de discussão sobre os requisitos de um sistema único e centralizado de registro de um paciente. Os requisitos, ou princípios levantados aqui vão além dos requisitos usuais discutidos para tais sistemas. De um lado RES de organizações privadas como Google Health[30] e Microsoft Healthvault[31] e por outro lado, algumas visões sobre o Cartão Nacional de Saúde mostram que essa discussão pode ser relevante no Brasil atual. No nosso entender não há um conjunto óbvio de soluções técnicas para os requisitos aqui propostos; e talvez não haja uma solução que satisfaça todos os requisitos. No momento atual o melhor que se pode fazer é escolher quais requisitos são os mais importantes e avaliar as implementações de RES segundo esses requisitos mais importantes. REFERENCIAS [1] Chandramouli R. A framework for multiple authorization types in a healthcare application system. In: 17th Annual Computer Security Applications Conference (ACSAC ’01). Washington (DC): IEEE Computer Society; 2001. p. 137. [2] Blobel B, Pharow P, Spiegel V, Engel K, Engelbrecht R. Securing interoperability between chip card based medical information systems and health networks. Int J Med Inform. 2001 Dec; 64(2-3):401-15. PMID: 11734401 [3] Bernstein K, Bruun-Rasmussen M, Vingtoft S, Andersen SK, Nøhr C. Modeling and implementing electronic health records in Denmark. Int J Med Inform. 2005 Mar;74(2-4):213-20. PMID: 15694627 [4] Mohan J, Razali Raja Yaacob R. The Malaysian Telehealth Flagship Application: a national approach to health data protection and utilization and consumer rights. Int J Med Inform. 2004;73(3):217–27. PMID: 15066550 [5] Blobel B. Authorisation and access control for electronic health record systems. Int J Med Inform. 2004 Mar 31;73(3):251-7. PMID: 15066555 [6] Beun JG. Electronic healthcare record; a way to empower the patient. Int J Med Inform. 2003 Mar;69(2-3):191-6. PMID: 12810123 [7] Kim MI, Johnson KB. Personal health records: evaluation of functionality and utility. J Am Med Inform Assoc. 2002 Mar-Apr;9(2):171-80. PMID: 11861632 [8] Iakovidis I. Towards a health telematics infrastructure in the European Union. Stud Health Technol Inform. 2000;76:23-33. PMID: 10947498 [9] IMIA. International Medical Informatics Association code of ethics for health information professionals. http://www.imia.org/English_code_of_ethics.html (accessado 11/2007) [10] Beers MH, Berkow R, editors. Psychiatry in medicine. In: The Merck manual of diagnosis and therapy. 17th ed. Whitehouse Station (NJ): Merck and Co., Inc.; 2005. ch. 185. [11] Buckovich SA, Rippen HE, Rozen MJ. Driving toward guiding principles: a goal for privacy, confidentiality, and security of health information. J Am Med Inform Assoc. 1999 MarApr;6(2):122-33. PMID: 10094065 [12] Ross SE, Lin CT. The effects of promoting patient access to medical records: a review. J Am Med Inform Assoc. 2003 May-Jun;10(3):294. PMID: 12595402 [13] Staroselsky M, Volk LA, Tsurikova R, Pizziferri L, Lippincott M, Wald J, et al. Int J Med Inform. 2006 Oct-Nov;75(10-11):693-700. Epub 2005 Dec 9. PMID: 16338169 [14] Powell J, Fitton R, Fitton C. Sharing electronic health records: the patient view. Inform Prim Care. 2006;14(1):55-7. PMID: 16848967 [15] Health Sonya Schartz. Rights to Access Medical Records Under the HIPAA Privacy Regulation. Assistance Partnership. Washington, DC. 2003. Disponível emt http://www.hapnetwork.org/medicare/HIPAA_Resource_Center.html (acessado em 11/2007) [16] Office of Public Sector Information. Access to Health Record Act 1990 (c. 23). Disponível em http://www.opsi.gov.uk/acts/acts1990/ukpga_19900023_en_1#pb2-l1g3 (acessado em 11/2007) [17] Verity C, Nicoll A. Consent, confidentiality, and the threat to public health surveillance. BMJ. 2002 May 18;324(7347):1210-3. PMID: 12016192 [18] Espinosa AL. Availability of health data: requirements and solutions. Int J Med Inform. 1998 Mar;49(1):97-104. PMID: 9723807 [19] Pharow P, Blobel B. Electronic signatures for long-lasting storage purposes in electronic archives. Int J Med Inform. 2005 Mar;74(2-4):279-87. PMID: 15694634 [20] Behlen FM, Johnson SB. Multicenter patient records research: security policies and tools. J Am Med Inform Assoc. 1999 Nov-Dec;6(6):435-43. PMID: 10579601 [21] Quantin C, Allaert FA, Dusserre L. Anonymous statistical methods versus cryptographic methods in epidemiology. Int J Med Inform. 2000 Nov;60(2):177-83. PMID: 11156739 [22] Bakker A.; Access to EHR and access control at a moment in the past: a discussion of the need and an exploration of the consequences. Int J Med Inform. 2004 Mar 31;73(3):267-70. PMID: 15066557 [23] Waegemann PC. Healthcare Informatics Online, EHR vs. CPR vs. EMR, Whatever you call it, the vision is of superior care through uniform, accessible health records;; May 2003; http://www.providersedge.com/ehdocs/ehr_articles/EHR_vs_CPR_vs_EMR.pdf (acessado em 11/2007) [24] the Smallwood R. A Health Information Network for Australia - Report to Health Ministers by National Electronic Health Records Taskforce July 2000; http://www.health.gov.au/internet/hconnect/publishing.nsf/Content/7746B10691FA666CCA25712 8007B7EAF/$File/ehrrept.pdf (acessado em 11/2007) [25] Goodman K.W. Ethics, Computing and Medicine – informatics and transformation of health care; Cambridge University Press; 1998 [26] Roos, A. Implementing an electronic health record in the Netherlands: pitfalls and challenges; 2005; disponível em http://albertderoos.nl/?p=105 (acessado em 11/2007) [27] Blobel B., Pharow P. (eds) Advanced Health Telematics and Telemedicine: The Magdeburg Expert Summit Textbook; IOS Press; 2003; [28] Roberts A. A Healthy Revolution; disponível em http://www.infoloom.com/gcaconfs/WEB/granada99/roba.HTM; (acessado 7/2007) [29] Cartão Nacional de Saúde. Informações disponíveis no Sistema. disponível em http://dtr2001.saude.gov.br/cartao/index_cns.htm (acessado em 1/2009) [30] Google Health http://www.google.com/heath (acessado em 1/2009) [31] Microsoft Healthvault http://www.healthvault.com/ (acessado em 1/2009)