TI Móvel na Saúde: Privacidade

Propaganda
XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014
TI Móvel na Saúde: Privacidade, Confidencialidade e Segurança
Michele Alberton Andrade1, Darcio Pinto Prestes1,2, Marcio Luis Varani 1,3 e
Léria Rosane Holsbach1,3
1
Curso De Especialização em Engenharia Clinica da Universidade Federal de Ciências da Saúde e
Santa Casa de Misericórdia de Porto Alegre
2
Infinea Projetos Especiais, Porto Alegre, Brasil
3
Centro de Referências e Avaliação de Tecnologias e Insumos Estratégicos – Universidade Federal
do Rio Grande do Sul
e-mail: [email protected]
Resumo: As tecnologias da informação em saúde
continuam a evoluir, agora sob a perspectiva da
mobilidade, fazendo uso de dispositivos como
smartphones, tablets e outros. Entretanto, ao mesmo
tempo que confere celeridade aos serviços, este novo
modelo de colaboração pode conferir fragilidade à
confidencialidade dos dados de pacientes. Desta forma,
o objetivo deste trabalho foi realizar uma revisão sobre
o tema da mobilidade na saúde, considerando normas,
regulamentações, recomendações e artigos científicos de
base nacional e internacional. Os resultados obtidos
apontaram que alguns países já regulamentaram o uso
de dispositivos móveis para a área da saúde. No Brasil,
que possui ampla proteção às informações do indivíduo,
por outro lado, não há recomendações em relação ao uso
desses dispositivos. Outro aspecto relevante é que o
fator humano é o mais delicado no que diz respeito à
segurança das informações.
Palavras-chave:
mobilidade,
privacidade,
confiabilidade, segurança, normas.
Introdução
As informações contidas nos Registros
Eletrônicos de Saúde (RES) constituem-se em dados de
absoluta importância, seja para a própria área médica,
como para as áreas administrativa,
jurídica ou
acadêmica. Com o crescente volume desses dados e da
complexidade dos sistema, é papel da Tecnologia da
Informação (TI) colocar à disposição a informação,
onde e quando ela for necessária [1]. Uma vez que
mobilidade relaciona-se tanto a portabilidade, isto é, a
capacidade de se levar, para qualquer lugar, um
dispositivo de TI [2], quanto ao uso das capacidades
computacionais enquanto os dispositivos estão sendo
movidos [3], podemos dizer que o uso das tecnologias
provenientes da Computação Móvel, para a saúde, surge
como uma valorosa ferramenta para atender essa
necessidade [4].
A crescente utilização dos dispositivos móveis
no cuidado do paciente tem conferido celeridade aos
serviços assistenciais e aumentado o repositório de
informações clínicas dos estabelecimentos de saúde e
dos órgãos de saúde pública. Isso, juntamente a
ampliação das redes de banda larga móvel e o fenômeno
das redes sociais, aponta para um novo estilo de
colaboração no qual verifica-se a necessidade de avaliar
se a utilização destas tecnologias violam direitos
essenciais dos pacientes, como sua privacidade, e qual a
orientação dos órgãos regulatórios sobre este tema.
Com base nas exposições acima, objetivo deste
trabalho é realizar uma análise do crescente uso dos
sistemas de informação e tecnologias móveis
direcionados para a área da saúde sob a perspectiva da
privacidade, confidencialidade e segurança dos dados
dos pacientes, bem como apresentar diretrizes legais
existentes em âmbito nacional e internacional sobre esta
questão.
Abstract: Information Technology in healthcare this
time evolve from the perspective of mobility, making use
of devices such as smartphones, tablets and others.
However, while it provides quick services, one can say
that such a new model of collaboration can input
weakness in confidentiality of patient data. Thus, a
review of mobility in health was carried out considering
standards, regulations, recommendations and scientific
articles,
taking into acconunt national and
international basis. The results showed that some
countries have regulated the use of mobile devices for
healthcare. In Brazil, which has extensive information
protection of the individual, on the other hand, there are
no recommendations regarding the use of these devices.
Another relevant aspect is that the human factor is the
most delicate with regard to information security.
Keywords: mobility, privacy, confidentiality, security,
legal guidelines.
Métodos
A pesquisa foi realizada no período de Março a
Junho de 2014. Para atingir o mapeamento desejado em
relação a normas e regulamentações e recomendações
1
2314
XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014
foram consultados documentos das seguintes
instituições nacionais e internacionais: Agência
Nacional de Vigilância Sanitária (ANVISA), Conselho
Federal de Medicina (CFM), Associação Brasileira de
Normas Técnicas (ABNT), Food and Drug
Administration (FDA), Office of The Privacy
Comissioner of Canada, Internacional Eletrotechnical
Comission (IEC), World Health Organization (WHO) e
Healthcare Information and Management Systems
Society (HIMSS). Para o levantamento dos artigos na
literatura, foi realizada uma pesquisa nas bases de dados:
Literatura Latino-Americana e do Caribe em Ciências
da Saúde (LILACS), Scientific Electronic Library
Online (SCIELO), Medical Literature Analysis and
Retrieval System Online (MEDLINE) e IEEE Xplore
Digital Library. Foram utilizados, para busca de artigos,
os seguintes descritores e suas combinações nas línguas
portuguesa e inglesa: "Mobilidade", "Segurança",
"Confidencialidade", "Privacidade". Foram aplicados
operadores booleanos cruzando-se os descritores
anteriormente relacionados nas bases de dados citadas.
Os critérios de inclusão dos artigos foram: artigos
publicados em inglês ou português; artigos na íntegra
relacionados à área da saúde; artigos com enfoque em
questões legais na área da saúde. Foram excluídos
artigos que, embora contemplassem o tema proposto,
tratassem estritamente de implementações técnicas.
esse artifício como uma prática médica e de saúde
pública apoiada por dispositivos móveis, envolvendo o
uso de voz e mensagens de texto (SMS), bem como
funcionalidades e aplicações mais complexas, incluindo
dados GPRS, terceira e quarta gerações de telefonia
móvel (3G e 4G), GPS e tecnologia Bluetooth [8].
Com o melhoramento dos displays de
dispositivos móveis, a portabilidade começa a ajudar,
então, a equipe médica a acessar imagens, laudos e
informações sobre o paciente de forma rápida e sem a
necessidade de recorrer as plataformas fixas [9]. Assim,
na perspectiva do atendimento médico, há uma alteração
sensível na maneira de conduzir seus serviços.
Em 2012, foi publicado um guia, no Canadá,
divulgando as práticas desejáveis em relação a
privacidade aos desenvolvedores de aplicativos móveis
[10]. Em 2013, o FDA publicou um documento com o
objetivo de esclarecer quais tipos de aplicativos móveis
exercerá poder regulatório. Nesse, esclarece que é a
intenção de uso do aplicativo que determina se ele será
considerado um dispositivo: se a intenção de uso
caracterizar diagnóstico, cura, tratamento ou prevenção
de doença ou afetar alguma estrutura ou função do
corpo humano, então o aplicativo móvel é considerado
um dispositivo. Os fabricantes de Aplicativos Móveis
Médicos estão sujeitos aos requisitos descritos nos
regulamentos aplicáveis de acordo com a classificação
do dispositivo médico [11].
No Brasil, não figura nenhum marco
regulatório ou recomendação específica sobre a
utilização dos dispositivos móveis na saúde. No entanto,
a RDC no 185 de 2001, em seu Anexo I, define que
produto médico é aquele destinado à prevenção,
diagnóstico, tratamento, reabilitação ou anticoncepção.
E através da Nota Técnica no 04 de 2012 orienta que os
softwares destinados aos mesmos fins estão sujeitos ao
regime de vigilância sanitária [12]. O CFM, em sua
resolução 1.643/02 traz definições acerca de
telemedicina, com normas técnicas de guarda, manuseio,
transmissão dos dados, confidencialidade e privacidade,
enquanto a resolução 1.890/09 define e normatiza a
Telerradiologia, destacando que o paciente deverá
autorizar a transmissão eletrônica de imagens [13, 14].
No que se refere a preservação da informação,
esta pode ser abordada tanto pela questão da privacidade
quanto pela da confidencialidade. A privacidade é a
limitação do acesso às informações de uma dada pessoa,
ao acesso à própria pessoa, à sua intimidade; é a
garantia à preservação do seu anonimato, do seu
resguardo. É a liberdade que o paciente tem de não ser
observado sem autorização. O artigo XII da Declaração
Universal dos Direitos Humanos, proposta pela ONU
em 1948, já estabelecia o direito a não interferência na
vida privada pessoal ou familiar. A confidencialidade é a
garantia do resguardo das informações dadas
pessoalmente em confiança e a proteção contra a sua
revelação não autorizada. O dever de confidencialidade
que todos os profissionais de saúde devem observar se
mantém mesmo após o óbito do paciente [15]. Porém
quanto mais digital as pessoas se tornam, mais
Resultados
A seguir estão apresentados os resultados
obtidos a partir de revisão sobre o tema proposto,
abordando as principais iniciativas e marcos
regulatórios.
Em pesquisa realizada pela HIMSS, entre
dezembro de 2013 e janeiro de 2014, sobre mobilidade
em saúde, 83% dos entrevistados indicaram o uso de
tecnologias móveis por médicos para fins assistenciais,
sendo as tecnologias mais comuns os laptops e
smartphones. Os participantes apontaram como
finalidades principais: visualização de informações de
pacientes (69%), como resultados de exames e
laboratórios, notificações clínicas (41%), prescrição
eletrônica (32%) e ações de telessaúde (24%) [5].
Em relação às principais iniciativas, podemos
destacar o Health Canada, departamento do Governo do
Canadá responsável pela área de saúde pública, que em
2010, aprovou o uso de um aplicativo móvel, para
iPhone, para fins de diagnóstico por imagem. Na época,
testes foram conduzidos para comparar o desempenho
dos médicos radiologistas utilizando iPhone e uma
workstation para avaliação diagnóstica [6]. Já nos EUA,
o FDA passou a permitir, em 2011, o uso de um
aplicativo móvel para radiologia no qual o médico pode
ver e diagnosticar seus pacientes com o uso de um
iPhone ou iPad, desde que não seja possível utilizar uma
workstation para tal finalidade [7]. A partir de 2011, a
Organização Mundial da Saúde (OMS) reconhece o
potencial de estratégias mHealth (mobile health ou
saúde móvel), publicando um relatório no qual define
2
2315
XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014
154 do Código Penal Brasileiro (1940) e os Art. 11o, Art.
70 e Art. 102 do Código de Ética do CFM [21, 22, 23].
A adoção de novas tecnologias como redes de
comunicação sem fio, por exemplo, podem aumentar
sensivelmente a probabilidade de ocorrência de novos
problemas. Ao mesmo tempo, as redes se tornam
essenciais para o ambiente clínico, transportando
informações cada vez mais diversificadas, desde dados
de pacientes com risco de vida, que exigem a entrega
imediata e resposta, até dados gerais de operações
corporativas. Aumenta o número de dispositivos
médicos que são projetados para trocar informações
eletronicamente com outros equipamentos no ambiente
de usuário, incluindo outros dispositivos médicos. No
entanto, a incorporação de dispositivos médicos, móveis
ou não, em redes de TI no ambiente clínico é pouco
regulamentada. Em 2010 foi publicada a norma IEC
80001: Application of Risk Management for IT-networks
incorporating medical devices, cujo objetivo é
estabelecer uma gestão de risco de forma consistente
com o padrão NBR ISO 14971:2009 [24] e que envolva
a alta administração da instituição e seus fornecedores,
de modo a obter características chave de segurança,
eficácia e interoperabilidade, necessárias para garantir o
bem-estar do paciente. A norma aplica-se a redes sem
fio ou cabeadas que possuam pelo menos um dispositivo
médico conectado a ela [25].
Ao final, cabe deferência ao Princípio da
Proporcionalidade, ou seja, deve-se introduzir segurança
a medida que o ônus de suas ações não tornem o sistema
impraticável [26].
facilmente as informações circulam. À medida que o
acesso à internet cresce, aumentam as fragilidades, as
exposições e os ataques, mesmo que na maior parte das
vezes a infraestrutura de saúde não seja o alvo principal
dos ataques, porém um dano colateral [16].
Quando se fala em Tecnologia da Informação, a
privacidade é geralmente citada como o equilíbrio entre
o risco de suprir as organizações com informações sobre
as pessoas e os benefícios gerados pelo acesso do
usuário a estas informações e serviços [17]. A
mobilidade acelerou, ainda mais, com a eclosão das
diversas opções de dispositivos móveis e isso contribuiu
para o exercício do conceito de Bring Your Own Device,
no qual os profissionais utilizam os aparelhos que
escolhem para seu uso pessoal também para fins
corporativos. Por conseguinte, despertam preocupações
em relação à segurança das informações contidas em
caso de perda ou roubo do dispositivo, a segurança das
informações transferidas por rede sem fio e a segurança
dos aplicativos para estes dispositivos. A OMS
recomenda que os responsáveis por políticas e
gerenciamento de programas de mobilidade devem estar
cientes das questões de segurança em relação a mHealth
para que estratégias apropriadas sejam desenvolvidas e
implementadas
[8].
Definir
uma
lista
de
aparelhos/dispositivos seguros para uso, estimular ações
como criptografia, aplicação de senha nos dispositivos,
limpeza e travamento remoto dos dispositivos são
indicados como práticas aconselháveis [18].
Falhas na segurança das informações podem
acontecer não somente nos sistemas informatizados,
mas também entre os profissionais envolvidos.
Comentários a respeito de dados de pacientes, conversas
informais em ambientes públicos, mesmo que sejam
dentro da própria instituição, podem resultar em
rupturas no processo de segurança desses dados.
Em
análise exploratória sobre a percepção, no ambiente de
trabalho, da confidencialidade das informações de
pacientes, realizada através de entrevistas
com
profissionais com atuações distintas na área da saúde,
observou-se que não se trata de um problema
relacionado à tecnologia, mas sim de aspectos
comportamentais dos indivíduos envolvidos e que
ocorre uma relativização dos profissionais em relação as
políticas de acesso e uso das informações privadas dos
pacientes [19]. Neste sentido, países como os Estados
Unidos têm procurado controlar estas atividades, com a
publicação de leis, entre elas o Health Insurance
Portability and Accountability Act (HIPAA) - Privacy
Rule, promulgado como um Ato de Lei que visa
proteger toda informação pessoal disponibilizada e
utilizada na prestação de serviços de saúde. O
documento define diretivas dos direitos à privacidade e
à segurança de registros de saúde [20]. No Brasil, o
resguardo das informações, entre as quais se incluem
aquelas referentes a saúde de cada indivíduo, é
preocupação presente nos mais variados setores da
sociedade e está expressa em diplomas legais, como o
Art. 5o da Constituição Federal (1988), os Art. 153 e Art.
Discussão e Conclusões
O material analisado neste trabalho evidencia
que a saúde já incorpora a mobilidade como forma de
incrementar sua eficiência e velocidade. Tanto que
importantes organizações internacionais reconhece-a
como estratégia relevante na condução dos serviços
assistenciais em saúde. Entretanto, carece atenção para
que sejam observados direitos fundamentais como a
privacidade, a confiabilidade e a segurança das
informações em saúde, pois estas passam a trafegar com
maior facilidade e celeridade.
Constata-se que a legislação brasileira possui
um elevado nível de proteção à privacidade do
indivíduo. Da mesma forma que o CFM no que diz
respeito ao sigilo das informações da relação médicopaciente. No entanto, inexistem recomendações e/ou
estratégias para a adoção de políticas de mobilidade, em
especial na saúde.
Uma vez que o próprio fator humano é capaz
de trazer risco as informações que circulam nas
instituições e, somando a isso a explosão do uso das
redes sociais, em que praticamente não há fronteiras
entre vida profissional e pessoal, podemos afirmar que
beira ao impossível evitar, apenas com tecnologia, o
vazamento de informações e que assuntos de trabalho se
tornem públicos. Neste contexto, somente o treinamento,
a conscientização dos colaboradores e uma política que
3
2316
XXIV Congresso Brasileiro de Engenharia Biomédica – CBEB 2014
preveja os casos de não conformidade podem evitar
exposição indevida.
No que diz respeito a infraestrutura física
também existe preocupação, principalmente quando,
através da rede de TI, trafega-se dados de pacientes e de
conteúdo geral. Dentro desse escopo, a norma IEC
80001:2010 traz recomendações relevantes, como a
recomendação da implementação de uma gestão de
risco que envolva a alta administração da instituição
bem como seus fornecedores externos.
from:https://www.priv.gc.ca/information/pub/gd_app_2
01210_e.asp
[11] U.S. Department of Health and Human Services
Food and Drug Administration. Mobile Medical
Applications Guidance for Industry and Food and Drug
Administration Staff [internet]. 2013.
[12] Brasil. ANVISA. Agência Nacional de Vigilância
Sanitária. Resolução RDC nº 185, de 22 de outubro de
2001. Diário Oficial da União, Brasília, 24 out 2001.
[13] Conselho Federal de Medicina. Resolução nº 1643
de 26 de agosto de 2002. Diário Oficial da União,
Brasília, 26 ago 2002. Seção I, p. 205.
[14] Conselho Federal de Medicina. Resolução nº 1890
de 19 de janeiro de 2009. Diário Oficial da União,
Brasília, 19 jan 2009. Seção I, p. 94-5.
[15] Goldin JR, Francisconi F. Bioética e Informação.
2004.
Available
from:
emhttp://www.bioetica.ufrgs.br/bioinfo.htm.
[16] Hsu F, Marinucci D. Advances in Cyber Security:
Technology, Operation, and Experiences. Fordham
University Press; 2013.
[17] Rose EA. An examination of the concern for
information privacy in the New Zealand regulatory
context. Information & Management. 2006. 43(3): 322335.
[18] Companhia de Processamento de Dados do Estado
de SP (PRODESP). Informativo Tecnológico:
Mobilidade Corporativa [internet]. 2012. Available from:
http://www.prodesp.sp.gov.br/clientes/pdf_tendencias/I
NFORMATIVO_TENDENCIAS_SET_2012.pdf.
[19] Bragança CEBA, Mezzomo EL, Testa MG.
Segurança da Informação e privacidade de informações
de pacientes de instituições de saúde: uma análise
exploratória da priacidade percebida pelos profissionais.
In: Proceedings of the XXXIV Encontro da ANPAD;
2010. Rio de Janeiro. 2010.
[20] Baumer D, Earp JB, Payton FC. Privacy of Medical
Records: IT implications of HIPAA. ACM SIGCAS
Computers and Society. 2000. 30. p. 40-47.
[21] Brasil. Constituição. 1988. Constituição da
República Federativa do Brasil.
[22] Brasil. Decreto-Lei no 2.848, de 7 de dezembro de
1940. Código Penal.
[23] Conselho Federal de Medicina. Resolução nº 1931
de 24 de setembro de 2009. Diário Oficial da União,
Brasília, 13 out. 2009. Seção I, p. 173.
[24] Associação Brasileira de Normas Técnicas. ABNT
NBR ISO 14971:2009. Produtos para a saúde Aplicação de gerenciamento de risco a produtos para a
saúde. Available from:
http://www.abntcatalogo.com.br/norma.aspx?ID=55540
[25] IEC 80001-1:2010. Application of risk
management for IT-networks incorporating medical
devices – Part 1: Roles, Responsibilities and Activities
[internet].
2010.
Available
from:
http://www.iso.org/iso/catalogue_detail.htm?csnumber=
44863
[26] Kobayashi LOM, Furuie SS. Segurança em
Imagens Médicas. In: X Congresso Brasileiro de
Informática em Saúde. 2006. Florianópolis. 2006.
Referências
[1] Sigulem D, Anção MS, Ramos MP, Leão BF.
Sistemas de Apoio à Decisão em Medicina. Atualização
Terapêutica. Manual Prático de Diagnóstico e
Tratatamento [internet]. 1998. Available from:
http://www.virtual.epm.br/material/tis/currmed/sad_html/sistema.htm.
[4] Paz LF, Maran V, Machado A, Weber JG.
Mobidoctor: Uma aplicação móvel para acesso ao
registro eletrônico de saúde de pacientes. Revista
Brasileira de Inovação Tecnológica em Saúde [internet].
2010.
Available
from:
http://ufrn.emnuvens.com.br/reb/article/view/3455
[2] Kalakota R, Robinson M. E-business: estratégias
para alcançar o sucesso no mundo digital. 2a ed. São
Paulo: Bookman; 2002.
[3] B’Far R. Introduction to Mobile Computing. Em:
Mobile Computing Principles - Designing and
Developing Mobile Application with UML and XML.
New York: Cambridge University Press: 2005. p.3-28.
[5] HIMSS Analytics. 3rd Annual HIMSS Analytics
Mobile Survey [internet]. 2014. Available from:
http://apps.himss.org/content/files/FINALThirdAnnual
MobileTechnologySurvey.pdf
[6] Husain I. Health Canada approves iPhone medical
app for diagnostic imaging use – FDA to follow suit?
iMEDICALAPPS.com [internet]. 2010. Available from:
http://www.imedicalapps.com/2010/04/health-canadaapproves-iphone-medical-app-for-diagnostic-imaginguse-fda-to-follow-suit-resolution-md-mobile/.
[7] U.S. Department of Health and Human Services
Food and Drug Administration. [internet]. 2013.
Available from: http://www.fda.gov.
[8] World Health Organization. mHealth: New horizons
for health through mobile technologies [internet]. 2011.
Vol.
3.
Available
from:
http://www.who.int/goe/publications/ehealth_series_vol
3/en/
[9] He L, Ming X, Ding W, Liu Q. A Novel approach to
Remote Access PACS on Mobile Devices over Wireless
Networks. In: Proceedings of the IEEE-EMBS
International Conference on Biomedical and Health
Informatics; 2012. Hong Honk and Shenzhen. 2012. p.
581-583.
[10] Office Of The Privacy Commissioner Of Canada.
Seizing Opportunity: Good Privacy Practices for
Developing Mobile Apps [internet]. 2010. Available
4
2317
Download