estudos dos desafios da segurança da informação no prontuário eletrônico do paciente
DESCRIPTION
É evidente o ganho em desempenho e eficiência na área da saúde quando se têm um Sistema de Informação aderente aos processos da instituição de saúde. Inerente e fundamental a esta área é a questão da segurança da informação. Neste trabalho foram apresentados os requisitos fundamentais que viabilizam a segurança da informação na área da saúde, provendo também o embasamento teórico necessário para superar os desafios para esta área. Também foi consolidado, por meio deste estudo, o foco sobre os desafios da segurança da informação no Prontuário Eletrônico do Paciente. Para traçar as perspectivas de futuro deste tema foi realizada uma entrevista com o deputado presidente da subcomissão para informatização da saúde pública no Brasil. Ratificou-se com este trabalho que a discussão desse assunto é bem ampla e que existem diversos pontos e impasses ainda em aberto e que devem ser resolvidos a medida que esse movimento de transição para o prontuário eletrônico ganhe mais força e diretrizes do governo, tanto em âmbito federal quanto estadual.TRANSCRIPT
UNIVERSIDADE FEDERAL DO ABC – UFABC
CURSO DE ESPECIALIZAÇÃO EM TECNOLOGIAS E SISTEMAS DE
INFORMAÇÃO
DINARDE ALMEIDA BEZERRA
ESTUDO DOS DESAFIOS DA SEGURANÇA DA INFORMAÇÃO NO
PRONTUÁRIO ELETRÔNICO DO PACIENTE
SANTO ANDRÉ – SP
2013
1
DINARDE ALMEIDA BEZERRA
ESTUDO DOS DESAFIOS DA SEGURANÇA DA INFORMAÇÃO NO
PRONTUÁRIO ELETRÔNICO DO PACIENTE
Monografia apresentada ao Curso de Especialização da Universidade Federal do
ABC, como requisito parcial à obtenção do título de Especialista em Tecnologias e
Sistemas de Informação.
Orientador: Prof. Dr. Roberto Jacobe Rodrigues
SANTO ANDRÉ – SP
2013
2
FICHA CATALOGRÁFICA
3
Dedico esse trabalho primeiramente a Deus que é a
essência de tudo.
E a todos que contribuíram para que este trabalho
fosse concretizado.
4
AGRADECIMENTOS
À Universidade Federal do ABC – UFABC por proporcionar a obtenção do
título de Especialista em Tecnologias e Sistemas de Informação.
Ao orientador Prof. Dr. Roberto Jacobe Rodrigues pelo apoio e orientação ao
longo da redação deste trabalho.
Ao tutor Adilson Castro da Silva pela compreensão e conselhos.
Ao deputado Dr. Alexandre Roso e sua assessoria de imprensa por atender
prontamente aos questionamentos contidos neste trabalho.
Ao Vanderlei de Castro Ezequiel que contribuiu com a revisão do trabalho e
incentivou a conclusão do mesmo.
À Sonia Regina Juliani por sua compreensão, apoio aos estudos e por me
fazer continuar acreditando que é possível fazer o melhor.
À Prof. MSc. Samáris Ramiro Pereira que contribuiu com o fornecimento de
materiais bibliográficos sobre o tema.
E a família e aos amigos que de alguma forma contribuíram para a
concretização deste trabalho.
5
RESUMO
É evidente o ganho em desempenho e eficiência na área da saúde quando se
têm um Sistema de Informação aderente aos processos da instituição de saúde.
Inerente e fundamental a esta área é a questão da segurança da informação. Neste
trabalho foram apresentados os requisitos fundamentais que viabilizam a segurança
da informação na área da saúde, provendo também o embasamento teórico
necessário para superar os desafios para esta área. Também foi consolidado, por
meio deste estudo, o foco sobre os desafios da segurança da informação no
Prontuário Eletrônico do Paciente. Para traçar as perspectivas de futuro deste tema
foi realizada uma entrevista com o deputado presidente da subcomissão para
informatização da saúde pública no Brasil. Ratificou-se com este trabalho que a
discussão desse assunto é bem ampla e que existem diversos pontos e impasses
ainda em aberto e que devem ser resolvidos a medida que esse movimento de
transição para o prontuário eletrônico ganhe mais força e diretrizes do governo, tanto
em âmbito federal quanto estadual.
Palavras-chave: Segurança da Informação; Prontuário Eletrônico;
Certificação SBIS; Assinatura Digital;
6
ABSTRACT
Clearly the gain in performance and efficiency in health care when it has an
Information System adheres to the processes of the health institution. Inherent and
fundamental to this area is the question of information security. This paper presented
the fundamental requirements that enable information security in healthcare, also
providing the necessary theoretical framework to overcome the challenges in this
area. Was also consolidated by this study, the focus on the challenges of Information
Security in Electronic Patient. To outline the future prospects of this subject was
interviewed with the Deputy Chairman of the Subcommittee for computerization of
public health in Brazil. Ratified this work was that the discussion of this subject is very
broad and there are several points and deadlocks still open to be resolved as we
move this transition to electronic medical records to gain more strength and guidance
of the government, both federal and state.
Keywords: Information Security, Electronic Health Record; Certification SBIS,
Digital Signature;
7
LISTA DE ILUSTRAÇÕES
FIGURA 1 – EVOLUÇÃO HOSPITALAR EM CONTRASTE COM A EVOLUÇÃO DO PRONTUÁRIO
MÉDICO. .............................................................................................................................................. 21
FIGURA 2 – NÍVEIS EVOLUTIVOS NO PEP. ..................................................................................... 23
FIGURA 3 – ARQUITETURA DA SOLUÇÃO APLICADA NO ICESP. ............................................... 50
8
LISTA DE TABELAS
TABELA 1 – CUSTO INDIVIDUAL DO CERTIFICADO DIGITAL. ..................................................... 39
TABELA 2 – MEMBROS DA SUBCOMISSÃO PARA INFORMATIZAÇÃO DA SAÚDE. ................. 58
9
LISTA DE SIGLAS
AC - Autoridade Certificadora
ANS – Agência Nacional de Saúde Suplementar
ANVISA – Agência Nacional de Vigilância Sanitária
AR - Autoridade Registradora
BYOD - Bring Your Own Device
CFM – Conselho Federal de Medicina
CFO – Conselho Federal de Odontologia
CRM-SC – Conselho Regional de Medicina de Santa Catarina
GED – Gerenciamento Eletrônico de Documento
HSM – Hardware Security Module
ICESP – Instituto do Câncer do Estado de São Paulo
ICP-Brasil – Infraestrutura de chaves públicas do Brasil
IDSUS – Índice de Desempenho do Sistema Único de Saúde
IOM – Institute of Medicine
ISO – International Organization for Standardization
MP – Medida Provisória
NGS – Nível de Garantia de Segurança
ONA – Organização Nacional de Acreditação
PDI – Plano Diretor de Informática
PEP – Prontuário Eletrônico do Paciente
PPP – Parceria Público-Privada
10
RES – Registro Eletrônico de Saúde
S-RES – Sistema de Registro Eletrônico de Saúde
SBIS – Sociedade Brasileira de Informática em Saúde
SGSI – Sistema de Gestão de Segurança da Informação
TI – Tecnologia da Informação
TIC – Tecnologia da Informação e Comunicação
TICS – Tecnologia da Informação e Comunicação em Saúde
TISS – Troca de Informação em Saúde Suplementar
UPA – Unidade de Pronto Atendimento
UTI – Unidade de Tratamento Intensivo
11
SUMÁRIO
1. INTRODUÇÃO .................................................................................................... 13
1.1. Objetivos ......................................................................................................... 14
1.2. Metodologia ..................................................................................................... 15
2. REVISÃO BIBLIOGRÁFICA .............................................................................. 17
2.1. Prontuário: da antiguidade ao prontuário eletrônico .................................. 17
2.1.1. Definindo prontuário .................................................................................. 17
2.1.2. Vantagens e desvantagens do uso de prontuário em papel .................. 18
2.1.3. Transição e justificativa para a utilização do PEP ................................... 19
2.2. Prontuário Eletrônico do Paciente (PEP) ................................................. 22
2.2.1. Construção do PEP .................................................................................... 22
2.2.1.1. Vantagens e desvantagens do PEP ............................................................. 23
2.2.2. Uma análise da diferença entre PEP e prontuário digitalizado .............. 25
2.3. Segurança da informação em saúde ............................................................. 26
2.3.1. Pilares fundamentais da segurança .......................................................... 28
2.3.2. Plano diretor de informática em saúde ..................................................... 31
2.3.3. Aspectos legais e éticos da segurança da informação em saúde ......... 33
2.3.4. Assinatura digital: Discussão da obrigatoriedade e o prontuário 100%
digital 35
2.3.4.1. CRM Digital .................................................................................................. 38
2.3.5. Verificação de atendimento à resolução CFM Nº 1821/2007 ................... 39
2.3.6. Certificação de sistema de informação em saúde no Brasil .................. 40
2.3.6.1. Fases do processo de certificação SBIS / CFM ........................................... 41
2.3.6.2. Nível de Garantia de Segurança (NGS) ....................................................... 42
2.3.6.3. Categorias da certificação ............................................................................ 43
2.3.6.4. A ISO 27799 ................................................................................................. 44
12
2.3.7. A importância da engenharia da usabilidade para a segurança em
sistema PEP ............................................................................................................. 45
2.3.8. Implementação do prontuário eletrônico do ponto de vista jurídico ..... 47
2.3.9. Passivo do prontuário em papel ............................................................... 48
2.4. Cases de sucesso e perspectivas para o futuro .......................................... 49
2.4.1. Cases de sucesso na implantação de PEP .............................................. 49
2.4.2. O futuro do PEP segundo perspectiva de um especialista no assunto 51
2.5. Oportunidades de pesquisa relacionadas à área de informática em saúde
52
3. CONCLUSÃO ..................................................................................................... 53
REFERÊNCIA BIBLIOGRÁFICA .............................................................................. 54
ANEXO 1 – ENTREVISTA COM O PRESIDENTE DA SUBCOMISSÃO PARA
INFORMATIZAÇÃO DA SAÚDE .............................................................................. 57
ANEXO 2 – RESOLUÇÃO CFM Nº 1.821/2007 ....................................................... 64
13
1. INTRODUÇÃO
Um dos grandes desafios nessa transição do prontuário no formato
tradicional, em papel, para o registro em formato eletrônico é a questão da
segurança da informação. Neste sentido, a resolução do Conselho Federal de
Medicina (CFM) Nº 1821, de 11 de julho de 2007, aprovou uma série de normas
técnicas concernentes à digitalização e uso dos sistemas informatizados para
guarda e manuseio dos documentos dos prontuários dos pacientes. Já a resolução
do CFM Nº 1638/2002 institui, entre outros, que os prontuários devem ser revisados
nas instituições de saúde.
Erros médicos, superlotação e má gestão dos recursos físico-financeiros são
apenas alguns dos problemas que poderiam ser tratados com o uso da Tecnologia
da Informação e Comunicação (TIC), problemas estes que influenciam diretamente o
Índice de Desempenho do Sistema Único de Saúde (IDSUS). Com esse propósito é
que foi instituída na Câmara dos Deputados uma subcomissão que está analisando
a informatização na saúde pública no Brasil (IMPRENSA DEMOCRÁTICA, 2013).
São muitos os ganhos a curto, médio e, principalmente, a longo prazo na
adoção da TIC na área da saúde. Porém, um grande desafio para gestores da saúde
na hora de tomar a decisão de implantar soluções informatizadas é o alto custo
envolvido. Outro importante aspecto a ser considerado é a segurança do paciente e
consequentemente a segurança da informação.
Esta necessidade de garantir a segurança da informação exigida nesta área é
um fator determinante para elevação do custo final da implantação de um Prontuário
Eletrônico do Paciente (PEP). São diversos requisitos que devem ser observados ao
desenvolver, especificar ou adquirir software e equipamentos de Tecnologia da
Informação (TI), como será apresentado neste trabalho.
Por isso, a segurança da informação é o maior desafio para a implantação do
conceito de hospital sem papel.
Este trabalho tem como principal motivação contribuir com o debate sobre a
segurança da informação na implantação das TIC na área da saúde. Também visa
14
contribuir para que decisões sejam tomadas visando níveis maiores de eficiência e
qualidade na prestação de serviços de saúde à população, garantindo a devida
segurança para o paciente.
Existe uma série de requisitos que visam garantir a autenticidade,
confidencialidade e integridade das informações de saúde (SBIS, 2012). Este
trabalho apresentará um breve resumo dos principais desafios para garantir a
segurança da informação no registro de informações em saúde.
Há outros pontos envolvidos na segurança da informação nesta área, como
por exemplo, a transmissão de dados dos pacientes pela rede, intercomunicação
entre instituições de saúde, segurança em dispositivos móveis, entre outros, porém
não é objeto desta pesquisa detalhar o mecanismo que deve ser empregado para
segurança da informação nestas tecnologias e nem outros aspectos que
ultrapassam o objetivo principal desta pesquisa.
Entre outras aplicações, o material produzido neste Trabalho de Conclusão de
Curso pretende ser um bom subsídio teórico para gestores da área da saúde,
principalmente na hora de especificar os termos de referência para licitações.
Portanto, espera-se que, ao final deste trabalho, haja a promoção do conhecimento
necessário para auxiliar profissionais de saúde, TI, administradores, enfim, todos os
envolvidos no processo de informatização da saúde.
1.1. Objetivos
Este trabalho tem como objetivo geral discutir os principais aspectos
relacionados à segurança da informação nos sistemas de prontuário eletrônico do
paciente. Os objetivos específicos são:
Explanar as diferenças entre registro em papel e o registro eletrônico
(análise de viabilidade desta migração);
Apresentar os requisitos legais envolvidos na segurança da
informação aplicada ao setor de saúde;
Promover o debate de ideias sobre os requisitos legais envolvidos;
15
Discutir as perspectiva do futuro desta área.
1.2. Metodologia
A metodologia principal utilizada para o desenvolvimento deste trabalho é a
pesquisa bibliográfica, tendo como objetivo reunir e consolidar um estudo detalhado
sobre os requisitos de segurança necessário para a implantação de um sistema que
registra eletronicamente informações de saúde dos pacientes.
Por meio da técnica de entrevista, apresenta-se uma consulta ao presidente
da subcomissão especial da Câmara de Deputados destinada a discutir a
informatização da saúde no Brasil, visando entender o que está sendo discutido no
Congresso Nacional, e verificar qual o posicionamento da subcomissão com relação
a segurança da informação no PEP.
A linha de raciocínio para desenvolvimento deste trabalho será a seguinte:
Mostrar argumentos que justificam a transição do meio físico para
o meio eletrônico;
Apresentar requisitos específicos do aspecto de segurança da
informação para o PEP;
Mostrar etapas para obtenção de certificação Sociedade Brasileira
de Informática em Saúde (SBIS);
Introduzir a demais temas ligados a segurança e fazer prospecção
de futuro do tema;
Apresentar conclusão do tema.
As principais referências teóricas deste trabalho estão relacionadas às
resoluções do Conselho Federal de Medicina (CFM) e SBIS.
Outra fonte importante que contribuiu para o cumprimento dos objetivos deste
trabalho são os dados fornecidos pela assessoria da subcomissão da informatização
da saúde pública.
16
Dentre os autores visitados durante a elaboração deste trabalho, os mais
destacados são:
Requisitos legais exigidos pelas resoluções do CFM;
Materiais orientadores fornecidos pela SBIS, inclusive palestras
virtuais, disponível em site da SBIS;
Artigo: Segurança da Informação em Saúde: Prontuário Eletrônico
do Paciente - Samáris Ramiro Pereira e Paulo Bandiera Paiva.
Apresentado no 9º International Conference on Information Systems
and Technology Management (CONTECSI).
Dissertação de Mestrado: Desenvolvimento e Avaliação
Tecnológica de um Sistema de Prontuário Eletrônico do Paciente,
Baseado nos Paradigmas da World Wide Web e da Engenharia de
Software – Claudio Giulliano Alves da Costa.
Dissertação de Mestrado: Sistema de gestão de segurança da
informação em organizações da área da saúde – Carlos Eduardo
Ribas.
Livro: Direito Digital Aplicado – Patrícia Peck Pinheiro.
17
2. REVISÃO BIBLIOGRÁFICA
2.1. Prontuário: da antiguidade ao prontuário eletrônico
O registro não é apenas um patrimônio do humano, mas é também formador do humano, construtor de subjetividades, constituidor de nossas formas de ver o mundo. (JANER, 2012)
2.1.1. Definindo prontuário
No contexto desse trabalho, como será apresentado, o registro de
informações está relacionado ao prontuário do paciente. O nome prontuário provém
do latim prontuarium e refere-se ao lugar onde se guardam coisas que devem estar
à mão, despensa, armário, etc. (ALVES, 2010).
O artigo 1º da resolução do CFM Nº 1638/2002 define prontuário do paciente
como (CFM, 2002):
Documento único constituído por conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, utilizado para possibilitar a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.
Em resumo, prontuário é um conjunto de informações pertinentes ao paciente
e ao seu tratamento, portanto, é do paciente. A premissa de o prontuário ser
propriedade do paciente impõe uma série de requisitos e, inclusive, requisitos de
segurança da informação.
O conteúdo do prontuário do paciente não é gerado apenas por médicos.
Todo e qualquer atendimento em saúde deve ser registrado. Isso pressupõe que
múltiplas categorias de profissionais de saúde efetuam registro, tais como: médicos,
enfermeiros, nutricionistas, psicólogos, fisioterapeutas, farmacêuticos e outros. Além
de haver diversos profissionais inserindo informações no prontuário, existe uma
18
diversidade de locais onde acontecem os atendimentos, tais como: sala de cirurgia,
ambulatório, enfermaria, Unidade de Tratamento Intensivo (UTI), farmácia, na
própria casa do paciente, entre outros. Percebe-se, então, que o dado clínico é
muito heterogêneo para ser introduzido em sistemas tradicionais de informação
(CONSELHO ECONÔMICO E SOCIAL DA ONU apud PEREIRA e PAIVA, 2012).
2.1.2. Vantagens e desvantagens do uso de prontuário em papel
O prontuário em papel é ainda a realidade da grande maioria dos hospitais
brasileiros. Entretanto, há diversos pontos negativos gerados pelo uso do prontuário
no formato de papel. Além do espaço físico requerido para manter o grande volume
de papel, pode-se destacar alguns pontos como (YABUMOTO, 2011) (COSTA,
2001) (SBIS, 2012):
Preenchimento irregular;
Extravio;
Ilegibilidade ou dificuldade de leitura;
Falta de organização do conteúdo ou no arquivamento;
Logística física do prontuário;
Prontuário em papel pode estar em apenas um único lugar de cada
vez;
Ambiguidade;
Multiplicidade de pastas;
Dificuldade de pesquisa coletiva;
Dificuldade de acesso;
Fragilidade do papel;
Prontuário em papel não disparam lembretes/alertas, ou seja, é um
método passivo;
Para estudos científicos os dados devem ser transcritos, aumentando
a probabilidade de erro.
19
O prontuário em papel não possui só desvantagens. Se bem estruturado ele
possui algumas vantagens consideráveis (COSTA, 2001):
Facilidade para transporte (portar um papel no dia a dia é mais fácil
que portar um dispositivo eletrônico);
Maior liberdade na forma de escrever;
Facilidade no manuseio;
Não requer treinamento especial;
É menos suscetível a indisponibilidade se comparado com o
eletrônico.
2.1.3. Transição e justificativa para a utilização do PEP
Na Tecnologia da Informação e Comunicação em Saúde (TICS) o PEP é tido
como a principal ferramenta que o médico precisa ou precisará nas suas atividades
diárias no atendimento ao paciente, seja no consultório, centro diagnóstico ou
hospital (SBIS, 2012).
Segundo pesquisa da NPR/Kaiser Family Foundation (2009) realizada nos
Estados Unidos, 75% das pessoas adultas acredita que a utilização de PEP é muito
importante ou tem alguma importância (NPR, 2009).
Do ponto de vista legal, em 2002 o CFM publica a primeira resolução que
abre a possibilidade de haver o prontuário do paciente no formato eletrônico. A
resolução CFM Nº 1638/2002 define e apresenta considerações sobre o tema,
passando o prontuário a não ser entendido como somente um documento em papel.
A resolução CFM Nº 1639/2002 revoga a resolução CFM Nº 1331/1989 e
determinava rígidos critérios para a utilização legalizada do PEP. Porém, a
resolução CFM Nº 1639/2002 já foi revogada e substituída pela resolução CFM Nº
1821/2007, a qual aprova as normas técnicas concernentes à digitalização e uso dos
sistemas informatizados para guarda e manuseio dos documentos dos prontuários
dos pacientes, autorizando a eliminação do papel e a troca de informação
identificada em saúde (CFM, 2007).
20
O PEP é um elemento chave para a melhoria na qualidade e eficiência na
saúde em geral. Para isso, é fundamental que o médico disponha de um sistema
PEP de alta qualidade e confiabilidade, seguro e que possa auxiliá-lo na história
clínica, exames, prescrição, hipóteses diagnósticas, anamnese, etc. (CFM, 2007).
Como demonstrado na figura 2, houve um grande avanço na maioria dos
seguimentos em saúde, porém a complexidade, resistência e custos envolvidos
nesta transição entre o prontuário em papel e o PEP explica a baixa adesão ao PEP,
ou seja, apesar de reconhecerem a importância da TIC, as instituições da área de
saúde ainda carecem de visão estratégica. Embora 73% delas digam que a TIC é
essencial, somente 24% a entendem como estratégica, 28% como componente para
aumentar a competitividade. Enquanto isso, 24% veem a tecnologia apenas como
custo extra, e outros 24% tem dúvidas se devem investir ou não (VIEIRA, 2013).
Segundo SBIS (2012), com um bom sistema de prontuário eletrônico, o
médico pode dedicar mais tempo para os pacientes. O médico deve gastar tempo
com o cuidado com o paciente e não preenchendo milhares de papéis.
Estudos ao redor do mundo têm demonstrado o impacto positivo sobre a
saúde que a implementação de um PEP pode trazer tanto para os profissionais de
saúde, como para os pacientes, gestores e toda a equipe envolvida na atenção à
saúde (SBIS, 2012). Mesmo assim, a informatização não é a solução definitiva. Há
uma baixa qualidade dos prontuários em boa parte dos hospitais, principalmente os
universitários. A revisão e atualização destes prontuários devem preceder qualquer
tentativa de informatização, pois não existe ação possível para a segurança da
informação eletrônica em dados incompletos ou que apresentem erros (PEREIRA e
PAIVA, 2012).
21
Figura 1: Evolução hospitalar em contraste com a evolução do prontuário médico. Fonte: Adaptação do autor (COSTA, 2003).
Observam-se mais iniciativas dos governos, tanto no Brasil quanto fora, para
o uso de sistemas eletrônicos para conservação e sustentação das informações
sobre a saúde. Será visto que o governo federal está realizando algumas iniciativas
para tornar a saúde pública brasileira informatizada. No tópico sobre a subcomissão
para informatização da saúde será apresentada com maior detalhe.
Fora do Brasil, em 2003 o governo da Dinamarca forçou os hospitais a
investirem em sistemas eletrônicos até 2005. Em 2009, o presidente Obama
incentivou os hospitais dos Estados Unidos a utilizarem os sistemas de informação
hospitalares (YABUMOTO apud PEREIRA e PAIVA, 2012).
Outro fator que está impulsionando a utilização do PEP é o fato de haver uma
dificuldade no gerenciamento do conhecimento médico nos métodos tradicionais
baseados em papel.
22
Converter o prontuário do papel para o meio eletrônico é complexo e é só o
primeiro passo (PEREIRA e PAIVA, 2012).
2.2. Prontuário Eletrônico do Paciente (PEP)
2.2.1. Construção do PEP
O Institute of Medicine (IOM), entende que o Prontuário Eletrônico do
Paciente é “um registro eletrônico que reside em um sistema especificamente
projetado para apoiar os usuários fornecendo acesso a um completo conjunto de
dados corretos, alertas, sistemas de apoio à decisão e outros recursos, como links
para bases de conhecimento médico” (IOM apud MARIN, H. F. ; MASSAD, E. ;
AZEVEDO NETO, R. S. DE, 2003).
O Registro Eletrônico de Saúde (RES) comumente confundido como sendo
sinônimo do PEP difere em sua conotação, pois na realidade o RES é um passo
além do PEP. O RES permite o armazenamento e compartilhamento seguro das
informações de pacientes, ou seja, permite o compartilhamento de informações
sobre a saúde de um ou mais indivíduos, inter e multi-instiuição, dentro de uma
região (município, estado ou país), ou ainda, entre um grupo de hospitais.
A construção do PEP é um processo, portanto há diversas etapas. Peter
Waegemann, em 1996, apresenta estas etapas (CONSELHO ECONÔMICO E
SOCIA DA ONU apud PEREIRA e PAIVA; ASSISTANT SECRETARY FOR
PLANNING AND EVALUATION apud PEREIRA e PAIVA, 2012):
1. Registro Médico Automatizado (Automated Medical Record):
Armazenagem da informação em computadores pessoais. Não cumpre
requisitos legais e, portanto, o prontuário em papel deve ser mantido.
2. Registro Médico Computadorizado (Computerized Medical Record):
Todo o corpo clínico coletam a informação no formato de papel e o
documento em papel é digitalizado e armazenado em um sistema
computacional. É uma modalidade de sistema pouco integrada.
23
Cumpre alguns requisitos legais e pode ser possível dispensar o papel
em alguns casos.
3. Registro Médico Eletrônico (Electronic Medical Record): Modelo
interdepartamental, reunindo os requisitos legais para
confidencialidade, segurança e integridade dos dados.
4. Registro Eletrônico do Paciente (Electronic Patient Record): Interligam
todas as informações do paciente, inclusive interinstitucional. É
necessária uma maneira de identificar o paciente de forma unívoca e
nacional, como projeto do cartão SUS.
5. Registro Eletrônico de Saúde (Electronic Health Record): Além das
características evolutivas dos anteriores, a responsabilidade de manter
o prontuário é dividida entre profissionais de saúde e paciente.
Figura 2: Níveis evolutivos no PEP. Fonte: O autor.
2.2.1.1. Vantagens e desvantagens do PEP
Sem dúvida, o PEP oferece muitas vantagens em relação ao modelo em
papel, tais como (PEREIRA e PAIVA, 2012) (SBIS, 2012):
Acesso rápido e simultâneo ao prontuário;
Disponibilidade remota;
Maior controle da segurança, por meio do uso de senhas, backup,
controle de acesso, gestão de incidentes e outros;
Registro Médico Automatizado
Registro Médico Computadorizado
Registro Médico Eletrônico
Registro Eletrônico do
Paciente
Registro Eletrônico de
Saúde
24
Legibilidade irrestrita;
Redução considerável no espaço físico de armazenamento;
Extinção de perda da informação por más condições de
acondicionamento;
Flexibilidade do layout dos dados;
Eliminação da redundância de dados, exames, prescrições e outros;
Fim da redigitação de informações;
Mitigação da possibilidade de erro;
Possibilidade de integração com outros sistemas de informação;
Processamento contínuo e em tempo real dos dados, podendo gerar
alertas instantâneos;
Organização mais sistemática;
Visualização flexível. Os dados poderão ser apresentados e
analisados de diversas formas;
Pode ser implementado com sistemas de alerta e de apoio à decisão;
Redução de custo, se bem implantado;
Melhor gerenciamento dos recursos, seja físico, humano e financeiro;
Avaliação da qualidade;
Possibilidade de busca coletiva do conhecimento, pesquisas,
epidemiologia e estatísticas;
Captação automática de dados fisiológicos do paciente através de
equipamentos de diagnóstico;
Disponibilidade de consulta de resultados de exames laboratoriais ou
de imagem;
Melhoria da efetividade do cuidado;
Maior segurança ao paciente.
Da mesma forma, segue uma lista de algumas desvantagens do PEP:
Necessidade de grande investimento em hardware, software e
treinamento;
Retorno do investimento não é imediato;
Resistência dos usuários aos procedimentos informatizados, podendo
chegar até uma sabotagem;
25
Sujeito à falha tanto de hardware quanto de software;
Sujeito à indisponibilidade das informações;
Sistema pode cair em desuso se mal aceito e/ou usuário não consiga
operar o sistema.
A segurança é destacada como uma das principais vantagens do PEP sobre
o prontuário em papel.
Outra vantagem destacada, possível mediante o devido cumprimento dos
requisitos de segurança do PEP, é o compartilhamento automático de informações
com outros profissionais e instituições que estão prestando assistência médica ao
paciente.
2.2.2. Uma análise da diferença entre PEP e prontuário digitalizado
A percepção de alguns quando se fala em prontuário eletrônico é que será
apenas um “papel” armazenado no computador, porém isso difere do que realmente
é o PEP. O prontuário em papel pode e deve ser digitalizado, porém isso não o torna
um PEP. Trata-se de um prontuário no formato de papel que foi escaneado e
armazenado, preferencialmente, em um sistema de Gerenciamento Eletrônico de
Documentos (GED)1 que, ao indexar e armazenar os prontuários facilita seu
manuseio, acesso e disponibilidade do prontuário em papel. Este procedimento está
regido pela Resolução CFM Nº 1821/2007 que normatiza e legitima o prontuário
digitalizado (SBIS, 2012).
Então, eletrônico é diferente de digitalizado. De acordo com CASTRO apud
SBIS (2012), “documento eletrônico pode ser entendido como a representação de
um fato concretizada por meio de um computador e armazenado em formato
específico (organização singular de bits e bytes), capaz de ser traduzido ou
apreendido pelos sentidos mediante o emprego de programa (software) apropriado”.
1 GED: é um conjunto de tecnologias que permite o gerenciamento de documentos no formato digital. (SILVA et
al., 200-).
26
Serão considerados eletrônicos quando estes documentos forem elaborados
e armazenados utilizando um sistema informatizado.
Documentos eletrônicos na área de saúde:
Anamnese 2;
Exame físico;
Prescrição médica;
Resultado de exame laboratorial;
Laudo de exame de imagem;
Anotação de enfermagem e outros;
Odontograma 3.
2.3. Segurança da informação em saúde
Com o grande avanço da TIC, aumentou-se também o número de fraudes e
falsificações. Como contrapartida, diversas tecnologias de segurança da informação
surgiram e estão sendo utilizadas para garantir a tríade: integridade,
confidencialidade e autenticidade (de dados e entidades) sobre informações digitais.
Alguns conceitos iniciais sobre segurança da informação podem ser obtidos
em trabalho anterior (BEZERRA e SOUSA, 2008).
Pode-se dividir a segurança da informação em duas frentes (PEREIRA e
PAIVA, 2012):
Gestão de segurança;
Pesquisa, análise e utilização das tecnologias de segurança.
2 Anamnese: Do grego ana, trazer de novo e mnesis, memória. Reaquisição da memória, regresso da
memória. Histórico dos antecedentes de uma doença (ANAMNESE, 2013).
3 Odontograma: Ficha que contém a representação gráfica dos dentes, na qual o dentista anota as
características dentárias de cada paciente (ODONTOGRAMA, 2013).
27
A segurança da informação em ambas as frentes, gestão ou tecnologias,
interagem com a área de conhecimento na qual estiver envolvida, como por
exemplo, neste caso: a saúde. Há uma pluralidade de áreas envolvidas na
segurança da informação. Essa integração de áreas de conhecimento distintas torna
o trabalho complexo e modular.
A segurança da informação para o PEP/RES é fundamental para aumentar a
qualidade do sistema e proporcionar um aumento na qualidade do cuidado prestado
ao paciente.
Costa (2001) faz outras considerações relativas à segurança da informação:
Máxima confidencialidade e máximo controle de acesso não
coexistem;
A segurança de transações na Internet pode garantir a segurança
dos dados do paciente no processo de transmissão;
A maioria dos casos de quebra de confidencialidade dos dados do
paciente é realizada pelos próprios profissionais da instituição.
As questões relacionadas à privacidade, confidencialidade e segurança são
fundamentais em sistema PEP e é pela falta destes requisitos que muitos sistemas
PEPs fracassam e não substituem os prontuários em papel. O custo elevado
requerido pela implementação dos requisitos de segurança faz com que muitos
desenvolvedores não implemente a totalidade dos requisitos.
Alguns incidentes de segurança viraram notícia no mundo inteiro, como o
caso do “Hacker rouba fichas de 5 mil pacientes de hospital nos Estados Unidos”
((ISC)² apud PEREIRA e PAIVA, 2012) e “Hospital nos Estados Unidos perde dados
de 130 mil pacientes” (IDG NEWS SERVICE, 2010). Incidentes assim acaloram as
discussões sobre o uso desta tecnologia no setor da saúde.
O atendimento à cada requisito do PEP é de fundamental importância para a
segurança da informação, pois um dos focos da segurança da informação é que o
funcionamento correto do sistema e que os objetivos de seus usuários sejam
atendidos (PEREIRA e PAIVA, 2012).
28
2.3.1. Pilares fundamentais da segurança
A segurança apoia-se em três pilares fundamentais: (1). Pessoas, (2).
Tecnologias e; (3). Aspectos jurídicos.
1. Pessoas:
Segundo Costa (2001), um sistema PEP depende em 80% das pessoas e
apenas 20% das tecnologias. Não há sistema bem sucedido sem que haja uma boa
aceitação dos usuários envolvidos. É fundamental o comprometimento de todos.
Estudo realizado no Hospital Universitário da Faculdade de Medicina de
Marília revela que os profissionais realizam acessos indevidos aos dados dos
pacientes (SALVADOR e ALMEIDA FILHO, 2004). Nesse ambiente hospitalar, foi
constatado o vazamento de dados por meio do acesso indevido a informações
privadas de pacientes e também o manuseio inadequado dos dados.
As pesquisas revelam também que, há uma preocupação dos médicos com
relação a quebra do sigilo médico. Mesmo sabendo dos benefícios e vantagens do
PEP, tais fatores trazem resistência na adesão do PEP (PEREIRA e PAIVA, 2012).
A implantação de um PEP é um processo delicado e requer análise de
vulnerabilidades em alguns pontos (MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO,
R. S. DE, 2003):
Falta de entendimento das capacidades e benefícios do PEP e
envolvimento dos usuários: É fundamental que todos os envolvidos
estejam cientes de todos os recursos e benefícios que o PEP pode
oferecer. É importante que os usuários tenham o sentimento de estar
incluído no processo. Isso facilitará todo o processo desde a coleta de
requisitos até a pós-implantação do PEP;
Padronização: A falta de padronização nos sistemas provoca a perda
de dados e inviabiliza muitos dos recursos;
Interface com o usuário: Para que os dados sejam armazenados
adequadamente, de forma estruturada, é fundamental que a entrada
29
também seja estruturada. Então, a interface com o usuário é primordial
para que os dados estejam adequados;
Mudança de comportamento: Os usuários devem estar cientes da
necessidade da mudança. O sistema a ser implantado deve ser o
menos impactante possível na rotina dos usuários. Sistemas que
interferem nos hábitos rotineiros das pessoas, em geral não são bem
aceitos ou demoram algum tempo, exigindo um esforço maior.
Treinamento: O insucesso de muitos sistemas se deve à falta ou a
falha no treinamento na implantação. Esse é um processo contínuo.
Apoio estratégico: O apoio da diretoria da instituição é imprescindível
para o sucesso na implantação de um sistema PEP.
2. Tecnologias:
O ciclo de vida útil de uma TIC, habitualmente, é relativamente curto. É
importante que seja implantando sempre as tecnologias modernas e que essas, uma
vez implantadas, que sejam atualizadas, evitando a obsolescência. A inovação em
TIC deve ser permanente (PEREIRA e PAIVA, 2012).
A deficiência na infraestrutura tecnológica acarreta uma série de possíveis
vulnerabilidades na segurança de um sistema. Antes que seja implantado um
sistema PEP, a infraestrutura deve estar adequada e seguindo os requisitos
necessários.
O controle de acesso é fundamental para um sistema PEP. Ele garantirá o
sigilo das informações dos pacientes contidas nos PEP. Os usuários devem
somente ver as informações que compete ao desempenho do trabalho. É
fundamental que haja auditorias constantes a fim de coibir acessos não autorizados.
É importantíssimo também, garantir que todo e qualquer dado transmitido em
rede seja seguro.
Em ambiente Web as questões relacionadas à segurança são a principal
limitação para o uso do PEP. Ao implantar um sistema PEP, Costa (2001) percebeu
que a principal dificuldade encontrada foi o atendimento aos requisitos de segurança
e devido a limitação orçamentária, não foi possível implantar em sua totalidades os
30
requisitos necessários ao PEP. Esse é um fato que ocorre em muitas implantações.
Nesta implantação, alguns requisitos foram previsto, mas não foram implantados,
tais como (PEREIRA e PAIVA, 2012):
Criptografia na transmissão dos dados;
Banco de dados inviolável;
Autenticação biométrica dos usuários;
Plano de contingência para desastres;
Segurança física no acesso aos servidores.
Outros mecanismos importantes que é recomendável que se empregue no
PEP são (PEREIRA e PAIVA, 2012):
Controle de acesso por usuário e senha;
Identificação por biometria;
Autenticação por certificado digital;
Implantação de políticas clara sobre os requisitos de segurança da
informação;
Auditorias periódicas;
Treinamento e a conscientização para o uso adequado do PEP.
3. Aspectos jurídicos:
Um sistema que não valoriza a segurança e confidencialidade pode estar
fadado ao fracasso, desencadear processos judiciais, e gerar ou aumentar a falta de
confiança dos usuários (PEREIRA e PAIVA, 2012).
Nesse processo de transformação científica e tecnologia é fundamental que
as leis acompanhem essa evolução.
Nos requisitos desejáveis em um PEP, observa-se a necessidade de
cuidados com a segurança da informação, os quais devem observar os preceitos
éticos e legais. A segurança da informação em saúde apresenta uma abordagem
jurídica complexa.
31
Ética médica: É proibido ao profissional de saúde revelar fato de que tenha
conhecimento em virtude do exercício de sua profissão (Código de Ética Médica), a
casos clínicos identificáveis, exibir pacientes ou seus retratos em veículo de mídia
ou qualquer tipo de publicação, revelar informações confidenciais obtidas e/ou
diagnosticadas (PEREIRA e PAIVA, 2012).
A violação da privacidade e da intimidade dos pacientes pelos profissionais de
saúde não ocorre somente em uma conduta positiva ou dolosa, tal crime também
ocorre na modalidade culposa, pois a previsibilidade subjetiva é requisito da
culpabilidade do crime culposo. A conduta ocorre tanto na ação como na omissão,
sendo a primeira qualquer movimento corpóreo tendente a uma finalidade, podendo
também o agente praticá-la de maneira puramente estática, que não é uma omissão,
mas uma ação positiva, um fazer, não um abster-se de fazer. É o caso quando o
profissional de saúde publica, divulga ou permite que seja divulgado informações ou
dados dos pacientes contra sua vontade ou sem a devida anuência.
Segundo Pinheiro (2012), os aspectos técnico-legais mais relevantes para um
trabalho de saúde digital, ou seja, implantação não apenas de PEP, como também
de GED, certificação digital, biometria, digitalização, cadastro e credenciamento on-
line, apresentação de resultados ambulatoriais pela Internet, entre outros, são:
Autenticidade dos dados – prova de auditoria;
Inviolabilidade dos dados – prova de integridade (criptografar, ter
senha de acesso, controle de acesso, fazer guarda histórica sem
sobrescrever, fazer guarda dos logs);
Padronização do modelo de guarda – permitir integração de Banco de
Dados e uso por diferentes agentes;
Capacidade de recuperação dos dados (disponibilidade e acesso);
Garantia de acesso das informações pela Justiça (histórico médico –
prontuário do paciente);
Possibilidade de controle (atuação dos organismos públicos de controle
da saúde e da ética médica).
2.3.2. Plano diretor de informática em saúde
32
É de fundamental importância que haja um plano diretor focado na área
saúde, assim como em outras áreas, para alcançarem-se os resultados desejados
(PEREIRA e PAIVA, 2012).
Considera-se como plano diretor o documento que sintetiza e torna explícitos
os objetivos consensuados para uma instituição e estabelece princípios, diretrizes e
normas a serem utilizadas como base para que as decisões dos atores envolvidos
no processo em questão convirjam, tanto quanto possível, na direção desses
objetivos (SABOYA apud PEREIRA e PAIVA, 2012).
Um Plano Diretor de Informática (PDI) consiste na elaboração estratégica de
investimento nas áreas de TIC a fim de assegurar o bom funcionamento das
atividades institucionais, bem como prover informações necessárias para estudos de
investimentos futuros em tecnologia. O PDI tem por objetivo o levantamento de
recursos, tais como: hardware, software, pessoas, processos, segurança da
informação e necessidades emergentes e futuras (DFIORI, 2013).
O PDI é um documento fundamental para que uma instituição possa utilizar
melhor os recursos da TIC e realizar seus projetos norteados e com projeções de
investimentos de TIC. O PDI pode ser aplicado tanto em organizações públicas
quanto privadas.
O plano diretor em segurança da informação é um braço do PDI. Assim como
em outras áreas, o plano diretor há algumas subdivisões, por exemplo:
Backup;
Segurança física;
Plano de contingência;
Gestão de incidentes;
Controle de acesso;
Segurança em sistemas.
Os Sistemas de RES (S-RES) no Brasil podem receber dois tipos de
certificações: a ISO 27001 (ABNT, 2009) e/ou SBIS (SBIS, 2009).
Nesse contexto, um plano diretor de segurança de informação voltado para a
saúde pode objetivar:
33
1. Certificar o S-RES com a certificação SBIS;
2. Certificar o S-RES com a International Organization for Standardization
(ISO) 27001;
3. Implementar aspectos de segurança da informação para eficácia da
segurança do sistema, independente de certificação.
2.3.3. Aspectos legais e éticos da segurança da informação em saúde
...Penetrando no interior das famílias, meus olhos serão cegos e minha língua calará os segredos que me forem confiados... Hipócrates, 460 a.C. (CRM-SC, 2000).
Uma das maiores barreiras e fator crítico para o sucesso na implantação de
um sistema PEP/RES é ganhar a confiança do corpo clínico. Há uma legítima
preocupação com relação ao sigilo médico. Segundo manual de orientação ética e
disciplinar do Conselho Regional de Medicina de Santa Catarina (CRM-SC) (2000),
não há possibilidade do exercício da medicina sem a existência e a estrita
observância do sigilo médico. Ele é a segurança do paciente.
O Código de Ética Médica, no seu artigo 11, impõe o segredo como um
princípio fundamental para o exercício da medicina. No capítulo IX estão as
obrigações com o segredo profissional. O dever de segredo não se limita ao médico,
mas a todos aqueles que, em função de sua profissão, tenham acesso a estes
dados. Porém, seus acessos deveriam se limitar somente às informações para o
exercer de suas profissões (SALVADOR e FILHO, 2004).
A confidencialidade das informações do PEP é um direito de todo cidadão,
com respaldo na Constituição Federal de 1988, em seu artigo 5º, inciso X que
garante a inviolabilidade da intimidade, da vida privada, da imagem e da honra das
pessoas. Este dever de preservação de segredo é previsto no nosso Código Penal,
artigo 154, e na maioria dos códigos de ética profissional da saúde (SALVADOR e
FILHO, 2004).
O PEP é regulado por algumas leis e são (PINHEIRO, 2012):
34
Constituição Federal, artigo 5º, inciso X;
Código Civil, artigos 225, 330, 331, 332, 333;
Código de Processo Civil, artigos 368, 371, 389;
MP 2.200-2/2001;
Resolução CFM Nº 1821/2007;
Resolução CFM Nº 1931/2009 – Código de Ética Médica;
Parecer CFM Nº 30/20024.
Com intuito de estabelece as normas, padrões e regulamentos para o
PEP/RES no Brasil, foi firmado um convênio de cooperação técnico-científica entre o
CFM e a SBIS. Com esse convênio houve a criação de um processo de certificação
de sistemas RES. Um marco regulatório importante foi a publicação da resolução do
CFM Nº 1821/2007, cuja sua ementa é a seguinte (CFM, 2007):
Aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde.
Em anexo conta o conteúdo integral desta.
Em 2009 o Conselho Federal de Odontologia (CFO) publicou uma resolução
que é idêntica a resolução CFM Nº 1821/2007 aprovando o uso do prontuário
eletrônico para pacientes de odontologia. A resolução publicada foi a CFO Nº
91/2009.
Quer seja um prontuário eletrônico ou em papel (modelo convencional),
ambos devem seguir as orientações e determinações da Resolução CFM Nº
1638/2002 que traz a definição de prontuário médico e torna obrigatória a criação de
comissão de revisão de prontuários nas instituições de saúde (SBIS, 2012). Esta
resolução traz conceitos que independe da forma de origem e armazenamento da
informação. Ela trata o que o espera-se de um prontuário médico.
4 Parecer CFM Nº 30/2002 – Para garantir a autenticidade e a confidencialidade na
transmissão dos dados, o PEP deve implementar a criptografia de chave pública, de acordo com normas da ICP-Brasil (PINHEIRO, 2002)
35
Outra exigência que é a feita pelo CFM exige que os S-RES atendam todos
os requisitos obrigatórios da certificação, porém o CFM, neste momento, ainda não
torna obrigatória a auditoria do SBIS nos S-RES, facultando ao desenvolvedor do
sistema submeter o sistema à certificação (SBIS, 2012). Estes requisitos estão
definidos e detalhados na Resolução CFM Nº 1821/2007 já citada.
2.3.4. Assinatura digital: Discussão da obrigatoriedade e o prontuário 100%
digital
Segundo SBIS (2012), para que um PEP possa eliminar 100% a utilização de
papel (paperless), é obrigatório o uso de certificação digital dos profissionais para
assinatura digital dos prontuários.
Esse é o posicionamento da SBIS / CFM: “Só há validade jurídica em
documento assinado digitalmente”. Contudo, segundo análise das especialistas em
direito digital Patrícia Peck Pinheiro e Sandra Paula Tomazi Weber (2012), a MP
2.200/2002 abre a possibilidade de um documento possuir validade jurídica por
outros tipos de certificados ou ainda outras formas para a identificação de autoria,
até pelo princípio de presunção da boa-fé (um simples e-mail enviado presume-se
oriundo daquele destinatário até que se faça prova em contrário).
O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento (MP2200-002/01 art. 10, parágrafo 2º)
O certificado digital transfere a responsabilidade sobre a autoria do
documento para Autoridade Certificadora (AC) e por isso tem sido muito adotado.
Porém ele não deve ser entendido como a única forma de possuir validade jurídica,
como afirma Pinheiro (2012).
O judiciário permitiu o peticionamento eletrônico por meio de usuário e senha.
Hoje a biometria já é adotada como forma de reconhecimento do indivíduo, seja para
36
passaporte ou no processo eleitoral. Então, não é correto afirmar que se o PEP não
for assinado por meio de certificação digital ICP-Brasil ele não possui validade
jurídica. Os documentos eletrônicos, assim como PEP e o próprio e-mail, já são
utilizados como instrumentos de prova nos processos atuais, independente de terem
sido assinados ou não via certificado digital. Isto é sustentado pelo artigo 225 do
Código Civil (PINHEIRO, 2012) e artigo 332 do Código de Processo Civil:
As reproduções fotográficas, cinematográficas, os registros fotográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou coisas fazem prova plena destes, se a parte, contra quem forem exibidos não lhes impugnar a exatidão (Art. 225 do Código Civil).
Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, são hábeis a provar a verdade dos fatos, em que se funda a ação ou defesa (Art. 332 do Código de Processo Civil).
Então, a assinatura eletrônica em um documento eletrônico que seja feita em
consonância com as disposições da MP 2200-002/01 equipara-se a uma assinatura
feita de próprio punho em um documento em papel. Logo, se tradicionalmente os
documentos são assinados em papel sem a exigência do reconhecimento de firma,
por que deveríamos exigir isso agora? Há outras técnicas que podem ser adotadas,
desde que preservadas a integridade e autenticidade do documento eletrônico
(PINHEIRO, 2012).
Essa interpretação da SBIS / CFM atrasa a informatização da saúde no Brasil,
colocando mais barreiras nesse processo.
Devido a esse posicionamento, se o sistema a ser implantado quiser obter a
certificação da SBIS, infalivelmente será necessária a utilização da certificação
digital.
A exigência da certificação digital nos PEPs, a flutuação no quadro de
médicos e demais profissionais de saúde fazem com que muitos hospitais adotem o
sistema híbrido, ou seja, os dados são inseridos em sistema eletrônico, esses dados
são impressos e então realiza-se uma assinatura de próprio punho no documento.
37
Tais sistemas não maximiza o ganho de ter um prontuário eletrônico, e ainda a essa
prática fere os princípios jurídicos de proteção legal de documento original da
Sociedade Digital, pois gera um novo documento que precisa de uma nova
autenticação e que pode sofrer quebra de integridade na migração de suporte
eletrônico para suporte papel (PINHEIRO, 2012).
Há um grande risco nessa solução, pois há duas fontes distintas de
informação e isso pode gerar a leitura não integral do prontuário do paciente,
podendo gerar diagnósticos, decisões, prescrições, entre outros, equivocadas.
Embora seja um complicador nesse processo de informatização da saúde, se
optada pela adoção da assinatura eletrônica por meio de certificado digital ICP-
Brasil, ela trará algumas vantagens, como a já citada “transferência de
responsabilidade sobre a autoria do documento para AC”.
Um sistema que utiliza assinatura digital pode operar nos modos centralizado
e distribuído (E-VAL, 2013):
Operação centraliza: as chaves de assinatura são armazenadas em
dispositivo Hardware Security Module (HSM). Instalados no servidor do
serviço. Promove maior usabilidade aos usuários, que não precisarão
portar um dispositivo móvel de cartão ou token;
Operação distribuída: cada profissional utiliza seu cartão ou token, para
realizar as assinaturas diretamente nos computadores do ponto de
cuidado.
Segundo Paulo Kulikovsky, vice-presidente da Certisign (CERTISIGN, 2013):
A certificação digital é a solução para redução dos custos dos hospitais com aumento da segurança, tanto para o paciente como para os próprios hospitais, além do aumento na produtividade do corpo clínico e facilidade de acesso às informações. Quando implantado o processo de certificação digital, são eliminados todos os esforços administrativos e os erros advindos do uso do prontuário em papel.
38
Observa-se que não há um consenso sobre a obrigatoriedade do uso da
assinatura digital. A assinatura digital por ser mais regulada, trará mais benefícios
em caso de processos judiciais, pois simplificará a prova da autenticidade e
integridade das informações, porém há um alto custo a ser pago por essa
“segurança jurídica”.
2.3.4.1. CRM Digital
O CFM lançou em março de 2011 o CRM Digital que visa estimular e
massificar o uso de certificação digital pelos médicos no Brasil. Gradualmente o
smart card está substituindo o modelo tradicional de cartão (SBIS, 2012).
Para utilizar o CRM digital no prontuário eletrônico o médico deverá procurar
uma Autoridade Registradora (AR) que é o órgão competente e autorizado a inserir
um certificado digital padrão ICP-Brasil válido.
Na primeira etapa deste processo, o certificado digital a ser inserido no CRM
Digital é o mesmo que o e-CPF A3, ou seja, um certificado digital ICP-Brasil para
pessoa física válido por 3 anos.
O CFM realizou um termo de cooperação com a Caixa Econômica Federal
para baratear o custo do certificado digital para o CRM Digital. Esse termo foi
realizado através de um estudo realizado em 2011, onde foi tabulado os seguintes
preços para certificação:
39
Tabela 1 – Custo individual do certificado digital. Fonte: (CFM, 2013).
2.3.5. Verificação de atendimento à resolução CFM Nº 1821/2007
A resolução do CFM Nº 1639/2002 traz normas técnicas para o uso de
sistemas informatizados e para a guarda e manuseio do prontuário médico. Porém,
com o convênio estabelecido com a SBIS, esta resolução foi revogada e a norma
vigente é a presente no manual da SBIS, conforme Art. 1º da resolução CFM Nº
1821/2007.
Para verificar se o S-RES atende a todos os requisitos da resolução CFM Nº
1821/2007 há duas formas. A primeira é por meio da certificação do S-RES. Para
isto, verifique o nome do sistema, desenvolvedor/empresa e número da versão
(número da versão é o elemento essencial, pois a certificação é válida para
determinada versão de sistema, não abrangendo versões futuras). Com estas
informações, acesse o site da SBIS: http://www.sbis.org.br/certificacao e verifique se
esse sistema consta na lista de sistemas auditados pela SBIS (SBIS, 2012).
No site constará:
40
Número do certificado;
Situação atual do certificado;
Nome do produto;
Nome da empresa / organização;
CNPJ da empresa / organização;
Versão do produto;
Ano de referência;
Data de emissão do certificado;
Data de validade estimada do certificado;
Nível de garantia de segurança (NGS);
Categoria do S-RES;
e arquivo em formato digital do certificado emitido.
A segunda forma é questionar a diretoria técnica da instituição de saúde a fim
de, mesmo não auditado, verificar se o S-RES atende todos os requisitos da
certificação de software. Como mencionado anteriormente, a certificação ainda não
é um requisito obrigatório, então essa segunda forma só será válida enquanto não
houver legislação que obrigue a certificação dos S-RES.
Como prevê o art. 18 do código de ética médica prevê que é vedado ao
médico desobedecer ou desrespeitar aos acórdãos e às resoluções dos conselhos
federal e regionais de medicina. Em eventual processo judicial ou nos conselhos
regionais, não serão consideradas válidas como prova legal se essas estiverem
armazenadas em S-RES que estejam em desacordo com as exigências da
certificação.
2.3.6. Certificação de sistema de informação em saúde no Brasil
Em 2002 foi firmado um convênio de cooperação técnico-científica entre o
CFM e a SBIS para definição do PEP/RES e estabelecimento dos requisitos
mínimos e obrigatórios para esse tipo de sistema e tendo como grande motivador a
segurança do paciente. A percepção destes órgãos foi a que as informações da
41
saúde dos pacientes não estavam sendo armazenadas, até então, de forma segura,
sendo necessário estabelecer padrões e o reconhecimento de sistemas que adotam
esses padrões. Surgiu então a certificação para S-RES (SBIS, 2012).
A certificação S-RES é um processo de auditoria em sistemas informatizados
que armazenam informação identificada de saúde e que consiste em verificar o
atendimento do sistema aos requisitos do manual de certificação.
A base da formulação destes requisitos foi revisão de experiências e projetos
similares, normas e padrões nacionais e internacionais, de forma que fossem
atendidas integralmente as legislações nacionais.
Um dos principais requisitos estabelecido é o uso da assinatura eletrônica
com certificado digital padrão ICP-Brasil.
No S-RES, se é atendido os requisitos do manual de certificação e possui a
assinatura digital para assinar o prontuário, os registros gerados não são passíveis
de modificação. Se for necessária à modificação será necessário gerar um novo
registro versionado da informação. Já em um sistema não certificado não há
garantias que o registro não seja modificado (SBIS, 2012).
2.3.6.1. Fases do processo de certificação SBIS / CFM
A certificação de um S-RES possui três fases (D’AVILA, 2004):
Fase I – Declaração de conformidade;
Processo simples via Internet;
Aderência aos requisitos do manual;
Apenas uma fase de adaptação e treinamento do mercado.
Fase II – Selo SBIS / CFM;
Selo de qualidade para o software, certificando que o mesmo atende
requisitos;
Necessidade de auditoria;
Certificado para o produto (software) pela SBIS e registrado no CFM.
42
Fase III – Certificação de RES.
Modelo mais amplo;
Certificação de hospitais, clínicas para o uso do PEP;
Abandonar o papel;
Metodologia de certificação estilo Organização Nacional de
Acreditação (ONA);
Envolvimento da Agência Nacional de Vigilância Sanitária (ANVISA).
Este é um processo complicado que exige pelo menos dois aspectos: a
análise do produto e a sua utilização no ambiente em que está instalado.
2.3.6.2. Nível de Garantia de Segurança (NGS)
Um dos pontos mais importantes da certificação SBIS-CFM é a segurança da
informação (SBIS, 2012).
O processo de certificação SBIS/CFM classifica os S-RES, do ponto de vista
de segurança da informação, em dois Níveis de Garantia de Segurança (NGS):
NGS1: define requisitos obrigatórios de segurança, tais como controle
de versão do software, controle de acesso e autenticação,
disponibilidade, comunicação remota, auditoria e documentação.
NGS2: Além de todos os requisitos do NGS1, exige a utilização de
certificados digitais ICP-Brasil para a assinatura e autenticação.
Somente os sistemas que estão em conformidade com esse nível são
considerados de 100% digitais, pois não requer a impressão de
documentos do prontuário. Este é o atualmente o nível mais elevado
de segurança de certificação S-RES.
No manual de certificação (SBIS, 2009) constam todos os requisitos de
segurança que cada nível exige.
43
No item 8.2 e 8.3 do manual estão descritos estes itens. Constam na tabela a
identificação (ID), requisito, conformidade, local e remoto. São exemplos de
requisitos:
Controle de versão do software: Versão software, código fonte,
repositório de versões, entre outros;
Identificação e autenticação de usuário: Método de autenticação,
segurança de senhas, controle de tentativas de login, entre outros;
Disponibilidade do RES: Cópia de segurança, segurança da
comunicação entre cliente e servidor, entre outros;
Assinatura digital: Formato de assinatura, referência temporal para
revogação, validade da assinatura digital entre outros;
Entre outros.
2.3.6.3. Categorias da certificação
Genericamente o processo de certificação SBIS/CFM destina-se ao S-RES.
S-RES, segundo definição da norma ISO, é qualquer sistema que capture,
armazene, apresente, transmita ou imprima informação identificada em saúde (SBIS,
2012).
Exemplos de S-RES:
Sistemas de gestão hospitalar;
Prontuário eletrônico;
Sistemas para clínicas e consultórios;
Sistemas de resultado de exames laboratoriais;
Sistemas para laudos de exames de imagens;
Sistemas para saúde do trabalhador;
Entre outros.
44
Na versão atual do manual de certificação, versão 3.3, foram criados
requisitos somente para algumas categorias, permitindo que os S-RES das
categorias abaixo possam ser auditados.
Assistencial: qualquer sistema que auxilie o médico no atendimento ao
paciente;
Gerenciamento Eletrônico de Documentos (GED): utilizados para o
armazenamento e visualização de documentos, desde que
relacionados à informação de saúde.
Troca de Informação em Saúde Suplementar (TISS): categoria dirigida
ao atendimento do padrão TISS da Agência Nacional de Saúde
Suplementar (ANS).
2.3.6.4. A ISO 27799
A série 27000 da ISO concentra-se nos requisitos, controles de segurança e
orientado para implementação de um Sistema de Gestão de Segurança da
Informação (SGSI) (RIBAS, 2010).
A ISO 27001:2006 foi preparada para prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI
(ISO apud RIBAS, 2010).
A ISO 27002 estabelece um código com as melhores práticas em segurança
da informação. Ela lista os objetivos de controle e recomenda uma série de controles
de segurança específico (RIBAS, 2010).
A ISO 27799 define diretrizes para auxiliar organizações da área da saúde e
outras que armazenam informações médicas na interpretação e na execução da ISO
27002. A ISO 27799 é um complemento da ISO 27002. Todos os objetivos descritos
nela são relevantes para a área da saúde, mas alguns controles requerem
esclarecimentos adicionais a respeito de como eles podem ser usados para proteger
a confidencialidade, integridade e disponibilidade de informações médicas. Há
também requisitos adicionais específicos do setor da saúde. Esta norma fornece
45
uma orientação adicional de forma que as pessoas responsáveis pela segurança da
informação na saúde possam facilmente compreender e aprovar (ISO apud RIBAS,
2010).
2.3.7. A importância da engenharia da usabilidade para a segurança em
sistema PEP
A engenharia da usabilidade visa conquistar a aceitação do usuário a um
sistema e assim efetivar sua utilização. É preciso mudar esta visão contribuindo para
o desenvolvimento e a operação de sistemas de informação funcionais e seguros
(PEREIRA e PAIVA, 2012).
Como mencionado os sistemas informatizados são essenciais na área da
saúde, mas sua eficácia é diretamente proporcional à sua usabilidade. Um sistema
com uma usabilidade adequada reduz falhas na segurança, sejam elas intencionais
ou não, oriundas do usuário.
Na área da saúde, a necessidade de segurança é ainda mais crítica do que
em outras áreas, pois afetará diretamente o bem estar e a vida humana envolvida. A
segurança da informação permeia todos os colaboradores da instituição, sendo
necessário que todos os profissionais se familiarizem com a engenharia da
usabilidade e que haja a consciência que ela é uma poderosa ferramenta na
redução dos riscos na segurança do PEP (PEREIRA e PAIVA, 2012).
Em pesquisa realizada por Koppel et al. (2005) e Ash et al. (2004) revela
algumas falhas impactantes por falta de usabilidade do sistema, tais como
(PEREIRA e PAIVA, 2012).
Usuário não conseguia utilizar corretamente o equipamento e desta
forma atrasava ou impossibilita o procedimento.
O sistema assumia a dosagem do medicamento com base na unidade
cadastrada. Não considerava a possibilidade de prescrição de
dosagem atípica;
46
Os prescritores frequentemente inseriam registro de novas doses sem
cancelarem o registro antigo: o paciente recebia a soma das doses;
Usuários anotavam dados em papel e depois os lançavam no sistema.
As informações perdiam consistência e atualização;
Anotação do procedimento com defasagem de tempo. Há falha na
consistência de tempo e dois ou mais trabalhos para o mesmo
procedimento.
Um medicamento prescrito três vezes por dia foi suspenso, mas o
sistema não permitiu o fechamento da prescrição incompleta;
Medicamentos urgentes podiam ser ministrados pelos enfermeiros
antes da ordem do médico. Porém, o PEP inviabilizava essa exceção,
exigindo que houvesse primeiramente a prescrição médica;
Pacientes no pronto-socorro não poderiam ser atendidos sem cadastro,
Mesmo em estado de emergência, sem o porte da documentação, o
sistema não permitia a alocação de leito, retirada de medicamento,
consulta ou solicitação de exames;
Problema da meia-noite: na área da saúde, ministrar um remédio às
23h55 ou às 00h05 é análogo, mas para o sistema é outro dia, gerando
inconformidades nas informações.
O PEP é um caminho sem volta e que exige a presença da engenharia da
usabilidade para que haja a segurança da informação necessária e a aceitação dos
usuários do sistema (PEREIRA e PAIVA, 2012).
O profissional de saúde deseja que o PEP seja:
Integrado;
Atualizado em tempo real;
Tenha autenticidade e confidencialidade;
Aderente à legislação vigente.
Um dos maiores equívocos no desenvolvimento dos sistemas, não somente
do PEP, é a construção de interfaces por profissionais isolados, concentrados no
computador e alheio ao dia a dia dos usuários. Por isso, o envolvimento dos
usuários (médicos, enfermeiros, fisioterapeutas, outros) é importantíssimo para a
47
construção e evolução de um sistema que seja eficiente na sua usabilidade,
tornando assim o sistema mais seguro, bem aceito e amplamente utilizado. Um
sistema bem construído, do ponto de vista da usabilidade, quebra a barreira da
resistência dos usuários com relação à implantação.
2.3.8. Implementação do prontuário eletrônico do ponto de vista jurídico
Tendo em vista a importância da padronização do modelo técnico-jurídico de
saúde digital, é necessária uma análise jurídica minuciosa, a fim de dar cumprimento
às leis em vigor no País, considerando temas como (PINHEIRO, 2012):
Modelo técnico-legal de referência e requisitos de software e sistemas;
Modelo técnico-legal de referências e requisitos para bases de dados.
Modelo de autenticação forte (prova de autoria e identidade) com
análise de aplicação de Certificação Digital da ICP-Brasil e/ou registro
Biométrico;
Política de privacidade eletrônica;
Política de segurança da informação;
Especificação para contratação de soluções e fornecedores TI;
Modelo de contrato de fornecedores de TI;
Termo de uso do ambiente e vacinas legais para as interfaces gráficas
(aplicável a vários tipos de autenticação e acesso);
Termo de confidencialidade;
Termo de coleta biométrica;
Referência para extração de análise dos dados de PEP para fins
estatísticos (não identificáveis);
Capacitação com palestras e treinamentos para construção de uma
cultura paperless na saúde, orientando médicos e equipes sobre o uso
ético, seguro e legal do prontuário eletrônico;
Recomendações e Procedimentos para hospitais, clínicas, laboratórios,
seguradoras de saúde e médicos;
48
Atualização do Código de Conduta Médica para inserir a questão do
PEP;
Participação em reuniões de discussão e validação do modelo
brasileiro;
Registros em atas de reunião;
Homologação legal das soluções apresentadas por parceiros ou
fornecedores;
Elaboração de pareceres técnico-legais para apoiar implementação de
PEP nas instituições público-privadas;
Resposta às dúvidas e consultas de hospitais, seguradoras e demais
agentes de mercado.
Então, na implementação de um PEP é necessária uma base jurídica bem
estruturada, além de treinamentos específicos para os profissionais envolvidos
(PINHEIRO, 2012).
2.3.9. Passivo do prontuário em papel
O prontuário pode e deve ser digitalizado, porém isso não autoriza o descarte
do papel. Pela lei brasileira atual está autorizada a eliminação do papel em caso de
microfilmagem5 dos documentos.
Segundo resolução CFM Nº 1821/2007, está autorizada a eliminação do
prontuário em papel desde que o arquivo resultante do processo de digitalização
seja assinado com um certificado digital ICP-Brasil e este devem ser mantidos em
sistema. Porém, ainda não há um consenso visto que o prontuário é multiprofissional
e inclui anotações de diversas categorias de profissionais de saúde e, como
mencionado, parte dos demais conselhos de classe não houve regulamentação
efetiva nesse assunto. Mesmo ao digitalizar o prontuário, os originais em papel
5 Microfilme: é uma mídia analógica de armazenamento para livros, periódicos, documentos e desenhos.
49
devem ser armazenados por um período mínimo de 20 anos, conforme determina
resolução CFM Nº 1821/2007, no art. 8º.
Este é um problema gerado pelo uso do papel. Mesmo implementando um S-
RES, haverá um passivo que deverá ser tratado, pois não poderá ser eliminado o
papel “do dia para noite”. É um trabalho de longo prazo para descartar de vez toda
obrigação legal sobre uso do papel para registro de informações dos pacientes.
A resolução CFM Nº 1821/2007, no art. 7º estabelece a guarda permanente
para os prontuários médicos arquivados eletronicamente em meio ótico ou
magnético, e microfilmados.
2.4. Cases de sucesso e perspectivas para o futuro
2.4.1. Cases de sucesso na implantação de PEP
Segundo Costa apud Vieira (2013), ter um hospital digital não é tarefa trivial,
pois a infraestrutura necessária é muito grande. O hospital digital ainda não existe
no Brasil, mas ele é possível e está próximo de ser alcançado em instituições como
o Hospital das Clínicas de Porto Alegre em Rio Grande do Sul, o Instituto do Câncer
do Estado de São Paulo (Icesp) e o Hospital Samaritano em São Paulo, Unidade de
Pronto Atendimento (UPA) do Imbiribeira em Pernambuco, entre outros (VIEIRA 2,
2013).
O Icesp é uma grande referência no uso do PEP. Ele foi destaque no prêmio
“Referências em TI” (JUNIOR e MARCHESINI, 2013). A instalação do PEP evitou
rasuras nos documentos e facilitou o arquivamento e troca de informações.
O Icesp implantou a assinatura digital de seus documentos dando validade
aos documentos armazenados e gerados eletronicamente, tornando mais seguro,
ágil e com benefícios econômicos financeiros por meio da economia de papel e
50
melhor gerenciamento dos recursos. O projeto começou em abril de 2010 e finalizou
em junho de 2012, com investimento de R$5 milhões.
O Icesp adotou a arquitetura centralizada na operação de assinatura digital.
Há um módulo HSM que é responsável pela a guarda das chaves. No evento
EducaSUS (2011) o diretor de TI do Icesp, Dr. Kaio Jia Bin, menciona que a
arquitetura de operação centralizada tem algumas vantagens, como por exemplo, o
profissional não tem como esquecer a chave, já que seu armazenamento fica in
loco. Porém, essa adoção gerou alguns problemas, como cita, que se fosse para
optar hoje, ele optaria pela arquitetura distribuída. Além de dar mais transparência
ao profissional (aparente garantia que ninguém irá utilizar sua chave, já que está em
sua posse), e o fato dos profissionais trabalharem em mais de um lugar faz com
quem eles não consigam reutilizar a mesma chave em vários locais.
O Icesp está deixando de consumir 800 mil folhas por mês, trazendo uma
redução no custo, tanto na aquisição quanto na guarda do papel.
Figura 3 – Arquitetura da solução aplicada no Icesp. Fonte: (E-VAL, 2013).
51
A fundação Hospital Infantil Sabará, em São Paulo, está realizando a
implantação do PEP com NGS2. A meta é reduzir os custos com impressão de
documentos de R$ 16 mil para R$ 7 mil, segundo Milton Alves, diretor de TI e
facilities do hospital (CERTISIGN, 2013).
Com um investimento de R$ 400 mil, o Hospital Samaritano pretende deixar
de imprimir 500 mil folhas de papel por mês. A instituição certificou digitalmente
2500 funcionários para poderem assinar digitalmente o PEP (CERTISIGN, 2013).
2.4.2. O futuro do PEP segundo perspectiva de um especialista no assunto
Em âmbito federal, foi criada uma subcomissão para discutir a informatização
da saúde. Em entrevista ao deputado federal Dr. Alexandre Roso, ele fala um pouco
dos objetivos dessa subcomissão. A íntegra é apresentada no ANEXO 1.
Essa subcomissão tem como objetivo:
a) Fazer um diagnóstico do cenário atual da informatização da saúde
traçando metas;
b) Propor um projeto de lei e
c) Avaliar as ações do governo para incrementar a informatização da
saúde, assim como ocorreu no judiciário.
Como citou o deputado, menos de 1% do orçamento da saúde vai para a área
de TI e isto é pouco para uma área que poderia ter o status da principal ferramenta
para se alavancar a eficiência da saúde pública no Brasil.
No que tange a custos envolvidos, o deputado menciona que o benefício
alcançado por um sistema de informação eficaz supera o custo de sua implantação.
A verba virá do próprio ministério da saúde e há a possibilidade de ser feita uma
Parceria Público-Privada (PPP). A segurança da informação é um elemento principal
nesse processo e tem um alto custo envolvido e isto está sendo levado a debate na
subcomissão.
52
A intenção é criar um sistema que interaja e integre com todo o setor público
e também com instituições privadas. A chave para que esse processo ocorra é que
haja a unificação do cadastro dos pacientes e isto já vem ocorrendo por meio do
cartão SUS.
O deputado finaliza a entrevista trazendo três pontos principais:
desfinaciamento da saúde, a gestão e os recursos humanos. Nos três pontos a
informatização é a ferramenta de gestão fundamental para que haja eficiência.
2.5. Oportunidades de pesquisa relacionadas à área de informática em saúde
Segue algumas sugestões de pesquisa que daria continuidade a este
trabalho:
PEP e a utilização em dispositivos móveis (m-health);
Segurança da informação de saúde no contexto de Bring Your Own
Device (BYOD) – Traga seu próprio dispositivo);
Segurança da informação de saúde no contexto de Cloud Computing;
Segurança da informação na transmissão e compartilhamento de
dados entre instituições de saúde;
Segurança da informação de saúde em telemedicina;
Estudo sobre o protocolo Health Level 7 (HL7);
Auditoria em sistema PEP;
Direito digital para o PEP.
53
3. CONCLUSÃO
Os principais aspectos relacionados à segurança da informação nos sistemas
de registro eletrônico em saúde foram discutidos, onde as diferenças entre registro
em papel e o registro eletrônico foram esplanadas identificando-se vantagens e
desvantagens, bem como se analisou a viabilidade da migração papel para
eletrônico.
Os requisitos legais envolvidos na segurança da informação aplicada ao setor
de saúde foram cuidadosamente abordados e analisados, onde promoveu-se um
debate de ideias.
Finalmente, discutiram-se as perspectivas do futuro desta área, incluindo a
síntese de uma entrevista feita com o deputado Dr. Alexandre Roso.
Finalmente, com base em todo o estudo do assunto tratado neste TCC, bem
como na entrevista realizada, conclui-se que a adoção do prontuário eletrônico é a
mais adequada aos requisitos da saúde devido a suas inúmeras vantagens sobre o
prontuário em papel. A questão da segurança da informação na saúde é o elemento
chave nesse processo, tanto com relação à garantia e transparência ao corpo clínico
quanto a legalidade do sistema. Portanto, a segurança da informação é o principal
obstáculo a ser superado, em um cenário em que garantir a segurança da
informação é garantir a segurança do Paciente.
54
REFERÊNCIA BIBLIOGRÁFICA
ALVES, Leonardo. História: o primeiro prontuário médico. Ago. 2010. Disponível em: <http://www.meuprontuario.net/prontuario-medico/blog-corporativo/Historia-o-primeiro-prontuario-medico.html>. Acesso em: 11 set. 2013.
ANAMNESE. In: Michaelis. Disponível em: <http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-portugues&palavra=anamnese>. Acesso em: 08 out. 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27000:2009: Sistema de Gerenciamento de Segurança da informação. 2009.
BEZERRA, Dinarde Almeida; SOUZA, Gustavo Magno. Protocolos criptográficos. Disponível em: <http://pt.scribd.com/doc/7526941/Protocolos-Criptograficos>. Acesso em: 01 mai. 2013.
CERTISIGN. Casos de sucesso. Disponível em: <http://www.certisign.com.br/solucoes-corporativas/casos-sucesso>. Acesso em: 09 jul. 2013.
CFM, Conselho Federal de Medicina. CRM Digital. Disponível em: <http://portal.cfm.org.br/crmdigital/crm-digital.html>. Acesso em: 09 jul. 2013.
CONSELHO FEDERAL DE MEDICINA. Aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde, Resolução n. 1821, de 23 de novembro de 2007.
CONSELHO FEDERAL DE MEDICINA. Define prontuário médico e torna obrigatória a criação da Comissão de Revisão de Prontuários nas instituições de saúde, Resolução n. 1638, de 9 de agosto de 2002.
COSTA, Claudio G. A. da. Desenvolvimento e Avaliação Tecnológica de um Sistema de Prontuário Eletrônico do Paciente, Baseado nos Paradigmas da World Wide Web e da Engenharia de Software. Dissertação de Mestrado em Engenharia Biomédica na UNICAMP, Universidade Estadual de Campinas. 2001.
COSTA, Claudio G. A. da. Prontuário eletrônico do paciente: Legislação, auditoria e conectividade. In: CONGRESSO LATINO AMERICANO DE SERVIÇOS DE SAÚDE, 8, 2003, São Paulo. Anais... [S. l. : s. n.].
CRM-SC, Conselho Regional de Medicina do Estado de Santa Catarina. Manual de orientação ética e disciplinar. Disponível em: <http://www.portalmedico.org.br/Regional/crmsc/manual/parte3c.htm>. Acesso em: 15 de ago. 2013.
D’AVILA, Roberto Luiz. A certificação SBIS-CFM. Disponível em: <http://www.portalmedico.org.br/include/forum_informatica/Forum%20Inf.%20em%20S%E1ude.ppt>. Acesso em: 11 set. 2013.
55
DFIORI, Soluções em Comunicações e Segurança. Plano Diretor de Informática. Disponível em <http://www.dfiori.com.br/servicos/index-3.htm>. Acessado em: 25 set. 2013.
EDUCASUS: Hospitais beneficentes trocando experiências: Prontuário eletrônico e assinatura digital. Disponível em: <www.fcmscsp.edu.br/ead/educasus/evento.php?eve_id=346>. Acesso em: 13 set. 2013.
E-VAL. MADICS: Módulo de Assinatura Digital e Certificação em Saúde. Disponível em <http://www.evaltec.com.br/images/MADICS.pdf>. Acesso em: 25 set. 2013.
IDG News Service. Hospital nos Estados Unidos perde dados de 130 mil pacientes. Disponível em: <http://computerworld.uol.com.br/seguranca/2010/06/30/hospital-nos-eua-perde-dados-de-130-mil-pacientes >. Acesso em: 07 set. 2009.
IMPRENSA DEMOCRÁTICA. Deputado Mandetta é relator da comissão que analisa informatização na saúde. Disponível em: <http://www.youtube.com/watch?v=3lYHPunhwoo>. Acesso em: 03 jul. 2013.
JANER, Jader. A Construção da prática cotidiana na educação infantil. Disponível em: <https://docs.google.com/presentation/d/1yj5bXdjAlpsKClFAEXZWnhK6gWHtr_SKopAMLpisvlY/edit#slide=id.i0>. Acesso em: 17 mai. 2013.
JUNIOR, Giberto Pavoni; MARCHESINI, Adriele. Icesp é destaque do prêmio Referências em TI. Disponível em: <http://www.saudeweb.com.br/38489/icesp-e-destaque-do-premio-referencias-em-ti>. Acesso em: 26 set. 2013.
MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO, R. S. DE . Prontuário Eletrônico do Paciente: Definições e Conceitos. In: Eduardo Massad; Heimar de Fátima Marin; Raymundo Soares de Azevedo Neto. (Org.). O Prontuário Eletrônico do Paciente na Assistência, Informação e Conhecimento Médico. 1 ed. São Paulo: , 2003, v. , p. 1-20.
NPR/Kaiser Family Foundation/Harvard School of Public Health. The public and the health care delivery system. Disponível em: <http://www.npr.org/documents/2009/apr/nprpoll_topline.pdf>. Acesso em: 23 set. 2013.
ODONTOGRAMA. In: iDicionário Aulete. Disponível em: <http://aulete.uol.com.br/odontograma>. Acesso em: 08 out. 2013.
PEREIRA, Samáris Ramiro; PAIVA, Paulo Bandiera. Information security in health: Eletronic Patient Record. CONTECSI – INTERNATIONAL CONFERENCE ON INFORMATION SYSTEMS AND TECHNLOGY MANAGEMENT, 9, 2012, São Paulo. Anais… [S.l.]: TECSI, [2012]. p. 289
PINHEIRO, Patrícia Peck (Org.). Direito digital aplicado. 1. ed. São Paulo: Intelligence, 2012. 360 p.
56
RIBAS, Carlos Eduardo. Sistema de gestão de segurança da informação em organizações da área da saúde. Dissertação de Mestrado em ciências na Faculdade de Medicina da Universidade de São Paulo. 2010.
SALVADOR, V. F. M.; ALMEIDA FILHO, F. G. VAZ DE. Aspectos Éticos e de Segurança do Prontuário Eletrônico do Paciente. JORNADA DO CONHECIMENTO E DA TECNOLOGIA - UNIVEM, 2, 2004. Marília, SP, 2004. Anais... [S. l.]: UEL, [2004].
SBIS, Sociedade Brasileira de Informática em Saúde. Cartilha sobre prontuário eletrônico: A certificação de sistemas de registro eletrônico de saúde. Disponível em: <http://www.sbis.org.br/certificacao/Cartilha_SBIS_CFM_Prontuario_Eletronico_fev_2012.pdf>. Acesso em: 01 mai. 2013.
SBIS, Sociedade Brasileira de Informática em Saúde. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) versão 3.3. Disponível em: <http://www.sbis.org.br/certificacao/Manual_Certificacao_SBIS-CFM_2009_v3-3.pdf>. Acesso em: 01 mai. 2013.
SILVA, Danielle P. da et al. GED – Gerenciamento Eletrônico de Documentos: A tecnologia que está mudando o mundo. Disponível em: < http://www.iterasolucoes.com.br/Site/images/stories/Itera/SalaLeitura/ged_gerenciamento_eletronico_de_documentos.pdf>. Acesso em: 08 out. 2013.
VIEIRA, Marcelo. Saúde ainda não vê TI como estratégica. Disponível em: <http://www.saudeweb.com.br/39267/saude-ainda-nao-ve-ti-como-estrategica>. Acesso em: 26 set. 2013.
VIEIRA 2, Marcelo. Hospital digital no Brasil é tarefa difícil, mas possível. Disponível em: <http://www.saudeweb.com.br/39094/hospital-digital-no-brasil-e-tarefa-dificil-mas-possivel>. Acesso em: 26 set. 2013.
YABUMOTO, S. Base eletrônica de dados clínicos e cirúrgicos em tromboembolismo venoso. Dissertação de Mestrado em Clínica Cirúrgica na UFPR, Universidade Federal do Paraná. 2011.
57
ANEXO 1 – ENTREVISTA COM O PRESIDENTE DA SUBCOMISSÃO PARA
INFORMATIZAÇÃO DA SAÚDE
Transcrição da entrevista com o Deputado Dr. Alexandre Roso, presidente da subcomissão para informatização da saúde no Brasil, gravada no dia 18 de setembro de 2013.
Pauta da entrevista: Informatização da saúde no Brasil
Objetivos da entrevista: Verificar quais os objetivos, preocupações e
desafios do governo com a criação da subcomissão para informatização no Brasil,
principalmente no que tange a questão da segurança da informação neste setor.
Conteúdo da entrevista:
Dinarde: Fale-me um pouco: Quem é o deputado Dr. Alexandre Roso. (Breve
resumo)
Dr. Alexandre: Alexandre Roso nasceu em 12 de novembro de 1964, no
Hospital Centenário, em São Leopoldo. É médico, formado em 15 de dezembro de
1990, na Universidade de Caxias do Sul. Em 1992, já atendia como cirurgião no
hospital onde nasceu. Especialista em Cirurgia Geral e em Cirurgia do Aparelho
Digestivo, é membro Titular do Colégio Brasileiro de Cirurgia Digestiva, habilitado em
Videocirurgia do Aparelho Digestivo e cirurgia oncológica do aparelho digestivo,
ambas pelo Colégio Brasileiro de Cirurgia Digestiva. Atualmente realiza mestrado em
Gestão de Serviços de Saúde na UTAD – Universidade de Trás-os-Montes e Alto
Douro (Portugal).
Em Brasília, é membro titular da Comissão de Seguridade Social e Família e
é o presidente da subcomissão para a informatização da saúde no Brasil e aplica
sua experiência e dedicação para a ampliação de propostas que promovam a saúde.
É autor de diversos expedientes relacionados à saúde. Entre eles o que
institui a Semana Nacional de Combate à Obesidade Infantil e determina que as
escolas desenvolvam atividades de educação em saúde relacionadas ao tema.
58
Dinarde: Como se encontra estruturada a subcomissão? É composta apenas
por deputados? Há envolvimento da SBIS, do CFM e da sociedade civil?
Dr. Alexandre:
Presidente: Deputado Alexandre Roso – PSB/RS
Relator: Deputado Mandetta – DEM/MS
Nº de Membros: 6
Constituição: 20/03/13
Instalação: 17/04/13
Tabela 2 – Membros da subcomissão para informatização da saúde. Fonte: Assessoria de impressa do deputado Dr. Alexandre Roso.
Dinarde: Quais são os objetivos da subcomissão para informatização da
saúde?
Dr. Alexandre: Os objetivos da subcomissão é fazer um diagnostico do grau
da informatização da saúde brasileira e propor um projeto de lei que incremente-a,
avaliando as ações do Ministério da Saúde, toda avaliação que o Tribunal de Contas
da União tem sobre o sistema de saúde brasileiro. Em cima desses preceitos, propor
algo que incremente a informatização na área da saúde.
59
Dinarde: São cada vez mais notórios os problemas existentes na área da
saúde no Brasil. Seja na demora por atendimento, falta de infraestrutura,
diagnósticos imprecisos, superlotações, mau gerenciamento das instituições de
saúde e de seus recursos, falta de medicamentos e materiais, entre outros. Tenho
percebido ao longo dos anos uma preocupação do governo em construir hospitais e
unidades de saúde, realizar programas como o programa saúde da família, o
recente programa mais médicos, entre outros, e não vejo, até então, uma ação
efetiva do governo em informatizar a saúde do Brasil como um todo, que, a meu ver,
daria um grau de eficiência enorme na saúde pública.
Qual a percepção do deputado e, consequentemente, do governo com
relação à informatização da saúde no Brasil? Por que há tanto atraso neste setor?
Dr. Alexandre: Primeiro que a minha percepção é diferente da percepção do
governo. Sou deputado, portanto trabalho no parlamento fiscalizando e propondo
ações. Meu partido faz parte da base do governo, mas a minha avaliação sobre a
informatização é muito diferente da do governo porque, nos últimos anos o governo
brasileiro investiu menos de 1% do seu orçamento da área da saúde para
informatizar os processos, informatizar o sistema de saúde brasileiro. Portanto,
minha percepção é que o setor da saúde é o setor mais desinformatizado da
sociedade brasileira, o que nos faz pensar comparando com outras áreas da
sociedade, como por exemplo, o comércio. Nós podemos comprar em uma loja, em
qualquer lugar nesse Brasil, e nosso crédito, por intermédio de um sistema
informatizado, é avaliado no momento real que esta compra está sendo feita. Então,
eu acho que temos um setor muito desinformatizado e este é um dos principais
problemas. Lembrando que, a informatização melhora a gestão, coíbe muito a
corrupção na área da saúde e consequentemente o número dos investimentos ficam
mais claros para a população. Acho que talvez esse seja um dos motivos que o
governo não invista tanto na informatização, pois ficaria bem claro que, das esferas
de governo, o governo federal é o que menos investe na saúde do brasileiro.
Dinarde: Um dos grandes desafios/preocupações na informatização da saúde
é com relação à segurança da informação no Prontuário Eletrônico do Paciente e
Registro Eletrônico em Saúde (PEP/RES). Além da complexidade e do alto custo
60
envolvido, há a questão da resistência e legítima preocupação do corpo clínico em
aceitar esse formato de guarda de informação.
Como o governo pretende vencer esses desafios com relação ao custo e
mudança de cultura no âmbito da segurança da informação?
Dr. Alexandre: Não houve resposta para a pergunta.
Dinarde: Há uma perspectiva de quanto será necessário investir para garantir
a integridade, confiabilidade, disponibilidade, autenticidade e auditoria neste
processo de informatização? (Investimentos na segurança da informação e
segurança paciente)
Dr. Alexandre: Não é uma perspectiva de quanto será necessário para
garantir a integridade, confiabilidade, disponibilidade, autenticidade e auditoria neste
processo da informatização. Não tenho ideia de quanto isto custará. O que eu tenho
é uma percepção que isso trará uma economia para todo o sistema. Vamos fazer
uma análise assim: Hoje são feitas 70 milhões de consultas, apenas na atenção
básica. Cada consulta dessas, em sua grande maioria, é feita com preenchimento
de uma ficha. Só o tempo de preenchimento dessa ficha já seria uma economia
muito grande para todo o sistema que tem uma relação direta quanto à questão de
funcionários para fazer esse preenchimento, as dificuldades, os erros na hora que se
faz a escrita por não existir um cadastramento da população. Então, eu acho que o
investimento na segurança da informatização é fundamental. Hoje, a informatização
e a questão da segurança é um debate que tem um custo, mas o retorno para a
população enorme quando nós informatizamos todos os processos como, em
especial, a ficha clínica do paciente. Porque nós podemos, inclusive, colocar alguns
filtros que nos dão a possibilidade de fazer um planejamento e saber quais são as
patologias que estão atingindo a população, porque no Brasil hoje, por causa dessa
desinformatização da saúde, os números são totalmente irreais.
Dinarde: De acordo com a Sociedade Brasileira de Informática em Saúde
(SBIS) existem dois níveis de garantia de segurança nos sistemas. No primeiro nível
(NGS1) há uma série de requisitos para garantir a segurança da informação, porém
sem a exigência da assinatura digital dos profissionais e consequentemente não há
a eliminação total do uso de papel. Já o segundo nível (NGS2) exige a utilização de
61
certificados digitais por todos os signatários do prontuário para o processo de
assinatura e autenticação, sendo assim possível a eliminação total do papel.
Em qual nível de garantia de segurança o governo pretende chegar?
Dr. Alexandre: Mas uma vez vou falar pela minha percepção, porque não
tenho como falar pelo governo. Esse Nível de Garantia de Segurança ao qual o
governo pretende chegar é um dos objetivos que tem essa comissão especial de
informatização da saúde. Esses são os questionamentos que temos feito para o
Ministério, para que eles apresentem qual é o grau de segurança que tem em
relação às informações. Posso garantir que uma das coisas que o governo se
preocupou foi em unificar todos os cadastros. Para se ter ideia tinha pacientes que,
só o cadastro, dez, quinze, vinte registros com alguma diferença. Então, essa
primeira parte que nós tivemos contato com o ministério da saúde foi pra fazer a
“higienização” dos cadastros. Havia mais cadastros que habitantes aqui no país.
Então, nós ainda não chegamos nessa discussão. Acho que essa discussão é uma
discussão muito importante para saber qual é o método que o governo está tentando
utilizar. Aqui eu me lembrei de uma coisa que é muito importante, porque, quando a
comissão põe isso em pauta, ela puxa esse assunto devido à importância que ela
tem, para que a gente possa esclarecer a sociedade e a sociedade possa participar
e cobrar um pouco mais de agilidade quanto à informatização da saúde no Brasil.
Dinarde: A subcomissão já conseguiu quantificar o custo x benefício desse
projeto de informatização?
Dr. Alexandre: Não, nós ainda não temos a noção do tamanho disso e nem
onde ele está. Nossas reuniões ainda estão começando e esse é um dos objetivos
dessa subcomissão: avaliar o custo x benefício do projeto de informatização.
Dinarde: Há recursos já disponíveis para custear o projeto? E qual origem
destes recursos?
Dr. Alexandre: Como já respondi em pergunta anterior, o valor que o governo
investe em informatização da saúde é um valor muito pequeno. Nós entendemos
que menos de 1% do orçamento do ministério não é um valor compatível com o
tamanho desse projeto, mas a origem desse recurso é do próprio ministério da
saúde.
62
Dinarde: Qual o cronograma do projeto?
Dr. Alexandre: O cronograma do projeto não nos foi apresentado.
Entendemos que a primeira etapa, que era unificar esses registros, porque a
informatização começou a mais de dez anos atrás com o cadastro, o famoso Cartão
SUS, isso era uma pequena “ponta”. O que nós entendemos é que esse projeto está
muito inicial e um dos objetivos da comissão é que esse projeto ande e que essa
informação a qual está me solicitando possa chegar até a sociedade.
Dinarde: Seguindo a atual tendência, o governo pretende executar o projeto
através de parcerias público-privadas (PPP)?
Dr. Alexandre: A impressão que nós temos em relação a projeto é que ele
vai ter que se dá por meio de parcerias público-privadas, porque não há como criar
uma estrutura e a constante evolução dentro da área da informática não dá para
criar uma estrutura apenas pública para tratar disso de tudo que nós falamos
referente à informatização.
Dinarde: Como o governo pretende ganhar apoio e envolvimento dos
profissionais de saúde?
Dr. Alexandre: Esta é outra barreira que nós temos que vencer. Pela
experiência que eu tenho quando trabalhei como gestor no plano municipal é que
nós temos um baixo envolvimento. Normalmente as pessoas são refratarias. Elas
não aceitam a introdução da informatização. Nós temos que vencer toda parte de
educação das pessoas, principalmente algumas pessoas. Os jovens aceitam melhor
todo o produto da informática. E com os profissionais mais antigos nós temos
realmente uma dificuldade que eles entendam que a informatização é uma das
formas de qualificar a saúde.
Dinarde: Há alguma previsão de interoperar com o sistema de saúde
privado?
Dr. Alexandre: Sim. A relação nós vamos fazendo fazer através do usuário
de saúde, tanto privado como púbico e certo grau disso já vem acontecendo quando
nós estamos cruzando os dados em um cadastro único apenas. O cadastro tem
como foco a pessoa (paciente) e isso vai ter a relação, pelo menos, de cruzar esses
63
dados, para que a gente entenda que não é um paciente que é atendido no sistema
público e que esse paciente tendo um convenio será atendido como se fosse outro
paciente. É a mesma pessoa, e nós temos que dar prioridade a isso.
Dinarde: Faça suas considerações finais
Dr. Alexandre: Esse tema é muito importante. As pessoas ainda não
perceberam o quanto é importante à informatização nas nossas vidas. Hoje, nós
trabalhos diariamente com algum sistema de informação. Já define que a
informatização na sociedade nas outras áreas, a não ser a área da saúde, ela é
muito mais evoluída. Nós temos através desses processos de coleta de dados, da
utilização dessas informações, ainda na saúde, muito baixo o grau de informatização
e acho que nós temos que melhorar. E esse é um dos objetivos de comissão. Puxar
esse assunto como um assunto primordial para a gestão, porque hoje saúde nós
discutimos três coisas principais:
1. O desfinanciamento da saúde;
2. A gestão;
3. E os Recursos humanos (RH).
Em todos esses três aspectos, a informatização é uma ferramenta de gestão
fundamental para que a gente tenha uma agilidade na questão desses números e
esses números possam, inclusive, fazer planejamento. Não há como planejar um
sistema tão grande se nós não tivermos um grau de informatização alto no sistema
de.
64
ANEXO 2 – RESOLUÇÃO CFM Nº 1.821/2007
(Publicada no D.O.U. de 23 nov. 2007, Seção I, pg. 252)
Aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde.
O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições que lhe
confere a Lei nº 3.268, de 30 de setembro de 1957, alterada pela Lei nº 11.000, de
15 de dezembro de 2004, regulamentada pelo Decreto nº 44.045, de 19 de julho de
1958, e
CONSIDERANDO que o médico tem o dever de elaborar um prontuário para
cada paciente a que assiste;
CONSIDERANDO que o Conselho Federal de Medicina (CFM) é a autoridade
certificadora dos médicos do Brasil (AC) e distribuirá o CRM-Digital aos médicos
interessados, que será um certificado padrão ICP-Brasil;
CONSIDERANDO que as unidades de serviços de apoio, diagnóstico e
terapêutica têm documentos próprios, que fazem parte dos prontuários dos pacientes;
CONSIDERANDO o crescente volume de documentos armazenados pelos
vários tipos de estabelecimentos de saúde, conforme definição de tipos de unidades
do Cadastro Nacional de Estabelecimentos de Saúde, do Ministério da Saúde;
CONSIDERANDO os avanços da tecnologia da informação e de
telecomunicações, que oferecem novos métodos de armazenamento e transmissão
de dados;
CONSIDERANDO o teor das Resoluções CFM nos 1.605, de 29 de setembro
de 2000, e 1.638, de 9 de agosto de 2002;
65
CONSIDERANDO o teor do Parecer CFM nº 30/02, aprovado na sessão
plenária de 10 de julho de 2002, que trata de prontuário elaborado em meio
eletrônico;
CONSIDERANDO que o prontuário do paciente, em qualquer meio de
armazenamento, é propriedade física da instituição onde o mesmo é assistido −
independente de ser unidade de saúde ou consultório −, a quem cabe o dever da
guarda do documento;
CONSIDERANDO que os dados ali contidos pertencem ao paciente e só
podem ser divulgados com sua autorização ou a de seu responsável, ou por dever
legal ou justa causa;
CONSIDERANDO que o prontuário e seus respectivos dados pertencem ao
paciente e devem estar permanentemente disponíveis, de modo que quando
solicitado por ele ou seu representante legal permita o fornecimento de cópias
autênticas das informações pertinentes;
CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade
do indivíduo, deve estar sujeito às normas estabelecidas na legislação e no Código
de Ética Médica, independente do meio utilizado para o armazenamento dos dados
no prontuário, quer eletrônico quer em papel;
CONSIDERANDO o disposto no Manual de Certificação para Sistemas de
Registro Eletrônico em Saúde, elaborado, conforme convênio, pelo Conselho
Federal de Medicina e Sociedade Brasileira de Informática em Saúde;
CONSIDERANDO que a autorização legal para eliminar o papel depende de
que os sistemas informatizados para a guarda e manuseio de prontuários de
pacientes atendam integralmente aos requisitos do “Nível de garantia de
segurança 2 (NGS2)”, estabelecidos no referido manual;
CONSIDERANDO que toda informação em saúde identificada individualmente
necessita de proteção em sua confidencialidade, por ser principio basilar do
exercício da medicina;
66
CONSIDERANDO os enunciados constantes nos artigos 102 a 109 do
Capítulo IX do Código de Ética Médica, o médico tem a obrigação ética de proteger
o sigilo profissional;
CONSIDERANDO o preceituado no artigo 5º, inciso X da Constituição da
República Federativa do Brasil, nos artigos 153, 154 e 325 do Código Penal
(Decreto-Lei nº 2.848, de 7 de dezembro de 1940) e no artigo 229, inciso I do Código
Civil (Lei nº 10.406, de 10 de janeiro de 2002);
CONSIDERANDO, finalmente, o decidido em sessão plenária de 11/7/2007,
RESOLVE:
Art. 1º Aprovar o Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde, versão 3.0 e/ou outra versão aprovada pelo Conselho Federal
de Medicina, anexo e também disponível nos sites do Conselho Federal de Medicina
e Sociedade Brasileira de Informática em Saúde (SBIS),
respectivamente, www.portalmedico.org.br e www.sbis.org.br.
Art. 2º Autorizar a digitalização dos prontuários dos pacientes, desde que o
modo de armazenamento dos documentos digitalizados obedeça a norma específica
de digitalização contida nos parágrafos abaixo e, após análise obrigatória da
Comissão de Revisão de Prontuários, as normas da Comissão Permanente de
Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo.
§ 1º Os métodos de digitalização devem reproduzir todas as informações dos
documentos originais.
§ 2º Os arquivos digitais oriundos da digitalização dos documentos do
prontuário dos pacientes deverão ser controlados por sistema especializado
(Gerenciamento eletrônico de documentos - GED), que possua, minimamente, as
seguintes características:
a) Capacidade de utilizar base de dados adequada para o armazenamento
dos arquivos digitalizados;
b) Método de indexação que permita criar um arquivamento organizado,
possibilitando a pesquisa de maneira simples e eficiente;
67
c) Obediência aos requisitos do “Nível de garantia de segurança 2 (NGS2)”,
estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em
Saúde;
Art. 3° Autorizar o uso de sistemas informatizados para a guarda e manuseio
de prontuários de pacientes e para a troca de informação identificada em saúde,
eliminando a obrigatoriedade do registro em papel, desde que esses sistemas
atendam integralmente aos requisitos do “Nível de garantia de segurança 2 (NGS2)”,
estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em
Saúde;
Art. 4º Não autorizar a eliminação do papel quando da utilização somente
do “Nível de garantia de segurança 1 (NGS1)”, por falta de amparo legal.
Art. 5º Como o “Nível de garantia de segurança 2 (NGS2)”, exige o uso de
assinatura digital, e conforme os artigos 2º e 3º desta resolução, está autorizada a
utilização de certificado digital padrão ICP-Brasil, até a implantação do CRM Digital
pelo CFM, quando então será dado um prazo de 360 (trezentos e sessenta) dias
para que os sistemas informatizados incorporem este novo certificado.
Art. 6° No caso de microfilmagem, os prontuários microfilmados poderão ser
eliminados de acordo com a legislação específica que regulamenta essa área e após
análise obrigatória da Comissão de Revisão de Prontuários da unidade médico-
hospitalar geradora do arquivo.
Art. 7º Estabelecer a guarda permanente, considerando a evolução
tecnológica, para os prontuários dos pacientes arquivados eletronicamente em meio
óptico, microfilmado ou digitalizado.
Art. 8° Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do último
registro, para a preservação dos prontuários dos pacientes em suporte de papel, que
não foram arquivados eletronicamente em meio óptico, microfilmado ou digitalizado.
Art. 9º As atribuições da Comissão Permanente de Avaliação de Documentos
em todas as unidades que prestam assistência médica e são detentoras de arquivos
de prontuários de pacientes, tomando como base as atribuições estabelecidas na
68
legislação arquivística brasileira, podem ser exercidas pela Comissão de Revisão de
Prontuários.
Art. 10° Estabelecer que o Conselho Federal de Medicina (CFM) e a
Sociedade Brasileira de Informática em Saúde (SBIS), mediante convênio
específico, expedirão selo de qualidade dos sistemas informatizados que estejam de
acordo com o Manual de Certificação para Sistemas de Registro Eletrônico em
Saúde, aprovado nesta resolução.
Art. 11° Ficam revogadas as Resoluções CFM nos 1.331/89 e 1.639/02, e
demais disposições em contrário.
Art. 12° Esta resolução entra em vigor na data de sua publicação.
Brasília, 11 de julho de 2007.
Edson de Oliveira Andrade, Presidente.
Lívia Barros Garção, Secretária-geral.