Informações pessoais de saúde se referem, em suma, a informações demográficas, históricos médicos, resultados de exames e laboratórios, condições de saúde mental, informações sobre seguros e outros dados que um profissional de saúde coleta para identificar um indivíduo e determinar cuidados adequados.
Essas mesmas informações detalhadas a respeito de nossa saúde também são um produto. Além do uso para pacientes e profissionais de saúde, elas também são valiosas para pesquisadores clínicos e científicos quando anonimizadas.
Para hackers esses dados são um tesouro. Afinal, são informações pessoais de pacientes que podem ser roubadas e vendidas em outro lugar. E ainda, eles podem sequestrar os dados através de ransomware até que a instituição médica pague o valor do resgate.
As instituições médicas lidam com informações pessoais de saúde e isso pode ser um risco
Como vimos, pela natureza do setor, as instituições de saúde lidam com dados confidenciais dos pacientes. Essas informações incluem data de nascimento, condições médicas e solicitações de seguro de saúde.
Seja em registros em papel ou em um sistema de registro eletrônico, as informações pessoais de saúde descrevem o histórico médico de um paciente, incluindo assim doenças, tratamentos e resultados.
Para se ter uma ideia, desde os primeiros momentos após o nascimento, um bebê hoje provavelmente terá suas informações pessoais de saúde inseridas em um sistema de registro eletrônico de saúde, incluindo peso, comprimento, temperatura corporal e quaisquer complicações durante o parto.
O rastreamento dessas informações durante a vida de um paciente oferece ao médico o contexto da saúde da pessoa. Dessa forma fica melhor para o profissional tomar decisões de tratamento.
Quando registradas de forma adequada, as informações pessoais de saúde podem ser armazenadas sem recursos de identificação e adicionadas anonimamente a grandes bancos de dados de informações de pacientes.
Esses dados não identificados podem contribuir para a gestão de saúde da população e programas de cuidados baseados em valor.
Entretanto, há casos em que as medidas de segurança, proteção e privacidade de dados não são aplicadas. Assim instituições de saúde, funcionários e principalmente os pacientes correm um sério risco.
Ameaças de segurança cibernética na saúde afetam pacientes e instituições
À medida que a tecnologia avança, os profissionais de saúde trabalham para implementar inovações visando a melhora dos atendimentos, mas as ameaças à segurança cibernética também continuam evoluindo.
Ataques de ransomware e violações de dados de assistência médica continuam sendo as principais preocupações de entidades de saúde e parceiros de negócios de todos os tamanhos.
O ransomware é um bom exemplo de grande impacto para o setor de assistência médica. Ele é considerado de alto risco, uma vez que as organizações de saúde são encarregadas de cuidar de pessoas. Assim, se certas informações ficarem trancadas ou inacessíveis, esse cuidado poderá ser afetado.
A responsabilidade pela proteção das informações pessoais de saúde são de todas as instituições e seus parceiros de negócio
Uma situação às vezes mal interpretada pelas instituições de saúde é que a privacidade e a segurança das informações de saúde nem sempre se movem em conjunto.
Embora a privacidade exija medidas de segurança, é possível ter restrições de segurança que não protegem totalmente as informações privadas de pacientes e responsáveis.
Vamos pensar em um exemplo: se uma instituição de saúde ou um fornecedor de nuvem compartilham dados médicos criptografados para uma clínica ambulatorial, a proteção e a privacidade podem ficar em risco.
Afinal, as instituições precisam firmar um contrato de parceria que inclua requisitos dos processos e políticas de segurança de dados. Se isso não ocorrer, as informações compartilhadas correm alto risco.
Apesar do grande risco, é possível proteger sua organização contra o cibercrime assegurando as informações dos pacientes
Os ataques de ransomware e outros cibercrimes ocorrem quando algum hacker obtém acesso à rede de uma organização. Na sequência, arquivos são criptografados ou roubados.
No caso específico do ransomware, os arquivos ficam inacessíveis pelo alvo até que um valor seja pago como resgate.
Para proteger a sua organização contra ataques como esse e outros crimes cibernéticos direcionados ao setor de saúde, os especialistas em proteção de dados recomendam dez práticas visando a garantia das informações de saúde:
1. Defina políticas e processos claros de proteção e privacidade de dados
Um importante passo na proteção e privacidade das informações de saúde de pacientes e responsáveis é definir de forma clara as políticas e processos de proteção e privacidade de dados.
Esse é o pontapé inicial para todos as demais recomendações de segurança em benefício das instituições médicas.
2. Proteja as informações do paciente no local de trabalho
Utilize controles de acesso a fim de garantir que as informações de saúde dos pacientes sejam acessadas apenas pelos funcionários autorizados.
|
3. Realize a capacitação dos funcionários sobre políticas e processos de proteção e privacidade de dados de saúde
Uma instituição de saúde protegida deve treinar todos os membros da sua força de trabalho sobre as políticas e procedimentos com relação às informações pessoais de saúde.
O treinamento deve ser fornecido a cada novo profissional dentro de um período razoável de tempo após a pessoa ingressar na instituição.
Além disso, os membros do time também devem ser treinados se suas funções forem afetadas por uma mudança material nas políticas e procedimentos nas regras de privacidade e proteção definidas.
4. Procedimentos para divulgação ou compartilhamento de informações de saúde devem ser documentados e autorizados
É necessária uma autorização por escrito do paciente quando uma instituição de saúde precisar compartilhar ou divulgar documentos, informações ou notas de psicoterapia, distúrbio de abuso de substâncias e registros de tratamento.
5. Defina procedimentos seguros de armazenamento e recuperação de dados de saúde
Backup dos dados devem ser feitos periodicamente. Aliás, é uma prática recomendada também fazer backup de dados regularmente por meio de hardware, como unidades flash e discos rígidos externos, e depois copiar os dados pela nuvem enquanto ela está sendo modificada.
Essa redundância garante que informações críticas estejam prontamente disponíveis. Se possível, as instituições de saúde devem ter backups em vários locais.
6. Firewalls são essenciais para garantir que as informações protegidas não sejam destruídas incorretamente
Usar adequadamente um firewall pode ajudar a evitar que sua instituição seja vítima de um acesso não autorizado com potencial de comprometer a confidencialidade, integridade ou disponibilidade das informações de saúde dos pacientes.
7. Dados de saúde registradas em papel devem ser protegidas
A preocupação com a proteção de dados e privacidade também se aplica ao uso de papel e outros arquivos físicos. Além de políticas e procedimentos abrangendo a segurança física de documentos, os funcionários devem ser orientados a relatar imediatamente todos os incidentes que possam envolver a perda ou roubo de tais registros em papel.
8. Informações pessoais de saúde nunca devem ser deixadas sem supervisão
Cuidados extras devem ser tomados quando os prontuários dos pacientes são transportados temporariamente para outras instituições de saúde.
Essas informações devem ter a supervisão e proteção de profissionais responsáveis durante o percurso, entrega e armazenamento das informações pessoais de saúde.
9. A criptografia de documentos e dispositivos deve proteger dados médicos contra cibercriminosos
Em suma, os dispositivos e documentos devem ser protegidos com uso da criptografia e assinatura digital durante o compartilhamento entre instituições e outros profissionais de saúde.
10. Manter os softwares antivírus e antimalware atualizados é de vital importância para informações pessoais de saúde
Além disso, a atualizações e patches de software devem ser aplicados em tempo hábil para manter as redes e sistemas seguros.
Vale lembrar também que o bom senso é sempre uma boa prática recomendada. Os funcionários nunca devem compartilhar senhas. As senhas padrão devem ser alteradas imediatamente após a atribuição de um novo aplicativo. Por fim, elas não devem ser reutilizadas entre sistemas diferentes e devem também ser alteradas caso forem comprometidas.
O objetivo final é atingir níveis elevados de segurança, proteção e privacidade de dados, garantindo assim a integridade das informações pessoais de saúde de pacientes e demais responsáveis.
Sobre a Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.