Escrito por Vladimir Prestes
Cada vez mais a medicina tem encontrado novas maneiras de trabalhar com a informação médica. Filas eletrônicas e marcação de consultas por meio da Internet e bancos de dados ao invés de cartões médicos desgastados; telemedicina no lugar das tediosas idas ao médico; além da utilização da tecnologia mHealth para o trabalho operacional em campo. O problema é que as instituições médicas não têm se preocupado muito em proteger os dados pessoais de seus pacientes.
De acordo com a base de vazamentos Breach Level Index, em 2017, o número de desvios de informações na área de saúde foi o mais alto em comparação com outros setores. Na área aconteceram 228 vazamentos, o que representa 25% do total.
Em diferentes países, os vazamentos de dados médicos variam em escala, mas o resultado é sempre o mesmo - a perda de dados pessoais. Não é difícil encontrar exemplos de vazamentos como estes na rede: na Austrália, foram colocados à venda os dados de planos de saúde de todos os residentes do país; na Noruega, ocorreu o vazamento dos dados médicos de 2,9 milhões de pacientes registrados, o que representa quase metade de toda a população; a Malásia perdeutrês bancos de dados que pertenciam ao conselho médico da Malásia (MMC), à Associação médica da Malásia (MMA) e à Associação de dermatologia da Malásia (MDA).
Porém, os vazamentos que atingiram a mídia são apenas a ponta do iceberg. Há países, onde não existem leis que obriguem a publicação de informações sobre dados comprometidos. Os pacientes raramente queixam-se e procuram a polícia, e os médicos não sabem exatamente a gravidade de suas ações, repassando acidentalmente ou intencionalmente informações sobre pacientes a terceiros, o que torna a situação ainda mais crítica, uma vez que a informação médica não possui prescrições.
Com a transição dos dados para a forma digital, as instituições tornaram-se vulneráveis a ataques cibernéticos e a ações de agentes internos. Geralmente, a informação sobre pacientes é “desviada” com o intuito de obtenção de lucros ou como uma troca de serviços. E os interessados na compra de dados pessoais são muitos, como funcionários do ramo de serviços funerários, vendedores de medicamentos não licenciados e suplementos dietéticos, mídia, corretores de imóveis – fraudadores, entre outros.
Certos da ausência de sistemas de segurança (nos hospitais, mesmo um administrador de sistemas em tempo integral é uma raridade), os funcionários de instituições médicas praticamente não escondem suas tentativas de “vazamento” de dados pessoais. Fazendo uso, principalmente, de e-mails pessoais, às vezes enviam arquivos através de redes sociais, ou descarregam informações em pen-drives. Os truques mais comuns dos “agentes do negócio”, como o vazamento de dados em nuvem ou acesso por meio da conta de outra pessoa, são usados raramente pelos profissionais de saúde, provavelmente devido ao baixo nível de treinamento em TI.
A ação dos "agentes da medicina" pode ser representada através de exemplos de vários casos:
- Um médico repassou dados sobre a morte de pacientes e seus endereços de residência ao representante de uma agência de serviços funerários. A ativação do sistema DLP mostrou que o funcionário comunicava-se por Skype através do computador de trabalho. As conversas deixaram claro que o “vazamento” de informações estava sendo estabelecido há bastante tempo: os fraudadores não discutiam os “termos da cooperação”, foram enviadas apenas informações específicas. O médico foi multado e severamente repreendido com aviso de demissão.
- O dentista de uma clínica pública enviou cartões com os dados pessoais de pacientes para seu e-mail pessoal. Mais tarde, o serviço de segurança descobriu que o profissional trabalhava por fora em uma clínica particular, para onde ele “conduzia” os clientes sob o pretexto de melhores condições de diagnóstico e tratamento. O funcionário foi repreendido com um aviso de demissão, e sua atividade foi submetida a um controle especial.
Em geral, a garantia do fluxo constante de clientes em uma instituição médica particular é uma das motivações mais comuns em casos de vazamentos. Por um lado, a entrada em vigor do GDPR exige a proteção dos dados pessoais, enquanto os dados médicos são considerados uma categoria especial de dados pessoais ou informações pessoais sigilosas. Por outro lado, a questão sobre os recursos técnicos e humanos, assim como a existência de pessoal especializado em instituições médicas permanece aberta.
Justamente por isso, a mera presença de regulamentos ou documento correspondente local da organização pode não ser muito útil na atual situação – os documentos existem, os funcionários já se familiarizaram com eles, mas na prática tudo permanece do mesmo jeito.
A este respeito, surgem várias questões: Como são armazenados os dados pessoais dos pacientes, como o sistema de segurança é implementado e seriam as instituições médicas capazes de suportar essas tecnologias? A experiência de países onde a questão da proteção de dados pessoais tem sido resolvida informalmente há muito tempo, na prática, pode em parte fornecer respostas a essas questões.
Nos EUA, por exemplo, um sistema de proteção contra vazamentos de informações está sendo desenvolvido: vazamentos ou mesmo o armazenamento inadequado de dados de pacientes implica em multas colossais ou até acusação penal. Neste caso, as instituições médicas são obrigadas a proteger as informações nos termos da lei HIPPA (lei de portabilidade e responsabilidade de seguro de saúde), desde 1996. E é mais barato seguir essas exigências do que ignorar a lei: de acordo com o relatório do estudo global do Instituto Larry Ponemona (Ponemon Institute’s 2017 Cost of Data Breach Study: Global Overview), o prejuízo causado pelo vazamento de dados da conta de um cliente na área da saúde é de US$ 380, enquanto o valor médio desse indicador para todos os setores da economia é de US$ 141. As pessoas estão muito melhor equipadas tecnicamente, entendem melhor a tecnologia e entendem as consequências de suas ações.
Nas instituições médicas americanas, vários níveis de proteção contra ameaças externas e internas estão sendo implantados. Inicialmente, os documentos são classificados cuidadosamente, a partir do critério de confidencialidade das informações. Em muitos aspectos, isto é devido às peculiaridades do funcionamento dos sistemas DLP, que são rápidas no bloqueio de vazamentos e com uma operação fortemente automatizada.
O serviço de saúde Fraser Health Authority da British Columbia (Canadá) implantou um sistema de autenticação baseado em certificados. Todos os 26 mil funcionários e 2.500 médicos receberam cartões inteligentes, o que resultou em um maior nível de segurança para a instituição, bem como em custos de operação reduzidos, aumento da disciplina dos funcionários e melhor atendimento ao paciente.
O hospital holandês Albert Schweitzer Ziekenhuis (ASZ) usa um sistema de token único e um servidor de autenticação em nuvem, fornecendo não apenas a proteção dos dados pessoais de pacientes, mas também o acesso à informação médica necessária aos médicos e ao pessoal de enfermagem, dentro e fora dos limites do prédio do hospital.
Na Suécia funciona a iniciativa SITHS, em que cartões inteligentes e assinaturas digitais são usados para identificação de funcionários do sistema de saúde e serviços sociais. Os funcionários das organizações de saúde usam seus cartões SITHS para acessar o portal National Patient Overview, que armazena informações sobre pacientes online. Toda a documentação durante a realização dos cuidados primários de saúde é armazenada sob a forma de cartões médicos eletrônicos (Electronic Healthcare Records, EHR), e 95% de todas as receitas prescritas na Suécia são emitidas eletronicamente (ePrescriptions).
Na maioria dos países, a equipe médica possui apenas um conhecimento básico da segurança da informação, não tendo ideia de sua responsabilidade na preservação dos dados dos pacientes existentes na instituição. Deste modo, acontecem situações como as já relatadas neste artigo: bancos de dados sobre pacientes estão sendo enviados para “todos os destinatários” da lista de endereços ou informações de pessoas falecidas estão sendo repassadas a representantes de “serviços funerários”.
É necessário resolver este problema de forma integrada:
1. Implementar soluções de segurança da informação médica. As leis correspondentes criam condições, nas quais instituições médicas são responsáveis pela proteção dos dados pessoais. Mas de que maneira os líderes dessas organizações resolvem a questão? O mais confiável é a instalação de soluções de proteção de informações, como os sistemas DLP modernos.
2. Limitar o acesso à informação médica dentro da instituição. O acesso às informações pessoais sigilosas deve estar disponível apenas para determinadas pessoas, embora a proibição de download e envio de dados para fora da organização deve ser estabelecida mesmo para estes.
3. Introduzir regras de operação para o uso de informações. A observância estrita das regras de armazenamento e operação de dados pessoais dos pacientes e qualquer outra documentação médica estendem-se a toda equipe médica.
4. Realizar atividades de capacitação SI para o pessoal médico regularmente. Isso pode ser feito dentro da própria instituição ou recorrendo aos serviços de empresas especializadas na formação de agentes de segurança da informação médica (CTI, Security Awareness Training).
5. Nomear pessoas responsáveis, que trabalharão com os sistemas de segurança e realizaram treinamentos de pessoal na área da segurança da informação. É possível formar um departamento SI ou delegar essa tarefa aos seus profissionais TI.
