Depois da grave invasão de sistemas contra a companhia de saúde Golden Cross no último dia 9 de setembro, o assunto de proteção de dados médicos feito por empresas voltou a ganhar força no debate corporativo. Inclusive trazendo para a discussão o formato de armazenamento de Open Health, que busca disponibilizar informações de saúde para pacientes, profissionais da saúde, redes hospitalares e operadoras de saúde, através do compartilhamento de dados.
No Brasil, o Ministério da Saúde incorporou a Rede Nacional de Dados em Saúde (RNDS), que pretende cumprir a função de um Open Health, unificando os dados do paciente em um prontuário eletrônico, permitindo maior interoperabilidade dos sistemas de saúde, ou mesmo de estatísticas. Apesar de ser uma questão bastante correlata à proteção dos dados registrados, o fato de o Open Health atuar apenas com empresas capazes de garantir a segurança defensiva dos seus registros em rede dá à plataforma RNDS uma salvaguarda para uma série de riscos ligados ao rompimento das defesas.
“Em relação à segurança, o Open Health não é um fator de riscos para o armazenamento seguro desses dados cibernéticos. Isso porque ele envolve, basicamente, grandes empresas, que possuem padrões de segurança altos, enquanto companhias menores devem se manter afastadas desse contexto”, diz Andrea Bocabello, Dir. de Estratégia, Inovação e ESG do grupo Fleury que esteve no 7º Encontro Fleury de Jornalismo em Saúde.
Andrea também diz ser vantajoso o lançamento do Open Health como uma plataforma de armazenamento de informações como a carteira geral de vacinação, as consultas feitas no SUS, bem como cirurgias, entre outros. Além disso, os profissionais de Saúde passam a ter acesso a uma ‘versão beta’ do compartilhamento de dados ao ter o sistema lançado após o Open Banking, segundo ela. Pois lições aprendidas com o Open Banking podem já ser inseridas dentro do contexto do Open Health. Com tudo isso, a chance de ter um atendimento de maior qualidade sobe.
A Lei Geral de Proteção de Dados Pessoais (LGPD – 13.709/18) ainda oferece a garantia de vetar todo tipo de compartilhamento de dados sem o consentimento dos usuários à uma companhia expressamente capaz de proteger essas informações com métodos como validação de armazenamento via blockchain. Ainda assim, Andrea alerta para o fato de que há poucas garantias de que as empresas estejam totalmente protegidas diante de ameaças cibernéticas, uma vez que sempre existe um mínimo fator de risco diante do avanço constante de cibercriminosos:
“Quando os dados estão criptografados, fica mais difícil, embora não impossível, ao hacker acessar essas informações. Mesmo assim, situações difíceis sempre acontecem, já que, estando na defesa, estamos sempre um pé atrás desses invasores. Portanto esse trabalho envolve muito mais a mitigação de riscos e processos de resposta mais eficazes”, completa.
Na visão da executiva, a área de Saúde tem sido um dos setores mais visados pelos ataques cibernéticos. Um dos principais desafios é enfrentar gangues internacionais que querem os dados internos das empresas para levarem às suas negociações dentro da Dark Web. Isso, continua Andrea, destaca a importância dos investimentos na proteção de dados para o enfrentamento dessas crises, seja nos grandes conglomerados da área ou em clínicas menores.
A Diretora de inovação, inclusive, comenta que o uso de recursos físicos e digitais disponíveis está mais no alcance dessas empresas maiores, permitindo-lhes criar mecanismos como bots que detectam repetições de senhas em dados essenciais; entradas com tokens para identificar o acesso do próprio paciente. Mas o maior problema são justamente as clínicas menores, que trabalham frequentemente sem uma ferramenta de prontuário segura o suficiente, mas que também não trabalham inteiramente com registros físicos, mais seguramente descartados.
