O mês de dezembro marcou um ano dos ataques hacker contra o Departamento de Informática do Sistema Único de Saúde – DataSUS, um lembrete constante para todas as organizações públicas e privadas de saúde sobre os riscos de perdas de informação ou exposição de dados sensíveis dos usuários. Um relatório da Critical Insights apontou que a saúde é um dos principais setores visados por violações de dados e, no ano passado, registrou o maior número de incidentes de todos os tempos, com 45 milhões de pessoas afetadas globalmente — o triplo do número de 3 anos antes.
“Em 2022, fatores como a guerra na Ucrânia aumentaram ainda mais a ameaça e as implicações são significativas. As perdas financeiras são, obviamente, enormes, principalmente por causa das pesadas multas que podem ser aplicadas em caso de violação de dados. Mas o mais preocupante é o efeito na qualidade do atendimento ao paciente e o risco de comprometimento da privacidade do paciente”, afirma Orlando Souza, presidente da Iron Mountain Brasil.
Para Souza, é absolutamente crítico que os líderes de saúde sejam rigorosos em relação à segurança de dados – não apenas para proteção operacional e financeira, mas para proteger a saúde e a segurança dos pacientes. Mais do que nunca, todos os sistemas de saúde e instituições médicas devem tomar as medidas necessárias para garantir que seus dados não caiam em mãos erradas. O executivo da Iron Mountain lista os 4 principais elementos de uma segurança robusta de dados na área da saúde:
Uma infraestrutura moderna de TI
Para começar, a modernização da infraestrutura de TI é vital. Embora 100% de proteção não seja possível, um sistema de TI moderno oferecerá suporte a um programa robusto de segurança cibernética que pode impedir um ataque ou, pelo menos, melhorar a velocidade de detecção, contenção e remediação, caso ocorra.
Isso inclui itens como criptografia de dados armazenados e transmitidos, sistemas de recuperação e backup e autenticação de login multifator. Um plano de resposta a incidentes de segurança também deve ser desenvolvido para que um ataque possa ser identificado, avaliado e contido rapidamente e para ajudar a prevenir ataques semelhantes no futuro.
Segurança no pedido de acesso às informações do paciente
A LGPD (Lei Geral de Proteção de Dados) determina como empresas e organizações devem tratar os dados pessoais no que diz respeito à coleta, processamento, compartilhamento e uso de informações de terceiros. Através de um pedido de acesso que pode ser feito a qualquer momento, os cidadãos têm direito a aceder aos seus dados pessoais e as empresas devem responder no prazo de 15 dias.
À medida que os cidadãos se tornam cada vez mais conscientes da privacidade de seus próprios dados, espera-se que as solicitações de acesso aumentem e os líderes de saúde devem estar preparados para responder de maneira adequada e consistente.
Responder a tais solicitações pode ser muito demorado. Há também o risco de dar acesso à informação a um impostor que se faz passar por outra pessoa. Por esse motivo, é extremamente importante que os líderes de saúde conheçam o procedimento correto para validar a identidade e conceder acesso com segurança.
Melhores práticas de segurança da informação
Todos os funcionários devem receber políticas escritas claras e concisas que cubram os principais aspectos da segurança da informação. Isso deve incluir o uso aceitável de seus laptops, telefones e outros dispositivos. Todos os funcionários também devem receber treinamento em segurança cibernética, o que ajudará a mantê-los alertas para possíveis ataques de phishing e malware.
No caso de funcionários remotos, especialmente aqueles que lidam com registros confidenciais, também deve ser fornecido treinamento formal sobre suas políticas de privacidade e ferramentas para evitar o uso indevido. Para obter a segurança ideal do trabalho remoto, é aconselhável criar políticas oficiais da empresa em torno dos seguintes elementos: realizar negócios da empresa em computadores ou telefones pessoais, copiar registros comerciais para dispositivos pessoais, enviar registros comerciais para e-mail pessoal ou qualquer outro e-mail fora do domínio da empresa, imprimir documentos comerciais em casa e usar unidades flash pessoais para armazenar informações comerciais.
Os provedores de assistência médica também devem garantir que todos os parceiros terceirizados estejam em conformidade e tenham medidas de segurança de dados adequadas. Cada organização externa com acesso aos dados do paciente é outra via pela qual os dados podem ser expostos.
Descarte seguro de documentos impressos
Embora a transformação digital tenha realmente ocorrido nos ambientes de saúde, o setor ainda depende excepcionalmente de registros em papel. Portanto, qualquer protocolo de segurança de dados também deve levar em conta o armazenamento seguro e o descarte de documentação em papel. Apesar das inovações de longo prazo e dos movimentos em direção à digitalização, a realidade é que os registros em papel ainda existirão na área da saúde por muito tempo.
Quando chegar a hora de digitalizar os registros mais antigos e os documentos físicos estiverem prontos para descarte, eles devem ser triturados de acordo com os regulamentos de privacidade e conformidade de dados para evitar penalidades, multas ou ações legais. Os trituradores de escritório padrão geralmente não oferecem um processo totalmente compatível, portanto, um fornecedor externo é fundamental.
Além disso, as operações de trituração devem ser totalmente monitoradas por CCTV 24 horas, com todos os materiais manuseados apenas por funcionários devidamente autorizados.