UNIVERSIDADE FEDERAL DO ABC – UFABC

CURSO DE ESPECIALIZAÇÃO EM TECNOLOGIAS E SISTEMAS DE

INFORMAÇÃO

DINARDE ALMEIDA BEZERRA

ESTUDO DOS DESAFIOS DA SEGURANÇA DA INFORMAÇÃO NO

PRONTUÁRIO ELETRÔNICO DO PACIENTE

SANTO ANDRÉ – SP

2013

1

DINARDE ALMEIDA BEZERRA

ESTUDO DOS DESAFIOS DA SEGURANÇA DA INFORMAÇÃO NO

PRONTUÁRIO ELETRÔNICO DO PACIENTE

Monografia apresentada ao Curso de Especialização da Universidade Federal do

ABC, como requisito parcial à obtenção do título de Especialista em Tecnologias e

Sistemas de Informação.

Orientador: Prof. Dr. Roberto Jacobe Rodrigues

SANTO ANDRÉ – SP

2013

2

FICHA CATALOGRÁFICA

3

Dedico esse trabalho primeiramente a Deus que é a

essência de tudo.

E a todos que contribuíram para que este trabalho

fosse concretizado.

4

AGRADECIMENTOS

À Universidade Federal do ABC – UFABC por proporcionar a obtenção do

título de Especialista em Tecnologias e Sistemas de Informação.

Ao orientador Prof. Dr. Roberto Jacobe Rodrigues pelo apoio e orientação ao

longo da redação deste trabalho.

Ao tutor Adilson Castro da Silva pela compreensão e conselhos.

Ao deputado Dr. Alexandre Roso e sua assessoria de imprensa por atender

prontamente aos questionamentos contidos neste trabalho.

Ao Vanderlei de Castro Ezequiel que contribuiu com a revisão do trabalho e

incentivou a conclusão do mesmo.

À Sonia Regina Juliani por sua compreensão, apoio aos estudos e por me

fazer continuar acreditando que é possível fazer o melhor.

À Prof. MSc. Samáris Ramiro Pereira que contribuiu com o fornecimento de

materiais bibliográficos sobre o tema.

E a família e aos amigos que de alguma forma contribuíram para a

concretização deste trabalho.

5

RESUMO

É evidente o ganho em desempenho e eficiência na área da saúde quando se

têm um Sistema de Informação aderente aos processos da instituição de saúde.

Inerente e fundamental a esta área é a questão da segurança da informação. Neste

trabalho foram apresentados os requisitos fundamentais que viabilizam a segurança

da informação na área da saúde, provendo também o embasamento teórico

necessário para superar os desafios para esta área. Também foi consolidado, por

meio deste estudo, o foco sobre os desafios da segurança da informação no

Prontuário Eletrônico do Paciente. Para traçar as perspectivas de futuro deste tema

foi realizada uma entrevista com o deputado presidente da subcomissão para

informatização da saúde pública no Brasil. Ratificou-se com este trabalho que a

discussão desse assunto é bem ampla e que existem diversos pontos e impasses

ainda em aberto e que devem ser resolvidos a medida que esse movimento de

transição para o prontuário eletrônico ganhe mais força e diretrizes do governo, tanto

em âmbito federal quanto estadual.

Palavras-chave: Segurança da Informação; Prontuário Eletrônico;

Certificação SBIS; Assinatura Digital;

6

ABSTRACT

Clearly the gain in performance and efficiency in health care when it has an

Information System adheres to the processes of the health institution. Inherent and

fundamental to this area is the question of information security. This paper presented

the fundamental requirements that enable information security in healthcare, also

providing the necessary theoretical framework to overcome the challenges in this

area. Was also consolidated by this study, the focus on the challenges of Information

Security in Electronic Patient. To outline the future prospects of this subject was

interviewed with the Deputy Chairman of the Subcommittee for computerization of

public health in Brazil. Ratified this work was that the discussion of this subject is very

broad and there are several points and deadlocks still open to be resolved as we

move this transition to electronic medical records to gain more strength and guidance

of the government, both federal and state.

Keywords: Information Security, Electronic Health Record; Certification SBIS,

Digital Signature;

7

LISTA DE ILUSTRAÇÕES

FIGURA 1 – EVOLUÇÃO HOSPITALAR EM CONTRASTE COM A EVOLUÇÃO DO PRONTUÁRIO

MÉDICO. .............................................................................................................................................. 21

FIGURA 2 – NÍVEIS EVOLUTIVOS NO PEP. ..................................................................................... 23

FIGURA 3 – ARQUITETURA DA SOLUÇÃO APLICADA NO ICESP. ............................................... 50

8

LISTA DE TABELAS

TABELA 1 – CUSTO INDIVIDUAL DO CERTIFICADO DIGITAL. ..................................................... 39

TABELA 2 – MEMBROS DA SUBCOMISSÃO PARA INFORMATIZAÇÃO DA SAÚDE. ................. 58

9

LISTA DE SIGLAS

AC - Autoridade Certificadora

ANS – Agência Nacional de Saúde Suplementar

ANVISA – Agência Nacional de Vigilância Sanitária

AR - Autoridade Registradora

BYOD - Bring Your Own Device

CFM – Conselho Federal de Medicina

CFO – Conselho Federal de Odontologia

CRM-SC – Conselho Regional de Medicina de Santa Catarina

GED – Gerenciamento Eletrônico de Documento

HSM – Hardware Security Module

ICESP – Instituto do Câncer do Estado de São Paulo

ICP-Brasil – Infraestrutura de chaves públicas do Brasil

IDSUS – Índice de Desempenho do Sistema Único de Saúde

IOM – Institute of Medicine

ISO – International Organization for Standardization

MP – Medida Provisória

NGS – Nível de Garantia de Segurança

ONA – Organização Nacional de Acreditação

PDI – Plano Diretor de Informática

PEP – Prontuário Eletrônico do Paciente

PPP – Parceria Público-Privada

10

RES – Registro Eletrônico de Saúde

S-RES – Sistema de Registro Eletrônico de Saúde

SBIS – Sociedade Brasileira de Informática em Saúde

SGSI – Sistema de Gestão de Segurança da Informação

TI – Tecnologia da Informação

TIC – Tecnologia da Informação e Comunicação

TICS – Tecnologia da Informação e Comunicação em Saúde

TISS – Troca de Informação em Saúde Suplementar

UPA – Unidade de Pronto Atendimento

UTI – Unidade de Tratamento Intensivo

11

SUMÁRIO

1. INTRODUÇÃO .................................................................................................... 13

1.1. Objetivos ......................................................................................................... 14

1.2. Metodologia ..................................................................................................... 15

2. REVISÃO BIBLIOGRÁFICA .............................................................................. 17

2.1. Prontuário: da antiguidade ao prontuário eletrônico .................................. 17

2.1.1. Definindo prontuário .................................................................................. 17

2.1.2. Vantagens e desvantagens do uso de prontuário em papel .................. 18

2.1.3. Transição e justificativa para a utilização do PEP ................................... 19

2.2. Prontuário Eletrônico do Paciente (PEP) ................................................. 22

2.2.1. Construção do PEP .................................................................................... 22

2.2.1.1. Vantagens e desvantagens do PEP ............................................................. 23

2.2.2. Uma análise da diferença entre PEP e prontuário digitalizado .............. 25

2.3. Segurança da informação em saúde ............................................................. 26

2.3.1. Pilares fundamentais da segurança .......................................................... 28

2.3.2. Plano diretor de informática em saúde ..................................................... 31

2.3.3. Aspectos legais e éticos da segurança da informação em saúde ......... 33

2.3.4. Assinatura digital: Discussão da obrigatoriedade e o prontuário 100%

digital 35

2.3.4.1. CRM Digital .................................................................................................. 38

2.3.5. Verificação de atendimento à resolução CFM Nº 1821/2007 ................... 39

2.3.6. Certificação de sistema de informação em saúde no Brasil .................. 40

2.3.6.1. Fases do processo de certificação SBIS / CFM ........................................... 41

2.3.6.2. Nível de Garantia de Segurança (NGS) ....................................................... 42

2.3.6.3. Categorias da certificação ............................................................................ 43

2.3.6.4. A ISO 27799 ................................................................................................. 44

12

2.3.7. A importância da engenharia da usabilidade para a segurança em

sistema PEP ............................................................................................................. 45

2.3.8. Implementação do prontuário eletrônico do ponto de vista jurídico ..... 47

2.3.9. Passivo do prontuário em papel ............................................................... 48

2.4. Cases de sucesso e perspectivas para o futuro .......................................... 49

2.4.1. Cases de sucesso na implantação de PEP .............................................. 49

2.4.2. O futuro do PEP segundo perspectiva de um especialista no assunto 51

2.5. Oportunidades de pesquisa relacionadas à área de informática em saúde

52

3. CONCLUSÃO ..................................................................................................... 53

REFERÊNCIA BIBLIOGRÁFICA .............................................................................. 54

ANEXO 1 – ENTREVISTA COM O PRESIDENTE DA SUBCOMISSÃO PARA

INFORMATIZAÇÃO DA SAÚDE .............................................................................. 57

ANEXO 2 – RESOLUÇÃO CFM Nº 1.821/2007 ....................................................... 64

13

1. INTRODUÇÃO

Um dos grandes desafios nessa transição do prontuário no formato

tradicional, em papel, para o registro em formato eletrônico é a questão da

segurança da informação. Neste sentido, a resolução do Conselho Federal de

Medicina (CFM) Nº 1821, de 11 de julho de 2007, aprovou uma série de normas

técnicas concernentes à digitalização e uso dos sistemas informatizados para

guarda e manuseio dos documentos dos prontuários dos pacientes. Já a resolução

do CFM Nº 1638/2002 institui, entre outros, que os prontuários devem ser revisados

nas instituições de saúde.

Erros médicos, superlotação e má gestão dos recursos físico-financeiros são

apenas alguns dos problemas que poderiam ser tratados com o uso da Tecnologia

da Informação e Comunicação (TIC), problemas estes que influenciam diretamente o

Índice de Desempenho do Sistema Único de Saúde (IDSUS). Com esse propósito é

que foi instituída na Câmara dos Deputados uma subcomissão que está analisando

a informatização na saúde pública no Brasil (IMPRENSA DEMOCRÁTICA, 2013).

São muitos os ganhos a curto, médio e, principalmente, a longo prazo na

adoção da TIC na área da saúde. Porém, um grande desafio para gestores da saúde

na hora de tomar a decisão de implantar soluções informatizadas é o alto custo

envolvido. Outro importante aspecto a ser considerado é a segurança do paciente e

consequentemente a segurança da informação.

Esta necessidade de garantir a segurança da informação exigida nesta área é

um fator determinante para elevação do custo final da implantação de um Prontuário

Eletrônico do Paciente (PEP). São diversos requisitos que devem ser observados ao

desenvolver, especificar ou adquirir software e equipamentos de Tecnologia da

Informação (TI), como será apresentado neste trabalho.

Por isso, a segurança da informação é o maior desafio para a implantação do

conceito de hospital sem papel.

Este trabalho tem como principal motivação contribuir com o debate sobre a

segurança da informação na implantação das TIC na área da saúde. Também visa

14

contribuir para que decisões sejam tomadas visando níveis maiores de eficiência e

qualidade na prestação de serviços de saúde à população, garantindo a devida

segurança para o paciente.

Existe uma série de requisitos que visam garantir a autenticidade,

confidencialidade e integridade das informações de saúde (SBIS, 2012). Este

trabalho apresentará um breve resumo dos principais desafios para garantir a

segurança da informação no registro de informações em saúde.

Há outros pontos envolvidos na segurança da informação nesta área, como

por exemplo, a transmissão de dados dos pacientes pela rede, intercomunicação

entre instituições de saúde, segurança em dispositivos móveis, entre outros, porém

não é objeto desta pesquisa detalhar o mecanismo que deve ser empregado para

segurança da informação nestas tecnologias e nem outros aspectos que

ultrapassam o objetivo principal desta pesquisa.

Entre outras aplicações, o material produzido neste Trabalho de Conclusão de

Curso pretende ser um bom subsídio teórico para gestores da área da saúde,

principalmente na hora de especificar os termos de referência para licitações.

Portanto, espera-se que, ao final deste trabalho, haja a promoção do conhecimento

necessário para auxiliar profissionais de saúde, TI, administradores, enfim, todos os

envolvidos no processo de informatização da saúde.

1.1. Objetivos

Este trabalho tem como objetivo geral discutir os principais aspectos

relacionados à segurança da informação nos sistemas de prontuário eletrônico do

paciente. Os objetivos específicos são:

Explanar as diferenças entre registro em papel e o registro eletrônico

(análise de viabilidade desta migração);

Apresentar os requisitos legais envolvidos na segurança da

informação aplicada ao setor de saúde;

Promover o debate de ideias sobre os requisitos legais envolvidos;

15

Discutir as perspectiva do futuro desta área.

1.2. Metodologia

A metodologia principal utilizada para o desenvolvimento deste trabalho é a

pesquisa bibliográfica, tendo como objetivo reunir e consolidar um estudo detalhado

sobre os requisitos de segurança necessário para a implantação de um sistema que

registra eletronicamente informações de saúde dos pacientes.

Por meio da técnica de entrevista, apresenta-se uma consulta ao presidente

da subcomissão especial da Câmara de Deputados destinada a discutir a

informatização da saúde no Brasil, visando entender o que está sendo discutido no

Congresso Nacional, e verificar qual o posicionamento da subcomissão com relação

a segurança da informação no PEP.

A linha de raciocínio para desenvolvimento deste trabalho será a seguinte:

Mostrar argumentos que justificam a transição do meio físico para

o meio eletrônico;

Apresentar requisitos específicos do aspecto de segurança da

informação para o PEP;

Mostrar etapas para obtenção de certificação Sociedade Brasileira

de Informática em Saúde (SBIS);

Introduzir a demais temas ligados a segurança e fazer prospecção

de futuro do tema;

Apresentar conclusão do tema.

As principais referências teóricas deste trabalho estão relacionadas às

resoluções do Conselho Federal de Medicina (CFM) e SBIS.

Outra fonte importante que contribuiu para o cumprimento dos objetivos deste

trabalho são os dados fornecidos pela assessoria da subcomissão da informatização

da saúde pública.

16

Dentre os autores visitados durante a elaboração deste trabalho, os mais

destacados são:

Requisitos legais exigidos pelas resoluções do CFM;

Materiais orientadores fornecidos pela SBIS, inclusive palestras

virtuais, disponível em site da SBIS;

Artigo: Segurança da Informação em Saúde: Prontuário Eletrônico

do Paciente - Samáris Ramiro Pereira e Paulo Bandiera Paiva.

Apresentado no 9º International Conference on Information Systems

and Technology Management (CONTECSI).

Dissertação de Mestrado: Desenvolvimento e Avaliação

Tecnológica de um Sistema de Prontuário Eletrônico do Paciente,

Baseado nos Paradigmas da World Wide Web e da Engenharia de

Software – Claudio Giulliano Alves da Costa.

Dissertação de Mestrado: Sistema de gestão de segurança da

informação em organizações da área da saúde – Carlos Eduardo

Ribas.

Livro: Direito Digital Aplicado – Patrícia Peck Pinheiro.

17

2. REVISÃO BIBLIOGRÁFICA

2.1. Prontuário: da antiguidade ao prontuário eletrônico

O registro não é apenas um patrimônio do humano, mas é também formador do humano, construtor de subjetividades, constituidor de nossas formas de ver o mundo. (JANER, 2012)

2.1.1. Definindo prontuário

No contexto desse trabalho, como será apresentado, o registro de

informações está relacionado ao prontuário do paciente. O nome prontuário provém

do latim prontuarium e refere-se ao lugar onde se guardam coisas que devem estar

à mão, despensa, armário, etc. (ALVES, 2010).

O artigo 1º da resolução do CFM Nº 1638/2002 define prontuário do paciente

como (CFM, 2002):

Documento único constituído por conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, utilizado para possibilitar a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo.

Em resumo, prontuário é um conjunto de informações pertinentes ao paciente

e ao seu tratamento, portanto, é do paciente. A premissa de o prontuário ser

propriedade do paciente impõe uma série de requisitos e, inclusive, requisitos de

segurança da informação.

O conteúdo do prontuário do paciente não é gerado apenas por médicos.

Todo e qualquer atendimento em saúde deve ser registrado. Isso pressupõe que

múltiplas categorias de profissionais de saúde efetuam registro, tais como: médicos,

enfermeiros, nutricionistas, psicólogos, fisioterapeutas, farmacêuticos e outros. Além

de haver diversos profissionais inserindo informações no prontuário, existe uma

18

diversidade de locais onde acontecem os atendimentos, tais como: sala de cirurgia,

ambulatório, enfermaria, Unidade de Tratamento Intensivo (UTI), farmácia, na

própria casa do paciente, entre outros. Percebe-se, então, que o dado clínico é

muito heterogêneo para ser introduzido em sistemas tradicionais de informação

(CONSELHO ECONÔMICO E SOCIAL DA ONU apud PEREIRA e PAIVA, 2012).

2.1.2. Vantagens e desvantagens do uso de prontuário em papel

O prontuário em papel é ainda a realidade da grande maioria dos hospitais

brasileiros. Entretanto, há diversos pontos negativos gerados pelo uso do prontuário

no formato de papel. Além do espaço físico requerido para manter o grande volume

de papel, pode-se destacar alguns pontos como (YABUMOTO, 2011) (COSTA,

2001) (SBIS, 2012):

Preenchimento irregular;

Extravio;

Ilegibilidade ou dificuldade de leitura;

Falta de organização do conteúdo ou no arquivamento;

Logística física do prontuário;

Prontuário em papel pode estar em apenas um único lugar de cada

vez;

Ambiguidade;

Multiplicidade de pastas;

Dificuldade de pesquisa coletiva;

Dificuldade de acesso;

Fragilidade do papel;

Prontuário em papel não disparam lembretes/alertas, ou seja, é um

método passivo;

Para estudos científicos os dados devem ser transcritos, aumentando

a probabilidade de erro.

19

O prontuário em papel não possui só desvantagens. Se bem estruturado ele

possui algumas vantagens consideráveis (COSTA, 2001):

Facilidade para transporte (portar um papel no dia a dia é mais fácil

que portar um dispositivo eletrônico);

Maior liberdade na forma de escrever;

Facilidade no manuseio;

Não requer treinamento especial;

É menos suscetível a indisponibilidade se comparado com o

eletrônico.

2.1.3. Transição e justificativa para a utilização do PEP

Na Tecnologia da Informação e Comunicação em Saúde (TICS) o PEP é tido

como a principal ferramenta que o médico precisa ou precisará nas suas atividades

diárias no atendimento ao paciente, seja no consultório, centro diagnóstico ou

hospital (SBIS, 2012).

Segundo pesquisa da NPR/Kaiser Family Foundation (2009) realizada nos

Estados Unidos, 75% das pessoas adultas acredita que a utilização de PEP é muito

importante ou tem alguma importância (NPR, 2009).

Do ponto de vista legal, em 2002 o CFM publica a primeira resolução que

abre a possibilidade de haver o prontuário do paciente no formato eletrônico. A

resolução CFM Nº 1638/2002 define e apresenta considerações sobre o tema,

passando o prontuário a não ser entendido como somente um documento em papel.

A resolução CFM Nº 1639/2002 revoga a resolução CFM Nº 1331/1989 e

determinava rígidos critérios para a utilização legalizada do PEP. Porém, a

resolução CFM Nº 1639/2002 já foi revogada e substituída pela resolução CFM Nº

1821/2007, a qual aprova as normas técnicas concernentes à digitalização e uso dos

sistemas informatizados para guarda e manuseio dos documentos dos prontuários

dos pacientes, autorizando a eliminação do papel e a troca de informação

identificada em saúde (CFM, 2007).

20

O PEP é um elemento chave para a melhoria na qualidade e eficiência na

saúde em geral. Para isso, é fundamental que o médico disponha de um sistema

PEP de alta qualidade e confiabilidade, seguro e que possa auxiliá-lo na história

clínica, exames, prescrição, hipóteses diagnósticas, anamnese, etc. (CFM, 2007).

Como demonstrado na figura 2, houve um grande avanço na maioria dos

seguimentos em saúde, porém a complexidade, resistência e custos envolvidos

nesta transição entre o prontuário em papel e o PEP explica a baixa adesão ao PEP,

ou seja, apesar de reconhecerem a importância da TIC, as instituições da área de

saúde ainda carecem de visão estratégica. Embora 73% delas digam que a TIC é

essencial, somente 24% a entendem como estratégica, 28% como componente para

aumentar a competitividade. Enquanto isso, 24% veem a tecnologia apenas como

custo extra, e outros 24% tem dúvidas se devem investir ou não (VIEIRA, 2013).

Segundo SBIS (2012), com um bom sistema de prontuário eletrônico, o

médico pode dedicar mais tempo para os pacientes. O médico deve gastar tempo

com o cuidado com o paciente e não preenchendo milhares de papéis.

Estudos ao redor do mundo têm demonstrado o impacto positivo sobre a

saúde que a implementação de um PEP pode trazer tanto para os profissionais de

saúde, como para os pacientes, gestores e toda a equipe envolvida na atenção à

saúde (SBIS, 2012). Mesmo assim, a informatização não é a solução definitiva. Há

uma baixa qualidade dos prontuários em boa parte dos hospitais, principalmente os

universitários. A revisão e atualização destes prontuários devem preceder qualquer

tentativa de informatização, pois não existe ação possível para a segurança da

informação eletrônica em dados incompletos ou que apresentem erros (PEREIRA e

PAIVA, 2012).

21

Figura 1: Evolução hospitalar em contraste com a evolução do prontuário médico. Fonte: Adaptação do autor (COSTA, 2003).

Observam-se mais iniciativas dos governos, tanto no Brasil quanto fora, para

o uso de sistemas eletrônicos para conservação e sustentação das informações

sobre a saúde. Será visto que o governo federal está realizando algumas iniciativas

para tornar a saúde pública brasileira informatizada. No tópico sobre a subcomissão

para informatização da saúde será apresentada com maior detalhe.

Fora do Brasil, em 2003 o governo da Dinamarca forçou os hospitais a

investirem em sistemas eletrônicos até 2005. Em 2009, o presidente Obama

incentivou os hospitais dos Estados Unidos a utilizarem os sistemas de informação

hospitalares (YABUMOTO apud PEREIRA e PAIVA, 2012).

Outro fator que está impulsionando a utilização do PEP é o fato de haver uma

dificuldade no gerenciamento do conhecimento médico nos métodos tradicionais

baseados em papel.

22

Converter o prontuário do papel para o meio eletrônico é complexo e é só o

primeiro passo (PEREIRA e PAIVA, 2012).

2.2. Prontuário Eletrônico do Paciente (PEP)

2.2.1. Construção do PEP

O Institute of Medicine (IOM), entende que o Prontuário Eletrônico do

Paciente é “um registro eletrônico que reside em um sistema especificamente

projetado para apoiar os usuários fornecendo acesso a um completo conjunto de

dados corretos, alertas, sistemas de apoio à decisão e outros recursos, como links

para bases de conhecimento médico” (IOM apud MARIN, H. F. ; MASSAD, E. ;

AZEVEDO NETO, R. S. DE, 2003).

O Registro Eletrônico de Saúde (RES) comumente confundido como sendo

sinônimo do PEP difere em sua conotação, pois na realidade o RES é um passo

além do PEP. O RES permite o armazenamento e compartilhamento seguro das

informações de pacientes, ou seja, permite o compartilhamento de informações

sobre a saúde de um ou mais indivíduos, inter e multi-instiuição, dentro de uma

região (município, estado ou país), ou ainda, entre um grupo de hospitais.

A construção do PEP é um processo, portanto há diversas etapas. Peter

Waegemann, em 1996, apresenta estas etapas (CONSELHO ECONÔMICO E

SOCIA DA ONU apud PEREIRA e PAIVA; ASSISTANT SECRETARY FOR

PLANNING AND EVALUATION apud PEREIRA e PAIVA, 2012):

1. Registro Médico Automatizado (Automated Medical Record):

Armazenagem da informação em computadores pessoais. Não cumpre

requisitos legais e, portanto, o prontuário em papel deve ser mantido.

2. Registro Médico Computadorizado (Computerized Medical Record):

Todo o corpo clínico coletam a informação no formato de papel e o

documento em papel é digitalizado e armazenado em um sistema

computacional. É uma modalidade de sistema pouco integrada.

23

Cumpre alguns requisitos legais e pode ser possível dispensar o papel

em alguns casos.

3. Registro Médico Eletrônico (Electronic Medical Record): Modelo

interdepartamental, reunindo os requisitos legais para

confidencialidade, segurança e integridade dos dados.

4. Registro Eletrônico do Paciente (Electronic Patient Record): Interligam

todas as informações do paciente, inclusive interinstitucional. É

necessária uma maneira de identificar o paciente de forma unívoca e

nacional, como projeto do cartão SUS.

5. Registro Eletrônico de Saúde (Electronic Health Record): Além das

características evolutivas dos anteriores, a responsabilidade de manter

o prontuário é dividida entre profissionais de saúde e paciente.

Figura 2: Níveis evolutivos no PEP. Fonte: O autor.

2.2.1.1. Vantagens e desvantagens do PEP

Sem dúvida, o PEP oferece muitas vantagens em relação ao modelo em

papel, tais como (PEREIRA e PAIVA, 2012) (SBIS, 2012):

Acesso rápido e simultâneo ao prontuário;

Disponibilidade remota;

Maior controle da segurança, por meio do uso de senhas, backup,

controle de acesso, gestão de incidentes e outros;

Registro Médico Automatizado

Registro Médico Computadorizado

Registro Médico Eletrônico

Registro Eletrônico do

Paciente

Registro Eletrônico de

Saúde

24

Legibilidade irrestrita;

Redução considerável no espaço físico de armazenamento;

Extinção de perda da informação por más condições de

acondicionamento;

Flexibilidade do layout dos dados;

Eliminação da redundância de dados, exames, prescrições e outros;

Fim da redigitação de informações;

Mitigação da possibilidade de erro;

Possibilidade de integração com outros sistemas de informação;

Processamento contínuo e em tempo real dos dados, podendo gerar

alertas instantâneos;

Organização mais sistemática;

Visualização flexível. Os dados poderão ser apresentados e

analisados de diversas formas;

Pode ser implementado com sistemas de alerta e de apoio à decisão;

Redução de custo, se bem implantado;

Melhor gerenciamento dos recursos, seja físico, humano e financeiro;

Avaliação da qualidade;

Possibilidade de busca coletiva do conhecimento, pesquisas,

epidemiologia e estatísticas;

Captação automática de dados fisiológicos do paciente através de

equipamentos de diagnóstico;

Disponibilidade de consulta de resultados de exames laboratoriais ou

de imagem;

Melhoria da efetividade do cuidado;

Maior segurança ao paciente.

Da mesma forma, segue uma lista de algumas desvantagens do PEP:

Necessidade de grande investimento em hardware, software e

treinamento;

Retorno do investimento não é imediato;

Resistência dos usuários aos procedimentos informatizados, podendo

chegar até uma sabotagem;

25

Sujeito à falha tanto de hardware quanto de software;

Sujeito à indisponibilidade das informações;

Sistema pode cair em desuso se mal aceito e/ou usuário não consiga

operar o sistema.

A segurança é destacada como uma das principais vantagens do PEP sobre

o prontuário em papel.

Outra vantagem destacada, possível mediante o devido cumprimento dos

requisitos de segurança do PEP, é o compartilhamento automático de informações

com outros profissionais e instituições que estão prestando assistência médica ao

paciente.

2.2.2. Uma análise da diferença entre PEP e prontuário digitalizado

A percepção de alguns quando se fala em prontuário eletrônico é que será

apenas um “papel” armazenado no computador, porém isso difere do que realmente

é o PEP. O prontuário em papel pode e deve ser digitalizado, porém isso não o torna

um PEP. Trata-se de um prontuário no formato de papel que foi escaneado e

armazenado, preferencialmente, em um sistema de Gerenciamento Eletrônico de

Documentos (GED)1 que, ao indexar e armazenar os prontuários facilita seu

manuseio, acesso e disponibilidade do prontuário em papel. Este procedimento está

regido pela Resolução CFM Nº 1821/2007 que normatiza e legitima o prontuário

digitalizado (SBIS, 2012).

Então, eletrônico é diferente de digitalizado. De acordo com CASTRO apud

SBIS (2012), “documento eletrônico pode ser entendido como a representação de

um fato concretizada por meio de um computador e armazenado em formato

específico (organização singular de bits e bytes), capaz de ser traduzido ou

apreendido pelos sentidos mediante o emprego de programa (software) apropriado”.

1 GED: é um conjunto de tecnologias que permite o gerenciamento de documentos no formato digital. (SILVA et

al., 200-).

26

Serão considerados eletrônicos quando estes documentos forem elaborados

e armazenados utilizando um sistema informatizado.

Documentos eletrônicos na área de saúde:

Anamnese 2;

Exame físico;

Prescrição médica;

Resultado de exame laboratorial;

Laudo de exame de imagem;

Anotação de enfermagem e outros;

Odontograma 3.

2.3. Segurança da informação em saúde

Com o grande avanço da TIC, aumentou-se também o número de fraudes e

falsificações. Como contrapartida, diversas tecnologias de segurança da informação

surgiram e estão sendo utilizadas para garantir a tríade: integridade,

confidencialidade e autenticidade (de dados e entidades) sobre informações digitais.

Alguns conceitos iniciais sobre segurança da informação podem ser obtidos

em trabalho anterior (BEZERRA e SOUSA, 2008).

Pode-se dividir a segurança da informação em duas frentes (PEREIRA e

PAIVA, 2012):

Gestão de segurança;

Pesquisa, análise e utilização das tecnologias de segurança.

2 Anamnese: Do grego ana, trazer de novo e mnesis, memória. Reaquisição da memória, regresso da

memória. Histórico dos antecedentes de uma doença (ANAMNESE, 2013).

3 Odontograma: Ficha que contém a representação gráfica dos dentes, na qual o dentista anota as

características dentárias de cada paciente (ODONTOGRAMA, 2013).

27

A segurança da informação em ambas as frentes, gestão ou tecnologias,

interagem com a área de conhecimento na qual estiver envolvida, como por

exemplo, neste caso: a saúde. Há uma pluralidade de áreas envolvidas na

segurança da informação. Essa integração de áreas de conhecimento distintas torna

o trabalho complexo e modular.

A segurança da informação para o PEP/RES é fundamental para aumentar a

qualidade do sistema e proporcionar um aumento na qualidade do cuidado prestado

ao paciente.

Costa (2001) faz outras considerações relativas à segurança da informação:

Máxima confidencialidade e máximo controle de acesso não

coexistem;

A segurança de transações na Internet pode garantir a segurança

dos dados do paciente no processo de transmissão;

A maioria dos casos de quebra de confidencialidade dos dados do

paciente é realizada pelos próprios profissionais da instituição.

As questões relacionadas à privacidade, confidencialidade e segurança são

fundamentais em sistema PEP e é pela falta destes requisitos que muitos sistemas

PEPs fracassam e não substituem os prontuários em papel. O custo elevado

requerido pela implementação dos requisitos de segurança faz com que muitos

desenvolvedores não implemente a totalidade dos requisitos.

Alguns incidentes de segurança viraram notícia no mundo inteiro, como o

caso do “Hacker rouba fichas de 5 mil pacientes de hospital nos Estados Unidos”

((ISC)² apud PEREIRA e PAIVA, 2012) e “Hospital nos Estados Unidos perde dados

de 130 mil pacientes” (IDG NEWS SERVICE, 2010). Incidentes assim acaloram as

discussões sobre o uso desta tecnologia no setor da saúde.

O atendimento à cada requisito do PEP é de fundamental importância para a

segurança da informação, pois um dos focos da segurança da informação é que o

funcionamento correto do sistema e que os objetivos de seus usuários sejam

atendidos (PEREIRA e PAIVA, 2012).

28

2.3.1. Pilares fundamentais da segurança

A segurança apoia-se em três pilares fundamentais: (1). Pessoas, (2).

Tecnologias e; (3). Aspectos jurídicos.

1. Pessoas:

Segundo Costa (2001), um sistema PEP depende em 80% das pessoas e

apenas 20% das tecnologias. Não há sistema bem sucedido sem que haja uma boa

aceitação dos usuários envolvidos. É fundamental o comprometimento de todos.

Estudo realizado no Hospital Universitário da Faculdade de Medicina de

Marília revela que os profissionais realizam acessos indevidos aos dados dos

pacientes (SALVADOR e ALMEIDA FILHO, 2004). Nesse ambiente hospitalar, foi

constatado o vazamento de dados por meio do acesso indevido a informações

privadas de pacientes e também o manuseio inadequado dos dados.

As pesquisas revelam também que, há uma preocupação dos médicos com

relação a quebra do sigilo médico. Mesmo sabendo dos benefícios e vantagens do

PEP, tais fatores trazem resistência na adesão do PEP (PEREIRA e PAIVA, 2012).

A implantação de um PEP é um processo delicado e requer análise de

vulnerabilidades em alguns pontos (MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO,

R. S. DE, 2003):

Falta de entendimento das capacidades e benefícios do PEP e

envolvimento dos usuários: É fundamental que todos os envolvidos

estejam cientes de todos os recursos e benefícios que o PEP pode

oferecer. É importante que os usuários tenham o sentimento de estar

incluído no processo. Isso facilitará todo o processo desde a coleta de

requisitos até a pós-implantação do PEP;

Padronização: A falta de padronização nos sistemas provoca a perda

de dados e inviabiliza muitos dos recursos;

Interface com o usuário: Para que os dados sejam armazenados

adequadamente, de forma estruturada, é fundamental que a entrada

29

também seja estruturada. Então, a interface com o usuário é primordial

para que os dados estejam adequados;

Mudança de comportamento: Os usuários devem estar cientes da

necessidade da mudança. O sistema a ser implantado deve ser o

menos impactante possível na rotina dos usuários. Sistemas que

interferem nos hábitos rotineiros das pessoas, em geral não são bem

aceitos ou demoram algum tempo, exigindo um esforço maior.

Treinamento: O insucesso de muitos sistemas se deve à falta ou a

falha no treinamento na implantação. Esse é um processo contínuo.

Apoio estratégico: O apoio da diretoria da instituição é imprescindível

para o sucesso na implantação de um sistema PEP.

2. Tecnologias:

O ciclo de vida útil de uma TIC, habitualmente, é relativamente curto. É

importante que seja implantando sempre as tecnologias modernas e que essas, uma

vez implantadas, que sejam atualizadas, evitando a obsolescência. A inovação em

TIC deve ser permanente (PEREIRA e PAIVA, 2012).

A deficiência na infraestrutura tecnológica acarreta uma série de possíveis

vulnerabilidades na segurança de um sistema. Antes que seja implantado um

sistema PEP, a infraestrutura deve estar adequada e seguindo os requisitos

necessários.

O controle de acesso é fundamental para um sistema PEP. Ele garantirá o

sigilo das informações dos pacientes contidas nos PEP. Os usuários devem

somente ver as informações que compete ao desempenho do trabalho. É

fundamental que haja auditorias constantes a fim de coibir acessos não autorizados.

É importantíssimo também, garantir que todo e qualquer dado transmitido em

rede seja seguro.

Em ambiente Web as questões relacionadas à segurança são a principal

limitação para o uso do PEP. Ao implantar um sistema PEP, Costa (2001) percebeu

que a principal dificuldade encontrada foi o atendimento aos requisitos de segurança

e devido a limitação orçamentária, não foi possível implantar em sua totalidades os

30

requisitos necessários ao PEP. Esse é um fato que ocorre em muitas implantações.

Nesta implantação, alguns requisitos foram previsto, mas não foram implantados,

tais como (PEREIRA e PAIVA, 2012):

Criptografia na transmissão dos dados;

Banco de dados inviolável;

Autenticação biométrica dos usuários;

Plano de contingência para desastres;

Segurança física no acesso aos servidores.

Outros mecanismos importantes que é recomendável que se empregue no

PEP são (PEREIRA e PAIVA, 2012):

Controle de acesso por usuário e senha;

Identificação por biometria;

Autenticação por certificado digital;

Implantação de políticas clara sobre os requisitos de segurança da

informação;

Auditorias periódicas;

Treinamento e a conscientização para o uso adequado do PEP.

3. Aspectos jurídicos:

Um sistema que não valoriza a segurança e confidencialidade pode estar

fadado ao fracasso, desencadear processos judiciais, e gerar ou aumentar a falta de

confiança dos usuários (PEREIRA e PAIVA, 2012).

Nesse processo de transformação científica e tecnologia é fundamental que

as leis acompanhem essa evolução.

Nos requisitos desejáveis em um PEP, observa-se a necessidade de

cuidados com a segurança da informação, os quais devem observar os preceitos

éticos e legais. A segurança da informação em saúde apresenta uma abordagem

jurídica complexa.

31

Ética médica: É proibido ao profissional de saúde revelar fato de que tenha

conhecimento em virtude do exercício de sua profissão (Código de Ética Médica), a

casos clínicos identificáveis, exibir pacientes ou seus retratos em veículo de mídia

ou qualquer tipo de publicação, revelar informações confidenciais obtidas e/ou

diagnosticadas (PEREIRA e PAIVA, 2012).

A violação da privacidade e da intimidade dos pacientes pelos profissionais de

saúde não ocorre somente em uma conduta positiva ou dolosa, tal crime também

ocorre na modalidade culposa, pois a previsibilidade subjetiva é requisito da

culpabilidade do crime culposo. A conduta ocorre tanto na ação como na omissão,

sendo a primeira qualquer movimento corpóreo tendente a uma finalidade, podendo

também o agente praticá-la de maneira puramente estática, que não é uma omissão,

mas uma ação positiva, um fazer, não um abster-se de fazer. É o caso quando o

profissional de saúde publica, divulga ou permite que seja divulgado informações ou

dados dos pacientes contra sua vontade ou sem a devida anuência.

Segundo Pinheiro (2012), os aspectos técnico-legais mais relevantes para um

trabalho de saúde digital, ou seja, implantação não apenas de PEP, como também

de GED, certificação digital, biometria, digitalização, cadastro e credenciamento on-

line, apresentação de resultados ambulatoriais pela Internet, entre outros, são:

Autenticidade dos dados – prova de auditoria;

Inviolabilidade dos dados – prova de integridade (criptografar, ter

senha de acesso, controle de acesso, fazer guarda histórica sem

sobrescrever, fazer guarda dos logs);

Padronização do modelo de guarda – permitir integração de Banco de

Dados e uso por diferentes agentes;

Capacidade de recuperação dos dados (disponibilidade e acesso);

Garantia de acesso das informações pela Justiça (histórico médico –

prontuário do paciente);

Possibilidade de controle (atuação dos organismos públicos de controle

da saúde e da ética médica).

2.3.2. Plano diretor de informática em saúde

32

É de fundamental importância que haja um plano diretor focado na área

saúde, assim como em outras áreas, para alcançarem-se os resultados desejados

(PEREIRA e PAIVA, 2012).

Considera-se como plano diretor o documento que sintetiza e torna explícitos

os objetivos consensuados para uma instituição e estabelece princípios, diretrizes e

normas a serem utilizadas como base para que as decisões dos atores envolvidos

no processo em questão convirjam, tanto quanto possível, na direção desses

objetivos (SABOYA apud PEREIRA e PAIVA, 2012).

Um Plano Diretor de Informática (PDI) consiste na elaboração estratégica de

investimento nas áreas de TIC a fim de assegurar o bom funcionamento das

atividades institucionais, bem como prover informações necessárias para estudos de

investimentos futuros em tecnologia. O PDI tem por objetivo o levantamento de

recursos, tais como: hardware, software, pessoas, processos, segurança da

informação e necessidades emergentes e futuras (DFIORI, 2013).

O PDI é um documento fundamental para que uma instituição possa utilizar

melhor os recursos da TIC e realizar seus projetos norteados e com projeções de

investimentos de TIC. O PDI pode ser aplicado tanto em organizações públicas

quanto privadas.

O plano diretor em segurança da informação é um braço do PDI. Assim como

em outras áreas, o plano diretor há algumas subdivisões, por exemplo:

Backup;

Segurança física;

Plano de contingência;

Gestão de incidentes;

Controle de acesso;

Segurança em sistemas.

Os Sistemas de RES (S-RES) no Brasil podem receber dois tipos de

certificações: a ISO 27001 (ABNT, 2009) e/ou SBIS (SBIS, 2009).

Nesse contexto, um plano diretor de segurança de informação voltado para a

saúde pode objetivar:

33

1. Certificar o S-RES com a certificação SBIS;

2. Certificar o S-RES com a International Organization for Standardization

(ISO) 27001;

3. Implementar aspectos de segurança da informação para eficácia da

segurança do sistema, independente de certificação.

2.3.3. Aspectos legais e éticos da segurança da informação em saúde

...Penetrando no interior das famílias, meus olhos serão cegos e minha língua calará os segredos que me forem confiados... Hipócrates, 460 a.C. (CRM-SC, 2000).

Uma das maiores barreiras e fator crítico para o sucesso na implantação de

um sistema PEP/RES é ganhar a confiança do corpo clínico. Há uma legítima

preocupação com relação ao sigilo médico. Segundo manual de orientação ética e

disciplinar do Conselho Regional de Medicina de Santa Catarina (CRM-SC) (2000),

não há possibilidade do exercício da medicina sem a existência e a estrita

observância do sigilo médico. Ele é a segurança do paciente.

O Código de Ética Médica, no seu artigo 11, impõe o segredo como um

princípio fundamental para o exercício da medicina. No capítulo IX estão as

obrigações com o segredo profissional. O dever de segredo não se limita ao médico,

mas a todos aqueles que, em função de sua profissão, tenham acesso a estes

dados. Porém, seus acessos deveriam se limitar somente às informações para o

exercer de suas profissões (SALVADOR e FILHO, 2004).

A confidencialidade das informações do PEP é um direito de todo cidadão,

com respaldo na Constituição Federal de 1988, em seu artigo 5º, inciso X que

garante a inviolabilidade da intimidade, da vida privada, da imagem e da honra das

pessoas. Este dever de preservação de segredo é previsto no nosso Código Penal,

artigo 154, e na maioria dos códigos de ética profissional da saúde (SALVADOR e

FILHO, 2004).

O PEP é regulado por algumas leis e são (PINHEIRO, 2012):

34

Constituição Federal, artigo 5º, inciso X;

Código Civil, artigos 225, 330, 331, 332, 333;

Código de Processo Civil, artigos 368, 371, 389;

MP 2.200-2/2001;

Resolução CFM Nº 1821/2007;

Resolução CFM Nº 1931/2009 – Código de Ética Médica;

Parecer CFM Nº 30/20024.

Com intuito de estabelece as normas, padrões e regulamentos para o

PEP/RES no Brasil, foi firmado um convênio de cooperação técnico-científica entre o

CFM e a SBIS. Com esse convênio houve a criação de um processo de certificação

de sistemas RES. Um marco regulatório importante foi a publicação da resolução do

CFM Nº 1821/2007, cuja sua ementa é a seguinte (CFM, 2007):

Aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde.

Em anexo conta o conteúdo integral desta.

Em 2009 o Conselho Federal de Odontologia (CFO) publicou uma resolução

que é idêntica a resolução CFM Nº 1821/2007 aprovando o uso do prontuário

eletrônico para pacientes de odontologia. A resolução publicada foi a CFO Nº

91/2009.

Quer seja um prontuário eletrônico ou em papel (modelo convencional),

ambos devem seguir as orientações e determinações da Resolução CFM Nº

1638/2002 que traz a definição de prontuário médico e torna obrigatória a criação de

comissão de revisão de prontuários nas instituições de saúde (SBIS, 2012). Esta

resolução traz conceitos que independe da forma de origem e armazenamento da

informação. Ela trata o que o espera-se de um prontuário médico.

4 Parecer CFM Nº 30/2002 – Para garantir a autenticidade e a confidencialidade na

transmissão dos dados, o PEP deve implementar a criptografia de chave pública, de acordo com normas da ICP-Brasil (PINHEIRO, 2002)

35

Outra exigência que é a feita pelo CFM exige que os S-RES atendam todos

os requisitos obrigatórios da certificação, porém o CFM, neste momento, ainda não

torna obrigatória a auditoria do SBIS nos S-RES, facultando ao desenvolvedor do

sistema submeter o sistema à certificação (SBIS, 2012). Estes requisitos estão

definidos e detalhados na Resolução CFM Nº 1821/2007 já citada.

2.3.4. Assinatura digital: Discussão da obrigatoriedade e o prontuário 100%

digital

Segundo SBIS (2012), para que um PEP possa eliminar 100% a utilização de

papel (paperless), é obrigatório o uso de certificação digital dos profissionais para

assinatura digital dos prontuários.

Esse é o posicionamento da SBIS / CFM: “Só há validade jurídica em

documento assinado digitalmente”. Contudo, segundo análise das especialistas em

direito digital Patrícia Peck Pinheiro e Sandra Paula Tomazi Weber (2012), a MP

2.200/2002 abre a possibilidade de um documento possuir validade jurídica por

outros tipos de certificados ou ainda outras formas para a identificação de autoria,

até pelo princípio de presunção da boa-fé (um simples e-mail enviado presume-se

oriundo daquele destinatário até que se faça prova em contrário).

O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento (MP2200-002/01 art. 10, parágrafo 2º)

O certificado digital transfere a responsabilidade sobre a autoria do

documento para Autoridade Certificadora (AC) e por isso tem sido muito adotado.

Porém ele não deve ser entendido como a única forma de possuir validade jurídica,

como afirma Pinheiro (2012).

O judiciário permitiu o peticionamento eletrônico por meio de usuário e senha.

Hoje a biometria já é adotada como forma de reconhecimento do indivíduo, seja para

36

passaporte ou no processo eleitoral. Então, não é correto afirmar que se o PEP não

for assinado por meio de certificação digital ICP-Brasil ele não possui validade

jurídica. Os documentos eletrônicos, assim como PEP e o próprio e-mail, já são

utilizados como instrumentos de prova nos processos atuais, independente de terem

sido assinados ou não via certificado digital. Isto é sustentado pelo artigo 225 do

Código Civil (PINHEIRO, 2012) e artigo 332 do Código de Processo Civil:

As reproduções fotográficas, cinematográficas, os registros fotográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou coisas fazem prova plena destes, se a parte, contra quem forem exibidos não lhes impugnar a exatidão (Art. 225 do Código Civil).

Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, são hábeis a provar a verdade dos fatos, em que se funda a ação ou defesa (Art. 332 do Código de Processo Civil).

Então, a assinatura eletrônica em um documento eletrônico que seja feita em

consonância com as disposições da MP 2200-002/01 equipara-se a uma assinatura

feita de próprio punho em um documento em papel. Logo, se tradicionalmente os

documentos são assinados em papel sem a exigência do reconhecimento de firma,

por que deveríamos exigir isso agora? Há outras técnicas que podem ser adotadas,

desde que preservadas a integridade e autenticidade do documento eletrônico

(PINHEIRO, 2012).

Essa interpretação da SBIS / CFM atrasa a informatização da saúde no Brasil,

colocando mais barreiras nesse processo.

Devido a esse posicionamento, se o sistema a ser implantado quiser obter a

certificação da SBIS, infalivelmente será necessária a utilização da certificação

digital.

A exigência da certificação digital nos PEPs, a flutuação no quadro de

médicos e demais profissionais de saúde fazem com que muitos hospitais adotem o

sistema híbrido, ou seja, os dados são inseridos em sistema eletrônico, esses dados

são impressos e então realiza-se uma assinatura de próprio punho no documento.

37

Tais sistemas não maximiza o ganho de ter um prontuário eletrônico, e ainda a essa

prática fere os princípios jurídicos de proteção legal de documento original da

Sociedade Digital, pois gera um novo documento que precisa de uma nova

autenticação e que pode sofrer quebra de integridade na migração de suporte

eletrônico para suporte papel (PINHEIRO, 2012).

Há um grande risco nessa solução, pois há duas fontes distintas de

informação e isso pode gerar a leitura não integral do prontuário do paciente,

podendo gerar diagnósticos, decisões, prescrições, entre outros, equivocadas.

Embora seja um complicador nesse processo de informatização da saúde, se

optada pela adoção da assinatura eletrônica por meio de certificado digital ICP-

Brasil, ela trará algumas vantagens, como a já citada “transferência de

responsabilidade sobre a autoria do documento para AC”.

Um sistema que utiliza assinatura digital pode operar nos modos centralizado

e distribuído (E-VAL, 2013):

Operação centraliza: as chaves de assinatura são armazenadas em

dispositivo Hardware Security Module (HSM). Instalados no servidor do

serviço. Promove maior usabilidade aos usuários, que não precisarão

portar um dispositivo móvel de cartão ou token;

Operação distribuída: cada profissional utiliza seu cartão ou token, para

realizar as assinaturas diretamente nos computadores do ponto de

cuidado.

Segundo Paulo Kulikovsky, vice-presidente da Certisign (CERTISIGN, 2013):

A certificação digital é a solução para redução dos custos dos hospitais com aumento da segurança, tanto para o paciente como para os próprios hospitais, além do aumento na produtividade do corpo clínico e facilidade de acesso às informações. Quando implantado o processo de certificação digital, são eliminados todos os esforços administrativos e os erros advindos do uso do prontuário em papel.

38

Observa-se que não há um consenso sobre a obrigatoriedade do uso da

assinatura digital. A assinatura digital por ser mais regulada, trará mais benefícios

em caso de processos judiciais, pois simplificará a prova da autenticidade e

integridade das informações, porém há um alto custo a ser pago por essa

“segurança jurídica”.

2.3.4.1. CRM Digital

O CFM lançou em março de 2011 o CRM Digital que visa estimular e

massificar o uso de certificação digital pelos médicos no Brasil. Gradualmente o

smart card está substituindo o modelo tradicional de cartão (SBIS, 2012).

Para utilizar o CRM digital no prontuário eletrônico o médico deverá procurar

uma Autoridade Registradora (AR) que é o órgão competente e autorizado a inserir

um certificado digital padrão ICP-Brasil válido.

Na primeira etapa deste processo, o certificado digital a ser inserido no CRM

Digital é o mesmo que o e-CPF A3, ou seja, um certificado digital ICP-Brasil para

pessoa física válido por 3 anos.

O CFM realizou um termo de cooperação com a Caixa Econômica Federal

para baratear o custo do certificado digital para o CRM Digital. Esse termo foi

realizado através de um estudo realizado em 2011, onde foi tabulado os seguintes

preços para certificação:

39

Tabela 1 – Custo individual do certificado digital. Fonte: (CFM, 2013).

2.3.5. Verificação de atendimento à resolução CFM Nº 1821/2007

A resolução do CFM Nº 1639/2002 traz normas técnicas para o uso de

sistemas informatizados e para a guarda e manuseio do prontuário médico. Porém,

com o convênio estabelecido com a SBIS, esta resolução foi revogada e a norma

vigente é a presente no manual da SBIS, conforme Art. 1º da resolução CFM Nº

1821/2007.

Para verificar se o S-RES atende a todos os requisitos da resolução CFM Nº

1821/2007 há duas formas. A primeira é por meio da certificação do S-RES. Para

isto, verifique o nome do sistema, desenvolvedor/empresa e número da versão

(número da versão é o elemento essencial, pois a certificação é válida para

determinada versão de sistema, não abrangendo versões futuras). Com estas

informações, acesse o site da SBIS: http://www.sbis.org.br/certificacao e verifique se

esse sistema consta na lista de sistemas auditados pela SBIS (SBIS, 2012).

No site constará:

40

Número do certificado;

Situação atual do certificado;

Nome do produto;

Nome da empresa / organização;

CNPJ da empresa / organização;

Versão do produto;

Ano de referência;

Data de emissão do certificado;

Data de validade estimada do certificado;

Nível de garantia de segurança (NGS);

Categoria do S-RES;

e arquivo em formato digital do certificado emitido.

A segunda forma é questionar a diretoria técnica da instituição de saúde a fim

de, mesmo não auditado, verificar se o S-RES atende todos os requisitos da

certificação de software. Como mencionado anteriormente, a certificação ainda não

é um requisito obrigatório, então essa segunda forma só será válida enquanto não

houver legislação que obrigue a certificação dos S-RES.

Como prevê o art. 18 do código de ética médica prevê que é vedado ao

médico desobedecer ou desrespeitar aos acórdãos e às resoluções dos conselhos

federal e regionais de medicina. Em eventual processo judicial ou nos conselhos

regionais, não serão consideradas válidas como prova legal se essas estiverem

armazenadas em S-RES que estejam em desacordo com as exigências da

certificação.

2.3.6. Certificação de sistema de informação em saúde no Brasil

Em 2002 foi firmado um convênio de cooperação técnico-científica entre o

CFM e a SBIS para definição do PEP/RES e estabelecimento dos requisitos

mínimos e obrigatórios para esse tipo de sistema e tendo como grande motivador a

segurança do paciente. A percepção destes órgãos foi a que as informações da

41

saúde dos pacientes não estavam sendo armazenadas, até então, de forma segura,

sendo necessário estabelecer padrões e o reconhecimento de sistemas que adotam

esses padrões. Surgiu então a certificação para S-RES (SBIS, 2012).

A certificação S-RES é um processo de auditoria em sistemas informatizados

que armazenam informação identificada de saúde e que consiste em verificar o

atendimento do sistema aos requisitos do manual de certificação.

A base da formulação destes requisitos foi revisão de experiências e projetos

similares, normas e padrões nacionais e internacionais, de forma que fossem

atendidas integralmente as legislações nacionais.

Um dos principais requisitos estabelecido é o uso da assinatura eletrônica

com certificado digital padrão ICP-Brasil.

No S-RES, se é atendido os requisitos do manual de certificação e possui a

assinatura digital para assinar o prontuário, os registros gerados não são passíveis

de modificação. Se for necessária à modificação será necessário gerar um novo

registro versionado da informação. Já em um sistema não certificado não há

garantias que o registro não seja modificado (SBIS, 2012).

2.3.6.1. Fases do processo de certificação SBIS / CFM

A certificação de um S-RES possui três fases (D’AVILA, 2004):

Fase I – Declaração de conformidade;

Processo simples via Internet;

Aderência aos requisitos do manual;

Apenas uma fase de adaptação e treinamento do mercado.

Fase II – Selo SBIS / CFM;

Selo de qualidade para o software, certificando que o mesmo atende

requisitos;

Necessidade de auditoria;

Certificado para o produto (software) pela SBIS e registrado no CFM.

42

Fase III – Certificação de RES.

Modelo mais amplo;

Certificação de hospitais, clínicas para o uso do PEP;

Abandonar o papel;

Metodologia de certificação estilo Organização Nacional de

Acreditação (ONA);

Envolvimento da Agência Nacional de Vigilância Sanitária (ANVISA).

Este é um processo complicado que exige pelo menos dois aspectos: a

análise do produto e a sua utilização no ambiente em que está instalado.

2.3.6.2. Nível de Garantia de Segurança (NGS)

Um dos pontos mais importantes da certificação SBIS-CFM é a segurança da

informação (SBIS, 2012).

O processo de certificação SBIS/CFM classifica os S-RES, do ponto de vista

de segurança da informação, em dois Níveis de Garantia de Segurança (NGS):

NGS1: define requisitos obrigatórios de segurança, tais como controle

de versão do software, controle de acesso e autenticação,

disponibilidade, comunicação remota, auditoria e documentação.

NGS2: Além de todos os requisitos do NGS1, exige a utilização de

certificados digitais ICP-Brasil para a assinatura e autenticação.

Somente os sistemas que estão em conformidade com esse nível são

considerados de 100% digitais, pois não requer a impressão de

documentos do prontuário. Este é o atualmente o nível mais elevado

de segurança de certificação S-RES.

No manual de certificação (SBIS, 2009) constam todos os requisitos de

segurança que cada nível exige.

43

No item 8.2 e 8.3 do manual estão descritos estes itens. Constam na tabela a

identificação (ID), requisito, conformidade, local e remoto. São exemplos de

requisitos:

Controle de versão do software: Versão software, código fonte,

repositório de versões, entre outros;

Identificação e autenticação de usuário: Método de autenticação,

segurança de senhas, controle de tentativas de login, entre outros;

Disponibilidade do RES: Cópia de segurança, segurança da

comunicação entre cliente e servidor, entre outros;

Assinatura digital: Formato de assinatura, referência temporal para

revogação, validade da assinatura digital entre outros;

Entre outros.

2.3.6.3. Categorias da certificação

Genericamente o processo de certificação SBIS/CFM destina-se ao S-RES.

S-RES, segundo definição da norma ISO, é qualquer sistema que capture,

armazene, apresente, transmita ou imprima informação identificada em saúde (SBIS,

2012).

Exemplos de S-RES:

Sistemas de gestão hospitalar;

Prontuário eletrônico;

Sistemas para clínicas e consultórios;

Sistemas de resultado de exames laboratoriais;

Sistemas para laudos de exames de imagens;

Sistemas para saúde do trabalhador;

Entre outros.

44

Na versão atual do manual de certificação, versão 3.3, foram criados

requisitos somente para algumas categorias, permitindo que os S-RES das

categorias abaixo possam ser auditados.

Assistencial: qualquer sistema que auxilie o médico no atendimento ao

paciente;

Gerenciamento Eletrônico de Documentos (GED): utilizados para o

armazenamento e visualização de documentos, desde que

relacionados à informação de saúde.

Troca de Informação em Saúde Suplementar (TISS): categoria dirigida

ao atendimento do padrão TISS da Agência Nacional de Saúde

Suplementar (ANS).

2.3.6.4. A ISO 27799

A série 27000 da ISO concentra-se nos requisitos, controles de segurança e

orientado para implementação de um Sistema de Gestão de Segurança da

Informação (SGSI) (RIBAS, 2010).

A ISO 27001:2006 foi preparada para prover um modelo para estabelecer,

implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI

(ISO apud RIBAS, 2010).

A ISO 27002 estabelece um código com as melhores práticas em segurança

da informação. Ela lista os objetivos de controle e recomenda uma série de controles

de segurança específico (RIBAS, 2010).

A ISO 27799 define diretrizes para auxiliar organizações da área da saúde e

outras que armazenam informações médicas na interpretação e na execução da ISO

27002. A ISO 27799 é um complemento da ISO 27002. Todos os objetivos descritos

nela são relevantes para a área da saúde, mas alguns controles requerem

esclarecimentos adicionais a respeito de como eles podem ser usados para proteger

a confidencialidade, integridade e disponibilidade de informações médicas. Há

também requisitos adicionais específicos do setor da saúde. Esta norma fornece

45

uma orientação adicional de forma que as pessoas responsáveis pela segurança da

informação na saúde possam facilmente compreender e aprovar (ISO apud RIBAS,

2010).

2.3.7. A importância da engenharia da usabilidade para a segurança em

sistema PEP

A engenharia da usabilidade visa conquistar a aceitação do usuário a um

sistema e assim efetivar sua utilização. É preciso mudar esta visão contribuindo para

o desenvolvimento e a operação de sistemas de informação funcionais e seguros

(PEREIRA e PAIVA, 2012).

Como mencionado os sistemas informatizados são essenciais na área da

saúde, mas sua eficácia é diretamente proporcional à sua usabilidade. Um sistema

com uma usabilidade adequada reduz falhas na segurança, sejam elas intencionais

ou não, oriundas do usuário.

Na área da saúde, a necessidade de segurança é ainda mais crítica do que

em outras áreas, pois afetará diretamente o bem estar e a vida humana envolvida. A

segurança da informação permeia todos os colaboradores da instituição, sendo

necessário que todos os profissionais se familiarizem com a engenharia da

usabilidade e que haja a consciência que ela é uma poderosa ferramenta na

redução dos riscos na segurança do PEP (PEREIRA e PAIVA, 2012).

Em pesquisa realizada por Koppel et al. (2005) e Ash et al. (2004) revela

algumas falhas impactantes por falta de usabilidade do sistema, tais como

(PEREIRA e PAIVA, 2012).

Usuário não conseguia utilizar corretamente o equipamento e desta

forma atrasava ou impossibilita o procedimento.

O sistema assumia a dosagem do medicamento com base na unidade

cadastrada. Não considerava a possibilidade de prescrição de

dosagem atípica;

46

Os prescritores frequentemente inseriam registro de novas doses sem

cancelarem o registro antigo: o paciente recebia a soma das doses;

Usuários anotavam dados em papel e depois os lançavam no sistema.

As informações perdiam consistência e atualização;

Anotação do procedimento com defasagem de tempo. Há falha na

consistência de tempo e dois ou mais trabalhos para o mesmo

procedimento.

Um medicamento prescrito três vezes por dia foi suspenso, mas o

sistema não permitiu o fechamento da prescrição incompleta;

Medicamentos urgentes podiam ser ministrados pelos enfermeiros

antes da ordem do médico. Porém, o PEP inviabilizava essa exceção,

exigindo que houvesse primeiramente a prescrição médica;

Pacientes no pronto-socorro não poderiam ser atendidos sem cadastro,

Mesmo em estado de emergência, sem o porte da documentação, o

sistema não permitia a alocação de leito, retirada de medicamento,

consulta ou solicitação de exames;

Problema da meia-noite: na área da saúde, ministrar um remédio às

23h55 ou às 00h05 é análogo, mas para o sistema é outro dia, gerando

inconformidades nas informações.

O PEP é um caminho sem volta e que exige a presença da engenharia da

usabilidade para que haja a segurança da informação necessária e a aceitação dos

usuários do sistema (PEREIRA e PAIVA, 2012).

O profissional de saúde deseja que o PEP seja:

Integrado;

Atualizado em tempo real;

Tenha autenticidade e confidencialidade;

Aderente à legislação vigente.

Um dos maiores equívocos no desenvolvimento dos sistemas, não somente

do PEP, é a construção de interfaces por profissionais isolados, concentrados no

computador e alheio ao dia a dia dos usuários. Por isso, o envolvimento dos

usuários (médicos, enfermeiros, fisioterapeutas, outros) é importantíssimo para a

47

construção e evolução de um sistema que seja eficiente na sua usabilidade,

tornando assim o sistema mais seguro, bem aceito e amplamente utilizado. Um

sistema bem construído, do ponto de vista da usabilidade, quebra a barreira da

resistência dos usuários com relação à implantação.

2.3.8. Implementação do prontuário eletrônico do ponto de vista jurídico

Tendo em vista a importância da padronização do modelo técnico-jurídico de

saúde digital, é necessária uma análise jurídica minuciosa, a fim de dar cumprimento

às leis em vigor no País, considerando temas como (PINHEIRO, 2012):

Modelo técnico-legal de referência e requisitos de software e sistemas;

Modelo técnico-legal de referências e requisitos para bases de dados.

Modelo de autenticação forte (prova de autoria e identidade) com

análise de aplicação de Certificação Digital da ICP-Brasil e/ou registro

Biométrico;

Política de privacidade eletrônica;

Política de segurança da informação;

Especificação para contratação de soluções e fornecedores TI;

Modelo de contrato de fornecedores de TI;

Termo de uso do ambiente e vacinas legais para as interfaces gráficas

(aplicável a vários tipos de autenticação e acesso);

Termo de confidencialidade;

Termo de coleta biométrica;

Referência para extração de análise dos dados de PEP para fins

estatísticos (não identificáveis);

Capacitação com palestras e treinamentos para construção de uma

cultura paperless na saúde, orientando médicos e equipes sobre o uso

ético, seguro e legal do prontuário eletrônico;

Recomendações e Procedimentos para hospitais, clínicas, laboratórios,

seguradoras de saúde e médicos;

48

Atualização do Código de Conduta Médica para inserir a questão do

PEP;

Participação em reuniões de discussão e validação do modelo

brasileiro;

Registros em atas de reunião;

Homologação legal das soluções apresentadas por parceiros ou

fornecedores;

Elaboração de pareceres técnico-legais para apoiar implementação de

PEP nas instituições público-privadas;

Resposta às dúvidas e consultas de hospitais, seguradoras e demais

agentes de mercado.

Então, na implementação de um PEP é necessária uma base jurídica bem

estruturada, além de treinamentos específicos para os profissionais envolvidos

(PINHEIRO, 2012).

2.3.9. Passivo do prontuário em papel

O prontuário pode e deve ser digitalizado, porém isso não autoriza o descarte

do papel. Pela lei brasileira atual está autorizada a eliminação do papel em caso de

microfilmagem5 dos documentos.

Segundo resolução CFM Nº 1821/2007, está autorizada a eliminação do

prontuário em papel desde que o arquivo resultante do processo de digitalização

seja assinado com um certificado digital ICP-Brasil e este devem ser mantidos em

sistema. Porém, ainda não há um consenso visto que o prontuário é multiprofissional

e inclui anotações de diversas categorias de profissionais de saúde e, como

mencionado, parte dos demais conselhos de classe não houve regulamentação

efetiva nesse assunto. Mesmo ao digitalizar o prontuário, os originais em papel

5 Microfilme: é uma mídia analógica de armazenamento para livros, periódicos, documentos e desenhos.

49

devem ser armazenados por um período mínimo de 20 anos, conforme determina

resolução CFM Nº 1821/2007, no art. 8º.

Este é um problema gerado pelo uso do papel. Mesmo implementando um S-

RES, haverá um passivo que deverá ser tratado, pois não poderá ser eliminado o

papel “do dia para noite”. É um trabalho de longo prazo para descartar de vez toda

obrigação legal sobre uso do papel para registro de informações dos pacientes.

A resolução CFM Nº 1821/2007, no art. 7º estabelece a guarda permanente

para os prontuários médicos arquivados eletronicamente em meio ótico ou

magnético, e microfilmados.

2.4. Cases de sucesso e perspectivas para o futuro

2.4.1. Cases de sucesso na implantação de PEP

Segundo Costa apud Vieira (2013), ter um hospital digital não é tarefa trivial,

pois a infraestrutura necessária é muito grande. O hospital digital ainda não existe

no Brasil, mas ele é possível e está próximo de ser alcançado em instituições como

o Hospital das Clínicas de Porto Alegre em Rio Grande do Sul, o Instituto do Câncer

do Estado de São Paulo (Icesp) e o Hospital Samaritano em São Paulo, Unidade de

Pronto Atendimento (UPA) do Imbiribeira em Pernambuco, entre outros (VIEIRA 2,

2013).

O Icesp é uma grande referência no uso do PEP. Ele foi destaque no prêmio

“Referências em TI” (JUNIOR e MARCHESINI, 2013). A instalação do PEP evitou

rasuras nos documentos e facilitou o arquivamento e troca de informações.

O Icesp implantou a assinatura digital de seus documentos dando validade

aos documentos armazenados e gerados eletronicamente, tornando mais seguro,

ágil e com benefícios econômicos financeiros por meio da economia de papel e

50

melhor gerenciamento dos recursos. O projeto começou em abril de 2010 e finalizou

em junho de 2012, com investimento de R$5 milhões.

O Icesp adotou a arquitetura centralizada na operação de assinatura digital.

Há um módulo HSM que é responsável pela a guarda das chaves. No evento

EducaSUS (2011) o diretor de TI do Icesp, Dr. Kaio Jia Bin, menciona que a

arquitetura de operação centralizada tem algumas vantagens, como por exemplo, o

profissional não tem como esquecer a chave, já que seu armazenamento fica in

loco. Porém, essa adoção gerou alguns problemas, como cita, que se fosse para

optar hoje, ele optaria pela arquitetura distribuída. Além de dar mais transparência

ao profissional (aparente garantia que ninguém irá utilizar sua chave, já que está em

sua posse), e o fato dos profissionais trabalharem em mais de um lugar faz com

quem eles não consigam reutilizar a mesma chave em vários locais.

O Icesp está deixando de consumir 800 mil folhas por mês, trazendo uma

redução no custo, tanto na aquisição quanto na guarda do papel.

Figura 3 – Arquitetura da solução aplicada no Icesp. Fonte: (E-VAL, 2013).

51

A fundação Hospital Infantil Sabará, em São Paulo, está realizando a

implantação do PEP com NGS2. A meta é reduzir os custos com impressão de

documentos de R$ 16 mil para R$ 7 mil, segundo Milton Alves, diretor de TI e

facilities do hospital (CERTISIGN, 2013).

Com um investimento de R$ 400 mil, o Hospital Samaritano pretende deixar

de imprimir 500 mil folhas de papel por mês. A instituição certificou digitalmente

2500 funcionários para poderem assinar digitalmente o PEP (CERTISIGN, 2013).

2.4.2. O futuro do PEP segundo perspectiva de um especialista no assunto

Em âmbito federal, foi criada uma subcomissão para discutir a informatização

da saúde. Em entrevista ao deputado federal Dr. Alexandre Roso, ele fala um pouco

dos objetivos dessa subcomissão. A íntegra é apresentada no ANEXO 1.

Essa subcomissão tem como objetivo:

a) Fazer um diagnóstico do cenário atual da informatização da saúde

traçando metas;

b) Propor um projeto de lei e

c) Avaliar as ações do governo para incrementar a informatização da

saúde, assim como ocorreu no judiciário.

Como citou o deputado, menos de 1% do orçamento da saúde vai para a área

de TI e isto é pouco para uma área que poderia ter o status da principal ferramenta

para se alavancar a eficiência da saúde pública no Brasil.

No que tange a custos envolvidos, o deputado menciona que o benefício

alcançado por um sistema de informação eficaz supera o custo de sua implantação.

A verba virá do próprio ministério da saúde e há a possibilidade de ser feita uma

Parceria Público-Privada (PPP). A segurança da informação é um elemento principal

nesse processo e tem um alto custo envolvido e isto está sendo levado a debate na

subcomissão.

52

A intenção é criar um sistema que interaja e integre com todo o setor público

e também com instituições privadas. A chave para que esse processo ocorra é que

haja a unificação do cadastro dos pacientes e isto já vem ocorrendo por meio do

cartão SUS.

O deputado finaliza a entrevista trazendo três pontos principais:

desfinaciamento da saúde, a gestão e os recursos humanos. Nos três pontos a

informatização é a ferramenta de gestão fundamental para que haja eficiência.

2.5. Oportunidades de pesquisa relacionadas à área de informática em saúde

Segue algumas sugestões de pesquisa que daria continuidade a este

trabalho:

PEP e a utilização em dispositivos móveis (m-health);

Segurança da informação de saúde no contexto de Bring Your Own

Device (BYOD) – Traga seu próprio dispositivo);

Segurança da informação de saúde no contexto de Cloud Computing;

Segurança da informação na transmissão e compartilhamento de

dados entre instituições de saúde;

Segurança da informação de saúde em telemedicina;

Estudo sobre o protocolo Health Level 7 (HL7);

Auditoria em sistema PEP;

Direito digital para o PEP.

53

3. CONCLUSÃO

Os principais aspectos relacionados à segurança da informação nos sistemas

de registro eletrônico em saúde foram discutidos, onde as diferenças entre registro

em papel e o registro eletrônico foram esplanadas identificando-se vantagens e

desvantagens, bem como se analisou a viabilidade da migração papel para

eletrônico.

Os requisitos legais envolvidos na segurança da informação aplicada ao setor

de saúde foram cuidadosamente abordados e analisados, onde promoveu-se um

debate de ideias.

Finalmente, discutiram-se as perspectivas do futuro desta área, incluindo a

síntese de uma entrevista feita com o deputado Dr. Alexandre Roso.

Finalmente, com base em todo o estudo do assunto tratado neste TCC, bem

como na entrevista realizada, conclui-se que a adoção do prontuário eletrônico é a

mais adequada aos requisitos da saúde devido a suas inúmeras vantagens sobre o

prontuário em papel. A questão da segurança da informação na saúde é o elemento

chave nesse processo, tanto com relação à garantia e transparência ao corpo clínico

quanto a legalidade do sistema. Portanto, a segurança da informação é o principal

obstáculo a ser superado, em um cenário em que garantir a segurança da

informação é garantir a segurança do Paciente.

54

REFERÊNCIA BIBLIOGRÁFICA

ALVES, Leonardo. História: o primeiro prontuário médico. Ago. 2010. Disponível em: <http://www.meuprontuario.net/prontuario-medico/blog-corporativo/Historia-o-primeiro-prontuario-medico.html>. Acesso em: 11 set. 2013.

ANAMNESE. In: Michaelis. Disponível em: <http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-portugues&palavra=anamnese>. Acesso em: 08 out. 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27000:2009: Sistema de Gerenciamento de Segurança da informação. 2009.

BEZERRA, Dinarde Almeida; SOUZA, Gustavo Magno. Protocolos criptográficos. Disponível em: <http://pt.scribd.com/doc/7526941/Protocolos-Criptograficos>. Acesso em: 01 mai. 2013.

CERTISIGN. Casos de sucesso. Disponível em: <http://www.certisign.com.br/solucoes-corporativas/casos-sucesso>. Acesso em: 09 jul. 2013.

CFM, Conselho Federal de Medicina. CRM Digital. Disponível em: <http://portal.cfm.org.br/crmdigital/crm-digital.html>. Acesso em: 09 jul. 2013.

CONSELHO FEDERAL DE MEDICINA. Aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde, Resolução n. 1821, de 23 de novembro de 2007.

CONSELHO FEDERAL DE MEDICINA. Define prontuário médico e torna obrigatória a criação da Comissão de Revisão de Prontuários nas instituições de saúde, Resolução n. 1638, de 9 de agosto de 2002.

COSTA, Claudio G. A. da. Desenvolvimento e Avaliação Tecnológica de um Sistema de Prontuário Eletrônico do Paciente, Baseado nos Paradigmas da World Wide Web e da Engenharia de Software. Dissertação de Mestrado em Engenharia Biomédica na UNICAMP, Universidade Estadual de Campinas. 2001.

COSTA, Claudio G. A. da. Prontuário eletrônico do paciente: Legislação, auditoria e conectividade. In: CONGRESSO LATINO AMERICANO DE SERVIÇOS DE SAÚDE, 8, 2003, São Paulo. Anais... [S. l. : s. n.].

CRM-SC, Conselho Regional de Medicina do Estado de Santa Catarina. Manual de orientação ética e disciplinar. Disponível em: <http://www.portalmedico.org.br/Regional/crmsc/manual/parte3c.htm>. Acesso em: 15 de ago. 2013.

D’AVILA, Roberto Luiz. A certificação SBIS-CFM. Disponível em: <http://www.portalmedico.org.br/include/forum_informatica/Forum%20Inf.%20em%20S%E1ude.ppt>. Acesso em: 11 set. 2013.

55

DFIORI, Soluções em Comunicações e Segurança. Plano Diretor de Informática. Disponível em <http://www.dfiori.com.br/servicos/index-3.htm>. Acessado em: 25 set. 2013.

EDUCASUS: Hospitais beneficentes trocando experiências: Prontuário eletrônico e assinatura digital. Disponível em: <www.fcmscsp.edu.br/ead/educasus/evento.php?eve_id=346>. Acesso em: 13 set. 2013.

E-VAL. MADICS: Módulo de Assinatura Digital e Certificação em Saúde. Disponível em <http://www.evaltec.com.br/images/MADICS.pdf>. Acesso em: 25 set. 2013.

IDG News Service. Hospital nos Estados Unidos perde dados de 130 mil pacientes. Disponível em: <http://computerworld.uol.com.br/seguranca/2010/06/30/hospital-nos-eua-perde-dados-de-130-mil-pacientes >. Acesso em: 07 set. 2009.

IMPRENSA DEMOCRÁTICA. Deputado Mandetta é relator da comissão que analisa informatização na saúde. Disponível em: <http://www.youtube.com/watch?v=3lYHPunhwoo>. Acesso em: 03 jul. 2013.

JANER, Jader. A Construção da prática cotidiana na educação infantil. Disponível em: <https://docs.google.com/presentation/d/1yj5bXdjAlpsKClFAEXZWnhK6gWHtr_SKopAMLpisvlY/edit#slide=id.i0>. Acesso em: 17 mai. 2013.

JUNIOR, Giberto Pavoni; MARCHESINI, Adriele. Icesp é destaque do prêmio Referências em TI. Disponível em: <http://www.saudeweb.com.br/38489/icesp-e-destaque-do-premio-referencias-em-ti>. Acesso em: 26 set. 2013.

MARIN, H. F. ; MASSAD, E. ; AZEVEDO NETO, R. S. DE . Prontuário Eletrônico do Paciente: Definições e Conceitos. In: Eduardo Massad; Heimar de Fátima Marin; Raymundo Soares de Azevedo Neto. (Org.). O Prontuário Eletrônico do Paciente na Assistência, Informação e Conhecimento Médico. 1 ed. São Paulo: , 2003, v. , p. 1-20.

NPR/Kaiser Family Foundation/Harvard School of Public Health. The public and the health care delivery system. Disponível em: <http://www.npr.org/documents/2009/apr/nprpoll_topline.pdf>. Acesso em: 23 set. 2013.

ODONTOGRAMA. In: iDicionário Aulete. Disponível em: <http://aulete.uol.com.br/odontograma>. Acesso em: 08 out. 2013.

PEREIRA, Samáris Ramiro; PAIVA, Paulo Bandiera. Information security in health: Eletronic Patient Record. CONTECSI – INTERNATIONAL CONFERENCE ON INFORMATION SYSTEMS AND TECHNLOGY MANAGEMENT, 9, 2012, São Paulo. Anais… [S.l.]: TECSI, [2012]. p. 289

PINHEIRO, Patrícia Peck (Org.). Direito digital aplicado. 1. ed. São Paulo: Intelligence, 2012. 360 p.

56

RIBAS, Carlos Eduardo. Sistema de gestão de segurança da informação em organizações da área da saúde. Dissertação de Mestrado em ciências na Faculdade de Medicina da Universidade de São Paulo. 2010.

SALVADOR, V. F. M.; ALMEIDA FILHO, F. G. VAZ DE. Aspectos Éticos e de Segurança do Prontuário Eletrônico do Paciente. JORNADA DO CONHECIMENTO E DA TECNOLOGIA - UNIVEM, 2, 2004. Marília, SP, 2004. Anais... [S. l.]: UEL, [2004].

SBIS, Sociedade Brasileira de Informática em Saúde. Cartilha sobre prontuário eletrônico: A certificação de sistemas de registro eletrônico de saúde. Disponível em: <http://www.sbis.org.br/certificacao/Cartilha_SBIS_CFM_Prontuario_Eletronico_fev_2012.pdf>. Acesso em: 01 mai. 2013.

SBIS, Sociedade Brasileira de Informática em Saúde. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) versão 3.3. Disponível em: <http://www.sbis.org.br/certificacao/Manual_Certificacao_SBIS-CFM_2009_v3-3.pdf>. Acesso em: 01 mai. 2013.

SILVA, Danielle P. da et al. GED – Gerenciamento Eletrônico de Documentos: A tecnologia que está mudando o mundo. Disponível em: < http://www.iterasolucoes.com.br/Site/images/stories/Itera/SalaLeitura/ged_gerenciamento_eletronico_de_documentos.pdf>. Acesso em: 08 out. 2013.

VIEIRA, Marcelo. Saúde ainda não vê TI como estratégica. Disponível em: <http://www.saudeweb.com.br/39267/saude-ainda-nao-ve-ti-como-estrategica>. Acesso em: 26 set. 2013.

VIEIRA 2, Marcelo. Hospital digital no Brasil é tarefa difícil, mas possível. Disponível em: <http://www.saudeweb.com.br/39094/hospital-digital-no-brasil-e-tarefa-dificil-mas-possivel>. Acesso em: 26 set. 2013.

YABUMOTO, S. Base eletrônica de dados clínicos e cirúrgicos em tromboembolismo venoso. Dissertação de Mestrado em Clínica Cirúrgica na UFPR, Universidade Federal do Paraná. 2011.

57

ANEXO 1 – ENTREVISTA COM O PRESIDENTE DA SUBCOMISSÃO PARA

INFORMATIZAÇÃO DA SAÚDE

Transcrição da entrevista com o Deputado Dr. Alexandre Roso, presidente da subcomissão para informatização da saúde no Brasil, gravada no dia 18 de setembro de 2013.

Pauta da entrevista: Informatização da saúde no Brasil

Objetivos da entrevista: Verificar quais os objetivos, preocupações e

desafios do governo com a criação da subcomissão para informatização no Brasil,

principalmente no que tange a questão da segurança da informação neste setor.

Conteúdo da entrevista:

Dinarde: Fale-me um pouco: Quem é o deputado Dr. Alexandre Roso. (Breve

resumo)

Dr. Alexandre: Alexandre Roso nasceu em 12 de novembro de 1964, no

Hospital Centenário, em São Leopoldo. É médico, formado em 15 de dezembro de

1990, na Universidade de Caxias do Sul. Em 1992, já atendia como cirurgião no

hospital onde nasceu. Especialista em Cirurgia Geral e em Cirurgia do Aparelho

Digestivo, é membro Titular do Colégio Brasileiro de Cirurgia Digestiva, habilitado em

Videocirurgia do Aparelho Digestivo e cirurgia oncológica do aparelho digestivo,

ambas pelo Colégio Brasileiro de Cirurgia Digestiva. Atualmente realiza mestrado em

Gestão de Serviços de Saúde na UTAD – Universidade de Trás-os-Montes e Alto

Douro (Portugal).

Em Brasília, é membro titular da Comissão de Seguridade Social e Família e

é o presidente da subcomissão para a informatização da saúde no Brasil e aplica

sua experiência e dedicação para a ampliação de propostas que promovam a saúde.

É autor de diversos expedientes relacionados à saúde. Entre eles o que

institui a Semana Nacional de Combate à Obesidade Infantil e determina que as

escolas desenvolvam atividades de educação em saúde relacionadas ao tema.

58

Dinarde: Como se encontra estruturada a subcomissão? É composta apenas

por deputados? Há envolvimento da SBIS, do CFM e da sociedade civil?

Dr. Alexandre:

Presidente: Deputado Alexandre Roso – PSB/RS

Relator: Deputado Mandetta – DEM/MS

Nº de Membros: 6

Constituição: 20/03/13

Instalação: 17/04/13

Tabela 2 – Membros da subcomissão para informatização da saúde. Fonte: Assessoria de impressa do deputado Dr. Alexandre Roso.

Dinarde: Quais são os objetivos da subcomissão para informatização da

saúde?

Dr. Alexandre: Os objetivos da subcomissão é fazer um diagnostico do grau

da informatização da saúde brasileira e propor um projeto de lei que incremente-a,

avaliando as ações do Ministério da Saúde, toda avaliação que o Tribunal de Contas

da União tem sobre o sistema de saúde brasileiro. Em cima desses preceitos, propor

algo que incremente a informatização na área da saúde.

59

Dinarde: São cada vez mais notórios os problemas existentes na área da

saúde no Brasil. Seja na demora por atendimento, falta de infraestrutura,

diagnósticos imprecisos, superlotações, mau gerenciamento das instituições de

saúde e de seus recursos, falta de medicamentos e materiais, entre outros. Tenho

percebido ao longo dos anos uma preocupação do governo em construir hospitais e

unidades de saúde, realizar programas como o programa saúde da família, o

recente programa mais médicos, entre outros, e não vejo, até então, uma ação

efetiva do governo em informatizar a saúde do Brasil como um todo, que, a meu ver,

daria um grau de eficiência enorme na saúde pública.

Qual a percepção do deputado e, consequentemente, do governo com

relação à informatização da saúde no Brasil? Por que há tanto atraso neste setor?

Dr. Alexandre: Primeiro que a minha percepção é diferente da percepção do

governo. Sou deputado, portanto trabalho no parlamento fiscalizando e propondo

ações. Meu partido faz parte da base do governo, mas a minha avaliação sobre a

informatização é muito diferente da do governo porque, nos últimos anos o governo

brasileiro investiu menos de 1% do seu orçamento da área da saúde para

informatizar os processos, informatizar o sistema de saúde brasileiro. Portanto,

minha percepção é que o setor da saúde é o setor mais desinformatizado da

sociedade brasileira, o que nos faz pensar comparando com outras áreas da

sociedade, como por exemplo, o comércio. Nós podemos comprar em uma loja, em

qualquer lugar nesse Brasil, e nosso crédito, por intermédio de um sistema

informatizado, é avaliado no momento real que esta compra está sendo feita. Então,

eu acho que temos um setor muito desinformatizado e este é um dos principais

problemas. Lembrando que, a informatização melhora a gestão, coíbe muito a

corrupção na área da saúde e consequentemente o número dos investimentos ficam

mais claros para a população. Acho que talvez esse seja um dos motivos que o

governo não invista tanto na informatização, pois ficaria bem claro que, das esferas

de governo, o governo federal é o que menos investe na saúde do brasileiro.

Dinarde: Um dos grandes desafios/preocupações na informatização da saúde

é com relação à segurança da informação no Prontuário Eletrônico do Paciente e

Registro Eletrônico em Saúde (PEP/RES). Além da complexidade e do alto custo

60

envolvido, há a questão da resistência e legítima preocupação do corpo clínico em

aceitar esse formato de guarda de informação.

Como o governo pretende vencer esses desafios com relação ao custo e

mudança de cultura no âmbito da segurança da informação?

Dr. Alexandre: Não houve resposta para a pergunta.

Dinarde: Há uma perspectiva de quanto será necessário investir para garantir

a integridade, confiabilidade, disponibilidade, autenticidade e auditoria neste

processo de informatização? (Investimentos na segurança da informação e

segurança paciente)

Dr. Alexandre: Não é uma perspectiva de quanto será necessário para

garantir a integridade, confiabilidade, disponibilidade, autenticidade e auditoria neste

processo da informatização. Não tenho ideia de quanto isto custará. O que eu tenho

é uma percepção que isso trará uma economia para todo o sistema. Vamos fazer

uma análise assim: Hoje são feitas 70 milhões de consultas, apenas na atenção

básica. Cada consulta dessas, em sua grande maioria, é feita com preenchimento

de uma ficha. Só o tempo de preenchimento dessa ficha já seria uma economia

muito grande para todo o sistema que tem uma relação direta quanto à questão de

funcionários para fazer esse preenchimento, as dificuldades, os erros na hora que se

faz a escrita por não existir um cadastramento da população. Então, eu acho que o

investimento na segurança da informatização é fundamental. Hoje, a informatização

e a questão da segurança é um debate que tem um custo, mas o retorno para a

população enorme quando nós informatizamos todos os processos como, em

especial, a ficha clínica do paciente. Porque nós podemos, inclusive, colocar alguns

filtros que nos dão a possibilidade de fazer um planejamento e saber quais são as

patologias que estão atingindo a população, porque no Brasil hoje, por causa dessa

desinformatização da saúde, os números são totalmente irreais.

Dinarde: De acordo com a Sociedade Brasileira de Informática em Saúde

(SBIS) existem dois níveis de garantia de segurança nos sistemas. No primeiro nível

(NGS1) há uma série de requisitos para garantir a segurança da informação, porém

sem a exigência da assinatura digital dos profissionais e consequentemente não há

a eliminação total do uso de papel. Já o segundo nível (NGS2) exige a utilização de

61

certificados digitais por todos os signatários do prontuário para o processo de

assinatura e autenticação, sendo assim possível a eliminação total do papel.

Em qual nível de garantia de segurança o governo pretende chegar?

Dr. Alexandre: Mas uma vez vou falar pela minha percepção, porque não

tenho como falar pelo governo. Esse Nível de Garantia de Segurança ao qual o

governo pretende chegar é um dos objetivos que tem essa comissão especial de

informatização da saúde. Esses são os questionamentos que temos feito para o

Ministério, para que eles apresentem qual é o grau de segurança que tem em

relação às informações. Posso garantir que uma das coisas que o governo se

preocupou foi em unificar todos os cadastros. Para se ter ideia tinha pacientes que,

só o cadastro, dez, quinze, vinte registros com alguma diferença. Então, essa

primeira parte que nós tivemos contato com o ministério da saúde foi pra fazer a

“higienização” dos cadastros. Havia mais cadastros que habitantes aqui no país.

Então, nós ainda não chegamos nessa discussão. Acho que essa discussão é uma

discussão muito importante para saber qual é o método que o governo está tentando

utilizar. Aqui eu me lembrei de uma coisa que é muito importante, porque, quando a

comissão põe isso em pauta, ela puxa esse assunto devido à importância que ela

tem, para que a gente possa esclarecer a sociedade e a sociedade possa participar

e cobrar um pouco mais de agilidade quanto à informatização da saúde no Brasil.

Dinarde: A subcomissão já conseguiu quantificar o custo x benefício desse

projeto de informatização?

Dr. Alexandre: Não, nós ainda não temos a noção do tamanho disso e nem

onde ele está. Nossas reuniões ainda estão começando e esse é um dos objetivos

dessa subcomissão: avaliar o custo x benefício do projeto de informatização.

Dinarde: Há recursos já disponíveis para custear o projeto? E qual origem

destes recursos?

Dr. Alexandre: Como já respondi em pergunta anterior, o valor que o governo

investe em informatização da saúde é um valor muito pequeno. Nós entendemos

que menos de 1% do orçamento do ministério não é um valor compatível com o

tamanho desse projeto, mas a origem desse recurso é do próprio ministério da

saúde.

62

Dinarde: Qual o cronograma do projeto?

Dr. Alexandre: O cronograma do projeto não nos foi apresentado.

Entendemos que a primeira etapa, que era unificar esses registros, porque a

informatização começou a mais de dez anos atrás com o cadastro, o famoso Cartão

SUS, isso era uma pequena “ponta”. O que nós entendemos é que esse projeto está

muito inicial e um dos objetivos da comissão é que esse projeto ande e que essa

informação a qual está me solicitando possa chegar até a sociedade.

Dinarde: Seguindo a atual tendência, o governo pretende executar o projeto

através de parcerias público-privadas (PPP)?

Dr. Alexandre: A impressão que nós temos em relação a projeto é que ele

vai ter que se dá por meio de parcerias público-privadas, porque não há como criar

uma estrutura e a constante evolução dentro da área da informática não dá para

criar uma estrutura apenas pública para tratar disso de tudo que nós falamos

referente à informatização.

Dinarde: Como o governo pretende ganhar apoio e envolvimento dos

profissionais de saúde?

Dr. Alexandre: Esta é outra barreira que nós temos que vencer. Pela

experiência que eu tenho quando trabalhei como gestor no plano municipal é que

nós temos um baixo envolvimento. Normalmente as pessoas são refratarias. Elas

não aceitam a introdução da informatização. Nós temos que vencer toda parte de

educação das pessoas, principalmente algumas pessoas. Os jovens aceitam melhor

todo o produto da informática. E com os profissionais mais antigos nós temos

realmente uma dificuldade que eles entendam que a informatização é uma das

formas de qualificar a saúde.

Dinarde: Há alguma previsão de interoperar com o sistema de saúde

privado?

Dr. Alexandre: Sim. A relação nós vamos fazendo fazer através do usuário

de saúde, tanto privado como púbico e certo grau disso já vem acontecendo quando

nós estamos cruzando os dados em um cadastro único apenas. O cadastro tem

como foco a pessoa (paciente) e isso vai ter a relação, pelo menos, de cruzar esses

63

dados, para que a gente entenda que não é um paciente que é atendido no sistema

público e que esse paciente tendo um convenio será atendido como se fosse outro

paciente. É a mesma pessoa, e nós temos que dar prioridade a isso.

Dinarde: Faça suas considerações finais

Dr. Alexandre: Esse tema é muito importante. As pessoas ainda não

perceberam o quanto é importante à informatização nas nossas vidas. Hoje, nós

trabalhos diariamente com algum sistema de informação. Já define que a

informatização na sociedade nas outras áreas, a não ser a área da saúde, ela é

muito mais evoluída. Nós temos através desses processos de coleta de dados, da

utilização dessas informações, ainda na saúde, muito baixo o grau de informatização

e acho que nós temos que melhorar. E esse é um dos objetivos de comissão. Puxar

esse assunto como um assunto primordial para a gestão, porque hoje saúde nós

discutimos três coisas principais:

1. O desfinanciamento da saúde;

2. A gestão;

3. E os Recursos humanos (RH).

Em todos esses três aspectos, a informatização é uma ferramenta de gestão

fundamental para que a gente tenha uma agilidade na questão desses números e

esses números possam, inclusive, fazer planejamento. Não há como planejar um

sistema tão grande se nós não tivermos um grau de informatização alto no sistema

de.

64

ANEXO 2 – RESOLUÇÃO CFM Nº 1.821/2007

(Publicada no D.O.U. de 23 nov. 2007, Seção I, pg. 252)

Aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde.

O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições que lhe

confere a Lei nº 3.268, de 30 de setembro de 1957, alterada pela Lei nº 11.000, de

15 de dezembro de 2004, regulamentada pelo Decreto nº 44.045, de 19 de julho de

1958, e

CONSIDERANDO que o médico tem o dever de elaborar um prontuário para

cada paciente a que assiste;

CONSIDERANDO que o Conselho Federal de Medicina (CFM) é a autoridade

certificadora dos médicos do Brasil (AC) e distribuirá o CRM-Digital aos médicos

interessados, que será um certificado padrão ICP-Brasil;

CONSIDERANDO que as unidades de serviços de apoio, diagnóstico e

terapêutica têm documentos próprios, que fazem parte dos prontuários dos pacientes;

CONSIDERANDO o crescente volume de documentos armazenados pelos

vários tipos de estabelecimentos de saúde, conforme definição de tipos de unidades

do Cadastro Nacional de Estabelecimentos de Saúde, do Ministério da Saúde;

CONSIDERANDO os avanços da tecnologia da informação e de

telecomunicações, que oferecem novos métodos de armazenamento e transmissão

de dados;

CONSIDERANDO o teor das Resoluções CFM nos 1.605, de 29 de setembro

de 2000, e 1.638, de 9 de agosto de 2002;

65

CONSIDERANDO o teor do Parecer CFM nº 30/02, aprovado na sessão

plenária de 10 de julho de 2002, que trata de prontuário elaborado em meio

eletrônico;

CONSIDERANDO que o prontuário do paciente, em qualquer meio de

armazenamento, é propriedade física da instituição onde o mesmo é assistido −

independente de ser unidade de saúde ou consultório −, a quem cabe o dever da

guarda do documento;

CONSIDERANDO que os dados ali contidos pertencem ao paciente e só

podem ser divulgados com sua autorização ou a de seu responsável, ou por dever

legal ou justa causa;

CONSIDERANDO que o prontuário e seus respectivos dados pertencem ao

paciente e devem estar permanentemente disponíveis, de modo que quando

solicitado por ele ou seu representante legal permita o fornecimento de cópias

autênticas das informações pertinentes;

CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade

do indivíduo, deve estar sujeito às normas estabelecidas na legislação e no Código

de Ética Médica, independente do meio utilizado para o armazenamento dos dados

no prontuário, quer eletrônico quer em papel;

CONSIDERANDO o disposto no Manual de Certificação para Sistemas de

Registro Eletrônico em Saúde, elaborado, conforme convênio, pelo Conselho

Federal de Medicina e Sociedade Brasileira de Informática em Saúde;

CONSIDERANDO que a autorização legal para eliminar o papel depende de

que os sistemas informatizados para a guarda e manuseio de prontuários de

pacientes atendam integralmente aos requisitos do “Nível de garantia de

segurança 2 (NGS2)”, estabelecidos no referido manual;

CONSIDERANDO que toda informação em saúde identificada individualmente

necessita de proteção em sua confidencialidade, por ser principio basilar do

exercício da medicina;

66

CONSIDERANDO os enunciados constantes nos artigos 102 a 109 do

Capítulo IX do Código de Ética Médica, o médico tem a obrigação ética de proteger

o sigilo profissional;

CONSIDERANDO o preceituado no artigo 5º, inciso X da Constituição da

República Federativa do Brasil, nos artigos 153, 154 e 325 do Código Penal

(Decreto-Lei nº 2.848, de 7 de dezembro de 1940) e no artigo 229, inciso I do Código

Civil (Lei nº 10.406, de 10 de janeiro de 2002);

CONSIDERANDO, finalmente, o decidido em sessão plenária de 11/7/2007,

RESOLVE:

Art. 1º Aprovar o Manual de Certificação para Sistemas de Registro

Eletrônico em Saúde, versão 3.0 e/ou outra versão aprovada pelo Conselho Federal

de Medicina, anexo e também disponível nos sites do Conselho Federal de Medicina

e Sociedade Brasileira de Informática em Saúde (SBIS),

respectivamente, www.portalmedico.org.br e www.sbis.org.br.

Art. 2º Autorizar a digitalização dos prontuários dos pacientes, desde que o

modo de armazenamento dos documentos digitalizados obedeça a norma específica

de digitalização contida nos parágrafos abaixo e, após análise obrigatória da

Comissão de Revisão de Prontuários, as normas da Comissão Permanente de

Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo.

§ 1º Os métodos de digitalização devem reproduzir todas as informações dos

documentos originais.

§ 2º Os arquivos digitais oriundos da digitalização dos documentos do

prontuário dos pacientes deverão ser controlados por sistema especializado

(Gerenciamento eletrônico de documentos - GED), que possua, minimamente, as

seguintes características:

a) Capacidade de utilizar base de dados adequada para o armazenamento

dos arquivos digitalizados;

b) Método de indexação que permita criar um arquivamento organizado,

possibilitando a pesquisa de maneira simples e eficiente;

67

c) Obediência aos requisitos do “Nível de garantia de segurança 2 (NGS2)”,

estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em

Saúde;

Art. 3° Autorizar o uso de sistemas informatizados para a guarda e manuseio

de prontuários de pacientes e para a troca de informação identificada em saúde,

eliminando a obrigatoriedade do registro em papel, desde que esses sistemas

atendam integralmente aos requisitos do “Nível de garantia de segurança 2 (NGS2)”,

estabelecidos no Manual de Certificação para Sistemas de Registro Eletrônico em

Saúde;

Art. 4º Não autorizar a eliminação do papel quando da utilização somente

do “Nível de garantia de segurança 1 (NGS1)”, por falta de amparo legal.

Art. 5º Como o “Nível de garantia de segurança 2 (NGS2)”, exige o uso de

assinatura digital, e conforme os artigos 2º e 3º desta resolução, está autorizada a

utilização de certificado digital padrão ICP-Brasil, até a implantação do CRM Digital

pelo CFM, quando então será dado um prazo de 360 (trezentos e sessenta) dias

para que os sistemas informatizados incorporem este novo certificado.

Art. 6° No caso de microfilmagem, os prontuários microfilmados poderão ser

eliminados de acordo com a legislação específica que regulamenta essa área e após

análise obrigatória da Comissão de Revisão de Prontuários da unidade médico-

hospitalar geradora do arquivo.

Art. 7º Estabelecer a guarda permanente, considerando a evolução

tecnológica, para os prontuários dos pacientes arquivados eletronicamente em meio

óptico, microfilmado ou digitalizado.

Art. 8° Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do último

registro, para a preservação dos prontuários dos pacientes em suporte de papel, que

não foram arquivados eletronicamente em meio óptico, microfilmado ou digitalizado.

Art. 9º As atribuições da Comissão Permanente de Avaliação de Documentos

em todas as unidades que prestam assistência médica e são detentoras de arquivos

de prontuários de pacientes, tomando como base as atribuições estabelecidas na

68

legislação arquivística brasileira, podem ser exercidas pela Comissão de Revisão de

Prontuários.

Art. 10° Estabelecer que o Conselho Federal de Medicina (CFM) e a

Sociedade Brasileira de Informática em Saúde (SBIS), mediante convênio

específico, expedirão selo de qualidade dos sistemas informatizados que estejam de

acordo com o Manual de Certificação para Sistemas de Registro Eletrônico em

Saúde, aprovado nesta resolução.

Art. 11° Ficam revogadas as Resoluções CFM nos 1.331/89 e 1.639/02, e

demais disposições em contrário.

Art. 12° Esta resolução entra em vigor na data de sua publicação.

Brasília, 11 de julho de 2007.

Edson de Oliveira Andrade, Presidente.

Lívia Barros Garção, Secretária-geral.