A privacidade em registos de saúde eletrónicos

Os ambientes de cuidados de saúde são frequentemente descritos como de grande intensidade no uso de informação, altamente paradoxais, e muito turbulentos. (Plummer, 2001). A adoção de TI nos sistemas de saúde tem, em geral, seguido o mesmo padrão das restantes indústrias. Apesar do relativo sucesso das primeiras vagas de adoção de TI, este foi insuficiente para o desenvolvimento de sistemas de saúde totalmente integrados (Biesdorf & Niedermann, 2014).

Atualmente, a informação de saúde dos cidadãos ainda está em grande parte residente e acessível apenas em cada uma das unidades de saúde a que o cidadão recorreu: o centro de saúde, o hospital, a clínica ou o consultório médico. No entanto, o acesso descentralizado a essa informação pode ser crucial (Patrício & Brito, 2012). A história tem demonstrado que a utilidade e o valor da informação multiplicam-se exponencialmente à medida que se torna mais acessível ao grande público. As TI aceleraram este fenómeno. Ter informação de qualidade sempre foi um fator primordial para melhorar o atendimento ao paciente (Berger, 2014). Os SI de saúde têm que ser desenvolvidos e explorados de forma a melhorar as oportunidades de acesso global aos serviços de saúde e conhecimento médico (Haux, 2006). Os dados

de saúde em si, estão a tornar-se num ativo organizacional extremamente valioso (Berger, 2014).

A privacidade é particularmente importante no contexto da saúde devido à sensibilidade potencial ou real dos dados de saúde. A sensibilidade de um indivíduo em relação aos seus dados de saúde é maior face: (1) ao seu potencial (percebido ou real) de discriminação, pela família, sociedade ou outros; (2) ao seu potencial em prejudicar através da divulgação de dados a terceiros, por exemplo a seguradoras, de dados sobre doenças geneticamente transmissíveis; e (3) o seu potencial de gerar uma atenção indesejada sobre aqueles que estão no centro das atenções públicas, por exemplo celebridades e políticos (NETHA, 2006).

Os pacientes não são a única parte interessada nos dados de saúde. Outras partes estão interessadas em beneficiar com estes dados, quer para benefício próprio, quer da sociedade, nomeadamente: (1) os profissionais de gestão dos hospitais, (2) os membros da família, (3) os médicos especialistas, técnicos de laboratório, instituições de saúde, e as farmácias, (4) os nutricionistas e fornecedores de serviços de medicina alternativa, (5) as seguradoras, (6) os cientistas, investigadores e agências de saúde pública, e (7) agentes comunitários, incluindo serviços de polícia e de ambulância (Peleg, Beimel, Dori, & Denekamp, 2008). Se nos anos de 1990 se considerava apenas a possibilidade de utilizar imagens, em especial de radiologia, em conjunto com os dados alfanuméricos, hoje, graças ao desenvolvimento de ferramentas de processamento de informação suportadas computacionalmente, estamos a considerar novos tipos de dados (Haux, 2006). Existem assim vários tipos de dados cuja confidencialidade, integridade e disponibilidade carecem de proteção: (1) dados pessoais de saúde; (2) dados apresentados sob pseudónimo, derivados dos dados pessoais de saúde; (3) dados estatísticos e de investigação, incluindo dados anonimizados derivados de dados pessoais de saúde através da eliminação de dados de identificação pessoal; (4) dados clínicos; (5) dados sobre os profissionais de saúde, funcionários e voluntários; (6) dados relacionados com a vigilância da saúde pública; e (7) dados de controlo, produzidos pelos sistemas, sobre as ações dos utilizadores em relação à utilização dos dados pessoais de saúde (ISO, 2008).

Até à década de 90, houve um uso quase exclusivo dos dados para a assistência ao paciente e fins administrativos, com algum uso na gestão e controlo da qualidade. Agora temos a capacidade de estender a possibilidade de utilização dos dados,

utilizados principalmente no atendimento ao paciente, também ao planeamento de cuidados de saúde e, acima de tudo, para a investigação clínica (Haux, 2006). Fazer com que o conteúdo dos registos de saúde seja utilizável para fins secundários, requer muito trabalho adicional para além do trabalho empregue no registo dos dados para utilização primária (Berg, Langenberg, Berg, & Kwakkernaat, 1998).

As pessoas dependem da privacidade por forma a controlarem ou limitarem a divulgação dos seus dados de saúde, que pode resultar em prejuízos tangíveis, materiais, como a perda de emprego, a perda do seguro, da posição na comunidade e a perda da intimidade. Proteger os dados de saúde através de políticas de privacidade, desempenha uma função importante de minimização de perdas materiais, num mundo em que crescem a discriminação e a rejeição (Allen, 2007). Na opinião desta autora, a privacidade contribui para aquilo que se pode denominar de “minimização do desconforto emocional”. A exposição de problemas de saúde pode causar ansiedade e emoção. Infelizmente para alguns, a doença leva à vergonha, vergonha que diminui a autoestima e aumenta o sentimento de vulnerabilidade. Enquanto a proteção e a segurança dos dados pessoais é importante para todos os indivíduos, instituições e governos, existem requisitos especiais na área da saúde que necessitam de ser cumpridos para garantir a confidencialidade, integridade, auditabilidade e disponibilidade dos dados pessoais de saúde (ISO, 2008), face a ameaças organizacionais que resultam do acesso inadequado aos dados do paciente, quer por profissionais internos, que abusam dos seus privilégios, quer por profissionais externos que exploram vulnerabilidades dos SI (Appari & Johnson, 2010).

O relatório anual da IBM (IBM, 2014), com base na monitorização da segurança dos seus clientes em 133 países, coloca o setor da saúde nas cinco indústrias mais atingidas pela maioria dos incidentes de segurança, onde ocupa a 5ª posição com 5.8% dos 16.900 eventos de segurança analisados (veja-se a Figura 1). Em 2013, segundo este relatório, atingiu-se um novo máximo com mais de 500 mil milhões de registos de informação pessoal – incluindo nomes, endereços de correio eletrónico, números de cartões de crédito e palavras-passe – a serem roubados.

Figura 1 - Taxas de incidência de incidentes de segurança, por setor (IBM, 2014)

No domínio da saúde, um registo de dados digitais recolhidos sobre um paciente pode ser referido como um Electronic Health Record (EHR), Electronic Medical

Record (EMR), ou Computerized Patient Record (CPR) (Peleg et al., 2008).

Um EMR é diferente de um EHR. Um EMR é um ambiente aplicacional composto por repositórios de dados clínicos, suporte à decisão clínica, vocabulário médico controlado, sistema computacional para o registo de entrada de pedidos, farmácia, e aplicações de documentação clínica. Este ambiente fornece o suporte necessário ao movimento do paciente em ambientes hospitalares e ambulatórios, e é usado por profissionais de saúde para documentar, monitorizar e gerir os cuidados de saúde, dentro de uma organização prestadora de cuidados de saúde. Os dados num EMR constituem um registo médico-legal dos episódios clínicos do paciente numa organização de cuidados de saúde, e são propriedade desta organização. (Kahn & Sheshadri, 2008). Os EMRs são cada vez mais a forma de armazenar informações sobre os pacientes, normalmente dentro de uma infraestrutura local, e só são acessíveis a partir desta infraestrutura. Para aumentar a eficiência dos serviços médicos e fornecer informações médicas completas e precisas, os EMR interinstitucionais são cada vez mais usados para registar e manter dados sobre os pacientes (Haas et al., 2011).

Um EHR é um subconjunto do EMR de assistência médica da organização, e é da propriedade do paciente. Apresenta dados registados pelo paciente, e permitem o acesso aos vários episódios de saúde realizados nas várias organizações prestadoras de cuidados de saúde dentro de uma comunidade, região ou estado, e em alguns casos no país inteiro (Kahn & Sheshadri, 2008). O utente tem agora responsabilidade

sobre estes dados e não apenas os serviços médicos, e os dados médicos sobre os utentes perdem a proteção implícita do domínio médico das instituições de saúde, devido à sua utilização por outras instituições (Haas et al., 2011). A tecnologia EHR17 contribui para a criação de uma nova classe de ativos – a própria informação de saúde, sendo contudo evidente que nem todas as organizações de saúde veem a informação de saúde desta forma (Berger, 2014).

Face à complexidade do conceito de EHR, surgem duas organizações que procuram desenvolver um padrão para a troca de dados de saúde, nomeadamente a Health

Level 7 (HL 7) e o European Committee for Standardization (CEN). Ambas

pretendem desenvolver um standard que permita, no imediato, a interoperabilidade entre os vários sistemas EHR existentes dentro das organizações de saúde, ou seja, a troca de dados interorganizacional a fim de aumentar a qualidade dos serviços para os pacientes (Peleg et al., 2008).

Independentemente do contexto de desenvolvimento de um EHR, a transferência de dados protegidos de saúde deve acontecer de forma segura, através de políticas e procedimentos que permitam identificar e tomar medidas contra violações, não desejadas para a privacidade e para a segurança (Kahn & Sheshadri, 2008). Tanto os pacientes, como os profissionais de saúde necessitam de ter a certeza de que interagem com os sistemas EHR num ambiente de confiança e em plena conformidade com a legislação relevante, nomeadamente sobre a privacidade e proteção de dados (de acordo com o princípio “segurança e privacidade” para o funcionamento da interoperabilidade no âmbito do projeto epSOS18_{). Isto significa} que os serviços EHR devem garantir que a privacidade dos pacientes e a confidencialidade dos dados fornecidos pelas organizações de saúde, são respeitadas (epSOS, 2010).

17 _{O documento de trabalho do Art. 29 WP (2007a) sobre o tratamento de dados pessoais ligados à}

saúde em registos de saúde eletrónicos, é importante para a compreensão do seu enquadramento jurídico, assim como dos requisitos de proteção de dados para a criação de um sistema EHR. As reflexões e recomendações indicadas no documento devem repercutir-se no desenvolvimento de medidas de segurança e de privacidade dos dados.

18 _{O projeto epSOS (Smart Open Services for European Patients) tem por objetivo projetar, construir e}

avaliar uma infraestrutura de serviços que permita a interoperabilidade transfronteiriça entre sistemas de registos de saúde eletrónicos na Europa. Permite assim uma melhoria na qualidade nos cuidados de saúde para os cidadãos quando viajam para outro país europeu. Informação consultada em 23 de