Tecnologia da informação em medicina laboratorial: Posicionamento da SBPC/ML 2011
Medicina Laboratorial:
Tecnologia da informação em medicina laboratorial: Posicionamento da SBPC/ML 2011Posicionamento da SBPC/ML 2011
Medicina Laboratorial:
Medicina Laboratorial:
Medicina Laboratorial:
Logotipos:
Copyright © Digitalmed Copyright © Matrix Copyright © Shift
Copyright © Veus Technology Copyright © Medic Ware
Copyright © Data Innovations Company
Copyright © Sociedade Brasileira de Patologia Clínica / Medicina Laboratorial (SBPC/ML)
Projeto gráfico e editoração eletrônica:
Rodrigo Paiva de MoraesTecnologia da Informação em Medicina Laboratorial:
Posicionamento da SBPC/ML 2011
1.Boas Práticas de Segurança e Sigilo em TI para Laboratórios Clínicos 2.Conceitos de certificação e segurança digital de laudos 3.Garantindo a rastreabilidade de pacientes, amostras e informações em sistemas laboratoriais 4.Validação e boas práticas de verificação e liberação 5.Novas tendências tecnológicas
Todos os direitos reservados.
Nenhuma parte deste livro poderá ser reproduzida, por qualquer processo, sem a permissão expressa da Sociedade Brasileira de Patologia Clínica / Medicina Laboratorial (SBPC/ML).
Edição – 2011
Copyright © Sociedade Brasileira de Informática em Saúde (SBIS)
Apresentação
A cada dia, entramos em contato com novas tecnologias que acabam por fazer parte de nossa vida pessoal e profissional.
Recursos como a Internet, redes sociais, smartphones e muitos outros não existiam em um passado recente, e hoje estão inseridos de tal modo em nossas vidas que é impensável viver sem eles.
Com o objetivo de acompanhar a evolução da tecnologia, a Sociedade Brasileira de Patologia Clínica/Medicina Laboratorial criou seu Comitê de TI, que tem como primeira produção o “Posicionamento SBPC/ML 2011 - Tecnologia da Informação em Medicina Laboratorial”.
Este documento inicia as discussões sobre vários assuntos e novidades em Tecnologia da Informação para o segmento de diagnóstico laboratorial.
Boa leitura!
Carlos Ballarati
Presidente da SBPC/ML Biênio 2010/2011
Logotipos:
Copyright © Digitalmed Copyright © Matrix Copyright © Shift
Copyright © Veus Technology Copyright © Medic Ware
Copyright © Data Innovations Company
Copyright © Sociedade Brasileira de Patologia Clínica / Medicina Laboratorial (SBPC/ML)
Projeto gráfico e editoração eletrônica:
Rodrigo Paiva de MoraesTecnologia da Informação em Medicina Laboratorial:
Posicionamento da SBPC/ML 2011
1.Boas Práticas de Segurança e Sigilo em TI para Laboratórios Clínicos 2.Conceitos de certificação e segurança digital de laudos 3.Garantindo a rastreabilidade de pacientes, amostras e informações em sistemas laboratoriais 4.Validação e boas práticas de verificação e liberação 5.Novas tendências tecnológicas
Todos os direitos reservados.
Nenhuma parte deste livro poderá ser reproduzida, por qualquer processo, sem a permissão expressa da Sociedade Brasileira de Patologia Clínica / Medicina Laboratorial (SBPC/ML).
Edição – 2011
Copyright © Sociedade Brasileira de Informática em Saúde (SBIS)
Apresentação
A cada dia, entramos em contato com novas tecnologias que acabam por fazer parte de nossa vida pessoal e profissional.
Recursos como a Internet, redes sociais, smartphones e muitos outros não existiam em um passado recente, e hoje estão inseridos de tal modo em nossas vidas que é impensável viver sem eles.
Com o objetivo de acompanhar a evolução da tecnologia, a Sociedade Brasileira de Patologia Clínica/Medicina Laboratorial criou seu Comitê de TI, que tem como primeira produção o “Posicionamento SBPC/ML 2011 - Tecnologia da Informação em Medicina Laboratorial”.
Este documento inicia as discussões sobre vários assuntos e novidades em Tecnologia da Informação para o segmento de diagnóstico laboratorial.
Boa leitura!
Carlos Ballarati
Presidente da SBPC/ML Biênio 2010/2011
Autores deste documento
Carlos Alberto Franco Ballarati, Médico Patologista Clínico, Doutor em Medicina pela USP, MBA em Gestão de Saúde pelo IBMEC São Paulo Hospital Israelita Albert Einstein, Fellow pela DKD (Alemanha), Presidente da SBPC/ML no biênio 2010/2011
Cesar Alex Galoro, Médico Patologista Clínico, MBA pela Fundação Getúlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canadá), Responsável Técnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML no biênio 2010/2011
Fabiano Gomes Estellita, Diretor de Operações da Veus Technology, Diretor de Operações da MBA/TITAN, formado em Matemática pela Universo/RJ
Felix Valmor Schultz, CEO da DigitalMed
Francisco Eduardo Martins Serra Espuny, Especialista em Sistemas. Nos últimos dez anos tem atuado em projetos de TI exclusivamente para o setor de saúde. Gerente de TI na empresa Matrix Sistemas
Gustavo Aguiar Campana, Médico Patologista Clínico, Presidente da Regional São Paulo/Capital da SBPC/ML biênio 2010/2011, sócio da Formato Clínico - Projetos em Medicina Diagnostica
Gustavo Vaz Nascimento, Prof. Msc., Coordenador de qualidade de software da Shift, Professor de Graduação e Pós-graduação da União das Faculdades dos Grandes Lagos (UNILAGO) e do Centro Universitário de Rio Preto (UNIRP)
José Colleoni, Diretor para a região da América Latina da empresa Data Innovations, formado em Análise de Sistemas pela PUC-Campinas, Pós-graduado em Administração pela FGV-SP, trabalha há mais de 33 anos na área de TI, sendo os últimos 16 anos dedicados à empresas de renome no setor da Saúde
Luis Gustavo Gasparini Kiatake, Mestre em Engenharia Elétrica pela Escola Politécnica da USP, Diretor de Relações Institucionais da Sociedade Brasileira de Informática em Saúde (SBIS), Consultor do processo de certificação de Sistemas de Registro Eletrônico em Saúde da SBIS/CFM, Colaborador da Associação Brasileira de Normas Técnicas (ABNT) e da International Organization for Standardization (ISO) nos comitês de Informática em Saúde e Segurança da Informação, Diretor da E-VAL Tecnologia
Marcelo T. Botelho, Analista de Sistemas, Diretor da Veus Technology e da MB&A/TITAN
Murilo R. Melo, Prof. Dr., Médico Patologista Clínico, Vice-Diretor Científico da SBPC/ML biênio 2010/2011, Presidente do Comitê de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratório de Medicina Molecular (FCMSCSP), Diretor de Patrimônio e Finanças (Associação Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine)
Ricardo Nascimento da Silva, Sênior Application Specialist da empresa Data Innovations, formado em Administração de Empresas pela Faculdade Santana, possui mais de 20 anos de experiência na área de TI e há 15 passou a trabalhar na área laboratorial. Especialista em interfaceamento entre sistemas laboratoria-is e instrumentos de anállaboratoria-ises clínicas, assim como B2B
Autores deste documento
Carlos Alberto Franco Ballarati, Médico Patologista Clínico, Doutor em Medicina pela USP, MBA em Gestão de Saúde pelo IBMEC São Paulo Hospital Israelita Albert Einstein, Fellow pela DKD (Alemanha), Presidente da SBPC/ML no biênio 2010/2011
Cesar Alex Galoro, Médico Patologista Clínico, MBA pela Fundação Getúlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canadá), Responsável Técnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML no biênio 2010/2011
Fabiano Gomes Estellita, Diretor de Operações da Veus Technology, Diretor de Operações da MBA/TITAN, formado em Matemática pela Universo/RJ
Felix Valmor Schultz, CEO da DigitalMed
Francisco Eduardo Martins Serra Espuny, Especialista em Sistemas. Nos últimos dez anos tem atuado em projetos de TI exclusivamente para o setor de saúde. Gerente de TI na empresa Matrix Sistemas
Gustavo Aguiar Campana, Médico Patologista Clínico, Presidente da Regional São Paulo/Capital da SBPC/ML biênio 2010/2011, sócio da Formato Clínico - Projetos em Medicina Diagnostica
Gustavo Vaz Nascimento, Prof. Msc., Coordenador de qualidade de software da Shift, Professor de Graduação e Pós-graduação da União das Faculdades dos Grandes Lagos (UNILAGO) e do Centro Universitário de Rio Preto (UNIRP)
José Colleoni, Diretor para a região da América Latina da empresa Data Innovations, formado em Análise de Sistemas pela PUC-Campinas, Pós-graduado em Administração pela FGV-SP, trabalha há mais de 33 anos na área de TI, sendo os últimos 16 anos dedicados à empresas de renome no setor da Saúde
Luis Gustavo Gasparini Kiatake, Mestre em Engenharia Elétrica pela Escola Politécnica da USP, Diretor de Relações Institucionais da Sociedade Brasileira de Informática em Saúde (SBIS), Consultor do processo de certificação de Sistemas de Registro Eletrônico em Saúde da SBIS/CFM, Colaborador da Associação Brasileira de Normas Técnicas (ABNT) e da International Organization for Standardization (ISO) nos comitês de Informática em Saúde e Segurança da Informação, Diretor da E-VAL Tecnologia
Marcelo T. Botelho, Analista de Sistemas, Diretor da Veus Technology e da MB&A/TITAN
Murilo R. Melo, Prof. Dr., Médico Patologista Clínico, Vice-Diretor Científico da SBPC/ML biênio 2010/2011, Presidente do Comitê de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratório de Medicina Molecular (FCMSCSP), Diretor de Patrimônio e Finanças (Associação Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine)
Ricardo Nascimento da Silva, Sênior Application Specialist da empresa Data Innovations, formado em Administração de Empresas pela Faculdade Santana, possui mais de 20 anos de experiência na área de TI e há 15 passou a trabalhar na área laboratorial. Especialista em interfaceamento entre sistemas laboratoria-is e instrumentos de anállaboratoria-ises clínicas, assim como B2B
Rudá Pereira da Costa, Jornalista Responsável pela empresa Digitalmed Inovações em Software, Coordenador do projeto "Novas Tendências Tecnológicas" para o Comitê de Tecnologia da Informação SBPC/ML
Victor José Bento, Arquiteto de Software e Diretor de Produto da Digitalmed Inovações em Software W. Marcelo Lorencin, Empresário, Presidente da Shift Consultoria e Sistemas, Diretor de Promoção e Desenvolvimento Social da Associação dos Profissionais e Empresas de Tecnologia da Informação (APETI), Presidente do Centro Tecnológico de Rio Preto (CTRP) e Dirigente da Unidade Pescar de São José do Rio Preto
Wilson Shcolnik, Médico Patologista Clínico, Diretor de Acreditação da SBPC/ML biênio 2010/2011, Gerente de Relações Institucionais do Grupo Fleury, MBA em Gestão pela Qualidade (UFF/RJ)
Comitê de Tecnologia da Informação
da SBPC/ML
Anderson Menon, Analista de Sistemas na Siemens Healthcare Diagnósticos Brasil
André Gomes Silveira, Sócio Diretor Executivo da MedicWare, graduado pela UFBA em Análise de Sistemas, Pós-graduação em Gestão de TI
Alvaro Rodrigues Martins, Médico Patologista Clínico, Presidente do Conselho de Ex-Presidentes da SBPC/ML biênio 2010/2011, Professor Instrutor FCMSCSP, Médico Patologista Clínico do Hospital São Luiz da Unidade Assunção e Unidade Brasil.
Cesar Alex Galoro, Médico Patologista Clínico, MBA pela Fundação Getúlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canadá), Responsável Técnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML biênio 2010/2011.
Edgar Diniz Borges, Analista de Sistemas, Sócio -proprietário da Softeasy Tecnologia, empresa fundada em 2005 em sociedade com Arcadio A. C. Bianco Neto, especializada em sistema para gestão laboratorial, clíni-cas médiclíni-cas, gestão laboratorial veterinária e gestão de animais de produção
Euclides de Silvio Gomes Junior, Diretor Técnico da Hotsoft Informática há 10 anos, trabalha em TI aplica-da à área aplica-da saúde há 16 anos, graduado em Processamento de Dados pela Universiaplica-dade Estadual de Maringá, Especialização MBA em Gerenciamento de Projetos (FGV)
Hélio Magarinos Torres Filho, Médico Patologista Clínico, MBA em Gestão em Saúde (IBMEC), MBA em Gestão de Negócios (IBMEC), Diretor Médico do Laboratório Richet, Presidente Regional no Rio de Janeiro/Capital da SBPC/ML biênio 2010/2011
Igor da Silva Gomes, Analista de Sistemas formado pela PUC SP e Pós-graduado pela USP, Gerente de tecno-logia da DASA - Diagnósticos da América, responsável pelos Sistemas de Produção de Análises Clínicas e Apoio
Luis Gastão M. Rosenfeld, Médico (1968) Santa Casa de São Paulo, Especialista em Hematologia, foi Presidente da Sociedade Brasileira de Hematologia,dirigiu os Laboratórios do Instituto Dante Pazzanese, Hospital Albert Einstein e foi Vice-Presidente Médico da DASA
Luiz Gallotti Póvoa, Médico Patologista Clínico, atua na área há 31 anos. Assessor de Processos e Sistemas de Informação do Instituto Estadual de Diabetes e Endocrinologia (IEDE/RJ)
Marcelo Henrique Wood Faulhaber, Médico Patologista Clínico, MBA, Assessor de Direção da Divisão de Laboratório Central do HC FMUSP.
Marcelo Kutter, Sócio Diretor Comercial da MedicWare Sistemas, Economista com MBA em Finanças (IBMEC), palestrante e Professor de Pós-graduação em Sistema de Informação em Saúde
Murilo R. Melo, Prof. Dr., Médico Patologista Clínico, Vice-Diretor Científico da SBPC/ML biênio 2010/2011, Presidente do Comitê de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratório de Medicina Molecular (FCMSCSP), Diretor de Patrimônio e Finanças (Associação Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine).
Pedro Silvano Gunther, graduado em Direito (UFPR) e Administração (PUC-PR), Pós-graduado em Marketing e Processamento de Dados (FAE-PR). Iniciou sua carreira em auditoria na Price Waterhouse, em 1978. Foi Chefe do Departamento de Documentação de Sistemas da Banestado Informática. Fundou a Hotsoft em 1987, onde permanece até hoje como Diretor Geral.
Roberto Ribeiro da Cruz, formado em Engenharia Mecânica com especialização em Produção (Faculdade de Engenharia Industrial/SP), Pós-graduação em Administração de Pequenas e Médias Empresas (EAESP/FGV), atua no desenvolvimento de software para medicina diagnóstica desde 1986, com experiên-cias no Brasil, Argentina, Chile e EUA. Hoje é responsável pelo desenvolvimento de novos produtos na Medical Systems.
Rodolfo Sini Ruiz, formado em Análise de Sistemas. Iniciou sua carreira na área técnica e hoje é responsá-vel pelo desenvolvimento da área comercial da Medical Systems. Atua no segmento de software para medi-cina diagnóstica desde 1984.
Simone Alves, tem 15 anos de experiência em Sistemas na área de Saúde, Especialista Líder de Sistemas de Produção de Análises Clínicas da DASA do mercado privado. Estudou Ciências da Computação no Instituto de Ensino Superior de São Caetano do Sul (SP).
Thiago Carvalho Melo, Bacherelado em Ciências da Computação, Analista de Sistemas, Analista de Implantação e Suporte Brasil da Siemens Healthcare Diagnósticos Brasil
Wilson Shcolnik, Médico Patologista Clínico, Diretor de Acreditação da SBPC/ML biênio 2010/2011, Gerente de Relações Institucionais do Grupo Fleury, MBA Gestão pela Qualidade (UFF/RJ)
Rudá Pereira da Costa, Jornalista Responsável pela empresa Digitalmed Inovações em Software, Coordenador do projeto "Novas Tendências Tecnológicas" para o Comitê de Tecnologia da Informação SBPC/ML
Victor José Bento, Arquiteto de Software e Diretor de Produto da Digitalmed Inovações em Software W. Marcelo Lorencin, Empresário, Presidente da Shift Consultoria e Sistemas, Diretor de Promoção e Desenvolvimento Social da Associação dos Profissionais e Empresas de Tecnologia da Informação (APETI), Presidente do Centro Tecnológico de Rio Preto (CTRP) e Dirigente da Unidade Pescar de São José do Rio Preto
Wilson Shcolnik, Médico Patologista Clínico, Diretor de Acreditação da SBPC/ML biênio 2010/2011, Gerente de Relações Institucionais do Grupo Fleury, MBA em Gestão pela Qualidade (UFF/RJ)
Comitê de Tecnologia da Informação
da SBPC/ML
Anderson Menon, Analista de Sistemas na Siemens Healthcare Diagnósticos Brasil
André Gomes Silveira, Sócio Diretor Executivo da MedicWare, graduado pela UFBA em Análise de Sistemas, Pós-graduação em Gestão de TI
Alvaro Rodrigues Martins, Médico Patologista Clínico, Presidente do Conselho de Ex-Presidentes da SBPC/ML biênio 2010/2011, Professor Instrutor FCMSCSP, Médico Patologista Clínico do Hospital São Luiz da Unidade Assunção e Unidade Brasil.
Cesar Alex Galoro, Médico Patologista Clínico, MBA pela Fundação Getúlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canadá), Responsável Técnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML biênio 2010/2011.
Edgar Diniz Borges, Analista de Sistemas, Sócio -proprietário da Softeasy Tecnologia, empresa fundada em 2005 em sociedade com Arcadio A. C. Bianco Neto, especializada em sistema para gestão laboratorial, clíni-cas médiclíni-cas, gestão laboratorial veterinária e gestão de animais de produção
Euclides de Silvio Gomes Junior, Diretor Técnico da Hotsoft Informática há 10 anos, trabalha em TI aplica-da à área aplica-da saúde há 16 anos, graduado em Processamento de Dados pela Universiaplica-dade Estadual de Maringá, Especialização MBA em Gerenciamento de Projetos (FGV)
Hélio Magarinos Torres Filho, Médico Patologista Clínico, MBA em Gestão em Saúde (IBMEC), MBA em Gestão de Negócios (IBMEC), Diretor Médico do Laboratório Richet, Presidente Regional no Rio de Janeiro/Capital da SBPC/ML biênio 2010/2011
Igor da Silva Gomes, Analista de Sistemas formado pela PUC SP e Pós-graduado pela USP, Gerente de tecno-logia da DASA - Diagnósticos da América, responsável pelos Sistemas de Produção de Análises Clínicas e Apoio
Luis Gastão M. Rosenfeld, Médico (1968) Santa Casa de São Paulo, Especialista em Hematologia, foi Presidente da Sociedade Brasileira de Hematologia,dirigiu os Laboratórios do Instituto Dante Pazzanese, Hospital Albert Einstein e foi Vice-Presidente Médico da DASA
Luiz Gallotti Póvoa, Médico Patologista Clínico, atua na área há 31 anos. Assessor de Processos e Sistemas de Informação do Instituto Estadual de Diabetes e Endocrinologia (IEDE/RJ)
Marcelo Henrique Wood Faulhaber, Médico Patologista Clínico, MBA, Assessor de Direção da Divisão de Laboratório Central do HC FMUSP.
Marcelo Kutter, Sócio Diretor Comercial da MedicWare Sistemas, Economista com MBA em Finanças (IBMEC), palestrante e Professor de Pós-graduação em Sistema de Informação em Saúde
Murilo R. Melo, Prof. Dr., Médico Patologista Clínico, Vice-Diretor Científico da SBPC/ML biênio 2010/2011, Presidente do Comitê de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratório de Medicina Molecular (FCMSCSP), Diretor de Patrimônio e Finanças (Associação Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine).
Pedro Silvano Gunther, graduado em Direito (UFPR) e Administração (PUC-PR), Pós-graduado em Marketing e Processamento de Dados (FAE-PR). Iniciou sua carreira em auditoria na Price Waterhouse, em 1978. Foi Chefe do Departamento de Documentação de Sistemas da Banestado Informática. Fundou a Hotsoft em 1987, onde permanece até hoje como Diretor Geral.
Roberto Ribeiro da Cruz, formado em Engenharia Mecânica com especialização em Produção (Faculdade de Engenharia Industrial/SP), Pós-graduação em Administração de Pequenas e Médias Empresas (EAESP/FGV), atua no desenvolvimento de software para medicina diagnóstica desde 1986, com experiên-cias no Brasil, Argentina, Chile e EUA. Hoje é responsável pelo desenvolvimento de novos produtos na Medical Systems.
Rodolfo Sini Ruiz, formado em Análise de Sistemas. Iniciou sua carreira na área técnica e hoje é responsá-vel pelo desenvolvimento da área comercial da Medical Systems. Atua no segmento de software para medi-cina diagnóstica desde 1984.
Simone Alves, tem 15 anos de experiência em Sistemas na área de Saúde, Especialista Líder de Sistemas de Produção de Análises Clínicas da DASA do mercado privado. Estudou Ciências da Computação no Instituto de Ensino Superior de São Caetano do Sul (SP).
Thiago Carvalho Melo, Bacherelado em Ciências da Computação, Analista de Sistemas, Analista de Implantação e Suporte Brasil da Siemens Healthcare Diagnósticos Brasil
Wilson Shcolnik, Médico Patologista Clínico, Diretor de Acreditação da SBPC/ML biênio 2010/2011, Gerente de Relações Institucionais do Grupo Fleury, MBA Gestão pela Qualidade (UFF/RJ)
Diretoria executiva
biênio 2010-2011
Presidente:
Carlos Alberto Franco Ballarati Vice-Presidente:
Ismar Venâncio Barbosa Diretor Administrativo: César Alex de Oliveira Galoro Vice-Diretor Administrativo: Rubens Hemb
Diretor Científico: Nairo Massakazu Sumita Vice-Diretor Científico: Murilo Rezende Melo Diretor de Comunicação: Luiz Eduardo Rodrigues Martins Diretor Financeiro:
Leila Carmo Sampaio Rodrigues Vice-Diretor Financeiro: Natasha Slhessarenko Diretor de Acreditação: Wilson Shcolnik
Diretor de Defesa de Classe: Paulo Sérgio Roffe Azevedo
Presidente do Conselho de Ex-Presidentes: Alvaro Rodrigues Martins
Prefácio
"Tudo tem a sua ocasião própria, e há tempo para todo propósito debaixo do céu." Ec 3:1
Neste ano de 2011, a Sociedade Brasileira de Patologia Clínica/Medicina Laboratorial decidiu que é tempo de aumentar sua participação no desenvolvimento da Tecnologia de Informação (TI) em Medicina Laboratorial em nosso país. Esta decisão leva em conta não apenas a importância da TI nos laboratórios clí-nicos, mas também a crescente importância da TI na nossa sociedade como um todo.
Assim, foi criado o Comitê de TI em Medicina Laboratorial da SBPC/ML, com a participação de interessados no assunto que representam toda a cadeia produtiva. Logo após sua criação, estabeleceu-se o interesse de definir áreas de consenso e também de temas que exigirão intenso debate, até atingirmos maturidade cole-tiva sobre nosso posicionamento oficial. Optou-se por documentar, inicialmente, alguns dos pontos de mai-or concmai-ordância entre os participantes, com a elabmai-oração dos documentos feita pmai-or integrantes da indús-tria de TI e membros da SBPC/ML, seguida de uma rodada de comentários e discussão aberta entre todos os membros do Comitê de TI para, então, publicarmos o resultado final que espelha, na medida do possível, o consenso do grupo.
Este trabalho é o primeiro fruto do Comitê de TI da SBPC/ML. Esperamos que esta iniciativa frutifique ainda mais e que sejam frutos proveitosos para a nossa comunidade laboratorial como um todo: não apenas para o profissional de TI, mas para todos que se interessam por laboratórios clínicos. Procuramos fazer com que os documentos fossem escritos com linguagem de fácil acesso a todos interessados, mas com novidades e con-ceitos descritos para aqueles que militam há anos na área de TI em Medicina Laboratorial acharem o mate-rial proveitoso.
Aproveito para agradecer a todos os membros do Comitê de TI da SBPC/ML e aos autores destes documentos pela sua participação ativa, assim como às empresas patrocinadoras, sem as quais os documentos não pode-riam ser realizados, e à Diretoria da SBPC/ML pelo incentivo e determinação em tomar esta iniciativa. Esperamos que aproveite a leitura e este documento enriqueça ainda mais a sua prática!
Prof.Dr. Murilo Rezende Melo
Diretoria executiva
biênio 2010-2011
Presidente:
Carlos Alberto Franco Ballarati Vice-Presidente:
Ismar Venâncio Barbosa Diretor Administrativo: César Alex de Oliveira Galoro Vice-Diretor Administrativo: Rubens Hemb
Diretor Científico: Nairo Massakazu Sumita Vice-Diretor Científico: Murilo Rezende Melo Diretor de Comunicação: Luiz Eduardo Rodrigues Martins Diretor Financeiro:
Leila Carmo Sampaio Rodrigues Vice-Diretor Financeiro: Natasha Slhessarenko Diretor de Acreditação: Wilson Shcolnik
Diretor de Defesa de Classe: Paulo Sérgio Roffe Azevedo
Presidente do Conselho de Ex-Presidentes: Alvaro Rodrigues Martins
Prefácio
"Tudo tem a sua ocasião própria, e há tempo para todo propósito debaixo do céu." Ec 3:1
Neste ano de 2011, a Sociedade Brasileira de Patologia Clínica/Medicina Laboratorial decidiu que é tempo de aumentar sua participação no desenvolvimento da Tecnologia de Informação (TI) em Medicina Laboratorial em nosso país. Esta decisão leva em conta não apenas a importância da TI nos laboratórios clí-nicos, mas também a crescente importância da TI na nossa sociedade como um todo.
Assim, foi criado o Comitê de TI em Medicina Laboratorial da SBPC/ML, com a participação de interessados no assunto que representam toda a cadeia produtiva. Logo após sua criação, estabeleceu-se o interesse de definir áreas de consenso e também de temas que exigirão intenso debate, até atingirmos maturidade cole-tiva sobre nosso posicionamento oficial. Optou-se por documentar, inicialmente, alguns dos pontos de mai-or concmai-ordância entre os participantes, com a elabmai-oração dos documentos feita pmai-or integrantes da indús-tria de TI e membros da SBPC/ML, seguida de uma rodada de comentários e discussão aberta entre todos os membros do Comitê de TI para, então, publicarmos o resultado final que espelha, na medida do possível, o consenso do grupo.
Este trabalho é o primeiro fruto do Comitê de TI da SBPC/ML. Esperamos que esta iniciativa frutifique ainda mais e que sejam frutos proveitosos para a nossa comunidade laboratorial como um todo: não apenas para o profissional de TI, mas para todos que se interessam por laboratórios clínicos. Procuramos fazer com que os documentos fossem escritos com linguagem de fácil acesso a todos interessados, mas com novidades e con-ceitos descritos para aqueles que militam há anos na área de TI em Medicina Laboratorial acharem o mate-rial proveitoso.
Aproveito para agradecer a todos os membros do Comitê de TI da SBPC/ML e aos autores destes documentos pela sua participação ativa, assim como às empresas patrocinadoras, sem as quais os documentos não pode-riam ser realizados, e à Diretoria da SBPC/ML pelo incentivo e determinação em tomar esta iniciativa. Esperamos que aproveite a leitura e este documento enriqueça ainda mais a sua prática!
Prof.Dr. Murilo Rezende Melo
Patrocinadores
Apoio
T
ecnologia da Informação em
Medicina Labor
atorial:
P
osicionamento da SBPC/ML
Boas Práticas
de Segurança e
Sigilo em TI para
Laboratórios Clínicos:
Como atender as normas
Patrocinadores
Apoio
T
ecnologia da Informação em
Medicina Labor
atorial:
P
osicionamento da SBPC/ML
Boas Práticas
de Segurança e
Sigilo em TI para
Laboratórios Clínicos:
Como atender as normas
Não restam dúvidas que os sistemas eletrônicos agregam uma miríade de benefícios aos processos dos laboratórios clínicos, tais como organização e otimização, possibilidade de registros rastreáveis, redução de erros, velocidade na elaboração e fornecimento dos resultados, melhora na qualidade diagnóstica, redução de custos, dentre outros, auxiliando-o no cumprimento de sua missão dentro da cadeia de assis-tência à saúde.
Nos últimos 20 anos, os sistemas de informação para laboratórios clínicos vêm sofrendo inúmeras transfor-mações. As primeiras aplicações restringiam-se a duas atividades: emissão de laudos e faturamento. Normalmente, os sistemas eram restritos a salas de digitação de laudos e faturamento, os antigos CPD (Centros de Processamento de Dados). Com a evolução, foram para as recepções dos laboratórios facilitan-do o atendimento aos pacientes. Hoje, estão integrafacilitan-dos aos processos de tofacilitan-do o laboratório, senfacilitan-do uma ferramenta inerente a todos os processos, desde o atendimento, fluxo de amostras, processamento de exames etc. Ou seja, todo o processo de um laboratório, desde pré-analítico, analítico e pós-analítico está intimamente ligado à tecnologia da informação, que serve também como ferramenta de gestão, na medida em que produz indicadores que permitem monitorar a performance de cada processo, criando, assim, uma relação de interdependência única e vital à necessidade de ambientes e sistemas de alta disponibilidade. Contudo, para o uso de tais sistemas no suporte do cuidado à saúde, uma série de controles de segurança e privacidade devem estar implementados, no sentido de mitigar os riscos associados, e devem ser conside-rados como requisitos essenciais para a operação do negócio, de forma a garantir condições mínimas de privacidade e segurança do paciente, dos profissionais, das instituições e demais elementos participantes do processo. Esses fatores afetam desde a questão da intimidade e da honra pessoal, que são direitos constitucionais de todos os cidadãos brasileiros e estrangeiros residentes no Brasil, até questões de saúde e risco de morte.
Dentre tais requisitos básicos pode-se citar a confidencialidade, a integridade, a auditabilidade, a autoria e a disponibilidade da informação e seus elementos de suporte. Falhas no atendimento desses requisitos podem incorrer no vazamento de resultados de exames a pessoas mal-intencionadas; adulteração de resultados; perda de informação; geração de informação incorreta, com possível comprometimento do estado de saúde do paciente; degradação da imagem da empresa; perda de clientes; indevida responsabili-zação e reparação de danos resultantes de processos judiciais.
De uma forma geral, os controles podem ser classificados em duas categorias, sendo uma referente a processos e a outra referente à tecnologia.
Os controles de processo são intrinsecamente dependentes das pessoas e suas ações e comportamentos, e incluem a elaboração de políticas e processos, treinamentos e programas de conscientização, a função da pessoa dentro do laboratório, relacionamento com os colaboradores, terceiros, fornecedores e usuários, a identificação e classificação dos ativos, o atendimento dos requisitos legais e de programas de certifica-ção.
Os controles de tecnologia envolvem componentes de infraestrutura de processamento, armazenamento, comunicação e segurança de dados, assim como os sistemas computacionais. Como exemplo, pode-se citar as estações de trabalho e servidores, os elementos de rede cabeada e sem fio, os dispositivos de inspeção de dados e prevenção a ataques cibernéticos, os Sistemas de Informações Laboratoriais (SIL) — de atendi-mento aos pacientes e publicação de laudos — dentre outros. Atenção especial se dá a eleatendi-mentos não menos benéficos, mas críticos do ponto de vista de segurança, como o uso de redes sem fio, de dispositivos móveis e de Internet.
Não restam dúvidas que os sistemas eletrônicos agregam uma miríade de benefícios aos processos dos laboratórios clínicos, tais como organização e otimização, possibilidade de registros rastreáveis, redução de erros, velocidade na elaboração e fornecimento dos resultados, melhora na qualidade diagnóstica, redução de custos, dentre outros, auxiliando-o no cumprimento de sua missão dentro da cadeia de assis-tência à saúde.
Nos últimos 20 anos, os sistemas de informação para laboratórios clínicos vêm sofrendo inúmeras transfor-mações. As primeiras aplicações restringiam-se a duas atividades: emissão de laudos e faturamento. Normalmente, os sistemas eram restritos a salas de digitação de laudos e faturamento, os antigos CPD (Centros de Processamento de Dados). Com a evolução, foram para as recepções dos laboratórios facilitan-do o atendimento aos pacientes. Hoje, estão integrafacilitan-dos aos processos de tofacilitan-do o laboratório, senfacilitan-do uma ferramenta inerente a todos os processos, desde o atendimento, fluxo de amostras, processamento de exames etc. Ou seja, todo o processo de um laboratório, desde pré-analítico, analítico e pós-analítico está intimamente ligado à tecnologia da informação, que serve também como ferramenta de gestão, na medida em que produz indicadores que permitem monitorar a performance de cada processo, criando, assim, uma relação de interdependência única e vital à necessidade de ambientes e sistemas de alta disponibilidade. Contudo, para o uso de tais sistemas no suporte do cuidado à saúde, uma série de controles de segurança e privacidade devem estar implementados, no sentido de mitigar os riscos associados, e devem ser conside-rados como requisitos essenciais para a operação do negócio, de forma a garantir condições mínimas de privacidade e segurança do paciente, dos profissionais, das instituições e demais elementos participantes do processo. Esses fatores afetam desde a questão da intimidade e da honra pessoal, que são direitos constitucionais de todos os cidadãos brasileiros e estrangeiros residentes no Brasil, até questões de saúde e risco de morte.
Dentre tais requisitos básicos pode-se citar a confidencialidade, a integridade, a auditabilidade, a autoria e a disponibilidade da informação e seus elementos de suporte. Falhas no atendimento desses requisitos podem incorrer no vazamento de resultados de exames a pessoas mal-intencionadas; adulteração de resultados; perda de informação; geração de informação incorreta, com possível comprometimento do estado de saúde do paciente; degradação da imagem da empresa; perda de clientes; indevida responsabili-zação e reparação de danos resultantes de processos judiciais.
De uma forma geral, os controles podem ser classificados em duas categorias, sendo uma referente a processos e a outra referente à tecnologia.
Os controles de processo são intrinsecamente dependentes das pessoas e suas ações e comportamentos, e incluem a elaboração de políticas e processos, treinamentos e programas de conscientização, a função da pessoa dentro do laboratório, relacionamento com os colaboradores, terceiros, fornecedores e usuários, a identificação e classificação dos ativos, o atendimento dos requisitos legais e de programas de certifica-ção.
Os controles de tecnologia envolvem componentes de infraestrutura de processamento, armazenamento, comunicação e segurança de dados, assim como os sistemas computacionais. Como exemplo, pode-se citar as estações de trabalho e servidores, os elementos de rede cabeada e sem fio, os dispositivos de inspeção de dados e prevenção a ataques cibernéticos, os Sistemas de Informações Laboratoriais (SIL) — de atendi-mento aos pacientes e publicação de laudos — dentre outros. Atenção especial se dá a eleatendi-mentos não menos benéficos, mas críticos do ponto de vista de segurança, como o uso de redes sem fio, de dispositivos móveis e de Internet.
Finalmente, assim como ocorre nas demais áreas do laboratório clínico, uma gestão adequada deve estar estabelecida, de forma a manter continuamente todos os controles de forma atualizada e operacional, sendo um processo de contínua evolução e aperfeiçoamento.
Esse documento apresenta uma visão geral do cenário de TI no Brasil sobre a ótica do sigilo e segurança e direciona o foco da segurança para a área de laboratórios clínicos. O documento está organizado da seguinte forma. Na Seção 1 é apresentado o cenário de TI e alguns números referentes a este cenário no Brasil. A Seção 2 mostra alguns números sobre a área de saúde no Brasil. A Seção 3 apresenta algumas normas sobre segurança de TI e sobre a área de laboratórios clínicos. Na Seção 4 são mostrados os principais riscos relacionados à segurança e sigilo de TI sob o contexto de laboratórios clínicos, estratégias para minimização dos riscos e suas relações com normas de segurança e da área de laboratórios clínicos. Na Seção 5 são apresentadas algumas conclusões sobre o assunto e, por fim, a Seção 6 informa as referências bibliográficas.
1.Cenário de TI no Brasil sob a ótica do sigilo e segurança
A informatização no Brasil destaca-se por alguns números expressivos. Como referência, vale informar que, segundo o Censo Demográfico de 2010, a população brasileira é de 195.755.799 habitantes (IBGE – Instituto Brasileiro de Geografia e Estatística).
Uma primeira área de referência no uso da tecnologia pode ser encontrada no processo de votação eletrô-nica, implantado em 1996. Em 2010, com um eleitorado de mais de 153 milhões de cidadãos, foram utiliza-das 456.000 urnas distribuíutiliza-das em 5.562 cidades, sendo que 60 usaram dispositivos biométricos para identificação do eleitor. Com o sistema informatizado, o resultado da última votação presidencial foi divulgado às 20h04 do mesmo dia da votação (TSE – Tribunal Superior Eleitoral).
O sistema financeiro é outro bom exemplo. Disponibiliza atualmente quase 175 mil terminais de autoaten-dimento espalhados por todo o país, contabiliza mais de 226 milhões de cartões de débito e de 175 milhões de cartões de crédito emitidos, e mais de 10 bilhões de transações realizadas na Internet em 2010 (BC – Banco Central do Brasil).
Com relação à telefonia celular, mais de 205 milhões de acessos foram emitidos (ANATEL – Agência Nacional de Telecomunicações), superando a marca de uma unidade por cidadão.
No âmbito da Internet, contabilizou-se mais de 81 milhões de internautas (F/Nasca Datafolha), sendo que diversas vezes esses usuários foram campeões mundiais de tempo de navegação.
Contudo, também existe o impacto, externado pela quantidade de ataques reportados (CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), que apresentou grande queda de 2009 para 2010, mas surpreende apresentando, somente no primeiro trimestre de 2011, o volume de 63% do valor total de 2010, demonstrando um momento de ativo movimento de ataques. Tal panorama é exibido na Figura 1 .
Vale destacar a evolução de um dado importante de 2006 para 2010, que contabiliza a origem dos ataques. Naquela época, registrou-se que 24% originaram-se nos Estados Unidos, seguido do Brasil, com 21%. Agora, 46% dos ataques têm origem aqui mesmo, no país, seguido pela China, com 14%. Isso reflete um aperfeiçoa-mento dos hackers no Brasil, contudo, é importante salientar que os ataques podem originar-se de qual-quer parte do mundo.
2.Área da saúde
Na área de saúde, o Brasil conta com um expressivo sistema público universal de atendimento, assim como uma não menos expressiva rede de atendimento privada e suplementar, atendida por meio das operadoras de planos de saúde. Esse universo apresenta mais de 230.000 estabelecimentos de saúde cadastrados, destes mais de 17.000 são unidades de apoio diagnose e terapia, número que inclui os laboratórios clínicos (CNES – Cadastro Nacional de Estabelecimentos de Saúde do Ministério da Saúde).
Segundo o Cadastro Nacional de Estabelecimentos de Saúde (CNES), existem cerca de 20 mil laboratórios clínicos no Brasil. Deste total, 30% são intra-hospitalares, atuando na prestação de serviços ao SUS e, ao mesmo tempo, ao sistema de saúde privado (Ministério da Saúde, 2011).
A Pesquisa de Assistência Médico-Sanitária (AMS) 2009, realizada pelo IBGE e divulgada em novembro, apurou a existência de 16.657 laboratórios de análises clínicas no país e 5.854 de anatomia patológi-ca/citologia (IBGE, 2010). Esses números incluem laboratórios que estão em hospitais, clínicas e outros estabelecimentos de saúde com ou sem internação. A AMS 2009 revela, também, quantos laboratórios prestam serviços somente a particulares (incluindo planos de saúde), quantos atendem pelo Sistema Único de Saúde (SUS) e quantos têm os dois tipos de atendimento. Os dados se sobrepõem porque muitos estabe-lecimentos enquadram-se em mais de uma dessas situações (Tabela1).
Figura1: Incidentes reportados ao CERT.br por ano
Total de Incidentes Reportados ao CERT.br por Ano
T
otal de Incidentes
1999 0 80000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2000 160000 240000 320000 400000 Ano ( 1999 a março de 2011 ) 3107 5997 12301 25092 54607 75722 197892 160080 222528 358343 142844 90759 68000Tabela1: Laboratórios de análises clínicas e anatomia patológica/citologia no Brasil segundo tipo de atendimento
Tipo de laboratório Tipo de atendimento
Público (SUS) Privado Privado/SUS *Total
Análises Clínicas
4917
11740
5468
16657
Anatomia Patológica
1300
4554
1973
5854
Finalmente, assim como ocorre nas demais áreas do laboratório clínico, uma gestão adequada deve estar estabelecida, de forma a manter continuamente todos os controles de forma atualizada e operacional, sendo um processo de contínua evolução e aperfeiçoamento.
Esse documento apresenta uma visão geral do cenário de TI no Brasil sobre a ótica do sigilo e segurança e direciona o foco da segurança para a área de laboratórios clínicos. O documento está organizado da seguinte forma. Na Seção 1 é apresentado o cenário de TI e alguns números referentes a este cenário no Brasil. A Seção 2 mostra alguns números sobre a área de saúde no Brasil. A Seção 3 apresenta algumas normas sobre segurança de TI e sobre a área de laboratórios clínicos. Na Seção 4 são mostrados os principais riscos relacionados à segurança e sigilo de TI sob o contexto de laboratórios clínicos, estratégias para minimização dos riscos e suas relações com normas de segurança e da área de laboratórios clínicos. Na Seção 5 são apresentadas algumas conclusões sobre o assunto e, por fim, a Seção 6 informa as referências bibliográficas.
1.Cenário de TI no Brasil sob a ótica do sigilo e segurança
A informatização no Brasil destaca-se por alguns números expressivos. Como referência, vale informar que, segundo o Censo Demográfico de 2010, a população brasileira é de 195.755.799 habitantes (IBGE – Instituto Brasileiro de Geografia e Estatística).
Uma primeira área de referência no uso da tecnologia pode ser encontrada no processo de votação eletrô-nica, implantado em 1996. Em 2010, com um eleitorado de mais de 153 milhões de cidadãos, foram utiliza-das 456.000 urnas distribuíutiliza-das em 5.562 cidades, sendo que 60 usaram dispositivos biométricos para identificação do eleitor. Com o sistema informatizado, o resultado da última votação presidencial foi divulgado às 20h04 do mesmo dia da votação (TSE – Tribunal Superior Eleitoral).
O sistema financeiro é outro bom exemplo. Disponibiliza atualmente quase 175 mil terminais de autoaten-dimento espalhados por todo o país, contabiliza mais de 226 milhões de cartões de débito e de 175 milhões de cartões de crédito emitidos, e mais de 10 bilhões de transações realizadas na Internet em 2010 (BC – Banco Central do Brasil).
Com relação à telefonia celular, mais de 205 milhões de acessos foram emitidos (ANATEL – Agência Nacional de Telecomunicações), superando a marca de uma unidade por cidadão.
No âmbito da Internet, contabilizou-se mais de 81 milhões de internautas (F/Nasca Datafolha), sendo que diversas vezes esses usuários foram campeões mundiais de tempo de navegação.
Contudo, também existe o impacto, externado pela quantidade de ataques reportados (CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), que apresentou grande queda de 2009 para 2010, mas surpreende apresentando, somente no primeiro trimestre de 2011, o volume de 63% do valor total de 2010, demonstrando um momento de ativo movimento de ataques. Tal panorama é exibido na Figura 1 .
Vale destacar a evolução de um dado importante de 2006 para 2010, que contabiliza a origem dos ataques. Naquela época, registrou-se que 24% originaram-se nos Estados Unidos, seguido do Brasil, com 21%. Agora, 46% dos ataques têm origem aqui mesmo, no país, seguido pela China, com 14%. Isso reflete um aperfeiçoa-mento dos hackers no Brasil, contudo, é importante salientar que os ataques podem originar-se de qual-quer parte do mundo.
2.Área da saúde
Na área de saúde, o Brasil conta com um expressivo sistema público universal de atendimento, assim como uma não menos expressiva rede de atendimento privada e suplementar, atendida por meio das operadoras de planos de saúde. Esse universo apresenta mais de 230.000 estabelecimentos de saúde cadastrados, destes mais de 17.000 são unidades de apoio diagnose e terapia, número que inclui os laboratórios clínicos (CNES – Cadastro Nacional de Estabelecimentos de Saúde do Ministério da Saúde).
Segundo o Cadastro Nacional de Estabelecimentos de Saúde (CNES), existem cerca de 20 mil laboratórios clínicos no Brasil. Deste total, 30% são intra-hospitalares, atuando na prestação de serviços ao SUS e, ao mesmo tempo, ao sistema de saúde privado (Ministério da Saúde, 2011).
A Pesquisa de Assistência Médico-Sanitária (AMS) 2009, realizada pelo IBGE e divulgada em novembro, apurou a existência de 16.657 laboratórios de análises clínicas no país e 5.854 de anatomia patológi-ca/citologia (IBGE, 2010). Esses números incluem laboratórios que estão em hospitais, clínicas e outros estabelecimentos de saúde com ou sem internação. A AMS 2009 revela, também, quantos laboratórios prestam serviços somente a particulares (incluindo planos de saúde), quantos atendem pelo Sistema Único de Saúde (SUS) e quantos têm os dois tipos de atendimento. Os dados se sobrepõem porque muitos estabe-lecimentos enquadram-se em mais de uma dessas situações (Tabela1).
Figura1: Incidentes reportados ao CERT.br por ano
Total de Incidentes Reportados ao CERT.br por Ano
T
otal de Incidentes
1999 0 80000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2000 160000 240000 320000 400000 Ano ( 1999 a março de 2011 ) 3107 5997 12301 25092 54607 75722 197892 160080 222528 358343 142844 90759 68000Tabela1: Laboratórios de análises clínicas e anatomia patológica/citologia no Brasil segundo tipo de atendimento
Tipo de laboratório Tipo de atendimento
Público (SUS) Privado Privado/SUS *Total
Análises Clínicas
4917
11740
5468
16657
Anatomia Patológica
1300
4554
1973
5854
Figura2:
Laboratórios de análises clínicas por região geográfica (IBGE – Instituto Brasileiro de Geografia e Estatística)
1313 1596 6488 4548 2712 CO N NE S SE
De acordo com o Ministério da Saúde (2010), o número de exames laboratoriais realizados pelo SUS, para pacientes ambulatoriais, foi de 469.446.028.
No âmbito da saúde suplementar, existem 1.618 operadoras cadastradas, incluindo tanto as de natureza médico-hospitalar quanto exclusivamente odontológicas, para um atendimento de mais de 45 milhões de beneficiários (ANS – Agência Nacional de Saúde Suplementar, 2011), quase um quarto da população nacio-nal, o que demonstra também a importância desse segmento no cenário da saúde no país.
Alguns marcos da informatização da saúde aconteceram em 1991, com a criação do Departamento de Informática do Sistema Único de Saúde (SUS); em 1996, a publicação da NOB-SUS 01/96 e as primeiras implementações em 1999 (Levy). Em 2004, com a publicação, pelo Ministério da Saúde, da Política Nacional de Informatização e Informática em Saúde - PNIIS e, em 2005, do padrão de Troca de Informação na Saúde Suplementar, o TISS, pela Agência Nacional de Saúde Suplementar, e mais recentemente com a publicação da nova portaria referente ao Cartão Nacional de Saúde, pelo Ministério da Saúde (Ministério da Saúde, 2011).
A operacionalização desse complexo sistema de saúde é muito amparada pela tecnologia, principalmente para o processamento e transmissão de dados. Contudo, infelizmente, o setor não apresenta indicadores precisos sobre grau de informatização das suas instituições.
Existe um sentimento de que a maioria dos laboratórios clínicos utiliza algum tipo de informatização em seus processos, mas ainda poucos desses sistemas de informação foram certificados por processos de qualidade. O mesmo se aplica à área hospitalar, que demonstra uma forte expansão do uso da informática, dos tradicionais sistemas administrativos, para as mais recentes aplicações na área clínica.
3.Normas de segurança e sigilo em TI
A questão da segurança e sigilo da informação é considerada por algumas normas e institutos nacionais e internacionais. No contexto da segurança da informação para ambientes de laboratórios clínicos, os principais processos estão apresentados a seguir.
ISO e ABNT
A International Organization for Standadization (ISO) é a maior e a principal instituição internacional de desenvolvimento de normas, que contempla a participação de representantes de 162 países. A Associação Brasileira de Normas Técnicas (ABNT) é o órgão responsável pela normatização técnica no Brasil e é a representante oficial da ISO no Brasil.
A ISO é responsável pela publicação da principal referência em segurança da informação mundial, desen-volvido pelo Joint Technical Committee 1 – Sub-Committee 27 (Information Technology – Security techni-ques), que é a norma ISO/IEC 27002:2005 “Information technology -- Security techniques -- Code of practice for information security management”, publicada no Brasil pela ABNT como NBR ISO/IEC 27002:2005 “Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação”. O Technical Committee 215 (Health informatics) publicou uma personalização desta norma para a área de saúde, que é a ISO 27799:2008 “Health informatics -- Information security management in health using ISO/IEC 27002”, a qual está em processo de tradução pela ABNT.
O Brasil marcou sua participação na ISO propondo e contribuindo com uma norma internacional para certifi-cação de segurança em sistemas de saúde, a ISO 14441 “Health Informatics – Security and privacy require-ments of EHR Systems for use in conformity assessment“, que está atualmente em sistemas de saúde, a ISO 14441 “Health Informatics – Security and privacy requirements of EHR Systems for use in conformity assess-ment“, que está atualmente em desenvolvimento, com perspectiva de publicação em 2012.
Este trabalho considera, quando menciona a ISO e a ABNT, exatamente esse conjunto de normas. SBIS
A Sociedade Brasileira de Informática em Saúde (SBIS) tem como objetivo promover o desenvolvimento de todos os aspectos da Tecnologia da Informação aplicada à Saúde. É responsável por diversos eventos de informática em saúde no Brasil, tanto com propósito acadêmico quanto de tecnologia.
Em convênio com o Conselho Federal de Medicina – CFM, a SBIS desenvolveu o processo de Certificação de Sistemas de Registro Eletrônico em Saúde (S-RES). Estabelecido em 2002, com a publicação do manual com requisitos de segurança e funcionalidade, os desenvolvedores de sistemas conformes com os requisitos formalmente se autodeclaravam em conformidade. Em 2007, o processo foi referenciado pela Resolução 1821, do CFM, que indicou a possibilidade do uso de sistemas eletrônicos em saúde, em especial sem o suporte em papel, desde que em conformidade com o manual de certificação da SBIS. A partir de então, a fase de autodeclaração foi encerrada, iniciando-se o processo de auditoria dos sistemas por especialistas da SBIS. Desde então, seis sistemas foram certificados, compreendendo os de maior uso no país.
Observa-se um grande movimento de adoção de sistemas eletrônicos da área de saúde, especificamente para uso clínico, além da tradicional utilização nas áreas administrativa e financeira. Consequentemente, a interconexão entre sistemas laboratoriais e sistemas hospitalares tem se tornado cada vez mais comum, evidenciando a necessidade da padronização desta interoperabilidade.
Seguindo essa tendência também está a dispensa do uso do papel, e, para isso, o uso de certificados digitais ICP-Brasil para a geração de assinaturas digitais, em conformidade com o especificado no manual da SBIS. Os primeiros sistemas a utilizar assinaturas digitais com sistemas certificados iniciaram em 2010, sendo que os primeiros resultados estão efetivamente sendo percebidos nesse momento, como uma melhor adesão aos protocolos, maior agilidade e confiabilidade nos processos, economia financeira referente a não utilização do papel e impressoras, entre outros.
A SBIS está comprometida com a evolução desse processo, incluindo as especificidades da área de laborató-rios, devendo publicar, em 2011, uma nova versão do manual, mantendo diálogos com diversos Conselhos Federais de profissões de saúde, assim como com o Ministério da Saúde, a Agência Nacional de Saúde Suplementar (ANS) e a Agência Nacional de Vigilância Sanitária (ANVISA). Também colabora com a ABNT e ISO na elaboração da ISO 14441, previamente mencionada.
Figura2:
Laboratórios de análises clínicas por região geográfica (IBGE – Instituto Brasileiro de Geografia e Estatística)
1313 1596 6488 4548 2712 CO N NE S SE
De acordo com o Ministério da Saúde (2010), o número de exames laboratoriais realizados pelo SUS, para pacientes ambulatoriais, foi de 469.446.028.
No âmbito da saúde suplementar, existem 1.618 operadoras cadastradas, incluindo tanto as de natureza médico-hospitalar quanto exclusivamente odontológicas, para um atendimento de mais de 45 milhões de beneficiários (ANS – Agência Nacional de Saúde Suplementar, 2011), quase um quarto da população nacio-nal, o que demonstra também a importância desse segmento no cenário da saúde no país.
Alguns marcos da informatização da saúde aconteceram em 1991, com a criação do Departamento de Informática do Sistema Único de Saúde (SUS); em 1996, a publicação da NOB-SUS 01/96 e as primeiras implementações em 1999 (Levy). Em 2004, com a publicação, pelo Ministério da Saúde, da Política Nacional de Informatização e Informática em Saúde - PNIIS e, em 2005, do padrão de Troca de Informação na Saúde Suplementar, o TISS, pela Agência Nacional de Saúde Suplementar, e mais recentemente com a publicação da nova portaria referente ao Cartão Nacional de Saúde, pelo Ministério da Saúde (Ministério da Saúde, 2011).
A operacionalização desse complexo sistema de saúde é muito amparada pela tecnologia, principalmente para o processamento e transmissão de dados. Contudo, infelizmente, o setor não apresenta indicadores precisos sobre grau de informatização das suas instituições.
Existe um sentimento de que a maioria dos laboratórios clínicos utiliza algum tipo de informatização em seus processos, mas ainda poucos desses sistemas de informação foram certificados por processos de qualidade. O mesmo se aplica à área hospitalar, que demonstra uma forte expansão do uso da informática, dos tradicionais sistemas administrativos, para as mais recentes aplicações na área clínica.
3.Normas de segurança e sigilo em TI
A questão da segurança e sigilo da informação é considerada por algumas normas e institutos nacionais e internacionais. No contexto da segurança da informação para ambientes de laboratórios clínicos, os principais processos estão apresentados a seguir.
ISO e ABNT
A International Organization for Standadization (ISO) é a maior e a principal instituição internacional de desenvolvimento de normas, que contempla a participação de representantes de 162 países. A Associação Brasileira de Normas Técnicas (ABNT) é o órgão responsável pela normatização técnica no Brasil e é a representante oficial da ISO no Brasil.
A ISO é responsável pela publicação da principal referência em segurança da informação mundial, desen-volvido pelo Joint Technical Committee 1 – Sub-Committee 27 (Information Technology – Security techni-ques), que é a norma ISO/IEC 27002:2005 “Information technology -- Security techniques -- Code of practice for information security management”, publicada no Brasil pela ABNT como NBR ISO/IEC 27002:2005 “Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação”. O Technical Committee 215 (Health informatics) publicou uma personalização desta norma para a área de saúde, que é a ISO 27799:2008 “Health informatics -- Information security management in health using ISO/IEC 27002”, a qual está em processo de tradução pela ABNT.
O Brasil marcou sua participação na ISO propondo e contribuindo com uma norma internacional para certifi-cação de segurança em sistemas de saúde, a ISO 14441 “Health Informatics – Security and privacy require-ments of EHR Systems for use in conformity assessment“, que está atualmente em sistemas de saúde, a ISO 14441 “Health Informatics – Security and privacy requirements of EHR Systems for use in conformity assess-ment“, que está atualmente em desenvolvimento, com perspectiva de publicação em 2012.
Este trabalho considera, quando menciona a ISO e a ABNT, exatamente esse conjunto de normas. SBIS
A Sociedade Brasileira de Informática em Saúde (SBIS) tem como objetivo promover o desenvolvimento de todos os aspectos da Tecnologia da Informação aplicada à Saúde. É responsável por diversos eventos de informática em saúde no Brasil, tanto com propósito acadêmico quanto de tecnologia.
Em convênio com o Conselho Federal de Medicina – CFM, a SBIS desenvolveu o processo de Certificação de Sistemas de Registro Eletrônico em Saúde (S-RES). Estabelecido em 2002, com a publicação do manual com requisitos de segurança e funcionalidade, os desenvolvedores de sistemas conformes com os requisitos formalmente se autodeclaravam em conformidade. Em 2007, o processo foi referenciado pela Resolução 1821, do CFM, que indicou a possibilidade do uso de sistemas eletrônicos em saúde, em especial sem o suporte em papel, desde que em conformidade com o manual de certificação da SBIS. A partir de então, a fase de autodeclaração foi encerrada, iniciando-se o processo de auditoria dos sistemas por especialistas da SBIS. Desde então, seis sistemas foram certificados, compreendendo os de maior uso no país.
Observa-se um grande movimento de adoção de sistemas eletrônicos da área de saúde, especificamente para uso clínico, além da tradicional utilização nas áreas administrativa e financeira. Consequentemente, a interconexão entre sistemas laboratoriais e sistemas hospitalares tem se tornado cada vez mais comum, evidenciando a necessidade da padronização desta interoperabilidade.
Seguindo essa tendência também está a dispensa do uso do papel, e, para isso, o uso de certificados digitais ICP-Brasil para a geração de assinaturas digitais, em conformidade com o especificado no manual da SBIS. Os primeiros sistemas a utilizar assinaturas digitais com sistemas certificados iniciaram em 2010, sendo que os primeiros resultados estão efetivamente sendo percebidos nesse momento, como uma melhor adesão aos protocolos, maior agilidade e confiabilidade nos processos, economia financeira referente a não utilização do papel e impressoras, entre outros.
A SBIS está comprometida com a evolução desse processo, incluindo as especificidades da área de laborató-rios, devendo publicar, em 2011, uma nova versão do manual, mantendo diálogos com diversos Conselhos Federais de profissões de saúde, assim como com o Ministério da Saúde, a Agência Nacional de Saúde Suplementar (ANS) e a Agência Nacional de Vigilância Sanitária (ANVISA). Também colabora com a ABNT e ISO na elaboração da ISO 14441, previamente mencionada.
CAP
O Colégio Americano de Patologistas (CAP) é uma organização americana de patologistas credenciados que atende pacientes, patologistas e o público, promovendo e defendendo a excelência na prática da patologia e medicina laboratorial (CAP – Colégio Americano de Patologistas).
O CAP possui um programa de acreditação chamado CAP Laboratory Accreditation Program, . É reconhecido internacionalmente e ajuda os laboratórios a atingir excelência no atendimento aos pacientes. Existem atualmente mais de seis mil laboratórios acreditados ao redor do mundo.
O CAP Laboratory Accreditation Program é baseado em padrões de credenciamento rigorosos, que atendem a uma grande variedade de configurações de laboratórios, que vão de consultórios médicos até complexos centros médicos. O programa também abrange uma gama completa de disciplinas e procedimentos de testes. PALC
O Programa de Acreditação de Laboratórios Clínicos (PALC) da Sociedade Brasileira de Patologia Clínica/Medicina Laboratorial (SBPC/ML) foi lançado em 1998 e se mantém atualizado de acordo com as tendências internacionais e científicas da área. O Programa é de cunho educativo e constituído por requisi-tos relacionados a todas as fases do processo laboratorial, além de organização e infraestrutura e um capítulo específico sobre o Sistema de Gestão das Informações Laboratoriais (SIL).
4. Segurança e sigilo em TI no contexto de laboratórios clínicos: principais riscos e
estratégias para um ambiente seguro
A informatização dos laboratórios clínicos é fundamental para a otimização dos serviços de saúde presta-dos, no entanto, é preciso garantir que este processo seja feito de forma segura. Para isso, é imprescindível que sejam identificadas as ameaças existentes para o ambiente informatizado que se deseja proteger e, com base nelas, que se defina procedimentos ou mecanismos de segurança que eliminem as ameaças, que minimizem os riscos dessas ameaças tornarem-se reais, que limitem os danos causados ou que permitam que o ambiente se recupere com a maior eficiência possível, mantendo-o em condições mínimas de operação. O resultado desse processo é uma Política da Segurança. A Figura 3 ilustra um exemplo de um mecanismo de análise de riscos detalhado.
Segundo Cláudia Dias (2000), uma Política da Segurança deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por ele manipuladas. A política também deve estabelecer as responsabilidades das funções relacionadas com a segurança e discriminar as principais ameaças, riscos e impactos envolvidos (Dias, 2000). Considerando um ambiente informatizado no contexto de laboratórios clínicos, as principais ameaças estão relacionadas aos seguintes serviços de segurança: Confidencialidade (leitura não autorizada), Disponibilidade (disponibilização dos dados para os usuários autorizados) e Integridade (validade e consis-tência dos dados). Ampliando o escopo do ambiente para contemplar a transmissão de informações clínicas por meios eletrônicos, deve-se considerar também a Autenticidade (identificação de quem solicita os dados e de quem fornece os dados) das entidades envolvidas na transmissão dos dados e mecanismos que não permitam que estas entidades possam negar seu envolvimento na transmissão (Não Repúdio) (Beal, 2008). Para atingir os objetivos deste documento, foram identificadas as ameaças inerentes ao ambiente de um laboratório clínico e estas foram categorizadas de acordo com sua origem (Infraestrutura de TI e Sistemas/Processos em Laboratórios Clínicos). As ameaças foram complementadas com informações que tentam responder os seguintes questionamentos:
Figura3: Análise detalhada de riscos relativos à segurança
Análise de Risco
detalhada
Baseado na ISO 13335-3 Não
Sim
Avaliar os valores dos ativos de informação e estabeler dependências entre ativos
Avaliar ameaças Avaliar vulnerabilidade Identificar mecanismos para reduzir as vulnerabilidades Avaliar riscos Plano de segurança da TI Aceitar riscos Selecionar mecanismos Identificar e revisar limitações Identificar ativos de informação
( informação a ser protegida )
Política de Segurança de sistema de TI
A quais serviços de segurança a ameaça está relacionada?
O que pode ser feito para tentar minimizar os riscos de elas ocorrerem ou seus impactos?
?
O que as principais normas de segurança e sigilo relacionados à segurança de TI ou laboratórios clínicos
?
dizem a respeito? Infraestrutura de TI
A infraestrutura de TI corresponde a plataformas de hardware, de telecomunicações, das redes Lan (local area network) e Wan (wide area network), às instalações físicas e às pessoas, necessárias para exercerem os papéis e responsabilidades relativas a TI. Ela é composta por elementos de processamento, armazena-mento, comunicação e segurança que, junto com os softwares propiciam serviços de TI (que podem ou não estar relacionados a serviços de segurança). Tais serviços podem representar uma ameaça à segurança do ambiente informatizado, já que por eles trafegam informações (sensíveis ou não) dos laboratórios clínicos. Quando se olha sob a perspectiva de infraestrutura, as ameaças e riscos à segurança independem da área de atuação da empresa. Isso significa que qualquer empresa deve se preocupar com este tipo de ameaça. A seguir são apresentadas algumas das ameaças mais comuns a ambientes informatizados.
