Certificação SBIS/CFM
Euline Marcos Rodrigues - CPqD 16/04/2010
Agenda
• Histórico
• Requisitos
• Categorias
• Processo
• Certificação
Histórico
A norma ISO/TS 18.308:2004 que define os requisitos para um S-RES. A especificação apresenta os requisitos categorizados em estrutura,
processo, comunicação, privacidade e segurança, médico-legal, ético, consumidor/cultural e também os requisitos relacionados à evolução de sistemas de RES.
2004
A norma ISO/TR 20.514:2005 que estabelece as definições de RES e de Sistemas de RES. Estas duas normas encontram-se traduzidas (ABNT ISO/TR 20.514 – Informática em saúde Registro eletrônico de saúde -Definição, escopo e contexto e ABNT ISO/TS 18.308 - Informática em saúde - Requisitos para uma arquitetura do registro eletrônico)
2005
1ª versão do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES)
2003
Convênio entre Conselho Federal de Medicina e Sociedade Brasileira de Informática em Saúde
Resolução 1638/2002: Define o que é um prontuário médico
Resolução 1639/2002: Uso de sistemas para guarda e manuseio de prontuário médico
2002
Eventos/Documentos Ano
Histórico
Os EUA começam a certificar softwares de S-RES.
ABNT criou a Comissão Especial de Estudos em Informática em Saúde, inspirada no Comitê de Informática em Saúde da ISO, também conhecido como TC-215.
2006
Versão atual (3.3) do Manual de Certificação 2009
Resolução 1821/2007: Normas Técnicas Concernentes à Digitalização e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos
Documentos dos Prontuários dos Pacientes, Autorizando a Eliminação do Papel e a Troca de Informação Identificada em Saúde
Criado o Instituto HL7 Brasil. HL7 é é o padrão mais utilizado para
intercâmbio de dados na área da saúde no cenário internacional, há mais de 15 anos.
2007
Eventos/Documentos Ano
Definições Importantes - SBIS
• RES – Registro Eletrônico em Saúde: Um repositório de informação a respeito da saúde de indivíduos, numa forma processável
eletronicamente.
• S-RES – Sistema de Registro Eletrônico em Saúde: Sistema para
registro, recuperação e manipulação das informações de um Registro Eletrônico em Saúde
• TISS – Troca de Informação em Saúde Suplementar é o padrão definido pela Agência Nacional de Saúde Suplementar – ANS (www.ans.gov.br) para registro e intercâmbio de dados entre operadoras de planos
privados de assistência à saúde e prestadores de serviços de saúde. O objetivo do padrão TISS é atingir a compatibilidade e interoperabilidade funcional e semântica entre os diversos sistemas independentes para fins de avaliação da assistência à saúde (caráter clínico, epidemiológico ou administrativo) e seus resultados, orientando o planejamento do setor.
Requisitos SBIS
• Requisitos de Segurança
• NGS1 – sem certificação digital
• Acesso Local - único computador, um só usuário.
• Acesso Remoto - computador remoto, com algum tipo de conexão
(rede local, conexão sem-fio, internet, etc.). • NGS2 – com certificação digital (ICP Brasil)
• Requisitos de Estrutura, Conteúdo e Funcionalidades para
S-RES Assistencial
• Requisitos para GED
• Requisitos para TISS
NGS1.02 - Identificação e autenticação de usuário
M M
Todo usuário deve ser identificado e autenticado antes de qualquer acesso a dados do S-RES. HL7 ERH-S FM IN1.1 ABNT NBR ISO/IEC 27001:2006 A.11.5.2 Identificação e autenticação do usuário NGS1.02.01 Remoto Local CONFORMIDADE REFERÊNCIA REQUISITO ID
NGS2.01 – Certificação Digital
M Utilização de certificado digital emitido por AC
credenciada à ICP-Brasil para os processos
de autenticação de usuários e para assinatura digital de documentos eletrônicos no S-RES.
Resolução CFM Certificado digital ICP-Brasil NGS2.01.01 Presença CONFORMIDADE REFERÊNCIA REQUISITO ID
ESTR.04 – Dados Clínicos
R Suportar o armazenamento de dados estruturados e
não estruturados que atendam minimamente: •Anamnese (história do paciente)
•Exame físico
•Antecedentes mórbidos pessoais (psicológicos, sociais, ambientais) e familiares
•Alergias e outras informações de relevância clínica •Imunizações e medidas preventivas e outras intervenções no estilo de vida
•Investigação diagnóstica, intervenções terapêuticas tais como medicamentos e procedimentos
•Evoluções clínicas, interpretações, decisões e raciocínio clínico
•Solicitação de exames, tratamentos e encaminhamentos
•Hipóteses Diagnósticas, Lista de Problemas, Diagnósticos, Questões relevantes, preferências e expectativas
•Consentimentos informados (não mandatório quando NGS1)
•Operadora de plano de saúde
•Sumário de alta com as condições funcionais e de saúde
•Informações a respeito de próteses ou implantes: fornecedor, modelo ABNT ISO/TS 18308 EST2.10 CFM 1638/2002 Dados estruturados ou não ESTR.04.01 Presença CONFORMIDADE REFERÊNCIA REQUISITO ID
Categorias de SW Cobertas
• Assistencial Ambulatorial – S-RES voltados para a assistência
ambulatorial, tais como: sistemas de automação de consultórios clínicos, de informação ambulatorial, de unidades básicas de atendimento à
saúde, etc., assim como a parte ambulatorial de sistemas hospitalares ou de sistemas integrados de informação em saúde. Atenção: Sistemas ou funcionalidades voltadas a outros tipos de atendimento assistencial,
como internação hospitalar, vigilância epidemiológica, medicina
ocupacional, etc., serão gradualmente agregados a esta categoria nas próximas versões deste manual.
• GED – Sistemas de gerenciamento eletrônico de documentos, utilizados para o armazenamento e visualização de documentos relacionados à informação de saúde.
• TISS – Categoria dirigida ao atendimento do padrão TISS da ANS. Inúmeros S-RES, especialmente aqueles em uso por operadoras de planos de saúde e prestadores de serviços de saúde, são obrigados a trocar informações usando o TISS. Atende também aos aplicativos de comunicação (“empresas de conectividade”) que realizam a troca de informações entre Operadoras e Prestadores.
Enquadramento do S-RES
Assistência Ambulatorial GED TISS Nível Segurança 2 (cert. digital) Nível Segurança 1 Remoto Nível Segurança 1 Local Prestador Comunicação Operadora Hospitais Consultório isolado Consultório OdontológicoInstrumentos Formais
• Ficha de Inscrição para Certificação
• Ficha de Inscrição para Extensão de Certificação
• Contrato de Certificação
• Termo de Extensão de Certificação
• Certificado (Diploma de Certificação)
• Selo de Certificação SBIS/CFM
Software Certificado
• Cada certificado está relacionado a uma versão específica
do S-RES, testada no processo de auditoria e totalmente de
acordo com os requisitos estabelecidos.
• Versão e a data em que ela foi produzida, liberada para o
mercado ou utilizada pela primeira vez.
• Prazo de validade:
• Dois anos a partir da emissão
• Ou um ano a partir da publicação de nova versão do Manual de
Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) posterior à que serviu de base para o certificado
Pequenos Ajustes
• Não afetam a conformidade do S-RES aos requisitos da
certificação. Exemplos:
• Modificações no nome do produto;
• Correções de bugs com o único objetivo de sanar uma falha de funcionamento do S-RES;
• Pequenas modificações na interface com o usuário (esquemas de cores, fontes, estilos de botões, etc.);
• Adição de novas funcionalidades ou módulos (por exemplo, incluir uma consulta aos médicos usuários do sistema) fora do escopo da certificação; • Substituição de componentes internos do S-RES que possuam interfaces
ou características padronizadas (por exemplo, substituição de SGBD, desde que o SRES anteriormente certificado só dependesse de
funcionalidades amplamente disponíveis naquele ou em qualquer outro SGBD).
Ajustes Relevantes
• Com risco significativo de afetar conformidade do S-RES aos requisitos da certificação. Exemplos:
• Remoção de qualquer funcionalidade ou módulo essencial para a obtenção da certificação (por exemplo, retirada da função de registro de log);
• Substituição de bibliotecas ou componentes de software (por exemplo, substituindo um editor de textos desenvolvido internamente e utilizado na edição do prontuário do paciente por um componente de editor de textos desenvolvido por terceiros, ou vice-versa);
• Remodelagem significativa da interface com o usuário, por exemplo, mudando a estrutura dos menus, nomenclatura de telas, ou ainda migrando o sistema para uma nova interface (por exemplo, via web-browser);
• Substituição de componentes internos do S-RES que, mesmo possuindo interfaces ou características padronizadas, oferecem características específicas utilizadas pelo S-RES para obter a certificação (por exemplo, substituição de SGBD cujo módulo de criptografia de dados era utilizado para garantir aspectos de segurança da informação avaliados na certificação);
Estrutura para Certificação na SBIS
• Comitê de Certificação
•
01 (um) integrante da Coordenação do SBIS/GICSP
(Coordenador, Vice-Coordenador ou Secretário)
•
01 (um) membro representante do CFM;
•
01 (um) membro indicado pela Diretoria da SBIS.
• Gerente do Centro de Certificação
• Auditores
• Secretaria
Detalhes da Certificação
• O Solicitante disponibiliza os recursos computacionais necessários à auditoria através de qualquer um dos seguintes meios:
• Instalação em um microcomputador (desktop) da SBIS, necessariamente sob o sistema operacional Windows ou Linux;
• Instalação em um microcomputador (desktop ou notebook) do próprio Solicitante;
• Acesso direto ao sistema através da internet;
• Acesso indireto ao sistema através da internet, utilizando algum aplicativo de controle remoto (ex.: VNC, PC Anywhere etc.);
• Outro meio equivalente que atenda a este objetivo, desde que previamente acordado com a SBIS.
• O Solicitante deverá, também, disponibilizar de 01 (um) a 03 (três)
profissionais para operarem o sistema na sede da SBIS, em São Paulo/SP, durante todo o período da auditoria.
• Caso haja a necessidade de algum outro recurso ou material adicional, a SBIS poderá requisitá-lo ao Solicitante, o qual deverá providenciá-lo.
Detalhes da Certificação
• Auditores executam a auditoria e preenchem o caderno de resultados.
• Todas as sessões de auditoria são gravadas, registrando-se, durante todo o tempo, os sons do ambiente e as imagens da tela (navegação e operação) do S-RES auditado.
• Cada auditoria é executada obrigatoriamente por 03 (três) auditores seniores, que solicitam aos profissionais disponibilizados pelo Solicitante operarem o sistema.
• São executados todos os procedimentos (scripts) definidos no Manual
Operacional de Ensaios e Análises para todos os requisitos obrigatórios das categorias nas quais o S-RES auditado se enquadra, verificando-se a
obtenção ou não dos resultados esperados. Após a execução de cada script, cada auditor registrará o seu parecer em seu Caderno de Resultados, os quais serão consolidados pelo Gerente do CC ao final da auditoria.
Lista de Sistemas Certificados
Não Sim NGS 2 05.277.208/ 0001-76 IMAP - Instituto Municipal de Administração Pública 2/11/2011 03/11/20090 2009 1.0 MVPEP Ativo TISS Ambulato-rial NGS CNPJ Empresa / Organização Sim Sim NGS 2 01.950.338/ 0001-77 Wheb Informática Ltda22/02/2012 23/02/2010 2009 2.2.453 TASY Ativo 003 Não Sim NGS 2 91.879.544/ 0001-20 MV Sistemas Ltda 002 02/11/2011 03/11/2009 2009 1.0 Serviço On-Line de Saúde Ativo 001 Validade Estimada Data de Emissão Ano de Referência Versão Nome do Produto Situação Atual Nº do Certi-ficado
Definição GestãoDoc – MoReq-Jus
• GestãoDoc – Sistema Informatizado de Gestão de
Processos e Documentos: Sistema mais abrangente que o
GED, desenvolvido para produzir, gerenciar a tramitação,
receber, armazenar, dar acesso e destinar documentos em
ambiente eletrônico. Pode compreender um software
particular, um determinado número de softwares integrados
— adquiridos ou desenvolvidos — ou uma combinação
desses. Envolve um conjunto de procedimentos e operações
técnicas característicos do sistema de gestão de processos
e documentos, processado eletronicamente e aplicável em
ambientes digitais ou em ambientes híbridos — documentos
digitais e não-digitais ao mesmo tempo.
Discussão do GT: Comparativo
Auditores treinados nos requisitos e no Método Mede-Jud
Auditores treinados nos requisitos
Equipe
Solicitante opera o SW (Avaliação In-Company)
Auditor opera o SW (Avaliação no Lab) Solicitante opera o SW Modus operandi ? SBIS Órgão Executante CNJ CFM Órgão Certificador Gestão Doc Assistencial Ambulatorial GED TISS Tipos de Software 342 (Obrigatório Desejável) 266 (Mandatório, Recomendado, Opcional Não se aplica) Requisitos MoReq-Jus SBIS/CFM Item
Euline Marcos Rodrigues
euline@cpqd.com.br (19) 3705-4474