Luis Gustavo Kiatake
Coordenador GT Segurança do Comitê Informática em Saúde ABNT Representante ABNT TC-215 Health Informatics ISO
Eliminação do Papel
em Saúde
1935
Fonte: Ed Hammond
2004
O
1935
Fonte: Ed Hammond
2004
A
1935
O Centro
Cirúrgico
1935
Fonte: Ed Hammond
2004
O SAME
Certificação Digital e
Saúde
•Elimina papel
•Privacidade
Certificação
Digital
Elimina o papel pois provê:
A
identidade
dos atores
Como identificar os profissionais,
pacientes, prestadores que acessam o sistema?
A
autoria
das informações
Quem originou essa informação?
A
integridade
dos dados
A informação foi adulterada?
Amparo Legal
Validade jurídica
Amparo legal MP 2200-2/2001
“§ 1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de
processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 - Código Civil.”
PL 7316
Amparo Legal
Suporte CFM
Resolução No 1821/07- publicada em 23/11/07
Art. 3° Autorizar o uso de sistemas informatizados para a
guarda e manuseio de prontuários de pacientes e para a troca de informação identificada em saúde, eliminando a
obrigatoriedade do registro em papel, desde que
esses sistemas atendam integralmente aos requisitos do “Nível de garantia de segurança 2 (NGS2)”, estabelecidos no Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde;
– NGS2 - categoria ... que viabilizam a eliminação do papel ... utilização de certificados digitais ICP-Brasil para os processos de assinatura e autenticação.
Art. 11 Ficam revogadas as Resoluções CFM nos
Amparo Legal
Suporte ANS – TISS
RN No. 153 (28/05/2007)
CAPÍTULO VI - DA SEGURANÇA E DA PRIVACIDADE
Art. 9º Para as transmissões remotas de dados identificados, os sistemas deverão possuir um certificado digital ... ICP-Brasil, a fim de garantir a identidade do sistema.
O Certificado
Equivale a um documento de
identificação (RG/CRM/COREN/OAB)
É emitido por entidades autorizadas
ICP-Brasil
Precisa da validação presencial – exigência ICP-Brasil
Pode identificar pessoa ou empresa
PF PJ
O Certificado
Possui data de validade
Essa informação está no próprio certificado Pode ser revogado pelo proprietário
Essa informação é publicada em uma lista de certificados revogados pela Autoridade
Certificadora que o emitiu Senha
No momento da emissão o usuário precisa definir uma senha de uso
O Certificado
Pode ser usado para
Controle de acesso portais Internet sistemas de computadores Assinatura Prontuários Laudos Prescrições Guias Contratos I.R. ...
Como Funciona
Instalar os drivers do smartcard, leitora ou token no computador a ser utilizado
Utilizar programas com rotinas específicas de manipulação de certificados digitais
No momento da assinatura, ou do acesso ao sistema, o usuário introduz o cartão e será solicitada a senha do mesmo (como um
cartão de banco)
Nesse momento é realizado um
processamento criptográfico dentro do cartão/token, que assina, criptografa ou autentica o usuário
Como Funciona
Validação
Equivale ao “reconhecimento de firma”
Pode ser realizado por qualquer pessoa, a qualquer momento, por meio do uso de
programas específicos Certifica
Que o documento não foi adulterado
Que a assinatura estava válida (não vencida nem revogada) no momento da aposição
Eliminação do Papel
Já existente
Processo de GED
Documento nasce eletrônico
Quem está usando
SRF – Receita Federal
Para PFs Para PJs
Nota Fiscal Eletrônica - SEFAZ
Bancos
SPB
Autenticação no Internet Banking Assinatura de contratos
Cartórios
Certidões
Juízes
Recursos (STF)
Peças e atos – autos Petições (e-pet STJ)
Saúde
ABNT
Comissão Especial de Estudos em Informática em Saúde
4 grupos de trabalho GT 1 – Modelos GT 2 – Interoperabilidade GT 3 – Conceitos (terminologias) GT 4 – Segurança Objetivos
Traduzir e adaptar as normas internacionais do ISO TC-215 (Health Informatics)
Propor e colaborar com a elaboração de normas internacionais ISO TC-215
Necessita da colaboração nos estudos e trabalhos por participação voluntária
Com suporte do Ministério da Saúde, RIPSA, OPAS e ANS
ISO TC-215
Principais trabalhos em discussão no WG-4 Security ISO/TC-215 (Health Informatics)
ICP e Autoridade de Atributos
Gestão de Segurança da Informação
Segurança na comunicação de registros Pseudonimização
Riscos de TI Arquivamento
SBIS
Sociedade Brasileira de Informática em Saúde
SBIS
Fundada em 1986
600 sócios – participação multidisciplinar Ações
Pesquisa
Congresso Brasileiro de Informática em Saúde Revista
Aplicações
Simpósio Prontuário Eletrônico do Paciente - PEP
Desenvolvimento e Divulgação de Padrões Ensino
Convênio SBIS-CFM
Certificação de Sistemas de Registro
Eletrônico de Saúde
Desenvolvimento do Manual de Certificação Processo Requisitos Avaliação Selo SBIS-CFMConvênio SBIS-CFM
Suporte na definição CRM-Digital
CFM entende a importância do uso de certificados digitais ICP-Brasil
Privacidade
Eliminação do papel
Viabilização de certificados e aplicativos para a classe médica
Suporte nas resoluções de segurança,
privacidade e eliminação do papel
Novo Manual SBIS-CFM
Novo Manual
Baseado em padrões nacionais e internacionais
ISO TC-215, ISO JTC1/SC27, HL7 CNS, TISS, ICP-Brasil, ABNT
Categorias de certificação Sistemas Assistenciais
Sistemas SADT GED
Novo Manual SBIS-CFM
Requisitos especificados no novo manual
Segurança
Estrutura e Conteúdo Funcionalidades
TISS
Requisitos de segurança: 2 níveis
1º (NGS1) é obrigatório para todos os sistemas 2º (NGS2) é opcional para sistemas
Novo Manual SBIS-CFM
Nível de Garantia de Segurança 1
(NGS1)
Controle de versão de software
Identificação e autenticação de usuário Controle de sessão de usuário
Autorização e controle de acesso Disponibilidade
Canais de comunicação Segurança de dados
Auditoria
Novo Manual SBIS-CFM
Nível de Garantia de Segurança 2
(NGS2)
Certificação digital ICP-Brasil Assinatura digital
Autenticação de usuário
Nova Resolução CFM
Art. 1º Aprovar o novo manual SBIS-CFM Art. 2º Autorizar a digitalização dos
prontuários
Art. 3° Autorizar o uso de sistemas
informatizados para a guarda e manuseio de prontuários de pacientes e para a troca de
informação identificada em saúde, eliminando a obrigatoriedade do registro em papel, desde que esses sistemas atendam integralmente aos requisitos do “Nível de garantia de
Nova Resolução CFM
Anuncia o CRM-Digital
Art. 5º Como o “Nível de garantia de segurança 2
(NGS2)”, exige o uso de assinatura digital, e
conforme os artigos 2º e 3º desta resolução, está autorizada a utilização de certificado digital padrão ICP-Brasil, até a implantação do CRM Digital pelo CFM ...
Art. 10 Estabelecer que o Conselho Federal
de Medicina (CFM) e a Sociedade Brasileira de Informática em Saúde (SBIS), mediante convênio específico, expedirão selo de
Nova Resolução CFM
No 1821/07- publicada em 23/11/07
Revoga a Resolução CFM n.º 1639, de 10 de julho de 2002
Art. 11 Ficam revogadas as Resoluções CFM nos
1.331/89 e 1.639/02, e demais disposições em contrário
Já aprovada na plenária geral do CFM Será publicada após finalização do novo manual SBIS-CFM em novembro de 2007
Conclusões
Padrões são fundamentais para propiciar interoperabilidade e evitar retrabalhos.
Há muito a evoluir nas questões da segurança da informação para a área de saúde no mundo.
No Brasil, há recentes esforços do MS, ANS, CFM, SBIS e ABNT.
O processo de certificação de software SBIS-CFM iniciou a atenção pelo aplicativo, sendo as questões de segurança do ambiente ainda importantes.
O Brasil precisa aperfeiçoar a legislação e
Convite
Simpósio de Padrões em Informática
em Saúde 2008 – ABNT/CEE-IS
Estado da Arte e Desafios
16 a 19 de julho de 2008, São Paulo
16/07 – Tutoriais (HL7, Certificação SBIS, Segurança, ...)17/07 – Modelos (Don Nesham –
HealthInfoway) e Padrões (Ed Hammond) 18/07 – Terminologia e Segurança
