Autor: Afonso Nassif (Diretor de Vendas Empresariais da Intralinks Brasil)

Quais os danos causados quando informações confidenciais de pacientes são encontradas no lixo? Ou quando uma clínica envia um boletim com dados sigilosos de seus pacientes? O prejuízo vai além do financeiro, atingindo a reputação de empresas, causando problemas legais e, em muitos casos, expondo negativamente a vida de milhares de pessoas.

Hospitais e laboratórios atuam sob rígidas normas de conformidade e segurança, especialmente quando manuseiam “Informações Protegidas de Saúde” (PHI, em inglês). No entanto, não raro nos deparamos com notícias de vazamento de dados sigilosos de pacientes.

Recentes casos de vazamentos de dados
Há poucos meses, uma clínica britânica revelou, por erro, 780 nomes de pacientes com Aids através de boletim informativo eletrônico. A agência de proteção de dados britânica, ICO, pode chegar a multar a clínica em até £500 mil libras (cerca de R$3 milhões de reais) pelo vazamento dos dados.

Na Califórnia, EUA, informações confidenciais de 20 mil pacientes de um hospital foram vazadas e continuaram quase um ano online, sem ninguém se dar conta. Constatou-se que os dados saíram dos servidores de um dos prestadores de serviço do hospital. E no Brasil, há cerca de quatro anos, dados sigilosos de pacientes foram encontrados jogados na rua. Os sacos tinham papéis com nomes completos de pacientes, seus planos de saúde e os procedimentos aos quais foram submetidos.

Como estar em conformidade
Os hospitais, clínicas e laboratórios precisam de uma solução de compartilhamento de arquivos que seja segura e eficiente tanto para a colaboração interna, entre funcionários e equipe médica, quanto para a comunicação com os pacientes, na entrega de informações sobre procedimentos, diagnósticos, resultados clínicos e tratamentos.

A melhor opção para manter os dados seguros durante todo seu ciclo de existência são as soluções corporativas de compartilhamento, que criptografam os arquivos automaticamente e permitem controle sobre quem os acessa, quando e como. Também é possível controlar direitos e permissões de acesso no nível de documento, incluindo download, edição e impressão. Por exemplo: é possível evitar que um destinatário imprima e reencaminhe um documento, ou apenas permitir que o documento seja visualizado dentro de um período de tempo definido.

Ao avaliar o que a solução deve conter, as empresas do setor devem se atentar também para suporte para conformidade com HITECH- lei norte-americana de Tecnologia de Informação de Saúde para a Saúde Econômica e Clínica e HIPAA – Lei de Portabilidade e Responsabilidade em Seguros de Saúde- incluindo acordo de parceiros comerciais com a HIPAA. É igualmente importante o suporte para relatórios configuráveis de risco e conformidade, auditoria de clientes e teste de detecção de intrusos.

Empresas da área da saúde devem ter em mente que informações de exames e tratamentos pertencem aos pacientes, são privadas e confidenciais. A garantia da preservação dessas informações, além de uma obrigação legal contida no Código Penal e no Código Civil é um dever de todas as instituições.

Fonte: Risk Report