faz parte da divisão Informa Markets da Informa PLC

Este site é operado por uma empresa ou empresas de propriedade da Informa PLC e todos os direitos autorais residem com eles. A sede da Informa PLC é 5 Howick Place, Londres SW1P 1WG. Registrado na Inglaterra e no País de Gales. Número 8860726.

Políticas de privacidade dos softwares de gestão: cuidados que vão além do óbvio

alvaro-serrano-hjwKMkehBco-unsplash.jpg

Os contratos, em geral, são conhecidos por serem extensos e muita gente não se dá ao trabalho de ler com atenção todos os seus detalhes, o que pode gerar dor de cabeça no futuro. No entanto, para alguns setores, como o de Saúde, esse (mau) hábito pode ser arriscado. Ao fechar um contrato com uma empresa de software de gestão, por exemplo, uma clínica ou policlínica deve atentar-se a todos os pormenores, sobretudo às políticas de privacidade.

No momento em que a LGPD ganha força, inclusive com a aplicação de penalidades diante do seu descumprimento, é de suma importância levar as políticas de privacidade a sério. Não raro, existem até cláusulas que permitem a venda de informações de pacientes a campanhas publicitárias de farmácias e empresas farmacêuticas, por exemplo. “A maioria dos serviços de saúde e das operadoras de planos de saúde não está ‘em compliance’ [em conformidade] com a questão fundamental da segurança da informação. É comum ver o prontuário de pacientes escancarado em uma tela que permite cópia e compartilhamento”, conta Enio Salu, consultor e professor em planejamento em saúde, contratos, gestão comercial, controladoria, projetos, processos e TI.

Segundo Enio, o problema é mais sério do que colocar enquetes de aceitar cookies em sites ou declarar que os dados não serão vendidos. “As regras simples, que podem ser aplicadas em outros segmentos de mercado, não se aplicam à Saúde, que tem particularidades que envolvem a ética médica”, alerta o especialista.

Agir com transparência

Atuar de acordo com a lei não só é o correto a se fazer como é a melhor forma de manter a reputação de uma empresa. A automação de processos burocráticos e de atendimento, como a telemedicina, pode ser um grande facilitador, mas demanda atenção sobre os dados de pacientes

“Quando o prontuário é em papel, o serviço de saúde disponibiliza apenas a parte do documento que diz respeito ao atendimento do paciente. Por exemplo, a última internação, cuja conta está sendo auditada. Mas, quando o acesso é eletrônico, o auditor externo tem acesso à vida do paciente no hospital, porque os processos não selecionam apenas o período referente à conta para acesso”, explica Enio Salu. Muitos sistemas, aliás, nem mesmo dão essa possibilidade: a regra é conceder permissão para uma funcionalidade do sistema.

O correto, segundo o especialista, é dar acesso à funcionalidade, mas apenas aos dados do paciente no período em que a conta se refere. “Na prática, o auditor externo, que pode nem ser um funcionário da operadora, mas de uma empresa contratada, consegue ver dados de qualquer pessoa, ‘xeretar’ o histórico de todos os pacientes de um médico”, alerta.

Daí a importância de escolher empresas que prezem pela segurança absoluta das informações e isso começa pelo respeito à transparência no contrato.

Não pode faltar

De acordo com Salu, ao formalizar um contrato, o serviço de saúde e a operadora de planos de saúde devem se certificar de que o sistema de informação:

* Tenha os parâmetros que permitem a utilização segura, não autorizando a consulta de dados não inerentes ao relacionamento entre as partes;

* Possua sistemas de alerta que sinalizem quando evidências do mau uso esteja ocorrendo, além de guardar logs de consulta;

* Impeça que o agente externo (no caso o auditor) tenha a possibilidade de copiar dados para qualquer tipo de mídia, compartilhar dados por e-mail e redes sociais;

* Notifique o paciente (ou responsável pelo paciente) caso o sistema tenha alguma dessas vulnerabilidades. “Ele tem o direito de saber que seus dados podem ser disponibilizados para terceiros, dentro e/ou fora do serviço, e que não existem mecanismos de proteção que garantam que esses dados não serão utilizados indevidamente”, explica Enio.

Cuidados legais

Existem, ainda, três cuidados fundamentais a serem tomados e que devem estar explícitos nos contratos:

1. O que envolve a relação entre a operadora de planos de saúde e o serviço de saúde
Deve ficar clara a responsabilidade da operadora em relação ao vazamento de dados que pode ocorrer em função da atividade de auditoria das contas na consulta aos prontuários eletrônicos.

2. O que envolve o fornecedor de software e o serviço de saúde
Deve ficar clara a responsabilidade do fornecedor que não dispõe de funcionalidades que permitam dar acesso somente aos prontuários de pacientes específicos em atendimentos específicos. Ou, então, deve estar explícito no contrato que a funcionalidade não existe, de modo que o serviço de saúde possa utilizar isso para informar a operadora que o acesso só pode ser feito de forma monitorada, ou seja, alguém do serviço consulta e disponibiliza, exclusivamente dentro do serviço de saúde.

3. O que envolve o serviço de saúde e o paciente / responsável
O serviço de saúde deve deixar claro no termo de atendimento se o prontuário é ou não protegido. É um direito do paciente ou responsável saber qual nível de proteção existe em relação aos seus dados, principalmente os do prontuário médico.

 

Saiba mais:

Telemedicina: médico formado em 2019 não está preparado

LGPD: 10 princípios para o trato das informações do paciente

Como vencer a resistência tecnológica em médicos e pacientes

Responsabilidade vai além do termo de consentimento