SlideShare uma empresa Scribd logo

Artigo renato goncalves da silva - 13 seg

R
renatogonca

Artigo sobre Riscos em um ambiente de PACS e como as normas da família ISO 27000 podem contribuir para diminuir ou mitigar os riscos.

Educação
1 de 18
Baixar para ler offline
GESTÃO EM SEGURANÇA DA INFORMAÇÃO OS RISCOS DE FALHAS HUMANAS EM UM AMBIENTE DE PACS Renato Gonçalves da Silva, RM 39705 renatogonca@ig.com.br Orientador: Prof. Gianni Ricciardi RESUMO A medicina tem avançado consideravelmente com o uso da tecnologia. Todas as especialidades dentro desta ciência têm percebido vantagens na utilização da tecnologia e as possibilidades que estas trazem ao seu exercício. A Radiologia é uma das especialidades médicas que mais avanços teve nos últimos anos. Equipamentos avançados possibilitando gerar imagens que exibam cada detalhe da anatomia do paciente para auxiliar a análise e o diagnóstico por parte do Radiologista; monitores de alta resolução que possibilitam a visualização de micro fissuras; links robustos e estáveis, trazendo a possibilidade de implantação de centrais de laudos onde é possível manter especialistas em um único local fornecendo laudos para vários hospitais e ambulatórios espalhados trazendo com isso uma redução de custo, entre tantas outras possibilidades. No meio de tantas facilidades trazidas pelas inovações tecnológicas faz-se necessário pensar em como incluir e manter a segurança da informação como um dos pilares do projeto. KOBAYASHI e FURUIE citam em seu artigo apresentado no X Congresso Brasileiro de Informática em Saúde que “com a disseminação dos sistemas informatizados para a área de saúde, a questão da segurança da informação passa a assumir uma importância cada vez mais crucial.” Essa importância citada deve estar no contexto dos sistemas de saúde utilizados e também nos processos e procedimentos realizados. A integridade da informação deve ser garantida desde a entrada dos dados do paciente no Hospital Information System (HIS) ou Radiology Information System (RIS), passando pela correta identificação do paciente no momento da realização do exame até chegar à última etapa do processo onde se assina o laudo. Para que isso seja possível AZEVEDO- MARQUES cita serem necessários dois pré-requisitos: uma estrutura adequada (redundante e balanceada) e padrões de comunicação bem definidos, porém esses dois pré-requisitos tem o foco na estrutura ou em sistemas, não em processos. Todas as etapas manuais e todas as interfaces geradas devem ter por foco a segurança, para que o paciente obtenha sempre o laudo correto para que sua avaliação clínica seja sempre adequada. Este artigo pretende trazer uma reflexão sobre as falhas humanas possíveis de ocorrerem dentro do processo e demonstrar como normas e procedimentos que privilegiam a segurança da informação podem contribuir para que o resultado final do processo esteja de acordo com o esperado. Palavras-chave: Segurança da informação em PACS.
ABSTRACT Medicine has advanced considerably with the use of technology. All specialties within this science have realized the advantages of using technology and the possibilities they bring to the exercise. Radiology is a medical specialty that most of the advance had in recent years. Advanced equipment allowing to generate images that show every detail of anatomy patient to assist the analysis and diagnosis by the Radiologist, high-resolution monitors that allow the visualization of micro cracks, robust and stable links, bringing the possibility of implanting centers reports where you can keep specialists in one location providing reports to various hospitals and clinics around bringing with it a cost reduction, among many other possibilities. Amongst all the facilities brought by technological innovation is necessary to think about how to add and maintain information security as one of the pillars of the project. KOBAYASHI and FURUIE reported in their article presented at the X Brazilian Congress of Informatics in Health that "The increasing adoption of information systems in healthcare leads to a scenario where information security plays a crucial." This importance should be mentioned in the context of health systems and also used in the processes and procedures. The integrity of information must be guaranteed since the entry of patient data at the Hospital Information System (HIS) or Radiology Information System (RIS), to the correct patient identification at the time of the exam until the last step of the process where signs the report. To make this possible AZEVEDO-MARQUES quotes are two necessary prerequisites: an appropriate structure (redundant and balanced) and well defined communication patterns, but these two prerequisites must focus on the structure or systems, not processes. All manual steps and all interfaces should be generated by focusing on security, so that patients always receive the award for its correct clinical evaluation is always appropriate. This article aims to bring a reflection on the possible human errors occur in the process and demonstrate how standards and procedures that emphasize information security can contribute to the outcome of the process is in line with expectations. Keywords: Information security in PACS. INTRODUÇÃO Picture Archiving and Communication System (PACS) ou Sistema de Comunicação e Armazenamento de Imagens são dispositivos de aquisição de imagem, unidades de armazenamento, processamento computacional e banco de dados de imagens médicas integrados em rede (COSTA, 2008, p. 13) possibilitado a consulta das imagens por toda equipe médica de um hospital ou uma clínica médica. O PACS não é uma tecnologia considerada tão recente, em meados de 1982 os radiologistas já conversavam sobre este assunto (TONG, 2009, p. 3).
Os sistemas baseados em PACS evoluíram exponencialmente e seu uso passou a ser considerado estratégico em várias unidades de saúde por trazerem várias vantagens sobre o tradicional sistema analógico. As vantagens mais perceptíveis são a manutenção de um histórico dos pacientes da unidade de saúde onde todas as imagens deste paciente estão armazenadas possibilitando que o médico radiologista veja não apenas os laudos já emitidos, mas também as imagens geradas anteriormente o que permite a comparação do exame em estudo, com exames anteriormente realizados e diagnosticados, existentes na base de dados (JUNIOR, 2007, p. 1). Isso traz possibilidades de comparação não existentes no sistema analógico e a diminuição de lixo químico gerado pelo processo analógico trazendo um ganho no que se refere a questões ambientais. Com o processo digital sendo realizado pouco se imprime, pois as imagens podem ser visualizadas em estações de visualização, e o que se imprime é de material muito menos poluente do que as películas utilizadas no processo analógico. Com a crescente expansão no uso de PACS por unidades de saúde há uma preocupação em como garantir a segurança da informação dentro do processo, neste caso as informações são: dados do paciente, imagem do exame realizado e laudo. (NOBRE, 2007) já demonstrou a preocupação com a segurança dentro do processo em seu artigo desenvolvido em 2007: Certificação Digital de Exames em Telerradiologia: Um Alerta Necessário. “[...] Esta tendência torna necessária a divulgação e o esclarecimento de conceitos como a certificação digital, a criptografia de dados na internet, a confiabilidade de sites, o documento eletrônico confiável e a assinatura digital.” (NOBRE, 2007, p. 415). Preocupação já observada também por (KOBAYASHI, 2006) em um artigo apresentado no X Congresso Brasileiro de Informática em Saúde: Segurança em Imagens Médicas: uma Revisão. “[...] o comprometimento da confiabilidade de tais informações pode minar a credibilidade das instituições de saúde e prejudicar a pesquisa, na medida em que dados incorretos levarão naturalmente a diagnósticos e resultados incorretos”. (KOBAYASHI, 2006, p. 773).
Este artigo pretende trazer uma reflexão sobre a segurança da informação que deve ser inserida no escopo do projeto relatando que muito da preocupação com segurança da informação precisa ser inserida dentro dos softwares, interfaces e infra-estrutura a fim de garantir confidencialidade, integridade e disponibilidade que são os requisitos básicos da segurança da informação segundo as normas ISO/IEC 27001:2006 e ISO/IEC 27002:2005 de acordo com a Associação Brasileira de Normas Técnicas – ABNT, mas muito desta preocupação deve ser inserida nos processos e conscientização das pessoas através de políticas, normas e procedimentos bem definidos e divulgados, o que é possível através de um bom sistema de gestão da segurança da informação utilizando como principal referência os requisitos da norma ISO/IEC 27001:2006 (KROLLI, 2010, p. 2). Segurança da informação se insere em duas áreas de conhecimento: a Ciência da Informação e a Ciência da computação (PEREIRA, 2010, p. 71). Deve, portanto, fazer parte da mentalidade das organizações de saúde que buscam uma solução de PACS a criação e implementação de políticas, normas e procedimentos de segurança da informação devendo também realizar um trabalho consistente através de treinamentos para conscientização das pessoas envolvidas sobre a importância deste assunto. “[...] O usuário precisa estar comprometido com a proteção da informação na organização para qual ele trabalha como funcionário ou prestador de serviço. O usuário é o elemento que faz a diferença para que o processo de segurança exista de forma eficaz. Para tanto ele precisa ser treinado e conscientizado. Isto acontecendo, o usuário sairá do estágio de envolvimento com a segurança para o estágio de comprometimento.” (FONTES, 2008, p. 186). 1. A entrada de dados e a realização do exame O sistema utilizado em unidades de saúde sejam hospitais, ambulatórios ou clínicas são chamados de Hospital Information System (HIS), sistema responsável por gerenciar, armazenar e prover acesso a diversas informações de pacientes (SALOMÃO, 2010, p. 17), sendo os exames radiológicos solicitados dentro de um módulo do HIS ou através do Radiology Information System (RIS), sistema concebido para controlar
processos como geração e agendamento de exames, manutenção e geração de laudos e relatórios (SALOMÃO, 2010, p. 18). A criação de uma interface entre o HIS ou RIS com os sistemas de PACS e as modalidades é fundamental para que a segurança da informação seja alcançada já no início do processo. A criação dessa interface favorece a não ocorrência de erros nos dados dos pacientes quando da realização do exame, pois todos os dados necessários estarão inseridos automaticamente nas modalidades e no sistema de PACS a partir dos dados cadastrados no HIS/RIS. Como instrui a Sociedade Brasileira de Informática em Saúde (SBIS) em seu Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (2009, p. 14) o Health Level Seven (HL7) é o padrão mais utilizado para intercâmbio de dados na área da saúde no cenário internacional, sendo o padrão que deve ser seguido para manter a interoperabilidade entre os sistemas. A SBIS também inclui em seu manual uma série de recomendações para Sistemas de Registro Eletrônico em Saúde (S-RES) tendo por finalidade que os sistemas utilizados na área de saúde sigam recomendações que garantam a segurança da informação e estejam mais bem preparados para futuras integrações que se tornem necessárias. O Manual de Certificação de Informática em Saúde procura também reforçar a necessidade de seguir alguns controles que fazem parte da norma ISO/IEC 27001:2006 fazendo relações com os Requisitos de Níveis de Garantia de Segurança detalhados no manual. Não é objetivo de esse artigo detalhar as cláusulas, objetivos de controles da norma ou as recomendações sugeridas no Manual da SBIS e sim realizar uma reflexão sobre a segurança da informação em um ambiente de PACS, porém no decorrer do artigo alguns controles serão detalhados no intuito de dar mais fundamento à reflexão realizada para o desenvolvimento deste artigo. A garantia que os dados sejam inseridos corretamente no HIS/RIS e transmitidos sem alterações ao PACS deve ser realizada com a preocupação de ter integridade nos dados.
Esta etapa do processo, a solicitação do exame, pode ser realizada por vários tipos de profissionais dependendo do quanto está informatizada a unidade de saúde. A solicitação do exame ficará a cargo do próprio médico que fará esta solicitação diretamente no HIS/RIS ou será realizada através de um formulário que será encaminhado a uma recepção ou um escriturário para que este faça a solicitação eletrônica do exame. Este segundo cenário é o que mais facilita a possibilidade de falhas humanas. Normalmente os formulários preenchidos trazem uma caligrafia de difícil leitura possibilitando a leitura incorreta e conseqüentemente um cadastro errado. É importante a unidade de saúde implantar em seu procedimento a utilização de etiquetas emitidas pelo HIS/RIS com os dados do paciente para que esta possa ser colada no formulário e que o formulário utilizado contenha todos os procedimentos possíveis de serem solicitados impressos para que o médico possa apenas fazer uma marcação no procedimento desejado. Os formulários de solicitação de exames trazem dados do paciente os quais devem ser conferidos e validados antes da entrada dos mesmos no sistema, portanto deve haver um procedimento e um processo de educação permanente para que a recepção, ou a área responsável por essa entrada de dados, realize uma conferência dos dados. A unidade de saúde deve inserir em seu procedimento a validação das informações que pode ser realizada através da solicitação de um documento de identidade do paciente, para confirmação dos dados pessoais e através de questionamento ao paciente sobre qual foi o procedimento solicitado pelo seu médico, para que a informação seja validada com o que foi identificado no formulário de solicitação de exame. Percebe-se que este processo é manual e qualquer implementação de segurança nesta etapa será através de procedimentos, não de sistema. Este objetivo só será alcançado através da conscientização dos participantes do processo o que será possível atendendo a normativa da Associação Brasileira de Normas Técnicas – ABNT. “[...] cláusula 5.2.2: Treinamento, Conscientização e Competência: A organização deve assegurar que todo o pessoal que tem
responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas. (ISO/IEC 27001, 2006, p. 10). O HIS/RIS também pode contribuir cumprindo os requisitos do objetivo de controle A.12.2 da norma: Processamento correto de aplicações: Validação dos dados de entrada (ISO/IEC 27001, 2006, p. 26). Uma forma de validar os dados é verificando, por exemplo, que o campo gravidez não seja preenchido no caso do paciente ser do sexo masculino. Ao finalizar a entrada dos dados o HIS/RIS deve integrar com a próxima etapa do processo, as modalidades e o PACS, tendo garantida a integridade dos dados neste momento onde haverá comunicação entre diversos sistemas diferentes. A integração dos sistemas traz a vantagem de não haver necessidade de nenhum processo posterior ao primeiro atendimento entrar com dados manuais, minimizando a possibilidade de erros de digitação. Os dados do paciente e o procedimento realizado estarão disponíveis nos outros sistemas e nas modalidades radiológicas bastando haver uma pesquisa na listagem de pacientes recebidos por estes. No PACS, assim como qualquer sistema, os pacientes recebem um código de identificação. Este código deve ser mantido o mesmo sem sofrer alteração em todas as consultas do paciente que pode fazer um ou mais exames a cada consulta. Sistemas de comunicação e armazenamento de imagens possuem um código para identificar cada exame realizado pelo paciente, código chamado de Accession Number, o qual é um código único para diferenciar cada exame realizado e nunca será repetido. Quando não há integração de sistemas o técnico de radiologia irá digitar no console do equipamento a ser utilizado para realização do exame os dados do paciente, podendo digitar dados diferentes dos que foram cadastrados no HIS/RIS e irá criar manualmente um Accession Number, podendo inserir um código já utilizado ou um código que não coincide com o código correto. Com a integração entre os sistemas não haverá a necessidade de entrada de dados nesta etapa do processo, apenas a pesquisa em uma listagem de
pacientes chamada de worklist, o que além de garantir uma agilidade maior no fluxo de atendimento ao paciente, minimiza o risco de erro. Com a integração entre sistemas tem-se garantida a integridade das informações, mas neste momento há uma necessidade manual de se garantir a segurança da informação no processo e volta-se a reflexão sobre a necessidade de procedimentos bem definidos e bem conscientizados pelos profissionais. Ao receber o paciente, o que normalmente ocorre após uma entrevista chamada de anamnese que é realizada por um profissional da enfermagem, o técnico responsável pela realização do exame deve garantir que os dados obtidos na tela de comando do equipamento sejam realmente do paciente que ele está recebendo. Deve-se, portanto, estar inserido no procedimento a realização de quatro perguntas a serem realizadas pelo técnico ao paciente: nome completo, data de nascimento, nome da mãe e procedimento a ser realizado. O objetivo de controle A.10.1 Procedimentos e Responsabilidades Operacionais, detalha sobre a necessidade de ter documentação dos procedimentos de operação. Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitam (ISO/IEC 27001, 2006, p. 19). Sendo identificado que alguma das respostas não coincide com as informações recebidas anteriormente deve-se verificar se o paciente recebido não é o paciente esperado ou se houve algum erro de cadastro no processo anterior. Não é recomendável confirmar com o paciente citando as informações encontradas no cadastro. O paciente pode confirmar mecanicamente as informações citadas por distração ou tensão devido ao exame que está prestes a realizar e com isso o erro não seria percebido. Ocorrendo erro no cadastro este deve ser corrigido no HIS/RIS antes da realização do exame para que a correção seja replicada aos sistemas que possuem integração e com isso as imagens geradas tenham as informações corretas.
Sendo confirmada a troca de paciente deve-se substituir o paciente errado pelo correto ou verificar se o paciente atendido tem uma solicitação aberta com dados gerados no worklist e realizar o procedimento adequado. Neste ponto há que se observarem as diferentes maneiras de se realizar o exame. Equipamentos digitais utilizam o protocolo Digital Imaging and Communications in Medicine (DICOM). “[...] O padrão DICOM foi desenvolvido sob orientação da National Eletric Manufactures Association (NEMA) [...]. É um protocolo para manuseio, armazenamento, impressão e transmissão de imagens médicas [...] desenvolvido para operação em redes tipo TCP/IP. (FONSECA, 2008, p. 30). O uso desse protocolo permite o envio das imagens automaticamente da modalidade utilizada. Equipamentos como Ressonância Magnética, Tomografia Computadorizada possuem este protocolo, assim como muitos equipamentos de Ultrassom, Densitometria Óssea, por exemplo. Equipamentos analógicos precisam que alguma adaptação seja realizada para que possa realizar o armazenamento e a transmissão das imagens. Esta adaptação pode ser a inclusão de um computador com placa de captura de vídeo para receber imagens dos equipamentos ou a inclusão de um periférico chamado DICOM BOX que faz a mesma função. Em alguns casos essas imagens são armazenadas simplesmente como histórico, não tendo qualidade suficiente para realização de diagnóstico, devendo o estudo ser observado utilizando a imagem na tela do equipamento médico no momento do exame e dessa maneira, segundo (MAIA, 2006, p. 37), é possível computadorizar um equipamento obsoleto e estender sua vida útil. Muitas unidades de saúde que implantam PACS mantêm em uso os equipamentos de Raios-X e Mamografia analógicos que já possuem. Estas unidades de saúde adquirem equipamentos CRs e Chassis de fósforo para poderem, mesmo com equipamentos analógicos, utilizarem a tecnologia do PACS. Os chassis de fósforo substituem as chapas analógicas utilizadas nos exames de Raio-X convencional. O chassi receberá o laser armazenando a imagem em seu interior. Os chassis são levados à sala de equipamentos para serem lidos pelo CR. O CR realiza a leitura da imagem
que está no chassi de fósforo apagando-a em seguida para que este possa ser utilizado em um próximo exame. Na tela do CR o técnico de radiologia terá a possibilidade de trabalhar a imagem para que esta seja enviada ao PACS. Há um grande risco operacional de erro na realização desses exames sendo possível realizar a leitura do chassi em um paciente que não é o correto. Uma forma de evitar o erro é a conferência dos dados com o paciente antes de qualquer procedimento. Logo após a conferência deve-se realizar o vínculo do chassi a ser utilizado com a solicitação de exame do paciente e após isso realizar o procedimento. Finalizando o procedimento não haveria mais risco de troca, pois na leitura do chassi a imagem iria para o paciente indicado. Qualquer que seja a modalidade é necessário que as imagens e sua qualidade sejam conferidas logo após a realização do procedimento. Isto é feito pelo próprio técnico de radiologia. Estando dentro dos padrões de qualidade recomendados as imagens são transmitidas ao PACS e a partir deste momento estarão disponíveis para visualização por qualquer médico da unidade que possua estação de visualização. Esta etapa do processo se mostra também bastante crítica e é importante mostrar a diferença do processo analógico com o processo digital. Unidades de saúde que não possuem PACS realizam a maior parte dos procedimentos exatamente da mesma maneira que uma unidade de saúde informatizada. Talvez a grande diferença seja a dinâmica e a rapidez com que as informações estarão disponíveis para o corpo clínico da unidade, o que torna fundamental a preocupação com a integridade das informações. No modo analógico após todas as etapas de cadastro do paciente e realização do procedimento as imagens serão impressas, no caso de Tomografia Computadorizada e Ressonância Magnética, ou reveladas como os exames de Raio-X e Mamografia. Em Raio-X e Mamografia a qualidade da realização do procedimento só será conhecida após a revelação do filme, sendo que neste momento poderá ser percebido um
erro o que fará com que a película seja descartada e o exame seja realizado novamente. Somente após a validação que a imagem está correta esta será entregue ao paciente que retornará para sua consulta clínica. Exames realizados digitalmente possibilitam que alguns erros sejam corrigidos após o envio das imagens ao PACS. Isto traz uma vantagem ao paciente que não precisará receber uma nova radiação, mas pode trazer problemas para o processo caso não seja rapidamente verificado e corrigido. Como a imagem estará disponível para consulta logo após ser enviada ao sistema será possível que o corpo clínico as visualize antes que qualquer correção tenha sido feita. Tendo algum erro na imagem, nos dados do paciente, na lateralidade ou algum outro, haverá um risco de se tomar conclusões diagnósticas errôneas. É importante que a unidade de saúde crie um processo de Gestão de incidentes de segurança da informação e melhorias, demonstrando uma preocupação clara em identificar eventuais problemas para que possa ter o processo de melhoria continuada sempre em execução. Com a implantação de um processo de gestão de incidentes de segurança da informação a unidade de saúde também estará atendendo o objetivo de controle A.13.2 da norma ISO/IEC 27001:2006 identificando responsabilidades, aprendendo com os incidentes e coletando evidências. Além da preocupação com a integridade das informações deve-se ter muito cuidado com a confidencialidade das informações. Segundo resolução de número 1821 do Conselho Federal de Medicina (CFM, 2007) os dados contidos no prontuário do paciente ou qualquer outro dado armazenado pela unidade de saúde pertencem ao paciente e só devem ser divulgados segundo sua autorização ou a de seu responsável. Os dados devem ser visualizados dentro da unidade de saúde apenas pelos profissionais que necessitam realizar o acompanhamento ou diagnóstico do paciente. Por serem informações eletrônicas há uma terceira preocupação que não pode ser esquecida. Preocupação que fecha o tripé da segurança da
informação segundo as normas ISO/IEC 27001:2006 e 27002:2005, a disponibilidade. A imagem ou qualquer outro dado do paciente precisa estar disponível sempre que necessário pelos profissionais de saúde ou quando requisitado pelo próprio paciente. Não pode ser deixada de lado a preocupação com a infra-estrutura sendo necessário, portanto, um projeto de redundância de servidores, política sobre armazenamento de imagens, uma boa distribuição de estações de visualização, cabeamento e ativos de rede adequados, equipe de tecnologia da informação preparada para uso dessa tecnologia realizando verificações e monitoramento sobre toda a infra-estrutura desenhada, planos de recuperação de desastre e de continuidade do negócio. Os planos de recuperação de desastre e continuidade do negócio precisam ser divulgados e testados periodicamente para que seja identificado se estão realmente adequados às necessidades da organização e também se são realmente eficientes. 2. A análise da imagem e realização do laudo Após todas as etapas anteriormente citadas entra a figura do Radiologista. Este pode estar fisicamente no mesmo prédio onde foi realizado o exame do paciente ou pode estar remotamente em uma central de laudos. Aqui se percebe a importância na realização de todos os procedimentos anteriores priorizando a segurança da informação, pois o laudo emitido pelo radiologista será totalmente baseado em informações contidas nos sistemas de informação das unidades de saúde envolvidas e nos procedimentos realizados pelos participantes do processo. Erro de cadastro, identificação incorreta de lateralidade, falta de avaliação do técnico em relação à qualidade da imagem, envio da imagem para paciente errado e outros erros podem impossibilitar a realização do laudo ou possibilitar uma conclusão errada por parte do radiologista.
Nesta etapa do processo também é importante a conscientização do radiologista sobre a segurança da informação para que este contribua com algumas verificações que estão ao seu alcance. O radiologista deve realizar algumas conferências antes da realização do laudo verificando se os dados cadastrais do paciente condizem com a informação recebida com a imagem. Alguns sistemas permitem que documentos sejam anexados e transmitidos para o radiologista. Normalmente se faz isso com a anamnese e com a solicitação médica. A anamnese contribuirá para que o radiologista, mesmo distante, possa ter mais informações a respeito do paciente, pois receberá diversas informações sobre seu estado de saúde. A solicitação médica permitirá que o radiologista confira se os dados do paciente condizem com os dados visualizados no sistema, como nome, idade, sexo; também constará na solicitação médica o procedimento solicitado pelo médico clínico, o que permitirá que o radiologista avalie se a imagem e o procedimento cadastrado no PACS estão compatíveis com a solicitação; e trará uma hipótese diagnóstica ajudando o radiologista em sua investigação diagnóstica dando uma idéia do que deve ser procurado. Esta seria a última etapa do processo antes da realização do laudo e a última oportunidade de ser evitado algum erro antes da conclusão diagnóstica, portanto qualquer dado incorreto ou considerado suspeito pelo radiologista deve ser revisado e alterado caso tenha a comprovação de erro. Tendo alteração dos dados deve ser feita uma investigação para encontrar onde está a origem do erro, pois a informação incorreta já teria passado por várias etapas do processo e a identificação da origem do erro é importante para que um trabalho de reeducação seja realizado. Pode-se estender um pouco mais o processo de segurança da informação neste ponto tornando parte do processo a solicitação de uma segunda opinião por parte do emissor do laudo. Isto pode ser feito em uma determinada quantidade de laudos ou até mesmo para todos os laudos emitidos, aumentando a segurança da informação por possibilitar que um
segundo radiologista faça a conferência de todos os dados contidos nos sistemas além de possibilitar uma nova visão em relação à conclusão diagnóstica. Tendo uma segunda opinião ou não o laudo será assinado pelo radiologista. A forma mais segura de garantir a autenticidade do laudo é a utilização de assinatura através de um certificado digital que pode ser adquirido em autoridades certificadoras como Serasa Experian, CertSign, entre outras. Sendo esta a forma mais segura de garantir a autenticidade e a única forma eletrônica legalmente aceita no Brasil utilizando-se da Infra-estrutura de Chaves Públicas Brasileira (SBIS, 2009, p. 12), além disso, uma assinatura digital não permite o repúdio, isto é, o emitente não pode alegar que não realizou a ação (FERREIRA, 2008, P. 107). Tornou-se hábito a utilização de assinatura digitalizada para substituir a assinatura realizada após a impressão do laudo, porém embora uma prática comum é uma prática que pode ser questionada caso venha a ter questões judiciais envolvidas e desta forma o sistema não estará atendendo o Requisito de Nível de Segurança 2.01.01 do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde o qual detalha a utilização de certificado digital emitido por AC credenciada à ICP-Brasil para os processos de autenticação de usuários e para assinatura digital de documentos eletrônicos no S-RES (SBIS, 2009, p. 62). Com a emissão do laudo entende-se que todas as etapas do processo foram cumpridas com êxito e este laudo estará disponível para consulta do médico solicitante, do corpo clínico da unidade de saúde e do próprio paciente. Para que o processo tenha chegado ao seu final espera-se que todas as recomendações sobre a segurança da informação tenham sido seguidas e cumpridas, desvios tenham sido percebidos no decorrer do processo, tenham sido notificados e corrigidos para que a informação entregue ao final do processo seja íntegra. “[...] Para que as medidas tenham o efeito desejado devem estar enquadradas por uma política de segurança da informação que vise garantir um nível de protecção adequado e controlado, para o que é
necessário a respectiva avaliação da adequação e eficiência. (SANTOS, 2007, p. 10). Neste ponto a unidade de saúde deve manter em sua política de segurança da informação a preocupação com a disponibilidade dos dados, a qualquer momento pode ser necessária a visualização dos exames do paciente; a preocupação com a confidencialidade dos dados, respeitando o direito à privacidade do paciente e desta forma o tripé da segurança da informação, os quais são confidencialidade, no qual a informação somente pode ser acessada por pessoas autorizadas; a disponibilidade, no qual a informação ou sistema de computador deve estar disponível a quem possa acessá-la no momento em que a mesma for necessária e a integridade, que é a proteção dos dados ou informações contra modificações intencionais ou acidentais não autorizadas (NOBRE, 2011, p. 98), será alcançada. “[...] Não existem soluções de segurança perfeitas ou completas. Exige-se uma melhoria contínua.” (ARAÚJO, 2007, p. 119) Alguns controles da ISO/IEC 27001:2006 e requisitos de níveis de segurança do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde da SBIS podem e devem ser utilizados para que as necessidades de segurança da informação sejam atendidas. CONCLUSÃO A tecnologia da informação trouxe nos últimos anos uma possibilidade de contribuir com a área da saúde tornando a realização de exames de alta complexidade mais rápida, com maior comodidade para o paciente e para o médico. Este artigo apresentou uma reflexão sobre a inserção da segurança da informação nos processos que fazem parte da realização de exames radiológicos, demonstrando que embora o avanço da tecnologia nos sistemas seja muito grande há a necessidade de olhar para as pessoas
envolvidas para que estas estejam conscientes sobre a sua importância na garantia de entrega de um laudo seguro. A gestão de uma unidade de saúde deve ter atenção com a necessidade de criar e divulgar uma política de segurança da informação que forneça uma diretriz e mostre aos colaboradores sua preocupação com este assunto e a partir da política definida criar normas e procedimentos que serão conhecidos por todos para que realizem suas tarefas diárias tendo a busca da segurança em todos os seus processos. “[...] Normas e modelos de segurança apresentam práticas fundamentais para que organizações possam estar de acordo com um nível esperado de segurança.” (WAGNER, 2011, p. 17) Profissionais administrativos, profissionais técnicos e médicos devem ser treinados e envolvidos no escopo da segurança da informação sendo conhecedores da política da organização e dos riscos existentes caso os procedimentos seguros não sejam realizados com extrema atenção por estes. Não há dúvida que todo profissional da área da saúde possui a preocupação com o paciente, porém, rotinas diárias podem fazer com que os processos sejam executados de forma mecânica e tenham as validações e conferências sugeridas neste artigo esquecidas pelas pessoas que deveriam realizá-las. Dessa forma erros passarão a ocorrer aumentando o risco ao paciente. Deve haver, portanto, um monitoramento contínuo se os requisitos de segurança da informação estão sendo cumpridos e uma educação permanente para que colaboradores experientes assim como novos colaboradores estejam sempre conscientes da necessidade de seguir os procedimentos definidos pela gestão. REFERÊNCIAS ALAMU, F. O.; EMUOYIBOFARHE, O. J.; OKE, A. O. Developing a robust multimedia picture archiving and communication system. International journal of computer applications – Volume 34: Novembro, 2011.
ARAÚJO, S. C. Segurança na circulação de informação clínica. Porto: Universidade Lusíadas, 2007. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27001: Tecnologia da Informação: Técnicas de segurança: Sistema de gestão de segurança da informação: Requisitos. Rio de Janeiro, Março, 2006. ______. ISO/IEC 27002: Tecnologia da Informação: Técnicas de segurança: Código de prática para a gestão de segurança da informação. Rio de Janeiro, Agosto, 2005. AZEVEDO-MARQUES, P. M.; SALOMÃO, S. C. PACS: Sistemas de Arquivamento e Distribuição de Imagens. São Paulo: Revista Brasileira de Física Médica, 2009. CFM. Resolução 1821/2007. On-line. Disponível em: http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm. Acesso em 05 dez. 2012. COSTA, R. G.; BARBOSA, A. C. P.; BORTOLON, S. Um sistema baseado em grid para interoperabilidade de PACS distribuídos e heterogêneos. Vitória: UFES, 2008. FERREIRA, F. N. F.; ARAÚJO, M. T. Política de segurança da informação – Guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna Ltda., 2008. FONSECA, D. S. Análise do padrão HL7 para sistemas de informação hospitalares. São Paulo: USP, 2008. FONTES, E. L. G. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. JUNIOR, A. L. Uma metodologia eficiente para recuperação de exames médicos dicom por similaridade de características visuais. Florianópolis: UFSC, 2007. KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Imagens Médicas: uma revisão. São Paulo: USP, 2006. KROLLI, J.; D’ORNELLAS; M. C., FONTOURA; L. M. Desenvolvimento de sistemas de gestão da segurança da informação através da integração das normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM). Santa Maria: UFSM, 2010. MAIA, R. S. Um sistema de telemedicina de baixo custo em larga escala. Florianópolis: USFC, 2006. NATIONAL ELETRICAL MANUFACTURES ASSOCIATION. Digital Imaging and Communications in Medicine: Part 17: Explanation Information. USA, 2008.
NOBRE, A. C. S..; RAMOS, A. S. M; NASCIMENTO, T. C. Adoção de práticas de gestão de segurança da informação: um estudo com gestores públicos. Belo Horizonte: UNA, 2011. PEREIRA, S. R.; PAIVA, P. B.; TOQUETTI, L. Z. RICCI, D; LODDI, S, A. Segurança na arquitetura de sistemas informatizados. Botucatu: FATEC, 2010. SALOMÃO, S. C. Integrando Sistemas de Auxílio ao Diagnóstico no Sistema Gerenciador de Imagens Médicas. São Carlos: USP, 2010. SANTOS, A. M. R. C. Segurança nos sistemas de informação hospitalares: políticas, práticas e avaliação. Braga: Universidade do Minho, 2007. SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde. São Paulo, SBIS, 2009. NOBRE, L. F.; WANGENHEIM, A. V.; MAIA, R. S.; FERREIRA, L.; MARCHIORI, E. Certificação Digital de Exames em Teleradiologia: Um Alerta Necessário. Florianópolis: UFSC, 2007. TONG, C. K. S.; WONG, E. T. T. Governance of Picture Archiving and Communications Systems: Data Security and Quality Management of Filmless Radiology. United States of America: Information Science Reference, 2009. WAGNER, R.; Processos de desenvolvimento de software confiáveis baseados em padrões de segurança. Santa Maria: UFSM, 2011.

Recomendados

Segurança da Informação no Ambiente Hospitalar
Segurança da Informação no Ambiente HospitalarSegurança da Informação no Ambiente Hospitalar
Segurança da Informação no Ambiente Hospitalar
Marcos De Assis Pereira
 
Formação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. pptFormação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. ppt
Prof. Lobo
 
Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...
Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...
Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...
Priscila Alcântara
 
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
tdc-globalcode
 
rHB_74
rHB_74rHB_74
rHB_74
Lúcio Flávio de Magalhães Brito
 
Apresentação Saúde Digital
Apresentação Saúde Digital Apresentação Saúde Digital
Apresentação Saúde Digital
eprimecare
 
A gestao do risco hospitalar
A gestao do risco hospitalar A gestao do risco hospitalar
A gestao do risco hospitalar
Renatbar
 
Informática em saúde na uniplac
Informática em saúde na uniplacInformática em saúde na uniplac
Informática em saúde na uniplac
eduardo guagliardi
 

Recomendados

Segurança da Informação no Ambiente Hospitalar
Segurança da Informação no Ambiente HospitalarSegurança da Informação no Ambiente Hospitalar
Segurança da Informação no Ambiente Hospitalar
Marcos De Assis Pereira
 
Formação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. pptFormação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. ppt
Prof. Lobo
 
Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...
Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...
Uma Proposta de Protótipo para Apoiar o Processo de Administração de Medicame...
Priscila Alcântara
 
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
tdc-globalcode
 
rHB_74
rHB_74rHB_74
rHB_74
Lúcio Flávio de Magalhães Brito
 
Apresentação Saúde Digital
Apresentação Saúde Digital Apresentação Saúde Digital
Apresentação Saúde Digital
eprimecare
 
A gestao do risco hospitalar
A gestao do risco hospitalar A gestao do risco hospitalar
A gestao do risco hospitalar
Renatbar
 
Informática em saúde na uniplac
Informática em saúde na uniplacInformática em saúde na uniplac
Informática em saúde na uniplac
eduardo guagliardi
 
Gestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança HospitalarGestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança Hospitalar
Spark Security
 
Aula I: Informática em Saúde- UnB-FGA/Gama
Aula I: Informática em Saúde- UnB-FGA/GamaAula I: Informática em Saúde- UnB-FGA/Gama
Aula I: Informática em Saúde- UnB-FGA/Gama
Camila Hamdan
 
Grupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveisGrupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveis
Dra. Camila Hamdan
 
Cursodeseguridadpowerpoint pt
Cursodeseguridadpowerpoint ptCursodeseguridadpowerpoint pt
Cursodeseguridadpowerpoint pt
University of Miami
 
Gestão do Risco (por Carlos Henriques)
Gestão do Risco (por Carlos Henriques)Gestão do Risco (por Carlos Henriques)
Gestão do Risco (por Carlos Henriques)
Fernando Barroso
 
Tcc
TccTcc
Tcc
guest80eeab
 
Internet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e FisioterapiaInternet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e Fisioterapia
Dalvânia Santos
 
MAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACS
MAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACSMAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACS
MAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACS
ricardogomesti
 
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info
 
Formação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. pptFormação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. ppt
Prof. Lobo
 
Como as tecnologias emergentes estão ajudando contra a COVID-19
Como as tecnologias emergentes estão ajudando contra a COVID-19Como as tecnologias emergentes estão ajudando contra a COVID-19
Como as tecnologias emergentes estão ajudando contra a COVID-19
Gabriel Martins Dias
 
SAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docx
SAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docxSAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docx
SAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docx
Prof. Lobo
 
Interoperabilidade no setor de saúde
Interoperabilidade no setor de saúdeInteroperabilidade no setor de saúde
Interoperabilidade no setor de saúde
Jimmy Piroutek
 
vera lúcia mendes dias
vera lúcia mendes dias vera lúcia mendes dias
vera lúcia mendes dias
Sobragen-AnaisIXENENGE
 
PDF_Minicurso-1.pdf
PDF_Minicurso-1.pdfPDF_Minicurso-1.pdf
PDF_Minicurso-1.pdf
ANDERSONDIASDESOUSA1
 
Telemedicina
TelemedicinaTelemedicina
Telemedicina
tiago_sousa_864
 
Prontuário Eletrônico
Prontuário EletrônicoProntuário Eletrônico
Prontuário Eletrônico
Igor Dias
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
Erick Toledo (ET)
 
Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...
Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...
Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...
Ivomar Santos
 
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Ivomar Santos
 
Síntese da Dissertação
Síntese da DissertaçãoSíntese da Dissertação
Síntese da Dissertação
Claudio Mesquita
 
E-Books 02 - Revolução do Cuidar
E-Books 02 - Revolução do CuidarE-Books 02 - Revolução do Cuidar
E-Books 02 - Revolução do Cuidar
Revolucao do Cuidar
 

Mais conteúdo relacionado

Mais procurados

Grupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveisGrupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveis
Dra. Camila Hamdan
 

Mais procurados (7)

Gestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança HospitalarGestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança Hospitalar
 
Aula I: Informática em Saúde- UnB-FGA/Gama
Aula I: Informática em Saúde- UnB-FGA/GamaAula I: Informática em Saúde- UnB-FGA/Gama
Aula I: Informática em Saúde- UnB-FGA/Gama
 
Grupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveisGrupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveis
 
Cursodeseguridadpowerpoint pt
Cursodeseguridadpowerpoint ptCursodeseguridadpowerpoint pt
Cursodeseguridadpowerpoint pt
 
Gestão do Risco (por Carlos Henriques)
Gestão do Risco (por Carlos Henriques)Gestão do Risco (por Carlos Henriques)
Gestão do Risco (por Carlos Henriques)
 
Tcc
TccTcc
Tcc
 
Internet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e FisioterapiaInternet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e Fisioterapia
 

Semelhante a Artigo renato goncalves da silva - 13 seg

Como as tecnologias emergentes estão ajudando contra a COVID-19
Como as tecnologias emergentes estão ajudando contra a COVID-19Como as tecnologias emergentes estão ajudando contra a COVID-19
Como as tecnologias emergentes estão ajudando contra a COVID-19
Gabriel Martins Dias
 

Semelhante a Artigo renato goncalves da silva - 13 seg (20)

MAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACS
MAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACSMAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACS
MAXIMIZANDO A PRODUTIVIDADE COM A UTILIZAÇÃO DE PACS
 
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
 
Formação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. pptFormação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. ppt
 
Como as tecnologias emergentes estão ajudando contra a COVID-19
Como as tecnologias emergentes estão ajudando contra a COVID-19Como as tecnologias emergentes estão ajudando contra a COVID-19
Como as tecnologias emergentes estão ajudando contra a COVID-19
 
SAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docx
SAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docxSAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docx
SAÚDE 4^LLLLLLLLJ Inteligência artificial e saúde digital.docx
 
Interoperabilidade no setor de saúde
Interoperabilidade no setor de saúdeInteroperabilidade no setor de saúde
Interoperabilidade no setor de saúde
 
vera lúcia mendes dias
vera lúcia mendes dias vera lúcia mendes dias
vera lúcia mendes dias
 
PDF_Minicurso-1.pdf
PDF_Minicurso-1.pdfPDF_Minicurso-1.pdf
PDF_Minicurso-1.pdf
 
Telemedicina
TelemedicinaTelemedicina
Telemedicina
 
Prontuário Eletrônico
Prontuário EletrônicoProntuário Eletrônico
Prontuário Eletrônico
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...
Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...
Um protótipo Web para coleta de sinais vitais baseado em geolocalização para ...
 
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
 
Síntese da Dissertação
Síntese da DissertaçãoSíntese da Dissertação
Síntese da Dissertação
 
E-Books 02 - Revolução do Cuidar
E-Books 02 - Revolução do CuidarE-Books 02 - Revolução do Cuidar
E-Books 02 - Revolução do Cuidar
 
HFF partilha visualizador de imagem médica no SNS
HFF partilha visualizador de imagem médica no SNSHFF partilha visualizador de imagem médica no SNS
HFF partilha visualizador de imagem médica no SNS
 
Case study: Hospital Prof. Doutor Fernando Fonseca, EPE (HFF) - idioma português
Case study: Hospital Prof. Doutor Fernando Fonseca, EPE (HFF) - idioma portuguêsCase study: Hospital Prof. Doutor Fernando Fonseca, EPE (HFF) - idioma português
Case study: Hospital Prof. Doutor Fernando Fonseca, EPE (HFF) - idioma português
 
Uso da realidade aumentada como ferramenta para análise de diagnósticos médic...
Uso da realidade aumentada como ferramenta para análise de diagnósticos médic...Uso da realidade aumentada como ferramenta para análise de diagnósticos médic...
Uso da realidade aumentada como ferramenta para análise de diagnósticos médic...
 
Seminário Cidacs-Ipea Mauricio Barreto
Seminário Cidacs-Ipea Mauricio BarretoSeminário Cidacs-Ipea Mauricio Barreto
Seminário Cidacs-Ipea Mauricio Barreto
 
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
 

Último

Os editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptxOs editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptx
TailsonSantos1
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf
marlene54545
 
apostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médioapostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médio
rosenilrucks
 
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptxSlide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
edelon1
 
Responde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptx
Responde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptxResponde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptx
Responde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptx
AntonioVieira539017
 
GEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdf
GEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdfGEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdf
GEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdf
RavenaSales1
 
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfReta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
WagnerCamposCEA
 
SSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffff
SSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffffSSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffff
SSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffff
NarlaAquino
 

Último (20)

Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
 
PROJETO DE EXTENSÃO I - AGRONOMIA.pdf AGRONOMIAAGRONOMIA
PROJETO DE EXTENSÃO I - AGRONOMIA.pdf AGRONOMIAAGRONOMIAPROJETO DE EXTENSÃO I - AGRONOMIA.pdf AGRONOMIAAGRONOMIA
PROJETO DE EXTENSÃO I - AGRONOMIA.pdf AGRONOMIAAGRONOMIA
 
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfRecomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
 
Os editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptxOs editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptx
 
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf
 
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdfProjeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
Projeto de Extensão - ENGENHARIA DE SOFTWARE - BACHARELADO.pdf
 
apostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médioapostila projeto de vida 2 ano ensino médio
apostila projeto de vida 2 ano ensino médio
 
Rota das Ribeiras Camp, Projeto Nós Propomos!
Rota das Ribeiras Camp, Projeto Nós Propomos!Rota das Ribeiras Camp, Projeto Nós Propomos!
Rota das Ribeiras Camp, Projeto Nós Propomos!
 
PROJETO DE EXTENSÃO I - Radiologia Tecnologia
PROJETO DE EXTENSÃO I - Radiologia TecnologiaPROJETO DE EXTENSÃO I - Radiologia Tecnologia
PROJETO DE EXTENSÃO I - Radiologia Tecnologia
 
Seminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptxSeminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptx
 
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptxSlide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
 
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptxSlides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
Slides Lição 05, Central Gospel, A Grande Tribulação, 1Tr24.pptx
 
Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)Análise poema país de abril (Mauel alegre)
Análise poema país de abril (Mauel alegre)
 
Responde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptx
Responde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptxResponde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptx
Responde ou passa na HISTÓRIA - REVOLUÇÃO INDUSTRIAL - 8º ANO.pptx
 
GEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdf
GEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdfGEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdf
GEOGRAFIA - COMÉRCIO INTERNACIONAL E BLOCOS ECONÔMICOS - PROF. LUCAS QUEIROZ.pdf
 
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdfPROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
 
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdfReta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
Reta Final - CNU - Gestão Governamental - Prof. Stefan Fantini.pdf
 
SSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffff
SSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffffSSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffff
SSE_BQ_Matematica_4A_SR.pdfffffffffffffffffffffffffffffffffff
 
Antero de Quental, sua vida e sua escrita
Antero de Quental, sua vida e sua escritaAntero de Quental, sua vida e sua escrita
Antero de Quental, sua vida e sua escrita
 

Artigo renato goncalves da silva - 13 seg

  • 1. GESTÃO EM SEGURANÇA DA INFORMAÇÃO OS RISCOS DE FALHAS HUMANAS EM UM AMBIENTE DE PACS Renato Gonçalves da Silva, RM 39705 renatogonca@ig.com.br Orientador: Prof. Gianni Ricciardi RESUMO A medicina tem avançado consideravelmente com o uso da tecnologia. Todas as especialidades dentro desta ciência têm percebido vantagens na utilização da tecnologia e as possibilidades que estas trazem ao seu exercício. A Radiologia é uma das especialidades médicas que mais avanços teve nos últimos anos. Equipamentos avançados possibilitando gerar imagens que exibam cada detalhe da anatomia do paciente para auxiliar a análise e o diagnóstico por parte do Radiologista; monitores de alta resolução que possibilitam a visualização de micro fissuras; links robustos e estáveis, trazendo a possibilidade de implantação de centrais de laudos onde é possível manter especialistas em um único local fornecendo laudos para vários hospitais e ambulatórios espalhados trazendo com isso uma redução de custo, entre tantas outras possibilidades. No meio de tantas facilidades trazidas pelas inovações tecnológicas faz-se necessário pensar em como incluir e manter a segurança da informação como um dos pilares do projeto. KOBAYASHI e FURUIE citam em seu artigo apresentado no X Congresso Brasileiro de Informática em Saúde que “com a disseminação dos sistemas informatizados para a área de saúde, a questão da segurança da informação passa a assumir uma importância cada vez mais crucial.” Essa importância citada deve estar no contexto dos sistemas de saúde utilizados e também nos processos e procedimentos realizados. A integridade da informação deve ser garantida desde a entrada dos dados do paciente no Hospital Information System (HIS) ou Radiology Information System (RIS), passando pela correta identificação do paciente no momento da realização do exame até chegar à última etapa do processo onde se assina o laudo. Para que isso seja possível AZEVEDO- MARQUES cita serem necessários dois pré-requisitos: uma estrutura adequada (redundante e balanceada) e padrões de comunicação bem definidos, porém esses dois pré-requisitos tem o foco na estrutura ou em sistemas, não em processos. Todas as etapas manuais e todas as interfaces geradas devem ter por foco a segurança, para que o paciente obtenha sempre o laudo correto para que sua avaliação clínica seja sempre adequada. Este artigo pretende trazer uma reflexão sobre as falhas humanas possíveis de ocorrerem dentro do processo e demonstrar como normas e procedimentos que privilegiam a segurança da informação podem contribuir para que o resultado final do processo esteja de acordo com o esperado. Palavras-chave: Segurança da informação em PACS.
  • 2. ABSTRACT Medicine has advanced considerably with the use of technology. All specialties within this science have realized the advantages of using technology and the possibilities they bring to the exercise. Radiology is a medical specialty that most of the advance had in recent years. Advanced equipment allowing to generate images that show every detail of anatomy patient to assist the analysis and diagnosis by the Radiologist, high-resolution monitors that allow the visualization of micro cracks, robust and stable links, bringing the possibility of implanting centers reports where you can keep specialists in one location providing reports to various hospitals and clinics around bringing with it a cost reduction, among many other possibilities. Amongst all the facilities brought by technological innovation is necessary to think about how to add and maintain information security as one of the pillars of the project. KOBAYASHI and FURUIE reported in their article presented at the X Brazilian Congress of Informatics in Health that "The increasing adoption of information systems in healthcare leads to a scenario where information security plays a crucial." This importance should be mentioned in the context of health systems and also used in the processes and procedures. The integrity of information must be guaranteed since the entry of patient data at the Hospital Information System (HIS) or Radiology Information System (RIS), to the correct patient identification at the time of the exam until the last step of the process where signs the report. To make this possible AZEVEDO-MARQUES quotes are two necessary prerequisites: an appropriate structure (redundant and balanced) and well defined communication patterns, but these two prerequisites must focus on the structure or systems, not processes. All manual steps and all interfaces should be generated by focusing on security, so that patients always receive the award for its correct clinical evaluation is always appropriate. This article aims to bring a reflection on the possible human errors occur in the process and demonstrate how standards and procedures that emphasize information security can contribute to the outcome of the process is in line with expectations. Keywords: Information security in PACS. INTRODUÇÃO Picture Archiving and Communication System (PACS) ou Sistema de Comunicação e Armazenamento de Imagens são dispositivos de aquisição de imagem, unidades de armazenamento, processamento computacional e banco de dados de imagens médicas integrados em rede (COSTA, 2008, p. 13) possibilitado a consulta das imagens por toda equipe médica de um hospital ou uma clínica médica. O PACS não é uma tecnologia considerada tão recente, em meados de 1982 os radiologistas já conversavam sobre este assunto (TONG, 2009, p. 3).
  • 3. Os sistemas baseados em PACS evoluíram exponencialmente e seu uso passou a ser considerado estratégico em várias unidades de saúde por trazerem várias vantagens sobre o tradicional sistema analógico. As vantagens mais perceptíveis são a manutenção de um histórico dos pacientes da unidade de saúde onde todas as imagens deste paciente estão armazenadas possibilitando que o médico radiologista veja não apenas os laudos já emitidos, mas também as imagens geradas anteriormente o que permite a comparação do exame em estudo, com exames anteriormente realizados e diagnosticados, existentes na base de dados (JUNIOR, 2007, p. 1). Isso traz possibilidades de comparação não existentes no sistema analógico e a diminuição de lixo químico gerado pelo processo analógico trazendo um ganho no que se refere a questões ambientais. Com o processo digital sendo realizado pouco se imprime, pois as imagens podem ser visualizadas em estações de visualização, e o que se imprime é de material muito menos poluente do que as películas utilizadas no processo analógico. Com a crescente expansão no uso de PACS por unidades de saúde há uma preocupação em como garantir a segurança da informação dentro do processo, neste caso as informações são: dados do paciente, imagem do exame realizado e laudo. (NOBRE, 2007) já demonstrou a preocupação com a segurança dentro do processo em seu artigo desenvolvido em 2007: Certificação Digital de Exames em Telerradiologia: Um Alerta Necessário. “[...] Esta tendência torna necessária a divulgação e o esclarecimento de conceitos como a certificação digital, a criptografia de dados na internet, a confiabilidade de sites, o documento eletrônico confiável e a assinatura digital.” (NOBRE, 2007, p. 415). Preocupação já observada também por (KOBAYASHI, 2006) em um artigo apresentado no X Congresso Brasileiro de Informática em Saúde: Segurança em Imagens Médicas: uma Revisão. “[...] o comprometimento da confiabilidade de tais informações pode minar a credibilidade das instituições de saúde e prejudicar a pesquisa, na medida em que dados incorretos levarão naturalmente a diagnósticos e resultados incorretos”. (KOBAYASHI, 2006, p. 773).
  • 4. Este artigo pretende trazer uma reflexão sobre a segurança da informação que deve ser inserida no escopo do projeto relatando que muito da preocupação com segurança da informação precisa ser inserida dentro dos softwares, interfaces e infra-estrutura a fim de garantir confidencialidade, integridade e disponibilidade que são os requisitos básicos da segurança da informação segundo as normas ISO/IEC 27001:2006 e ISO/IEC 27002:2005 de acordo com a Associação Brasileira de Normas Técnicas – ABNT, mas muito desta preocupação deve ser inserida nos processos e conscientização das pessoas através de políticas, normas e procedimentos bem definidos e divulgados, o que é possível através de um bom sistema de gestão da segurança da informação utilizando como principal referência os requisitos da norma ISO/IEC 27001:2006 (KROLLI, 2010, p. 2). Segurança da informação se insere em duas áreas de conhecimento: a Ciência da Informação e a Ciência da computação (PEREIRA, 2010, p. 71). Deve, portanto, fazer parte da mentalidade das organizações de saúde que buscam uma solução de PACS a criação e implementação de políticas, normas e procedimentos de segurança da informação devendo também realizar um trabalho consistente através de treinamentos para conscientização das pessoas envolvidas sobre a importância deste assunto. “[...] O usuário precisa estar comprometido com a proteção da informação na organização para qual ele trabalha como funcionário ou prestador de serviço. O usuário é o elemento que faz a diferença para que o processo de segurança exista de forma eficaz. Para tanto ele precisa ser treinado e conscientizado. Isto acontecendo, o usuário sairá do estágio de envolvimento com a segurança para o estágio de comprometimento.” (FONTES, 2008, p. 186). 1. A entrada de dados e a realização do exame O sistema utilizado em unidades de saúde sejam hospitais, ambulatórios ou clínicas são chamados de Hospital Information System (HIS), sistema responsável por gerenciar, armazenar e prover acesso a diversas informações de pacientes (SALOMÃO, 2010, p. 17), sendo os exames radiológicos solicitados dentro de um módulo do HIS ou através do Radiology Information System (RIS), sistema concebido para controlar
  • 5. processos como geração e agendamento de exames, manutenção e geração de laudos e relatórios (SALOMÃO, 2010, p. 18). A criação de uma interface entre o HIS ou RIS com os sistemas de PACS e as modalidades é fundamental para que a segurança da informação seja alcançada já no início do processo. A criação dessa interface favorece a não ocorrência de erros nos dados dos pacientes quando da realização do exame, pois todos os dados necessários estarão inseridos automaticamente nas modalidades e no sistema de PACS a partir dos dados cadastrados no HIS/RIS. Como instrui a Sociedade Brasileira de Informática em Saúde (SBIS) em seu Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (2009, p. 14) o Health Level Seven (HL7) é o padrão mais utilizado para intercâmbio de dados na área da saúde no cenário internacional, sendo o padrão que deve ser seguido para manter a interoperabilidade entre os sistemas. A SBIS também inclui em seu manual uma série de recomendações para Sistemas de Registro Eletrônico em Saúde (S-RES) tendo por finalidade que os sistemas utilizados na área de saúde sigam recomendações que garantam a segurança da informação e estejam mais bem preparados para futuras integrações que se tornem necessárias. O Manual de Certificação de Informática em Saúde procura também reforçar a necessidade de seguir alguns controles que fazem parte da norma ISO/IEC 27001:2006 fazendo relações com os Requisitos de Níveis de Garantia de Segurança detalhados no manual. Não é objetivo de esse artigo detalhar as cláusulas, objetivos de controles da norma ou as recomendações sugeridas no Manual da SBIS e sim realizar uma reflexão sobre a segurança da informação em um ambiente de PACS, porém no decorrer do artigo alguns controles serão detalhados no intuito de dar mais fundamento à reflexão realizada para o desenvolvimento deste artigo. A garantia que os dados sejam inseridos corretamente no HIS/RIS e transmitidos sem alterações ao PACS deve ser realizada com a preocupação de ter integridade nos dados.
  • 6. Esta etapa do processo, a solicitação do exame, pode ser realizada por vários tipos de profissionais dependendo do quanto está informatizada a unidade de saúde. A solicitação do exame ficará a cargo do próprio médico que fará esta solicitação diretamente no HIS/RIS ou será realizada através de um formulário que será encaminhado a uma recepção ou um escriturário para que este faça a solicitação eletrônica do exame. Este segundo cenário é o que mais facilita a possibilidade de falhas humanas. Normalmente os formulários preenchidos trazem uma caligrafia de difícil leitura possibilitando a leitura incorreta e conseqüentemente um cadastro errado. É importante a unidade de saúde implantar em seu procedimento a utilização de etiquetas emitidas pelo HIS/RIS com os dados do paciente para que esta possa ser colada no formulário e que o formulário utilizado contenha todos os procedimentos possíveis de serem solicitados impressos para que o médico possa apenas fazer uma marcação no procedimento desejado. Os formulários de solicitação de exames trazem dados do paciente os quais devem ser conferidos e validados antes da entrada dos mesmos no sistema, portanto deve haver um procedimento e um processo de educação permanente para que a recepção, ou a área responsável por essa entrada de dados, realize uma conferência dos dados. A unidade de saúde deve inserir em seu procedimento a validação das informações que pode ser realizada através da solicitação de um documento de identidade do paciente, para confirmação dos dados pessoais e através de questionamento ao paciente sobre qual foi o procedimento solicitado pelo seu médico, para que a informação seja validada com o que foi identificado no formulário de solicitação de exame. Percebe-se que este processo é manual e qualquer implementação de segurança nesta etapa será através de procedimentos, não de sistema. Este objetivo só será alcançado através da conscientização dos participantes do processo o que será possível atendendo a normativa da Associação Brasileira de Normas Técnicas – ABNT. “[...] cláusula 5.2.2: Treinamento, Conscientização e Competência: A organização deve assegurar que todo o pessoal que tem
  • 7. responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas. (ISO/IEC 27001, 2006, p. 10). O HIS/RIS também pode contribuir cumprindo os requisitos do objetivo de controle A.12.2 da norma: Processamento correto de aplicações: Validação dos dados de entrada (ISO/IEC 27001, 2006, p. 26). Uma forma de validar os dados é verificando, por exemplo, que o campo gravidez não seja preenchido no caso do paciente ser do sexo masculino. Ao finalizar a entrada dos dados o HIS/RIS deve integrar com a próxima etapa do processo, as modalidades e o PACS, tendo garantida a integridade dos dados neste momento onde haverá comunicação entre diversos sistemas diferentes. A integração dos sistemas traz a vantagem de não haver necessidade de nenhum processo posterior ao primeiro atendimento entrar com dados manuais, minimizando a possibilidade de erros de digitação. Os dados do paciente e o procedimento realizado estarão disponíveis nos outros sistemas e nas modalidades radiológicas bastando haver uma pesquisa na listagem de pacientes recebidos por estes. No PACS, assim como qualquer sistema, os pacientes recebem um código de identificação. Este código deve ser mantido o mesmo sem sofrer alteração em todas as consultas do paciente que pode fazer um ou mais exames a cada consulta. Sistemas de comunicação e armazenamento de imagens possuem um código para identificar cada exame realizado pelo paciente, código chamado de Accession Number, o qual é um código único para diferenciar cada exame realizado e nunca será repetido. Quando não há integração de sistemas o técnico de radiologia irá digitar no console do equipamento a ser utilizado para realização do exame os dados do paciente, podendo digitar dados diferentes dos que foram cadastrados no HIS/RIS e irá criar manualmente um Accession Number, podendo inserir um código já utilizado ou um código que não coincide com o código correto. Com a integração entre os sistemas não haverá a necessidade de entrada de dados nesta etapa do processo, apenas a pesquisa em uma listagem de
  • 8. pacientes chamada de worklist, o que além de garantir uma agilidade maior no fluxo de atendimento ao paciente, minimiza o risco de erro. Com a integração entre sistemas tem-se garantida a integridade das informações, mas neste momento há uma necessidade manual de se garantir a segurança da informação no processo e volta-se a reflexão sobre a necessidade de procedimentos bem definidos e bem conscientizados pelos profissionais. Ao receber o paciente, o que normalmente ocorre após uma entrevista chamada de anamnese que é realizada por um profissional da enfermagem, o técnico responsável pela realização do exame deve garantir que os dados obtidos na tela de comando do equipamento sejam realmente do paciente que ele está recebendo. Deve-se, portanto, estar inserido no procedimento a realização de quatro perguntas a serem realizadas pelo técnico ao paciente: nome completo, data de nascimento, nome da mãe e procedimento a ser realizado. O objetivo de controle A.10.1 Procedimentos e Responsabilidades Operacionais, detalha sobre a necessidade de ter documentação dos procedimentos de operação. Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitam (ISO/IEC 27001, 2006, p. 19). Sendo identificado que alguma das respostas não coincide com as informações recebidas anteriormente deve-se verificar se o paciente recebido não é o paciente esperado ou se houve algum erro de cadastro no processo anterior. Não é recomendável confirmar com o paciente citando as informações encontradas no cadastro. O paciente pode confirmar mecanicamente as informações citadas por distração ou tensão devido ao exame que está prestes a realizar e com isso o erro não seria percebido. Ocorrendo erro no cadastro este deve ser corrigido no HIS/RIS antes da realização do exame para que a correção seja replicada aos sistemas que possuem integração e com isso as imagens geradas tenham as informações corretas.
  • 9. Sendo confirmada a troca de paciente deve-se substituir o paciente errado pelo correto ou verificar se o paciente atendido tem uma solicitação aberta com dados gerados no worklist e realizar o procedimento adequado. Neste ponto há que se observarem as diferentes maneiras de se realizar o exame. Equipamentos digitais utilizam o protocolo Digital Imaging and Communications in Medicine (DICOM). “[...] O padrão DICOM foi desenvolvido sob orientação da National Eletric Manufactures Association (NEMA) [...]. É um protocolo para manuseio, armazenamento, impressão e transmissão de imagens médicas [...] desenvolvido para operação em redes tipo TCP/IP. (FONSECA, 2008, p. 30). O uso desse protocolo permite o envio das imagens automaticamente da modalidade utilizada. Equipamentos como Ressonância Magnética, Tomografia Computadorizada possuem este protocolo, assim como muitos equipamentos de Ultrassom, Densitometria Óssea, por exemplo. Equipamentos analógicos precisam que alguma adaptação seja realizada para que possa realizar o armazenamento e a transmissão das imagens. Esta adaptação pode ser a inclusão de um computador com placa de captura de vídeo para receber imagens dos equipamentos ou a inclusão de um periférico chamado DICOM BOX que faz a mesma função. Em alguns casos essas imagens são armazenadas simplesmente como histórico, não tendo qualidade suficiente para realização de diagnóstico, devendo o estudo ser observado utilizando a imagem na tela do equipamento médico no momento do exame e dessa maneira, segundo (MAIA, 2006, p. 37), é possível computadorizar um equipamento obsoleto e estender sua vida útil. Muitas unidades de saúde que implantam PACS mantêm em uso os equipamentos de Raios-X e Mamografia analógicos que já possuem. Estas unidades de saúde adquirem equipamentos CRs e Chassis de fósforo para poderem, mesmo com equipamentos analógicos, utilizarem a tecnologia do PACS. Os chassis de fósforo substituem as chapas analógicas utilizadas nos exames de Raio-X convencional. O chassi receberá o laser armazenando a imagem em seu interior. Os chassis são levados à sala de equipamentos para serem lidos pelo CR. O CR realiza a leitura da imagem
  • 10. que está no chassi de fósforo apagando-a em seguida para que este possa ser utilizado em um próximo exame. Na tela do CR o técnico de radiologia terá a possibilidade de trabalhar a imagem para que esta seja enviada ao PACS. Há um grande risco operacional de erro na realização desses exames sendo possível realizar a leitura do chassi em um paciente que não é o correto. Uma forma de evitar o erro é a conferência dos dados com o paciente antes de qualquer procedimento. Logo após a conferência deve-se realizar o vínculo do chassi a ser utilizado com a solicitação de exame do paciente e após isso realizar o procedimento. Finalizando o procedimento não haveria mais risco de troca, pois na leitura do chassi a imagem iria para o paciente indicado. Qualquer que seja a modalidade é necessário que as imagens e sua qualidade sejam conferidas logo após a realização do procedimento. Isto é feito pelo próprio técnico de radiologia. Estando dentro dos padrões de qualidade recomendados as imagens são transmitidas ao PACS e a partir deste momento estarão disponíveis para visualização por qualquer médico da unidade que possua estação de visualização. Esta etapa do processo se mostra também bastante crítica e é importante mostrar a diferença do processo analógico com o processo digital. Unidades de saúde que não possuem PACS realizam a maior parte dos procedimentos exatamente da mesma maneira que uma unidade de saúde informatizada. Talvez a grande diferença seja a dinâmica e a rapidez com que as informações estarão disponíveis para o corpo clínico da unidade, o que torna fundamental a preocupação com a integridade das informações. No modo analógico após todas as etapas de cadastro do paciente e realização do procedimento as imagens serão impressas, no caso de Tomografia Computadorizada e Ressonância Magnética, ou reveladas como os exames de Raio-X e Mamografia. Em Raio-X e Mamografia a qualidade da realização do procedimento só será conhecida após a revelação do filme, sendo que neste momento poderá ser percebido um
  • 11. erro o que fará com que a película seja descartada e o exame seja realizado novamente. Somente após a validação que a imagem está correta esta será entregue ao paciente que retornará para sua consulta clínica. Exames realizados digitalmente possibilitam que alguns erros sejam corrigidos após o envio das imagens ao PACS. Isto traz uma vantagem ao paciente que não precisará receber uma nova radiação, mas pode trazer problemas para o processo caso não seja rapidamente verificado e corrigido. Como a imagem estará disponível para consulta logo após ser enviada ao sistema será possível que o corpo clínico as visualize antes que qualquer correção tenha sido feita. Tendo algum erro na imagem, nos dados do paciente, na lateralidade ou algum outro, haverá um risco de se tomar conclusões diagnósticas errôneas. É importante que a unidade de saúde crie um processo de Gestão de incidentes de segurança da informação e melhorias, demonstrando uma preocupação clara em identificar eventuais problemas para que possa ter o processo de melhoria continuada sempre em execução. Com a implantação de um processo de gestão de incidentes de segurança da informação a unidade de saúde também estará atendendo o objetivo de controle A.13.2 da norma ISO/IEC 27001:2006 identificando responsabilidades, aprendendo com os incidentes e coletando evidências. Além da preocupação com a integridade das informações deve-se ter muito cuidado com a confidencialidade das informações. Segundo resolução de número 1821 do Conselho Federal de Medicina (CFM, 2007) os dados contidos no prontuário do paciente ou qualquer outro dado armazenado pela unidade de saúde pertencem ao paciente e só devem ser divulgados segundo sua autorização ou a de seu responsável. Os dados devem ser visualizados dentro da unidade de saúde apenas pelos profissionais que necessitam realizar o acompanhamento ou diagnóstico do paciente. Por serem informações eletrônicas há uma terceira preocupação que não pode ser esquecida. Preocupação que fecha o tripé da segurança da
  • 12. informação segundo as normas ISO/IEC 27001:2006 e 27002:2005, a disponibilidade. A imagem ou qualquer outro dado do paciente precisa estar disponível sempre que necessário pelos profissionais de saúde ou quando requisitado pelo próprio paciente. Não pode ser deixada de lado a preocupação com a infra-estrutura sendo necessário, portanto, um projeto de redundância de servidores, política sobre armazenamento de imagens, uma boa distribuição de estações de visualização, cabeamento e ativos de rede adequados, equipe de tecnologia da informação preparada para uso dessa tecnologia realizando verificações e monitoramento sobre toda a infra-estrutura desenhada, planos de recuperação de desastre e de continuidade do negócio. Os planos de recuperação de desastre e continuidade do negócio precisam ser divulgados e testados periodicamente para que seja identificado se estão realmente adequados às necessidades da organização e também se são realmente eficientes. 2. A análise da imagem e realização do laudo Após todas as etapas anteriormente citadas entra a figura do Radiologista. Este pode estar fisicamente no mesmo prédio onde foi realizado o exame do paciente ou pode estar remotamente em uma central de laudos. Aqui se percebe a importância na realização de todos os procedimentos anteriores priorizando a segurança da informação, pois o laudo emitido pelo radiologista será totalmente baseado em informações contidas nos sistemas de informação das unidades de saúde envolvidas e nos procedimentos realizados pelos participantes do processo. Erro de cadastro, identificação incorreta de lateralidade, falta de avaliação do técnico em relação à qualidade da imagem, envio da imagem para paciente errado e outros erros podem impossibilitar a realização do laudo ou possibilitar uma conclusão errada por parte do radiologista.
  • 13. Nesta etapa do processo também é importante a conscientização do radiologista sobre a segurança da informação para que este contribua com algumas verificações que estão ao seu alcance. O radiologista deve realizar algumas conferências antes da realização do laudo verificando se os dados cadastrais do paciente condizem com a informação recebida com a imagem. Alguns sistemas permitem que documentos sejam anexados e transmitidos para o radiologista. Normalmente se faz isso com a anamnese e com a solicitação médica. A anamnese contribuirá para que o radiologista, mesmo distante, possa ter mais informações a respeito do paciente, pois receberá diversas informações sobre seu estado de saúde. A solicitação médica permitirá que o radiologista confira se os dados do paciente condizem com os dados visualizados no sistema, como nome, idade, sexo; também constará na solicitação médica o procedimento solicitado pelo médico clínico, o que permitirá que o radiologista avalie se a imagem e o procedimento cadastrado no PACS estão compatíveis com a solicitação; e trará uma hipótese diagnóstica ajudando o radiologista em sua investigação diagnóstica dando uma idéia do que deve ser procurado. Esta seria a última etapa do processo antes da realização do laudo e a última oportunidade de ser evitado algum erro antes da conclusão diagnóstica, portanto qualquer dado incorreto ou considerado suspeito pelo radiologista deve ser revisado e alterado caso tenha a comprovação de erro. Tendo alteração dos dados deve ser feita uma investigação para encontrar onde está a origem do erro, pois a informação incorreta já teria passado por várias etapas do processo e a identificação da origem do erro é importante para que um trabalho de reeducação seja realizado. Pode-se estender um pouco mais o processo de segurança da informação neste ponto tornando parte do processo a solicitação de uma segunda opinião por parte do emissor do laudo. Isto pode ser feito em uma determinada quantidade de laudos ou até mesmo para todos os laudos emitidos, aumentando a segurança da informação por possibilitar que um
  • 14. segundo radiologista faça a conferência de todos os dados contidos nos sistemas além de possibilitar uma nova visão em relação à conclusão diagnóstica. Tendo uma segunda opinião ou não o laudo será assinado pelo radiologista. A forma mais segura de garantir a autenticidade do laudo é a utilização de assinatura através de um certificado digital que pode ser adquirido em autoridades certificadoras como Serasa Experian, CertSign, entre outras. Sendo esta a forma mais segura de garantir a autenticidade e a única forma eletrônica legalmente aceita no Brasil utilizando-se da Infra-estrutura de Chaves Públicas Brasileira (SBIS, 2009, p. 12), além disso, uma assinatura digital não permite o repúdio, isto é, o emitente não pode alegar que não realizou a ação (FERREIRA, 2008, P. 107). Tornou-se hábito a utilização de assinatura digitalizada para substituir a assinatura realizada após a impressão do laudo, porém embora uma prática comum é uma prática que pode ser questionada caso venha a ter questões judiciais envolvidas e desta forma o sistema não estará atendendo o Requisito de Nível de Segurança 2.01.01 do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde o qual detalha a utilização de certificado digital emitido por AC credenciada à ICP-Brasil para os processos de autenticação de usuários e para assinatura digital de documentos eletrônicos no S-RES (SBIS, 2009, p. 62). Com a emissão do laudo entende-se que todas as etapas do processo foram cumpridas com êxito e este laudo estará disponível para consulta do médico solicitante, do corpo clínico da unidade de saúde e do próprio paciente. Para que o processo tenha chegado ao seu final espera-se que todas as recomendações sobre a segurança da informação tenham sido seguidas e cumpridas, desvios tenham sido percebidos no decorrer do processo, tenham sido notificados e corrigidos para que a informação entregue ao final do processo seja íntegra. “[...] Para que as medidas tenham o efeito desejado devem estar enquadradas por uma política de segurança da informação que vise garantir um nível de protecção adequado e controlado, para o que é
  • 15. necessário a respectiva avaliação da adequação e eficiência. (SANTOS, 2007, p. 10). Neste ponto a unidade de saúde deve manter em sua política de segurança da informação a preocupação com a disponibilidade dos dados, a qualquer momento pode ser necessária a visualização dos exames do paciente; a preocupação com a confidencialidade dos dados, respeitando o direito à privacidade do paciente e desta forma o tripé da segurança da informação, os quais são confidencialidade, no qual a informação somente pode ser acessada por pessoas autorizadas; a disponibilidade, no qual a informação ou sistema de computador deve estar disponível a quem possa acessá-la no momento em que a mesma for necessária e a integridade, que é a proteção dos dados ou informações contra modificações intencionais ou acidentais não autorizadas (NOBRE, 2011, p. 98), será alcançada. “[...] Não existem soluções de segurança perfeitas ou completas. Exige-se uma melhoria contínua.” (ARAÚJO, 2007, p. 119) Alguns controles da ISO/IEC 27001:2006 e requisitos de níveis de segurança do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde da SBIS podem e devem ser utilizados para que as necessidades de segurança da informação sejam atendidas. CONCLUSÃO A tecnologia da informação trouxe nos últimos anos uma possibilidade de contribuir com a área da saúde tornando a realização de exames de alta complexidade mais rápida, com maior comodidade para o paciente e para o médico. Este artigo apresentou uma reflexão sobre a inserção da segurança da informação nos processos que fazem parte da realização de exames radiológicos, demonstrando que embora o avanço da tecnologia nos sistemas seja muito grande há a necessidade de olhar para as pessoas
  • 16. envolvidas para que estas estejam conscientes sobre a sua importância na garantia de entrega de um laudo seguro. A gestão de uma unidade de saúde deve ter atenção com a necessidade de criar e divulgar uma política de segurança da informação que forneça uma diretriz e mostre aos colaboradores sua preocupação com este assunto e a partir da política definida criar normas e procedimentos que serão conhecidos por todos para que realizem suas tarefas diárias tendo a busca da segurança em todos os seus processos. “[...] Normas e modelos de segurança apresentam práticas fundamentais para que organizações possam estar de acordo com um nível esperado de segurança.” (WAGNER, 2011, p. 17) Profissionais administrativos, profissionais técnicos e médicos devem ser treinados e envolvidos no escopo da segurança da informação sendo conhecedores da política da organização e dos riscos existentes caso os procedimentos seguros não sejam realizados com extrema atenção por estes. Não há dúvida que todo profissional da área da saúde possui a preocupação com o paciente, porém, rotinas diárias podem fazer com que os processos sejam executados de forma mecânica e tenham as validações e conferências sugeridas neste artigo esquecidas pelas pessoas que deveriam realizá-las. Dessa forma erros passarão a ocorrer aumentando o risco ao paciente. Deve haver, portanto, um monitoramento contínuo se os requisitos de segurança da informação estão sendo cumpridos e uma educação permanente para que colaboradores experientes assim como novos colaboradores estejam sempre conscientes da necessidade de seguir os procedimentos definidos pela gestão. REFERÊNCIAS ALAMU, F. O.; EMUOYIBOFARHE, O. J.; OKE, A. O. Developing a robust multimedia picture archiving and communication system. International journal of computer applications – Volume 34: Novembro, 2011.
  • 17. ARAÚJO, S. C. Segurança na circulação de informação clínica. Porto: Universidade Lusíadas, 2007. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27001: Tecnologia da Informação: Técnicas de segurança: Sistema de gestão de segurança da informação: Requisitos. Rio de Janeiro, Março, 2006. ______. ISO/IEC 27002: Tecnologia da Informação: Técnicas de segurança: Código de prática para a gestão de segurança da informação. Rio de Janeiro, Agosto, 2005. AZEVEDO-MARQUES, P. M.; SALOMÃO, S. C. PACS: Sistemas de Arquivamento e Distribuição de Imagens. São Paulo: Revista Brasileira de Física Médica, 2009. CFM. Resolução 1821/2007. On-line. Disponível em: http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm. Acesso em 05 dez. 2012. COSTA, R. G.; BARBOSA, A. C. P.; BORTOLON, S. Um sistema baseado em grid para interoperabilidade de PACS distribuídos e heterogêneos. Vitória: UFES, 2008. FERREIRA, F. N. F.; ARAÚJO, M. T. Política de segurança da informação – Guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna Ltda., 2008. FONSECA, D. S. Análise do padrão HL7 para sistemas de informação hospitalares. São Paulo: USP, 2008. FONTES, E. L. G. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. JUNIOR, A. L. Uma metodologia eficiente para recuperação de exames médicos dicom por similaridade de características visuais. Florianópolis: UFSC, 2007. KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Imagens Médicas: uma revisão. São Paulo: USP, 2006. KROLLI, J.; D’ORNELLAS; M. C., FONTOURA; L. M. Desenvolvimento de sistemas de gestão da segurança da informação através da integração das normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM). Santa Maria: UFSM, 2010. MAIA, R. S. Um sistema de telemedicina de baixo custo em larga escala. Florianópolis: USFC, 2006. NATIONAL ELETRICAL MANUFACTURES ASSOCIATION. Digital Imaging and Communications in Medicine: Part 17: Explanation Information. USA, 2008.
  • 18. NOBRE, A. C. S..; RAMOS, A. S. M; NASCIMENTO, T. C. Adoção de práticas de gestão de segurança da informação: um estudo com gestores públicos. Belo Horizonte: UNA, 2011. PEREIRA, S. R.; PAIVA, P. B.; TOQUETTI, L. Z. RICCI, D; LODDI, S, A. Segurança na arquitetura de sistemas informatizados. Botucatu: FATEC, 2010. SALOMÃO, S. C. Integrando Sistemas de Auxílio ao Diagnóstico no Sistema Gerenciador de Imagens Médicas. São Carlos: USP, 2010. SANTOS, A. M. R. C. Segurança nos sistemas de informação hospitalares: políticas, práticas e avaliação. Braga: Universidade do Minho, 2007. SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde. São Paulo, SBIS, 2009. NOBRE, L. F.; WANGENHEIM, A. V.; MAIA, R. S.; FERREIRA, L.; MARCHIORI, E. Certificação Digital de Exames em Teleradiologia: Um Alerta Necessário. Florianópolis: UFSC, 2007. TONG, C. K. S.; WONG, E. T. T. Governance of Picture Archiving and Communications Systems: Data Security and Quality Management of Filmless Radiology. United States of America: Information Science Reference, 2009. WAGNER, R.; Processos de desenvolvimento de software confiáveis baseados em padrões de segurança. Santa Maria: UFSM, 2011.