quarta-feira, 28 de outubro de 2020

LGPD x Sistema

O que meu sistema deve ter no mínimo para garantir que está de acordo com a LGPD?

A LGPD não cita regras específicas relacionadas a sistema/software. Mas vamos pensar em governança e segurança de dados.

Então vamos enumerar algumas regras de segurança e de governança:

  • Acesso por grupo de usuário
Justificativa: o grupo de usuário deve ser específico, afinal as pessoas da recepção não precisam ter acesso ao cadastros dos produtos. De forma que pelo grupo de usuários você consegue facilmente associar um usuário aos acessos que o mesmo precisa ter.

  • Rastreamento de Prontuário
Justificativa: o sistema precisa ter um rastreamento, principalmente quando se trata de prontuário, de quais usuários entraram para obter determinada informação, afinal, se uma informação vazar, o hospital vai conseguir rastrear quem entrou para verificar tais informações.

  • Impressão de Consentimento de Uso dos Dados
Justificativa: determinados tipos de atendimentos precisarão sim de consentimento do usuário, por exemplo, atendimentos eletivos.

  • Renovação de Senha
Justificativa: a SBIS (Sociedade Brasileira de Informática em Saúde) pede que em no máximo 6 meses o usuário renove sua senha. Sendo que essa senha não pode ser igual a senha anterior.

  • Novo login em caso de Inatividade
Justificativa: a SBIS pede que o sistema tenha esse novo login em caso de inatividade para garantir que outro usuário não utilize o login de outro para inserir ou alterar dados no sistema. 

  • Senha de Acesso criptografada
Justificativa: se alguém fizer uma cópia do seu banco de dados e conseguir acesso ao cadastro de usuários, pode até conseguir saber qual é seu login, mas não pode saber qual sua senha.

  • Bloqueio de Usuário
Justificativa: se seu funcionário sair do hospital, o login dele deve ser bloqueado, para que outro funcionário não o utilize.

  • Prover Acesso as informações
Justificativa: todos que possuem prontuário dentro do hospital devem ter acesso as suas informações, seja para verificação ou para pedir correções.

E aí entra algo fundamental: PRONTUÁRIO ELETRÔNICO.
Como um paciente vai ter acesso aos seus dados se o Hospital não utiliza Prontuário Eletrônico?
Pensem sobre isso.

  • Prover Acesso ao SAME apenas para pessoas específicas
Justificativa:  O SAME é onde ficam todas as informações dos pacientes, para quem ainda utiliza as informações em papel. Esse acesso precisa ser monitorado. Pois, não adiantaria criar regras de acesso as informações dentro do sistema e o SAME ser aberto a todos.

Outras configurações que não são obrigatórias pela LGPD, mas a SBIS pede que se tenha:

  • Informação na tela inicial de qual foi o último login feito pelo usuário
  • Bloqueio do usuário após um nro determinado de tentativas de login
  • Possibilidade que o próprio usuário troque sua senha
  • Em determinadas funções do sistema, o usuário deve inserir sua senha, para confirmar que é o mesmo quem está tentando realizar a operação
  • Um usuário deve ter permissões para utilização/visualização de dados no prontuário eletrônico do paciente. Por exemplo, uma evolução de psicólogo/psiquiatra não pode ser acessada por outro tipo de profissional.
  • e muito mais, tudo para garantir a segurança de quem está utilizando o sistema, bem como de informações que constam no prontuário do paciente.
Lembrem-se que a LGPD está mais ligada a pessoas do que sistemas.

E não acreditem se alguém oferecer um software que vai deixar o seu hospital em conformidade com a LGPD, isso não existe.