fevereiro 18, 2019

Contas de e-mail e senhas de ex-funcionários devem ser desativadas imediatamente para que não possam mais acessar a rede.

A privacidade dos dados do paciente é protegido pela Health Insurance Portability e Accountability Act (HIPAA) e a 2009 Tecnologia da Informação em Saúde para Lei de Saúde Clínica e Econômica.1 Mas as complexidades dos métodos de comunicação de alta tecnologia de hoje, compartilhamento de dados, e práticas de armazenamento de dados abertas a ameaças imprevistas e em constante mudança, exigindo vigilância e treinamento da equipe médica.

Este segundo artigo dedicado à cibersegurança examina mais de perto a proteção de pacientes’ privacidade. Para obter mais informações sobre este assunto complexo, MPR entrevistou Michael J Sacopulos, JD, CEO do Instituto de risco médico (MRI), uma empresa que fornece “conselho pró-ativa” para a saúde da comunidade para identificar onde os riscos de responsabilidade originar e para reduzir ou eliminar esses riscos. Ele também é Conselheiro Geral para médicos Serviços de Justiça. Sr. Sacopulos é o co-autor de Tweets, gostos, e Passivos: Riscos online e electrónica ao Profissional de Saúde (Fénix, MD; GreenbranchPublishing: 2018).

Qual você acha que é a maior ameaça para HIPAA em médicos’ práticas?

Alguns dos problemas que discuti em nossa entrevista anterior são centrais em potenciais violações da HIPAA. Em particular, Estou falando sobre a falta de higiene cibernética, com o que me refiro aos inúmeros erros humanos que podem comprometer a privacidade do paciente, mesmo com o melhor software e firewalls. Já discutimos a importância de treinar a equipe para não clicar em e-mails desconhecidos, geralmente chamados de e-mails de “phishing”, que são ataques cibernéticos que abrem a porta para que hackers acessem seu sistema ou instalem malware em seus computadores. Ensinar sua equipe a reconhecer esses golpes e e-mails de malware é fundamental.

Quais outras preocupações potenciais podem comprometer a privacidade?

Uma importante área de preocupação é o local onde você e sua equipe acessam qualquer prática relacionada à Internet. Se você tem um funcionário, consultor, ou empreiteiro que trabalha remotamente - por exemplo, um contador ou alguém que faz faturamento médico - você precisa ter certeza de que várias coisas importantes estão em vigor.

Nem você nem seu funcionário devem usar o Wi-Fi gratuito no Starbucks, na biblioteca ou no aeroporto, por exemplo, para enviar qualquer e-mail ou trabalhar no prontuário do paciente, uma vez que essas não são conexões seguras e podem ser facilmente hackeadas. Adicionalmente, em um lugar público, uma pessoa sentada perto de você, ou um transeunte pode ter um vislumbre do nome de um paciente ou alguma outra informação ou pode até usar seu próprio celular para fotografá-lo.

Os funcionários que trabalham em casa devem ter um espaço de trabalho dedicado, como um escritório em casa, com uma porta que fecha e armários de arquivo que podem ser trancados e protegidos de outras pessoas. O escritório não deve funcionar como quarto de hóspedes ou quarto infantil. E o funcionário deve dedicar tempo e espaço específicos para trabalhar em questões relacionadas à prática e não multitarefa. Já vi situações em que a pessoa que faz o faturamento trabalhava na geração de contas eletrônicas enquanto tentava preparar o jantar para sua família e tinha o computador ou a papelada na mesa.

Qualquer conversa sobre pacientes, se você está retornando a ligação de um paciente ou se o membro da sua equipe está falando com uma seguradora, deve ser conduzido em privado, onde nenhum membro da família ou outras pessoas possam ouvi-lo. Um médico estava discutindo o problema de urinar na cama de uma criança com um pai ao alcance da voz de seus próprios filhos. Era uma cidade pequena e os filhos do médico iam para a escola com a criança que tinha o problema de urinar na cama. Em breve, era de conhecimento público na sala de aula e as outras crianças brincavam com o menino com o problema. Isso aconteceu dias antes de o HIPAA ser implementado, mas o problema poderia ocorrer com a mesma facilidade hoje se conversas relacionadas ao paciente pudessem ser ouvidas.

Igualmente importante é garantir que haja um computador dedicado, usado apenas para assuntos relacionados à prática. O computador deve ter uma senha segura e não deve ser compartilhado por outras pessoas, como os filhos que o usam para fazer a lição de casa ou jogar videogame.

Há algum problema relacionado ao software para se preocupar?

Você deve ter bons firewalls, criptografia adequada para portais de pacientes e modos de comunicação. É extremamente importante manter o software suportado e atualizado. Se o fabricante recomendar atualizações, eles devem ser instalados imediatamente para que seu software permaneça seguro. Atualizações são “patches,” que o fabricante recomenda se encontrar vulnerabilidades. Versões mais antigas de software eventualmente não são mais suportadas pela plataforma, como a Microsoft. Além de não ser confiável, software desatualizado é vulnerável a violações cibernéticas. A posição do governo é que se o software não for suportado, isso constitui uma violação per se.

Como uma prática pode aumentar sua segurança?

Não consigo enfatizar o suficiente o que mencionei na entrevista anterior, que consiste em contratar um especialista profissional em TI para conduzir e solucionar problemas de software ou lidar com e-mails de phishing e possíveis violações. Um especialista profissional em TI também deve realizar uma análise de risco anual e aconselhar sobre o que precisa ser melhorado..

Você deve revisar regularmente quem em sua prática tem acesso a qual tipo de informação. Funcionários que não precisam acessar pacientes’ registros eletrônicos de saúde (EHRs), o que significa que eles não estão envolvidos no cuidado de um determinado paciente, deve ser impedido de acessar os registros desse paciente. As contas de e-mail e senhas de ex-funcionários deverão ser imediatamente desativadas para que não possam mais acessar sua rede. Isto é igualmente verdadeiro se você tiver uma área de armazenamento de arquivos em papel. A chave ou cartão magnético do ex-funcionário deverá ser devolvido e se houver fechadura com combinação, a combinação deve ser alterada.

Por último, certifique-se de ter políticas em vigor em relação aos seus funcionários’ uso de mídias sociais e e-mails e acesso.

E quanto ao uso de dispositivos móveis?

Qualquer celular usado para sua prática deve ser protegido por senha, para que se for perdido ou roubado, qualquer informação está segura. A maioria dos Androids e iPhones padrão hoje tem senhas criptografadas e, portanto, seguras.

Outra preocupação diz respeito aos textos. Seus textos são seguros ou não? E, igualmente importante do ponto de vista da segurança do paciente, o conteúdo do texto chega ao prontuário do paciente? Conversas entre médicos por texto, ou entre o médico e o paciente, precisam ser inseridos no prontuário para continuidade do atendimento e para que em caso de perda ou roubo do telefone, nenhuma informação importante do paciente é perdida.

Se um médico ou outro profissional usar um celular para fotografar um paciente – por exemplo, um dermatologista fotografou a erupção cutânea de um paciente – isso também deve ser inserido no prontuário do paciente o mais rápido possível.

Existem outras preocupações relacionadas com fotografias e privacidade do paciente??

Existem algumas preocupações óbvias. Nenhuma fotografia de um paciente deve aparecer em qualquer lugar fora de seu prontuário – por exemplo, nada deve ser postado no site ou boletim informativo da clínica, ou nas redes sociais de um funcionário.

Eu sei que os médicos às vezes usam fotografias em close de pacientes não identificados em reuniões médicas para demonstração ou para discutir uma doença ou condição específica – talvez uma erupção cutânea ou incisão cirúrgica. Mas a lei é muito clara: a imagem não pode ser identificável como sendo de qualquer pessoa em particular para ninguém., até mesmo um cônjuge.

Tive um caso em que uma mulher fez uma mamoplastia de aumento e o cirurgião tirou uma foto do antes/depois do seu torso, que posteriormente foi utilizado em apresentação médica – sem informações de identificação, claro, e sem revelar quaisquer outras partes do corpo, como rosto, cabeça, braços ou pernas. Mas a paciente entrou com uma ação alegando que ela tinha um padrão único de sardas no peito que poderia ser identificável por algumas pessoas.. O caso foi resolvido.

Meu conselho é obter a permissão do paciente se quiser usar qualquer imagem em uma conferência ou artigo de jornal.. Isso pode ser feito facilmente com um documento de uma página que deve permanecer no prontuário do paciente. Em minha experiência, muito poucos pacientes se recusarão a permitir que sua fotografia anonimizada seja usada se entenderem que isso é para fins de educação médica de outros profissionais de saúde.

Por mais complicado que seja estabelecer protocolos apropriados e treinar adequadamente a equipe, é essencial, não apenas para protegê-lo de possíveis litígios ou ações disciplinares, mas também para proteger a privacidade do paciente e aumentar a segurança do paciente.

siga @DermAdvisor

Referência

1. McCoy TH, Perlis RH. Tendências temporais e características das violações de dados de saúde reportáveis, 2010-2017. JAMA. 2018;320(12):1282-1283.