Classificação de Dados aumenta a proteção das informações do paciente determinada pela HIPAA

Jaime Munõz (*)

O setor de Saúde é um dos que mais tem investido em tecnologia e apresentado inovações para o cuidado com as pessoas, o que o leva a ser fortemente regulado. A HIPAA (Health Insurance Portability and Accountability Act) é o conjunto de conformidades que as organizações de Saúde devem seguir para garantir a proteção das informações digitais envolvidas em seus negócios como dos pacientes.

Não pode se esquecer das implicações legais contra as organizações de Saúde que perdem uma informação sigilosa de um paciente e os danos causados pelo envio indevido de um boletim com dados sigilosos a terceiros. Ou quando ele é roubado via uma invasão cibernética (muito comum nestes tempos de avanço da digitalização das empresas).

As informações possuem uma relação direta com pacientes e é fundamental o cuidado com o manuseio destes dados. Assim como em outros setores da indústria, o manuseio de dados sofre com uma série de imprecisões e falha nas políticas de acesso, o que torna necessária a qualificação correta do tipo de informação está sendo manuseada e como ela deve ser tratada pelas diversas da organização de Saúde que podem ou não ter acesso a ela. Esta qualificação chamamos de classificação de dados (data classification).

Este processo permite definir uma etiqueta (rótulo) a uma informação no momento em que ela é criada ou coletada de outras fontes. Por exemplo, o acesso a um exame de um paciente pode ser classificado de acordo com a privacidade da informação, definindo-se quem realmente pode ser acesso a ele ou se ele pode ou não ser compartilhado entre as áreas ou em nuvem.

A data classification envolve a combinação entre tecnologias de segurança para que as organizações de Saúde possam trabalhar corretamente as informações dos pacientes e de negócios e provê a informação contextual para adoção de políticas de criptografia, DLP (prevenção e proteção contra a perda de dados) e governança de dados. Também pode combinar camadas locais da rede corporativa com outros os padrões regulatórios, tais como SOX (Sarbanes Oxley), HIPAA Compliance, ISO 27001, PCI, Public Services Network, Export Control Compliance, Data Protection Act (DPA), além do Marco Civil da Internet em casos onde os dados digitais estão sendo considerados.

Também não podemos nos esquecer que as organizações de saúde necessitam consistentemente classificar a informação de saúde protegida (PHI – Protected Health Information) e também a informação de identificação pessoal (PII – Personally Identifiable Information). Os requisitos rigorosos de segurança e privacidade de dados definidos na HIPAA, e posteriormente reforçados na Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH), descrevem etapas significativas que devem ser tomadas para garantir a conformidade. A classificação de dados se torna, assim, uma aliada das organizações do setor de Saúde no tratamento das informações alinhada com estas regulações.

A capacidade de se ter uma visão abrangente e minuciosa dos dados de Saúde em um ambiente oferece à organização a capacidade de melhor se posicionar rumo ao atendimento das conformidades pode, assim, ser usados para reforçar a política de governança de dados. O que vem fazendo muitas das maiores organizações de Saúde nos Estados Unidos e Europa.

(*) Diretor para América Latina da Boldon James.