Todos estamos cientes das manchetes recentes sobre grandes violações de dados de informações pessoais e incidentes cibernéticos semelhantes, desde o roubo de 145 milhões de registos de uma grande agência de relatórios de crédito até relatos de ransomware que encerra empresas. Mas, de todos os dados em risco, uma violação das nossas informações de saúde é provavelmente a mais preocupante.

• Os dados de saúde são muito pessoais e podem conter informações que desejamos manter confidenciais (por exemplo, registos de saúde mental) ou potencialmente afetar perspetivas de emprego ou cobertura de seguro (por exemplo, doença crónica ou histórico de saúde familiar).

• É duradouro – um cartão de crédito exposto pode ser cancelado, mas o seu historial médico permanece consigo por toda a vida.

• É muito completo e abrangente – as informações que as organizações de cuidados de saúde têm sobre os seus pacientes incluem não só dados médicos, mas também informações de seguro e de contas financeiras. Isto pode incluir informações pessoais como números de Segurança Social, moradas ou até os nomes dos familiares mais próximos. Tal riqueza de dados pode ser monetizada pelos adversários cibernéticos de muitas formas.

• No nosso mundo digital de cuidados de saúde, a disponibilidade fiável de dados de saúde precisos para os clínicos é crítica para a prestação de cuidados, e qualquer interrupção no acesso a esses dados pode atrasar o tratamento ou comprometer o diagnóstico.

A privacidade e a segurança das informações de saúde são rigorosamente regulamentadas nos EUA ao abrigo de leis federais, como a Health Insurance Portability and Accountability Act of 1996 (HIPAA), mas também através de várias leis estaduais e leis que protegem os indivíduos contra a discriminação com base em dados genéticos.

Infelizmente, as violações de dados de saúde são demasiado comuns. Em 2016, o U.S. Department of Health and Human Services comunicou um total de 450 violações de dados de cuidados de saúde que afetaram mais de 27 milhões de pacientes, sendo que os 10 maiores incidentes representaram, por si só, metade dos registos violados (13 milhões). E, o mais preocupante, mais de metade de todas as violações deveu-se a ciberataques externos, em oposição à exposição acidental devido a erro humano ou perda de dispositivos.

Analisar exemplos recentes de incidentes de segurança nos cuidados de saúde mostrará uma ampla variedade de eventos e a motivação subjacente do cibercriminoso. Vimos relatos de funcionários em hospitais a consultar registos médicos por curiosidade ou a publicar informações sobre pacientes nas redes sociais. Também houve casos em que a identidade, as informações financeiras ou de seguro de uma pessoa são roubadas para ganho pessoal ‒ por exemplo, para contrair uma hipoteca ou receber serviços médicos em nome de outra pessoa (e com o seguro de outra pessoa).

Os incidentes que têm um impacto mais amplo e afetam mais pacientes são o roubo de registos médicos e as tentativas de extorquir organizações de cuidados de saúde, ameaçando divulgar os dados roubados. Além disso, instituições de saúde foram afetadas por ransomware, com algumas a decidir pagar e outras não, optando antes por aceitar o impacto nos serviços prestados aos pacientes e a perda de receitas.

Para prestadores de cuidados de saúde e seguradoras, normalmente não há limitação para que os pacientes divulguem informações sobre a sua saúde. Assim como qualquer paciente pode (e, na maioria das vezes, deve) partilhar preocupações sobre a sua saúde com familiares e amigos, qualquer paciente pode agora facilmente partilhar com o mundo tudo o que quiser através das redes sociais ou aderir a um grupo de apoio online. Embora estes sejam, em geral, passos positivos que ajudam uma pessoa com problemas de saúde a encontrar apoio e receber conselhos, agora precisamos de estar muito mais conscientes sobre o que partilhamos e para onde isso acaba por ir.

Quão grande é a sua rede social e quem pode ver o que está a partilhar? Quem está a gerir o grupo de apoio a que acabou de aderir e qual é o seu compromisso com a privacidade dos dados? Muitos sites, especialmente se alojados por organizações reputadas, são seguros. Mas como sabe o que, ou se alguma, da sua informação pode ser partilhada e analisada para fins de marketing ou outros?

De forma alguma este conselho deve ser interpretado como sendo contra partilhar ou procurar apoio online. Quanto mais soubermos, melhor preparados estaremos e melhores decisões de cuidados de saúde conseguiremos tomar. A riqueza de informação que podemos obter da internet levou a uma população de pacientes mais instruída, muito mais capaz de se envolver e de fazer parte do processo de cura.

No entanto, as preocupações com a capacidade do seu prestador de cuidados de saúde para proteger os seus dados não devem levar os pacientes a reter informações. Mesmo nesta era digital, a relação de confiança entre paciente e médico continua a ser o aspeto mais importante do nosso sistema de cuidados de saúde – e essa confiança funciona nos dois sentidos: os pacientes precisam de confiar aos seus prestadores informações muitas vezes íntimas e pessoais, e os prestadores precisam de saber que os seus pacientes não estão a omitir nada devido a preocupações com a privacidade.

Entrámos na nova era da medicina digital e da disponibilidade quase universal de informação, levando a melhores diagnósticos e tratamentos mais bem-sucedidos, reduzindo, em última análise, o sofrimento e prolongando vidas. No entanto, esta grande oportunidade também traz novos riscos e todos nós – prestadores de cuidados de saúde e pacientes – precisamos de estar conscientes sobre como utilizamos esta nova tecnologia e partilhamos informação.

Os blogs seguintes desta série discutirão estas questões com mais detalhe, analisando especificamente as redes sociais, as aplicações de saúde e os dispositivos pessoais de saúde e fitness, e revendo como nós, enquanto pacientes e consumidores, podemos fazer um melhor trabalho a proteger-nos a nós próprios e às nossas informações.

Sobre os Autores

Os autores são membros do Comité de Privacidade e Segurança da Healthcare Information and Management Systems Society (HIMSS):

Bayardo Alvarez, CPHIMS, é diretor de tecnologia da informação do Boston PainCare Center, uma prática interdisciplinar focada no tratamento e investigação da dor crónica. As suas responsabilidades incluem supervisionar o programa de cibersegurança e a conformidade da Boston PainCare. Bayardo trabalha no setor da saúde há mais de uma década e tem mais de 30 anos de experiência em tecnologia da informação. É o atual presidente do Comité de Privacidade e Segurança da HIMSS.

Carrie McGlaughlin, CISM, trabalhou duas décadas em TI na área da saúde e é diretora de tecnologia da informação e responsável de segurança HIPAA no Buckeye Ranch, uma organização de comportamento e saúde mental para jovens e famílias.

Axel Wirth, CPHIMS, CISSP, HCISPP, é um distinto arquiteto de soluções para o setor de saúde dos EUA na Symantec Corporation. Fornece visão estratégica e liderança técnica no segmento de saúde da Symantec, desempenhando um papel consultivo junto de prestadores de cuidados de saúde, parceiros do setor e profissionais de tecnologia da saúde. Com base em mais de 30 anos de experiência internacional no setor, o Sr. Wirth apoia os clientes de saúde da Symantec na resolução dos seus desafios críticos de segurança, privacidade, conformidade e gestão de TI.