Scroll Top

Como o setor de saúde pode organizar a adequação à LGPD

Setor de Saúde

A segurança e privacidade dos dados dos pacientes é uma preocupação crítica para o setor de saúde, que busca se adequar rapidamente à LGPD para garantir a proteção de informações pessoais em uma época de crescimento do número de ataques. Dados mostram que os ataques cibernéticos contra organizações de saúde aumentaram 78% em 2022 no mundo todo, com uma média de 1426 tentativas por semana, números que deveriam colocar as empresas em alerta. 

Não é preciso ir mundo a fundo para entender os motivos desse aumento. O setor é uma mina de ouro de dados pessoais que, junto com o uso de infraestruturas legadas, sistemas mal gerenciados e falta de recursos financeiros e de pessoal, transformam a área de saúde em um alvo fácil e que fornece recompensas relativamente altas para os cibercriminosos. 

Entre os desafios enfrentados pelo setor de saúde, priorizar a segurança e privacidade dos dados de pacientes e garantir o acesso a essas informações são os mais relevantes e que precisam de uma atenção maior das equipes de TI. Como o setor, basicamente, depende da tecnologia para realizar seus serviços, é necessário que uma estratégia de segurança robusta seja implementada para reduzir o risco de informações pessoais sejam roubadas ou extraviadas. 

Quais ameaças impactam no setor de saúde

Ataques de ransomware são o principal motivo de preocupação das equipes de segurança. Levantamento do Instituto Ponemon mostra que 40% dos entrevistados sofreram mais de três ataques de ransomware nos últimos dois anos. Normalmente, os ataques roubam e criptografam as informações, exigindo que um resgate seja pago para devolvê-las. 

Ataques de DDoS, que sobrecarregam os servidores, prejudicando o acesso às informações de pacientes e sistemas críticos, também estão entre as ameaças mais utilizadas e, normalmente, são usados como uma distração enquanto hackers implantam malwares mais poderosos na rede da vítima. 

Outro fator de risco diz respeito à cadeia de suprimentos que atende ao setor de saúde. De nada adianta a organização manter altos níveis de segurança, se um parceiro de negócios, com acesso ao sistema, apresentar falhas. O mesmo relatório do Instituto Ponemon detectou que pelo menos 50% das organizações de saúde sofreram mais de quatro ataques à cadeia de suprimentos que impactaram nos serviços voltados ao atendimento ao paciente. 

Por fim, o crescimento da Internet das Coisas (IoT) na saúde também oferece riscos preocupantes. A conectividade da IoT, com dispositivos médicos, como bombas de insulina e marca-passos, e operacionais interligados, mas carecendo de medidas de segurança adequadas, aumentam a superfície de ataque e podem impactar diretamente na saúde dos pacientes. 

Quais os impactos da LGPD no setor de saúde

Desde 2020, a LGPD dita as normas de segurança e privacidade para as empresas brasileiras, implicando que todas as organizações de saúde – hospitais, clínicas, consultórios médicos, laboratórios entre outros estabelecimentos -  precisam se adequar as normas e adaptar processos para garantir a privacidade das informações de saúde dos pacientes e dados internos da força de trabalho. 

Por isso, os gestores de saúde precisam estar atentos a algumas práticas que, caso seguidas incorretamente, causam sérios problemas que podem ocasionar prejuízos operacionais e financeiros. 

As informações pessoais de pacientes só podem ser coletadas e armazenadas com autorização. Isso vale para prontuários, exames e qualquer outra informação. No caso de dados antigos, as organizações precisam entrar em contato com os pacientes para que autorizem a manutenção dos dados. Isso é válido para todas as informações, não importando se estão em documentos físicos ou digitais 

As normas da LGPD também se aplicam ao uso da telemedicina, serviços de cobrança, intercâmbio de informações entre as organizações e às mensagens trocadas entre médicos e pacientes – que precisam ser criptografadas e protegidas para evitar que a identidade do paciente seja reconhecida. 

As empresas precisam nomear uma equipe interna e dedicada as ações de sustentação das normas da LGPD ou contratar um provedor externo, de acordo com as normas ISO 27001 e ISO 27799, que será o responsável pela segurança das informações. Caso o provedor não atenda às normas corretamente, o contratante também é responsabilizado quando algum incidente ocorrer. 

Além disso, todos os pacientes precisam saber quais dados estão em poder da organização e qual a finalidade com que as informações serão utilizadas. A Autoridade Nacional de Proteção de Dados, responsável por editar e fiscalizar o cumprimento das normas também deve ter acesso às informações. 

A divulgação ilegal de dados, seja por erros internos ou um ataque cibernético, tem graves ramificações para os proprietários dos dados e para as organizações, provedores e para a continuidade dos negócios. E as consequências podem ir além do prejuízo financeiro, impactando diretamente na reputação da organização e na confiança do paciente. 

Como as empresas do setor de saúde podem se adequar à LGPD

As organizações do setor de saúde precisam priorizar medidas de segurança de dados, implementando soluções de segurança robustas, com o uso de firewalls, criptografia e controle de identidade e acesso, além de investir em programas de treinamento e conscientização para que os próprios funcionários tenham o conhecimento necessário para prevenir violações, já que eles costumam ser o elo mais fraco na estratégia de segurança de qualquer empresa. 

Entretanto, priorizar uma estratégia de segurança não é apenas uma forma de atender a normas de conformidade ou gestão de riscos, mas é uma responsabilidade crítica e ética das organizações em relação aos dados e segurança do paciente. Em última análise, a segurança e privacidade dos dados precisa ser vista como prioritária para o setor e, em um momento em que a digitalização faz parte praticamente do dia a dia das pessoas, garantir a segurança dessas informações também faz parte de salvar vidas. 

Para fortalecer a jornada de conformidade da organização e melhorar a proteção e privacidade dos dados na área de saúde, a SVX pode te ajudar. Nossa equipe apoia todo o ciclo de vida de compliance e desenvolveu um método específico, eficaz e eficiente para avaliação de riscos para conformidade com a LGPD. Buscamos entender qual o nível de segurança implementado pela empresa e criamos um plano de recomendações para a criação de um programa de privacidade que vai além da adequação com a LGPD, mas também ofereça as melhores experiências aos pacientes, fornecedores e funcionários. Entre em contato e agende uma reunião. 

+ conteúdo