Você sabia que, em 2021, a área da Saúde foi a terceira mais atacada no Brasil por ransomware, ficando atrás apenas de Governo e Indústria? É o que diz o relatório anual da Apura Cyber Intelligence, que também mapeou que muitas das informações roubadas em ciberataques têm um propósito: a venda de dados da Saúde.
Em mercados clandestinos, como a dark web, os dados de um paciente, hoje, podem valer 50 vezes mais que dados bancários. Então, por que não estamos tão preocupados com os dados de saúde, quanto nos preocupamos com dados bancários? Afinal, por que os dados da Saúde valem tanto e temos que confiá-los a quem realmente se preocupa com segurança?
Neste artigo, queremos abrir os seus olhos para situações que deixam os seus dados, de sua clínica e de seus pacientes vulneráveis a ataques ou mesmo à venda e/ou compartilhamento indevido, o que pode gerar graves consequências. Após ler este artigo você poderá responder se o seu software médico é seguro de verdade.
Por que a venda de dados da Saúde se tornou tão estimada?
Desde fevereiro de 2022, a proteção de dados pessoais foi reconhecida pelo Congresso brasileiro como um direito fundamental do ser humano e tornou-se cláusula pétrea da Constituição Federal.
No entanto, é muito comum que ataques de hackers ocorram nas mais diversas empresas. Todos nós conhecemos alguém ou até já fomos vítimas de tentativas de golpes financeiros.
De maneira geral, os criminosos, cada vez mais rebuscados em suas estratégias, se aproveitam do pouco conhecimento sobre segurança digital das pessoas para alcançar seus objetivos.
No primeiro semestre de 2021, os golpes contra clientes de banco cresceram 165% em relação ao mesmo período em 2020, de acordo com levantamento realizado pela Federação Brasileira de Bancos (Febraban).
Entretanto, um novo mercado tem se tornado alvo: a Saúde. Aliás, os dados pessoais armazenados pelas empresas do segmento é que passaram a ser alvo principal de hackers, o que é algo muito delicado.
Um estudo recente da empresa especializada em risco cibernético Tenable revela que o setor da Saúde responde por 35,4% dos casos de ciberataques.
Além disso, ainda existem questões relativas à venda e/ou compartilhamento de dados da saúde ainda pouco conhecidas pelos profissionais de Saúde.
Quem tem interesse na compra e na venda de dados da Saúde?
Você já parou para pensar por que não temos os mesmo cuidados com os dados de Saúde que temos com os dados bancários?
Dados bancários nos remetem imediatamente à dinheiro, o que é verdade. Mas os dados de Saúde valem ainda mais, podendo causar prejuízos desastrosos.
E não são prejuízos apenas financeiros. Quando acontece um ataque a um equipamento, com o intuito da venda dos dados da Saúde, o sistema é danificado e o paciente pode ter o seu tratamento prejudicado e a sua vida em risco.
Por que então não se fala muito sobre isso? Porque querem te fazer acreditar que não é necessário, que não é um problema da sua instituição de Saúde.
Mas a realidade é dura e precisamos falar sobre isso. São esses dados que movem tantos outros mercados que dependem, cada vez mais, de informação para lucrar. E as informações do mercado de Saúde são perfeitas para isso.
Por que a venda de dados da Saúde vale tanto?
Em entrevista à Forbes, o Diretor da consultoria de negócios Peers Consulting, Alexandre Sgarbi, explicou que “as informações de um paciente não mudam nunca e podem nutrir detalhes para golpes ainda maiores do que um desvio do saldo bancário”.
Quem compra essas informações pessoais sensíveis, consegue, por exemplo, fraudar seguro de vida, com valores muito maiores do que um roubo de cartão. É por isso que a venda de dados da Saúde têm valido mais que os que estão de posse dos bancos.
Em 2014, a revista Exame denunciou um esquema de venda de dados da Saúde praticado por uma grande companhia.
Já em 2018, a revista Veja publicou uma matéria sobre a investigação feita pelo Ministério Público a variadas redes de farmácias, que repassavam repassam dados de clientes a planos de Saúde.
Como podemos perceber, esses dois acontecimentos ocorreram antes da Lei Geral de Proteção de Dados entrar em vigor no Brasil, o que aconteceu no segundo semestre de 2020.
A LGPD veio para tentar evitar casos como esses
De acordo com a Lei, dados pessoais sensíveis são aqueles que podem levar a algum tipo de discriminação. Isto é, informações sobre origem racial ou étnica, convicção religiosa, opinião política, Saúde, vida sexual e dado genético ou biométrico.
É totalmente proibida a comunicação ou o uso compartilhado entre controladores de dados referentes à Saúde com o objetivo de obter vantagem econômica.
Porém, para o consultor Alexandre Sgarbi, o setor da Saúde é frágil. Ele exemplificou: “Já existem casos de hackers conseguirem o contato de fornecedores de Saúde de medicamentos do hospital, por exemplo, fraudar a compra desse medicamento e vender como droga no mercado clandestino. Há muito espaço para novos crimes cibernéticos no mercado da Saúde, pois é algo muito recente”.
Além disso, as empresas estão aderindo à LGPD de forma muito lenta, mesmo correndo o risco de serem punidas com até 2% do faturamento anual da empresa.
Em paralelo, os usuários, inclusive profissionais de saúde, ainda confiam seus dados e de seus pacientes a empresas que dizem atender à LGPD, mas que compartilham e até vendem dados para terceiros, por meio de integrações com sistemas “gratuitos” que vivem dos dados das pessoas.
Como você pode evitar a perda e a venda de dados da Saúde após um ataque cibernético?
Infelizmente, muitas empresas de tecnologia, que desenvolvem sistemas para hospitais, clínicas e consultórios, criam esquemas complexos e pouco transparentes para desviar da lei e cumprir seu objetivo: fazer dos dados das pessoas um negócio extremamente rentável.
Uma empresa ética tem em mente o que diz a lei Geral de Proteção de Dados Pessoais, a LGPD: que os dados pertencem à pessoa física e que quando compartilhados com a empresa, cabe a ela guardá-los e protegê-los.
Porém, é comum concordarmos, sem muita noção da proporção desta decisão – em usar algum sistema que expõe nossos dados, compartilham ou até vendem para terceiros.
Milhares de médicos e outros profissionais da Saúde permitem que seus dados e os de seus pacientes trafeguem entre plataformas integradas.
As pessoas podem pensar que esta é a realidade e não há muito o que fazer. Ou ainda, podem acreditar que o compartilhamento de dados é algo inovador, tendência do futuro e não há como fugir disso.
Não, não é bem assim. Não se deixe levar por argumentos que não te favorecem em nada, pelo contrário.
Inovação de verdade é aquela que simplifica sua vida e se preocupa com a sua segurança
Segundo Jomar Nascimento, “com o grande fluxo de troca de informações no ambiente digital, muitos profissionais da Saúde buscam sistemas que sejam capazes de se comunicar entre si, o que chamamos de interoperabilidade. Este é um conceito muito válido, porém existe uma linha tênue entre o que pode ou não ser comunicado para outros elementos e a finalidade do uso desta informação”.
Para Jomar, a interoperabilidade só faz sentido se beneficiar o indivíduo, no caso, o paciente, dono de seus dados.
Entretanto, o que acontece é a comercialização dos dados. O exemplo mais simbólico é o marketplace de medicamentos, inclusive, já proibido pelo CFM, na Resolução Nº 2.299/2021.
Alguns sistemas de gestão se integram a plataformas de prescrição muitas vezes “gratuitas” e que parecem ser convenientes, mas que podem levar o médico a violar, sem saber, a lei e a expor os dados dos pacientes.
Uma empresa que se preocupa em inovar de verdade não opta por atalhos e caminhos mais simples para elas, mas sim mais simples e seguros para os usuários.
Somente assim podemos operar no modelo do futuro. Sem isso, a operação da sua clínica ou consultório está em risco, e os seus dados e os de seus pacientes podem te gerar prejuízos legais, reputacionais e financeiros.
Como a ProDoctor se preocupa em evitar a venda ou o compartilhamento de dados da Saúde dos usuários
A ProDoctor se mantém em posição de liderança há quase 30 anos, sendo referência em fazer diferente e entregar soluções inovadoras e seguras. Esse caminho pode não ser o mais fácil para a empresa, mas deixa tudo mais simples e seguro para os clientes.
Veja o que a ProDoctor faz pela segurança de dados
A ProDoctor está sempre pronta para se atualizar de acordo com as exigências do mercado, em total alinhamento às normas e legislações exigidas no país e indo além.
Por isso, além de investir alto em tecnologia, buscamos estar sempre a par das discussões em torno da Saúde Digital. Confira, a seguir, o que oferecemos aos usuários das nossas soluções.
Alinhamento total à LGPD e às Resoluções do CFM
Do ponto de vista pertinente à guarda e ao manuseio das informações de médicos e pacientes para garantir o direito à privacidade e confidencialidade das mesmas, a ProDoctor já estava pronta muito antes das Resoluções mais recentes do CFM, referentes à prescrição eletrônica e telemedicina, serem publicadas.
Veja aqui como atendemos as Resoluções, a LGPD e vamos além.
Na ProDoctor, não vendemos ou compartilhamos as informações de clientes e seus pacientes sob nenhuma hipótese. Agimos como guardiões dos dados dos usuários, como prevê a LGPD.
Banco de dados isolado por cliente
Na ProDoctor, temos o banco de dados isolado, o que significa que armazenamos os dados separados por cliente, o que quase impossibilita o risco de roubo de informação em massa por hackers, além de manter uma separação clara e impossível de ultrapassar entre cada cliente. Somos os únicos que trabalhamos desta forma no mercado de Saúde Digital.
Aplicativos nativos
A ProDoctor opera no modelo do futuro. Com o ProDoctor Cloud, os profissionais de Saúde podem estar em qualquer lugar, como se estivesse em seu consultório. Seja no smartphone ou no tablet, Android ou iOS.
O aplicativo nativo é muito mais rápido, seguro e confiável. Isso porque ele consegue utilizar todos os recursos oferecidos pelos smartphones e tablets, proporcionando uma melhor experiência para o usuário
É comum encontrarmos por aí soluções que se dizem em nuvem ou até mesmo aplicativos, mas que são páginas web responsivas compartilhadas com os usuários.
As clínicas e consultórios que optam por usar sistemas web, ou seja, sites responsivos executados na internet, acessam o sistema a partir de qualquer tipo de navegador, através de uma URL, que são susceptíveis a injeção de códigos maliciosos, malwares, permitindo a invasão por hackers. Ou seja, é muito perigoso.
Prescritor próprio, unificado e totalmente desconectado de marketplaces
Com o ProDoctor, você tem um sistema inteligente, fácil de usar e seguro para prescrever, atendendo plenamente a LGPD e à nova Resolução do CFM.
Além disso, você prescreve com a melhor base de medicamentos disponível no mercado brasileiro, uma exclusividade ProDoctor. As Prescrições eletrônicas no ProDoctor são assinadas digitalmente no padrão ICP-Brasil, com QR Code.
Unificação ao invés de integração
Se você se preocupa de verdade com a sua segurança, de sua clínica e de seus pacientes, a melhor opção é unificar.
Desta forma, seus dados ficam dentro de um ambiente protegido, sem que os dados tenham que trafegar de uma plataforma para a outra.
Se você busca simplicidade e facilidade de uso, unificar é o melhor caminho. Afinal, para que integrar complementando soluções, se você pode ter tudo em um único lugar?
A ProDoctor é uma solução unificada. Isso é diferente de tudo que você vê no mercado, porque não escolhemos o caminho mais fácil para nós.
Escolhemos o mais fácil e melhor para os nossos clientes. Não poupamos investimentos para ter uma equipe multidisciplinar de experts, com profissionais altamente qualificados, para desenvolver, com pioneirismo, as inovações que trazem benefícios para nossos clientes.
Como saber se o sistema que você usa te faz correr riscos financeiros, reputacionais e operacionais?
Quando o assunto é segurança de dados, é preciso ser exigente. Por isso, procure se informar sobre três aspectos importantes, os quais listamos abaixo.
O sistema que você usa possui banco de dados isolado por cliente?
A resposta que você deve receber é “sim”. Inúmeros ataques hackers acontecem em banco de dados gigantescos, como foram os casos recentes da Renner e do Conecte SUS.
Quando isso ocorre e o sistema não tem um banco de dados isolado, milhares de pessoas são vítimas de exposição de dados. Ou seja, basta um único ataque para impactar milhares de usuários.
O seu sistema tem apps nativos ou são aplicações web (browser, site responsivo)?
É comum encontrarmos por aí soluções que se dizem em nuvem ou até mesmo aplicativos, mas que são páginas web responsivas compartilhadas com os usuários.
Por isso, não aceite nada menos que apps nativos, este é o caminho certo. Os aplicativos nativos são o modelo do futuro e a solução de empresas atualizadas tecnologicamente.
Soluções mobile de verdade são programadas exclusivamente para cada sistema operacional. É bem diferente de um site que roda no seu dispositivo móvel.
O aplicativo nativo é muito mais rápido, seguro e confiável. Isso porque ele consegue utilizar todos os recursos oferecidos pelos smartphones e tablets, proporcionando uma melhor experiência para o usuário
Como já explicamos no início deste artigo, as clínicas e consultórios que optam por usar sistemas web, ou seja, sites responsivos executados na internet, acessam o sistema a partir de qualquer tipo de navegador, através de uma URL, que são suscetíveis a injeção de códigos maliciosos, malwares, permitindo a invasão por hackers. Ou seja, não é prático; é muito perigoso.
O sistema que você usa tem um prescritor próprio ou utiliza uma solução complementar?
Fique atento para não cair na cilada de prescrever eletronicamente em sistemas gratuitos e/ou integrados aos softwares. Eles não atendem aos requisitos legais, éticos e podem te expor a muitos riscos. Fuja do pensamento de “todo mundo usa”. Vamos te explicar porquê.
Existem várias opções de prescritores no mercado e o que você precisa saber na hora de escolher qual usar é se segue todos os preceitos éticos, sem jamais vender ou compartilhar seus dados e de seus pacientes; se está 100% alinhado à LGPD e se atende à nova Resolução do CFM Nº 2.299/2021.
Acredite: a grande maioria das soluções não atendem a essas questões, pois o “gratuito” é baseado justamente em usar as suas informações e de seus pacientes para capitalizar.
“É bem provável que a própria Resolução do CFM veio justamente para proteger médicos em um contexto novo, que exige reflexões que antes não faziam parte da sua realidade. Tudo isso acontece em um ritmo tão rápido, que muitos podem cair na armadilha de adotar algum prescritor que aparentemente possa parecer prático, mas na realidade é muito arriscado, devido ao modelo de marketplace adotado. É hora de questionar se você vai continuar permitindo que vendam seus dados ou se vai fazer diferente.” – Jomar Nascimento, CEO e Head de tecnologia da ProDoctor Software.
A HIPAA é uma certificação eficaz para quem opera no Brasil?
Nos Estados Unidos, devido à alta exposição a ciberataques, nos Estados Unidos existem certificações para segurança da informação na Saúde.
Uma delas é bastante conhecida, a HIPAA, sigla para Health Insurance Portability and Accountability Act.
Na verdade, a HIPAA é uma lei estrangeira aplicável apenas no território americano e válida para o mercado de Saúde de lá.
A HIPAA serviu como um exemplo importante de segurança da informação, quando o Brasil ainda não tinha uma legislação clara dedicada ao assunto.
Dizer ser “HIPAA Compliant” é uma abordagem comumente utilizada por empresas de softwares brasileiras, porém na prática, para ser HIPAA Compliant é preciso ser uma empresa americana, que siga as leis vigentes naquele país.
Muitas vezes, empresas brasileiras estão em um datacenter certificado HIPAA, ou seja, têm um parceiro americano, que atende a essa lei.
No entanto, nem o aplicativo, nem a infraestrutura do fornecedor, nem mesmo a operação do aplicativo são certificados. Portanto, a afirmação é falsa e é usada apenas para a busca da credibilidade, baseada em sua boa fé.
Hoje, no Brasil, a LGPD é a lei que regulariza o ambiente digital e é ela que deve ser considerada.
Escolha um sistema médico que se importa com a segurança dos seus dados de verdade
Desconfie de informações superficiais e números estratosféricos!
Com o crescimento exponencial de soluções no mercado e um ambiente altamente competitivo, muitas empresas escolhem caminhos mais “fáceis”, fabricando números e fazendo promessas vazias, ao invés de evoluir suas soluções de verdade.
Mentir, omitir ou manipular informações para parecer ser mais relevante ou para dar credibilidade é minimamente antiético.
Avalie a fundo as comunicações, posicionamento e histórico antes de tomar a decisão de ter um parceiro e/ou um fornecedor para a sua clínica e para você.
Sistemas seguros, empresas com histórico positivo e preocupação legítima com segurança são o único caminho para se construir o futuro dos negócios e das pessoas.
Tenha um sistema médico seguro de verdade. Solicite agora uma demonstração do ProDoctor.
