Certificação de Sistemas de Informação em Saúde no Brasil

Fonte: aprendis
Revisão em 12h41min de 8 de janeiro de 2016 por Maria João Simões (discussão | contribs)
(dif) ← Revisão anterior | Revisão atual (dif) | Revisão seguinte → (dif)
Saltar para a navegaçãoSaltar para a pesquisa
Certificação de Sistemas de Informação em Saúde no Brasil
Área(s) de Atuação Certificação de sistemas de informação, Segurança da Informação, Privacidade, Confidencialidade, Normalização, Standardização
Entidade(s) Criadora(s) Conselho Federal de Medicina, Câmara Técnica de Informática em Saúde, Sociedade Brasileira de Informática em Saúde
Entidade(s) Gestora(s) Conselho Federal de Medicina, Sociedade Brasileira de Informática em Saúde
Data de Lançamento 2002


Introdução

Nas últimas décadas, a tecnologia afetou significativamente a forma como os indivíduos e organizações lidam com suas informações. Em um processo irreversível, os registros em papel vêm sendo transformados em registros eletrônicos, possibilitando inúmeras vantagens proporcionadas por este meio. O mesmo vem ocorrendo na área da saúde, onde profissionais e instituições, consoantes à evolução tecnológica, vêm adotando cada vez mais os registros eletrônicos em suas atividades.


A área da saúde, contudo, apresenta características e condições bastante específicas, tornando-a única perante as demais atividades profissionais e setores da economia, principalmente naquilo que tange às questões de privacidade e confidencialidade dos indivíduos assistidos, à integridade e segurança das informações e aos recursos mínimos necessários para o perfeito registro dos atos praticados e das condições de saúde dos indivíduos.
Neste cenário, o Conselho Federal de Medicina (CFM) visou as questões concernentes à legalidade da utilização de sistemas informatizados para capturar, armazenar, manusear e transmitir dados do atendimento em saúde, incluindo as condições para a substituição do suporte papel pelo meio eletrônico.


Ciente da complexidade do assunto e da necessidade de aprofundar os aspectos técnicos sobre o tema, o CFM, através da Câmara Técnica de Informática em Saúde, estabeleceu convênio de cooperação técnica com a Sociedade Brasileira de Informática em Saúde para desenvolver o processo de certificação de sistemas informatizados em saúde.
O primeiro produto da parceria SBIS-CFM foi a elaboração da resolução nº 1639/2002, que aprovou as "Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico", dispondo sobre o tempo de guarda dos prontuários, estabelecendo critérios para certificação dos sistemas de informação e dando outras providências. Posteriormente, esta foi revogada e substituída pela resolução nº 1821/2007, que aprovou as “Normas Técnicas Concernentes à Digitalização e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Prontuários dos Pacientes, Autorizando a Eliminação do Papel e a Troca de Informação Identificada em Saúde”, a qual faz referência, em seu artigo 1º, a este Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES).
O segundo produto foi a elaboração do Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES).


Com base nesse manual, publicado em 2004 nos sítios da SBIS e do CFM, teve início a Fase 1 do Processo de Certificação SBIS-CFM, que teve 70 sistemas declarados pelos representantes legais das organizações detentoras, como aderentes ao conjunto de requisitos da versão 2.1 do manual (auto-declaração).
A Fase 1 teve como objetivo preparar o mercado para o processo de certificação, o que foi plenamente atingido. A publicação da versão 3.2 (Edição 2008) do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) em agosto de 01/08/2008 encerrou as possibilidades de auto-declaração (Fase 1) e deu início ao processo de auditoria efetiva dos sistemas (Fase 2).
A lista das organizações que haviam declarado seus S-RES Manual de Certificação para Sistemas de Registro Eletrônico em Saúde CERTIFICAÇÃO 2013 Versão 4.1 22/10/2013 Página: 9/91 conformes com a versão 2.1 do manual permaneceu disponível para consulta no sítio da SBIS na internet pelo período de 06 (seis) meses, sendo, portanto, retirada em 01/02/2009.


Desde o início da Fase 2, diversos sistemas foram auditados sob este processo, sendo vários destes aprovados.


OBJETIVOS.png


Padronização

Padrões Utilizados Segundo a Organização Internacional de Padronização (International Organization for Standardization – ISSO:

  • Resolução CFM N.º 1638/2002 A Resolução CFM nº 1638/2002
Define prontuário médico e atribui as responsabilidades por seu preenchimento, guarda e manuseio. Essa resolução torna obrigatória a existência de comissões de revisão de prontuários médicos nos estabelecimentos de saúde onde se presta assistência médica, estabelecendo as informações de caráter obrigatório que devem constar no prontuário médico, seja ele eletrônico ou em papel.
  • Resolução CFM N.º 1821/2007 A Resolução CFM nº 1821/2007
Aprova as "Normas Técnicas Concernentes à Digitalização e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Prontuários dos Pacientes, Autorizando a Eliminação do Papel e a Troca de Informação Identificada em Saúde". Essa resolução aprova o Manual de Certificação para Sistemas de Registro Eletrônico em Saúde, versão 3.0 e/ou outra versão aprovada pelo Conselho Federal de Medicina, autoriza a digitalização de prontuários médicos conforme normas específicas e estabelece a guarda permanente para prontuários médicos arquivados eletronicamente, em meio óptico ou magnético e microfilmados, bem como o prazo mínimo de vinte anos para a preservação dos prontuários médicos em suporte de papel.
  • A Infraestrutura de Chaves Públicas ICP-Brasil
A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil foi criada através da Medida Provisória 2.200-2 de 24 de agosto de 2001, transformando o Instituto Nacional de Tecnologia da Informação – ITI em autarquia ligada à Casa Civil da Presidência da República. Por meio dessa MP e das resoluções publicadas pela ICP-Brasil, são estabelecidos os critérios para o estabelecimento e funcionamento do sistema, servindo de base para os serviços de assinatura, não-repúdio, identificação e sigilo. Como resultados, têm-se o aumento de segurança das transações eletrônicas e aplicações que façam uso de certificados digitais, assim como a possibilidade da migração total de Manual de Certificação para Sistemas de Registro Eletrônico em Saúde CERTIFICAÇÃO 2013 Versão 4.1 22/10/2013 Página: 11/91 processos em papel para meios eletrônicos, sem prejuízo do reconhecimento legal destes documentos.
  • Os Cadastros Nacionais em Saúde
Os principais cadastros nacionais são o Cadastro Nacional de Usuários do SUS e o Cadastro Nacional de Estabelecimentos e Profissionais de Saúde - CNES . O Cadastro Nacional de Usuários estabelece o conjunto de informações necessárias para que uma pessoa seja identificada no Sistema de Saúde Brasileiro. O CNES estabelece a identificação de todos os estabelecimentos de saúde públicos e privados no País. O número CNES é de uso obrigatório na área pública e privada. O conjunto de dados de ambos os cadastros foi utilizado como padrão de identificação nos requisitos deste manual.
  • O Padrão TISS
O padrão TISS - Troca de Informação em Saúde Suplementar é o padrão definido pela Agência Nacional de Saúde Suplementar – ANS para registro e intercâmbio de dados entre operadoras de planos privados de assistência à saúde e prestadores de serviços de saúde. O objetivo do padrão TISS é atingir a compatibilidade e interoperabilidade funcional e semântica entre os diversos sistemas independentes para fins de avaliação da assistência à saúde (caráter clínico, epidemiológico ou administrativo) e seus resultados, orientando o planejamento do setor. O padrão TISS está organizado em cinco componentes: organizacional, conteúdo e estrutura, representação de conceitos em saúde, ‘segurança e privacidade’ e comunicação, conforme descrevem as Resoluções Normativas publicadas no sítio da ANS.
  • Normas ISO TC-215
A norma ISO/TR 20.514[8] é um documento de referência técnica (“TR - Technical Report”) que estabelece as definições de RES e de Sistemas de RES. Esse relatório descreve as principais categorias de sistemas, define cenários de utilização, e a necessidade de interoperabilidade semântica entre os diferentes S-RES. Adicionalmente esse relatório introduz o conceito de Registro Pessoal de Saúde – RPS.
  • Comissão de Estudo Especial de Informática em Saúde (CEEIS) da ABNT
A ABNT – Associação Brasileira de Normas Técnicas é a representante oficial do Brasil junto à ISO. Em outubro de 2006, a ABNT criou a Comissão Especial de Estudos em Informática em Saúde, inspirada no Comitê de Informática em Saúde da ISO, também conhecido como TC-215.
  • Normas ISO/IEC JTC1/SC27
O Joint Technical Committee 1 (JTC1) é o comitê técnico da ISO responsável pela elaboração de normas sobre tecnologia da informação. Seu sub-comitê 27 (SC27) é responsável pelas normas que tratam das técnicas de segurança em tecnologia da informação. Desta forma, várias de suas normas são de interesse também para a área de saúde.
  • ANSI HL7 Functional Model (EHR-S FM)
O HL7 é o padrão mais utilizado para intercâmbio de dados na área da saúde no cenário internacional, há mais de 15 anos. Hoje, na versão 3.0, o padrão incorpora um modelo de referência RIM – Reference Information Model com conceitos dos domínios clínico e administrativo. Em 2001, o HL7 estabeleceu um grupo de trabalho em Registros Eletrônicos em Saúde (EHR-SIG). Este grupo de trabalho definiu um conjunto de requisitos funcionais para SRES: o EHR Functional Model[18]. O trabalho realizado por este comitê é extenso e cobre diferentes perfis de sistema, com um enfoque prático e proposta de scripts para validação dos requisitos. No Brasil, em fevereiro de 2007, foi criado o Instituto HL7 Brasil a fim de dar respaldo jurídico e administrativo às atividades da representação do HL7 no Brasil, com o intuito de "promover e prover padrões relacionados com a troca, integração, compartilhamento e recuperação de informação eletrônica, para apoio da prática médica e administrativa, permitindo um maior controle dos serviços de saúde". Os grupos de trabalho estão em fase de organização, dentre eles, o Grupo de Registro Eletrônico de Saúde e Registro Pessoal em Saúde, que discute os requisitos funcionais de S-RES.
  • Processo de Certificação CCHIT
A Certification Commission for Healthcare Information Technology – CCHIT desenvolveu o processo de certificação de S-RES[19] adotado no mercado americano. Sua origem é posterior à Certificação SBIS-CFM, uma vez que foi criado em 2005, com um aporte inicial da ordem de 7.5 milhões de dólares, e é administrado pelas seguintes organizações: American Health Information Management Association (AHIMA); Healthcare Information and Management Systems Society (HIMSS); e National Alliance for Healthcare Information Technology (the Alliance). O processo americano é voluntário e baseado em conjuntos de scripts para diferentes categorias de S-RES. Os critérios são bastante detalhados e analisam a funcionalidade, conteúdo, estrutura, segurança e aspectos de interoperabilidade dos S-RES. Os S-RES são avaliados por três auditores, à distância, a partir de ambiente cooperativo especializado para esta finalidade. O processo do ponto de vista técnico é semelhante ao da SBIS-CFM.


Definições

As normas ABNT ISO/TR 20514[10] e ISO/TS18308[11] apresentam definições utilizadas na elaboração deste manual, em especial nos requisitos de conteúdo, estrutura e funcionalidades. As seguintes definições, extraídas destas normas, são relevantes para o entendimento deste manual:

Registro Eletrônico em Saúde (RES): Um repositório de informação a respeito da saúde de indivíduos, numa forma processável eletronicamente.
Sistema de Registro Eletrônico em Saúde (S-RES): Sistema para registro, recuperação e manipulação das informações de um Registro Eletrônico em Saúde.
Arquitetura: Conjunto de artefatos de projeto ou representações descritivas que são relevantes para descrever um objeto de modo que ele possa ser produzido com base em requisitos (qualidade), como também mantido durante o período de sua vida útil (alteração).
Arquitetura do Registro Eletrônico em Saúde (ARES): Componentes estruturais genéricos a partir dos quais todos os RES são construídos, definidos em termos de um modelo de informação.
Informação processável em computador: Informação que pode ser programaticamente criada, armazenada, manipulada e recuperada de um computador eletrônico. <br< Interoperabilidade funcional: A habilidade de dois ou mais sistemas trocarem informações.
Interoperabilidade semântica: A habilidade da informação compartilhada entre sistemas ser entendida em nível dos conceitos de domínio formalmente definidos.
Modelo lógico de informação: Modelo de informação que especifica as estruturas e relações entre as informações, mas é independente de qualquer tecnologia particular ou ambiente de implementação.


Princípios da Certificação

Imparcialidade

Para que a SBIS possa oferecer uma certificação que proporcione confiança, é necessário que todo o processo seja imparcial e percebido como tal. Todas as atividades e decisões do Processo de Certificação SBIS-CFM serão baseadas em evidências objetivas de conformidade e que as decisões não serão influenciadas por interesses espúrios.
A SBIS manterá procedimentos para detectar, avaliar, documentar e combater todas as ameaças à imparcialidade da Certificação SBIS-CFM, em todos os níveis da organização, preventiva e corretivamente, inclusive com aplicação de sanções, quando necessário.


Competência

Para que a certificação ofereça confiança, é necessário que o Processo de Certificação SBIS-CFM utilize apenas recursos humanos competentes, entendendo-se por competência a capacidade demonstrada de aplicar conhecimentos e habilidades. A SBIS utilizará no Processo de Certificação SBIS-CFM somente recursos humanos comprovadamente competentes e autorizados, e manterá registros de formação, experiência, habilidade e treinamento dos mesmos.


Responsabilidade

Para que a certificação ofereça confiança, é necessário que o Cliente Certificado entenda e assuma que é ele, e não a SBIS, quem possui a responsabilidade pela conformidade com os requisitos da certificação. Por exemplo, diante de uma reclamação de um cliente usuário do S-RES, a certificação jamais poderá ser invocada como evidência objetiva de que o S-RES não apresente a deficiência apontada pelo cliente. Pelo contrário, a certificação reforça o compromisso do Cliente Certificado em promover todas as investigações e subsequentes correções ou esclarecimentos para sanar as reclamações de seus clientes.
A SBIS é responsável por avaliar evidências objetivas suficientes nas quais possa basear sua decisão de certificação, conforme requisitos expressos neste manual. A certificação SBIS-CFM será concedida se houver evidência suficiente de conformidade aos requisitos do manual, com base nos resultados das auditorias. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde CERTIFICAÇÃO 2013 Versão 4.1 22/10/2013 Página: 16/91 O processo de auditoria baseia-se em amostragem. Não existe, portanto, garantia de 100% de conformidade com os requisitos; há sempre um risco associado ao processo que deve ser entendido e assumido por todas as partes envolvidas.


Transparência

Transparência é um princípio de acesso ou divulgação de informações. Para obter e manter confiança na certificação, a SBIS oferecerá acesso público sobre seu processo de certificação, exceto informações de natureza confidencial, tais como as informações privadas dos Solicitantes e Clientes Certificados.


Confidencialidade

A confidencialidade é um princípio que favorece à SBIS obter confiança do Solicitante de que não terá sua imagem ou seus interesses, de alguma forma, prejudicados por submeter seus S-RES ao processo de certificação.


Capacidade de Respostas a Reclamações

Para que a certificação adquira confiança das partes interessadas, é necessário que tanto a SBIS quanto o Cliente Certificado sejam capazes de prontamente registrar e tratar adequadamente as reclamações a que tiverem acesso.


Categorias e Enquadramento dos Sistemas

Para fins da Certificação SBIS-CFM, pode ser submetido ao processo qualquer S-RES que atenda minimamente à seguinte categoria:

  • Básica: S-RES voltados à assistência à saúde de indivíduos, de forma básica e genérica (não específica), tais como: automação de consultórios clínicos, atendimento ambulatorial, unidades básicas de saúde, atendimento e/ou internação hospitalar, pronto-atendimento, saúde ocupacional, clínicas de imunização, home care, serviços de diagnóstico e terapia, etc.
  • Ambulatorial: S-RES voltados para a assistência ambulatorial, tais como: automação de consultórios clínicos, clínicas, unidades básicas de saúde, etc., assim como a parte ambulatorial de sistemas hospitalares ou de sistemas integrados de informação em saúde.


Nível de Garantia da Segurança

Um dos pontos mais importantes da Certificação SBIS-CFM é a segurança da informação. Para isso, definiu-se uma série de requisitos de segurança que os sistemas devem obrigatoriamente atender.
O Processo de Certificação SBIS/CFM classifica os S-RES, do ponto de vista de segurança da informação, em dois Níveis de Garantia de Segurança (NGS):

  • NGS1:define uma série de requisitos obrigatórios de segurança, tais como controle de versão do software, controle de acesso e autenticação, disponibilidade, comunicação remota, auditoria e documentação.
  • NGS2: exige a utilização de certificados digitais ICP-Brasil para os processos de assinatura e autenticação.


O NGS2 é o nível mais elevado de segurança; para atingi-lo é necessário que o S-RES atenda aos requisitos já descritos para o NGS1 e apresente ainda total conformidade com os requisitos especificados para o Nível de Garantia 2.


IMPORTANTE: somente os sistemas em conformidade com o NGS2 atendem a legislação brasileira de documento eletrônico e, portanto, podem ser 100% digitais, sem a necessidade da impressão do prontuário em papel.


Validade da Certificação

O Certificado SBIS-CFM será válido por um período calculado da seguinte forma: 02 (dois) anos a partir da emissão, ou 06 (seis) meses a partir da publicação pela SBIS da versão do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde imediatamente posterior à que serviu de base para o certificado, sendo considerado o evento que ocorrer na data mais avançada. Portanto, o Cliente Certificado terá a segurança de que o Certificado SBIS-CFM não terá duração inferior a dois anos e que, se for publicada uma nova versão do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES), ele terá prazo não inferior a seis meses para adequar seu S-RES à nova versão do manual, antes que expire a validade do seu Certificado.


Selo da Certificação

Quando um sistema é auditado e apresenta 100% de adesão aos requisitos obrigatórios, a SBIS e o CFM emitem um selo que representa visualmente a adesão do sistema à norma, de acordo com as categorias nas quais foi auditado:

SELO.png


Bibliografia

  1. http://www.sbis.org.br/certificacao/Manual_Certificacao_SBIS-CFM_2013_v4-1.pdf
  2. http://www.sbis.org.br/certificacao/Cartilha_SBIS_CFM_Prontuario_Eletronico_fev_2012.pdf.