Todos nós conhecemos alguém ou até já fomos vítimas de tentativas de golpes financeiros. De maneira geral, os criminosos, cada vez mais rebuscados em suas estratégias, se aproveitam do pouco conhecimento sobre segurança digital das pessoas para alcançar seus objetivos.
No primeiro semestre de 2021, os golpes contra clientes de banco cresceram 165% em relação ao mesmo período em 2020, de acordo com levantamento realizado pela Federação Brasileira de Bancos (Febraban).
Sim, os dados bancários valem muito na dark web, mas vamos te contar algo muito impressionante: os dados de um paciente, hoje, podem valer 50 vezes mais que dados bancários!
Segundo o Relatório Anual da Apura Cyber Intelligence, em 2021, a área da saúde foi a terceira mais atacada no Brasil por ransomware, ficando atrás apenas de Governo e Indústria.
Por que a venda de dados da Saúde se tornou tão estimada?
Você já parou para pensar por que não temos os mesmo cuidados com os dados de Saúde que temos com os dados bancários? Dados bancários nos remetem imediatamente à dinheiro, o que é verdade. Porém, os dados de Saúde valem ainda mais, gerando prejuízos desastrosos.
Por que então não se fala muito sobre isso? Porque querem te fazer acreditar que não é necessário todo este cuidado e que o mundo de hoje é movido a dados, “então, fazer o quê?” Mas a realidade é dura e precisamos falar sobre isso. Os dados da saúde movem tantos outros mercados, que lucram com base nas informações de pacientes, expondo diversos atores a riscos, inclusive os profissionais de saúde.
O diretor da consultoria de negócios Peers Consulting, Alexandre Sgarbi, explica que “as informações de um paciente não mudam nunca e podem nutrir detalhes para golpes ainda maiores do que um desvio do saldo bancário”. Afinal, quem compra essas informações pessoais sensíveis, consegue, por exemplo, fraudar seguro de vida, com valores muito maiores do que um roubo de cartão.
O que diz a lei?
A LGPD diz que é totalmente proibida a comunicação ou o uso compartilhado entre controladores de dados referentes à Saúde com o objetivo de obter vantagem econômica.
É comum concordarmos, sem muita noção da proporção desta decisão – em usar algum sistema que expõe nossos dados, compartilham ou até vendem para terceiros. Milhares de médicos e outros profissionais da Saúde permitem que seus dados e os de seus pacientes trafeguem entre plataformas integradas. As pessoas podem pensar que esta é a realidade e não há muito o que fazer. Ou ainda, podem acreditar que o compartilhamento de dados é algo inovador, tendência do futuro e não há como fugir disso.
Não, não é bem assim. É preciso mudar essa mentalidade.
Com o grande fluxo de troca de informações no ambiente digital, muitos profissionais da Saúde buscam sistemas que sejam capazes de se comunicar entre si, o que chamamos de interoperabilidade. Este é um conceito muito válido, porém existe uma linha tênue entre o que pode ou não ser comunicado para outros elementos e a finalidade do uso desta informação. A interoperabilidade só faz sentido se beneficiar o indivíduo, no caso, o paciente, dono de seus dados.
Entretanto, o que acontece é a comercialização dos dados. O exemplo mais simbólico é o marketplace de medicamentos, inclusive, já proibido pelo CFM, na Resolução Nº 2.299/2021.
Inovação de verdade é aquela que simplifica sua vida e se preocupa com a sua segurança.
Como saber se os sistemas que você usa te fazem correr riscos legais, reputacionais e operacionais?
1. O sistema possui banco de dados isolado por cliente?
A resposta que você deve receber é “sim”. Inúmeros ataques hackers acontecem em banco de dados gigantescos, como foram os casos recentes da Renner e do Conecte SUS.
Quando isso ocorre e o sistema não tem um banco de dados isolado, milhares de pessoas são vítimas de exposição de dados. Ou seja, basta um único ataque para impactar milhares de usuários.
2. O sistema tem apps nativos ou são aplicações web (browser, site responsivo)?
É comum encontrarmos por aí soluções que se dizem em nuvem ou até mesmo aplicativos, mas que são páginas web responsivas compartilhadas com os usuários.
O aplicativo nativo é muito mais rápido, seguro e confiável. Isso porque ele consegue utilizar todos os recursos oferecidos pelos smartphones e tablets, proporcionando uma melhor experiência para o usuário.
As clínicas e consultórios que optam por usar sistemas web, ou seja, sites responsivos executados na internet, acessam o sistema a partir de qualquer tipo de navegador, através de uma URL, que são suscetíveis a injeção de códigos maliciosos, malwares, permitindo a invasão por hackers. Ou seja, não é prático; é muito perigoso.
3. O sistema tem um prescritor próprio ou utiliza uma solução complementar?
Fique atento para não cair na cilada de prescrever eletronicamente em sistemas gratuitos e/ou integrados aos softwares. Eles não atendem aos requisitos legais, éticos e podem te expor a muitos riscos. Fuja do pensamento de “todo mundo usa”. Vamos te explicar porquê.
Existem várias opções de prescritores no mercado e o que você precisa saber na hora de escolher qual usar é se segue todos os preceitos éticos, sem jamais vender ou compartilhar seus dados e de seus pacientes; se está 100% alinhado à LGPD e se atende à nova Resolução do CFM Nº 2.299/2021.
Não poderia deixar de falar da HIPAA. Afinal, ela é uma certificação eficaz para quem opera no Brasil?
Nos Estados Unidos, devido à alta exposição a ciberataques, existem certificações para segurança da informação na Saúde. Uma delas é bastante conhecida, a HIPAA, sigla para Health Insurance Portability and Accountability Act.
Na verdade, a HIPAA é uma lei estrangeira aplicável apenas no território americano e válida para o mercado de Saúde de lá. A HIPAA serviu como um exemplo importante de segurança da informação, quando o Brasil ainda não tinha uma legislação clara dedicada ao assunto.
Dizer ser “HIPAA Compliant” é uma abordagem comumente utilizada por empresas de softwares brasileiras, porém na prática, para ser HIPAA Compliant é preciso ser uma empresa americana, que siga as leis vigentes naquele país.
Muitas vezes, empresas brasileiras estão em um datacenter certificado HIPAA, ou seja, têm um parceiro americano, que atende a essa lei. No entanto, nem o aplicativo, nem a infraestrutura do fornecedor, nem mesmo a operação do aplicativo são certificados. Portanto, a afirmação é falsa e é usada apenas para a busca da credibilidade, baseada em sua boa fé.
Hoje, no Brasil, a Lei Geral de Proteção de Dados (LGPD) é a lei que regulariza o ambiente digital e é ela que deve ser considerada
Com o crescimento exponencial de soluções no mercado e um ambiente altamente competitivo, muitas empresas escolhem caminhos mais “fáceis”, fabricando números e fazendo promessas vazias, ao invés de evoluir suas soluções de verdade. Avalie a fundo as comunicações, posicionamento e histórico antes de tomar a decisão de ter um parceiro e/ou um fornecedor para a sua clínica e para você.
Sistemas seguros, empresas com histórico positivo e preocupação legítima com segurança são o único caminho para se construir o futuro dos negócios e das pessoas.
*Jomar Nascimento é CEO da ProDoctor