As instituições ainda falham na hora de proteger os dados pessoais dos seus pacientes.
O avanço da tecnologia tem feito com que a medicina encontre novas formas de trabalhar com as informações médicas. O problema é que as instituições ainda falham em proteger os dados pessoais de seus pacientes. Em diferentes países, os vazamentos de dados médicos variam em escala, mas o resultado é sempre o mesmo – a perda de dados pessoais.
Com a transição dos dados para a forma digital, as instituições se tornaram vulneráveis aos ataques cibernéticos e à ação de agentes internos. Geralmente, a informação sobre pacientes é “desviada” com o intuito de obter de lucros ou troca de serviços. E os interessados na compra de dados pessoais são muitos, em especial os fraudadores.
Além de violar as normas da Lei Geral de Proteção de Dados (LGPD), que entra em vigor no próximo ano, esse tipo de vazamento é grave por afetar diretamente a privacidade das vítimas, que podem ser alvo de fraudes altamente personalizadas e até de extorsão. Isso já é o bastante para, no mínimo, alertar as organizações sobre a importância da governança de dados no setor de saúde. De todas as verticais que precisam de uma política de governança de dados completa, o setor de saúde sem dúvidas está no topo.
Dados do estudo Cost of Data Breach, do Instituto Ponemon, divulgados este ano, mostraram que, pelo 8º ano consecutivo, as organizações de saúde tiveram os maiores custos associados a violações de dados – cada registro perdido ou roubado custou US$ 408 – quase três vezes mais do que a média entre setores (US$ 148). Por mais óbvio que pareça, a governança de dados nada mais é que os processos e procedimentos que as organizações têm para gerenciar e proteger seus dados. No setor de saúde, isso garante aos profissionais métodos estruturados e padronizados de compartilhar dados médicos para oferecer o mais alto nível de qualidade no atendimento ao paciente.
Um programa de governança de dados é capaz de prevenir para que esse tipo de problema não aconteça. O primeiro passo na implementação de um programa de governança de dados é categorizar e classificar os dados de saúde nos locais em que estão armazenados e então entender quem pode acessá-los – todas as informações de saúde podem ser marcadas como confidenciais. Com isso, é possível criar um perfil de riscos e usar essas informações para continuar o processo de governança seguindo para o próximo passo, que é a reavaliação dos privilégios.
O principal objetivo de qualquer programa de governança de dados é uma política de privilégios mínimos – ou seja, acabar com os grupos de acesso global e garantir que cada pessoa ou serviço tenha acesso apenas aos dados de que precisam para realizar seu trabalho. Assim, as empresas podem definir usuários responsáveis pelos dados e dar a eles o poder de adicionar e remover acessos quando necessário, e auditar permissões regularmente. Essas pessoas devem ser as defensoras dos dados, sabendo quem tem e quem deve ter acesso às informações e quais são as pessoas que mais lidam com cada arquivo.
Uma estrutura de soluções de segurança da informação também é importante, mas é fundamental ter em mente que não basta criar barreiras para os hackers. É fundamental contar com tecnologias de análise e monitoramento dos dados, que mantenham registros de quem está acessando e como estão usando cada informação e emitam alertas quando algo atividades incomuns são realizadas, como o acesso de pessoas estranhas aos dados médicos de funcionários.
*Por Carlos Rodrigues, vice-presidente da Varonis para a América Latina
