Alerta do CFM e da SBIS   
 
 
 

Novidades

A reunião do dia 18/02 na sede do CFM em Brasília foi muito produtiva!
Avançamos muito na discussão, em especial nos aspectos da metodologia de certificação. Os requisitos de segurança e conteúdo foram amplamente debatidos e os documentos estão sendo revisados com as decisões da reunião. Decidiu-se que todas as atividades que não dizem respeito ao software mas sim ao processo estarão incluídas no Manual de Boas Práticas. Também ficou acertado que após a publicação dos documentos será dado um prazo de pelo menos seis meses para que as empresas/instituições desenvolvedoras de software possam se adequar aos requisitos. O prazo inicial para a publicação dos documentos no site é Abril 2003. Ficou também acertado que o primeiro passo para o processo de certificação é o preenchimento do cadastro no Panorama de Software. A próxima reunião foi agendada para 21 de março no Rio de Janeiro.
Assim que os documentos dos subgrupos forem revisados estarão disponíveis para comentários pelos sócios da SBIS. Após aprovação pela SBIS todos os documentos estarão disponíveis no site.
 

--------------------------------------------------------------------------------

Histórico

Conforme definido na assembléia ordinária da SBIS, realizada em Outubro, durante o CBIS 2002, um grupo inicial de pessoas ficou responsável pela organização da discussão a respeito da Certificação de Software na Área da Saúde a fim de atender as Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico da resolução 1639/2002 do Conselho Federal de Medicina.
 

--------------------------------------------------------------------------------

Missão

Certificar sistemas informatizados para a guarda e manuseio do prontuário do paciente conforme resolução CFM 1639/2002.

Cabe ao GT definir a metodologia de certificação e detalhar os requisitos que serão analisados nos sistemas informatizados de gerenciamento do prontuário médico.
 

--------------------------------------------------------------------------------

FAQs

Membros GT Certificação indicados pela Assembléia Geral da SBIS em Outubro de 2002:

Paulo Roberto Lopes (DIS/UNIFESP), Ernani Almada (NextSaúde), Osni Pereira (Cruz Azul Polícia Militar São Paulo), Valeria Lacerda (Faculdade de Medicina de Marília), Daniel Sigulem (DIS/UNIFESP), Umberto Tachinardi (INCor/FMUSP), Ricardo Gamarski (ANVISA), Débora Feijó Vieira (HCPA/ENF-UFRGS), Ilara Hammerli Sozzi Moraes (ENSP/FIOCRUZ), Marcelo Machado de Oliveira (Techne), Beatriz de Faria Leão (coordenação – Ministério da Saúde /SNIS).

Novos Membros

Além dos nomes acima aprovados pela AG da SBIS o grupo conta hoje com os seguintes participantes que compareceram às reuniões do GT:

Pablo Madril (SUMMA Technologies), Paulo Marcondes Carvalho Jr. (Faculdade de Medicina Marilia – FAMEMA), Manoel Lemos (Hypercom), Cláudio Pignatari de Barros (Intelliway), Marcelo Lúcio da Silva (HU-USP/DI-USP), Jacques Wainer (UNICAMP – necessita associar-se à SBIS), Marivan Abrahão (DIS/UNIFESP), Stanley Galvão (HU-USP/DI-USP), Luiz Augusto Pereira (CREMERS), André Amaro Toffanello (SNIS / Ministério da Saúde), Ilara Hammerli S de Moraes (ENSP/FIOCRUZ), Valeria Lacerda (Faculdade de Medicina de Marília), Marcelo Machado de Oliveira (Techne), Marcelo Teixeira Botelho, Osni Pereira (Cruz Azul), Débora Feijó Villas Bôas Vieira (Hospital de Clínicas de Porto Alegre), Eduardo Pereira Marques, Fabiane Bizinella Nardon (Summa Technologies), NexoCS Informática Ltda, John Lemos Forman (Tecso), Lincoln Assis Moura Junior (Atech), Laudelino Bastos, Lucas Gregório Bercht, Marcelo Lucio Silva, Marivan Santiago Abrahão, Marisa Kluck (Hospital de Clínicas de Porto Alegre), Paulo Roberto de Lima Lopes (Departamento de Informática em Saúde/Escola Paulista de Medicina), Ricardo Gamarski, Rodrigo de Pinho Sepulcri, Daniel Sigulem (Departamento de Informática em Saúde/Escola Paulista de Medicina), Sérgio Felipe Zirbes (Hospital de Clínicas de Porto Alegre), Umberto Tachinardi (Instituto do Coração/HCFMUSP), Rosane Terezinha Gotardo, Luiz Roberto de Oliveira (Câmara Técnica de Informática em Saúde/CREMEC).
 

--------------------------------------------------------------------------------

Como posso participar do GT de Certificação ?

Critérios para participar

Ser sócio da SBIS e estar em dia com o pagamento da anuidade. O acesso aos documentos finais do GT é público. Os novos membros que ainda não são sócios foram convidados a se inscreverem na SBIS até 15/01/2003. A partir desta data quem não for membro da SBIS com a anuidade regular será excluído da lista de discussão.

Caso deseje participar, envie e-mail para Beatriz de Faria Leão (Coordenadora do GT).
 

--------------------------------------------------------------------------------
 

Questões em discussão

Reunião 25/11

Processo de Certificação terceirizar ou assumir pela SBIS

Após discussão foi consenso do grupo que a SBIS deve assumir o papel de certificar. Foi comentado que este é um momento político importante para a SBIS e que este processo poderá ser útil para fazer a sociedade crescer e ganhar maior visibilidade.

Objeto da certificação – Software ou a sua utilização

Após discussão foi consenso do grupo que a tarefa de certificar software é bastante complexa e que neste primeiro momento o GT se limitará a atribuir certificação de sistemas voltados para a automação do prontuário eletrônico. Demais sistemas poderão vir a serem certificados, após esta etapa vencida.

Processo de Certificação

Após discussão pelo grupo, a idéia inicial é que o processo de certificação parta do preenchimento de questionário que deverá estar disponível na página do GT Certificação. A seguir o responsável pelo produto encaminhará o questionário via Internet ao CFM/SBIS. O grupo entendeu que para que selo de qualidade tenha valor é necessário auditar o produto. Apenas o preenchimento do questionário não foi considerado como suficiente. Foram citados exemplos vários de outros selos de qualidade que perderam totalmente a confiabilidade no mercado. Foi consenso do grupo a necessidade de auditoria para que o selo SBIS seja um selo que tenha qualidade e reconhecimento no mercado. Dependendo da complexidade e tamanho do produto este poderá ser encaminhado para análise ou necessitará de visita in-loco.

O perfil dos auditores não foi detalhado nesta primeira reunião e ficou para discussão na lista. Alguns pontos ficaram claros: é necessário ser sócio titula da SBIS para ser auditor, seguir um código de boas práticas (que teremos que definir).
 
 

Reunião 12/12

Normas ISO 17799 e 15408
Esta apresentação foi realizada por Jacques Wainer e consistiu de um resumo do documento elaborado pelo próprio e distribuído na lista de discussão sobre certificação da SBIS. As principais conclusões sobre estas normas foram as seguintes:

A ISO 17799 define como a organização deve se organizar para ter práticas de segurança. Não existe nenhum mecanismo para certificar por segurança na ISO 17799. Esta norma trata da gestão de segurança.
Na área de sistemas, os itens mais relevantes da norma 17799 são os itens 8, 9 e 10. O item 8 é sobre gerenciamento de operações, o item 9 é sobre controle de acesso e o item 10 é sobre desenvolvimento de sistemas.
Segundo a norma 17799, a troca de informações entre organizações tem que ser mediada por um contrato.
A conclusão sobre a norma 17799 é que ela não atende as necessidades do projeto de certificação, uma vez que não diz qual seria a responsabilidade do software, mas sim, qual a responsabilidade da organização.
A norma ISO 15408 (Common Criteria) é uma combinação de esforços dos governos dos EUA, Canadá, Alemanha e França para unificar as suas normas para sistemas considerados seguros.
Atualmente estamos na versão 2.1 do Common Criteria e o objetivo desta norma é avaliar um sistema e não certificá-lo. O volume 2 desta norma é um catálogo de componentes de segurança. Exemplos destes componentes são classe de auditoria e integridade dos logs dos eventos. O que se deve definir, no contexto da certificação para o CFM, é o conjunto de componentes de segurança que define a segurança de um Prontuário Eletrônico.
Apresentação sobre ICP – Brasil
Esta apresentação foi realizada por André Toffanello e teve como objetivo apresentar como inserir o certificado digital dentro do Prontuário Eletrônico. A apresentação realizada mostrou o que é chave pública, apresentou a Medida Provisória 2.200-2 de 24/8/2001, que instituiu o ICP Brasil e que teve como objetivo dar validade jurídica de documentos em forma eletrônica e de realização de transações eletrônicas.

A Medida Provisória define critério que estão divididos em 20 artigos, cujos pontos relevante são:

Artigo 6: o par de chaves será gerado pelo titular e a responsabilidade de uso e guarda é dele
Artigo 10.1: um documento com certificado digital tem a equivalência de um documento em papel
Artigo 10.2: não é necessário utilizar só certificados ICP/Brasil, desde que o outro certificado seja aceito pelas partes como válido.
Protocolos e aplicações que utilizam certificados digital:

Assinatura Digital: certificação de usuário, certificação de web service, etc
Sigilo: certificação de roteadores, etc
Aplicação
SSL
S/MIME: assinatura digital para correio eletrônico
Autenticode / Objectsigning
Form Signing: utilizado pelo Sistema Brasileiro de Pagamentos (SBP)
Há interesse do Ministério da Saúde em se tornar uma Autoridade Certificadora para emitir certificados digitais para a área da saúde.

Resolução do CFM
A resolução do CFM foi apresentada pelo Dr. Luiz Augusto Pereira, representante da Câmara Técnica do CFM. Durante a apresentação, foi apresentado o conteúdo da resolução do CFM que instituiu a certificação de prontuário eletrônico e as legislações que já existem sobre confidencialidade, privacidade, etc da informação médica. Estas legislações se aplicam a qualquer informação médica e não só aquelas em meio eletrônico.

Proposta de Como Certificar o Software
Esta apresentação foi feita por Cláudio Pignatari de Barros e teve como objetivo identificar alguns pontos já discutidos e apresentar uma proposta para discussão.

A proposta parte do princípio de que se vai certificar o software mas não o uso do software, como havia sido decidido em reuniões anteriores. A proposta possui os seguintes itens:

Deve-se decidir que critérios serão utilizados como resultado da avaliação: uma nota será atribuída para o software ou apenas se decidirá se o software atende ou não os requisitos para ser certificado.
Que se tenha um conjunto de requisitos mínimos e um conjunto de requisitos opcionais.
Que se discuta que padrões terão que ser utilizados pelos softwares
Que se definam os requisitos para submissão de produtos para certificação
Que cada fornecedor diga como comprovar que cada produto possui uma determinada característica
Definir a metodologia de avaliação
Definir os itens que serão avaliados
Definir o conjunto mínimo de dados que os sistemas devem possuir
Avaliar a segurança das informações
Definir um critério de interoperabilidade mínima: no mínimo um mecanismo que permita ao hospital exportar seus dados para trocar de software
Avaliar a qualidade do software (qualidade da interface, etc)
Avaliar a documentação do software
Validação das saídas do software, validação das informações entradas no software
Quanto o software facilita o bom uso dele (exemplo: obriga trocar a senha, etc).

--------------------------------------------------------------------------------

SubGrupos de Trabalho

Subgrupo 1: Processo de certificação

Missão: Detalhar o processo de certificação a ser implantado pela SBIS

Componentes: Cláudio Pignatari de Barros, Stanley Galvão, Osni Pereira, Marivan Abrahão, Marcelo Silva, Nelson Berny Silva
 
 

Subgrupo 2: Segurança

Missão: Detalhar os requisitos de segurança para fins de certificação

Componentes: André Toffanello e demais membros da equipe do SNIS
 
 

Subrgrupo 3: Conteúdo e Funcionalidades

Missão: Detalhar os requisitos de conteúdo e funcionalidades que deverão estar presentes nos sistemas informatizados de prontuário eletrônico

Componentes: Marcelo Oliveira, Manoel Lemos, Luiz Augusto Pereira, Ernani Almada, Beatriz Leão
 

--------------------------------------------------------------------------------

Documentos

O acesso aos documentos de trabalho é restrito aos membros do GT. As propostas do GT devem ser aprovadas pela AG da SBIS onde apenas o sócio titular tem direito a voto. Estimulam-se os participantes do GT a solicitarem a sua entrada como sócios titulares.

Documentos de Acesso Público
Atas de Reuniões
25/11/2002 – Sucesu, São Paulo – ata_20021125_Final.doc

12/12/2002 - Sucesu, São Paulo – ata_20021212_V12.doc

Referências
1.1 Recommendations for Responsible Monitoring and Regulation of Clinical Software Systems Randolph A. Miller, and Reed M. Gardner
J. Am. Med. Inform. Assoc. 4: 442-45, 1997

1.2 Setting Up Healthcare Services Informatio Systems- A Guide for requirement analysis, Application Specification, and Procurement - July 1999 - PAHO/WHO (disponivel tambem em espanhol, mas não em portigues) http://www.virtual.epm.br/material/healthcare/

1.3 Supporting CPR Development with commercial Off-The-Shelf Systems Evaluation Technique: Defining Requirements, Setting Priorities, and Evaluating Choices - Marian Celli; Denise Ryberg; Alice Keaderman - JHIM - Volume 12, Number 4, Winter 1998

Empresas que realizam certificação norma ISO-IEC 17799:

http://www.safeworkit.com.br/servicos/consult_iso.html

Download:
http://www.iso-17799-security-world.co.uk/download.htm
 

2 ICP-BRASIL – A INFRA-ESTRUTURA BRASILEIRA DE CHAVES PÚBLICAS
http://www.icpbrasil.gov.br/
http://www.iti.gov.br
 

2.1 Medida Provisória
Medida Provisória Nº 2.200-2, de 24 de Agosto de 2001.
Institui a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, e dá outras providências.

Parte I - Políticas de Certificado da ICP-Brasil
· Assinatura Digital - Nível 1
· Assinatura Digital - Nível 2
· Assinatura Digital - Nível 3
· Assinatura Digital - Nível 4
· Sigilo - Nível 1
· Sigilo - Nível 2
· Sigilo - Nível 3
· Sigilo - Nível 4
Parte II
· Declaração de Regras Operacionais da AC-Raiz
Parte III
· Política de Segurança da ICP-Brasil
2.2 Direito da Informática - O Documento Eletrônico e a Assinatura Digital (Uma visão geral) - http://www.direitonaweb.adv.br/doutrina/dinfo/Aldemario_A_Castro_(DINFO_0003).htm
 

3 Projetos Governamentais de Construção do Registro Eletrônico de Saúde

3.1 Canadá: Health Infoway http://www.canadahealthinfoway.ca/sub.php?lang=en&secLoc=nws
Health Infostructure: http://www.hc-sc.gc.ca/ohih-bsi/chics/index_e.html
Documentos: http://www.hc-sc.gc.ca/ohih-bsi/chics/pubs_e.html

3.2 Australia – Health Online
http://www.health.gov.au/healthonline/welcome.htm

3.3 Inglaterra –
www.nhsia.nhs.uk
confidencialidade: http://www.nhsia.nhs.uk/confidentiality/pages/default.asp
 

http://www.nhsia.nhs.uk/confidentiality/pages/default.asp

Wireless (In)Security for Health Care - http://www.himss.org/content/files/WirelessInsecurityV11.pdf
 
 

HIPAA

http://csrc.nist.gov/publications/nistpubs/index.html
https://partners.mysonicwall.com/WhitePaper/DownloadCenter/WhitePapers.asp
http://www.sigaba.com/campaigns/healthcare/index.html
http://www.himss.org/ASP/certification_chs_chps.asp

Documentos de Acesso Restrito
Apresentações
Chaves Públicas - André Toffanello (DATASUS/SNIS)

Prontuário Médico Eletrônico - Dr.Luiz Augusto Pereira (CFM)
 

--------------------------------------------------------------------------------

Coordenação / Contatos

Beatriz de Faria Leão (Coordenadora do GT)

Fabiane Bizinella Nardon (Secretaria SBIS)