IX Congresso Brasileiro de Informática em Saúde Certificação de Sistemas de Registro Eletrônico...

IX Congresso Brasileiro de IX Congresso Brasileiro de Informática em SaúdeInformática em Saúde

Certificação de Sistemas de Registro EletrônicoCertificação de Sistemas de Registro Eletrônico

Ribeirão Preto, 08/11/04Ribeirão Preto, 08/11/04

Perspectivas do CFM Perspectivas do CFM com a Certificação SBIS-com a Certificação SBIS-

CFMCFMROBERTO LUIZ d’AVILAROBERTO LUIZ d’AVILA

CardiologistaCardiologista

Diretor-Corregedor do Conselho Federal de Medicina (CFM)Diretor-Corregedor do Conselho Federal de Medicina (CFM)

Coordenador da Câmara Técnica de Informática em Saúde e TelemedicinaCoordenador da Câmara Técnica de Informática em Saúde e Telemedicina

Mestre em Neurociências e ComportamentoMestre em Neurociências e Comportamento

Professor Adjunto do MOR/CCB/UFSCProfessor Adjunto do MOR/CCB/UFSC

Problemas existentes

- Os consultórios médicos gastam uma quantia substancial para reunir e transcrever informações sobre os pacientes.

- Um prontuário médico em papel pode ser visto por uma única pessoa em um único lugar naquele momento.

- Confidencialidade: qualquer pessoa no local tem grandes chances de acesso ao prontuário médico do paciente.

Sistema de Prontuários Médicos

Problemas existentes

- Os pacientes têm vários prontuários médicos diferentes. O provedor quase nunca tem acesso ao registro clínico completo sobre o paciente. Resultado: decisões médicas pouco favoráveis e exames e procedimentos repetidos e desnecessários.

- Em um sistema baseado em papéis, é difícil para o provedor identificar o padrão médico através da análise de vários pedaços de informação em um único registro médico sobre o paciente. - Estima-se que um milhão de casos de reações adversas a medicamentos aconteçam nos hospitais e outros possivelmente acontecem em locais externos.

Sistema de Prontuários Médicos

Estima-se em 98 mil mortes/ano por erros médicos, incluindo-se 7 mil devido à reações adversas de medicamentos.

Aquisição de planos de saúde baseada em princípios que encorajam medidas de segurança mais rigorosas para os pacientes: (1) prescrições médicas computadorizadas; (2) encaminhamentos hospitalares baseados em evidências (para hospitais de grande volume); (3) equipes de UTI formadas por médicos intensivistas.

O uso de Prescrição Médica Computadorizada estima redução de erros em cerca de 50%, encaminhamentos hospitalares baseados em evidências em 30%, e políticas de equipe de UTI em 10%.

Prescrições Médicas Computadorizadas


Reduz eventos de reações adversas em pacientes:- detectando interações medicamentosas prejudiciais (ex., Digoxina com Quinidina);- detectando prescrições que excedem a dosagem recomendada;- detectando pacientes que têm alergia ao medicamento prescrito;- criando pedidos legíveis e reduzindo erros de dispensação.

Reduz os custos:- informando ao médico sobre os métodos de tratamento recomendados pelo hospital;- Lembrando aos médicos que as repetições de exames laboratoriais em curtos espaços de tempo raramente propiciam algum tipo de benefício clínico; - informando os médicos sobre os custos das alternativas presentes.

First Consulting Group, Overview of the Leapfrog Group Evaluation Tool for Computerized Physician Order Entry , 2001.

Experiência do Brigham Women's Hospital

- Em um dia típico, 13.000 prescrições são emitidas pelos médicos;

- 386 pedidos (3,0%) são alterados por sugestão do sistema de computador

- % de doses de medicamentos acima do máximo sugerido caíram de 2,0% para 0,6%

- Erros graves na prescrição de medicamentos caíram em 55%

- Nizatidina (o bloqueador H2 preferido) aumentou de 12% para 81% entre todos os bloqueadores H2, com redução de custos.

- % de prescrições de repouso no leito com prescrição de heparina aumentaram de 24% para 54% depois que os médicos foram lembrados sobre a prescrição de heparina.

Glaser, The Strategic Application of IT in Health Care Organizations, 2002.


Resolução CFM nº 1.638/2002Resolução CFM nº 1.638/2002Resolução CFM nº 1.638/2002Resolução CFM nº 1.638/2002

Art. 1º -Art. 1º - Definir prontuário médico como o Definir prontuário médico como o documento único constituído de um conjunto documento único constituído de um conjunto de informações, sinais e imagens registradas, de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a sigiloso e científico, que possibilita a comunicação entre membros da equipe comunicação entre membros da equipe multiprofissional e a continuidade da multiprofissional e a continuidade da assistência prestada ao indivíduo.assistência prestada ao indivíduo.

Art. 1º -Art. 1º - Definir prontuário médico como o Definir prontuário médico como o documento único constituído de um conjunto documento único constituído de um conjunto de informações, sinais e imagens registradas, de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a sigiloso e científico, que possibilita a comunicação entre membros da equipe comunicação entre membros da equipe multiprofissional e a continuidade da multiprofissional e a continuidade da assistência prestada ao indivíduo.assistência prestada ao indivíduo.

Prontuário médicoProntuário médico

““Mais vale uma pálida tinta Mais vale uma pálida tinta do que uma boa memória”.do que uma boa memória”.

ConfúcioConfúcio

““Mais vale uma pálida tinta Mais vale uma pálida tinta do que uma boa memória”.do que uma boa memória”.

ConfúcioConfúcio

ConteúdoConteúdoConteúdoConteúdo

Identificação do paciente; Anamnese e Exame Físico; Exames complementares solicitados e seus

respectivos resultados; Hipóteses diagnósticas; Diagnóstico(s) definitivo(s); Tratamento(s) efetuado(s); Evolução diária do paciente.

Identificação do paciente; Anamnese e Exame Físico; Exames complementares solicitados e seus

respectivos resultados; Hipóteses diagnósticas; Diagnóstico(s) definitivo(s); Tratamento(s) efetuado(s); Evolução diária do paciente.

Dever de Execução:Dever de Execução:

O artigo 69 do Código de Ética O artigo 69 do Código de Ética Médica impõe ao médico o dever Médica impõe ao médico o dever de elaborar um prontuário médico de elaborar um prontuário médico

para cada paciente.para cada paciente.

Dever de Confidencialidade:Dever de Confidencialidade:

Código de Ética Médica:Código de Ética Médica:

Princípios Fundamentais: Princípios Fundamentais:

Art. 11 - O médico deve manter sigilo quanto as informações Art. 11 - O médico deve manter sigilo quanto as informações confidenciais de que tiver conhecimento no desempenho de confidenciais de que tiver conhecimento no desempenho de suas funções. O mesmo se aplica ao trabalho em empresas, suas funções. O mesmo se aplica ao trabalho em empresas, exceto nos casos em que seu silêncio prejudique ou ponha exceto nos casos em que seu silêncio prejudique ou ponha em risco a saúde do trabalhador ou da comunidade.em risco a saúde do trabalhador ou da comunidade.

Segredo Médico (Cap. IX): artigos 102 a 109Segredo Médico (Cap. IX): artigos 102 a 109

Dever de ConfidencialidadeDever de Confidencialidade

Código de Ética Médica:Código de Ética Médica:

É vedado ao médicoÉ vedado ao médico

Art. 102 - Revelar fato de que tenha conhecimento em virtude do Art. 102 - Revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por justa causa, dever legal ou exercício de sua profissão, salvo por justa causa, dever legal ou autorização expressa do paciente.autorização expressa do paciente.

Art. 103 - Revelar segredo profissional referente a paciente menor Art. 103 - Revelar segredo profissional referente a paciente menor de idade.de idade.

Art. 104 - Fazer referência a casos clínicos identificáveis, exibir Art. 104 - Fazer referência a casos clínicos identificáveis, exibir pacientes ou seus retratos em anúncios profissionais.pacientes ou seus retratos em anúncios profissionais.

Dever de ConfidencialidadeDever de Confidencialidade

Código de Ética Médica (Segredo Médico):Código de Ética Médica (Segredo Médico):

art. 105: Proteção ao trabalhador.art. 105: Proteção ao trabalhador.

art. 106: Proteção contra seguradoras.art. 106: Proteção contra seguradoras.

art. 107: Dever de sigilo dos auxiliares.art. 107: Dever de sigilo dos auxiliares.

art. 108: Facilitar manuseio dos prontuários.art. 108: Facilitar manuseio dos prontuários.

art. 109: Cobrança de honorários profissionaisart. 109: Cobrança de honorários profissionais

Dever de GuardaDever de GuardaDever de GuardaDever de Guarda

É do médico assistente e dos demais profissionais que compartilham do atendimento;

É da hierarquia médica da instituição nas suas respectivas áreas de atuação.

É do médico assistente e dos demais profissionais que compartilham do atendimento;

É da hierarquia médica da instituição nas suas respectivas áreas de atuação.

Princípios básicos da segurança da Princípios básicos da segurança da informação:informação:

1 - Integridade- Integridade

2 - Confidencialidade- Confidencialidade

3 - Disponibilidade- Disponibilidade

4 - Legalidade- Legalidade

Novo Código CivilNovo Código Civil

Art. 225 - As reproduções fotográficas, Art. 225 - As reproduções fotográficas, cinematográficas, os registros cinematográficas, os registros fonográficos e, em geral quaisquer fonográficos e, em geral quaisquer outras reproduções mecânicas ou outras reproduções mecânicas ou ELETRÔNICAS de fatos ou de coisas ELETRÔNICAS de fatos ou de coisas fazem prova plena desta, se a parte, fazem prova plena desta, se a parte, contra quem forem exibidas, não lhes contra quem forem exibidas, não lhes impugnar a exatidão.impugnar a exatidão.

Art. 225 - As reproduções fotográficas, Art. 225 - As reproduções fotográficas, cinematográficas, os registros cinematográficas, os registros fonográficos e, em geral quaisquer fonográficos e, em geral quaisquer outras reproduções mecânicas ou outras reproduções mecânicas ou ELETRÔNICAS de fatos ou de coisas ELETRÔNICAS de fatos ou de coisas fazem prova plena desta, se a parte, fazem prova plena desta, se a parte, contra quem forem exibidas, não lhes contra quem forem exibidas, não lhes impugnar a exatidão.impugnar a exatidão.

Princípios Gerais da Ética em Informática Princípios Gerais da Ética em Informática Princípios Gerais da Ética em Informática Princípios Gerais da Ética em Informática

1. 1. Princípio da Informação – Privacidade e DestinaçãoPrincípio da Informação – Privacidade e Destinação- - Todas as pessoas têm um direito fundamental à Todas as pessoas têm um direito fundamental à

privacidade, e por extensão ao controle sobre a coleta, privacidade, e por extensão ao controle sobre a coleta, armazenagem, acesso, uso, comunicação, manipulação, armazenagem, acesso, uso, comunicação, manipulação, processamento e destinação de dados sobre si mesmas.processamento e destinação de dados sobre si mesmas.

2.2. Princípio da Transparência Princípio da Transparência

- - A coleta, armazenagem, acesso, uso, comunicação, A coleta, armazenagem, acesso, uso, comunicação, manipulação, processamento e disposição de dados pessoais manipulação, processamento e disposição de dados pessoais deve ser comunicada de forma apropriada e num tempo deve ser comunicada de forma apropriada e num tempo razoavelmente curto à pessoa a quem se referem esses dados.razoavelmente curto à pessoa a quem se referem esses dados.

3. 3. Princípio da SegurançaPrincípio da Segurança- - Dados que tenham sido legitimamente coletados a Dados que tenham sido legitimamente coletados a

respeito de uma pessoa devem ser protegidos, por todos os respeito de uma pessoa devem ser protegidos, por todos os meios razoáveis e apropriados, contra perda, degradação, meios razoáveis e apropriados, contra perda, degradação, destruição, acesso, uso, manipulação, modificação ou destruição, acesso, uso, manipulação, modificação ou comunicação indevidos ou não autorizados.comunicação indevidos ou não autorizados.

1. 1. Princípio da Informação – Privacidade e DestinaçãoPrincípio da Informação – Privacidade e Destinação- - Todas as pessoas têm um direito fundamental à Todas as pessoas têm um direito fundamental à

privacidade, e por extensão ao controle sobre a coleta, privacidade, e por extensão ao controle sobre a coleta, armazenagem, acesso, uso, comunicação, manipulação, armazenagem, acesso, uso, comunicação, manipulação, processamento e destinação de dados sobre si mesmas.processamento e destinação de dados sobre si mesmas.

2.2. Princípio da Transparência Princípio da Transparência

- - A coleta, armazenagem, acesso, uso, comunicação, A coleta, armazenagem, acesso, uso, comunicação, manipulação, processamento e disposição de dados pessoais manipulação, processamento e disposição de dados pessoais deve ser comunicada de forma apropriada e num tempo deve ser comunicada de forma apropriada e num tempo razoavelmente curto à pessoa a quem se referem esses dados.razoavelmente curto à pessoa a quem se referem esses dados.

3. 3. Princípio da SegurançaPrincípio da Segurança- - Dados que tenham sido legitimamente coletados a Dados que tenham sido legitimamente coletados a

respeito de uma pessoa devem ser protegidos, por todos os respeito de uma pessoa devem ser protegidos, por todos os meios razoáveis e apropriados, contra perda, degradação, meios razoáveis e apropriados, contra perda, degradação, destruição, acesso, uso, manipulação, modificação ou destruição, acesso, uso, manipulação, modificação ou comunicação indevidos ou não autorizados.comunicação indevidos ou não autorizados.


4. 4. Princípio do AcessoPrincípio do Acesso- - O indivíduo ao qual se refere um registro O indivíduo ao qual se refere um registro

eletrônico ou não de dados tem o direito de ter eletrônico ou não de dados tem o direito de ter acesso àquele registro e a corrigi-lo, para torná-lo acesso àquele registro e a corrigi-lo, para torná-lo mais exato, completo e relevante.mais exato, completo e relevante.

5. 5. Princípio da Infração LegítimaPrincípio da Infração Legítima- - O direito fundamental de controle sobre a O direito fundamental de controle sobre a

coleta, armazenagem, acesso, uso, comunicação, coleta, armazenagem, acesso, uso, comunicação, manipulação e disposição de dados pessoais é manipulação e disposição de dados pessoais é condicionado somente pelas necessidades legítimas, condicionado somente pelas necessidades legítimas, apropriadas e relevantes de acesso a esses dados apropriadas e relevantes de acesso a esses dados por uma sociedade livre, responsável e democrática, por uma sociedade livre, responsável e democrática, e pelos direitos iguais e concorrentes de outras e pelos direitos iguais e concorrentes de outras pessoas.pessoas.

4. 4. Princípio do AcessoPrincípio do Acesso- - O indivíduo ao qual se refere um registro O indivíduo ao qual se refere um registro

eletrônico ou não de dados tem o direito de ter eletrônico ou não de dados tem o direito de ter acesso àquele registro e a corrigi-lo, para torná-lo acesso àquele registro e a corrigi-lo, para torná-lo mais exato, completo e relevante.mais exato, completo e relevante.

5. 5. Princípio da Infração LegítimaPrincípio da Infração Legítima- - O direito fundamental de controle sobre a O direito fundamental de controle sobre a

coleta, armazenagem, acesso, uso, comunicação, coleta, armazenagem, acesso, uso, comunicação, manipulação e disposição de dados pessoais é manipulação e disposição de dados pessoais é condicionado somente pelas necessidades legítimas, condicionado somente pelas necessidades legítimas, apropriadas e relevantes de acesso a esses dados apropriadas e relevantes de acesso a esses dados por uma sociedade livre, responsável e democrática, por uma sociedade livre, responsável e democrática, e pelos direitos iguais e concorrentes de outras e pelos direitos iguais e concorrentes de outras pessoas.pessoas.


6. 6. Princípio da Alternativa de Menor IntromissãoPrincípio da Alternativa de Menor Intromissão- - Qualquer infração aos direitos de privacidade de Qualquer infração aos direitos de privacidade de

um indivíduo e dos direitos deste de controlar os dados um indivíduo e dos direitos deste de controlar os dados relativos à sua pessoa, conforme determinado pelo relativos à sua pessoa, conforme determinado pelo Princípio 1Princípio 1ºº, somente poderá ocorrer com a menor , somente poderá ocorrer com a menor intromissão possível, e com o mínimo de interferência intromissão possível, e com o mínimo de interferência nos direitos da pessoa em questão.nos direitos da pessoa em questão.

7. 7. Princípio da JustificativaPrincípio da Justificativa- - Qualquer infração aos direitos de privacidade de Qualquer infração aos direitos de privacidade de

um indivíduo e dos direitos deste de controlar os dados um indivíduo e dos direitos deste de controlar os dados relativos à sua pessoa deve ser justificada perante a relativos à sua pessoa deve ser justificada perante a pessoa afetada num tempo razoável e de forma pessoa afetada num tempo razoável e de forma apropriada.apropriada.

6. 6. Princípio da Alternativa de Menor IntromissãoPrincípio da Alternativa de Menor Intromissão- - Qualquer infração aos direitos de privacidade de Qualquer infração aos direitos de privacidade de

um indivíduo e dos direitos deste de controlar os dados um indivíduo e dos direitos deste de controlar os dados relativos à sua pessoa, conforme determinado pelo relativos à sua pessoa, conforme determinado pelo Princípio 1Princípio 1ºº, somente poderá ocorrer com a menor , somente poderá ocorrer com a menor intromissão possível, e com o mínimo de interferência intromissão possível, e com o mínimo de interferência nos direitos da pessoa em questão.nos direitos da pessoa em questão.

7. 7. Princípio da JustificativaPrincípio da Justificativa- - Qualquer infração aos direitos de privacidade de Qualquer infração aos direitos de privacidade de

um indivíduo e dos direitos deste de controlar os dados um indivíduo e dos direitos deste de controlar os dados relativos à sua pessoa deve ser justificada perante a relativos à sua pessoa deve ser justificada perante a pessoa afetada num tempo razoável e de forma pessoa afetada num tempo razoável e de forma apropriada.apropriada.

RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002

CONSIDERANDO que o médico tem o dever de elaborar o CONSIDERANDO que o médico tem o dever de elaborar o prontuário para cada paciente a que assiste, conforme prontuário para cada paciente a que assiste, conforme previsto no art. 69 do Código de Ética Médica;previsto no art. 69 do Código de Ética Médica;

CONSIDERANDO que os dados que compõem o prontuário CONSIDERANDO que os dados que compõem o prontuário pertencem ao paciente e devem estar permanentemente pertencem ao paciente e devem estar permanentemente disponíveis, de modo que, quando solicitado por ele ou disponíveis, de modo que, quando solicitado por ele ou seu representante legal, permitam o fornecimento de seu representante legal, permitam o fornecimento de cópias autênticas das informações a ele pertinentes;cópias autênticas das informações a ele pertinentes;

CONSIDERANDO o teor da Resolução CFM nº 1.605/2000, CONSIDERANDO o teor da Resolução CFM nº 1.605/2000, que dispõe sobre o fornecimento das informações do que dispõe sobre o fornecimento das informações do prontuário à autoridade judiciária requisitante;prontuário à autoridade judiciária requisitante;

CONSIDERANDO que o médico tem o dever de elaborar o CONSIDERANDO que o médico tem o dever de elaborar o prontuário para cada paciente a que assiste, conforme prontuário para cada paciente a que assiste, conforme previsto no art. 69 do Código de Ética Médica;previsto no art. 69 do Código de Ética Médica;

CONSIDERANDO que os dados que compõem o prontuário CONSIDERANDO que os dados que compõem o prontuário pertencem ao paciente e devem estar permanentemente pertencem ao paciente e devem estar permanentemente disponíveis, de modo que, quando solicitado por ele ou disponíveis, de modo que, quando solicitado por ele ou seu representante legal, permitam o fornecimento de seu representante legal, permitam o fornecimento de cópias autênticas das informações a ele pertinentes;cópias autênticas das informações a ele pertinentes;

CONSIDERANDO o teor da Resolução CFM nº 1.605/2000, CONSIDERANDO o teor da Resolução CFM nº 1.605/2000, que dispõe sobre o fornecimento das informações do que dispõe sobre o fornecimento das informações do prontuário à autoridade judiciária requisitante;prontuário à autoridade judiciária requisitante;


CONSIDERANDO que o sigilo profissional, que visa CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade do indivíduo, deve estar sujeito preservar a privacidade do indivíduo, deve estar sujeito às normas estabelecidas na legislação e no Código de às normas estabelecidas na legislação e no Código de Ética Médica, independente do meio utilizado para o Ética Médica, independente do meio utilizado para o armazenamento dos dados no prontuário, seja eletrônico armazenamento dos dados no prontuário, seja eletrônico ou em papel;ou em papel;

CONSIDERANDO o volume de documentos armazenados CONSIDERANDO o volume de documentos armazenados pelos estabelecimentos de saúde e consultórios médicos pelos estabelecimentos de saúde e consultórios médicos em decorrência da necessidade de manutenção dos em decorrência da necessidade de manutenção dos prontuários;prontuários;

CONSIDERANDO os avanços da tecnologia da informação CONSIDERANDO os avanços da tecnologia da informação e de telecomunicações, que oferecem novos métodos de e de telecomunicações, que oferecem novos métodos de armazenamento e de transmissão de dados;armazenamento e de transmissão de dados;

CONSIDERANDO que o sigilo profissional, que visa CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade do indivíduo, deve estar sujeito preservar a privacidade do indivíduo, deve estar sujeito às normas estabelecidas na legislação e no Código de às normas estabelecidas na legislação e no Código de Ética Médica, independente do meio utilizado para o Ética Médica, independente do meio utilizado para o armazenamento dos dados no prontuário, seja eletrônico armazenamento dos dados no prontuário, seja eletrônico ou em papel;ou em papel;

CONSIDERANDO o volume de documentos armazenados CONSIDERANDO o volume de documentos armazenados pelos estabelecimentos de saúde e consultórios médicos pelos estabelecimentos de saúde e consultórios médicos em decorrência da necessidade de manutenção dos em decorrência da necessidade de manutenção dos prontuários;prontuários;

CONSIDERANDO os avanços da tecnologia da informação CONSIDERANDO os avanços da tecnologia da informação e de telecomunicações, que oferecem novos métodos de e de telecomunicações, que oferecem novos métodos de armazenamento e de transmissão de dados;armazenamento e de transmissão de dados;


CONSIDERANDO a legislação arquivística brasileira, CONSIDERANDO a legislação arquivística brasileira, que normatiza a guarda, a temporalidade e a que normatiza a guarda, a temporalidade e a classificação dos documentos, inclusive dos classificação dos documentos, inclusive dos prontuários médicos;prontuários médicos;

CONSIDERANDO o disposto na Resolução CFM nº CONSIDERANDO o disposto na Resolução CFM nº 1.638/2002, de 10 de julho de 2002, que define 1.638/2002, de 10 de julho de 2002, que define prontuário médico e cria as Comissões de Revisão de prontuário médico e cria as Comissões de Revisão de Prontuários nos estabelecimentos e/ou instituições de Prontuários nos estabelecimentos e/ou instituições de saúde;saúde;

CONSIDERANDO o teor do Parecer CFM nº 30/2002, CONSIDERANDO o teor do Parecer CFM nº 30/2002, aprovado na Sessão Plenária de 10 de julho de 2002;aprovado na Sessão Plenária de 10 de julho de 2002;

CONSIDERANDO, finalmente, o decidido em Sessão CONSIDERANDO, finalmente, o decidido em Sessão Plenária de 10 de julho de 2002.Plenária de 10 de julho de 2002.

RESOLVE:RESOLVE:

CONSIDERANDO a legislação arquivística brasileira, CONSIDERANDO a legislação arquivística brasileira, que normatiza a guarda, a temporalidade e a que normatiza a guarda, a temporalidade e a classificação dos documentos, inclusive dos classificação dos documentos, inclusive dos prontuários médicos;prontuários médicos;

CONSIDERANDO o disposto na Resolução CFM nº CONSIDERANDO o disposto na Resolução CFM nº 1.638/2002, de 10 de julho de 2002, que define 1.638/2002, de 10 de julho de 2002, que define prontuário médico e cria as Comissões de Revisão de prontuário médico e cria as Comissões de Revisão de Prontuários nos estabelecimentos e/ou instituições de Prontuários nos estabelecimentos e/ou instituições de saúde;saúde;

CONSIDERANDO o teor do Parecer CFM nº 30/2002, CONSIDERANDO o teor do Parecer CFM nº 30/2002, aprovado na Sessão Plenária de 10 de julho de 2002;aprovado na Sessão Plenária de 10 de julho de 2002;

CONSIDERANDO, finalmente, o decidido em Sessão CONSIDERANDO, finalmente, o decidido em Sessão Plenária de 10 de julho de 2002.Plenária de 10 de julho de 2002.

RESOLVE:RESOLVE:

RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002 Art. 1º - Aprovar as "Normas Técnicas para o Uso de Art. 1º - Aprovar as "Normas Técnicas para o Uso de

Sistemas Informatizados para a Guarda e Manuseio do Sistemas Informatizados para a Guarda e Manuseio do Prontuário Eletrônico", anexas à esta resolução, Prontuário Eletrônico", anexas à esta resolução, possibilitando a elaboração e o arquivamento do prontuário possibilitando a elaboração e o arquivamento do prontuário em meio eletrônico.em meio eletrônico.

Art. 2º - Estabelecer a guarda permanente para os Art. 2º - Estabelecer a guarda permanente para os prontuários médicos arquivados eletronicamente em meio prontuários médicos arquivados eletronicamente em meio óptico ou magnético, e microfilmados.óptico ou magnético, e microfilmados.

Art. 3º - Recomendar a implantação da Comissão Permanente Art. 3º - Recomendar a implantação da Comissão Permanente de Avaliação de Documentos em todas as unidades que de Avaliação de Documentos em todas as unidades que prestam assistência médica e são detentoras de arquivos de prestam assistência médica e são detentoras de arquivos de prontuários médicos, tomando como base as atribuições prontuários médicos, tomando como base as atribuições estabelecidas na legislação arquivística brasileira (Resolução estabelecidas na legislação arquivística brasileira (Resolução CONARQ nº 7/97, NBR nº 10519/88 da ABNT e o Decreto nº CONARQ nº 7/97, NBR nº 10519/88 da ABNT e o Decreto nº 4073/02, regulamenta a Lei nº 8159/91 - Arquivos). 4073/02, regulamenta a Lei nº 8159/91 - Arquivos).

Art. 1º - Aprovar as "Normas Técnicas para o Uso de Art. 1º - Aprovar as "Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Sistemas Informatizados para a Guarda e Manuseio do Prontuário Eletrônico", anexas à esta resolução, Prontuário Eletrônico", anexas à esta resolução, possibilitando a elaboração e o arquivamento do prontuário possibilitando a elaboração e o arquivamento do prontuário em meio eletrônico.em meio eletrônico.

Art. 2º - Estabelecer a guarda permanente para os Art. 2º - Estabelecer a guarda permanente para os prontuários médicos arquivados eletronicamente em meio prontuários médicos arquivados eletronicamente em meio óptico ou magnético, e microfilmados.óptico ou magnético, e microfilmados.

Art. 3º - Recomendar a implantação da Comissão Permanente Art. 3º - Recomendar a implantação da Comissão Permanente de Avaliação de Documentos em todas as unidades que de Avaliação de Documentos em todas as unidades que prestam assistência médica e são detentoras de arquivos de prestam assistência médica e são detentoras de arquivos de prontuários médicos, tomando como base as atribuições prontuários médicos, tomando como base as atribuições estabelecidas na legislação arquivística brasileira (Resolução estabelecidas na legislação arquivística brasileira (Resolução CONARQ nº 7/97, NBR nº 10519/88 da ABNT e o Decreto nº CONARQ nº 7/97, NBR nº 10519/88 da ABNT e o Decreto nº 4073/02, regulamenta a Lei nº 8159/91 - Arquivos). 4073/02, regulamenta a Lei nº 8159/91 - Arquivos).


Art. 4º - Estabelecer o prazo mínimo de 20 (vinte) Art. 4º - Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do último registro, para a preservação anos, a partir do último registro, para a preservação dos prontuários médicos em suporte de papel.dos prontuários médicos em suporte de papel.

Parágrafo único – Findo o prazo estabelecido no Parágrafo único – Findo o prazo estabelecido no caputcaput, e considerando o valor secundário dos , e considerando o valor secundário dos prontuários, a Comissão Permanente de Avaliação de prontuários, a Comissão Permanente de Avaliação de Documentos, após consulta à Comissão de Revisão de Documentos, após consulta à Comissão de Revisão de Prontuários, deverá elaborar e aplicar critérios de Prontuários, deverá elaborar e aplicar critérios de amostragem para a preservação definitiva dos amostragem para a preservação definitiva dos documentos em papel que apresentem informações documentos em papel que apresentem informações relevantes do ponto de vista médico-científico, relevantes do ponto de vista médico-científico, histórico e social.histórico e social.

Art. 4º - Estabelecer o prazo mínimo de 20 (vinte) Art. 4º - Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do último registro, para a preservação anos, a partir do último registro, para a preservação dos prontuários médicos em suporte de papel.dos prontuários médicos em suporte de papel.

Parágrafo único – Findo o prazo estabelecido no Parágrafo único – Findo o prazo estabelecido no caputcaput, e considerando o valor secundário dos , e considerando o valor secundário dos prontuários, a Comissão Permanente de Avaliação de prontuários, a Comissão Permanente de Avaliação de Documentos, após consulta à Comissão de Revisão de Documentos, após consulta à Comissão de Revisão de Prontuários, deverá elaborar e aplicar critérios de Prontuários, deverá elaborar e aplicar critérios de amostragem para a preservação definitiva dos amostragem para a preservação definitiva dos documentos em papel que apresentem informações documentos em papel que apresentem informações relevantes do ponto de vista médico-científico, relevantes do ponto de vista médico-científico, histórico e social.histórico e social.


Art. 5º - Autorizar, no caso de emprego da Art. 5º - Autorizar, no caso de emprego da microfilmagem, a eliminação do suporte de papel dos microfilmagem, a eliminação do suporte de papel dos prontuários microfilmados, de acordo com os prontuários microfilmados, de acordo com os procedimentos previstos na legislação arquivística em procedimentos previstos na legislação arquivística em vigor (Lei nº 5.433/68 e Decreto nº 1.799/96), após vigor (Lei nº 5.433/68 e Decreto nº 1.799/96), após análise obrigatória da Comissão Permanente de análise obrigatória da Comissão Permanente de Avaliação de Documentos da unidade médico-Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo.hospitalar geradora do arquivo.

Art. 5º - Autorizar, no caso de emprego da Art. 5º - Autorizar, no caso de emprego da microfilmagem, a eliminação do suporte de papel dos microfilmagem, a eliminação do suporte de papel dos prontuários microfilmados, de acordo com os prontuários microfilmados, de acordo com os procedimentos previstos na legislação arquivística em procedimentos previstos na legislação arquivística em vigor (Lei nº 5.433/68 e Decreto nº 1.799/96), após vigor (Lei nº 5.433/68 e Decreto nº 1.799/96), após análise obrigatória da Comissão Permanente de análise obrigatória da Comissão Permanente de Avaliação de Documentos da unidade médico-Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo.hospitalar geradora do arquivo.

RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002RESOLUÇÃO CFM nº 1.639/2002 Art. 6º - Autorizar, no caso de digitalização dos prontuários, Art. 6º - Autorizar, no caso de digitalização dos prontuários,

a eliminação do suporte de papel dos mesmos, desde que a a eliminação do suporte de papel dos mesmos, desde que a forma de armazenamento dos documentos digitalizados forma de armazenamento dos documentos digitalizados obedeça à norma específica de digitalização contida no obedeça à norma específica de digitalização contida no anexo desta resolução e após análise obrigatória da anexo desta resolução e após análise obrigatória da Comissão Permanente de Avaliação de Documentos da Comissão Permanente de Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo.unidade médico-hospitalar geradora do arquivo.

Art. 7º - O Conselho Federal de Medicina e a Sociedade Art. 7º - O Conselho Federal de Medicina e a Sociedade Brasileira de Informática em Saúde (SBIS), mediante Brasileira de Informática em Saúde (SBIS), mediante convênio específico, expedirão, quando solicitados, a convênio específico, expedirão, quando solicitados, a certificação dos sistemas para guarda e manuseio de certificação dos sistemas para guarda e manuseio de prontuários eletrônicos que estejam de acordo com as prontuários eletrônicos que estejam de acordo com as normas técnicas especificadas no anexo a esta resolução.normas técnicas especificadas no anexo a esta resolução.

Art. 8º - Esta resolução entra em vigor na data de sua Art. 8º - Esta resolução entra em vigor na data de sua publicação.publicação.

Art. 6º - Autorizar, no caso de digitalização dos prontuários, Art. 6º - Autorizar, no caso de digitalização dos prontuários, a eliminação do suporte de papel dos mesmos, desde que a a eliminação do suporte de papel dos mesmos, desde que a forma de armazenamento dos documentos digitalizados forma de armazenamento dos documentos digitalizados obedeça à norma específica de digitalização contida no obedeça à norma específica de digitalização contida no anexo desta resolução e após análise obrigatória da anexo desta resolução e após análise obrigatória da Comissão Permanente de Avaliação de Documentos da Comissão Permanente de Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo.unidade médico-hospitalar geradora do arquivo.

Art. 7º - O Conselho Federal de Medicina e a Sociedade Art. 7º - O Conselho Federal de Medicina e a Sociedade Brasileira de Informática em Saúde (SBIS), mediante Brasileira de Informática em Saúde (SBIS), mediante convênio específico, expedirão, quando solicitados, a convênio específico, expedirão, quando solicitados, a certificação dos sistemas para guarda e manuseio de certificação dos sistemas para guarda e manuseio de prontuários eletrônicos que estejam de acordo com as prontuários eletrônicos que estejam de acordo com as normas técnicas especificadas no anexo a esta resolução.normas técnicas especificadas no anexo a esta resolução.

Art. 8º - Esta resolução entra em vigor na data de sua Art. 8º - Esta resolução entra em vigor na data de sua publicação.publicação.

NORMAS TÉCNICAS PARA O USO DE SISTEMAS NORMAS TÉCNICAS PARA O USO DE SISTEMAS INFORMATIZADOS PARA A GUARDA E MANUSEIO DO INFORMATIZADOS PARA A GUARDA E MANUSEIO DO

PRONTUÁRIO ELETRÔNICOPRONTUÁRIO ELETRÔNICO



I. - Integridade da Informação e Qualidade do Serviço I. - Integridade da Informação e Qualidade do Serviço - O sistema de informações deverá manter a - O sistema de informações deverá manter a integridade da informação através do controle de integridade da informação através do controle de vulnerabilidades, de métodos fortes de autenticação, vulnerabilidades, de métodos fortes de autenticação, do controle de acesso e métodos de processamento do controle de acesso e métodos de processamento dos sistemas operacionais conforme a norma ISO/IEC dos sistemas operacionais conforme a norma ISO/IEC 15408, para segurança dos processos de sistema. 15408, para segurança dos processos de sistema.

II. - Cópia de Segurança - Deverá ser feita cópia de II. - Cópia de Segurança - Deverá ser feita cópia de segurança dos dados do prontuário pelo menos a segurança dos dados do prontuário pelo menos a cada 24 horas. Recomenda-se que o sistema de cada 24 horas. Recomenda-se que o sistema de informação utilizado possua a funcionalidade de informação utilizado possua a funcionalidade de forçar a realização do processo de cópia de forçar a realização do processo de cópia de segurança diariamente. O procedimento de segurança diariamente. O procedimento de back-upback-up deve seguir as recomendações da norma ISO/IEC deve seguir as recomendações da norma ISO/IEC 17799, através da adoção dos seguintes controles:17799, através da adoção dos seguintes controles:

I. - Integridade da Informação e Qualidade do Serviço I. - Integridade da Informação e Qualidade do Serviço - O sistema de informações deverá manter a - O sistema de informações deverá manter a integridade da informação através do controle de integridade da informação através do controle de vulnerabilidades, de métodos fortes de autenticação, vulnerabilidades, de métodos fortes de autenticação, do controle de acesso e métodos de processamento do controle de acesso e métodos de processamento dos sistemas operacionais conforme a norma ISO/IEC dos sistemas operacionais conforme a norma ISO/IEC 15408, para segurança dos processos de sistema. 15408, para segurança dos processos de sistema.

II. - Cópia de Segurança - Deverá ser feita cópia de II. - Cópia de Segurança - Deverá ser feita cópia de segurança dos dados do prontuário pelo menos a segurança dos dados do prontuário pelo menos a cada 24 horas. Recomenda-se que o sistema de cada 24 horas. Recomenda-se que o sistema de informação utilizado possua a funcionalidade de informação utilizado possua a funcionalidade de forçar a realização do processo de cópia de forçar a realização do processo de cópia de segurança diariamente. O procedimento de segurança diariamente. O procedimento de back-upback-up deve seguir as recomendações da norma ISO/IEC deve seguir as recomendações da norma ISO/IEC 17799, através da adoção dos seguintes controles:17799, através da adoção dos seguintes controles:





a. Documentação do processo de a. Documentação do processo de backup/restorebackup/restore; ;

b. As cópias devem ser mantidas em local distante o b. As cópias devem ser mantidas em local distante o suficiente para livrá-las de danos que possam suficiente para livrá-las de danos que possam ocorrer nas instalações principais; ocorrer nas instalações principais;

c. Mínimo de três cópias para aplicações críticas; c. Mínimo de três cópias para aplicações críticas;

d. Proteções físicas adequadas de modo a impedir d. Proteções físicas adequadas de modo a impedir acesso não autorizado; acesso não autorizado;

e. Possibilitar a realização de testes periódicos de e. Possibilitar a realização de testes periódicos de restauração.restauração.

a. Documentação do processo de a. Documentação do processo de backup/restorebackup/restore; ;

b. As cópias devem ser mantidas em local distante o b. As cópias devem ser mantidas em local distante o suficiente para livrá-las de danos que possam suficiente para livrá-las de danos que possam ocorrer nas instalações principais; ocorrer nas instalações principais;

c. Mínimo de três cópias para aplicações críticas; c. Mínimo de três cópias para aplicações críticas;

d. Proteções físicas adequadas de modo a impedir d. Proteções físicas adequadas de modo a impedir acesso não autorizado; acesso não autorizado;

e. Possibilitar a realização de testes periódicos de e. Possibilitar a realização de testes periódicos de restauração.restauração.





I. Bancos de Dados – Os dados do prontuário deverão I. Bancos de Dados – Os dados do prontuário deverão ser armazenados em sistema que assegure, pelo ser armazenados em sistema que assegure, pelo menos, as seguintes características: menos, as seguintes características:

a. Compartilhamento dos dados; a. Compartilhamento dos dados;

b. Independência entre dados e programas; b. Independência entre dados e programas;

c. Mecanismos para garantir a integridade, controle c. Mecanismos para garantir a integridade, controle de conformidade e validação dos dados; de conformidade e validação dos dados;

d. Controle da estrutura física e lógica; d. Controle da estrutura física e lógica;

e. Linguagem para a definição e manipulação de e. Linguagem para a definição e manipulação de dados (SQL – dados (SQL – Standard Query LanguageStandard Query Language); );

f. Funções de auditoria e recuperação dos dados.f. Funções de auditoria e recuperação dos dados.

I. Bancos de Dados – Os dados do prontuário deverão I. Bancos de Dados – Os dados do prontuário deverão ser armazenados em sistema que assegure, pelo ser armazenados em sistema que assegure, pelo menos, as seguintes características: menos, as seguintes características:

a. Compartilhamento dos dados; a. Compartilhamento dos dados;

b. Independência entre dados e programas; b. Independência entre dados e programas;

c. Mecanismos para garantir a integridade, controle c. Mecanismos para garantir a integridade, controle de conformidade e validação dos dados; de conformidade e validação dos dados;

d. Controle da estrutura física e lógica; d. Controle da estrutura física e lógica;

e. Linguagem para a definição e manipulação de e. Linguagem para a definição e manipulação de dados (SQL – dados (SQL – Standard Query LanguageStandard Query Language); );

f. Funções de auditoria e recuperação dos dados.f. Funções de auditoria e recuperação dos dados.





II. Privacidade e Confidencialidade – Com o objetivo de garantir a II. Privacidade e Confidencialidade – Com o objetivo de garantir a privacidade, confidencialidade dos dados do paciente e o sigilo privacidade, confidencialidade dos dados do paciente e o sigilo profissional, faz-se necessário que o sistema de informações profissional, faz-se necessário que o sistema de informações possua mecanismos de acesso restrito e limitado a cada perfil possua mecanismos de acesso restrito e limitado a cada perfil de usuário, de acordo com a sua função no processo de usuário, de acordo com a sua função no processo assistencial: assistencial:

a. Recomenda-se que o profissional entre pessoalmente com os a. Recomenda-se que o profissional entre pessoalmente com os dados assistenciais do prontuário no sistema de informação; dados assistenciais do prontuário no sistema de informação;

b. A delegação da tarefa de digitação dos dados assistenciais b. A delegação da tarefa de digitação dos dados assistenciais coletados a um profissional administrativo não exime o coletados a um profissional administrativo não exime o médico, fornecedor das informações, da sua responsabilidade médico, fornecedor das informações, da sua responsabilidade desde que o profissional administrativo esteja inserindo estes desde que o profissional administrativo esteja inserindo estes dados por intermédio de sua senha de acesso; dados por intermédio de sua senha de acesso;

II. Privacidade e Confidencialidade – Com o objetivo de garantir a II. Privacidade e Confidencialidade – Com o objetivo de garantir a privacidade, confidencialidade dos dados do paciente e o sigilo privacidade, confidencialidade dos dados do paciente e o sigilo profissional, faz-se necessário que o sistema de informações profissional, faz-se necessário que o sistema de informações possua mecanismos de acesso restrito e limitado a cada perfil possua mecanismos de acesso restrito e limitado a cada perfil de usuário, de acordo com a sua função no processo de usuário, de acordo com a sua função no processo assistencial: assistencial:

a. Recomenda-se que o profissional entre pessoalmente com os a. Recomenda-se que o profissional entre pessoalmente com os dados assistenciais do prontuário no sistema de informação; dados assistenciais do prontuário no sistema de informação;

b. A delegação da tarefa de digitação dos dados assistenciais b. A delegação da tarefa de digitação dos dados assistenciais coletados a um profissional administrativo não exime o coletados a um profissional administrativo não exime o médico, fornecedor das informações, da sua responsabilidade médico, fornecedor das informações, da sua responsabilidade desde que o profissional administrativo esteja inserindo estes desde que o profissional administrativo esteja inserindo estes dados por intermédio de sua senha de acesso; dados por intermédio de sua senha de acesso;





c. A senha de acesso será delegada e controlada pela c. A senha de acesso será delegada e controlada pela senha do médico a quem o profissional administrativo senha do médico a quem o profissional administrativo está subordinado;está subordinado;

d. Deve constar da trilha de auditoria quem entrou com a d. Deve constar da trilha de auditoria quem entrou com a informação;informação;

e. Todos os funcionários de áreas administrativas e e. Todos os funcionários de áreas administrativas e técnicas que, de alguma forma, tiverem acesso aos técnicas que, de alguma forma, tiverem acesso aos dados do prontuário deverão assinar um termo de dados do prontuário deverão assinar um termo de confidencialidade e não-divulgação, em conformidade confidencialidade e não-divulgação, em conformidade com a norma ISO/IEC 17799.com a norma ISO/IEC 17799.

c. A senha de acesso será delegada e controlada pela c. A senha de acesso será delegada e controlada pela senha do médico a quem o profissional administrativo senha do médico a quem o profissional administrativo está subordinado;está subordinado;

d. Deve constar da trilha de auditoria quem entrou com a d. Deve constar da trilha de auditoria quem entrou com a informação;informação;

e. Todos os funcionários de áreas administrativas e e. Todos os funcionários de áreas administrativas e técnicas que, de alguma forma, tiverem acesso aos técnicas que, de alguma forma, tiverem acesso aos dados do prontuário deverão assinar um termo de dados do prontuário deverão assinar um termo de confidencialidade e não-divulgação, em conformidade confidencialidade e não-divulgação, em conformidade com a norma ISO/IEC 17799.com a norma ISO/IEC 17799.





I. Autenticação – O sistema de informação deverá ser I. Autenticação – O sistema de informação deverá ser capaz de identificar cada usuário através de algum capaz de identificar cada usuário através de algum método de autenticação. Em se tratando de sistemas de método de autenticação. Em se tratando de sistemas de uso local, no qual não haverá transmissão da informação uso local, no qual não haverá transmissão da informação para outra instituição, é obrigatória a utilização de para outra instituição, é obrigatória a utilização de senhas. As senhas deverão ser de no mínimo 5 caracteres, senhas. As senhas deverão ser de no mínimo 5 caracteres, compostos por letras e números. Trocas periódicas das compostos por letras e números. Trocas periódicas das senhas deverão ser exigidas pelo sistema no período senhas deverão ser exigidas pelo sistema no período máximo de 60 (sessenta) dias. Em hipótese alguma o máximo de 60 (sessenta) dias. Em hipótese alguma o profissional poderá fornecer a sua senha a outro usuário, profissional poderá fornecer a sua senha a outro usuário, conforme preconiza a norma ISO/IEC 17799. O sistema de conforme preconiza a norma ISO/IEC 17799. O sistema de informações deve possibilitar a criação de perfis de informações deve possibilitar a criação de perfis de usuários que permita o controle de processos do sistema.usuários que permita o controle de processos do sistema.

I. Autenticação – O sistema de informação deverá ser I. Autenticação – O sistema de informação deverá ser capaz de identificar cada usuário através de algum capaz de identificar cada usuário através de algum método de autenticação. Em se tratando de sistemas de método de autenticação. Em se tratando de sistemas de uso local, no qual não haverá transmissão da informação uso local, no qual não haverá transmissão da informação para outra instituição, é obrigatória a utilização de para outra instituição, é obrigatória a utilização de senhas. As senhas deverão ser de no mínimo 5 caracteres, senhas. As senhas deverão ser de no mínimo 5 caracteres, compostos por letras e números. Trocas periódicas das compostos por letras e números. Trocas periódicas das senhas deverão ser exigidas pelo sistema no período senhas deverão ser exigidas pelo sistema no período máximo de 60 (sessenta) dias. Em hipótese alguma o máximo de 60 (sessenta) dias. Em hipótese alguma o profissional poderá fornecer a sua senha a outro usuário, profissional poderá fornecer a sua senha a outro usuário, conforme preconiza a norma ISO/IEC 17799. O sistema de conforme preconiza a norma ISO/IEC 17799. O sistema de informações deve possibilitar a criação de perfis de informações deve possibilitar a criação de perfis de usuários que permita o controle de processos do sistema.usuários que permita o controle de processos do sistema.





II. Auditoria – O sistema de informações deverá possuir II. Auditoria – O sistema de informações deverá possuir registro (registro (log)log) de eventos, conforme prevê a norma ISO/IEC de eventos, conforme prevê a norma ISO/IEC 17799. Estes registros devem conter: 17799. Estes registros devem conter: a. A identificação dos usuários do sistema; a. A identificação dos usuários do sistema; b. Datas e horários de entrada (b. Datas e horários de entrada (log-onlog-on) e saída () e saída (log-offlog-off) no ) no sistema; sistema; c. Identidade do terminal e, quando possível, a sua c. Identidade do terminal e, quando possível, a sua localização; localização; d. Registro das tentativas de acesso ao sistema, aceitas e d. Registro das tentativas de acesso ao sistema, aceitas e rejeitadas; rejeitadas; e. Registro das tentativas de acesso a outros recursos e e. Registro das tentativas de acesso a outros recursos e dados, aceitas e rejeitadas. dados, aceitas e rejeitadas. f. Registro das exceções e de outros eventos de segurança f. Registro das exceções e de outros eventos de segurança relevantes devem ser mantidos por um período de tempo relevantes devem ser mantidos por um período de tempo não inferior a 10 (dez) anos, para auxiliar em investigações não inferior a 10 (dez) anos, para auxiliar em investigações futuras e na monitoração do controle de acesso.futuras e na monitoração do controle de acesso.

II. Auditoria – O sistema de informações deverá possuir II. Auditoria – O sistema de informações deverá possuir registro (registro (log)log) de eventos, conforme prevê a norma ISO/IEC de eventos, conforme prevê a norma ISO/IEC 17799. Estes registros devem conter: 17799. Estes registros devem conter: a. A identificação dos usuários do sistema; a. A identificação dos usuários do sistema; b. Datas e horários de entrada (b. Datas e horários de entrada (log-onlog-on) e saída () e saída (log-offlog-off) no ) no sistema; sistema; c. Identidade do terminal e, quando possível, a sua c. Identidade do terminal e, quando possível, a sua localização; localização; d. Registro das tentativas de acesso ao sistema, aceitas e d. Registro das tentativas de acesso ao sistema, aceitas e rejeitadas; rejeitadas; e. Registro das tentativas de acesso a outros recursos e e. Registro das tentativas de acesso a outros recursos e dados, aceitas e rejeitadas. dados, aceitas e rejeitadas. f. Registro das exceções e de outros eventos de segurança f. Registro das exceções e de outros eventos de segurança relevantes devem ser mantidos por um período de tempo relevantes devem ser mantidos por um período de tempo não inferior a 10 (dez) anos, para auxiliar em investigações não inferior a 10 (dez) anos, para auxiliar em investigações futuras e na monitoração do controle de acesso.futuras e na monitoração do controle de acesso.





I. Transmissão de Dados – Para a transmissão remota I. Transmissão de Dados – Para a transmissão remota de dados identificados do prontuário, os sistemas de dados identificados do prontuário, os sistemas deverão possuir um certificado digital de aplicação deverão possuir um certificado digital de aplicação única emitido por uma AC (Autoridade Certificadora) única emitido por uma AC (Autoridade Certificadora) credenciada pelo ITI responsável pela AC Raiz da credenciada pelo ITI responsável pela AC Raiz da estrutura do ICP-Brasil, a fim de garantir a identidade estrutura do ICP-Brasil, a fim de garantir a identidade do sistema. do sistema. II. Certificação do II. Certificação do softwaresoftware – A verificação do – A verificação do atendimento destas normas poderá ser feita através atendimento destas normas poderá ser feita através de processo de certificação do de processo de certificação do softwaresoftware junto ao CFM, junto ao CFM, conforme especificado a seguir. conforme especificado a seguir. III. Digitalização de prontuários - Os arquivos digitais III. Digitalização de prontuários - Os arquivos digitais oriundos da digitalização do prontuário médico oriundos da digitalização do prontuário médico deverão ser controlados por módulo do sistema deverão ser controlados por módulo do sistema especializado que possua as seguintes características.especializado que possua as seguintes características.

I. Transmissão de Dados – Para a transmissão remota I. Transmissão de Dados – Para a transmissão remota de dados identificados do prontuário, os sistemas de dados identificados do prontuário, os sistemas deverão possuir um certificado digital de aplicação deverão possuir um certificado digital de aplicação única emitido por uma AC (Autoridade Certificadora) única emitido por uma AC (Autoridade Certificadora) credenciada pelo ITI responsável pela AC Raiz da credenciada pelo ITI responsável pela AC Raiz da estrutura do ICP-Brasil, a fim de garantir a identidade estrutura do ICP-Brasil, a fim de garantir a identidade do sistema. do sistema. II. Certificação do II. Certificação do softwaresoftware – A verificação do – A verificação do atendimento destas normas poderá ser feita através atendimento destas normas poderá ser feita através de processo de certificação do de processo de certificação do softwaresoftware junto ao CFM, junto ao CFM, conforme especificado a seguir. conforme especificado a seguir. III. Digitalização de prontuários - Os arquivos digitais III. Digitalização de prontuários - Os arquivos digitais oriundos da digitalização do prontuário médico oriundos da digitalização do prontuário médico deverão ser controlados por módulo do sistema deverão ser controlados por módulo do sistema especializado que possua as seguintes características.especializado que possua as seguintes características.





a. Mecanismo próprio de captura de imagem em preto e a. Mecanismo próprio de captura de imagem em preto e branco e colorida independente do equipamento branco e colorida independente do equipamento scannerscanner; ;

b. Base de dados própria para o armazenamento dos b. Base de dados própria para o armazenamento dos arquivos digitalizados; arquivos digitalizados;

c. Método de indexação que permita criar um arquivamento c. Método de indexação que permita criar um arquivamento organizado, possibilitando a pesquisa futura de maneira organizado, possibilitando a pesquisa futura de maneira simples e eficiente; simples e eficiente;

d. Mecanismo de pesquisa utilizando informações sobre os d. Mecanismo de pesquisa utilizando informações sobre os documentos, incluindo os campos de indexação e o texto documentos, incluindo os campos de indexação e o texto contido nos documentos digitalizados, para encontrar contido nos documentos digitalizados, para encontrar imagens armazenadas na base de dados; imagens armazenadas na base de dados;

e. Mecanismos de controle de acesso que garantam o acesso e. Mecanismos de controle de acesso que garantam o acesso a documentos digitalizados somente por pessoas a documentos digitalizados somente por pessoas autorizadas.autorizadas.

a. Mecanismo próprio de captura de imagem em preto e a. Mecanismo próprio de captura de imagem em preto e branco e colorida independente do equipamento branco e colorida independente do equipamento scannerscanner; ;

b. Base de dados própria para o armazenamento dos b. Base de dados própria para o armazenamento dos arquivos digitalizados; arquivos digitalizados;

c. Método de indexação que permita criar um arquivamento c. Método de indexação que permita criar um arquivamento organizado, possibilitando a pesquisa futura de maneira organizado, possibilitando a pesquisa futura de maneira simples e eficiente; simples e eficiente;

d. Mecanismo de pesquisa utilizando informações sobre os d. Mecanismo de pesquisa utilizando informações sobre os documentos, incluindo os campos de indexação e o texto documentos, incluindo os campos de indexação e o texto contido nos documentos digitalizados, para encontrar contido nos documentos digitalizados, para encontrar imagens armazenadas na base de dados; imagens armazenadas na base de dados;

e. Mecanismos de controle de acesso que garantam o acesso e. Mecanismos de controle de acesso que garantam o acesso a documentos digitalizados somente por pessoas a documentos digitalizados somente por pessoas autorizadas.autorizadas.

www.robertodavila.com.www.robertodavila.com.brbr

[email protected]@cfm.org.br

IX Congresso Brasileiro de Informática em Saúde Certificação de Sistemas de Registro Eletrônico...

Documents

Transcript of IX Congresso Brasileiro de Informática em Saúde Certificação de Sistemas de Registro Eletrônico...