A 2iM Inteligência Médica anuncia a conquista da certificação ISO/IEC 27001:2013, que atesta que nosso Sistema de Gestão de Segurança da Informação atende aos mais rigorosos padrões mundiais de excelência, entrando assim para o rol das pouco mais de 100 empresas que detêm essa certificação no Brasil.
O reconhecimento é resultado de muito esforço do nosso time, que atuou, ao longo de 12 meses, adequando e implementando procedimentos, processos, rotinas e controles no atendimento aos preceitos da Norma, para o desenvolvimento e consolidação de uma robusta estrutura de segurança para a proteção de dados.
Afinal, o que é e para que serve a ISO 27001
É uma norma de referência e vigência internacional, criada pela International Standardization Organization (ISO), que tem como objetivo a definição de um conjunto de requisitos para implementação de um Sistema de Gestão de Segurança da Informação (SGSI) consistente nas organizações, a fim de mitigar de forma adequada os riscos a que estão sujeitas. Abrange o gerenciamento dos dados e consequentemente a proteção das informações de clientes, fornecedores, colaboradores e demais stakeholders do negócio.
As empresas certificadas devem seguir um modelo apropriado de implementação, operação, monitoração, revisão e gestão para o SGSI, o qual será invariavelmente influenciado pelas necessidades, exigências de segurança, processos e estrutura geral peculiares ao contexto de atuação da organização.
De que forma os clientes se beneficiam
A pesquisa anual da ISO revela que o selo aparece no topo da lista de crescimento nos últimos anos. A tendência deve se manter face às implementações das leis de proteção de dados, como a brasileira LGPD – Lei Geral de Proteção de Dados (Lei 13.709/2018), que teve sua vigência adiada para maio de 2021, ou o GDRP – General Data Protection Regulation, da União Europeia, em vigor desde 2018.
No sentido prático, a certificação garante aos clientes que a organização possui abordagens para a mitigação de risco por meio de controles de segurança da informação, demonstrando que o investimento negocial na empresa será amparado por uma estrutura blindada contra adversidades e periodicamente auditada, facilitando ainda o alinhamento da empresa às diretrizes estabelecidas na LGPD entre outras exigências legais.
Em um mundo em que a informação é redesenhada como moeda de alto valor, a ISO 27001 é reconhecida globalmente por especialistas como a melhor prática concernente à gestão de segurança da informação, sobretudo no enfretamento dos crimes cibernéticos. O novo cenário legal, sob a perspectiva da LGPD, prevê multas substanciais para episódios de vazamento de dados. Nesse contexto, empresas engajadas na certificação tornam-se agentes proativos na proteção das informações dos seus usuários.
LGPD – Lei Geral de Proteção de Dados nas organizações de saúde
A segurança dos dados é uma preocupação que permeia o cenário mundial, vide as legislações já mencionadas. Contudo é importante frisar que a ISO 27001 não é uma contrapartida à LGPD. Certificar-se na norma é antes de tudo uma iniciativa voluntária e proativa, enquanto adequar-se à Lei envolve a assimilação de um componente impositivo.
Inspirada no GDRP – General Data Protection Regulation europeu, a lei brasileira tem como propósito tornar segura toda e qualquer coleta, tratamento, armazenamento e compartilhamento de dados dos cidadãos, estabelecendo direitos, exigências e procedimentos para essas atividades.
Hospitais e instituições de saúde devem ajustar seus sistemas de informação para adequarem-se à regulamentação prevista na nova Lei. Veja a síntese de algumas abordagens:
- A finalidade de uso dos dados deve ser informada previamente. O consentimento do paciente é necessário.
- A proteção dos dados se estende além do ambiente digital. O paciente tem o direito de solicitar a exclusão completa ou parcial dos dados pessoais e clínicos nos registros da instituição, seja em papel ou prontuário eletrônico.
- O usuário do serviço de saúde deve ter a possibilidade não burocrática de consultar e até mesmo alterar as informações que disponibilizou para a instituição. Os dados coletados devem ser disponibilizados aos pacientes.
- A instituição é obrigada a garantir a segurança dessas informações e a notificar o titular em caso de um incidente de segurança.
- A instituição de saúde deve fornecer orientações aos funcionários e contribuintes, a fim de evitar desvios de conduta, sobre o cumprimento das novas exigências. O não cumprimento da Lei pode acarretar multas que podem variar entre 50 milhões de reais e 2% do faturamento total da organização.
- A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de “legítimo interesse” desses, embora essa hipótese não tenha sido detalhada, e se encontra em aberto na norma.
A 2iM na vanguarda da Segurança da Informação
Utilizando-se do conceito de Business Analytics (BA), a 2iM disponibiliza ao mercado softwares em cloud para medição de valor assistencial em organizações de saúde. Agrupamos, analisamos e rastreamos as informações de saúde com foco na tomada de decisão estratégica em relação aos indicadores de qualidade, performance e custos assistenciais.
Hoje, em nossa base de dados, manipulamos informações de mais de 40.000 profissionais de saúde, de dezenas de organizações de saúde em todo o Brasil, que envolvem centenas de milhares de dados clínicos.
Temos a ciência da sensibilidade dessas informações e por isso investimos em infraestrutura para governança de dados, com enfoque especial na documentação e implementação das rotinas de segurança, no propósito de garantir confidencialidade, integridade e disponibilidade da informação.
Conheça nossa Política de Segurança da Informação.