A questao de seguranca dos dados medicos tem sido discutida em varios paises, cada um tem proposto uma solucao diferente. Alguns paises europeus implementaram as solucoes propostas, varios tiveram que cancelar tudo e recomecar (Franca, Alemanha, Austria,...). A Noruega e a Belgica tem objetivos parecidos com a do Brasil (troca de dados entre instituicoes), porem as duas teem o que vc chamou "calcanhar de Aquiles". O dados sao desencriptados e reencriptados (com a chave do destinatario) cada vez que um dado é pedido. Abstraindo-se dos detalhes tecnicos, os dados sao encriptados com um chave da "agencia nacional da saude" e enviados, essa mesma agencia se encarrega de de/re-encriptar para o destinatario. Problema, se uma pessoa dessa agencia decidir roubar todos os dados transmitidos, seria possivel. Os ataques externos sao mais raros e menos devastadores que os ataques internos (estatisticamente).
Luxemburgo propos uma alternativa para esse problema (Trusted Third Part: TTP) que necessitaria dois grupos de gestao de dados, um que gerencia os dados encriptados e pseudonimizados e um que gerencia as identidades, os direitos de acesso e as chaves. A dificuldade seria de atacar esses dois servidores ao mesmo tempo. Essa solucao tambem resolve o problema de arquivos de dados, pois o processo de atualizacao das chaves tambem foi tratado. Eu tive a oportunidade de liderar essa pesquisa durante 3 anos e fui um do co-autores da proposta. Infelizmente, por razoes politicas, a proposta nao foi implementada como descrita (mas, varias ideias foram retidas e uma discussao ministerial esta debatendo a possiblidade de implementar as outras funcionalidades na segunda versao da plataforma nacional de saude em Luxemburgo).
Caso a proposta do TTP for adotada, o Cloud nao sera tao perigoso assim, pois os dados de identificacao dos pacientes nao seriam armazenados no Cloud. Os dados pseudonimizados, poderiam ser, pois o objetivo de ter esses dados é de promover a pesquisa na area medica.
Por enquanto as leis do pais nao permitem armazenar esse tipo de dados fora do pais, entao uma solucao alternativa precisa ser encontrada (talvez um claud privado como vc disse). Mas, sejamos realistas, Claud é inevitavel e devemos nos preparar para usa-la da melhor forma possivel. Nao adianta evita-la e nadar contra a corrente.
Se vc tiverem interesse no que foi feito em Luxemburgo, coloquei alguns documentos a disposicao no site http://tudor.lu/fr/document/esante-efes-architecture-and-security-national-ehealth-platform
Para os que querem so ter uma ideia sobre a proposta, aconselho o artigo "Protecting Patient Privacy when Sharing Medical Data".
Se precisarem de conselhos nessa area, nao hesitem em me contactar.
[]'s Marcos Da Silveira
Researcher
CR SANTEC
www.tudor.lu
--
----------------------------------------------------------
Seja associado da SBIS!
Visite o site www.sbis.org.br
---
Você recebeu essa mensagem porque está inscrito no grupo quot;Sociedade Brasileira de Informática em Saúde - Lista de Discussão" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para sbis_l+unsubscribe@googlegroups.com.
Para mais opções, acesse https://groups.google.com/d/optout.
0 comentários:
Postar um comentário