Buscalegis.ccj.ufsc.Br
Prontuários médicos e os meios eletrônicos
editor de Internet e Tecnologia da Revista Consultor Jurídico, advogado
especializado em Direito da Informática e responsável pelo site InternetLegal.
O Conselho Federal de Medicina emitiu a Resolução nº 1.639, de 10/7 e
publicada no DO de 12/8, buscando disciplinar a utilização de sistemas
informatizados para a guarda e manuseio dos prontuários médicos, e estabelecer
critérios para o uso da certificação digital nesse processo.
Segundo a Resolução, os dados têm que estar sempre disponíveis, sendo possível
o fornecimento de cópias autênticas das informações ao paciente ou
representante legal; o sigilo profissional independe do meio utilizado para o
armazenamento dos dados no prontuário, seja eletrônico ou em papel; e os novos
métodos de armazenamento e de transmissão de dados possibilitam a elaboração e
o arquivamento do prontuário em meio eletrônico.
O prazo mínimo para o suporte em papel é de 20 (vinte) anos, contados do último
registro.
A tabela de custos para o processo de certificação dos sistemas de informação
de prontuário eletrônico encontra-se disponível no site do CFM.
Veja a íntegra da Resolução:
CONSELHO FEDERAL DE MEDICINA
RESOLUÇÃO Nº 1.639, DE 10 DE JULHO DE 2002
Aprova as "Normas Técnicas para o Uso de Sistemas Informatizados para a
Guarda e Manuseio do Prontuário Médico", dispõe sobre tempo de guarda dos
prontuários, estabelece critérios para certificação dos sistemas de informação
e dá outras providências.
O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições que lhe confere a Lei nº
3.268, de 30 de setembro de 1957, regulamentada pelo Decreto nº 44.045, de 19
de julho de 1958, e
CONSIDERANDO que o médico tem o dever de elaborar o prontuário para cada
paciente a que assiste, conforme previsto no art. 69 do Código de Ética Médica;
CONSIDERANDO que os dados que compõem o prontuário pertencem ao paciente e
devem estar permanentemente disponíveis, de modo que, quando solicitado por ele
ou seu representante legal, permitam o fornecimento de cópias autênticas das
informações a ele pertinentes;
CONSIDERANDO o teor da Resolução CFM nº 1.605/2000, que dispõe sobre o
fornecimento das informações do prontuário à autoridade judiciária
requisitante;
CONSIDERANDO que o sigilo profissional, que visa preservar a privacidade do
indivíduo, deve estar sujeito às normas estabelecidas na legislação e no Código
de Ética Médica, independente do meio utilizado para o armazenamento dos dados
no prontuário, seja eletrônico ou em papel;
CONSIDERANDO o volume de documentos armazenados pelos estabelecimentos de saúde
e consultórios médicos em decorrência da necessidade de manutenção dos
prontuários;
CONSIDERANDO os avanços da tecnologia da informação e de telecomunicações, que
oferecem novos métodos de armazenamento e de transmissão de dados;
CONSIDERANDO a legislação arquivística brasileira, que normatiza a guarda, a
temporalidade e a classificação dos documentos, inclusive dos prontuários
médicos;
CONSIDERANDO o disposto na Resolução CFM nº 1.638/2002, de 10 de julho de 2002,
que define prontuário médico e cria as Comissões de Revisão de Prontuários nos
estabelecimentos e/ou instituições de saúde;
CONSIDERANDO o teor do Parecer CFM nº 30/2002, aprovado na Sessão Plenária de
10 de julho de 2002;
CONSIDERANDO, finalmente, o decidido em Sessão Plenária de 10 de julho de 2002,
resolve:
Art. 1º - Aprovar as "Normas Técnicas para o Uso de Sistemas
Informatizados para a Guarda e Manuseio do Prontuário Médico", anexas à
esta resolução, possibilitando a elaboração e o arquivamento do prontuário em
meio eletrônico.
Art. 2º - Estabelecer a guarda permanente para os prontuários médicos
arquivados eletronicamente em meio óptico ou magnético, e microfilmados.
Art. 3º - Recomendar a implantação da Comissão Permanente de Avaliação de
Documentos em todas as unidades que prestam assistência médica e são detentoras
de arquivos de prontuários médicos, tomando como base as atribuições
estabelecidas na legislação arquivística brasileira (a Resolução CONARQ nº
7/97, a NBR nº 10.519/88, da ABNT, e o Decreto nº 4.037/2002, que regulamenta a
Lei de Arquivos - Lei nº 8.159/91).
Art. 4º - Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do último
registro, para a preservação dos prontuários médicos em suporte de papel.
Parágrafo único - Findo o prazo estabelecido no caput, e considerando o valor
secundário dos prontuários, a Comissão Permanente de Avaliação de Documentos,
após consulta à Comissão de Revisão de Prontuários, deverá elaborar e aplicar
critérios de amostragem para a preservação definitiva dos documentos em papel que
apresentem informações relevantes do ponto de vista médico-científico,
histórico e social.
Art. 5º - Autorizar, no caso de emprego da microfilmagem, a eliminação do
suporte de papel dos prontuários microfilmados, de acordo com os procedimentos
previstos na legislação arquivística em vigor (Lei nº 5.433/68 e Decreto nº
1.799/96), após análise obrigatória da Comissão Permanente de Avaliação de
Documentos da unidade médico-hospitalar geradora do arquivo.
Art. 6º - Autorizar, no caso de digitalização dos prontuários, a eliminação do
suporte de papel dos mesmos, desde que a forma de armazenamento dos documentos
digitalizados obedeça à norma específica de digitalização contida no anexo
desta resolução e após análise obrigatória da Comissão Permanente de Avaliação
de Documentos da unidade médico-hospitalar geradora do arquivo.
Art. 7º - O Conselho Federal de Medicina e a Sociedade Brasileira de
Informática em Saúde (SBIS), mediante convênio específico, expedirão, quando
solicitados, a certificação dos sistemas para guarda e manuseio de prontuários
eletrônicos que estejam de acordo com as normas técnicas especificadas no anexo
a esta resolução.
Art. 8º - Esta resolução entra em vigor na data de sua publicação.
Art. 9º - Fica revogada a Resolução CFM nº 1.331/89 e demais disposições em
contrário.
EDSON DE OLIVEIRA ANDRADE
Presidente do Conselho
RUBENS DOS SANTOS SILVA
Secretário-Geral
ANEXO
NORMAS TÉCNICAS PARA O USO DE SISTEMAS INFORMATIZADOS PARA A GUARDA E MANUSEIO
DO PRONTUÁRIO MÉDICO
I) Integridade da Informação e Qualidade do Serviço - O sistema de informações
deverá manter a integridade da informação através do controle de
vulnerabilidades, de métodos fortes de autenticação, do controle de acesso e
métodos de processamento dos sistemas operacionais conforme a norma ISO/IEC
15408, para segurança dos processos de sistema.
II) Cópia de Segurança - Deverá ser feita cópia de segurança dos dados do
prontuário pelo menos a cada 24 horas. Recomenda-se que o sistema de informação
utilizado possua a funcionalidade de forçar a realização do processo de cópia
de segurança diariamente. O procedimento de back-up deve seguir as
recomendações da norma ISO/IEC 17799, através da adoção dos seguintes
controles:
a-) Documentação do processo de backup/restore;
b-) As cópias devem ser mantidas em local distante o suficiente para livrá-las
de danos que possam ocorrer nas instalações principais;
c-) Mínimo de três cópias para aplicações críticas;
d-) Proteções físicas adequadas de modo a impedir acesso não autorizado;
e-) Possibilitar a realização de testes periódicos de restauração.
III) Bancos de Dados - Os dados do prontuário deverão ser armazenados em
sistema que assegure, pelo menos, as seguintes características:
a-) Compartilhamento dos dados;
b-) Independência entre dados e programas;
c-) Mecanismos para garantir a integridade, controle de conformidade e
validação dos dados;
d-) Controle da estrutura física e lógica;
e-) Linguagem para a definição e manipulação de dados (SQL - Standard Query
Language);
f-) Funções de auditoria e recuperação dos dados.
IV) Privacidade e Confidencialidade - Com o objetivo de garantir a privacidade,
confidencialidade dos dados do paciente e o sigilo profissional, faz-se
necessário que o sistema de informações possua mecanismos de acesso restrito e
limitado a cada perfil de usuário, de acordo com a sua função no processo
assistencial:
a-) Recomenda-se que o profissional entre pessoalmente com os dados
assistenciais do prontuário no sistema de informação;
b-) A delegação da tarefa de digitação dos dados assistenciais coletados a um
profissional administrativo não exime o médico, fornecedor das informações, da
sua responsabilidade desde que o profissional administrativo esteja inserindo
estes dados por intermédio de sua senha de acesso;
c-) A senha de acesso será delegada e controlada pela senha do médico a quem o
profissional administrativo está subordinado;
d-) Deve constar da trilha de auditoria quem entrou com a informação;
e-) Todos os funcionários de áreas administrativas e técnicas que, de alguma
forma, tiverem acesso aos dados do prontuário deverão assinar um termo de
confidencialidade e não-divulgação, em conformidade com a norma ISO/IEC 17799.
V) Autenticação - O sistema de informação deverá ser capaz de identificar cada
usuário através de algum método de autenticação. Em se tratando de sistemas de
uso local, no qual não haverá transmissão da informação para outra instituição,
é obrigatória a utilização de senhas. As senhas deverão ser de no mínimo 5
caracteres, compostos por letras e números. Trocas periódicas das senhas
deverão ser exigidas pelo sistema no período máximo de 60 (sessenta) dias. Em
hipótese alguma o profissional poderá fornecer a sua senha a outro usuário,
conforme preconiza a norma ISO/IEC 17799. O sistema de informações deve
possibilitar a criação de perfis de usuários que permita o controle de
processos do sistema.
VI) Auditoria - O sistema de informações deverá possuir registro (log) de
eventos, conforme prevê a norma ISO/IEC 17799. Estes registros devem conter:
a-) A identificação dos usuários do sistema;
b-) Datas e horários de entrada (log-on) e saída (log-off) no sistema;
c-) Identidade do terminal e, quando possível, a sua localização;
d-) Registro das tentativas de acesso ao sistema, aceitas e rejeitadas;
e-) Registro das tentativas de acesso a outros recursos e dados, aceitas e
rejeitadas.
f-) Registro das exceções e de outros eventos de segurança relevantes devem ser
mantidos por um período de tempo não inferior a 10 (dez) anos, para auxiliar em
investigações futuras e na monitoração do controle de acesso.
VII) Transmissão de Dados - Para a transmissão remota de dados identificados do
prontuário, os sistemas deverão possuir um certificado digital de aplicação
única emitido por uma AC (Autoridade Certificadora) credenciada pelo ITI
responsável pela AC Raiz da estrutura do ICP-Brasil, a fim de garantir a
identidade do sistema.
VIII) Certificação do software - A verificação do atendimento destas normas
poderá ser feita através de processo de certificação do software junto ao CFM,
conforme especificado a seguir.
IX) Digitalização de prontuários - Os arquivos digitais oriundos da
digitalização do prontuário médico deverão ser controlados por módulo do
sistema especializado que possua as seguintes características.
a-) Mecanismo próprio de captura de imagem em preto e branco e colorida
independente do equipamento scanner;
b-) Base de dados própria para o armazenamento dos arquivos digitalizados;
c-) Método de indexação que permita criar um arquivamento organizado,
possibilitando a pesquisa futura de maneira simples e eficiente;
d-) Mecanismo de pesquisa utilizando informações sobre os documentos, incluindo
os campos de indexação e o texto contido nos documentos digitalizados, para
encontrar imagens armazenadas na base de dados;
e-) Mecanismos de controle de acesso que garantam o acesso a documentos
digitalizados somente por pessoas autorizadas.
CERTIFICAÇÃO DOS SISTEMAS INFORMATIZADOS PARA A GUARDA E MANUSEIO DO PRONTUÁRIO
MÉDICO
Todas as pessoas físicas, organizações ou empresas desenvolvedoras de sistemas
informatizados para a guarda e manuseio do prontuário médico que desejarem
obter a certificação do CFM e da SBIS deverão cumprir os seguintes passos:
1) Responder e enviar, via Internet, o questionário básico, disponível na
página do CFM: http://www.cfm.org.br/certificacao;
2) O questionário remetido será analisado pelo CFM/SBIS, que emitirá um parecer
inicial aprovando ou não o sistema proposto. Este parecer será enviado, via
Internet, ao postulante;
3) Caso aprovado, os sistemas de gestão de consultórios e pequenas clínicas
(sistemas de menor complexidade) deverão ser encaminhados à sede do CFM para
análise. Os sistemas de gestão hospitalar ou de redes de atenção à saúde
(sistemas de maior complexidade) que não possam ser enviados serão analisados
"in loco" (sob a responsabilidade do CFM/SBIS);
4) O processo de avaliação consistirá na análise do cumprimento das normas
técnicas acima elencadas. A aprovação do sistema estará condicionada ao
cumprimento de todas as normas estabelecidas;
5) Em caso de não-aprovação do sistema, serão especificados os motivos para que
as reformulações necessárias sejam encaminhadas;
6) Uma vez aprovado o sistema na versão analisada, além do documento de
certificação o CFM e a SBIS emitirão um selo digital de qualidade que poderá
ser incorporado na tela de abertura do sistema;
7) A tabela de custos para o processo de certificação dos sistemas de
informação de prontuário eletrônico encontra-se disponível no site
http://www.cfm.org.br/certificacao;
8) A certificação deverá ser revalidada a cada nova versão do sistema, seguindo
os mesmos trâmites anteriormente descritos.
Retirado de: www.conjur.com.br