Retornar ao blog Início do blog
| 6 min de leitura

Vazamento de dados em hospitais: um problema grave e atual

Conforme os anos passam, a tecnologia ganha cada vez mais espaço e os dados (especialmente os sensíveis) se tornam ainda mais valiosos para a nossa sociedade, não é por acaso que temos uma complexa lei de proteção (LGPD) para diminuir as chances de seu uso indevido. 

Mesmo assim, o roubo e vazamento de dados continua bastante comum, inclusive na área da saúde.

Apenas em 2020, mais de 600 vazamentos de dados médicos foram registrados nos Estados Unidos, expondo informação de cerca de 30 milhões de pessoas. (*HIPAA Journal).

Já no Brasil, só em  2021, em média 45 milhões de pessoas tiveram dados expostos na área de saúde. Mas por que é um problema tão grave e, mesmo assim, tão frequente? 

Vamos entrar nesse debate. Nós, da Avant Services, somos especialistas em software de proteção de dados e queremos tanto te explicar um pouco mais desde o conceito e problemática, quanto te dar uns direcionamentos de como lidar com esse tipo de vazamento. Confira o sumário abaixo e siga a leitura:

SUMÁRIO

  1. Por que é tão comum o vazamento de dados em hospitais e clínicas?
    1. Por que é preocupante o vazamento de dados em hospitais e clínicas?
    2. O que é considerado vazamento de dados?
  2. O que a lei diz sobre vazamento de dados?
    1. De quem é a responsabilidade no caso de vazamento de dados?
    2. A LGPD também abrange hospitais e estabelecimentos da área da saúde?
    3. Quais são as consequências para hospitais e clínicas com dados vazados?
  3. Como os hospitais e clínicas podem evitar o vazamento de dados?
  4. O que fazer caso ocorra vazamento de dados?
    1. Se sua empresa teve dados vazados
    2. Se seus dados foram vazados por uma empresa

Por que é tão comum o vazamento de dados em hospitais e clínicas?

Existem várias camadas quando pensamos nos motivos para o vazamento de dados em hospitais seja tão frequente. Em primeiro lugar, as informações coletadas pela área de saúde são extremamente valiosas para pessoas de má índole, o que já potencializa ataques.

Mas, além disso, esses enormes volumes de registros médicos costumam ser armazenados em sistemas que garantem fácil acesso e melhor distribuição de informações, já que vários profissionais, clínicas e outros estabelecimentos precisam ter acesso. 

O lado positivo é que essa facilidade de acesso traz muita praticidade para os profissionais da saúde. A consequência, no entanto, é que também facilita muito o trabalho de hacker.

Para além da busca de facilidade, a vulnerabilidade desses dados vem do fato de que nem todo estabelecimento de saúde tem recurso o suficiente para manter uma boa equipe e sistema de TI ao redor para garantir a segurança. 

Desse modo, a soma da alta demanda, com a quantidade de dados valiosos e os sistemas com vários pontos de acesso, acabam prejudicando bastante o meio e nos levam a números alarmantes.

Vale mencionar também que o fluxo de dados na saúde é enorme e de grande criticidade, e o mais importante, lida com vidas. Esse é o setor que mais trata de dados, e o de maior acervo de dados sensíveis entre diferentes segmentos.

Existe um termo muito utilizado e que, quando bem estruturado, pode trazer maior maturidade e visibilidade, mas que, por outro lado, pode expor fragilidades do ecossistemas de saúde: a Interoperabilidade

Interoperabilidade: entenda a sua relação com a área da saúde

Quando ela é bem executada, ajuda muito no cotidiano da área. Contudo, sem visibilidade e controle, pode levar ao vazamento de dados e ataques hacker.

Para você entender o que é a interoperabilidade, vamos usar a definição da HIMSS (Healthcare Informativo and. Management Systems Society), que é bem abrangente:

Ela é a capacidade de diferentes sistemas de tecnologia da informação e aplicações de software se comunicarem, trocar dados e utilizar esse conhecimento mútuo.

Por exemplo, na prática clínica, um ecossistema de saúde é fazer com que todas as informações geradas por um indivíduo ou população possam ser visualizadas e atualizadas por todos os prestadores de serviços. A problemática bem na proteção desses dados: como eles são vistos e acessados? Como são protegidos?

Por que é preocupante o vazamento de dados em hospitais e clínicas?

Todo vazamento de dados é preocupante, afinal, quando expostos, normalmente esses dados são usados para aplicar diversos tipos de golpes, que podem afetar qualquer setor do mercado.

Entretanto, quando pensamos em dados da área da saúde, a situação fica um pouco pior, afinal, são informações delicadas e específicas sobre histórico médico, diagnósticos e outros detalhes extremamente privados e sensíveis, ou seja, estamos falando de vidas. Caso esses dados caiam nas mãos erradas, muita coisa pode acontecer, como:

  • Extorsão: fazer uso de informações delicadas para chantagear e extorquir as vítimas;
  • Roubo de identidade: fazer uso dos dados para roubar identidades e fazer compras fraudulentas, pedir cartões de crédito ou empréstimos, sem o conhecimento e consentimento da vítima;
  • Venda ilegal de informações: fazer uso dos dados médicos para vendas em fóruns clandestinos que possuem fins ilegais;
  • Sabotagem: fazer uso das informações para sabotar pacientes ou profissionais, seja divulgando ou falsificando dados deles;
  • Fraude financeira: fazer uso do cadastro pessoal (número do seguro social, informações bancárias, endereços, etc.) para fazer fraudes financeiras no nome de outra pessoa.

Esses vazamentos podem acontecer de diversas formas, como invasão de sistema, roubo de dispositivos, phishing e muito mais. Esse é o motivo pelo qual os estabelecimentos médicos precisam estar sempre atentos ao seu setor de TI.

O que é considerado vazamento de dados?

Vazamento de dados é tudo que abrange o acesso, coleta, divulgação ou repasse indevido de dados confidenciais de uma pessoa, ou organização.

O que a lei diz sobre vazamento de dados?

A LGPD (Lei Geral de Proteção de Dados) exige o sigilo e proteção dos dados em cadastros, sejam eles feitos online ou feitos presencialmente durante um check-in. Essa lei se aplica para todas as áreas e é obrigatório o seu cumprimento.

Nela, as organizações e empresas precisam garantir que:

  • A pessoa consinta a coleta dos dados: não é permitido a coleta, uso ou compartilhamento de dados pessoais sem o consentimento da pessoa. Em todas as áreas, inclusive na de saúde, é necessário que o paciente saiba a finalidade para aquela informação, ou seja, para que ela será usada. 
  • Os dados fiquem em segurança: é necessário a adoção de medidas de segurança adequadas para proteger as informações pessoais dos usuários, em toda e qualquer situação de coleta ou uso de dados. 
  • A pessoa tenha acesso aos dados e à portabilidade: as pessoas que tiveram os seus dados coletados têm o direito garantido pela lei, para acessá-los e também para solicitar a portabilidade desses dados para outras empresas. 
  • Exista o registro das atividades: deve-se manter um registro atualizado das atividades de tratamento de dados pessoais, sendo eles a informação de consentimento do paciente, os fins para tais informações, para quem, quando e por que elas foram compartilhadas, e quais foram as medidas de segurança adotadas em cada caso.

De quem é a responsabilidade no caso de vazamento de dados?

Obviamente, caso seja encontrado, o responsável pelo ataque é o delinquente que será punido dentro das leis criminais aplicáveis por dolo da ação (realização proposital com fins indevidos).

A empresa que possuía os dados também estará em foco, já que, ao nível jurídico, pode ser considerada culpada pelo vazamento. Isso porque, segundo a LGPD, as empresas são obrigadas a cuidar e tratar dos dados e, se houver qualquer falha que leve ao vazamento dessas informações, o nível de segurança empresarial estabelecido e aplicado será fortemente questionado e investigado.

Caso a empresa consiga provar que realizava um bom trabalho na proteção de dados, é possível que ela consiga uma redução na penalidade — sempre proporcional à quantidade e eficácia das medidas de proteção.

Parte das medidas cabíveis e previstas na LGPD é também que seja feita uma reparação às pessoas que tiveram os seus dados vazados.

A LGPD também abrange hospitais e estabelecimentos da área da saúde?

Sim, a Lei Geral de Proteção de Dados (LGPD) é aplicável a todas as áreas, incluindo a área da saúde. Hospitais e clínicas não são isentos dessa responsabilidade para com as informações de seus pacientes e funcionários.

Quais são as consequências para hospitais e clínicas com dados vazados?

Dentre as consequências previstas pela LGPD, podemos mencionar as seguintes:

  • Multas e sanções: aqueles que não cumprirem as normas de proteção de dados podem receber multas de até R$ 50 milhões. Junto dela, a autoridade responsável pode impor outras sanções, como a proibição de processar dados pessoais por um determinado período.
  • Processos judiciais: além das multas e sanções, as organizações também podem ser processadas pelos indivíduos que tiveram seus dados vazados, para serem indenizados por danos morais e materiais.
  • Danos à reputação: ter dados vazados pode gerar uma enorme mancha na reputação da organização que sofreu o ataque.  Tanto em relação ao público quanto às parcerias de negócios.
  • Perda de negócios: como mencionado acima, a perda de reputação pode levar a empresa a perder negócios valiosos.
  • Custos para remediação: a organização pode precisar contratar especialistas em segurança de dados para avaliar e remediar a violação de segurança, notificar os indivíduos afetados e notificar as autoridades competentes.

Como os hospitais e clínicas podem evitar o vazamento de dados?

Existem várias formas de proteger os dados coletados por sua empresa. Separamos algumas dicas que, na verdade, são ações de segurança que deveriam ser obrigatórias para todos. É importante que você se atente bastante a cada um dos pontos e aplique-os imediatamente em sua empresa:

Criptografe dados sensíveis

Uma das maneiras mais eficazes de prevenir os acessos, usos ou compartilhamentos não autorizados dos seus dados. Eles precisam estar criptografados em todas as fases, desde o repouso ao trânsito, para não serem roubados.

Implemente autenticação forte

A autenticação nada mais é do que uma senha forte e elaborada. Por isso, senhas com letras maiúsculas, minúsculas, símbolos, números, em uma combinação difícil são tão importantes.

Se possível, implemente autenticação de dois fatores ou ligadas ao seu celular, ou de um supervisor de confiança.

Mantenha sistemas atualizados

Softwares e sistemas de segurança em computadores são constantemente atualizados, não só com novidades, mas também com novas funções de segurança, focadas para os ataques que vêm se tornando cada vez mais fortes. Por isso, mantê-los atualizados é uma ótima forma de reduzir a vulnerabilidade ante ataques.

Treine seus funcionários

Algo que pode sempre prejudicar muito a segurança de seus dados é um funcionário sem conhecimento sobre a importância e os cuidados necessários com as informações. Por isso, treinar e conscientizar as pessoas que trabalham para você é sempre essencial no processo de evitar possíveis deslizes.

Realize auditorias regulares

As auditorias são análises de sistemas e processos em sua empresa, para encontrar falhas ou fraquezas em pontos de acesso de dados. Isso te fará agir de maneira preventiva, ajudando a manter a segurança de sua empresa em dia.

Tenha um plano de resposta a incidentes

Ter um plano já traçado previamente para ser rapidamente aplicado em resposta para incidentes é uma forma extremamente eficiente de minimizar danos causados por vazamentos de dados. 

Contrate serviços de segurança especializados

Contratar empresas especializadas em manter a segurança de dados é, sem dúvida, uma das formas mais eficientes, já que esse é um setor tão complexo. Tomar todas as medidas de segurança adequadas só é possível para profissionais com vasta experiência e constante atualização nesse meio. Certifique-se de ter empresas parceiras com conhecimento de como manter a proteção eficaz e atualizada, com monitoramento constante, de suas medidas e softwares de segurança de dados.

O que fazer caso ocorra vazamento de dados?

Infelizmente esse é um risco ao qual sempre estaremos expostos (em menor ou maior densidade), nessas horas, é preciso tomar as atitudes certas, para amenizar a situação e tomar as medidas necessárias com agilidade. 

Pensando nisso, separamos aqui o que fazer, tanto se a sua empresa tiver dados vazados, quanto se os seus dados forem roubados. Confira:

Se sua empresa teve dados vazados

Abaixo trouxemos 6 ações que precisam ser tomadas caso você sofra um ataque e tenha dados vazados. 

1. Avalie a extensão do vazamento

Avaliar é essencial, especialmente para determinar a gravidade do vazamento. Assim, você consegue ter uma melhor dimensão da situação e de suas próximas ações.

2. Notifique as autoridades competentes

Segundo a LGPD, os estabelecimentos são obrigados a notificar as autoridades em até 72 horas após a descoberta do vazamento. 

Dependendo do tipo de dados afetados na invasão, pode ser necessário notificar também a ANPD (Autoridade Nacional de Proteção de Dados) e a ANS (Agência Nacional de Saúde Suplementar).

3. Notifique os indivíduos afetados

Seja por e-mail ou outro meio apropriado, o estabelecimento é obrigado a notificar todas as pessoas que tiveram dados vazados, explicando como, porque, quando e que tipos de informações foram vazadas.

4. Contrate especialistas em segurança de dados

Da mesma forma que é importante ter um especialista antes do vazamento, depois eles também podem fazer uma grande diferença, já que conseguirão te auxiliar na avaliação da situação e remediar os danos de forma profissional e especializada.

5. Implemente medidas de segurança adicionais

O único lado bom de situações como essas é justamente a possibilidade de entender nossas fraquezas e trabalhar para corrigi-las. Então, após identificar como os dados foram vazados, é essencial tomar medidas adicionais para que essa brecha não se abra mais.

6. Monitore a situação

Por fim, é essencial se manter monitorando os impactos e a reputação após o incidente, para tentar remediar quais efeitos colaterais que apareçam ao longo do processo.

Se seus dados foram vazados por uma empresa

Agora, para finalizar o guia, listamos aqui 5 ações para fazer caso seus dados tenham sido vazados pela falha de segurança de uma empresa.

1. Entre em contato com o estabelecimento de saúde

Antes de fazer qualquer coisa, você precisa ter a informação completa do que aconteceu. Todo indivíduo tem o direito de saber se seus dados foram vazados em todos os detalhes: quantos, quando e quais eram eles.

2. Monitore suas contas

Fique de olho e se mantenha monitorando contas, cartões e finanças, caso alguma movimentação suspeita apareça, tome atitude imediatamente e entre em contato com a empresa responsável (como o banco).

3. Proteja sua identidade

Existem alguns serviços de proteção de identidade, feitos para te ajudar a monitorar suas informações e te alertar em caso de atividades suspeitas. Essa ação pode facilitar muito sua vida.

Considere também congelar seu crédito para impedir que abram uma nova conta em seu nome.

4. Reporte o incidente

Como você tem total direito sobre seus dados, reporte o incidente para a Autoridade Nacional de Proteção de Dados (ANPD) e, se possível, também para a ANS (Agência Nacional de Saúde Suplementar). Você também pode procurar o Procon de sua região.

5. Busque ajuda legal

Caso o vazamento inclua dados financeiros ou emocionais, é de extrema importância que você procure ajuda de um advogado para entender seus direitos legais.

Gostou das informações que trouxemos? Deu para tirar suas dúvidas sobre vazamento de dados em hospitais e clínicas? Esperamos que sim. Confira em nosso blog mais assuntos sobre segurança.

Sua empresa merece o melhor, então não deixe de conferir nossos produtos/serviços abaixo:

Serviços de Cibersegurança Avançado com Bitdefender

Serviços Safetica: soluções eficazes de proteção a vazamento de dados

Kaspersky Endpoint Security para empresas: a melhor opção de segurança!

Compartilhe:

Logo Avatar autor Avant Services
Avant Services
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Aliquam non leo a ante efficitur facilisis. Morbi mollis elit rutrum, sollicitudin risus id, tincidunt sem.
Logo Avant Services

Somos especializados em licenciamento de software,

com foco em produtividade e cibersegurança.

Fale com um especialista seta botão

Conteúdos relacionados

Pentest: o que é? Como funciona? Por que contratar?

Saiba como proteger os dispositivos da sua empresa dos malwares

Receba as novidades da Avant em primeira mão