O projeto foi iniciado em outubro de 2022 para desenvolver medidas técnicas e administrativas na proteção de dados pessoais contra violações
Na última quarta-feira (26), o Centro de Projetos de Ensino e Pesquisa (CEPEP) do Erasto Gaertner protagonizou o encerramento do projeto piloto de Acesso e Identidade para novas práticas de adequação à Lei Geral de Proteção de Dados (LGPD). Para viabilizá-las, desde outubro de 2022, profissionais de múltiplas áreas da instituição estão trabalhando para implantar medidas técnicas e administrativas para a proteção de colaboradores, profissionais médicos, voluntários, pacientes, familiares, terceiros e doadores.
Foi criado, para esta atividade, um Grupo de Trabalho para liderar as primeiras ações que reforçam o compromisso da instituição com a proteção da privacidade e segurança da informação. Desta forma, a agenda de trabalho envolveu três etapas importantes: revisão de todos os perfis de acesso ao sistema e a rede hospitalar; desenho de uma cadeia de responsabilidade dos profissionais e dos setores da instituição; e por último a definição de uma Política de Acesso da Liga Paranaense de Combate ao Câncer (mantenedora do Erasto Gaertner).
Na prática, o que ocorre é a revisão e refinamento dos perfis de acesso de profissionais que atuam, de alguma forma, na instituição. Desta forma, um perfil administrativo, por exemplo, terá acesso apenas às funcionalidades da rede e do sistema que envolve sua rotina de trabalho. Caso o colaborador seja promovido, o seu perfil pessoal será alterado conforme a evolução na empresa, garantindo que as suas liberações sejam pensadas de forma estratégica, em termos de hierarquia e setor.
O CEPEP foi escolhido como unidade operacional piloto motivado pelas mudanças robustas e crescimento da unidade no último ano, bem como envolvimento com as pesquisas clínicas realizadas no hospital. Ou seja, demandava uma atenção maior em relação aos dados de pacientes que participam dessas pesquisas. No entanto, a ideia é justamente aumentar a ação do GT Acesso e Identidade para abranger cada vez mais unidades e setores e atingir a sua missão de criar uma cultura de responsabilidade e proteção de dados na instituição.
De acordo com Jessica Helena Fernandes, supervisora do CEPEP, a participação da unidade no projeto piloto do GT de Acesso e Identidade vai de encontro com as diretrizes da reestruturação do Centro. Refinar os acessos já era uma demanda que havia sido traçada como necessária para a segurança dos processos.
Para Jessica, o principal objetivo com o GT foi a elaboração das permissões de forma padronizada no sistema Tasy e outros ambientes de compartilhamento de informações. “Tudo foi revisado de acordo com os cargos e funções desempenhadas pelos profissionais, lembrando que temos vínculos diversos tais como colaboradores, médicos, alunos, monitores de pesquisa e terceiros”, explica. “Acreditamos que essa diversidade enriqueceu as reflexões e discussões do GT e foram decisivas sobre os pontos de atenção e ações que haviam sido pensadas inicialmente”, reforça Jessica.
O principal benefício dessa ação é justamente prevenir ataques maliciosos, fraude financeira e roubo de identidade, um cuidado que deve partir de todos os colaboradores. Como também criar usuários únicos, intransferíveis, com senhas seguras e ter uma gestão de risco mais prática e efetiva.
Trabalharam nesse projeto a Direção Técnica, de Operações, Assistencial, Facilities, Escritório de Valor, Capital Humano, Tecnologia da Informação, Central de Relacionamentos, CEPEP, Assessoria Jurídica e Proteção e Segurança de Dados.
Cultura de responsabilidade
Com a finalização do trabalho do GT no CEPEP, os novos colaboradores do setor, bem como residentes, acadêmicos e pesquisadores, já iniciam a atuação com esse novo protocolo. A diretora técnica do Erasto Gaertner, Dra. Angela Dasenbrock, explica que a escolha do Centro de Projetos de Ensino e Pesquisa para iniciar as ações foi essencial para colocar em prática a proteção de dados que envolvem as pesquisas clínicas. “Nós sabemos que a pesquisa é importante para a instituição, traz benefícios para os pacientes, mas envolvem dados extremamente sensíveis, por isso pensamos que seria um setor estratégico para desenvolver o projeto piloto”, explica.
Além das pesquisas clínicas, a unidade também lida diariamente com o desenvolvimento dos acadêmicos e residentes. Por isso, a Dra. Angela comenta que, além da proteção dos dados, a instituição já começa a desenvolver esses futuros profissionais da saúde com a cultura da LGPD para que eles compreendam a necessidade da segurança para colaboradores, médicos e equipe multidisciplinar. “Esse GT vem de encontro a um momento que o setor apresenta um crescimento importante com aumento de colaboradores e de pesquisas realizadas. Por isso, precisamos reforçar a cultura da proteção de dados capacitando os envolvidos e formando profissionais de excelência que já conhecem as normas da LGPD”, reforça a diretora.
Essa ação envolveu um trabalho sólido, que não só beneficiará ao CEPEP, mas será replicado a todas as unidades operacionais do Complexo Erasto Gaertner.
Adequações à LGPD
A DPO do Erasto Gaertner, Cathiani Bellé, explica que a Gestão de Acesso e Identidade compõe uma das oito gestões parte do plano de trabalho elaborado em 2021 para a adequação da Liga Paranaense de Combate ao Câncer (LPCC) à Lei Geral de Proteção de Dados (LGPD). “Para esse processo trabalhamos três princípios muito especiais da lei: finalidade, necessidade e adequação", comenta. “Assim, nosso objetivo é garantir que cada profissional só acesse aquilo que ele realmente precisa para executar o trabalho, evitando a violação e reforçando a segurança”, diz.
Esse assunto desperta ainda mais interesse devido ao fato de dados de saúde serem definidos como dados sensíveis, porque entende-se que incorrem em aspectos de maior vulnerabilidade à pessoa. E ela dá um exemplo de uma prática que pode ocorrer em hospitais. “Uma pessoa que recebe o diagnóstico de câncer tem o poder de decidir com quem irá compartilhar esse fato de sua vida privada. Precisamos entender que a pessoa tem o direito fundamental de não querer que outros saibam disso, especialmente em casos de pacientes que possuem familiares que trabalham no mesmo hospital em que é realizado o tratamento e esse profissional acaba acessando as informações do familiar ou mesmo de colegas de trabalho ou de pessoas públicas”, explica. Ou seja, mesmo um profissional próximo ou íntimo dessa pessoa, não confere a ele o direito de ter acesso aos dados pessoais ou até mesmo de repassar a terceiros informações que podem ser utilizadas para diversas finalidades, inclusive roubo de identidade e fraude financeira.
Por isso, o GT Acesso e Identidade afirma a cadeia de responsabilidade de trabalho, que simultaneamente colabora com a conscientização, desenvolvendo a parte ética que o profissional precisa ter durante o expediente e a conscientização de uma cultura de proteção e segurança de dados. Afinal, as diretrizes contribuem com o resguardo de todos os envolvidos. “A gestão de acesso e identidade de dados é para todos, para proteger e respeitar qualquer pessoa natural, colaboradores, profissionais médicos, voluntários, pacientes, familiares, terceiros e doadores, enfim, todos que se envolvem com a Liga Paranaense de Combate ao Câncer”, afirma.
Mais segurança para todos
A atuação estratégica do setor de Tecnologia da Informação é essencial para adequação aos processos e refinamento das estratégias de proteção dos dados. Para Valdemir Chiquito, Gerente de T.I. do Erasto Gaertner, é muito importante para a instituição que a rede interna esteja estruturada e que a gestão de Acesso e Identidade seja implementada. “Sabemos hoje que 60% dos vazamentos de dados são resultado de uso de senhas fracas, ou até mesmo devido à captura e repasse a terceiros, e capturadas não somente por ataques cibernéticos, mas por causa daquele post-it colado na parede que parece inofensivo, ou compartilhado mesmo entre várias pessoas do mesmo setor ou departamento”, afirma Chiquito. “Por isso, uma parte dessa cultura que queremos projetar é justamente de conscientizar que, para uma rede ser forte e protegida, ela precisa de senhas fortes e usuários intransferíveis, que não haja vazamento e que tenha a colaboração de todos”, diz.
Além da participação no GT Acesso e Identidade, o setor de T.I. realiza diversas ações que promovem a segurança da instituição. “Trabalhamos em uma frente da proteção de acessos privilegiados, ou seja, aqueles acessos da alta gestão que geralmente são alvos. Fazemos o controle e acompanhamento desses perfis para segurança e certificação de que esse perfil não acesse mais do que necessário”, explica.
Outra estratégia a ser adotada será o cofre de senhas, que visa a proteção de servidores da instituição, alinhado com a gestão de rastreabilidade de quem acessa a rede, liberando apenas os acessos necessários para o desempenho das atividades do colaborador.“A tecnologia da informação está centrada em três pilares: pessoas, ferramentas e processos. Aqui no Erasto Gaertner esses pilares precisam estar bem definidos, oferecendo para as pessoas certas as tecnologias certas para um trabalho mais ético e íntegro”, finaliza.