SBIS - GT de Certificação

SOCIEDADE BRASILEIRA DE
INFORMÁTICA EM SAÚDE (SBIS)

GT de CERTIFICAÇÃO DE SOFTWARE

Novidades
Histórico
Missão
FAQs
Como participar do GT

Questões em Discussão
Fases da Certificação
SubGrupos de Trabalhos
Documentos
Coordenação/Contato

FAÇA A DECLARAÇÃO DE CONFORMIDADE - FASE I

Manual de Requisitos de Segurança, Conteúdo e Funcionalidades
para Sistemas de Registro Eletrônico em Saúde (RES)

Última Atualização:
quarta-feira, 17 de novembro de 2004

Novidades

Está disponível para download o Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES). Este documento representa a consolidação dos requisitos determinados para que Sistemas de Registro Eletrônico em Saúde (RES) possam ser certificados pela SBIS e CFM.

A SBIS está iniciando um processo piloto de Certificação para validação e teste dos requisitos do Manual. Esta certificação será feita no sistema de Prontuário do Incor. Após esse piloto, a SBIS e o CFM editarão nova versão do manual e a partir de então poderá receber as solicitações para Certificação, através das Fases I e II (ver detalhes abaixo).

Histórico

Resolução No.1639/2002 do CFM.

Através de um convênio entre a SBIS e o CFM, ficou definido que a SBIS seria responsável pela organização da discussão a respeito da Certificação de Software na Área da Saúde a fim de atender as Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico da resolução 1639/2002 do Conselho Federal de Medicina.

Ampliação da discussão com a participação de diversas entidades : CONARQ, Ministério da Saúde, Federação Brasileira de Hospitais, ASSESPRO, ABRAHUE, AMB e ANVISA.

Remodelagem do processo de Certificação e sua definição em fases.

Assinatura do Convênio SBIS-CFM em 12/02/2004.
Fase I OPERACIONAL em Outubro/2004

Missão do GT de Certificação

Certificar sistemas informatizados para a guarda e manuseio do prontuário do paciente conforme resolução CFM 1639/2002.

Cabe ao GT definir a metodologia de certificação e detalhar os requisitos que serão analisados nos sistemas informatizados de gerenciamento do prontuário médico.

FAQs

Já há algum software certificado ?

Até o presente momento nenhuma empresa ou produto de software foi certificado ou avaliado. A metodologia está em fase final de definição. Algumas já se declaram conforme com a Fase I.

Quando o processo de certificação começa ?

A Certificação foi definida em fases, a primeira fase iniciou em Outubro de 2004, a fase II prevista para Março de 2005. A terceira fase, que permitirá a certificação de sistemas de PEP com o objetivo de se, legalmente, poder abandonar o papel, será de longo prazo, depende do envolvimento de diversas instituições e da definição de legislação própria para o assunto, e portanto deverá estar operacional somente em 2006.

O que devo fazer para certificar o meu sistema ?

Verifique se o seu sistema atende aos requisitos do Manual (faça o download pelo link no topo desta página) e se declare conforme com a Fase I da Certificação.

Como posso participar do GT de Certificação ?

Para participar do Grupo de Interesse em Certificação é necessário ser sócio da SBIS em dia com suas anuidades. Se você ainda não é sócio, pode se associar no site da SBIS: www.sbis.org.br, clique em "Associe-se". Depois que o pagamento da primeira anuidade for confirmado, você pode solicitar a sua inclusão no Grupo de Interesse em Certificação, seguindo o mesmo procedimento descrito para sócios.

Se você já é sócio e está em dia com as suas anuidades, você pode solicitar a sua inclusão no grupo enviando um e-mail para claudio@ecosbr.com, solicitando sua inclusão no grupo e informando o seguinte:
   1. Nome completo
   2. Empresa sócia da SBIS que representa (se for o caso)
   3. Data de pagamento da última anuidade
   4. E-mail que deverá ser incluído na lista de discussão

Depois que seus dados forem validados, você será incluído na lista de discussão sobre certificação da SBIS e receberá instruções sobre como acessar os documentos preliminares.

Se você tem dúvidas sobre a situação da sua associação na SBIS e sobre pagamento de anuidades, envie um e-mail com as suas dúvidas para zilda@dis.epm.br

Fases da Certificação

Após inúmeras discussões no grupo de certificação da SBIS optou-se por definir a Certificação em Fases. Veja os detalhes abaixo ou a apresentação em PPT.

O convênio SBIS / CFM diz respeito apenas à certificação de produtos de software de prontuário eletrônico. Propõe-se que neste primeiro momento este seja um processo voluntário, baseado na Declaração de Conformidade que se valerá do Manual de Boas Práticas para a Construção de Sistemas de Informação em Saúde. Este manual conterá os requisitos de segurança, conteúdo e funcionalidades desejáveis para um sistema de prontuário eletrônico.

A certificação do processo implica numa outra atividade que deverá necessariamente ser articulada com diversas entidades uma vez que é necessário a definição de legislação específica. A substituição do papel depende de análise não apenas do produto mas também do processo. Somente assim o profissional e/ou instituição poderão estar seguros na eliminação do papel.

Processo de Certificação em Fases

Fase I - Declaração de Conformidade
Fase II - Selo SBIS/CFM
Fase III - Certificação de PEP

Fase I - Declaração de Conformidade

Preenchimento de um formulário e envio a SBIS no qual o declarante expressará estar em conformidade com as recomendações do Manual de Boas Práticas e em acordo com um determinado nível de segurança (NGS1, NGS2), que especificam um grupo de requisitos de segurança, sendo o NGS1 mais básico e o NGS2 mais avançado, ou seja, um sistema em nível de NGS2 é mais seguro.
Esta é apenas uma fase de adaptação e treinamento do mercado, não tendo valor legal e não se recomendando que as instituições eliminem o papel.
OPERACIONAL EM OUTUBRO/2004
Serão realizados cursos e seminários.
Terá início o programa de capacitação dos auditores para a Fase II
A operação do processo ficará a cargo da SBIS e do CFM
Gratuita para o declarante

Fase II - Selo SBIS/CFM

Haverá auditoria para avaliar o produto e verificar se realmente atende aos requisitos, certificando-se que o mesmo atende aos requisitos determinados no Manual de Boas Práticas.
Emissão de Certificado (Selo) para o produto (software) pela SBIS, registrado no CFM.
O solicitante do Certificado irá pagar os custos
Não tem valor legal. É apenas um selo de qualidade, tais como existe, por exemplo, o selo da Funcor para produtos alimentícios
Não se recomenda abandonar o papel
Operacional em Março/2005

Fase III - Certificação de PEP

Modelo mais amplo, permitindo que as instituições de saúde façam o pleno uso do PEP e assim possam abandonar o papel (paperless).
Proposta de uma metodologia de certificação estilo ONA
Ampla discussão com o envolvimento da SBIS, CFM, ONA, CONARQ, AMB, ABRAHUE, Ministério da Saúde, ANVISA, CRO, ASSESPRO, dentre outras.
Legitimar o processo através de legislação, a ser discutida com a ANVISA e demais entidades.
Modelo :
- Quem normatiza ?
  SBIS, CFM, ONA, CONARQ, AMB, Ministério da Saúde, ANVISA, CRO, ASSESPRO...
- Quem legitima o processo ?
  ANVISA e Ministério da Saúde
- Quem seria a Acreditadora?
  ONA
- Quem seria a Certificadora ?
  SBIS
Haverá o amadurecimento dos manuais e detalhamento dos requisitos de segurança com participação mais ampla e aberta
Articulação com diversas entidades : CONARQ, CRO...
Auditoria do processo em loco, ou seja, visita do(s) auditor(es) em cada instituição
Processo pago pelo solicitante
Necessidade de forte amparo legal (decretos, leis...)
Terá valor legal. A instituição poderá abandonar o papel
Discussão de Longo Prazo
Haverá revalidação do Certificado
Operacional em 2005

Questões em discussão

Definição de custos da Fase II
Capacitação de auditores para a Fase II
Início de ampla discussão para a Fase III

SubGrupos de Trabalho

Subgrupo 1: Processo de certificação

Missão: Detalhar o processo de certificação a ser implantado pela SBIS

Componentes: Cláudio Pignatari de Barros, Stanley Galvão, Osni Pereira, Marivan Abrahão, Marcelo Silva, Nelson Berny Silva

Subgrupo 2: Segurança

Missão: Detalhar os requisitos de segurança para fins de certificação

Componentes: André Toffanello e demais membros da equipe do SNIS

Subrgrupo 3: Conteúdo e Funcionalidades

Missão: Detalhar os requisitos de conteúdo e funcionalidades que deverão estar presentes nos sistemas informatizados de prontuário eletrônico

Componentes: Marcelo Oliveira, Manoel Lemos, Luiz Augusto Pereira, Ernani Almada, Beatriz Leão

Documentos

O acesso aos documentos de trabalho é restrito aos membros do GT. As propostas do GT devem ser aprovadas pela AG da SBIS onde apenas o sócio titular tem direito a voto. Estimulam-se os participantes do GT a solicitarem a sua entrada como sócios titulares.

Documentos de Acesso Público

Atas de Reuniões
25/11/2002 – Sucesu, São Paulo – ata_20021125_Final.doc

12/12/2002 - Sucesu, São Paulo – ata_20021212_V12.doc

Referências

1.1 Recommendations for Responsible Monitoring and Regulation of Clinical Software Systems Randolph A. Miller, and Reed M. Gardner
J. Am. Med. Inform. Assoc. 4: 442-45, 1997

1.2 Setting Up Healthcare Services Informatio Systems- A Guide for requirement analysis, Application Specification, and Procurement - July 1999 - PAHO/WHO (disponivel tambem em espanhol, mas não em portigues) http://www.virtual.epm.br/material/healthcare/

1.3 Supporting CPR Development with commercial Off-The-Shelf Systems Evaluation Technique: Defining Requirements, Setting Priorities, and Evaluating Choices - Marian Celli; Denise Ryberg; Alice Keaderman - JHIM - Volume 12, Number 4, Winter 1998

Empresas que realizam certificação norma ISO-IEC 17799:

http://www.safeworkit.com.br/servicos/consult_iso.html

Download:
http://www.iso-17799-security-world.co.uk/download.htm

2 ICP-BRASIL – A INFRA-ESTRUTURA BRASILEIRA DE CHAVES PÚBLICAS
http://www.icpbrasil.gov.br/
http://www.iti.gov.br

2.1 Medida Provisória
Medida Provisória Nº 2.200-2, de 24 de Agosto de 2001.
Institui a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, e dá outras providências.

Parte I - Políticas de Certificado da ICP-Brasil
· Assinatura Digital - Nível 1
· Assinatura Digital - Nível 2
· Assinatura Digital - Nível 3
· Assinatura Digital - Nível 4
· Sigilo - Nível 1
· Sigilo - Nível 2
· Sigilo - Nível 3
· Sigilo - Nível 4
Parte II
· Declaração de Regras Operacionais da AC-Raiz
Parte III
· Política de Segurança da ICP-Brasil
2.2 Direito da Informática - O Documento Eletrônico e a Assinatura Digital (Uma visão geral) - http://www.direitonaweb.adv.br/doutrina/dinfo/Aldemario_A_Castro_(DINFO_0003).htm

3 Projetos Governamentais de Construção do Registro Eletrônico de Saúde

3.1 Canadá: Health Infoway http://www.canadahealthinfoway.ca/
Health Infostructure: http://www.hc-sc.gc.ca/ohih-bsi/chics/index_e.html
Documentos: http://www.hc-sc.gc.ca/ohih-bsi/chics/pubs_e.html

3.2 Australia – Health Online
http://www.health.gov.au/healthonline/

3.3 Inglaterra –
www.nhsia.nhs.uk
confidencialidade: http://www.nhsia.nhs.uk/confidentiality/pages/default.asp
infra-estrutura e políticas: http://www.nhsia.nhs.uk/def/pages/info4health/contents.asp

Segurança :

Wireless (In)Security for Health Care - http://www.himss.org/content/files/WirelessInsecurityV11.pdf

Criptografia, Chaves Públicas e Assinatura Digital para Leigos

HIPAA

http://csrc.nist.gov/publications/nistpubs/index.html

https://partners.mysonicwall.com/WhitePaper/DownloadCenter/WhitePapers.asp

http://www.sigaba.com/campaigns/healthcare/index.html

http://www.himss.org/ASP/certification_chs_chps.asp

Versão oficial publicado 20/02/2003 - http://www.access.gpo.gov/su_docs/fedreg/a030220c.html

Documentos de Acesso Restrito

Apresentações
Chaves Públicas - André Toffanello (DATASUS/SNIS)

Prontuário Médico Eletrônico - Dr.Luiz Augusto Pereira (CFM)

Coordenação / Contatos

Beatriz de Faria Leão (Coordenadora do GT)

Cláudio Giulliano Alves da Costa (Vice-presidente da SBIS)