Em 2020 a 2iM Inteligência Médica conquistou a certificação ISO/IEC 27001:2013, que atesta que nosso Sistema de Gestão de Segurança da Informação atende aos mais rigorosos padrões mundiais de excelência. Neste ano de 2021, passamos por nova auditoria de verificação e fomos recertificados.

Manter os níveis de excelência, dentro de uma política de seguranção da informação, exige empenho e compromentimento de toda a equipe mas, sobretudo, a construção de uma cultura corporativa em que haja o entendimento de que a proteção da informação é um processo contínuo e permanente.

Esse é um compromisso da 2iM com todo o mercado, oferecemos assim as melhores Estratégias de Valor em Saúde, de forma segura e transparente. 

Afinal, o que é e para que serve a ISO 27001

É uma norma de referência e vigência internacional, criada pela International Standardization Organization (ISO), que tem como objetivo a definição de um conjunto de requisitos para implementação de um Sistema de Gestão de Segurança da Informação (SGSI) consistente nas organizações, a fim de mitigar de forma adequada os riscos a que estão sujeitas. Abrange o gerenciamento dos dados e consequentemente a proteção das informações de clientes, fornecedores, colaboradores e demais stakeholders do negócio.

As empresas certificadas devem seguir um modelo apropriado de implementação, operação, monitoração, revisão e gestão para o SGSI, o qual será invariavelmente influenciado pelas necessidades, exigências de segurança, processos e estrutura geral peculiares ao contexto de atuação da organização.

De que forma os clientes se beneficiam

A pesquisa anual da ISO revela que o selo aparece no topo da lista de crescimento nos últimos anos. A tendência deve se manter face às implementações das leis de proteção de dados, como a brasileira LGPD – Lei Geral de Proteção de Dados (Lei 13.709/2018), que teve sua vigência adiada para maio de 2021, ou o GDRP – General Data Protection Regulation, da União Europeia, em vigor desde 2018.

No sentido prático, a certificação garante aos clientes que a organização possui abordagens para a mitigação de risco por meio de controles de segurança da informação, demonstrando que o investimento negocial na empresa será amparado por uma estrutura blindada contra adversidades e periodicamente auditada, facilitando ainda o alinhamento da empresa às diretrizes estabelecidas na LGPD entre outras exigências legais.

Em um mundo em que a informação é redesenhada como moeda de alto valor, a ISO 27001 é reconhecida globalmente por especialistas como a melhor prática concernente à gestão de segurança da informação, sobretudo no enfretamento dos crimes cibernéticos. O novo cenário legal, sob a perspectiva da LGPD, prevê multas substanciais para episódios de vazamento de dados. Nesse contexto, empresas engajadas na certificação tornam-se agentes proativos na proteção das informações dos seus usuários.

LGPD – Lei Geral de Proteção de Dados nas organizações de saúde

A segurança dos dados é uma preocupação que permeia o cenário mundial, vide as legislações já mencionadas. Contudo é importante frisar que a ISO 27001 não é uma contrapartida à LGPD. Certificar-se na norma é antes de tudo uma iniciativa voluntária e proativa, enquanto adequar-se à Lei envolve a assimilação de um componente impositivo.

Inspirada no GDRP – General Data Protection Regulation europeu, a lei brasileira tem como propósito tornar segura toda e qualquer coleta, tratamento, armazenamento e compartilhamento de dados dos cidadãos, estabelecendo direitos, exigências e procedimentos para essas atividades.

Hospitais e instituições de saúde devem ajustar seus sistemas de informação para adequarem-se à regulamentação prevista na nova Lei. Veja a síntese de algumas abordagens:

• A finalidade de uso dos dados deve ser informada previamente. O consentimento do paciente é necessário.
• A proteção dos dados se estende além do ambiente digital. O paciente tem o direito de solicitar a exclusão completa ou parcial dos dados pessoais e clínicos nos registros da instituição, seja em papel ou prontuário eletrônico.
• O usuário do serviço de saúde deve ter a possibilidade não burocrática de consultar e até mesmo alterar as informações que disponibilizou para a instituição. Os dados coletados devem ser disponibilizados aos pacientes.
• A instituição é obrigada a garantir a segurança dessas informações e a notificar o titular em caso de um incidente de segurança.
• A instituição de saúde deve fornecer orientações aos funcionários e contribuintes, a fim de evitar desvios de conduta, sobre o cumprimento das novas exigências. O não cumprimento da Lei pode acarretar multas que podem variar entre 50 milhões de reais e 2% do faturamento total da organização.
• A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de “legítimo interesse” desses, embora essa hipótese não tenha sido detalhada, e se encontra em aberto na norma.

A 2iM na vanguarda da Segurança da Informação

Utilizando-se do conceito de Business Analytics (BA), a 2iM disponibiliza ao mercado softwares em cloud para medição de valor assistencial em organizações de saúde. Agrupamos, analisamos e rastreamos as informações de saúde com foco na tomada de decisão estratégica em relação aos indicadores de qualidade, performance e custos assistenciais.

Hoje, em nossa base de dados, manipulamos informações de mais de 40.000 profissionais de saúde, de dezenas de organizações de saúde em todo o Brasil, que envolvem centenas de milhares de dados clínicos.

Temos a ciência da sensibilidade dessas informações e por isso investimos em infraestrutura para governança de dados, com enfoque especial na documentação e implementação das rotinas de segurança, no propósito de garantir confidencialidade, integridade e disponibilidade da informação.

Conheça nossa Política de Segurança da Informação.