Compliance na saúde: a importância de parceiros de confiança
COMPARTILHE
  • Linkedin
  • Facebook
  • Twitter
  • Google Plus

As maiores preocupações em compliance na saúde com empresas de tecnologia

Por Iomani Engelmann em 26 de maio de 2020

Compliance na saúde, de forma resumida, significa estar de acordo e agir conforme as regras ou diretrizes internas e externas de cada negócio. Basicamente, é cumprir legalmente as políticas e controles acordados com as empresas. Na área da saúde, há uma relação bastante próxima entre as empresas de tecnologia e as instituições de saúde

O que não poderia ser diferente, já que as inovações tecnológicas têm tornado as rotinas mais ágeis, as equipes mais produtivas, os atendimentos e diagnósticos mais precisos.

Entenda a seguir os principais desafios de compliance na saúde e como selecionar fornecedores de tecnologia que garantam a segurança das organizações.

compliance-na-saude

Os desafios de compliance na saúde

No Brasil,  o compliance vêm ganhando uma abrangência cada vez maior, especialmente na área da saúde. Globalmente, é um tema que tem sido discutido há vários anos. Muitos países mostraram ao longo do tempo uma grande preocupação com as práticas de compliance. 

Isso porque as instituições estão entendendo a importância do compliance na saúde. Quando há uma conduta ética a ser seguida, os pacientes se sentem mais seguros e confiantes em serem atendidos por aquela organização. 

Além disso, na relação entre contratante e fornecedor, as ações são mais transparentes e o risco de irregulares diminui. Ao sinal de qualquer conduta diferente dos valores da empresa, o contratante pode fazer uma denúncia anônima e um processo é aberto para analisar a situação e desligar os responsáveis pela indisposição causada.

A área da saúde envolve o âmbito público e privado e isso faz com que duas questões sejam colocadas em discussão. No setor público, as instituições precisam se atentar e cumprir com o que determina a Lei Anticorrupção. No setor privado, as organizações buscam comprovar que estão de acordo com as diretrizes legais, pois isso também influencia na construção da imagem da empresa. Em ambos os casos, é necessário ter muito rigor na seleção de fornecedores. 

De fato, para estar em compliance na saúde, as instituições públicas e privadas, devem pensar além da obediência a regulamentações. É preciso definir bem até onde vão as políticas internas e se são suficientes para garantir a segurança da instituição e, consequentemente, dos seus pacientes.

Lei Anticorrupção e LGPD

Lei Anticorrupção: A Lei nº 12.846/2013 é um indício de como o compliance começou a dar seus primeiros passos em território nacional, embora trate de práticas que envolvem o relacionamento dos fornecedores com o governo, a lei é utilizada como orientação em diferentes setores. Essa lei está se tornando cada vez mais importante para que instituições de saúde pública definam quais vão ser os seus fornecedores.

Lei Geral de Proteção de Dados (LGPD): A Lei nº 13.709 define regras sobre como as empresas devem capturar, tratar e armazenar os dados de seus clientes, proporcionando maior autonomia aos donos das informações e proporcionando maior segurança, com o objetivo de evitar vazamento, compartilhamento e uso indevido das informações pessoais.

O uso de ferramentas digitais permite que a instituição utilize os dados dos pacientes de forma mais segura e que o paciente tenha maior acesso e controle sobre suas informações. Ao mesmo tempo, os sistemas proporcionam um acesso facilitado para a análise de processos. Com isso, as instituições conseguem avaliar seus processos e identificar o que precisa ser corrigido para tornar o armazenamento de dados mais seguro. Além da adoção de recursos tecnológicos, as instituições precisam capacitar seus colaboradores para lidar com as novas tecnologias e com a nova legislação.

Quando falamos em compliance na saúde, estamos tratando de procedimentos complexos, mas fundamentais. Como dito, a seleção de fornecedores mais rigorosa é um dos elementos que o Programa de Integridade, previsto legalmente, aborda. O Programa de Integridade é muito mais do que um código de conduta, pois engloba todo o processo de compliance que prevê: 

  • elaborar o código de ética;
  • estabelecer procedimentos de controle;
  • envolver toda a direção da instituição ou empresa;
  • escrever as políticas internas para avaliação e seleção de fornecedores;
  • treinar periodicamente a equipe;
  • avaliar o risco ao qual está exposta à relação fornecedor-clientes;
  • contratar ou determinar um responsável para aplicação do programa – um profissional com autonomia;
  • fornecer meios de monitoramento para o profissional responsável;
  • criar canais de denúncia, para interromper práticas irregulares;
  • determinar medidas disciplinares para fornecedores e colaboradores;
  • inspecionar a adequação do fornecedores.

Estes são apenas alguns dos elementos que precisam constar no Programa de Integridade e que devem ser ponderados. Aqui há uma oportunidade gigantesca para as empresas de tecnologia atuarem como parceiros regulamentados e como fornecedores.

É fato que as empresas de tecnologia devem estar completamente dentro dos padrões e oferecer total segurança. Em outra perspectiva, os fornecedores de tecnologia podem ser os responsáveis pelos sistemas mais precisos de monitoramento.  

Compliance na saúde: mudança de cultura nas organizações

No Brasil, o setor público hospitalar possui números grandiosos e que englobam: volumes de compras, contratações, número de atendimentos, recursos utilizados entre outros. Por estarem relacionados com serviços públicos, a cobrança e o controle são maiores, devido à prestação de contas. 

No setor privado o volume também é significativo, porém a prestação de contas diz respeito apenas a instituição, com isso a compliance na saúde é uma questão que atende às grandes instituições, sendo menos frequente nas unidades de pequeno e médio porte. Além disso, até o final de 2014, havia uma restrição bastante severa sobre investimentos estrangeiros na área hospitalar privada.

Qual foi o impacto dessa falta de participação estrangeira no mercado nacional? O mercado brasileiro acabou fragmentado, com muitas clínicas e hospitais locais. Somente em período recente, com a entrada dos investimentos estrangeiros, é que se formaram grupos mais consolidados entre as instituições de saúde. Ou seja, grupos com programa de compliance de gestão corporativa mais estruturados e que trouxeram uma nova cultura para o segmento.

Cultura de segurança

Essa nova cultura tem sido benéfica para o setor, mas ainda é preciso lembrar quais são as falhas que precisam de solução. Entre os gargalos tradicionais estão: controle de estoque e farmácia, valor das compras e fornecedores.

Na medida em que se escolhe um sistema de compra e ocorre a automatização da estrutura, há um controle no volume e valor, incluindo comparações no mercado, com benchmarking pelo tamanho da entidade, por exemplo.

Há problemas semelhantes na iniciativa privada, como os planos de saúde que não autorizam tipos de procedimentos por estarem fora dos padrões de fornecimento adequado, até a checagem e controle de dados de compras, fornecedores e dos próprios pacientes. Nesse ponto, ainda está acontecendo uma migração do uso do papel para os sistemas tecnológicos. Na área da saúde, o compliance na saúde está auxiliando na implantação desses novos modelos.

Além de investir na capacitação de seus colaboradores, é essencial criar iniciativas para desenvolver uma cultura mais inovadora pensando na segurança e contratar fornecedores que estejam alinhados aos seus valores. 

Compliance na saúde e empresas de tecnologia: como funciona essa relação?

As normas de compliance na saúde devem prevenir e definir medidas para evitar situações desastrosas, como ataques maliciosos a dados de clientes. Ao implantar o sistema tecnológico dentro da estrutura da instituição, está implícito que deverá haver uma proteção contra invasões, por exemplo. Num viés mais moderno, diversas organizações passam a transportar os dados para a nuvem. Aqui, independente da discussão sobre a tecnologia, podemos abrir um novo debate.

Quando os dados estão em nuvem, em que lugar irá transitar e qual o nível de segurança da solução? As empresas de tecnologia que trabalham com cloud computing têm uma preocupação muito grande e procuram certificações e procedimentos de controle, até mesmo internacionais como o Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde). É possível controlar o acesso aos dados, o nível de acesso, se há criptografia ou não e outros requisitos para proteção da privacidade dos pacientes.

O compliance na saúde deve funcionar em todos os níveis e modalidades de tecnologia, seja via data center ou cloud computing. Os dados da área médica são chamados de dados sensíveis e exigem uma cautela ainda maior para não serem vazados ou perdidos, pois tratam do histórico do paciente e possuem informações críticas.

Ao entrar em vigor, a Lei Geral de Proteção de Dados (LGPD) vai tornar o cuidado com os dados dos pacientes uma prática padrão e obrigatória dentro das instituições. Caso contrário, poderão sofrer punições severas e multas que vão impactar diretamente a imagem e o orçamento das organizações. Por isso, é essencial buscar fornecedores que estejam de acordo com a nova lei de proteção de dados. Todos os softwares utilizados devem garantir a total segurança contra o vazamento de informações e seguir as normas previstas na legislação.

Compliance na saúde: como funciona a regulamentação?

Faltar com as normas é um risco muito grande e é ainda maior para quem está contratando a empresa de tecnologia, pois é em nome da instituição que se está coletando o dado. Por isso, mais do que nunca, é preciso contar com um fornecedor capacitado. 

O fornecedor tem responsabilidade legal, além das estabelecidas por contrato, caso haja danos no processo de armazenamento, tratamento ou uso dos dados. Há previsão de indenização tanto para a instituição, quanto para o cliente que teve seus dados vazados.

Na prática, o compliance na saúde é um guarda-chuva que envolve uma série de áreas: civil, penal, regulatório, requisitos fiscais – como sistemas de faturamento que devem estar aderentes às regras do município, entre outros. 

Estados que exigem programa de Compliance para fornecedores da administração pública

EstadoLei
ESnº 10.793/17 
RJnº 7.753/17 
DFnº 6.112/18 
AMnº 4.730/18 
GOnº 20.489/19
RSnº 15.228/18

Uma vez que se colocam as regras de conduta para o fornecedor, definem-se padrões que devem ser cumpridos e que normalmente são vinculados com penalidades. Portanto, regular bem as normas contratuais pode ser um adicional de controle importante dos fornecedores, além das penalidades decorrentes da violação das leis.

Uma mesma infração pode ter caráter variado: um fornecedor de tecnologia pode estar sendo penalizado do ponto de vista civil, contratual e regulatório ao mesmo tempo, cada um com uma penalidade específica. Podem existir as multas contratuais ou, em casos mais graves, a empresa irá sofrer a multa e ainda responder judicialmente.

7 passos para garantir o compliance na saúde com empresas de tecnologia

1. O primeiro e mais importante passo é a seleção do fornecedor: Identificar se o fornecedor é idôneo, se está aderente com as boas práticas do mercado, se há depoimentos favoráveis e se está de acordo com o que a instituição deseja para si.

2. Assegurar a capacidade de entrega das soluções: Saber se a empresa de tecnologia terá capacidade técnica para fornecer o que está sendo prometido, é algo importante. Se o sistema não estiver com o nível de segurança adequado podem ocorrer vazamentos, sequestro de dados, perda de toda a base de clientes, históricos, etc.

Como fazer a verificação? Analisar quem são os clientes atuais e averiguar o tipo de relacionamento entre a instituição e a empresa, se ocorreram problemas com compliance, etc.

3. Certificações: O sistema pode estar funcionando bem, mas a certificação garante que a solução está proporcionando entregas dentro dos níveis que são entendidos pelo mercado como os mais adequados.

4. Contrato robusto: Estabelecer todas as regras de compliance na saúde, todos os pontos que são esperados adequadamente, as informações que a instituição quer acesso, quais os serviços que serão oferecidos e quais penalidades serão aplicadas.

O contrato é a ferramenta que irá garantir um bom relacionamento entre instituição e a empresa de tecnologia. É o contrato de serviços que estabelece os padrões de segurança, níveis de serviços, qual o tempo máximo para a resolução de um problema, etc. 

No contrato, devem ser respondidas dúvidas como: 

  • Em caso de ruptura com fornecedor, como ficarão os dados? 
  • Qual é o padrão de armazenamento de dados? 
  • Como recuperar os dados, caso precise fazer migração de fornecedores?
  • A empresa garante que serão feitos Pentest? Caso sejam identificadas vulnerabilidades no sistema, a empresa se compromete a corrigir?
Pentest, Penetration Test ou Teste de Intrusão

O fornecedor se compromete a contratar uma empresa terceira para fazer testes de intrusão e vulnerabilidade em seu sistema, identificando se há falhas de segurança. Em caso de qualquer inconsistência ou anormalidade, o fornecedor se compromete a corrigir antes de começar a executar o serviço.

5. Relatórios de fornecedores: Os chamados “background check” são processos de verificação de antecedentes das empresas. É uma avaliação geral do fornecedor de tecnologia e que dirá se há problemas legais, envolvimento em algum tipo de escândalo que possa afetar o serviço, descontinuar a empresa ou até mesmo influenciar negativamente a reputação do contratante (a instituição de saúde).

6. Canal de denúncias externas: Outra medida importante para garantir a segurança das instituições de saúde no uso de tecnologias, é estabelecer um canal de denúncias externas. O mecanismo permite que pacientes, fornecedores ou qualquer outra pessoa externa à organização, indiquem falhas e aspectos que estejam em desacordo com leis e normas de compliance nos sistemas e softwares utilizados. Esse tipo de ação, aumenta a credibilidade e é uma das principais ações de compliance adotadas pelas empresas.

7. Comitê de Ética e Compliance: Por fim, para garantir o compliance na saúde com empresas de tecnologia, é essencial formar um Comitê de Ética e Compliance na instituição. Trata-se de um departamento focado em prevenção e análise de riscos, que pode ser formada por colaboradores e especialistas em compliance. O Comitê irá avaliar os fornecedores, os contratos e outros pontos, aumentando a segurança e a credibilidade da organização.

Em resumo…

O compliance na saúde é uma discussão relativamente nova, mas que precisa evoluir, principalmente quando se trata de novas tecnologias
. São as soluções tecnológicas que têm mudado a forma de comportamento de pacientes, os procedimentos médicos, relação médico-paciente e outros aspectos. Por isso, é fundamental que empresas de tecnologia estejam alinhadas com as instituições de saúde, garantindo o máximo de segurança e adequação às normas previstas por lei.


Post original publicado em 2017.

COMPARTILHE
  • Linkedin
  • Facebook
  • Twitter
  • Google Plus

Comentários