Ir para o conteúdo principal
Artigos

Uso indevido de dados do paciente: o próximo grande risco cibernético de saúde?

Por Robert Barberi e Kirsten Beasley | Fevereiro 18, 2022

Muitas políticas cibernéticas não cobrem coleta ou uso indevido de dados de pacientes. Com mais informações de saúde sendo compartilhadas, é hora de repensar?
Cyber Risk Management
N/A

O que é seguro cibernético?

A maioria das políticas cibernéticas oferece cobertura robusta para perdas e custos associados a violações de dados.

Isso geralmente significa um ataque de hacker ou malware resultando na perda, roubo ou corrupção de informações comerciais ou dados pessoais.

O que é coleta indevida e uso indevido de dados?

Se as organizações coletarem dados sem obter o consentimento apropriado, elas podem estar coletando-os de forma incorreta.

Se usarem dados para uma finalidade não pretendida, isso pode ser uso indevido.

Ao contrário de uma violação de dados típica, não ocorre a invasão de um sistema de TI ou a solicitação de resgate.

A coleta indevida ou uso indevido de dados geralmente resulta das próprias práticas da organização ou de seus parceiros de compartilhamento de dados.

Casos recentes relacionados à coleta e uso de dados

Um serviço de rede de mídia social está enfrentando ações coletivas resultantes de um caso em que os dados de milhões de usuários foram compartilhados com uma empresa de consultoria e depois usados para traçar o perfil dos eleitores em uma eleição.

Um provedor de saúde estatal considerou transferir todos os dados de pacientes mantidos por clínicos gerais para um banco de dados central, mas abandonou o plano quando ficou claro que muitos pacientes não consentiram e não sabiam que os dados seriam compartilhados com empresas privadas.

Uma empresa de tecnologia contratou um grande provedor de saúde dos Estados Unidos para processar os dados de milhões de pacientes sem obter seu consentimento. O Governo Federal abriu um inquérito.

Um varejista on-line global recebeu uma multa recorde de um país europeu sob suas leis de proteção de dados por suposto uso indevido de dados de clientes para fins de publicidade direcionada.

As políticas cibernéticas cobrem a coleta e o uso indevido de dados?

As políticas cibernéticas geralmente respondem bem a eventos de privacidade resultantes de hacker e introdução de malware.

As políticas cibernéticas geralmente respondem bem a eventos de privacidade resultantes de hacker e introdução de malware.”

Robert Barberi | Diretor de Segurança Cibernética e Risco Profissional de FINEX, WTW

No entanto, algumas apólices exigirão uma extensão de cobertura clara e afirmativa para cobrir a coleta ou o uso indevido de dados.

No mercado atual, as seguradoras tendem a recuar em termos tão amplos e são mais propensas a adotar uma abordagem conservadora para novas áreas de cobertura em vez de inovar.

Por que as organizações de saúde devem se preocupar?

A pandemia acelerou a digitalização de cuidados médicos.

As principais jurisdições de dados, como a União Europeia e a Califórnia, já possuem regras rígidas que regem como os dados são coletados, compartilhados e usados.

Enquanto outros têm proteções mais brandas, a pressão pública está crescendo como resultado de escândalos recentes e denúncias.

As pessoas geralmente desejam que seus dados de saúde sejam compartilhados para pesquisas médicas, mas podem estar menos inclinadas a dar sua permissão se acreditarem que as empresas provavelmente lucrarão com o trabalho.

Outras preocupações potenciais incluem:

  • empresas farmacêuticas que usam dados para se relacionar com pacientes por meio de ações de marketing
  • perfil de pacientes com base em dados agregados, resultando em prêmios de seguro mais altos ou serviços reduzidos
  • alterações nas opções de tratamento com base em algoritmos orientados por dados levanta a possibilidade de que o tratamento dos pacientes possa ser prejudicado de acordo como seus dados são usados.

Regimes regulatórios

Europa

O Regulamento Geral de Privacidade de Dados (GDPR)1, que entrou em vigor em 2018, impõe deveres estritos às organizações para coletar dados pessoais legalmente, com consentimento expresso, e protegê-los contra uso indevido e exploração.

Estados Unidos

A Lei de Privacidade do Consumidor da Califórnia (2018)2 cria o regime de proteção de dados mais rigoroso dos EUA; os dados só podem ser coletados para fins estritamente limitados, com consentimento informado.

América do Sul

A Lei Geral de Proteção de Dados3 do Brasil, que entrou em vigor em 2020, é a primeira grande lei de proteção de dados da América Latina; as pessoas devem ser informadas da finalidade para a qual seus dados são coletados.

O que as organizações de saúde precisam considerar?

Você obteve o consentimento apropriado?

Os provedores devem se envolver com os pacientes de forma transparente e explicar sobre seus consentimentos, como seus dados serão usados e como eles fluirão pelos sistemas e para organizações parceiras.

Os provedores devem se envolver com os pacientes de forma transparente e explicar sobre seus consentimentos, como seus dados serão usados e como eles fluirão pelos sistemas e para organizações parceiras.”

Kirsten Beasley | Head de corretagem de saúde, América do Norte, WTW

Não se esquive disso porque as consequências podem ser graves se as pessoas descobrirem que seus dados estão sendo usados para fins que não lhes foram esclarecidos.

Explicar as coisas corretamente também pode ter um efeito positivo em ajudar os pacientes a entender os benefícios que podem receber como resultado do uso de dados.

Os padrões de consentimento do GDPR fornecem uma boa estrutura a ser considerada. O Artigo 4 do GDPR4 define o consentimento como:

  • Dado livremente: a pessoa não deve ser pressionada a dar o consentimento ou sofrer qualquer prejuízo se recusar.
  • Específico: a pessoa deve ser solicitada a consentir com tipos individuais de processamento de dados.
  • Informado: a pessoa deve ser informada sobre o que está consentindo.
  • Sem ambiguidade: a linguagem deve ser clara e simples.
  • Ação afirmativa clara: a pessoa deve consentir. expressamente fazendo ou dizendo algo.

Os dados podem ser reidentificados?

Em muitas jurisdições, o consentimento expresso não é necessário para o compartilhamento de dados se os dados forem desidentificados.

Há uma preocupação crescente de que alguns dados possam ser reidentificados por meio de verificação cruzada com outras fontes de dados.”

Robert Barberi | Diretor de Segurança Cibernética e Risco Profissional de FINEX, WTW

No entanto, há uma preocupação crescente de que alguns dados possam ser reidentificados por meio de verificação cruzada com outras fontes de dados, incluindo algumas que estão disponíveis publicamente.

A legalidade da reidentificação ainda não está clara, o que reforça a necessidade de evitar a exposição ao risco obtendo consentimento expresso e transparente conforme descrito acima.

Que medidas de governança estão em vigor?

Algumas organizações podem não estar cientes de uma possível coleta ou uso indevido.

Por exemplo, elas podem ter obtido o consentimento, mas pode não ser adequado para a finalidade ou podem não entender completamente como seus parceiros planejam usar os dados do paciente.

É importante que as organizações tomem conta disso e garantam que tenham controles e verificações fortes em vigor.

Hora da mudança

Com a crescente digitalização da área de saúde, é provável que vejamos um maior interesse dos reguladores e do público em possíveis coletas ilícitas e uso indevido de dados de pacientes.

Casos de alto perfil mostraram o potencial para violações e reivindicações de privacidade em larga escala. Mas há uma lacuna entre os riscos e a cobertura oferecida pela maioria dos seguros cibernéticos.

Precisamos de políticas que possam responder e oferecer alguma proteção aos profissionais de saúde envolvidos na coleta, no processamento e no compartilhamento de dados.

Dadas as perdas pronunciadas que podem resultar de reclamações alegando coleta ou uso indevido de dados, é imperativo que as organizações de saúde busquem a formulação mais ampla possível em suas políticas cibernéticas.

Disclosure

A WTW oferece serviços relacionados a corretagem e consultoria de seguros por meio de suas empresas devidamente licenciadas e autorizadas em cada país em que a WTW opera. Para obter mais informações e detalhes regulatórios sobre nossas entidades legais operando em seu país, consulte nosso site WTW. A WTW não presta consultoria jurídica, fiscal ou contábil, de modo que, para caso necessário, verifique os requisitos regulatórios locais.

Fontes

1 Diretrizes de conformidade com o Regulamento Geral de Proteção de Dados (GDPR)

2 Lei de Privacidade do Consumidor da Califórnia (CCPA) | Estado da Califórnia - Departamento de Justiça - Procuradoria Geral da República

3 LGPD - Lei Geral de Proteção de Dados, Brasil

4 Artigo 4 GDPR. Definições

Autores

Director, FINEX Cybersecurity and Professional Risk,
WTW

Head of Healthcare Broking, North America,
WTW

Contato no Brasil


Related content tags, list of links Artigos Gestão de Riscos Cibernéticos

Soluções Relacionadas

Contact Us