Paciente, LGPD, Saúde, desafios LGPD
LGPD

Os 5 maiores desafios para implantar a LGPD nas Instituições de Saúde

A criação da Lei Geral de Proteção de dados,  tornou a conformidade com TI – Tecnologia da Informação um tópico de nível de diretoria. Embora a LGPD esteja focada com a privacidade dos dados, forçou as organizações a pensar mais amplamente sobre as implicações de seus processos de negócios e a entender que elas precisam ter controles para garantir que não apenas estejam agindo corretamente, de acordo com os regulamentos impostos, mas eles podem precisar provar que estão fazendo isso.

Esta conformidade abrange todos os aspectos do negócio. Usada corretamente, ela pode ajudar a garantir que sua organização avance na direção desejada e possa fornecer vantagem comercial abrindo novos mercados e fornecendo segurança aos funcionários e clientes. O objetivo deve ser desenvolver políticas de governança que apoiem os objetivos e planos estratégicos da organização, que poderiam estar em funções operacionais e / ou nos valores e comportamento da empresa, e então implementá-los efetivamente. Fazer isso requer comprometimento, recursos e tempo contínuos no nível da diretoria. A conformidade deve ser uma conduta normal dos negócios, não uma atividade pontual que cada nova legislação provoca, independentemente das circunstâncias ou dos eventos que representem um potencial impacto negativo.

Depois de trabalhar com uma ampla gama de hospitais, sejam eles nos setores público/privado e clínicas, com a implantação de sistemas identificamos os cinco maiores desafios corporativos em conformidade. Aqui nós olhamos como eles podem ser abordados.

  1. Mantendo a conformidade em um cenário em constante mudança

A lição mais importante que as organizações devem aprender com o LGPD é que as regulamentações não ficam paradas, mas que estão mudando continuamente. Apenas porque as políticas da LGPD entrarão em vigor em agosto de 2020, as organizações não podem sentar-se e colocar uma marca na caixa de conformidade para o tratamento de informações pessoalmente identificáveis. A ANPD foi criada em dezembro de 2020 e espera-se que outras mudanças possam ocorrer na lei.

O gerenciamento de dados mudará à medida que as organizações mudam, juntamente com a crescente variedade de clientes e fornecedores. Da mesma forma, a tecnologia e as ameaças cibernéticas não ficam paradas, nem a estratégia da empresa, portanto, a governança, o risco e a conformidade precisam, pelo menos, acompanhar o ritmo.

Para resolver isso, as organizações precisam ter processos em funcionamento para entender as regulamentações existentes, traduzi-las em políticas e práticas e para garantir a adesão constante a essas regulamentações. Eles exigem um processo para capturar novos regulamentos com antecedência, a fim de incorporá-los à sua governança existente. Além disso, eles precisam garantir que entendem completamente seu cenário operacional específico em relação a ativos, ameaças e vulnerabilidades, desde mudanças na política do governo até riscos de segurança cibernética e garantir que eles sejam abordados em suas políticas e processos de conformidade.

  1. Falta de competências

A conformidade requer suporte e adesão em toda a organização. A implementação eficaz requer uma equipe que inclui diferentes níveis de recursos para planejar, projetar, construir, operar, monitorar, reagir e melhorar.

Isso requer habilidades e experiências específicas, algumas das quais podem não estar disponíveis internamente, particularmente em PMEs, portanto, pode significar engajar-se em organizações externas para complementar o conhecimento interno. Isso poderia incluir uma auditoria inicial para avaliar a situação atual; apoio à implementação de sistemas específicos nos quais a organização não possui experiência interna; e trabalhar com especialistas em normas e regulamentos específicos que a organização gostaria de alcançar.

  1. Tempo e recursos

A conformidade não é uma atividade pontual, mas deve fazer parte do negócio como de costume, pois exige uma melhoria contínua do serviço para orientar a organização na direção certa. Isso significa garantir que ele seja incluído nas funções de trabalho dos funcionários como uma atividade principal, não uma série de tarefas que são realizadas quando necessário para mostrar conformidade, sem qualquer foco em seu valor real para a organização. Todo o pessoal deve ser treinado para que esteja plenamente ciente de suas responsabilidades, ameaças existentes e vetores de ameaças. Isso significa colocar o treinamento e a conscientização da segurança cibernética, com políticas de uso aceitáveis ​​vinculadas às políticas de RH.

Atingir e manter os padrões da indústria, que podem ser incluídos nas atividades de conformidade, é uma tarefa cara. Uma vez que uma organização tenha atingido um padrão e obtido o reconhecimento, seus clientes esperam que esse padrão seja mantido, o que exigirá auditorias e atualizações regulares e, portanto, tempo e recursos. No entanto, a obtenção de padrões específicos pode abrir novas oportunidades de negócios e, portanto, fluxos de receita. Esse valor agregado precisa ser entendido e adotado pelas organizações, com nova conformidade suportada por um caso de negócio plenamente justificado.

  1. Resposta e remediação

Embora a conformidade faça parte do negócio como de costume, lidar com qualquer não conformidade ou violação de segurança que possa ocorrer é reacionário, e os recursos podem precisar ser desviados de outras atividades para garantir que o problema seja resolvido imediatamente.

Para garantir uma resposta rápida, as organizações precisam entender as prioridades se ocorrer uma violação e quais são as ações apropriadas. Isso requer um processo incidente importante que precisa ser implementado tanto para violações de segurança quanto para violações de proteção de dados, com níveis de comunicação embutidos para garantir que usuários, clientes e autoridades governamentais sejam informados e gerenciados dentro dos prazos legais necessários e com o escopo de informação necessário. Em seguida, as ações corretivas e preventivas precisam ser identificadas e adotadas, com a melhoria contínua do serviço integrada para garantir que as lições sejam aprendidas e acionadas.

  1. Gerenciamento de riscos

O gerenciamento de riscos é um aspecto importante da conformidade e precisa ser incorporado à política e à prática. Toda organização tem seu próprio apetite por risco, que depende de três fatores: sua postura ética e cultura; os quadros legais e potencialmente morais em que opera; e os seus requisitos de segurança, que dependerão, em certa medida, do setor em que opera.

A organização precisa investir no nível certo de força resistiva para equilibrar as crescentes ameaças e vetores de ameaças, levando em conta o custo para os negócios se uma ameaça tiver êxito. Sua postura escolhida deve ser refletida em sistemas de gerenciamento sob medida, como um Sistema de Gerenciamento de Segurança da Informação (SGSI) ou um Sistema de Gestão da Qualidade (SGQ), onde a segurança de TI é fundamental para o desenvolvimento e a sustentabilidade do negócio; um Sistema de Gerenciamento de Serviços (SMS) para aqueles que desejam se concentrar na satisfação do cliente; e um Sistema de Gestão Ambiental, para aqueles que querem assegurar sua comunidade e valores éticos e alinhar esses sistemas com as melhores práticas ISO apropriadas.

Um investimento empresarial

A conformidade é vital para todas as organizações e deve ser considerada como um investimento que agrega valor a um negócio, não um fardo. Enfrentando esses cinco desafios, as Instituições de Saúde podem garantir que elas as construam na maneira como trabalham. Abordar as mudanças na legislação, como a LGPD, torna-se muito menos oneroso e pode ser visto como uma oportunidade. É melhor começar a se mexer.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *