Medicina / Ciências Médicas e da Saúde

Dissertações de Mestrado

 

Controlo de Acesso à Informação de Saúde
 Da legislação à prática

 

Autor: Pedro Ferreira Farinha Silva
 Orientador: Luís Filipe Antunes, Ana Margarida Ferreira

 

Mestrado em Informática Médica

Faculdade de Medicina

Universidade do Porto
 

 

continuar

 

Controlo de Acesso à Informação de Saúde

Resumo

As recomendações e os regulamentos que estão disponíveis nos cuidados de saúde para proteger a informação médica sensível, têm como intuito garantir que este tipo de informação só seja acedido e utilizado num contexto específico, e de forma justificada e devidamente autorizada. Estas recomendações tendem no entanto, a ser bastante genéricas e, por isso, é bastante difícil traduzi-las para a prática clínica. No inicio do ano de 2005, foi publicada em Portugal a Lei no 12/2005, que vem regulamentar o acesso à Informação genética pessoal e informação de saúde. Tendo o sistema de informação ICU (Informação Clínica do Utente), em uso no Hospital de S. João (HSJ) desde 2004, relatórios do serviço de Imuno-Hemoterapia que contêm informação genética, foi necessário implementar políticas mais  exíveis de controlo de acesso, para fazer cumprir a legislação em causa, neste mesmo sistema. Um modelo de controlo de acesso, bastante utilizado na área médica, é o Role Based Access Control (RBAC), cujo princípio é associar os privilégios ou as permissões, juntamente com os recursos, aos papéis (por ex. categorias prossionais) que os prossionais ocupam na instituição onde trabalham. Este modelo permite uma maior facilidade de gestão e independência relativamente aos utilizadores do sistema. No entanto, o modelo RBAC não consegue expressar regras de controlo de acesso em situações de emergência, como as que contêm as operação Break-The-Glass (BTG). O conceito BTG consiste em deixar que um utilizador aceda a um recurso do sistema em caso de emergência, quando este utilizador não está autorizado para tal ou quando os serviços de autenticação não estão a funcionar correctamente, de forma controlada e responsável. Tendo em vista esta questão, o principal objectivo desta dissertação é implementar e avaliar o novo modelo de controlo de acesso BTG-RBAC num cenário real de saúde, no sistema ICU, para cumprir a legislação no 12/2005 acima mencionada. O processo de traduzir a legislação para a prática clínica, onde também se deniram os procedimentos técnicos necessários, passou por várias fases. Este processo envolveu um grupo de trabalho multidisciplinar, que durante todo o processo realizou várias reuniões e troca de emails, e de onde foi produzida uma proposta nal de implementação. Para implementar o modelo de controlo de acesso BTG-RBAC, foi necessário efectuarum conjunto de alterações do lado da plataforma que gere o controlo de acessos, a plataforma Web.Care, e do próprio sistema ICU. Esta implementação está actualmente a ser usada pelos prossionais de saúde com acesso ao ICU, desde Maio de 2009. Os resultados mostram, que no primeiro ano de utilização, o modelo de controlo de acesso BTG-RBAC ltra acessos de utilizadores não autorizados que tentem aceder a relatórios com informação genética. Porém, em termos comparativos por grupos de utilizadores, o número médio de relatórios acedidos por utilizador pertencente ao grupo dos médicos diminuiu de 8,2 para 5,5 (relatórios por utilizador), enquanto que, no caso do grupo de utilizadores ao qual pertence o pessoal em formação pré carreira, aumentou de 3,9 para 4,5 (relatórios por utilizador). No entanto, é necessário implementar uma plataforma de auditoria para melhor avaliar os motivos evocados pelos utilizadores no que diz respeito aos acessos efectuados por BTG. Mesmo que sejam implementados os procedimentos técnicos necessários para garantir o cumprimento da legislação em vigor, é necessária uma infra-estrutura humana que verique os resultados desses procedimentos e faça as validações necessárias das justicações introduzidas pelos utilizadores do ICU, relativas aos acessos dos respectivos relatórios.

 

Índice 

Resumo

Abstract

Agradecimentos

Acrónimos

Resultados Científicos

1 Introdução

1.1 Contextualização

1.2 Descrição do problema

1.3 Objectivos

2 Estado da arte

2.1 Controlo de acesso

2.2 Modelos de controlo de acesso

2.2.1 DAC - Discretionary Access Control

2.2.2 MAC - Mandatory Access Control

2.2.3 RBAC- Role Based Access Control

2.2.4 TBAC - Task Based Access Control

2.2.5 TMAC - Team Based Access Control

2.2.6 VBAC - View Based Access Control

2.3 Controlo de acesso à informação de saúde

2.4 BTG-RBAC 2.5 Papéis e níveis de acesso dos SI de Saúde

2.6 Características da autenticação nos SI na saúde

2.7 Legislação

3 Material e Métodos

3.1 Pesquisa bibliográfica

3.2 Da legislação à prática

4 Implementação

4.1 Arquitectura do ICU

4.2 Web.Care

4.2.1 Modelação de dados

4.2.2 Tecnologias

4.2.3 Módulos

4.2.4 Autenticação na plataforma

4.3 Implementação

4.3.1 Alterações no Web.Care

4.3.2 Alterações no ICU

5 Resultados

5.1 Resultados antes e depois da implementação do modelo BTG-RBAC

5.2 Resultados por categorias prossionais

5.3 Justicações para efectuar BTG

6 Discussão

6.1 Implementação do modelo BTG-RBAC

6.2 Impacto antes e depois da implementação do modelo BTG-RBAC

6.3 Análise por categorias prossionais

6.4 Análise das justicações para efectuar BTG

7 Conclusões e trabalho futuro

8 Anexos

8.1 Artigo publicado como primeiro autor

8.2 Legislação


 

 

Trabalho completo