A progressão de acreditações como a EMRAM, que atesta a maturidade de adoção do prontuário eletrônico do paciente, é um reflexo do avanço da digitalização nas instituições de Saúde. O professor Renato Sabbatini conta mais sobre o assunto

Certificações tradicionais de qualidade em atendimento hospitalar nem sempre contemplam as inovações digitais da área da Saúde. Para isso, foram criadas acreditações específicas, que atestem a ampla utilização da tecnologia como facilitadora e otimizadora dos serviços do setor. Para falar mais sobre o tema, conversamos com o professor Renato Sabbatini, cientista biomédico e de computação, diretor eleito do working group education da American Medical Informatics Association (AMIA), membro da International Association of Medical Informatics (IMIA) e professor adjunto de Informática em Saúde da Escola Bahiana de Medicina e Saúde Pública (BA). Ele também é divulgador científico, escritor, empresário e administrador. Foi um dos fundadores e presidente da Sociedade Brasileira de Informática em Saúde (SBIS) e hoje é vice-presidente do Instituto Health Level Seven HL7, uma organização desenvolvedora de padrões (SDOs) internacional, sem fins lucrativos, que opera na área de Sistemas de Informação em Saúde.

1. Qual o papel das certificações, como a EMRAM (Electronic Medical Record Adoption Model), nas instituições de Saúde?

Existem muitas certificações para as instituições de Saúde. Algumas são bem conhecidas, como a Joint Commission International e a ONA, para hospitais, ambulatórios e outras organizações do setor e que dizem respeito mais à qualidade. Algumas dessas certificações mais genéricas têm sessões dedicadas a tecnologia da informação, mas ainda é pouco. Então, foram criadas acreditações específicas para TI em Saúde. A mais conhecida é a EMRAM, uma certificação de maturidade de adoção do prontuário eletrônico do paciente. Ela é conseguida internacionalmente pela HIMSS [Healthcare Information and Management Systems Society]. Aqui no Brasil, quem representa a HIMSS é a Folks, que também faz pré-auditoria, ou seja a preparação para a certificação, que é feita por profissionais que vêm dos EUA, da HIMSS. No Brasil, temos um número pequeno de hospitais que tiraram a EMRAM. É uma certificação graduada de 0 a 7, sendo 0 uma instituição que tem vários sistemas, mas que não são integrados. Seis e 7 são as as certificações mais altas de organizações em que tudo é feito eletronicamente. A graduação 7 é para um hospital digital, que é muito mais do que um hospital sem papel.

Essas acreditações são importantes para uma avaliação de maturidade do uso da tecnologia digital na instituição de Saúde e para torná-la mais competitiva.

2. Como são feitas as avaliações para a obtenção desse tipo de acreditação?

Especificamente a EMRAM é uma acreditação de processos dentro das instituições, mas também envolve softwares, banco de dados, conectividade e segurança. A avaliação é feita por meio de auditoria independente, pela própria HIMSS, que tem um manual de requisitos, que são examinados um a um, o que, em inglês, a gente chama de gap analysis. Se todos esses requisitos estiverem de acordo com a escala de adoção, que não precisa ser 100%, mas significativa, então, ao final, a instituição recebe o certificado. Essa avaliação é feita por meio de uma visita presencial. Todos os setores da organização são investigados com relação aos requisitos. Porém, existem outros tipos de certificações que não são acreditações propriamente ditas, mas uma avaliação de maturidade de adoção.

"As certificações permite que as ações de TI dentro da instituição sejam orientadas para ter um modo de referência, a fim de se comparar a essas normas e tentar fazer o melhor"

3. Quais são os critérios para a obtenção das certificações relacionadas a tecnologia na área da Saúde?

Não existe somente a EMRAM. Nós temos uma certificação importante de processos, que é de segurança da informação, dada pela ISO [International Organization for Standardization], chamada ISO 27001. É um conjunto de várias normas e códigos de boas práticas. Todas as acreditações dadas pela ISO que terminam em 1, como a 27001, são certificáveis por organizações credenciadoras autorizadas pelo Inmetro. A ABNT, como representante da ISO, traduz essas normas e pode aplicá-las no Brasil. A ISO 27001 atesta a existência e os requisitos de um sistema de gestão de segurança da informação. A 27002 é referente ao código de boas práticas da 27001 e que tem 12 áreas de controle, que vão desde uma política de segurança de informação apoiada pela alta diretoria, até contratos com terceiros, segurança de rede, dos terminais e a própria segurança de software. E aqui no Brasil, poucas instituições de Saúde têm essa certificação.

A ISO 27701 estende a ISO 27001 para um sistema de gestão de proteção de dados pessoais, que é a base da LGPD.

Além disso, tem a certificação do software do Prontuário Eletrônico do Paciente [PEP], no Sistema de Registro Eletrônico de Saúde [S-RES]. Aqui no Brasil, desde 2007, temos um excelente processo de certificação desse software feito pela Sociedade Brasileira de Informática de Saúde (SBIS). A partir de 2009, esse processo começou a ser feito por meio de uma auditoria, baseado nos vários manuais publicados pela SBIS, com, no total, 407 requisitos - e ele é conseguido em 3 níveis de maturidade e tem dois anos de validade. Também tem vários escopos e categorias. Entre os escopos está a segurança de informação em dois níveis, sendo o 1 mais básico, referente, por exemplo, ao controle de acesso, backup, etc. E o 2 é opcional em algumas categorias e obrigatório em outras, que é o uso de certificado digital. O processo é feito por uma auditoria da SBIS, por membros da organização e uma comissão de auditores treinados. Quanto às categorias, são várias, como hospitais isolados, clínicas e laboratórios, internação, farmácia, pronto atendimento e diferentes categorias de telemedicina.

4. Quais são as oportunidades que uma certificação dessas oferece às organizações de Saúde?

São múltiplas. A própria instituição, que geralmente não se autoavalia, pode fazer essa análise para ver o quanto ela obedece os requisitos internacionais e nacionais. Isso permite que as ações de TI dentro da instituição sejam orientadas para ter um modo de referência, a fim de se comparar a essas normas e tentar fazer o melhor. Quando você tem o máximo possível, poderá tentar fazer essa certificação. Mas nem sempre precisa ter uma certificação. Se você, por meio de uma auditoria interna e uma consultoria, já consegue demonstrar a grande maioria dos requisitos para uma certificação, já seria esse o modo de referência de qualidade, segurança, usabilidade, interoperabilidade etc.

Outra oportunidade é uma maior competitividade no mercado e uma garantia de que a acreditação não é feita pela própria instituição, mas sim por auditores de uma organização independente, como a ABNT Certificadora, a SBIS, e outras que são muito exigentes. Por exemplo, o nível 3 de maturidade para o conjunto hospitalar completo, inclusive telemedicina, tem 409 requisitos e mais de mil sub-requisitos. É até pouco, perto do que os EUA exigem na certificação obrigatória do Ministério da Saúde americano, que tem mais de 2 mil requisitos na atual versão. Essas certificações, no entanto, são caras, não é qualquer instituição que consegue bancar os custos. Não tanto da auditoria, mas das alterações que serão feitas para atingir a conformidade única. E finalmente, tem certificações que estão se tornando obrigatórias por parte do governo, como a Software as a Medical Device, que é para todo software que tem apoio à decisão e que será certificada por laboratórios credenciados pela Anvisa. A tendência é que essas certificações cresçam.

5. Como garantir o uso correto dessas certificações?

Temos duas fases, uma delas é a concessão da certificação propriamente dita. Tem de haver uma identificação de quais são os gaps, ou seja, as inconformidades totais e parciais que existem no software, nos processos, na segurança e assim por diante. E elas devem ser remediadas para conseguir a acreditação. Além disso, elas não valem eternamente, a maioria por apenas dois anos. Isso é feito porque esses manuais evoluem, assim como os softwares. Então, se o software for modificado e perder a certificação porque não cumpriu as normas de evolução e manutenção dos processos, o prejuízo pode ser grande, já que este é um fator de competitividade.

Por essa razão, é necessário ter dentro da instituição, dependendo do seu tamanho, um núcleo de manutenção das certificações, tanto para o cuidado em não modificar coisas que possam levar à perda dos requisitos, como para pensar, desde cedo, em recertificações futuras. Isso implica que você deve ter especialistas dentro das instituições de software. Quando a certificação evolui, a empresa tem dois anos para recertificar. Mas muitas se adiantam e fazem o processo antes deste prazo. Existem nos manuais várias normas de como utilizar essas certificações (como a publicação delas, por exemplo), e com relação às modificações do sistema e quais vão gerar a necessidade de fazer uma recertificação. Para isso, é preciso gerar um relatório técnico que é chancelado pela organização certificadora. Praticamente todas funcionam do mesmo jeito. Por isso, é importante ter uma atenção profissional dentro da empresa de saúde para manter essa certificação. É como uma CNH, que você tem que manter para poder continuar dirigindo.