Certificação SBIS

2,944 views
2,790 views

Published on

Resumo do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) , versão 3.3, de maio/2009, publicado pela Sociedade Brasileira de Informática em Saúde (SBIS), disponível em http://www.sbis.org.br/certificacao/Manual_Certificacao_SBIS-CFM_2009_v3-3.pdf

Published in: Health & Medicine
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,944
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Certificação SBIS

  1. 1. Certificação SBIS<br />Bernardo Trancoso<br />btrancoso@gmail.com<br />Abril/ 2010<br />
  2. 2. Objetivo<br /><ul><li>Descrever, de forma simplificada, as principais regras do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) , versão 3.3, de maio/2009, publicado pela Sociedade Brasileira de Informática em Saúde (SBIS), disponível em http://www.sbis.org.br/certificacao/Manual_Certificacao_SBIS-CFM_2009_v3-3.pdf.
  3. 3. Prover um recurso rápido de apoio à equipe de desenvolvimento de projeto que pretenda se adequar às normas contidas no manual</li></li></ul><li>Este material, feito para auxiliar no processo de certificação, não substitui o manual.<br />Alguns itens foram simplificados para rápido entendimento, portanto leia o manual!<br />Alguns itens listados como requisitos não são mandatórios (no manual você poderá ver quais), portanto...<br />Importante!<br />
  4. 4. Registro Eletrônico em Saúde (RES): <br />Um repositório de informação a respeito da saúde de indivíduos, numa forma processável eletronicamente.<br />Sistema de Registro Eletrônico em Saúde (S-RES): <br />Sistema para registro, recuperação e manipulação das informações de um Registro Eletrônico em Saúde.<br />Arquitetura: <br />Conjunto de artefatos de projeto ou representações descritivas que são relevantes para descrever um objeto de modo que ele possa ser produzido com base em requisitos (qualidade), como também mantido durante o período de sua vida útil (alteração).<br />Arquitetura do Registro Eletrônico em Saúde (ARES)<br />Componentes estruturais genéricos a partir dos quais todos os RES são construídos, definidos em termos de um modelo de informação.<br />Interoperabilidade Funcional <br />A habilidade de dois ou mais sistemas trocarem informações.<br />Interoperabilidade semântica<br />A habilidade da informação compartilhada entre sistemas ser entendida em nível dos conceitos de domínio formalmente definidos.<br />Modelo lógico de informação<br />Modelo de informação que especifica as estruturas e relações entre as informações, mas é independente de qualquer tecnologia particular ou ambiente de implementação.<br />Definições<br />
  5. 5. Níveis de Garantia de Segurança<br />NGS1<br />Categoria constituída por S-RES que não contemplam o uso de certificados digitais ICP-Brasil para assinatura digital das informações clínicas, consequentemente sem amparo para a eliminação do papel e com a necessidade de impressão e aposição manuscrita da assinatura<br />NGS2<br />Categoria constituída por S-RES que viabilizam a eliminação do papel nos processos de registros de saúde. Para isso, especifica a utilização de certificados digitais ICP-Brasil para os processos de assinatura e autenticação. Para atingir o NGS2 é necessário que o S-RES atenda aos requisitos já descritos para o NGS1 e apresente ainda total conformidade com os requisitos especificados para o Nível de Garantia 2.<br />ESTR<br />Requisitos de Estrutura e Conteúdo para S-RES Assistencial<br />FUNC<br />Requisitos de Funcionalidades para S-RES Assistencial<br />SGED<br />Requisitos para GED – Gerenciamento Eletrônico de Documentos<br />TISS<br />Requisitos para TISS – Troca de Informações entre Sistemas de Saúde<br />Definições<br />
  6. 6. O Certificado SBIS/CFM será válido por um período calculado da seguinte forma: dois anos a partir da emissão, ou um ano a partir da publicação pela SBIS de versão do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) posterior à que serviu de base para o certificado, sendo considerado o evento que ocorrer na data mais avançada.<br />Validade<br />
  7. 7. Padrão<br />Fluxo básico para a obtenção da certificação, para um S-RES ainda não certificado ou com a sua validade expirada, ou nova versão que contenha ajustes relevantes em relação à versão anteriormente certificada.<br />Processo para Extensão de Certificação<br />Fluxo para a extensão da certificação para outras configurações ou versões de um S-RES já certificado.<br />Fluxos<br />
  8. 8. Assistencial Ambulatorial<br />S-RES voltados para a assistência ambulatorial, tais como: sistemas de automação de consultórios clínicos, de informação ambulatorial, de unidades básicas de atendimento à saúde, etc., assim como a parte ambulatorial de sistemas hospitalares ou de sistemas integrados de informação em saúde.<br />Atenção: Sistemas ou funcionalidades voltadas a outros tipos de atendimento assistencial, como internação hospitalar, vigilância epidemiológica, medicina ocupacional, etc., serão gradualmente agregados a esta categoria nas próximas versões deste manual.<br />GED<br />Sistemas de gerenciamento eletrônico de documentos, utilizados para o armazenamento e visualização de documentos relacionados à informação de saúde.<br />TISS<br />Categoria dirigida ao atendimento do padrão TISS da ANS. Inúmeros S-RES, especialmente aqueles em uso por operadoras de planos de saúde e prestadores de serviços de saúde, são obrigados a trocar informações usando o TISS. Atende também aos aplicativos de comunicação (“empresas de conectividade”) que realizam a troca de informações entre Operadoras e Prestadores.<br />Categorias de certificação<br />
  9. 9. Todo e qualquer sistema que apresente entre as suas funcionalidades a capacidade de ser uma das pontas em um canal de comunicação entre operadoras de planos de saúde e prestadores de serviços de saúde. Deste modo, qualquer S-RES poderá se submeter ao processo de certificação visando apenas a validar sua aderência ao padrão TISS.<br />TISS - Escopo<br />
  10. 10. TISS - Grupos<br />
  11. 11. a) Nível de Garantia de Segurança: NGS1 (Local ou Remoto) ou NGS2<br /> +<br />b) Categoria: Assistencial (Ambulatorial) e/ou GED e/ou TISS<br />Caso o S-RES apresente a categoria TISS, haverá, ainda, as seguintes opções:<br />c) Tipo TISS: Prestador e/ou Comunicação e/ou Operadora<br /> +<br />d) Grupo TISS: Grupo 1 e/ou Grupo 2 e/ou Grupo 3<br />Enquadramento S-RES<br />
  12. 12. Controle de versão<br />Repositório (executáveis e códigos-fonte)<br />Histórico de alterações de cada versão<br />Para cada versão, indicar dependências no manual (com outro S-RES ou do ambiente)<br />Utilizar, no mínimo, uma das autenticações<br />Usuário/ senha<br />Certificado digital<br />One time password<br />Biometria<br />Usuário/ senha<br />Senhas devem ser criptografadas<br />No mínimo, senha de 8 caracteres (pelo menos 1 não alfabético)<br />Troca em um período máximo configurável<br />Usuário deve ser bloqueado após número configurável de tentativas de login<br />Sessão deve ser encerrada após período configurável de inatividade<br />Acesso<br />Impedir acesso por entidades não autenticadas<br />Acesso somente através do controle de acesso<br />Requisitos - NGS1<br />
  13. 13. Administração<br />Permitir gerenciamento de usuários, papéis e grupos<br />Auditoria dos registros das atividades<br />Configuração do sistema<br />Gerenciamento de permissões<br />Realização e restauração de cópia de segurança<br />Configurar perfis de acesso<br />Diferenciar consulta de inclusão/ alteração<br />Ao menos um usuário com perfil administrador<br />Delegações de poder devem ser registradas por usuário autorizado e possuir período de vigência<br />Acesso do paciente<br />Deve ter acesso – direto ou através de representante - a todos os seus dados<br />Poderá levar seus dados em formato eletrônico ou impresso<br />Interface para impressão de declaração de que está levando suas informações<br />Processo de exportação ou impressão também deve ser registrado<br />Pode restringir acesso a parte ou totalidade de suas informações<br />NGS1<br />
  14. 14. Backup e restauração<br />Recuperação deve conter não só dados, mas também atributos de segurança<br />O operador do backup não pode ter acesso direto aos dados<br />Controle para garantir a verificação da integridade dos dados<br />Comunicação cliente x servidor deve usar https ou equivalente<br />Acesso remoto somente aos clientes autorizados, por exemplo, IPs liberados<br />Seleção de dados em acesso remoto ocorre sempre do lado do servidor<br />Dados de saúde importados de outros sistemas devem estar relacionados a um paciente e um médico<br />Local, data e hora e usuário que fez a importação devem ser registrados<br />Exportação/ Impressão de dados<br />Para outro sistema de saúde<br />Para backup<br />Para paciente, a pedido dele <br />Onde se fizer necessária a impressão (p.e., para envio de cartas ao médico)<br />Para atendimento de requisitos legais<br />Não permitir exclusão ou alteração de dados já existentes (logs)<br />SGBD* (p.e., SQL Management Studio)<br />NGS1<br />*Sistema de Gerenciamento de Banco de Dados<br />
  15. 15. Usuários só podem ter acesso aos dados através do sistema<br />SGBD é apenas para backup<br />Dados de identificação do paciente devem ser criptografados<br />Troca de dados entre sistemas deve ter confirmação de entrega/ recebimento (TISS*)<br />Auditoria<br />Autenticação, acesso e manutenção<br />Proteção contra acesso não autorizado<br />Deve conter: tentativas de acesso, atividades de administração de sistema e de usuários e operações realizadas por estes; interações com ouros sistemas; acesso à base; backups realizados.<br />Armazenar local, data e hora e usuário<br />Documentação<br />Instalação e requisitos mínimos; administração e operação do sistema; mecanismo e práticas de segurança; indicar a versão atual; histórico de alterações de versões anteriores; indicações de como configurar o SGBD e criar usuário operador de backup; informe sobre necessidade de verificação de integridade após restauração, operação com outros sistemas de saúde e sincronização<br />Todo registro de tempo deve estar no mesmo formato<br />Interface para notificar ocorrência de incidentes de segurança<br />NGS1<br />* Troca de Informações em Saúde Suplementar <br />
  16. 16. Utilização de certificado digital para autenticação de usuários e assinatura digital de documentos eletrônicos<br />Configuração dos certificados raiz de confiança<br />Toda assinatura digital deve ter<br />Compatibilidade com CMS ou XMLDSIG <br />Timestamp<br />Validação criptográfica e verificação da revogação<br />Propósito ou tipo de comprometimento<br />Acesso à informação a ser assinada<br />Homologação pela ICP-Brasil<br />Se exportada, os elementos necessários para sua validação<br />Assinatura digital/ componentes de digitalização<br />Software<br />Operadora<br />Responsável<br />Usuário deve assinar Termo de Conduta para Digitalização (confidencialidade e responsabilidades)<br />Requisitos - NGS2<br />
  17. 17. Requisitos - ESTR<br /><ul><li>Informação organizada em seções refletidas em navegação e consulta
  18. 18. Cadastros de acordo com CFM (usuário, profissional de saúde e estabelecimento de saúde), CNES (estabelecimento assistencial de saúde) e TISS (informações da ANS)
  19. 19. Independência de HW e SW para compartilhamento
  20. 20. Informação organizada, permitindo indicadores (fármaco-vigilância, gestão, faturamento e pesquisa)
  21. 21. Armazenamento de dados, preservando ordem cronológica
  22. 22. Tabelas
  23. 23. Uso de chaves, relacionamento
  24. 24. Hierarquias pai-filho
  25. 25. Registros
  26. 26. Associação entre nome e valor de dado
  27. 27. Quando a mesma informação é coletada mais de uma vez (em eventos diferentes), deve ter mais de um valor associado
  28. 28. Permitir texto livre e inclusão de texto estruturado
  29. 29. Permitir busca
  30. 30. Possibilitar comentários e ênfase nos dados
  31. 31. Pessoa para contato e responsável legal do paciente podem ser cadastrados
  32. 32. Cadastro deve evitar ambiguidades (usuário, papel, local, data, hora e evento)</li></li></ul><li>ESTR<br /><ul><li>Administração dos processos de saúde e episódios de atenção
  33. 33. Registro de informações financeiras e comerciais
  34. 34. Situação legal e consentimentos para o cuidado do paciente
  35. 35. Atender à vigilância epidemiológica, sanitária e doenças de notificação compulsória
  36. 36. Atender o armazenamento de:
  37. 37. Histórico do paciente
  38. 38. Exame físico
  39. 39. Antecedentes mórbidos pessoais e familiares
  40. 40. Alergias e outras informações clínicas
  41. 41. Imunizações, prevenções e estilo de vida
  42. 42. Intervenções (medicamentos, procedimentos)
  43. 43. Evoluções clínicas, decisões e raciocínio clínico
  44. 44. Solicitações de exames, tratamentos e encaminhamentos
  45. 45. Diagnósticos, problemas
  46. 46. Consentimentos informados
  47. 47. Operadora de plano de saúde
  48. 48. Sumário de alta
  49. 49. Implante, próteses
  50. 50. Resultado de exames (método utilizado, data e hora, profissional, laudo e conclusão</li></li></ul><li>ESTR<br /><ul><li>Suporte a envio de dados de faturamento, produção e vigilância conforme SUS e ANS
  51. 51. Estrutura lógica de dados numéricos
  52. 52. Grau de precisão adequado
  53. 53. Percentagem em valores absolutos
  54. 54. Limites inferior e superior quando aplicáveis
  55. 55. Representação lógica de valores fracionados
  56. 56. Estrutura lógica de data e hora
  57. 57. Permitir definições incompletas (parciais), p.e., ??/Maio/1999
  58. 58. Suportar cadastro de eventos planejados (futuro)
  59. 59. Períodos do dia
  60. 60. Datas aproximadas
  61. 61. Momentos relativos (p.e., antes do café)
  62. 62. Períodos alternados (p.e., a cada 8 horas)
  63. 63. Registro do instante, tempo decorrido deste um evento e duração
  64. 64. Registro do fuso horário onde o registro foi realizado
  65. 65. Registro de unidade de tempo com milissegundos
  66. 66. Estrutura lógica para dados padronizados (DICOM, MIME e ECG)
  67. 67. Registro de informações do evento: data e hora de ocorrência e de registro, paciente, usuário, estabelecimento de saúde, local, motivo, protocolo, terminologias, indicação de dados referenciados externamente</li></li></ul><li>ESTR<br /><ul><li>Múltiplos sistemas de codificação e mapeamento
  68. 68. Armazenar descrição do sistema utilizado
  69. 69. Registro a partir de vocabulário padrão
  70. 70. Diagnósticos devem obedecer ao CID-10
  71. 71. Regras para evitar ambiguidades
  72. 72. Serviço de terminologia clínica
  73. 73. Preservar texto original do profissional de saúde, mesmo quando traduzido de um sistema para outro</li></li></ul><li>Registro de toda e qualquer interação relacionada com o paciente<br />Suporte a processos clínicos que apoiam as atividades dos usuários<br />Suporte a continuidade do processo clínico (consulta, aditamento e compleição)<br />Suporte a processos incompletos<br />Suporte a registro da condição holística do paciente<br />Apresentação dos registros por problemas, por episódios e por processos<br />Suporte a toda a vida do paciente (retrospectivo, atual e prospectivo)<br />Raciocínio clínico para todos os diagnóstico, conclusões e ações<br />Alertas, lembretes, avisos e notificação de agravos<br />Diretrizes, protocolos e sistemas de apoio à decisão<br />Cadastro de restrições, p.e., diagnóstico e medicação<br />Processo de acompanhamento terapêutico (status dos compromissos)<br />Registro de todas as prescrições médicas e de outros profissionais<br />Associar procedimento solicitado com realizado e com o resultado<br />Suporte ao processo de atenção em saúde: primário, especializado, internação, home care e intercorrência<br />Indicadores padronizados de performance clínica e operacional<br />Regras claras para criação e manutenção de dados<br />Regras de validação de dados em todos os campos estruturados<br />Requisitos - FUNC<br />
  74. 74. Recuperação de informações do passado<br />Visões diferenciadas e recuperação seletiva de dados<br />Suporte a sumário clínico contendo diagnósticos, medicamentos, exames, atendimentos alergias e outros dados relevantes<br />Resolução necessária para interpretação clínica (para imagens, indicar valor mínimo)<br />Processamento eficiente<br />Suporte a importação e exportação de dados<br />Suporte a serialização de dados (XML, SOAP, CORBA, .NET)<br />Regras de troca<br />Interoperabilidade semântica<br />Registro e acompanhamento de consentimento informado<br />Acurácia da cronologia de eventos<br />Precisão de dados<br />Atributos apropriados para identificação unívoca dos pacientes, profissionais de saúde e dos usuários do sistema<br />Todo registro deve ser datado e seu responsável identificado; além disso, deve estar relacionada a um ator na área de saúde<br />Todos os dados podem ser emendados, atestados e validados pela pessoa responsável, com registro de data e hora<br />FUNC<br />
  75. 75. Credenciamento e responsabilidade técnica dos profissionais de saúde<br />Ao substituir dados, manter valores anteriores<br />Situação do registro poderá ser recriada em determinado tempo<br />Sempre que traduzir, manter original<br />Impedir alteração ou exclusão de qualquer informação do sistema<br />Associação do contexto clínico a dados<br />Controle de versão das informações<br />Suporte a justificativa ética para uso secundário de dados<br />Suporte a acesso pelo paciente<br />Suporte a acesso a informações sujeitas à lei<br />Suporte de informações sobre autocuidado<br />Interoperabilidade global<br />Compatível com versões anteriores<br />Capaz de incorporar novos conhecimentos clínicos<br />FUNC<br />
  76. 76. Base adequada em banco de dados relacional<br />Indexação<br />Documentos em pastas e subpastas de acordo com a estrutura de seções de um Prontuário<br />Qualidade deve ser mantida na digitalização de informações<br />Permitir armazenamento de vários formatos de documento (p.e., PDF, DOC, JPG etc.)<br />Permitir integração com outros sistemas<br />Requisitos - SGED<br />
  77. 77. Guias<br />Consulta<br />SP/ SADT<br />Solicitação de Internação <br />Resumo de Internação<br />Honorário Individual<br />Outras Despesas<br />Tratamento Odontológico – Solicitação<br />Tratamento Odontológico – Cobrança<br />Tratamento Odontológico – Demonstrativo de Pagamento<br />Demonstrativo de Pagamento<br />Demonstrativo de Análise de Conta Médica<br />Mensagens<br />ENVIO_LOTES_GUIAS<br />PROTOCOLO_RECEBIMENTO<br />SOLIC_STATUS_PROTOCOLO<br />SITUACAO_PROTOCOLO<br />SOLICITACAO_PROCEDIMENTOS<br />AUTORIZACAO_PROCEDIMENTOS<br />SOLICITA_STATUS_AUTORIZACAO<br />SOLICITA_DEMONSTRATIVO_RETORNO<br />DEMONSTRATIVO_PAGAMENTO<br />DEMONSTRATIVO_ANALISE_CONTA_MEDICA<br />ENVIO_LOTE_GUIAS<br />RE_APRESENTACAO_GUIA<br />CANCELA_GUIA<br />VERIFICA_ELEGIBILIDADE<br />SITUACAO_ELEGIBILIDADE<br />AUTORIZACAO_ODONTOLOGIA<br />DEMONSTRATIVO_ODONTOLOGIA<br />Requisitos - TISS<br />Fonte: www.ans.gov.br/padroes/tiss/schemas<br />

×