As instituições médico-sociais da rede DomusVi gerenciam diariamente volumes significativos de dados de saúde por meio da plataforma Netsoins. Processos de cuidados, prescrições, avaliações de dependência, históricos médicos: essas informações estão sujeitas ao regime jurídico mais rigoroso do RGPD.
O referencial da CNIL que visa especificamente os organismos que acolhem ou hospedam pessoas idosas e com deficiência estabelece o quadro. A questão não é mais saber se esses dados devem ser protegidos, mas como cada elo da cadeia, do cuidador ao hospedeiro, aplica concretamente as obrigações.
Veja também : Conversões práticas: dicas para simplificar as medições no dia a dia
Certificação HDS dos prestadores: um pré-requisito técnico frequentemente subestimado
Antes mesmo de configurar o Netsoins, um ponto estruturante frequentemente passa despercebido pelas direções das instituições: a certificação de Hospedagem de Dados de Saúde. Desde os lembretes da CNIL e a doutrina de nuvem do ministério da Saúde, todo prestador que armazena, faz backup ou mantém dados provenientes do prontuário eletrônico do usuário deve ser certificado HDS.
Essa exigência abrange perímetros mais amplos do que se imagina. Ela não diz respeito apenas ao hospedeiro principal da plataforma. Um prestador responsável pela manutenção de aplicativos, um prestador de plano de recuperação de atividades ou um serviço de backup externalizado também estão sob essa obrigação, desde que manipulem dados de saúde.
Leitura complementar : RH Digital: como otimizar a gestão de talentos
Para um EHPAD da rede DomusVi, isso significa auditar todos os seus subcontratados técnicos. Um guia detalhando as boas práticas Netsoins Domusvi lembra dessa necessidade de verificação documental antes de qualquer contratação.
Os retornos do campo divergem sobre esse ponto: algumas instituições consideram que a certificação do fornecedor principal é suficiente, enquanto a cadeia de subcontratação pode envolver vários atores não certificados. Cada elo não certificado constitui uma falha regulatória.
Gestão de habilitações no software Netsoins: o cerne da segurança diária
A proteção dos dados de saúde em um EHPAD não se limita apenas ao nível dos servidores. Ela se dá primeiramente na gestão dos direitos de acesso dentro do software de cuidados. O Netsoins permite configurar perfis de habilitação por função: auxiliar de enfermagem, enfermeiro, médico coordenador, pessoal administrativo.
O referencial da CNIL é explícito sobre esse ponto. Os dados coletados devem ser acessíveis apenas às pessoas habilitadas em razão de suas funções. Um agente de recepção não precisa consultar as prescrições medicamentosas. Um gestor administrativo não deve acessar as avaliações geriátricas detalhadas.
Três princípios para uma configuração rigorosa
- O menor privilégio: cada perfil de usuário deve ver apenas os dados estritamente necessários para sua função, e nada mais. Esse é o fundamento do referencial da CNIL para o setor médico-social.
- A revisão periódica das contas ativas: as saídas de pessoal, as mudanças de cargo ou as substituições temporárias geram contas obsoletas. Uma conta não desativada permanece uma porta aberta.
- A rastreabilidade dos acessos: o Netsoins registra as conexões e as consultas de prontuários. Explorar esses registros permite identificar acessos anormais, como a consulta repetida de um prontuário de residente por um profissional sem vínculo de atendimento.
Na prática, a dificuldade vem da alta rotatividade no setor. As equipes alternam substituições, e a atualização das habilitações atrasa. Uma auditoria trimestral das contas do Netsoins reduz esse risco.
Análise de impacto e algoritmos: o que a CNIL espera agora dos EHPAD
Um aspecto mais recente diz respeito ao uso crescente de funcionalidades algorítmicas nos softwares de cuidados. Alertas automáticos, pontuações de risco de queda, priorização de intervenções: esses tratamentos não são mais marginais nas instituições equipadas com soluções como o Netsoins.
A CNIL publicou recomendações específicas sobre inteligência artificial aplicada aos dados médico-sociais. Assim que um tratamento algorítmico pode influenciar o atendimento de um residente, uma análise de impacto sobre a proteção de dados (AIPD) torna-se obrigatória. Essa análise deve documentar as finalidades do tratamento, os conjuntos de dados utilizados e os critérios de decisão.
Os dados disponíveis não permitem concluir sobre o grau de adoção dessas análises de impacto na rede DomusVi. As recomendações da CNIL são claras, mas sua tradução operacional em cada residência depende dos recursos internos e do apoio do DPO do grupo.
O que a AIPD deve cobrir em um contexto Netsoins
A análise não se limita a uma formalidade documental. Ela deve avaliar a proporcionalidade do tratamento em relação à finalidade de cuidado, identificar os riscos para os residentes (perfilamento inadequado, viés nos alertas) e prever medidas corretivas. Um residente ou seu representante legal deve ser informado sobre a existência desses tratamentos algorítmicos.
Formação das equipes de cuidados sobre a segurança dos dados de saúde
A configuração técnica não protege nada se os usuários contornam as regras por desconhecimento. O compartilhamento de senhas entre colegas, a consulta ao Netsoins em um terminal pessoal não seguro, ou o envio de dados de saúde por mensageria não criptografada permanecem práticas documentadas no setor.
O referencial da CNIL recomenda ações de sensibilização regulares, adaptadas aos diferentes perfis de pessoal. A formação deve abordar gestos concretos, não princípios abstratos. Bloquear sua sessão ao sair do posto, nunca transmitir uma identificação de conexão, relatar qualquer suspeita de acesso não autorizado.
Os profissionais em EHPAD utilizam cada vez mais o Netsoins em dispositivos móveis, o que adiciona um vetor de risco. A conexão a partir de uma rede Wi-Fi pública, a perda ou o roubo de um terminal contendo acessos ao prontuário eletrônico do usuário: tantos cenários que a formação deve cobrir explicitamente.
A proteção dos dados dos residentes em uma instituição DomusVi repousa na articulação entre três níveis: a conformidade dos prestadores de hospedagem, a configuração detalhada do software Netsoins e a cultura de segurança das equipes no dia a dia. Nenhum desses três níveis compensa as falhas de outro. O quadro regulatório existe, as ferramentas técnicas também. O elo decisivo permanece a aplicação rigorosa, prontuário por prontuário, acesso por acesso.