General Law on Personal Data Protection and applicability to Nursing / Ley General de Protección de Datos Personales y aplicabilidad a la Enfermería / Lei Geral de Proteção de Dados Pessoais e aplicabilidade para a Enfermagem

ABSTRACT Objectives: to reflect on the impacts of the General Personal Data Protection Law on Nursing practice. Methods: reflection article, through the intentional collection of materials relating to the topic. Results: legislation regulates confidentiality, processing and data sharing, requiring institutional protection measures. The nursing team is responsible for acting preventively, both in care and in the management role, in order to avoid the misuse of the patient's personal data. The law allows academic research to be carried out as long as the purpose is clear, data collection occurs with an explicit purpose and data is anonymized. Final Considerations: although the General Personal Data Protection Law requires greater care in relation to data processing, it is established on precepts of good faith and respect for the rights of the individual, concepts aligned with the nursing code of ethics.

RESUMEN Objetivos: reflexionar sobre los impactos de la Ley General de Protección de Datos Personales en la práctica de enfermería. Métodos: se trata de un artículo reflexivo llevado a cabo mediante una recolección intencional de materiales referentes al tema. Resultados: la legislación regula la confidencialidad, el tratamiento y la puesta en común de los datos, exigiendo medidas institucionales de protección. Corresponde al equipo de enfermería actuar de forma preventiva, tanto en la atención como en la gestión, para evitar el uso indebido de los datos personales de los pacientes. La ley permite la investigación académica siempre que el propósito sea claro, los datos se recojan con un fin explícito y se anonimicen. Consideraciones Finales: aunque la Ley General de Protección de Datos de Carácter Personal exige un cuidado mayor con relación al tratamiento de los datos, se basa en preceptos de buena fe y respeto de los derechos del individuo, conceptos que están en consonancia con el código deontológico de la enfermería.

RESUMO Objetivos: refletir sobre os impactos da Lei Geral de Proteção de Dados Pessoais na prática da enfermagem. Métodos: artigo de reflexão, por meio da coleta intencional de materiais referentes ao tema. Resultados: a legislação regulamenta o sigilo, o tratamento e o compartilhamento dos dados, exigindo medidas de proteção institucionais. À equipe de enfermagem cabe agir preventivamente, tanto na assistência quanto no papel gerencial, a fim de evitar o mau uso dos dados pessoais do paciente. A lei permite a realização de pesquisas acadêmicas desde que a finalidade esteja clara, que a coleta de dados ocorra com um propósito explícito e que seja realizada a anonimização dos dados. Considerações Finais: apesar da Lei Geral de Proteção de Dados Pessoais exigir maiores cuidados em relação ao tratamento dos dados, ela é estabelecida em preceitos de boa-fé e em respeito aos direitos do indivíduo, conceitos alinhados ao código de ética da enfermagem.

Lei Geral de Proteção de Dados: desafio do Sistema Único de Saúde / General Data Protection Law: Unified Health System challenge / Ley General de Protección de Datos: desafío del Sistema Único de Salud

A Lei Geral de Proteção de Dados (LGPD) promulgada no Brasil em 2018 é reflexo do movimento internacional de busca pela preservação de direitos fundamentais como privacidade, intimidade, honra, direito de imagem e dignidade humana. O objetivo do estudo foi o de apontar em que medida a estrutura do sistema público de saúde brasileiro será impactada pela publicação da Lei e indicar eventuais caminhos a serem trilhados nesse sentido. Trata-se de pesquisa de abordagem qualitativa, descritiva e exploratória, com utilização do método dedutivo a partir de pesquisa bibliográfica/artigos e documental/ordenamento jurídico. Os resultados alcançados apontam para a estreita relação entre o SUS e a necessidade de proteção de dados sensíveis e de boas práticas em segurança da informação, com impacto direto na privacidade de pacientes. A partir dos resultados, concluiu-se que o SUS será eminentemente impactado pela LGPD e, dada a imponência de sua estrutura de tecnologia da informação, deverá adotar medidas diligentes e céleres para seu amoldamento à Lei.

The General Data Protection Law enacted in Brazil in 2018 reflects the international movement for the preservation of fundamental rights such as privacy, intimacy, honor, image rights and human dignity. The objective of the study was to point out to what extent the structure of the Brazilian public health system will be impacted by the publication of the Law and to indicate possible paths to be taken in this direction. This is a qualitative, descriptive and exploratory research using the deductive method from the analysis of articles and legal order. The results achieved point to the relationship between SUS and the need to protect sensitive data and good practices in information security, with direct impact on patient privacy. From the results, it was concluded that the SUS will be eminently impacted by GDPL and, given the importance of its information technology structure, it should take diligent and fast measures to comply with the Law.

La Ley General de Protección de Datos, promulgada en Brasil en 2018, reflexionó sobre el movimiento internacional para la preservación de principios fundamentales como la privacidad, la intimidad, el honor, la dirección de la imagen y la dignidad humana. El propósito de este estudio es determinar en qué medida el sistema público del sistema público brasileño se verá afectado por la publicación de la Ley e indicar eventuales caminos a seguir en esta dirección. Esta es una investigación cualitativa, descriptiva y exploratoria que utiliza el método deductivo con análisis de artículos y orden legal. Los resultados obtenidos apuntan a la estrecha relación entre el SUS y la necesidad de proteger los datos confidenciales y las buenas prácticas en seguridad de la información, con impacto directo en la privacidad del paciente. Con base en los resultados, se concluye que el SUS se verá afectado de manera eminente por la LGPD y, dada la imposición de su estructura de tecnología de la información, será necesario adoptar medidas diligentes y rápidas para su enmienda a la Ley.

Modelo de evaluación de requerimientos de privacidad, seguridad y calidad de servicio para aplicaciones médicas móviles / Model of assessment of requirements of privacy, security and quality of service for mobile medical applications

Resumen Introducción: El desarrollo de tecnologías móviles ha facilitado la creación de aplicaciones mHealth, las cuales son consideradas herramientas clave para la atención segura y de calidad a los pacientes de poblaciones apartadas y con carencia de infraestructura para la prestación de servicios de salud. El artículo considera una propuesta de un modelo de evaluación que permite determinar las debilidades y vulnerabilidades a nivel de seguridad y calidad de servicio (QoS) en aplicaciones mHealth. Objetivo: Realizar una aproximación de un modelo de análisis que apoye la toma de decisiones referentes al uso y producción de aplicaciones seguras, minimizando el impacto y la probabilidad de ocurrencia de los riesgos de seguridad informática. Materiales y métodos: El tipo de investigación aplicada es de tipo descriptivo, debido a que se detallan cada una las características que deben tener las aplicaciones móviles de salud para alcanzar un nivel de seguridad óptimo. La metodología utiliza las normas que regulan las aplicaciones y las mezcla con técnicas de análisis de seguridad, empleando la caracterización de riesgos planteadas por Open Web Application Security Project -OWASP y las exigencias de QoS de la Unión Internacional de Telecomunicaciones -UIT. Resultados: Se obtuvo un análisis efectivo en aplicaciones reales actuales, lo que muestra sus debilidades y los aspectos a corregir para cumplir con parámetros de seguridad adecuados. Conclusiones: El modelo permite evaluar los requerimientos de seguridad y calidad de servicio (QoS) de aplicaciones móviles para la salud que puede ser empleado para valorar aplicaciones actuales o generar los criterios antes de su despliegue.

Abstract Introduction: The development of mobile technologies has facilitated the creation of mHealth applications, which are considered key tools for safe and quality care for patients from remote populations and with lack of infrastructure for the provision of health services. The article considers a proposal for an evaluation model that allows to determine weaknesses and vulnerabilities at the security level and quality of service (QoS) in mHealth applications. Objective: To carry out an approximation of a model of analysis that supports the decision making, concerning the use and production of safe applications, minimizing the impact and the probability of occurrence of the risks of computer security. Materials and methods: The type of applied research is of a descriptive type, because each one details the characteristics that the mobile health applications must have to achieve an optimum level of safety. The methodology uses the rules that regulate applications and mixes them with techniques of security analysis, using the characterization of risks posed by Open Web Application Security Project-OWASP and the QoS requirements of the International Telecommunication Union-ITU. Results: An effective analysis was obtained in actual current applications, which shows their weaknesses and the aspects to be corrected to comply with appropriate security parameters. Conclusions: The model allows to evaluate the safety and quality of service (QoS) requirements of mobile health applications that can be used to evaluate current applications or to generate the criteria before deployment.

Regulação de segurança da informação eletrônica em saúde: visão geral / Safety regulation of health electronic information: an overview / Regulación de la seguridad de la información electrónica de salud: una visión general

Objetivo: Classificar os aspectos reguladores necessários ao atendimento das exigências legais de segurança de dados em Sistemas de Registro Eletrônico de Saúde (S-RES). Método: Estudo de revisão narrativa e qualitativo. Uma busca sistemática por artigos científicos foi realizada, seguida por pesquisa e análise de referências sobre regulamentação. Resultados: Cinco documentos reguladores foram selecionados, assim como as referências que estes usaram, para a produção de um dígrafo de citações. Os documentos foram avaliados sobre sua importância e contribuição. Uma categorização para seus conteúdos foi proposta. Conclusão. Os documentos reguladores são classificados como: (i) especificações técnicas que orientam o emprego do objeto a que se destina; (ii) regras, tais como: leis, projetos de lei, medidas provisórias, resoluções de conselhos federais de saúde, decretos e portarias; (iii) critérios de qualidade para S-RES; e (iv) políticas de gestão.

Objective: To classify the norms required to meeting the legal requirements of data security in Electronic Health Record Systems (EHR-S). Method: Narrative and qualitative review of studies. A systematic search was conducted for scientific papers, followed by research and analysis of references about regulation. Results: Five regulatory documents were selected, and their references used for the production of a corresponding digraph. The documents were evaluated on their importance and contribution. An categorization for their content was proposed. Conclusion: Regulatory documents were classified as: (i) technical specification that guide the use of the object to which it refers; (ii) rule, such as law, bill, provisional measure of federal health advice resolutions, decree and order; (iii) quality criteria for EHR-S; and (iv) management policy.

Objetivo: Clasificar los aspectos reguladores necesarios para cumplir con los requisitos legales de seguridad de los datos en el Sistemas de Registro de Salud Electrónicos (S-RES). Método: Estudio del revisión narrativa y cualitativa. Una búsqueda sistemática del artículos científicos fue realizado, seguido de la investigación y el análisis de las referencias sobre regulación. Resultados: Se seleccionaron cinco documentos normativos, y estas referencias utilizadas para la producción de un dígrafo. Los documentos fueron evaluados por su importancia y contribución. Se propuso una clasificación de su contenido. Conclusión: El documentos normativos se clasifican en: (i) las especificaciones técnicas que guían el uso del objeto al que se refiere; (ii) las reglas, como las leyes, proyectos de ley, las medidas provisionales, las resoluciones del asesoramiento federales de salud, decretos y portarias; (iii) los criterios de calidad para la S-RES; y (iv) las políticas de gestión.

Health Information System (HIS) security standards and guidelines history and content analysis / Estudo cronológico e de conteúdo de normas de segurança da informação para Sistemas de Informação em Saúde (SIS) / Estudio cronológico y del contenido de normas de seguridad de información para los Sistemas de Información Sanitaria (SIS)

Objective: This article provides for identification and content study of main standards and guidelines used to support Health Information System (HIS) development. Method: Standards deemed used as reference by SIS developers were list. The different cited standardization organizations' production was assess for history and content analysis. Cited documents were acquire and its contents automatically extracted for study. We manually listed all references to outer content declared within assessed documents. Then, we apply different text analysis methods to decompose, link and correlate the content to disclose inner relationships. Results: Document similarity analysis on standards resulted between 5% to 89%. A total of 440 outer-connections were found. The most influential documents according to Betweeness-Centrality and average-path from these connections were casted. The density found on this graph is 0,6%. Conclusion: This study provided for a better understanding of existing HIS standards.

Objetivo: O objetivo deste trabalho é identificar os principais documentos utilizados como referência para construção de Sistemas de Informação em Saúde (SIS) e estudar seu conteúdo. Método: Identificamos referências utilizadas por desenvolvedores de SIS. Listamos e identificamos cronologicamente a produção das entidades normativas citadas. Adquirimos os documentos citados e em seguida extraímos automaticamente seu conteúdo para estudo. De forma manual, listamos todas as referências internas desses documentos a outras normas. Aplicamos então diferentes métodos de análise de texto para resumir, decompor e correlacionar o teor do conjunto. Resultados: As análises identificaram similaridades entre os documentos, variando de 5% à 89%. Por meio da análise de referências externas, localizamos 440 ligações. As normas mais influenciadoras no conjunto foram elencadas segundo índice Betweeness-Centrality. A densidade dessas ligações entre os documentos é de 0,6%. Conclusão: Por meio de estudo histórico e de conteúdo, promovemos um melhor entendimento de normas existentes.

Objetivo: Este artículo describe el estudio de identificación y contenido de las principales normas y directrices utilizadas para apoyar a lo desarrollo de Sistemas de Información de Salud (SIS). Método: Identificamos las normas utilizadas como referencia por desarrolladores de SIS. Enumerados y identificamos por orden cronológico la producción de los organismos reguladores mencionados. Adquirimos los documentos citados y extraemos automáticamente su contenido para estudiar. Manualmente, listamos todas las referencias internas de estos documentos mencionando otras publicaciones. Em seguida, aplicamos diferentes métodos de análisis de texto para resumir, descomponer y correlacionar todo el contenido. Resultes: Análisis de similitud documento de estándares resultó entre 5 % a 89 %. Se encontró un total de 440 conexiones externas a ellos. Se descubrió los documentos más influyentes según métrica Betweenes-Centrality. La densidad medida en esta red es del 0,6%. Conclusión: Através del estudio histórico y de contenido de normas existentes, logramos a promover su mejor comprensión.

Autenticação multi-fator para telemedicina usando dispositivos móveis e senhas descartáveis / Multi-factor authentication for telemedicine using mobile devices and one-time passwords / Autenticación multi-factor para telemedicina utilizando dispositivos móviles y contraseñas desechables

Sistemas de telemedicina necessitam de serviços de autenticação fortes para garantir o sigilo e a privacidade dos dados e, ao mesmo tempo flexíveis para atender as necessidades de profissionais e pacientes. O foco deste trabalho é a validação de um novo processo de autenticação. Propomos um serviço de autenticação voltado à telemedicina baseado em tecnologias de web services. Este serviço faz uso de métodos de autenticação escaláveis e baseados em duplo fator. Uma de suas principais características é a flexibilidade na configuração dinâmica dos mecanismos de autenticação. Neste trabalho apresentamos brevemente a engenharia de requisitos do sistema de segurança e alguns detalhes da sua implementação. Também apresentamos resultados de um primeiro estudo de validação com usuários.

Telemedicine systems require authentication services that are strong enough to ensure confidentiality and privacy of data and, at the same time, flexible to meet the needs of professionals and patients. The focus of this paper isthe validations of a new authentication process. We propose an authentication service for telemedicine based on web services. This service employs scalable authentication methods based upon a dual authentication factor. One of its main characteristics is flexibility in the dynamic configuration of the authentication mechanisms. In this paper we dealbriefly with the requirements engineering of the security system and some details of its implementation. We also presentthe results of a first validation study with users.

A importância da engenharia da usabilidade para a segurança de sistemas informatizados em saúde / The importance of usability engineering for the security of information systems in health / La importancia de la Ingeniería de la Usabilidad para la Seguridad de los Sistemas de Información en Salud

Objetivos: É salientar a contribuição da engenharia da usabilidade para a segurança de um sistema informatizado em saúde. Métodos: Pesquisa constituída de livros, artigos e materiais disponibilizados na Internet. São poucas as pesquisas em desenvolvimento de sistemas seguros e menos ainda, focados à engenharia da usabilidade, a qual é comumente vista como aliada apenas à engenharia de software. É preciso mudar esta visão. Resultados: São apresentados exemplos de falhas de segurança por falta de usabilidade, assim como tópicos da usabilidade relacionados à segurança da informação. Conclusão: Esse artigo contribui para o desenvolvimento e a operação de um sistema de informação em saúde funcional e seguro.

Objectives: Of this paper is to highlight the contribution of usability engineering for the security of a system computerized in health. Methods: Was used, consisting of books, articles and materials available on the Internet. There is little research in developing secure systems and even less focused on usability engineering, which is commonly seen as an ally only to software engineering. It is necessary to change this view. Results: This paper provides examples of security flaws due to lack of usability, as well as topics of usability related to information security. Conclusion: Thus, this paper contributes to the development and operation of a system computerized in health functional and secure.

Objetivos: Trabajo es poner de relieve la contribución de la ingeniería de usabilidad para la seguridad de la salud informatizados. Métodos: Utilizó de la investigación basada en libros, artículos y materiales disponibles en Internet. No hay mucha investigación en el desarrollo de sistemas seguros y menos centrada en la ingeniería de usabilidad, que es comúnmente vista como una aliada único para la ingeniería de software. Es necesario cambiar este punto de vista. Resultados: Son ejemplos de fallos de seguridad debido a la falta de usabilidad, así como temas relacionados con la usabilidad de seguridad de la información. Conclusión: Por lo tanto, este trabajo contribuye al desarrollo y operación de un sistema de información de salud funcional y seguro.

Infraestrutura de segurança para comunicação, autenticação e autorização transparentes em hospitais federados / Security infrastructure for transparent communication, authentication and authorization in federated hospitals / Infraestructura de seguridad para la comunicación, autenticación y autorización transparentes en hospitalesfederados

A interação entre sistemas e profissionais de saúde de diferentes instituições, por meio da tecnologia, permite que recursos, tais como dados clínicos, transpassem barreiras geográficas e contribuam, desta forma, no cuidado ao paciente. Todavia, este ambiente se depara com os desafios da autenticação e autorização em ambientes distribuídos e autônomos e, ainda, com outras questões de segurança divididas nas seguintes áreas interligadas: sigilo, autenticação, disponibilidade, não-repúdio e controle de integridade. Assim, este trabalho define um modelo capaz de abstrair parte da complexidade na comunicação distribuída, entre centros de saúde, com ênfase na segurança, de maneira a oferecer uma base confiável e transparente para autenticação e autorização federada neste cenário. Padrões de Segurança para Serviços Web, como SAML e XACML, foram utilizados para promover a interoperabilidade e transposição de atributos dos usuários e das políticas de controle de acesso entre os Hospitais Federados. Redes Virtuais Privadas e o protocolo Lightweight Directory Access (LDAP) formaram a base para o estabelecimento dos elos de comunicação, de forma escalável e distribuída. A combinação dos padrões, protocolos e ferramentas possibilitou a elaboração de um modelo capaz de localizar dados de pacientes, espalhados por diversos hospitais, com tratamento dinâmico do controle de acesso as dados.

The interaction between health systems and professionals from different institutions, through technology, allows resources such as clinical data, to overcome geographical barriers and thus, contribute in patient care. However, this environment is faced with the challenges of authentication and authorization in distributed and autonomous environments, and also with security issues divided into the following interrelated areas: confidentiality, authentication, availability, non-repudiation and integrity control. So, this paper defines a model capable of abstracting part of the complexity in distributed communication between health centers, with emphasis on safety, to provide a reliable and transparent basis for authentication and federated authorization in this scenario. Security Standards for Web Services, such as SAML and XACML, were used to promote interoperability and implementation of attributes of users and access control policies among federal hospitals.Virtual Private Networks and the Lightweight Directory Access Protocol (LDAP) formed the basis for the establishment of communication links, in a scalable and distributed way. The union of these standards, protocols and tools made possible the development of a model able to locate patient data, scattered across several hospitals, treated with dynamic access control.

La interacción entre los sistemas y profesionales de salud de diferentes instituciones, a través de la tecnología, permite que recursos como datos clínicos, superen las barreras geográficas y contribuan, por lo tanto en la atención al paciente. Sin embargo, este ambiente enfrenta a los desafíos de autenticación y autorización em ambientes distribuídos y autónomos, y también con otros problemas de seguridad divididas en las siguientes áreas interrelacionadas: la confidencialidad, la autenticación, la disponibilidad, no repudio y control de la integridad. Por lo tanto, el presente documento define un modelo capaz de abstrair parte de la complejidad en la comunicación distribuida entre los centros de salud, com énfasis en la seguridad con el fin de proporcionar una base confiable y transparente para la autenticación y la autorización federada en este escenario. Padrões de Seguridad para Servicios Web, SAML y XACML fueron utilizados para promover la interoperabilidad y la transposición de los atributos de los usuarios y las políticas de control de acceso entre los hospitales federales. Redes Virtuales Privadas y el Lightweight Directory Access Protocol (LDAP) sirvieron de base para el establecimiento de vínculos de comunicación, en una solución escalable y distribuida. La combinación de padrões, protocolos y herramientas hizo posible el desarrollo de un modelo capaz de localizar los datos del paciente, dispersos en vários hospitales, con tratamiento dinámico del control de acceso a los mismos.

Carta al editor / Letter to editor

La Informática ha llegado a nuestras vidas y las nuevas tecnologías de la informática y las telecomunicaciones (TIC) han venido a nosotros además, como herramientas de trabajo para facilitarnos lo que hace años era muy difícil de lograr, pero en la misma medida en que las nuevas tecnologías favorecen y enriquecen nuestro trabajo diario, crean nuevas preocupaciones

Carta al editor / Letter to editor

La Informática ha llegado a nuestras vidas y las nuevas tecnologías de la informática y las telecomunicaciones (TIC) han venido a nosotros además, como herramientas de trabajo para facilitarnos lo que hace años era muy difícil de lograr, pero en la misma medida en que las nuevas tecnologías favorecen y enriquecen nuestro trabajo diario, crean nuevas preocupaciones