Linkage de bases de dados identificadas em saúde

Transcrição

UNIVERSIDADE FEDERAL DO RIO DE JANEIRO
MÁRCIA ELIZABETH MARINHO DA SILVA
Linkage de bases de dados identificadas em saúde:
consentimento, privacidade e segurança da informação.
Rio de Janeiro
2012
MÁRCIA ELIZABETH MARINHO DA SILVA
consentimento, privacidade e segurança da informação.
Tese apresentada ao Programa de
Pós-Graduação em Saúde Coletiva,
Instituto de Estudos em Saúde
Coletiva, Universidade Federal do
Rio de Janeiro, com vistas à
obtenção do título de Doutora em
Saúde Coletiva.
Orientadora: Profª Cláudia Medina Coeli
Rio de Janeiro
2012
Catalogação na fonte
Instituto de Estudos em Saúde Coletiva
Biblioteca
S586
Silva, Márcia Elizabeth Marinho da
consentimento, privacidade e segurança da informação. / Márcia
Elizabeth Marinho da Silva. Rio de Janeiro : UFRJ/Instituto de
Estudos em Saúde Coletiva, 2012.
151 f., tab., graf.
Orientador: Cláudia Medina Coeli
Tese (Doutorado) – Universidade Federal do Rio de Janeiro,
2012.
Referências: f.
1. Sistemas de Informação. 2. Bases de dados como assunto.
3. Segurança (Computação). 4. Ética em Pesquisa. 5.
Privacidade. I. Coeli, Cláudia Medina. II. Universidade Federal do
Rio de Janeiro. Instituto de Estudos em Saúde Coletiva. III. Título.
CDD 025.52
Dedicatória
Dedico este trabalho a todos os profissionais que produzem informações
em saúde no Brasil, lutando para construir sistemas de informação eficientes e
confiáveis.
A todos os gestores, que sustentam o funcionamento do sistema de
saúde, possibilitando que os cidadãos possam ter sua saúde assistida.
A todos os pesquisadores que lidam com linkage, produzindo
conhecimento para melhorar as vidas das pessoas.
Aos usuários do sistema de saúde brasileiro, que na origem de tudo,
alimentam a cadeia de sistemas de informação quando fornecem seus dados
nos atendimentos.
E no âmbito pessoal, dedico este trabalho ao meu amado esposo,
Vanderlei, que sempre me incentivou a cursar o doutorado e que apoiou cada
momento deste período de dedicação aos estudos. Aos meus filhos queridos,
Rafaela e Gabriel, que também são estudantes. Que a jornada deste doutorado
possa servir de inspiração à perseverança na busca de objetivos de longo
prazo.
Agradecimentos
A todas as pessoas que, de alguma forma, contribuíram para esta
pesquisa. Ainda que não seja possível citar todas, que estejam representadas
naquelas aqui mencionadas.
À professora Cláudia Medina Coeli, minha orientadora e amiga, que
despertou a centelha desta pesquisa. Obrigada pela generosidade e dedicação
em ajudar a achar os caminhos desta tese.
Aos amigos Kenneth Rochel Camargo Jr., Miriam Ventura, Marisa
Palácios, Thaís Medina, Mônica Magnanini e Eduardo Assad, que contribuíram
neste estudo com sua valiosa participação.
Aos dirigentes dos locais em que trabalhei: Ministério da Saúde, no
Departamento de Informática do SUS (DATASUS) e Agência Nacional de
Saúde Suplementar (ANS), cujo apoio foi determinante para que eu pudesse
conciliar minha atividade profissional com a acadêmica. Registro o meu
agradecimento aos senhores Ernani Bandarra e Luís Gustavo Loyola dos
Santos, diretores do DATASUS, e Maurício Ceschin, Leandro Reis Tavares,
Bruno Sobral de Carvalho e Wladmir Ventura de Souza, da ANS.
A Cláudia Risso de Araújo Lima, Ceres Albuquerque e Márcia Franke
Piovesan, que foram mais do que minhas gerentes. Foram amigas que
incentivaram a perseverar no curso do doutorado.
À minha equipe de trabalho, na qual confio e da qual reconheço o
enorme valor de sua parceria. Muito obrigada a este time que “segura o rojão”
com dedicação e garra.
À Daniele Silveira (ANS), por ter me apresentou à International Health
Data Linkage Network (IHDLN), que foi fundamental para esta pesquisa.
Aos colegas da Comissão de Estudo Especial de Informática em Saúde
da Associação Brasileira de Normas Técnicas (ABNT/CEE-78). Agradeço pela
motivação e pelo muito que aprendi ao participar deste grupo de excelência,
pavimentando importantes conceitos para esta tese.
À minha mãe Odette, minha madrinha Noêmia, aos meus queridos
irmãos e aos meus estimados familiares do Rio de Janeiro e do Rio Grande do
Sul, meu agradecimento pela compreensão com a minha ausência do convívio
em tantas ocasiões.
À Mary, meu anjo da guarda em casa, que cuida tão bem de todos da
nossa família e que soube “pilotar” a rotina doméstica para que eu pudesse
estudar.
Aos meus amores: Vanderlei, Rafaela e Gabriel, pois mais do que torcer
e rezar para que eu prosseguisse nessa missão, souberam compreender a
minha ausência.
A Jesus Cristo, meu mestre e senhor, que foi o sustento do meu espírito
ao longo desta jornada, luz nos momentos de escuridão e amparo nos
momentos de dificuldade.
Muito obrigada!
Resumo
Em um mundo cada dia mais digital, sistemas de informação registram quase
todos os tipos de dados em diversas áreas da vida dos cidadãos: educação,
saúde, trabalho, lazer, renda, entre outras. O acervo de bases de dados pode
ter seu uso potencializado se for possível relacionar seus registros e obter
novas informações derivadas destes relacionamentos. A técnica de Record
Linkage tem sido proficuamente empregada para fins de pesquisas em saúde
com uso secundário de bases de dados administrativas. Apesar dos benefícios
obtidos, este uso suscita discussões sobre privacidade, tais como se deve ser
obtido o consentimento de cada indivíduo cujos dados estão contidos nas
bases de dados. Esta pesquisa objetivou estudar os aspectos éticos
relacionados ao consentimento dos indivíduos para a realização de linkage
com seus dados pessoais de saúde, assim como aspectos operacionais e
normativos
relacionados
à
segurança
da
informação,
especialmente
confidencialidade, em organizações que realizam linkage de forma sistemática.
Buscou-se revisar sistematicamente estudos que avaliaram a proporção de
consentimento para Record Linkage. Foram pesquisadas oito bases de dados
até Junho de 2011 para encontrar artigos que apresentassem a proporção de
consentimento para linkage. A pesquisa, a elegibilidade e a inclusão dos
artigos foram feitas por dois revisores independentes. Foi realizada metaregressão, análise de subgrupo e análise de sensibilidade para avaliar a
heterogeneidade entre os estudos. Dos 141 estudos identificados, somente 11
apresentaram proporções empíricas de consentimento. A proporção de
consentimento
variou
amplamente
entre 39%
e
97%.
Sete
estudos
apresentaram proporções de consentimento maiores ou iguais a 88%. Um
apresentou de 72% e somente três estudos apresentaram proporções iguais ou
menores que 53%. Nenhuma das características dos estudos explicou a alta
heterogeneidade encontrada. Os resultados desta revisão mostraram que, em
geral, os indivíduos tendem a consentir o uso de seus dados para linkage,
exceto em populações específicas ou minorias. A partir deste resultado,
buscou-se identificar práticas de segurança da informação relevantes para
organizações que realizam linkage de forma sistemática. Foram pesquisadas
experiências internacionais de unidades de data linkage a partir da literatura e
do catálogo de membros da International Health Data Linkage Network
(IHDLN).
Em
complemento,
foram
pesquisadas
normas
técnicas
da
International Standardization Association (ISO) sobre segurança da informação
em saúde. Foram identificadas quatorze organizações em quatro países:
Austrália, Canadá, Escócia e Estados Unidos. Foram selecionadas seis normas
para análise aprofundada. Ao final, foi constituído um conjunto de 75 práticas
relevantes para a segurança da informação em unidades de data linkage, que
servirão para o debate sobre o assunto. Acreditamos que as conclusões desta
pesquisa, assim como a literatura citada, subsidiarão políticas públicas, que
estabeleçam a aplicação de controles éticos e tecnológicos relevantes,
permitindo a realização de pesquisas com bases de dados administrativas sem
a necessidade de consentimento individual para cada estudo.
Palavras-chave: Sistemas de informação; Bases de dados como assunto;
Segurança (Computação); Ética em pesquisa; Privacidade.
Abstract
In an increasingly digital world, information systems encompass almost all data
types in many areas of people's lives: education, health, work, leisure and
income, among others. The collection of databases may have its use enhanced
if it is possible to relate their records and new information derived from these
relationships. The Record Linkage technique has been usefully employed for
purposes of health research with secondary use of administrative databases.
Despite the benefits obtained, this use raises discussions about privacy; such
as whether to obtain the consent of each individual whose data is contained in
the databases. This research aimed to study the ethical aspects related to the
consent of individuals regarding the linkage of their personal health data, as
well as regulatory and operational aspects related to information security,
especially confidentiality in organizations that perform linkage in a systematic
way. We sought to systematically review studies that evaluated the proportion
of consent for Record Linkage. We searched eight databases until June 2011 to
find articles that presented the proportion of consent for linkage. Two
independent reviewers made the research, the eligibility and the inclusion of
articles. We performed meta-regression, subgroup analysis and sensitivity
analysis to assess the heterogeneity between studies. Of 141 studies identified,
only 11 had empirical proportions of consent. The consent proportion ranged
widely between 39% and 97%. Seven studies showed proportions of consent
greater than or equal to 88%. One showed 72% and only three studies had
proportions equal to or less than 53%. None of the characteristics of the study
explained the high heterogeneity found. The results of this review showed that,
in general, individuals tend to consent to the use of their data for linkage, except
in specific populations or minorities. Based on this result, we aimed to identify
information security practices relevant to organizations that perform linkage in a
systematic way. We searched international experiences of data linkage units
from the literature and from the catalog of members of the International Health
Data Linkage Network (IHDLN). In addition, we surveyed technical standards of
the International Association for Standardization (ISO) on health information
security. We found fourteen organizations in four countries: Australia, Canada,
Scotland and the United States. Six standards were selected for deep analysis.
At the end, we organized a set of 75 practices relating to information security in
data linkage units, which will be of use to the debate on the subject. We believe
that the findings of this research, as well as the literature cited, will subsidize
public policies that establish the application of relevant technological and ethical
controls, allowing the realization of research with administrative databases
without the need for individual consent for each study.
Key words: Information systems; Databases as topic; Computer security;
Ethics, Research; Privacy.
Sumário
Apresentação.................................................................................................. 19
1
Introdução ............................................................................................... 21
1.1
Linkage de bases de dados.......................................................... 21
1.2
Privacidade e confidencialidade em saúde .................................. 23
1.3
Impacto na pesquisa em saúde.................................................... 26
1.4
Unidades de data linkage ............................................................. 30
1.5
Segurança da informação em saúde............................................ 31
1.6
Normas técnicas e conformidade ................................................. 33
1.7
Cenário atual ................................................................................ 37
2
Justificativa ............................................................................................. 38
3
Objetivos ................................................................................................. 44
4
Método – Fases da Pesquisa ................................................................. 45
5
Estudo sobre proporção de consentimento para linkage ....................... 46
6
7
8
9
5.1
Métodos ........................................................................................ 46
5.2
Resultados .................................................................................... 48
Estudo sobre experiências internacionais de unidades de data linkage 53
6.1
Métodos ........................................................................................ 53
6.2
Resultados .................................................................................... 57
Estudo de normas técnicas sobre segurança da informação .............. 106
7.1
Métodos ...................................................................................... 106
7.2
Resultados .................................................................................. 107
Discussão ............................................................................................. 117
8.1
Consentimento para linkage....................................................... 117
8.2
Experiências de Unidades de Data Linkage .............................. 120
8.3
Normas técnicas de segurança da informação e saúde ............ 127
8.4
Cenário no Brasil e proposta para debate.................................. 130
Considerações Finais ........................................................................... 136
Referências................................................................................................... 137
Apêndice – Artigo ......................................................................................... 146
Lista de Figuras
Figura 01 - Série temporal de publicações sobre linkage .............................. 38
Figura 02 - Diagrama das fases da pesquisa................................................. 45
Figura 03 – Fluxograma da revisão sistemática............................................. 49
Figura 04 - Fluxograma de seleção das experiências incluídas no estudo ... 54
Figura 05 - Localização das unidades de data linkage incluídas................... 59
Figura 06 - Localização das unidades de data linkage da Austrália .............. 62
Figura 07 - Modelo do processo de linkage australiano ................................ 68
Figura 08 - Localização das unidades de data linkage do Canadá ............... 72
Figura 09 – Segregação física de ambientes do POPDATABC .................... 76
Figura 10 – Segregação de ambientes computacionais do POPDATABC.... 76
Figura 11 - Localização da unidade de data linkage da Escócia ................... 89
Figura 12 - Localização da unidade de data linkage dos Estados Unidos .... 93
Figura 13 - Síntese das práticas selecionadas, por dimensão e assunto...... 95
Lista de Tabelas
Tabela 01 – Estudos incluídos que avaliaram proporção de consentimento. 51
Tabela 02 – Variáveis associadas à proporção de consentimento................ 52
Lista de Quadros
Quadro 01 – Estratégia de Pesquisa .......................................................................... 47
Quadro 02 – Experiências Internacionais - dimensões e variáveis estudadas .......... 56
Quadro 03 – Unidades de data linkage incluídas no estudo ...................................... 58
Quadro 04 - Práticas relevantes para segurança em unidades de data linkage ........ 96
Quadro 05 – Normas ISO estudadas ........................................................................ 108
Lista de Abreviaturas e Siglas
ABNT
Associação Brasileira de Normas Técnicas, Brasil.
ABNT/CEE78
ABNT / Comissão de Estudo Especial de Informática em Saúde,
Brasil.
ABNT-NBR
ABNT Norma Brasileira
ANS
Agência Nacional de Saúde Suplementar, Brasil.
BC
British Columbia, Canada
BCLHD
British Columbia Linked Health Database, Canada
CDL
Centre for Data Linkage, Australia.
CD-LINK
Ontario Data Linkage Project, Canadá.
CFM
Conselho Federal de Medicina, Brasil.
CHEREL
Center for Record Linkage, Australia
CHI
Community Health Index
CHSPR
Centre for Health Services and Policy Research, Canada
CIINFO
Comitê de Informação e Informática, Ministério da Saúde, Brasil.
CIOMS
Council for International Organizations of Medical Sciences
CNS
Conselho Nacional de Saúde, Brasil.
CONEP
Comissão Nacional de Ética em Pesquisa do CNS, Brasil.
CPF
Cadastro de Pessoa Física
DL
Data Linkage
DLB-WA
Data Linkage Branch of Western Australia, Australia
DLU
Data Linkage Unit
FIOCRUZ
Fundação Oswaldo Cruz, Brasil.
GAO
General Accounting Office - United States
HIPAA
Health Insurance Portability and Accountability Act
HL7
Health Level 7 Institute
HLQ
Health Linq, Australia
ICES
Institute for Clinical Evaluative Sciences
IEC
International Electrotechnical Commission
IHDLN
International Health Data Linkage Network
INC
Instituto Nacional de Cardiologia, Brasil.
INCA
Instituto Nacional do Câncer, Brasil.
InfoSource
Index of Standard Personal Information Banks
INMETRO
Instituto Nacional de Metrologia, Qualidade e Tecnologia, Brasil.
IOM
Institute of Medicine – United States
IS
Informática em Saúde
ISD-MRL
Information Services Division – Medical Record Linkage, Scotland,
UK
ISO
International Standardization Association
ISO/IEC/JTC1
Joint Technical Committee on Information Technology
ISO/TC
ISO Technical Committee
ISO/TC215
ISO / Technical Committee 215 Health Informatics
ISO-DIS
ISO Draft of International Standard
ISO-FDIS
ISO Final Draft of International Standard
ISO-IS
ISO International Standard
ISO-TR
ISO Technical Report
ISO-TS
ISO Technical Specification
MCHP
Manitoba Centre for Health Policy, Canada.
MCHP
Manitoba Centre for Health Policy
MS
Ministério da Saúde, Brasil.
MS/DATASUS
Departamento de Informática do SUS, Ministério da Saúde, Brasil.
MS/SAS
Secretaria de Assistência à Saúde, Ministério da Saúde, Brasil.
MS/SVS
Secretaria de Vigilância em Saúde, Ministério da Saúde, Brasil.
NHS
National Health System, United Kingdom.
NSS
National Services Scotland, Scotland.
ORLS
Oxford Record Linkage Study
PHIN
Personal Health Information Number
PHRDR
Population Health Research Data Repository
PHRN
Population Health Research Network
PHRU
Population Health Research Unit, Canada
PHRU
Population Health Research Unit
PIA
Privacy Impact Assessment
POPDATABC
Population Data British Columbia, Canada.
PRISMA
Preferred Reporting Items for Systematic Reviews and MetaAnalyses
PUBMED
PubMed
RDAF
Research Data Access Framework
RDC
Register of Data Controllers
REP
Rochester Epidemiology Project, United States.
RIS
Registro Integrado de Informações em Saúde
RL
Record Linkage
SANT-DL
South Australia and Northern Territory Linkage Consortium,
Australia.
SBIS
Sociedade Brasileira de Informática em Saúde
SC
Statistics Canadá, Canada.
SFU
Simon Fraser University, Canada.
SGSI
Sistema de Gestão de Segurança da Informação
SIHSUS
Sistema de Informações Hospitalares do SUS
SINASC
Sistema de Informações de Nascidos Vivos
SMS-JF/MG
Secretaria Municipal de Saúde de Juiz de Fora, Minas Gerais,
Brasil.
(SMS-Rio)
Secretaria Municipal do Rio de Janeiro, Rio de Janeiro, Brasil.
S-RES
Sistemas de Registro Eletrônico de Saúde
SURE
Secure Unified Reseach Environment
SUS
Sistema Único de Saúde
TCLE
Termo de Consentimento Livre e Esclarecido
TDLU
Tasmanian Data Linkage Unit, Australia.
TI
Tecnologia da Informação
TTP
Trusted-Third-Party
UBC
University of British Columbia, Canada.
UDL
Unidade de Data Linkage
UFMG
Universidade Federal de Minas Gerais, Brasil.
UFRJ
Universidade Federal do Rio de Janeiro, Brasil.
UNIRIO
Universidade Federal do Estado do Rio de Janeiro, Brasil.
UoM
University of Manitoba
US-HHS
United States Department of Health and Human Services
USP
Universidade de São Paulo, Brasil.
UVIC
University of Victoria, Canada.
UWA
University of Western Australia, Australia.
VDL
Victorian Data Linkages, Australia.
Apresentação
Neste trabalho abordaremos questões relacionadas à segurança
e privacidade das informações de saúde armazenadas em sistemas
mantidos por instituições públicas e privadas que realizam linkage
sistematicamente. Foi estudado o uso destas informações para fins de
pesquisa e como os pesquisadores e indivíduos sujeitos aos cuidados
de saúde lidam com o consentimento informado para este uso.
O trabalho congrega aspectos dos campos da Saúde Coletiva,
Ética em Pesquisa e Informática em Saúde, tendo como produto a
identificação de práticas básicas para estabelecer salvaguardas éticas
essenciais e aprimorar a segurança da informação, com o propósito de
proteger a privacidade das informações pessoais dos indivíduos
sujeitos à atenção em saúde.
Esta tese está estruturada em 8 capítulos.
O capítulo 1 é dedicado à introdução sendo discutidos os
aspectos relacionados aos conceitos de linkage, ética em saúde,
privacidade, segurança da informação, normalização e certificação de
conformidade.
No capítulo 2, a partir de uma contextualização, é apresentada a
justificativa para a realização desta pesquisa e no capítulo 3 são
apresentados seus objetivos.
O desenvolvimento desta pesquisa foi feito em duas fases. Na
primeira, o foco foi o consentimento dos indivíduos para linkage com
dados de saúde. Na segunda fase, o foco foi segurança das
informações de saúde, com seu tratamento por organizações que
realizam linkage sistemático para pesquisa em saúde e seus padrões
de segurança. Para tal, foi realizado também o estudo de normas
técnicas sobre segurança.
Dada natureza diferenciada dos objetivos deste estudo, optouse por descrever os métodos e resultados específicos separadamente.
Assim, o capítulo 4 aborda o estudo sobre consentimento para linkage,
o capítulo 5 trata do estudo sobre as experiências internacionais de
unidades de data linkage e o capítulo 6 aborda normas técnicas de
segurança da informação voltadas para a área de saúde.
O capítulo 7 apresenta a discussão sobre os temas estudados,
bem como uma visão do cenário brasileiro e uma proposta para o
debate sobre o estabelecimento de unidades de data linkage no país.
O
capítulo
8
apresenta
as
considerações
finais
e
recomendações e o apêndice apresenta o artigo intitulado “Informed
consent for record linkage: a systematic review”, publicado no Journal
of Medical Ethics.
Esperamos que possa contribuir para o debate brasileiro sobre
uso secundário de bases de dados administrativas para fins de
pesquisa e potencializar este uso de forma ampla e segura, em última
análise, aprimorando a pesquisa em saúde no Brasil e a saúde dos
brasileiros.
21
1 Introdução
Em um mundo cada dia mais digital, sistemas de informação
registram quase todos os tipos de dados em diversas áreas da vida
dos cidadãos: educação, saúde, trabalho, lazer, renda, entre outras. O
acervo de bases de dados pode ter seu uso potencializado se for
possível relacionar seus registros e obter novas informações derivadas
destes relacionamentos.
1.1 Linkage de bases de dados
O relacionamento de registros (record linkage ou data linkage),
é definido por Herzog et al. (Herzog; Scheuren; Winkler, 2007) como a
junção de informações de dois registros que se acredita que se
relacionam com a mesma entidade - por exemplo, a mesma pessoa.
Isto poderá implicar a vinculação de registros de bases de dados
diferentes unidos em um único arquivo, seja para identificar registros
duplicados ou para associar outros dados desta mesma pessoa.
A técnica de record linkage tem sido empregada para vincular
pessoas e eventos nos diversos sistemas de informação em saúde.
Este processo possibilita ações de vigilância e avaliação de serviços
de
saúde,
utilizando-se
bancos
de
dados
epidemiológicos
e
administrativos para a identificação de desfechos tais como óbitos,
hospitalizações, notificações de agravos e acompanhamento de
doenças crônico-degenerativas (câncer ou AIDS) (Camargo Jr.; Coeli,
2000) e potencializando os benefícios da manutenção de sistemas de
registros eletrônicos de saúde.
Quando existe um campo identificador único entre as bases de
dados a serem relacionadas, o relacionamento estabelecido é
determinístico e muito simples. Na ausência deste identificador, o
linkage probabilístico é uma das alternativas mais utilizadas.
22
Segundo Camargo & Coeli, (Camargo Jr.; Coeli, 2000) as
técnicas
de
relacionamento
automatizado
de
registros
foram
apresentadas por Newcombe no final da década de 50. (Newcombe et
al., 1959) Em 1969, Fellegi e Sunter (Fellegi; Sunter, 1969)
formalizaram o método matemático que é chamado de relacionamento
probabilístico de registros. Este método se baseia em três etapas, a
saber: a padronização de registros, a blocagem de registros (blocking)
e o pareamento de registros.
O uso do linkage probabilístico como método para relacionar
registros em diferentes bases de dados deve-se em grande parte à
indisponibilidade de um campo comum que permita a identificação de
cada registro de forma unívoca (por exemplo, o CPF) entre as distintas
bases de dados. Este método é baseado na utilização de combinações
de campos comuns (ex. nome, data de nascimento) presentes nas
bases
a
serem
relacionadas.
Estes
campos
são
utilizados
conjuntamente para o cálculo de um escore, que traduz o grau de
concordância entre os registros de cada link formado. Adicionalmente,
deve ser definida uma regra (valores de escores limiares) para a
classificação dos escores dos links indique se os pares dentro dos
limiares são verdadeiros ou se os que estão abaixo são falsos1.
(Camargo Jr.; Coeli, 2000; Jaro, 1995)
É importante diferenciar o significado dos termos data linkage e
data matching. (Victorian Data Linkages, VDL, 2012) Em ambos os
casos usa-se técnicas de record linkage, mas com diferentes
propósitos. O primeiro busca ligar dados a partir de casos, com o
objetivo claro de criar informação para uso em pesquisa, planejamento
de serviços e avaliação. Uma pequena margem de erros pode ser
tolerada no processo de linkage. Os resultados do linkage são usados
1
Neste trabalho não abordaremos os aspectos técnicos do processo de
linkage em si, tais como a estimativa dos parâmetros, os passos da blocagem, entre outros. O
foco do estudo é no acesso às informações utilizadas para o linkage em saúde, que são dados
de identificação de pessoas (tais como nome, data de nascimento e nome da mãe) e eventos
de saúde (internações, atendimentos, óbitos, diagnósticos, procedimentos realizados ou
tratamentos).
23
somente para análises estatísticas. No segundo busca-se ligar dados
de registros para identificar indivíduos a fim de prestar-lhes serviços
assistenciais. Nenhuma margem de erro pode ser admitida no
processo de linkage e os dados usados na prestação de serviços
precisam ser suficientes para a identificação do indivíduo.
As possibilidades de acesso a dados sensíveis de saúde
suscitam preocupações com a proteção da privacidade dos dados de
saúde dos indivíduos, que abordaremos a seguir.
1.2 Privacidade e confidencialidade em saúde
Apesar dos enormes benefícios que os registros eletrônicos de
saúde trazem para a gestão, vigilância e pesquisa em saúde, o
crescimento da disponibilidade de tecnologias que permitem o
armazenamento e transmissão de grandes quantidades de dados que,
em geral, incluem informações sensíveis (diagnósticos, por exemplo),
suscita questões de ordem ética sobre o acesso consentido a esses
registros, a garantia da privacidade dos indivíduos e os mecanismos de
segurança da informação.
O emprego de técnicas de linkage requer que, ao longo de suas
etapas, os profissionais que manipulam as bases de dados visualizem
registros que contém dados pessoais. Ao final dos processos
automatizados, em geral ainda é preciso realizar revisões visuais para
análise de pares com escores próximos ao limiar estabelecido, para os
quais há dúvida se são verdadeiros ou falsos (análise da “zona
cinzenta”). Além disso, há a possibilidade de descoberta de novas
informações a partir dos registros de dados relacionados entre si,
informações estas que não estariam visíveis se estes registros
permanecessem isolados.
O IOM abordou os conceitos de privacidade e confidencialidade
em saúde (IOM INSTITUTE OF MEDICINE, 2009a). Embora afirme
que não há uma definição universal para o conceito de privacidade,
considera-a como DIREITO fundamental de cada indivíduo de estar
livre de observações intrusivas. No contexto das informações de
24
saúde, entre outros aspectos, significa que o sujeito da atenção tem o
direito de decidir quais informações suas podem ser acessadas, por
quem, sob quais condições e para quais finalidades. Os mesmos
autores observam que o entendimento da sociedade sobre privacidade
está diretamente associado ao de confidencialidade e segurança,
sendo que muitas vezes estes conceitos são empregados de forma
sobreposta.
O conceito de confidencialidade refere-se ao DEVER de
salvaguardar as informações obtidas no contexto de uma relação de
intimidade, na qual a privacidade precisa ser protegida. No âmbito da
saúde, aplica-se perfeitamente à relação médico-paciente, como o
dever de profissionais e organizações de guardarem o sigilo das
informações coletadas nos atendimentos.
Considerando que os dados pessoais de saúde são fornecidos
pelo indivíduo aos profissionais de saúde em condições de prestação
de serviços de assistência à saúde, firma-se um compromisso com a
confidencialidade destes dados por parte das instituições que os
armazenam. Ao serem acessados por terceiros, sem o consentimento
do indivíduo no caso do linkage para pesquisas, tais acessos seriam
considerados em strito sensu quebras de confidencialidade, dado que
sua privacidade teria sido violada.
Esta questão suscita um debate ético sobre o respeito à
privacidade individual versus o benefício coletivo de uma pesquisa,
como veremos a seguir.
Consentimento:
autonomia
do
indivíduo
versus
benefício
coletivo
O debate sobre a obrigatoriedade do consentimento para
linkage decorre da discussão ética sobre o equilíbrio entre o respeito à
autonomia do sujeito da atenção em decidir pela preservação da
privacidade de seus dados e a utilização destes dados para a
produção de benefícios coletivos oriundos da pesquisa em saúde.
25
Conforme
estabelecido
por
Beauchamps
e
Childress
(Beauchamp; Childress, 1994) os quatro princípios básicos da ética
devem ser considerados como prima-facie e priorizados no momento
de sua aplicação em uma situação real, por exemplo, nos casos de uso
de dados de bases administrativas de saúde em pesquisas científicas.
Os princípios são: autonomia, não-maleficência, beneficência e justiça.
O respeito à autonomia do indivíduo se dá pelo uso de seus
dados em pesquisas com consentimento esclarecido e concedido com
liberdade de escolha, impedindo a utilização de seus dados sem seu
consentimento, o que é exigido desde o código de Nuremberg em
1947. (Goldim, 1997)
A aplicação do princípio da beneficência pressupõe que os
dados trarão benefícios para os sujeitos do estudo, a população alvo e
a sociedade em geral.
O princípio da não-maleficência garante que o uso dos dados na
pesquisa em questão não trará malefícios ao sujeito. A grande
preocupação com a preservação do sigilo e a não-maleficência decorre
da possibilidade dos dados caírem em mãos erradas e o indivíduo
sofrer estigmatização, prejuízos sociais e econômicos, etc.
Entretanto, a aplicação de termos de consentimento livres e
esclarecidos (TCLE), em pesquisas que pretendem fazer uso de bases
de dados administrativas ou clínicas, pode ser absolutamente
impraticável, dadas as dificuldades para obtenção do consentimento.
Muitas vezes, os indivíduos cujos dados constam nas bases
administrativas já estão inacessíveis (mudaram de endereço), ou são
incapazes de decidir (problemas de ordem mental ou física) ou mesmo
faleceram. Além destes motivos de vieses, poderiam ser incluídos
ainda o consentimento parcial (para apenas alguns tipos de
informação) ou a falta de entendimento sobre a pesquisa.
Este dilema faz transparecer as dificuldades na aplicação do
conceito de princípio moral da autonomia na prática social e política e
para estabelecer um equilíbrio entre os interesses coletivo e individual
na pesquisa em saúde.
26
A discussão ética sobre a dispensa de consentimento informado
pelos indivíduos para a utilização de seus dados em pesquisas pode
ser encarada sob duas perspectivas teóricas: a Kantiana e a
Utilitarista.
A primeira, baseada nos preceitos de Kant (Kant, 1989)
estabelece que a autonomia do indivíduo é uma condição intrínseca ao
ser humano e que deve ser respeitada de forma incondicional.
Qualquer intervenção que quebre o princípio da autonomia caracterizase por uma violação não só do princípio, mas do indivíduo em si,
tornando esta intervenção inaceitável.
Na segunda perspectiva, baseada nas ideias de Mill, (Mill;
Himmelfarb, 1982) desde que seja mantida a confidencialidade em
condições essenciais, a dispensa do consentimento individual é
eticamente justificável e não seria caracterizada
a violação da
privacidade. A justificativa baseia-se na expectativa de que os
resultados esperados da decorrente pesquisa maximizem um benefício
coletivo.
Nesse sentido, o equilíbrio entre riscos e benefícios da
pesquisa, a garantia de segurança na guarda dos dados, e a certeza
de que sua utilização terá valor científico e social significativo seriam
razões suficientemente fortes para a conduta ética de dispensar o
consentimento dos indivíduos em pesquisas que utilizem bases de
dados secundários identificadas.
1.3 Impacto na pesquisa em saúde
A literatura tem expressado a constante preocupação entre o
progresso da pesquisa em saúde e a necessidade de proteção da
privacidade dos dados dos indivíduos, sendo o consentimento
informado dos indivíduos para acesso a seus dados pessoais de saúde
um fator limitante das pesquisas em saúde, dada a impraticabilidade
de sua obtenção em muitos casos. (Holman, 2001)
Gostin (1997) (Gostin, 1997) chama à atenção para a
necessidade de se buscar soluções que permitam um equilíbrio entre
27
os benefícios coletivos oriundos do uso desses dados e a necessidade
de proteção à privacidade individual.
Muitos autores (incluindo os idealizadores dos métodos de
linkage
probabilístico: Newcombe (Newcombe, 1988) e Fellegi
(Fellegi, I., 1997)) chamam à atenção para a necessidade de um
debate informado sobre o tema. Buckovich et al. (Buckovich; Rippen;
Rozen, 1999) sugeriram que todos os participantes dos sistemas de
saúde (gestores, prestadores de serviços, profissionais de saúde,
usuários) debatessem as questões referentes à privacidade e
confidencialidade dos dados de saúde, na busca do consenso que
levasse a uma legislação para o tema.
Safran et al (2007) (Safran et al., 2007) observaram que o uso
secundário de bases de dados de saúde pode incluir atividades, tais
como avaliação de qualidade em saúde (pública ou privada),
investigações epidemiológicas, controle de pagamentos, marketing e
outras aplicações de negócios, inclusive algumas estritamente
comerciais. Em última instância, a utilização secundária de dados de
saúde pode melhorar o cuidado prestado aos indivíduos e expandir
conhecimento sobre a doença e tratamentos adequados, bem como
aproximar os prestadores de serviços das necessidades dos pacientes.
Atentos ao crescente volume de aplicações informatizadas na área da
saúde com a correspondente disponibilização de dados, os autores
apontaram a falta de políticas coerentes, normas e exemplos de "boas
práticas" para a utilização secundária de dados de saúde que possam
nortear os processos de coleta, armazenamento, agregação, linkage, e
transmissão de dados sanitários.
A implantação de leis que regulamentem o acesso a
informações identificadas para uso secundário almeja, entre outros
propósitos, o equilíbrio entre os benefícios potenciais e os riscos à
privacidade. Em alguns países onde já existe este tipo de legislação, já
foram analisados os impactos de seus efeitos na pesquisa em saúde.
Verschuuren et al (2008) (Verschuuren et al., 2008) mostram em
seu estudo sobre a implementação das leis de proteção de dados de
28
saúde na União Européia, que ainda existem muitos pontos obscuros e
confusos sobre privacidade, principalmente no tocante à obtenção do
consentimento dos pacientes quanto ao uso de seus dados
identificados
para
fins
distintos
daquele
para
o
qual
foram
originalmente coletados. Nos países em que a exigência do
consentimento é mais rígida, as dificuldades logísticas para sua
obtenção podem levar ao descarte de dados que seriam cruciais para
o correto monitoramento do sistema de saúde. Argumentam, ainda,
que o reduzido número de pacientes que se recusa explicitamente a
autorizar o uso de seus dados parece indicar que a sociedade não faz
objeções à utilização de seus dados para estudos que claramente
busquem o benefício coletivo. Por outro lado, muito pouco se conhece
sobre os temores da população quanto ao uso abusivo de seus dados.
Os
autores
apontam
que
a
confiança
da
população
na
confidencialidade dos dados fornecidos para os atendimentos de
saúde, pode ser reforçada por meio do uso de tecnologias de
segurança da informação, propiciando ao mesmo tempo o uso eficiente
deste acervo de dados para a gestão do sistema de saúde.
Em consonância, o Council for International Organizations of
Medical
Sciences
(CIOMS),
(CIOMS
Council
for
International
Organizations of Medical Sciences, 2009) responsável pelas diretrizes
éticas internacionais para estudos epidemiológicos, estabeleceu que
registros
médicos
podem
ser
usados
para
estudos
sem
o
consentimento dos respectivos pacientes somente quando um comitê
de ética em pesquisa constatar que o estudo oferece riscos mínimos,
que os direitos ou interesses dos pacientes não serão violados e que
sua
privacidade,
confidencialidade
e
seu
anonimato
estarão
preservados. Além disso, o estudo deve ter sido desenhado para
responder a uma questão de saúde pública muito relevante, com
benefícios claros, sendo impraticável realizá-lo se o consentimento
informado dos pacientes fosse exigido.
A recomendação para aprimoramento da segurança da
informação também já havia sido feita pelo General Accounting Office -
29
United States (GAO) (GAO United States General Accounting Office,
2001) em 2001. O trabalho indica um conjunto de procedimentos e
técnicas que devem ser adotados por organizações que realizam
linkage. O relatório conclui que manter e melhorar a proteção da
privacidade
e
a
segurança
da
informação
nas
organizações
custodiantes de dados sensíveis é fundamental para obter a
cooperação do público na prestação de dados precisos e a
participação em pesquisas e estudos.
O relatório sobre os efeitos da introdução do Health Insurance
Portability and Accountability Act (HIPAA) elaborado pelo Institute of
Medicine (IOM) dos Estados Unidos (IOM INSTITUTE OF MEDICINE,
2009a) aponta para o aprimoramento das medidas de segurança da
informação, como medida compensatória para uma menor ênfase na
busca pelo TCLE ou simplificação dos procedimentos de obtenção do
consentimento informado dos indivíduos para uso de informações
confidenciais.
Young et al. (Young; Dobson; Byles, 2001), em seu estudo
sobre consentimento, sugeriram que uma alternativa para superar o
dilema da necessidade de consentimento seria a existência de centrais
de linkage, mantidas como agência ou órgão governamental que seja
responsável por receber as bases de dados primários das pesquisas
científicas e relacioná-las com as bases de dados administrativos
identificados, mesmo sem obter o consentimento explícito dos
indivíduos inclusos nestas bases, mas com a permissão geral dada por
autoridades, uma vez que estas centrais atenderiam a requisitos de
segurança da informação estabelecidos. Ao final deste relacionamento,
os dados identificadores dos sujeitos seriam removidos e os dados
pareados anonimizados seriam fornecidos aos pesquisadores.
A questão passa a ser, portanto, como estabelecer as condições
que possam maximizar o potencial de uso das bases de dados
secundárias para pesquisa em saúde e, ao mesmo tempo, minimizar
os riscos à segurança para que seja mantida a confidencialidade dos
30
dados,
protegendo
a
privacidade
dos
indivíduos,
conforme
abordaremos a seguir.
1.4 Unidades de data linkage
Segundo Roos, (Roos; Menec; Currie, 2004) sistemas de
informação
de
saúde
de
base
populacional
usando
dados
administrativos longitudinais e técnicas de linkage têm ajudado a criar
ambientes “ricos em informação” (“information-rich” environments) em
várias organizações ao redor do mundo.
Em muitos casos, estes ambientes fazem parte de projetos de
pesquisa ou são centros que disseminam regularmente informações
produzidas a partir da aplicação de técnicas de linkage. Consistem em
estruturas organizacionais que se instalam para integrar bases de
dados de saúde por meio de técnicas de linkage, buscando a
composição de registros longitudinais de saúde dos indivíduos. Estas
unidades fazem mais do que simplesmente ligar dados. São fontes de
informação para análises e estudos que geram intervenções de
gestores de saúde. Permitem a comparação entre regiões, áreas,
prestadores de serviços e, por vezes, combinam informações de
profissionais de saúde e pacientes. Embora não exista um nome
consagrado internacionalmente para estes ambientes, utilizaremos a
expressão "Unidades de Data Linkage" (UDL)2 para caracterizá-las.
A literatura apresenta exemplos de experiências internacionais
desta natureza. Holman et al. (Holman et al., 1999) mencionaram
experiências da Escócia, do Canadá e dos Estados Unidos. Roos et al.
(Roos; Menec; Currie, 2004) pesquisaram alguns projetos específicos
conduzidos na Austrália, Inglaterra e Canadá, com foco no
mapeamento do conteúdo das informações relacionadas entre as
distintas bases de dados.
2
Machado et al. (Machado, 2004)
Inicialmente, no projeto de pesquisa desta tese, foi utilizado o termo
“Registro Integrado de Informações em Saúde” (RIS). Entretanto, a literatura
demonstrou que o termo “Unidade de Data-Linkage” é mais recorrente e apropriado
para caracterizar este tipo de organização. Inclusive pelo fato de muitas lidarem com
dados externos ao campo da saúde (exemplo: educação, trabalho e emprego).
31
apresentaram uma revisão de experiências de procedimentos de
linkage, com enfoque na saúde infantil, relatando iniciativas em nove
países.
Em 2008 foi criada a International Health Data Linkage Network
(IHDLN), (IHDLN, 2012) uma associação que congrega instituições de
diversos países comprometidas com a aplicação sistemática de linkage
para produzir benefícios à pesquisa e à gestão em saúde, que em
Outubro/2011 já contava com mais de 170 membros, provenientes de
13 países. Para a IHDLN, não basta apenas buscar maior abrangência
dos dados e séries históricas, assim como maior eficiência na
aplicação dos métodos probabilísticos do linkage. Entre os principais
temas abordados por ela está a garantia da privacidade dos dados dos
indivíduos nos processos de linkage, por meio de medidas éticas e de
segurança.
Cada vez mais, existe a necessidade de tratar adequadamente
as questões relativas à segurança das informações pessoais de saúde.
Para tal, há um arcabouço teórico e normativo que pode fundamentar
estas ações, como veremos a seguir.
1.5 Segurança da informação em saúde
O conceito geral de segurança da informação (ISO International Organization for Standardization, 2005) refere-se à
proteção das informações de pessoa ou organizações. Considera-se
informação todo e qualquer conteúdo ou dado que tenha valor para a
organização ou pessoa.
As principais dimensões que orientam as
ações para implementação de medidas de segurança da informação
são: integridade, disponibilidade e confidencialidade.
A integridade refere-se à garantia de que a informação
manipulada manteve suas características originais estabelecidas por
seu proprietário. A disponibilidade garante que a informação esteja
sempre disponível para usos autorizados por seu proprietário.
A
confidencialidade garante o acesso à informação limitado àqueles
autorizados pelo proprietário da informação.
32
A confidencialidade é então uma das principais características
da segurança. O arcabouço de segurança abrange as técnicas e
mecanismos para garantir que a confidencialidade seja mantida para
proteger as informações privadas dos indivíduos. Na prática, refere-se
a procedimentos de armazenamento e troca das informações entre
aqueles autorizados a conhecê-las, prevenindo e obstruindo o acesso,
modificações e disseminação não autorizados.
O investimento em segurança da informação é oneroso e, se
não for bem feito, pode significar desperdício de recursos e não
alcance dos resultados esperados. Muitas organizações baseiam suas
ações em boas práticas e normas técnicas internacionais para que
seus ambientes possam ser certificados como seguros.
No campo da saúde, diversas instituições buscaram estabelecer
padrões que abordam aspectos de segurança da informação. Gottberg
et al. (Gottberg et al., 2011) realizaram um levantamento das normas e
diretrizes brasileiras e internacionais sobre a segurança da informação
na área da saúde, com foco na preparação das organizações para
usarem
sistemas
consideradas
duas
de
registros
dimensões:
eletrônicos
a
de
adequação
saúde.
de
Foram
processos
organizacionais e a utilização de sistemas de RES adequados. O
estudo abordou publicações de legislações, regulamentações, normas
e padrões nacionais e internacionais para o uso de RES editados pelo
Conselho Federal de Medicina (CFM), Sociedade Brasileira de
Informática em Saúde (SBIS), United States Department of Health na
Human Services (US-HHS), Associação Brasileira de Normas Técnicas
(ABNT), Health Level 7 Institute (HL7) e a ISO.
No campo da informática em saúde, as normas técnicas ISO
são elaboradas pelo Comitê Técnico de Informática em Saúde
(ISO/TC215 Health Informatics), (ISO - International Organization for
Standardization, 2012) específicas para segurança da informação.
Algumas normas técnicas internacionais já foram traduzidas e
adotadas no Brasil, por meio da Associação Brasileira de Normas
Técnicas (ABNT) (ABNT, 2012). Outro exemplo de utilização destes
33
normativos é o manual de certificação de software da Sociedade
Brasileira de Informática em Saúde (SBIS) que, em seus requisitos de
segurança,
tomou por base uma série de normas técnicas para
certificação de sistemas de informação de registro eletrônico em saúde
(S-RES) (SBIS - Sociedade Brasileira de Informática em Saúde, 2009)
e representou um importante passo no estabelecimento de critérios
objetivos de segurança para ambientes informáticos.
Quando uma organização baseia suas ações de segurança em
normas técnicas cria a possibilidade de acompanhamento da evolução
de seu grau de maturidade, pois há como avaliar sua conformidade em
relação às boas práticas. A elaboração de normas técnicas e a
avaliação de conformidade são processos cuidadosos, baseados na
participação de especialistas e com reconhecimento da comunidade
internacional, conforme descrito a seguir.
1.6 Normas técnicas e conformidade
Normas
oficialmente
técnicas
acreditados
(padrões)
como
são
foros
produzidas
de
por
normalização.
órgãos
Estes
documentos constituem regras ou diretrizes sobre produtos, processos
ou serviços e são elaborados a partir do trabalho de vários
especialistas que representam organizações produtoras, consumidoras
ou neutras. Segundo da definição ABNT/ISO/IEC, uma norma técnica é
: (ABNT - Associação Brasileira de Normas Técnicas; ISO International Organization for Standardization; IEC - International
Electrotechnical Commission, 2006)
Documento estabelecido por consenso e aprovado por um
organismo reconhecido, que fornece, para uso comum e
repetitivo, regras, diretrizes ou características para atividades
ou seus resultados, visando à obtenção de um grau ótimo de
ordenação em um dado contexto.
NOTA Convém que as normas sejam baseadas em
resultados consolidados da ciência, tecnologia e da
experiência acumulada, visando à otimização de benefícios
para a comunidade.
A conformidade de um produto/processo/serviço com um
padrão, em geral, não é obrigatória, mas sim considerada uma boa
34
prática
e
representa
um
diferencial
competitivo
deste
produto/processo/serviço no mercado. Há casos em que a norma é
referendada por algum instrumento jurídico no país e torna-se
obrigatória.
Muitos destes padrões são elaborados e publicados como
normas técnicas pela International Standardization Organization (ISO)
(ISO - International Organization for Standardization, 2012), por
congregar organizações técnicas produtoras de padrões, organizações
consumidoras e organismos neutros (academia e governo) de diversos
países.
A ISO foi fundada em 1947 (ISO - International Organization for
Standardization, 2012) como uma federação mundial de organismos
nacionais de normalização. Sediada em Genebra, na Suíça, conta com
cerca de 160 países membros e tem mais de 19.000 padrões
publicados. Tem um caráter não governamental e trabalha muito
próxima à International Electrotechnical Commission (IEC) em todos os
assuntos
de
normalização
eletro-técnica.
(ISO
-
International
Organization for Standardization, 2007)
O trabalho de elaboração das normas internacionais é feito por
comitês técnicos da ISO (ISO/TC) e seus sub-comitês (ISO/TC/SC).
Cada organismo membro, interessado em um assunto para o qual foi
constituído um comitê, tem o direito de se fazer representar nesse
comitê. (ISO - International Organization for Standardization, 2011)
Outras
organizações
internacionais
de
normalização,
governamentais e não governamentais, em cooperação com a ISO,
participam
também
nesse
trabalho.
Os
projetos
de
normas
internacionais ISO-DIS (draft of international standard) e ISO-FDIS
(final draft of international standard) elaborados pelos ISO/TC são
submetidos aos organismos membros para votação. A publicação
como norma internacional requer a aprovação de pelo menos 75% dos
organismos membros votantes.
35
Em geral, um padrão internacional leva cerca de três anos para
ser publicado. O processo de elaboração de normas e produtos ISO
comporta seis estágios:
1) Estágio de Proposição, que corresponde à apresentação de
propostas de novos assuntos de trabalho.
2) Estágio Preparatório, que corresponde à preparação de
projetos (drafts) de trabalho.
3) Estágio de comitê, quando ocorrem o exame e a aprovação
de projetos (drafts) de comitê com vista à sua submissão como
projetos de Norma internacional (DIS).
4) Estágio de Votação, quando há a distribuição dos projetos de
Norma internacional (DIS), pelos organismos membros da ISO, para
análise e votação.
5) Estágio de Aprovação, quando há a distribuição dos projetos
finais de Norma internacional (FDIS), pelos organismos membros da
ISO, para votação final.
6) Estágio de publicação, quando finalmente ocorre a publicação
de documentos normativos sob a forma de international standard (IS),
technical report (ISO-TR) ou technical specification (ISO-TS) ou outros
tipos de documentos.
A certificação de conformidade de uma organização com um
padrão é o processo pelo qual uma entidade certificadora (externa e
independente à organização devidamente acreditada para esse efeito),
emite um certificado que atesta que determinado produto, processo ou
serviço está em conformidade com os requisitos do padrão.
Anteriormente, a acreditação de uma entidade certificadora deve
ter sido conferida por organismos acreditadores independentes, os
quais tem por missão reconhecer a competência técnica daquelas
entidades,
num
dado
âmbito
e
de
acordo
com
referenciais
internacionais. No Brasil, as funções de organismo nacional de
acreditação se encontram atribuídas ao Instituto Nacional de
Metrologia, Qualidade e Tecnologia (INMETRO). (INMETRO, 2012)
36
Existem certificações de produtos, serviços e sistemas de
gestão. A certificação de produtos é específica por produto, isto é,
esta certificação assegura ao consumidor que o produto certificado
cumpre com a(s) norma(s) especificadas no seu certificado.
A
certificação de um serviço corresponde ao mesmo conceito, aplicado
ao serviço prestado ao consumidor. Já a certificação de um sistema de
gestão é o processo pelo qual é avaliada e verificada a conformidade
do(s) sistema(s) implementados, relativa à norma ou normas de
referência, e relativamente às quais a organização pretende ser
certificada. Estes processos são normalmente compostos por diversas
fases, de entre as quais se destaca a auditoria de certificação.
A certificação é uma decisão voluntária das organizações na
maioria dos países. Em geral, serve como um diferencial competitivo
de mercado. Internamente, exige um grande envolvimento dos
diversos setores da organização e deve ser feita de forma consciente e
dedicada, envolvendo todos os colaboradores da organização. No
entanto, e apesar da voluntariedade do processo, a certificação
começa a se tornar uma imposição do mercado nacional e
internacional, sendo impossível a penetração em alguns setores de
atividade a empresas/ produtos que não sejam certificados.
Qualquer certificação é temporária. A ISO prevê que todas as
normas sejam reavaliadas periodicamente, o que normalmente se
traduz na alteração e publicação de uma nova edição da norma. Por
outro lado, aos certificados emitidos é atribuído um prazo ao fim do
qual todo o processo de certificação é reiniciado. Durante cada ciclo de
certificação a entidade certificadora faz visitas regulares à empresa,
normalmente com uma frequência anual, no sentido de confirmar que
os requisitos continuam a serem cumpridos.
Buscar certificação de conformidade com normas técnicas
demonstra o empenho de uma organização em primar pela qualidade
de seus serviços. No caso das organizações de saúde, que por sua
natureza lidam com dados sensíveis, a conformidade é muito bemvinda, pois além de conferir maior aderência às boas práticas de
37
gestão administrativa, propicia a seus usuários e clientes maior
confiança em seus processos de trabalho.
1.7 Cenário atual
Conforme exposto, o cenário atual demonstra que, por um lado,
o aumento da disponibilidade de grandes bases de dados com
potencial de uso para fins de pesquisa e o surgimento de novas
organizações que praticam linkage de dados sistematicamente podem
ser excelentes aliados no progresso da pesquisa em saúde. Mas, por
outro lado, a preocupação com a confidencialidade persiste e impacta
significativamente no desenvolvimento da pesquisa. O arcabouço de
conhecimentos técnicos em segurança da informação pode ser um
grande apoio para equilibrar estas duas vertentes.
38
2 Justificativa
O linkage probabilístico de registros vem sendo cada vez mais
usado na pesquisa em Saúde Pública. (Roos; Menec; Currie, 2004) A
maior parte dos estudos ocorreu em países desenvolvidos, uma vez
que nos países subdesenvolvidos há um número menor de sistemas
informatizados no campo da saúde pública.
Pesquisando a base Pubmed, observamos um crescimento
exponencial do número de artigos que tratam de relacionamento de
dados em geral. Porém, o número de artigos que abordam o
consentimento é acentuadamente menor e o incremento é observado
somente depois de 2000. A Figura 01 mostra a curva de crescimento
do número de artigos publicados no Pubmed relacionadas com linkage
e o número de artigos que tratam de consentimento, de 1969 até 2008.
400
350
Número de Artigos
300
250
200
150
100
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997
1996
1995
1994
1993
1992
1991
1990
1989
1988
1987
1986
1985
1984
1983
1982
1981
1980
1979
1978
1977
1976
1975
1974
1973
1972
1971
1970
0
1969
50
Ano
Figura 01 - Série temporal de publicações sobre linkage
No Brasil, as bases de dados do Sistema Único de Saúde (SUS)
estão disponíveis para acesso gratuito desde 1991, disseminadas pelo
Departamento de Informática do SUS (MS/DATASUS), (DATASUS,
2011) órgão do Ministério da Saúde responsável por consolidar os
dados dos diversos sistemas de informação alimentados pelas
secretarias municipais e estaduais de saúde, bem como pelos
estabelecimentos assistenciais conveniados. Todas estas informações
39
são disseminadas de forma anônima, isto é, sem os dados de
identificação dos indivíduos sujeitos da atenção em saúde. Entretanto,
essas bases ainda não contam, em larga escala, com um campo
identificador comum, tornando-se necessário o emprego de métodos
alternativos para o relacionamento das mesmas, sendo o método de
linkage probabilístico a alternativa com melhor custo-benefício. A cada
ano vem aumentando o número de projetos de pesquisa envolvendo
acesso à informação identificada destes sistemas para realização de
linkage. Porém, quando os dados são coletados em seus sistemas de
origem, não é mencionado aos indivíduos que seus dados poderão ser
usados para fins de pesquisa e relacionados a outras bases por
técnicas de linkage. (Martins; Machado; Silveira, 2008)
Os projetos de pesquisa têm sido desenvolvidos em ambientes
descentralizados no Brasil, isto é, em universidades, órgãos gestores,
entre outros. Em 2006, Silva et al. (Silva et al., 2006) realizaram uma
revisão sistemática sobre a aplicação da técnica de linkage no Brasil e
identificaram que o crescimento do uso da técnica coincide com a
implantação do Sistema de Informações de Nascidos Vivos (SINASC)
e com a intensificação do uso das bases de dados do Sistema de
Informações Hospitalares do SUS (SIHSUS) na saúde coletiva. O
estudo confirmou também que no Brasil muitas organizações, de
distintas esferas e naturezas administrativas, realizam processos de
linkage.
Várias experiências de organizações brasileiras que realizam
linkage foram apresentadas em um Seminário Internacional de Linkage
de Bases de Dados, (UFRJ, 2010) realizado em Setembro de 2010, no
Rio de Janeiro. Entre as instituições governamentais, estão a
Secretaria de Vigilância em Saúde (MS/SVS) do Ministério da Saúde e
a Agência Nacional de Saúde Suplementar (ANS), assim como
instituições federais de assistência e pesquisa em saúde, como o
Instituto Nacional de Cardiologia (INC) e o Instituto Nacional do Câncer
(INCA). Em outras esferas de governo, há iniciativas na Secretaria
Estadual de Saúde do Rio de Janeiro (SES/RJ) e na Secretaria
40
Municipal do Rio de Janeiro (SMS-Rio) e Saúde de Juiz de Fora (SMSJF/MG). Existem também incentivas frutuosas vinculadas a instituições
de ensino e pesquisa, como a Universidade Federal do Rio de Janeiro
(UFRJ), Universidade de São Paulo (USP), Universidade Federal de
Minas Gerais (UFMG), Universidade Federal do Estado do Rio de
Janeiro (UNIRIO), Fundação Oswaldo Cruz (FIOCRUZ), entre outras.
A
salvaguarda
da
confidencialidade
dos
dados
é
um
compromisso ético dos pesquisadores brasileiros. Entretanto, não há
um conjunto de regras padronizadas e claras que orientem estes
profissionais quanto à segurança da informação e que possam ser
verificadas por alguma autoridade competente a fim de certificar a
proteção da privacidade dos indivíduos.
Em recente trabalho de revisão dos projetos de linkage no
Brasil, Martins et al. (Martins; Machado; Silveira, 2008) constataram
que a maioria das pesquisas não informa os indivíduos sobre os
procedimentos técnicos para garantir a proteção da privacidade,
mesmo que todas tenham sido feitos com dados identificados. Este
fato suscita grande preocupação por parte dos gestores dos sistemas
de informação, das instituições de pesquisa e da própria sociedade a
cerca dos aspectos éticos e da confidencialidade dos dados.
A existência de processos de linkage em diversas organizações
no Brasil requer atenção a aspectos técnicos, operacionais e legais.
Por um lado, este cenário favoreceu o desenvolvimento de
competências técnicas locais e o aprimoramento dos processos e
ferramentas de software para linkage. Mas por outro lado, na maioria
das vezes não há um controle efetivo sobre as condições de
segurança da informação existentes em cada local e nem o retorno dos
dados pareados para a instituição cedente das bases (Ministério da
Saúde), a qual poderia usar este trabalho realizado e até disseminar
anonimamente os pares para promover o uso das informações em
saúde.
Adicionalmente, não há uma uniformidade nas características
técnicas de informática e uma certificação dos requisitos de segurança
41
para pesquisadores que tem acesso a informações identificadas, o que
acaba gerando incerteza nas instituições cedentes das bases de dados
quanto à segurança e longos atrasos nas cessões de bases de dados
confidenciais.
Freire (Freire, SM, 2004) em 2004, apontou que a legislação
brasileira tem refletido a preocupação com a privacidade dos
indivíduos em diversos decretos e resoluções, entretanto, ainda não há
uma consolidação destas regulamentações específicas para a área da
saúde, que leve em conta os aspectos não contemplados ou mal
definidos. Também não foi identificada nenhuma legislação ou norma
específica para linkage, em especial para uso em fins de pesquisa.
Desde 2004 está em vigor a portaria 66 da MS/SVS (Brasil Ministério da Saúde, 2004), que estabelece que as cessões de bases
de dados nominais dos sistemas sob gestão desta secretaria devem
ser submetidas à análise da área técnica e aprovação do Secretário.
Um avanço recente foi a instituição em 2010 da Política de
Segurança da Informação do Ministério da Saúde, (Brasil - Ministério
da Saúde, 2010) que conceitua “Base de Dados Confidenciais” como
aquela que possui informações que, por razões de interesse público ou
para a preservação dos direitos individuais deve ser de conhecimento
restrito, mantida em separado, sob a guarda do Ministério da Saúde,
por requerer medidas especiais para sua segurança e salvaguarda.
(Brasil - Ministério da Saúde, 2010) São confidenciais as bases que
apresentam quaisquer formas ou meios que possam identificar o
usuário do SUS, relacionando aos seus dados pessoais e/ou eventos
em saúde.
Cabe destacar também que em 2011 foi publicada a portaria
884 da Secretaria de Assistência à Saúde do Ministério da Saúde
(MS/SAS), (Brasil - Ministério da Saúde, 2011) que disciplina o
processo de cessão de bases de dados nominais (confidenciais) sob
sua gestão. Para que uma base seja cedida a um pesquisador, é
necessário que seu projeto tenha sido aprovado por um comitê de ética
em pesquisa. A portaria é um importante passo para formalizar a
42
relação entre a cedente (MS/SAS) e os pesquisadores e, com isso,
agilizar os trâmites para esta cessão. Entretanto, são poucos os
aspectos técnicos mencionados sobre a proteção da privacidade dos
indivíduos cujos dados estão contidos nestas bases.
Atualmente está em elaboração pelo Sub-Comitê de Segurança
da Informação do Ministério da Saúde, vinculado ao Comitê de
Informação e Informática (CIINFO/MS), uma norma geral de cessão de
bases de dados confidenciais para fins de pesquisa.
O demonstrado crescimento do uso do linkage torna necessário
conhecer, por meio de uma revisão sistemática da literatura, a
proporção de participantes que autorizam o linkage com seus dados
pessoais de saúde, assim como as características individuais e do
processo de coletas de dados que podem influenciar o consentimento
para esse uso. Tais informações são relevantes para a elaboração de
diretrizes para o tratamento da questão do consentimento informado
dos sujeitos da atenção em saúde quanto ao uso de seus dados.
Além disso, como já apontado na literatura, (IOM INSTITUTE
OF MEDICINE, 2009a) é preciso estabelecer um conjunto essencial de
requisitos de segurança para que os locais que realizam processos de
linkage no Brasil estejam em conformidade com a necessidade de
proteção dos dados, ao mesmo tempo em estes requisitos que sejam
viáveis economicamente e não obstruam os projetos de pesquisa. Tais
requisitos poderiam integrar uma diretriz ou política de linkage de
dados de saúde para o Brasil a serem implementados passo-a-passo,
com ganhos de maturidade para todas as instituições envolvidas.
Uma revisão bibliográfica que permita a sistematização das
experiências em diferentes países do mundo e dos padrões
internacionais de segurança da informação poderá contribuir com
subsídios relevantes para orientar o debate e o desenvolvimento de
diretrizes específicas sobre o tema.
Este
trabalho
pretende
aprofundar
os
aspectos
éticos
relacionados ao consentimento para linkage e proteção da privacidade,
associados ao emprego do linkage probabilístico no Brasil e propor
43
ações para a promoção da segurança da informação nestes
processos.
44
3 Objetivos
OBJETIVO GERAL
Estudar os aspectos éticos relacionados ao consentimento dos
indivíduos para a realização de linkage com seus dados pessoais de
saúde e aspectos operacionais e normativos relacionados à segurança
da informação, especialmente confidencialidade, em organizações que
realizam linkage de forma sistemática, como fonte de referência para
pesquisa e gestão em saúde (unidades de data linkage).
OBJETIVOS ESPECÍFICOS
(a) Revisar de forma sistemática os artigos que avaliam as
proporções de consentimento para linkage, bem como os fatores
associados com o consentimento do indivíduo sujeito da atenção à
saúde,
(b) Sistematizar experiências internacionais de unidades de data
linkage.
(c) Identificar normas técnicas sobre segurança aplicáveis a
unidades de data linkage.
(d) Propor um modelo de segurança de informação em saúde
para unidades de data linkage no Brasil.
45
4 Método – Fases da Pesquisa
O desenvolvimento desta pesquisa de tese foi feito em três
fases, conforme apresentado na Figura 02.
Estudosobre
sobre
Estudo
processosde
de
processos
Linkage
Linkage
Estudosobre
sobre
Estudo
éticaem
empesquisa
pesquisa
ética
na saúde
na saúde
Estudosobre
sobre
Estudo
revisão
revisão
sistemática
sistemática
1ª Fase
1ª Fase
Revisãosistemática
sistemática
Revisão
sobre consentimento
sobre consentimento
paraLinkage
Linkage
para
2ª.Fase
Fase
2ª.
Estudo de
Estudo de
experiências
experiências
internacionais
internacionais
Estudode
denormas
normas
Estudo
técnicas
de
técnicas de
segurança
segurança
Estudosobre
sobre
Estudo
proteção da
proteção da
privacidadeee
privacidade
segurança em
segurança em
Unidadesde
deData
Data
Unidades
Linkage
Linkage
3ª. Fase
3ª. Fase
Sistematização
Sistematização
dosresultados
resultadosee
dos
contextualização
contextualização
comooBrasil
Brasil
com
Revisãode
deLiteratura
Literatura
Revisão
Figura 02 - Diagrama das fases da pesquisa
Na primeira, o foco foi o consentimento dos indivíduos.
Pesquisou-se a natureza das técnicas de linkage e aspectos éticos da
pesquisa científica em saúde relacionados ao consentimento informado
do paciente, em especial com dados secundários. Para a adequada
sistematização dos achados destes estudos, foi necessário também o
aprofundamento nos métodos de revisão sistemática.
Na segunda fase, o foco foi a segurança das informações de
saúde e seu tratamento por organizações que realizam linkage como
uma atividade sistemática de suporte à pesquisa em saúde.
Na terceira fase, foi feita a sistematização dos resultados e a
relação com o contexto brasileiro.
Dada a natureza diferenciada dos métodos dos estudos que
compõem esta tese, eles serão descritos separadamente nos próximos
capítulos.
46
5 Estudo sobre proporção de consentimento
para linkage
Neste capítulo é apresentado o estudo realizado para o alcance
do objetivo de revisar sistematicamente a literatura científica sobre
consentimento para linkage com dados de saúde. Serão apresentados
os métodos e os resultados, sendo que a discussão será feita em
conjunto com os demais estudos desta tese.
5.1 Métodos
Pesquisou-se a natureza das técnicas de linkage e aspectos
éticos da pesquisa científica em saúde, relacionados ao consentimento
informado do paciente, em especial com dados secundários. Para a
adequada sistematização dos achados destes estudos, foi necessário
também o aprofundamento nos métodos de revisão sistemática.
A revisão sistemática foi conduzida de acordo com as
orientações do Manual Cochrane de revisões sistemáticas de
intervenções (Higgins JPT; Green S, 2009) e do PRISMA Statement for
Reporting Systematic Reviews and Meta-Analyses of Studies. (Liberati
et al., 2009) Foi realizada a pesquisa em oito bases de dados
eletrônicas, até Junho de 2011, usando a estratégia descrita no
Quadro 01.
47
Quadro 01 – Estratégia de Pesquisa
Medline - retornaram 71 artigos.
CONSENT[All Fields] AND ("DATA LINKAGE"[All Fields] OR "DATABASE
LINKAGE"[All Fields] OR (("records as topic"[MeSH Terms] OR ("records"[All
Fields] AND "topic"[All Fields]) OR "records as topic"[All Fields] OR "record"[All
Fields]) AND LINKAGE[All Fields]))
ISI Web of Science - retornaram 35 artigos.
TS=(consent and ("data linkage" or "database linkage" or record linkage))
Scopus - retornaram 99 artigos.
TITLE-ABS-KEY(consent AND ("data linkage" OR "database linkage" OR record
linkage))
Science Direct - retornaram 8 artigos.
TITLE-ABSTR-KEY(consent) and (TITLE-ABSTR-KEY(record linkage) or TITLEABSTR-KEY(data linkage) or TITLE-ABSTR-KEY(database linkage))
OVID – retornaram 4 artigos.
(consent and ("record linkage" or "data linkage" or "database linkage")).ti,ab,kw. + Search terms used: *consent, *data, *database, *linkage, *record
Cochrane library - retornaram 12 artigos.
consent and (record and linkage or data and linkage or database and linkage)
Scielo and LILACS - não retornaram artigos.
consent and ("data linkage" or "data linkage" or "record linkage")
As referências foram tratadas com o programa Zotero (versão
2.0b7.4). (CHNM Center of History and New Media, George Mason
University, 2011)
A triagem de elegibilidade e a inclusão de artigos foram
realizadas por dois revisores independentes. Discordâncias entre os
revisores foram resolvidas por um terceiro revisor independente. Foram
excluídos os editoriais, cartas, resenhas. Estudos que tiveram mais de
um artigo publicado foram contados apenas uma vez, fato que ocorreu
com a pesquisa de Harris. (Harris, 2005) Os critérios de inclusão
foram: artigos originais completos publicados em Português, Espanhol,
Inglês e Francês, cujo objetivo principal foi avaliar as proporções
consentimento
para
linkage
consentimento para linkage.
ou
que
relataram
proporções
48
Os estudos foram classificados de acordo com ano de
publicação, país do estudo, o tipo e o número de bancos de dados
destinados relacionados, características demográficas da população de
estudo, origem da população de estudos (população geral, pacientes
atendidos em serviços de saúde ou incluídas em registros de
morbidade, a abordagem usada para obter o consentimento (face-aface, carta, outros) e quem consentiu (próprio sujeito,
pais ou
responsável).
As análises foram realizadas empregando-se o programa Stata
versão 9.0. (STATACORP, 2011) Havia a disposição inicial de realizar
meta-análise sobre a proporção de consentimento para linkage.
Entretanto, foi detectada uma heterogeneidade significativa nos dados
(tau = 0,91) e, por esta razão, optou-se por não calcular a medida
agregada de proporção de consentimento.
Um modelo de meta-regressão de efeitos mistos foi usado para
analisar as causas que poderiam influenciar a heterogeneidade entre
os estudos. Foram testadas as seguintes variáveis neste modelo: país,
idade, grupo de idade, origem da população, abordagem para
obtenção do consentimento e quem consentiu. A análise de subgrupos
foi
realizada
Finalmente
com
para
heterogeneidade
as
mesmas
identificar
se
isoladamente,
variáveis
algum
foi
mencionadas
estudo
realizada
acima.
influenciava
uma
análise
a
de
sensibilidade, retirando-se cada estudo por vez e recalculando-se o
resultado.
5.2 Resultados
A Figura 03 mostra o fluxograma da revisão. Após a remoção
das publicações duplicadas, o número de resumos a ler foi 140. Um
artigo foi identificado a partir das listas de referências dos artigos
selecionados e incluído posteriormente.
49
Resumos capturados por meio
de pesquisa em bases de dados
(n=229)
Resumos adicionais
Identificados por outras fontes
(n=1)
Resumos restantes após a
remoção das duplicidades
(n=140)
Resumos classificados
(n=141)
Resumos excluídos (n=81)
Linguagem (n= 4),
Tipo de publicação (n=6),
Objetivo do estudo incompatível (n=71)
Artigos completos excluídos (n=49)
Artigos completos eleitos para leitura
(n=60)
Estudos incluídos na análise qualitativa
(n=11)
• Objetivo do estudo incompatível com
critério de inclusão (n= 42),
• Artigo completo não acessível (n=1),
• Proporção de consentimento já
considerada em estudos anteriores (n=5)
• Estudo usou protocolo de
confidencialidade ao invés de
consentimento (n=1)
Figura 03 – Fluxograma da revisão sistemática
Depois de analisar os resumos, oitenta e um estudos foram
descartados devido a: idioma (n=4), tipo de publicação (n=6) e objetivo
do estudo não compatível (n=71). Dos 60 artigos restantes, foram
descartados 49, porque: o objetivo do estudo não preenchia os critérios
de elegibilidade (n=42), o texto completo não era acessível (n=1), os
estudos relataram proporções de consentimento já consideradas em
estudos anteriores (n=5) e um estudo relatou ter substituído o
consentimento individual com um protocolo de confidencialidade
aprovado pelo comitê de ética em pesquisa.
A Tabela 01 mostra as características gerais dos 11 estudos
incluídos. Um artigo (Pilotto et al., 1996) foi publicado em 1996 e dez
artigos foram publicados após 2000. Os estudos foram realizados no
Canadá, Reino Unido, Austrália e Taiwan. A maioria dos estudos
trabalhou tanto com adultos, quanto com idosos e apenas um estudo
lidou exclusivamente com mulheres. (Young; Dobson; Byles, 2001) Em
seis artigos, a população do estudo veio de serviços de saúde,
50
enquanto que nos cinco restantes os participantes foram participantes
de inquéritos populacionais. A maioria dos estudos solicitou o
consentimento do participante e usou uma abordagem face-a-face.
Com exceção de um artigo, (Shah et al., 2001) os estudos tiveram
tamanhos de amostras de moderada a grande.
A proporção consentimento variou amplamente de 39% a 97%.
Sete estudos apresentaram proporções de consentimento de 88% ou
superior, um de 72%, e apenas três apresentaram proporção de
consentimento igual ou inferior a 53%.
51
Tabela 01 – Estudos incluídos que avaliaram proporção de consentimento
Local
Bases de dados usadas
no linkage
Origem da população e características
Abordagem para
obter
consentimento
Quem
consentiu
Pessoas
instadas a
consentir
Proporção de
consentimento
2006 Bryant
(Bryant et
al., 2006)
Canadá
Dados primários; registro
de base populacional;
bases administrativas.
Indivíduos participantes de inquérito; 41% homens
59% mulheres; idades entre 35 e 69 anos (82%
adultos, 18% idosos).
Carta
O próprio
indivíduo da
atenção.
11.863
97%
2007 Soloff
(Soloff et
al., 2007)
Austrália
Dados primários; base de
dados de imunizações;
bases administrativas.
Indivíduos participantes de inquérito; homens /
mulheres; idades a partir de 5 anos.
Face-a-face
10.000
Outra pessoa,
responsável pelo
indivíduo.
97%
1996 Pilotto
(Pilotto et
al., 1996)
Austrália
Dados primários; bases
administrativas.
Pacientes de serviços de saúde; homens/mulheres;
idades entre 23 e 72 anos.
Face-a-face
O próprio
indivíduo da
atenção.
555
94%
2004 Harris
(Harris et
al., 2004)
Reino
Unido
administrativas.
Pacientes de serviços de saúde; homens 37%,
mulheres 63%; idades acima de 65 anos.
Carta
O próprio
indivíduo da
atenção.
1.704
92%
2006 Tate (Tate
et al.,
2006)
Reino
Unido
Dados primários;
registros de nascimentos.
Indivíduos participantes de inquérito;
homens/mulheres; nascidos entre Setembro/2000 e
Janeiro/2002.
Face-a-face
18.505
Outra pessoa,
responsável pelo
indivíduo.
2001 Shah
(Shah et
al., 2001)
Reino
Unido
Dados primários;
registros médicos.
Pacientes de serviços de saúde; homens/mulheres;
idades entre 65 e 74 anos.
Cartas e telefone
O próprio
indivíduo da
atenção.
129
88%
2007 Huang
(Huang et
al., 2007)
Taiwan
administrativas; registros
médicos.
Face-a-face
Indivíduos participantes de inquérito; homens 49% /
mulheres 51%; idades a partir de 20 anos (jovens 24%,
adultos 60%, idosos 16%).
O próprio
indivíduo da
atenção.
14.611
88%
2005 Klassen
(Klassen et
al., 2005)
Canadá
administrativas; registros
médicos.
Pacientes de serviços de saúde (dois hospitais e três
UTI neonatais); homens/mulheres; crianças nascidas
entre 1996-1997.
Carta
1.533
Outra pessoa,
responsável pelo
indivíduo.
72%
2008 Plotnikoff
(Plotnikoff
et al.,
2008)
Canadá
administrativas.
Indivíduos com diabetes; participantes de inquérito;
homens/mulheres; idades a partir de 18 anos.
Não identificado
O próprio
indivíduo da
atenção.
2.311
53%
2001 Young
(Young;
Dobson;
Byles,
2001)
Austrália
administrativas.
Mulheres (100%); participantes de inquérito; todas as
idades.
Carta
O próprio
indivíduo da
atenção.
39.883
49%
2004 Tu (Tu et
al., 2004)
Canadá
Registro de base
populacional; registros
médicos; bases
administrativas.
Pacientes de serviços de saúde; homens 54%,
mulheres 46%; com AVC, ataques isquêmicos, ou
ambos; incluídos em registro de AVC; idade média: 69
anos (fase 1) e 72 anos (fase 2).
Face-a-face
4.285 fase 1
Outra pessoa,
responsável pelo
2.823 fase 2
indivíduo.
Ano
Autor
92%
39%
51%
52
Na
análise
de
subgrupos,
bem
como
na
meta-regressão
as
características dos estudos não explicam a heterogeneidade (Tabela 02). A
análise de sensibilidade não mostrou variação significativa nos resultados.
Tabela 02 – Variáveis associadas à proporção de
consentimento
Variável
Razão de Chances (95% CI)
País
Austrália
Canadá
Taiwan
Reino Unido
1
0.29 (0.02 – 3.37)
0.94 (0.02 – 44.69)
1.27 (0.08 – 19.69)
Grupo etário
Crianças
Adultos/Idosos
Idosos
1
0.53 (0.05 – 5.93)
0.27 (0.02 – 3.44)
Origem da população
Inquérito populacional 1
0.31 (0.05 – 1.83)
Serviços de Saúde
Abordagem
Face-a-face
Carta
1
1.06 (0.14 - 8.04)
Quem consentiu
Próprio indivíduo
1
Pais
1.60 (0.23 – 11.13)
Responsável/cuidador 0.13 (0.01 – 1.26)
tau-quadrado= 0.83, tau=0.91
53
6 Estudo
sobre
experiências
internacionais
de
unidades de data linkage
Neste capítulo são apresentados o estudo realizado sobre unidades de
data linkage internacionais e suas boas práticas relacionadas à segurança da
informação. Serão apresentados os métodos e os resultados, sendo que a
discussão destes resultados será feita em conjunto com os demais estudos
desta tese.
6.1 Métodos
As organizações pesquisadas foram selecionadas a partir de dois artigos
científicos (Holman et al., 1999; Roos; Menec; Currie, 2004) editados em 1999
e 2004 e do diretório de membros da IHDLN (IHDLN, 2012), criada em 2008.
Pelo estudo de Roos, (Roos; Menec; Currie, 2004) usou-se como
referência histórica os registros do Canadá: Manitoba Centre For Health Policy
and Population Health e Population Health and Learning Observatory de British
Columbia; da Austrália: Western Australian Data Linkage Information; e do
Reino Unido: Oxford Record Linkage Study e Scottish Record Linkage System.
Pelo estudo de Holman et al. (Holman et al., 1999) foi acrescida a experiência
do Rochester Epidemiology Project (Estados Unidos).
A seguir, o método utilizado para a identificação das experiências
provenientes da IHDLN foi a leitura dos conteúdos publicados nos sites de
internet. A Figura 04 apresenta o fluxograma de seleção das experiências
incluídas no estudo.
54
Organizações selecionadas
Erro!
Indicador
não definido.
inicialmente
nos artigos
científicos
(Roos,2004 e Holman,1999) (n=6)
Lista de indivíduos
membros da IHDLN
(n=176)
Organizações
selecionadas como
potenciais experiências
de RIS (n=102)
Organizações selecionadas
após a exclusão de duplicatas
(n=87)
Sites completos de
organizações avaliadas para
elegibilidade (n=46)
Duplicatas
(n=21)
Organizações excluídas
(n=41)
Não havia referência ao membro da
IHDLN ou aos termos pesquisados
Organizações excluídas
(n=32)
Não atenderam critérios de
elegibilidade
Sites de organizações incluídas
na análise qualitativa
(n=14)
Figura 04 - Fluxograma de seleção das experiências incluídas no estudo
Pela IHDLN, a seleção foi iniciada a partir da lista de membros da rede,
disponível no site em 12/10/2011, a qual contava com 176 indivíduos membros.
Entre eles, constavam analistas de dados, analistas de sistemas, estatísticos,
médicos, entre outros. Estes membros ocupavam posições de pesquisadores,
chefes de grupos de pesquisa, gerentes e diretores, nas organizações
membros da IHDLN. Foram padronizados os dados das organizações dos
indivíduos constantes na lista de membros, considerando os campos relativos à
sua descrição.
A partir dos indivíduos, foram sistematizados os sites e referências das
organizações às quais pertenciam, chegando-se a 102 organizações
selecionadas como potenciais UDL. Após o descarte de duplicatas (n=21),
restaram 87 sites.
Nestes sites foram usadas ferramentas de busca, pesquisando termos
que caracterizassem a realização sistemática de linkage. Os termos usados na
busca foram: "data linkage" ou "record linkage" ou "linkage center" ou "linkage
centre" ou "linkage unit" ou "linkage group" ou "linkage project". Os sites de
55
organizações que não atenderam a nenhum dos critérios acima foram
excluídos, restando 46 sites completos a navegar extensivamente para
avaliação de elegibilidade. Ao longo da navegação dos sites, foram também
pesquisadas links de outras organizações indicadas como referências em
linkage pelos sites.
Ao final, foram incluídas no estudo as experiências de UDL em função
dos seguintes critérios de elegibilidade: (a) ser uma unidade minimamente
organizada: com equipe dedicada, estrutura física e missão estabelecida; (b)
funcionar continuamente, produzindo dados para projetos de pesquisa para a
comunidade científica em geral ou apoio à gestão; (c) apresentar as bases de
dados que integram o acervo; (d) apresentar um processo formal de solicitação
de acesso aos dados pelos pesquisadores; (e) descrever resumidamente seu
modelo do processo de linkage; (f) apresentar políticas, procedimentos, normas
ou medidas de proteção da privacidade dos dados dos indivíduos.
A navegação extensiva dos sites foi realizada até 31/01/2012. Foram
lidos documentos disponíveis para download e foram requisitados, por e-mail,
documentos citados que não estavam disponíveis no site.
As informações relevantes de cada experiência foram registradas em
fichas de caracterização da experiência, estruturadas em dimensões: estrutura
e funcionamento interno; relação com gestores (provedores de dados); relação
com pesquisadores (solicitantes); modelo do processo de linkage; relação com
a sociedade e financiamento, conforme apresentado no Quadro 02.
56
Quadro 02 – Experiências Internacionais - dimensões e variáveis estudadas
Dimensão
A. Estrutura e operação
Segurança da Informação
B. Relação com
gestores (provedores
de dados)
C. Relação com
pesquisadores
(solicitantes)
D. Modelo do Processo
de Linkage
E. Relação com a
sociedade
F. Financiamento
Variáveis analisadas
1. Aspectos gerais relacionados à criação da UDL
2. Estrutura física mencionada no site (escritórios,
computadores)
3. Composição da equipe da UDL
4. Certificações segurança
5. Outras certificações
1. Há contrato com os gestores de dados?
1. Escopo/assunto das bases de dados disponíveis
publicados no site
2. Dicionário de dados publicado no site
3. Publicação no site da relação de produtos de
linkage disseminados
4. Publicação no site da abrangência temporal dos
dados disponíveis
5. Processo de Requisição de Extração de Dados
Publicado no site
6. Contrato com termo de confidencialidade assinado
pelo requisitante
7. Capacitação a pesquisadores sobre o processo da
UDL e/ou sobre privacidade (à distância ou
presencial)
8. Ambiente remoto para análise de dados
relacionados disponível
1. Docs publicados site sobre modo operação descrição do fluxo do processo de RL publicada
(Processo técnico de organização dos arquivos
usados no linkage e o “passo-a-passo” do
processo)
2. Documentos Disponíveis
1. Missão declarada
2. Lista de projetos realizados/em andamento
publicada
3. FAQ publicadas
4. Capacitação à sociedade em geral sobre o
processo da UDL e/ou sobre privacidade (à
distância ou presencial)
5. Política de privacidade publicada no site
6. Modelo de governança publicado
1. Fontes de recursos de sustentação financeira
2. Orçamento publicado
Após a coleta de dados, foi feita a sistematização das boas práticas de
segurança
selecionadas
como
relevantes
para
ambientes
de
UDL.
Adicionalmente, quando disponíveis, foram coletados dados sobre a forma de
financiamento das UDL.
57
6.2 Resultados
Foram incluídas no estudo 14 experiências internacionais de UDL, em 4
países: Austrália (sete UDL), Canadá (cinco UDL), Escócia (uma UDL) e
Estados Unidos (uma UDL). Por vezes as UDL surgem a partir de projetos de
pesquisas incubados em universidades e depois se tornam unidades
organizadas como prestadoras de serviço de extração de dados voltados à
pesquisa em saúde. Em todos os casos estudados os processos de instalação
se deram por iniciativas de cooperação entre instituições gestoras das bases
de dados e instituições dispostas a hospedar a infra-estrutura necessária para
o funcionamento dos processos de linkage.
A
experiência
norte-americana
(Rochester
Epidemiology
Project)
(Rochester Epidemiology Project, 2009) é a mais antiga (1966), embora tenha
abrangência geográfica muito restrita ao condado de Olmsted. Outras UDL
regionais mais antigos datam da década de 80 no Canadá, nas províncias de
Manitoba (MCHP, 2002) e Bristish Columbia, (Population Data BC, 2012)
sendo que a experiência nacional do Statitics Canada (Statistics Canada, 2010)
é da mesma década.
A partir de 1995, com o início do funcionamento do Data Linkage Branch
of Western Australia, ( houve um crescimento notável da instalação de UDL na
Austrália, estendendo-se por todo o país durante os próximos quinze anos e
culminando na formação da Population Health Research Network (PHRN),
(PHRN, 2011) como uma rede nacional de UDL.
Atualmente, observa-se que metade das UDL (n=7) funciona em
universidades,
quatro
UDL
em
autoridades
governamentais
sanitárias
(ministérios, departamentos de saúde), duas UDL são em serviços de saúde de
referência e uma UDL funciona em um instituto federal de estatísticas.
O Quadro 03 apresenta as UDL incluídas no estudo e a Figura 05
mostra as localizações geográficas no mundo.
58
Quadro 03 – Unidades de data linkage incluídas no estudo
País
Nome / URL
Austrália
Centre for Data Linkage (CDL) (CDL Curtin University, 2011)
www.phrn.org.au/cdl
2009
Center for Record Linkage (CHEREL) (CHeRel, 2011)
http://www.cherel.org.au/
2006
Canadá
Escócia
Estados
Unidos
Data Linkage Branch of Western Australia (DLB-WA) (UWA, 2012)
http://www.datalinkage-wa.org/
Health Linq (HLQ) (Health LinQ, 2010)
http://www.healthlinq.org.au/health-linq
South Australia and Northern Territory Linkage Consortium (SANT-DL) (SA-NT DataLink;
USA, 2012)
https://www.santdatalink.org.au/
Tasmanian Data Linkage Unit (TDLU) (Menzies Research Institute Tasmania and UTAS,
2008)
www.menzies.utas.edu.au
Victorian Data Linkages (VDL) (Victorian Data Linkages, VDL, 2012)
www.health.vic.gov.au/vdl/
Population Data British Columbia (POPDATABC) (Population Data BC, 2012)
http://www.popdata.bc.ca/
Manitoba Centre for Health Policy (MCHP) (University of Manitoba, 2012)
http://umanitoba.ca/faculties/medicine/units/community_health_sciences/departmental_unit
s/mchp/
Population Health Research Unit (PHRU) (Dalhousie University, 2012)
http://www.phru.dal.ca/index.cfm
Ontario Data Linkage Project (CD-LINK) (Institute for Clinical Evaluative Sciences (ICES),
2011)
http://www.ices.on.ca/webpage.cfm?site_id=1&org_id=26&morg_id=0&gsec_id=6159&item
_id=6159
Statistics Canadá (SC) (Statistics Canada, 2010)
http://www4.statcan.gc.ca/health-sante/link-coup-eng.htm
Information Services Division – Medical Record Linkage (ISD-MRL) (ISD NHS Scotland
Information Services Division, 2010)
http://www.isdscotland.org/Products-and-Services/Medical-Record-Linkage/
Rochester Epidemiology Project (REP) (Rochester Epidemiology Project, 2009)
http://www.rochesterproject.org/
Ano
Início
1995
2009
2009
2006
1998
2009
1980
1993
2010
1970
1989
1966
Abrangência
Geográfica
Nacional
Cidade Sede Natureza da Instituição
Sede
Perth
Universidade
New South
Australia (NSW) e
Australia Capital
Territory (ACT)
Western Australia
Sydney
Serviço de Saúde
Perth
Autoridade Sanitária
Queensland
Brisbane
Universidade
South Australia
Adelaide
Universidade
Tasmania
Hobart
Victoria
Melbourne
British Columbia
Vancouver
Universidade
Manitoba
Winnipeg
Universidade
Nova Scotia
Halifax
Universidade
Ontario
Toronto
Universidade
Nacional
Ottawa
Instituto Estatístico
Scotland
Edinburgh
Rochester e
Olmsted County
Rochester
Serviço de Saúde
59
Figura 05 - Localização das unidades de data linkage incluídas
60
O estudo revelou aspectos comuns entre as UDL. Em todas foi possível
identificar um conjunto de atores (pessoas ou organizações) que participam do
processo de linkage, conforme descrito a seguir:
−
Gestores-de-dados: organizações que hospedam os sistemas de
informação em saúde cujas bases de dados serão utilizadas nos
processos de linkage. Em alguns locais, são chamados de provedores-dedados (data-providers). Em cada organização desta, existe o custodiantede-dados: profissional responsável pela custódia das bases-de-dados e a
quem cabe garantir o cumprimento das regras de segurança da
informação.
−
Pesquisadores: indivíduos ou grupos que requisitam à UDL extratos de
bases de dados relacionadas por meio de linkage. No contexto desta
pesquisa, o termo “pesquisador” engloba todos os tipos de clientes dos
serviços prestados pela UDL, tais como gestores de saúde ou
profissionais que atuam no monitoramento de ações de saúde utilizando
os resultados do linkage.
−
Responsáveis-por-projeto: profissionais integrantes da equipe técnica
da UDL encarregados de analisar as solicitações dos pesquisadores e
coordenar o atendimento da pesquisa em questão. São auxiliados por
programadores, que executam as rotinas computacionais do linkage.
−
Comitês-de-ética: instâncias responsáveis por estabelecer as diretrizes
éticas de garantia da privacidade dos indivíduos a serem observadas pela
UDL e pelos pesquisadores, bem como por analisar os projetos de
pesquisa que requisitam dados à UDL.
Quanto às informações que são objeto do interesse de pesquisas, estas
podem ser organizadas essencialmente em dois grupos de dados:
−
variáveis-demográficas: campos de dados que identificam o indivíduo
sujeito da atenção em saúde, tais como, nome, data-de-nascimento,
nome-da-mãe, documento-de-identidade, endereço.
−
variáveis-conteúdo: campos de dados relacionados ao atendimento,
tais como: identificação-do-prestador-serviço, identificação-profissional,
61
data-do-atendimento, diagnóstico, procedimento, resultado-de-exame,
serviços prestados, informação clínica, entre outros.
As UDL relacionam variáveis-demográficas de bases distintas utilizando
técnicas de linkage. Os pares obtidos são então associados às respectivas
variáveis-conteúdo, para que ao final resultem em extratos-de-dados por
projeto de pesquisa específico.
Os modelos de processo de linkage das experiências estudadas
preconizam variadas formas de processamento/armazenamento de variáveisdemográficas e variáveis-conteúdo, as quais geram impacto direto no grau de
segurança da informação. Em algumas experiências estudadas, as UDL lidam
somente com variáveis-demográficas, sendo que em outras também lidam com
variáveis-conteúdo.
Em relação ao financiamento, foram identificadas diversas fontes:
dotações orçamentárias de órgãos vinculados (governo ou universidades
públicas e privadas), orçamentos de projetos de pesquisa específicos,
subsídios de loterias, subvenções de associados e cobranças de tarifas para a
cobertura de custo operacional de serviços (despesas de pessoal e
equipamentos utilizados para os processos de linkage). As tarifas dependem
do tamanho e da complexidade das tarefas, tais como número de bases de
dados, número de anos e o número de indivíduos no extrato-de-dados.
A seguir, são detalhadas as experiências estudadas segundo as
dimensões estabelecidas.
6.2.1 Austrália
A localização das UDL da Austrália incluídas no estudo consta na Figura
06. Foram acrescidos dois pontos: o escritório central da PHRN e a sede da
instituição que hospeda o ambiente de acesso remoto, ambos em linhas
tracejadas. Em cada uma, é informado também o ano de início de operação.
62
Figura 06 - Localização das unidades de data linkage da Austrália
63
6.2.1.1 Estrutura e operação
O modelo de UDL australiano foi baseado no protocolo de melhores
práticas de linkage estabelecido por Kelman et al. em 2002 (Kelman; Bass;
Holman, 2002) e utilizado na mais antiga UDL da Austrália: o Western Australia
Research Linked Database Project, a partir de 1995, sediado na University of
Western Austrália (UWA) .
Os princípios do protocolo são:
− Maximizar a proteção da privacidade dos indivíduos.
− Prover arquivos de dados ligados somente a pesquisadores
oficialmente designados a projetos de pesquisa formalmente
aprovados.
− Fornecer
aos
pesquisadores
somente
os
dados
suficientes
requeridos para o seu projeto de pesquisa específico.
− Assegurar aos custodiantes-de-dados que seus dados confiados à
UDL terão uso apropriado e todas as obrigações de segurança serão
atendidas.
Em 2008, a comissão de reforma legislativa australiana (Commission,
2008) formalizou o princípio norteador do modelo de UDL australiano,
preconizando que o processo de relacionamento de informações de saúde para
pesquisa é distinto do relacionamento de informações de saúde para cuidados
clínicos. A prestação de cuidados clínicos necessita saber a identidade do
indivíduo e ter acesso às suas informações de saúde. Pesquisadores em geral
não precisam saber a identidade do indivíduo, mas sim que certas informações
de saúde se referem ao mesmo indivíduo.
Isto pode ser obtido por meio de processos nos quais organizações
intermediárias independentes realizam o linkage dos dados, mas sem ter
acesso às reais informações de saúde, e os pesquisadores têm acesso
somente às informações de saúde já ligadas, mas sem a identificação do
indivíduo. Estes conceitos impulsionaram a criação de uma rede de UDL.
64
Com o objetivo de desenvolver infra-estrutura de pesquisa para permitir
que pesquisadores em universidades, institutos de pesquisa, agências
governamentais e outras organizações acessem de forma mais fácil e segura
as bases de dados de pesquisa já existentes, bases ad hoc e bases
administrativas, foi concebido o projeto de uma rede de abrangência nacional,
composta por organizações independentes responsáveis pelo linkage dos
dados: a PHRN. (PHRN, 2011)
A PHRN foi concebida como um projeto financiado com recursos da
Estratégia Nacional de Pesquisa Colaborativa na Austrália e do Ministério do
Desenvolvimento, Ciência e Tecnologia da Austrália, sendo constituída
baseada nas experiências anteriores duas grandes UDL: Western Australia
Data Linkage (criada em 1995)(Garfield; Rosman; Bass, 2002) e do CheRel
(criado em 2006).
Formalizada em 2009, a PHRN tem abrangência geográfica nacional,
com UDL em cada estado (Northern Territory participa com South Australia e
Australian Capital Territory participa com New South Wales).
Atualmente a rede é composta de 12 instituições, coordenadas pelo
escritório central (em Perth/WA) situado na UWA, desde 2006. Há uma UDL
nacional: CDL – Center for Data Linkage, situado na Curtin University desde
2009 (CDL Curtin University, 2011) e mais seis regionais, sendo que destes,
dois são sediados em universidades: SANT Data Linkage Consortium, sediado
na University of South Austrália desde 2009 (SA-NT DataLink; USA, 2012) e o
HealthLinQ baseado na University of Queensland desde 2009. (Health LinQ,
2010)
Três ficam em departamentos de saúde (governo regional): Data
Linkage Branch Western Austrália (DLB-WA) (UWA, 2012), o mais antigo,
desde 1995; Victorian Data Linkages (VDL) (Victorian Data Linkages, VDL,
2012) e Tasmanian Data Linkage Unit (TDLU) (Menzies Research Institute
Tasmania and UTAS, 2008). O último: Center for Record Linkage (CHEREL) é
sediado no Instituto Nacional de Câncer. (CHeRel, 2011) Os sites de cada uma
das UDL da PHRN ainda estão em diferentes graus de profundidade das
informações divulgadas. Entretanto, foi possível identificar as informações
65
essenciais para sua inclusão como UDL neste estudo, além do que, a PHRN
divulga um conjunto de regras comuns a todos os membros da rede.
Há um ambiente computacional de acesso remoto para análise dos
dados por pesquisadores: o Secure Unified Reseach Environment (SURE),
(SAX Institute, 2012) mantido por um instituto de pesquisa em saúde (SAX
Institute). O ambiente só é acessível a pesquisadores certificados e cujos
projetos de pesquisa tenham sido aprovados. O acesso ao SURE é pago e
feito por conexão criptografada, disponível nas universidades. Nele estão
disponíveis ferramentas de análise estatística, para uso nos espaços virtuais
segregados por projeto de pesquisa. A implantação do SURE substituiu a
remessa de mídias com dados-extraídos aos pesquisadores e o conseqüente
armazenamento destes dados nos ambientes locais dos pesquisadores.
A PHRN não conduz pesquisas por iniciativa própria, isto é, somente
viabiliza a extração de dados para projetos de pesquisa de outras instituições.
O linkage com dados de saúde é o motivo principal da existência das UDL, mas
algumas delas (VDL, SANT-DL) realizam linkage com outros dados
populacionais.
Quanto à infra-estrutura física, a descrição da capacidade instalada é
obtida no site de cada UDL integrante. Algumas UDL publicam grande volume
de documentos sobre sua estrutura, forma de operação e política de
privacidade. Entretanto, o grau de detalhamento das informações publicadas é
bastante variado, sendo mais completo nas UDL mais antigas.
Além dos serviços de linkage de dados, algumas UDL da PHRN (como o
DLB-WA)
oferecem
extração
de
bases
já
relacionadas
disponíveis,
geocodificação de dados, seleção de amostras de dados para pesquisas e
relações genealógicas (indivíduos, famílias, grupos). A única UDL que informou
realizar linkage sistemático para provimento periódico de dados para
monitoramento de ações e serviços de saúde por gestores foi a VDL (Victorian
Data Linkages, VDL, 2012).
O acesso e utilização de conjuntos de dados de pesquisa são
estritamente controlados e gerenciados. A PHRN publica sua política de
privacidade e medidas de segurança. O SANT-DL (SA-NT DataLink; USA,
66
2012) está em processo de certificação de conformidade com normas de
segurança
da
informação
ISO/IEC-27002:2005
(ISO
-
International
Organization for Standardization, 2005).
O site da PHRN oferece vasta documentação relevante sobre o modelo
de governança da rede e aponta para os sites de cada uma das UDL
integrantes da rede. Embora o modelo australiano estabeleça a padronização
de procedimentos entre as distintas UDL, uma vez que todas utilizam o mesmo
protocolo técnico (Kelman; Bass; Holman, 2002), as UDL da rede podem
estabelecer fluxos próprios, desde que não contrariem os mecanismos de
governança da rede. A PHRN disponibiliza também informações sobre os
projetos de pesquisa em andamento e já concluídos.
6.2.1.2 Relação com gestores de dados
Cada UDL da PHRN pode estabelecer um instrumento contratual que
regule sua relação com os gestores-de-dados de sua jurisdição. Não há
pagamento pelo fornecimento. A PHRN padronizou um instrumento (data
transfer agreement) para a transferência de dados regular à UDL nacional
(CDL) que, entre outros aspectos, estabelece a periodicidade e a forma de
transferência dos dados.
É de interesse das UDL manter o maior acervo de dados possível. Neste
sentido, há documentos de esclarecimento e estímulo a potenciais gestores-dedados para que disponibilizem suas bases às UDL.
É possível também realizar linkage com bases de dados externas às
UDL, tais como bases de dados primários coletados pelos pesquisadores,
desde que o projeto seja aprovado pelo comitê-de-ética.
6.2.1.3 Relação com pesquisadores
Pesquisadores que desejem obter dados dos gestores devem passar por
um rigoroso processo de submissão de sua solicitação à aprovação dos
custodiantes-de-dados e dos comitês-de-ética dos gestores das bases de
dados desejadas. O comitê-de-ética certifica que o estudo é válido e de
interesse público.
67
O processo de submissão é padronizado quanto ao conteúdo mínimo.
Todas as UDL explicitam claramente os processos de submissão em seus
sites, embora variem os estágios tecnológicos de formas de submissão
eletrônica de projetos.
A maioria das UDL publica a relação das bases de dados disponíveis,
sua abrangência temporal e seu dicionário de dados.
Uma vez que uma solicitação é aprovada, torna-se um projeto na UDL.
Os custodiantes-de-dados e os programadores da UDL trabalham juntos para
determinar quais registros e campos são necessários para o projeto para
garantir que a quantidade mínima necessária de dados seja fornecida ao
pesquisador. Após esta fase, é iniciado o processo de linkage propriamente
dito.
O contato com o pesquisador é feito pelo custodiante-de-dados do
gestor. Várias obrigações dos pesquisadores são formalizadas em contrato,
entre elas a apresentação de um plano de segurança da informação em suas
instalações, a assinatura de um termo de confidencialidade e uma declaração
de destruição da massa de dados ao final do período previsto para sua
utilização.
6.2.1.4 Modelo do processo de linkage
O modelo de linkage adotado na Austrália é baseado na experiência do
DLB-WA, sendo padronizado entre todos as UDL da rede.
A seguir, são descritos os passos do atendimento das solicitações,
considerando que já tenham sido aprovadas pelos comitês de ética dos
gestores-de-dados. O fluxo do processo de linkage, propriamente dito, a partir
daí, é ilustrado sucintamente na Figura 07.
68
gestor-de-dados-A
base-original
A
gestor-de-dados-B
resultado
do linkage
3
resultado
do linkage
base-original
B
Devolução
dos registros
resultantes do
linkage aos
gestores
1
4
Envio das variáveis
da base A obtidas
para o linkage na
UDL
Entrega do extrato
da base A ao
pesquisador
UDL
Envio das variáveis
da base B obtidas
para o linkage na
UDL
Record linkage; atribuição de
chaves-de-ligação e
2
identificador-do-projeto
aos pares; atualização
da coleção da UDL
pesquisador
1
Entrega do extrato
da base B ao
pesquisador
4
Extratos das bases relacionáveis
entre si, contemplando variáveis5 conteúdo e sem variáveisdemográficas
Chave-original-local-A
Chave-de-ligação na UDL
Variáveis-demográficas-A
Identificador-do-projeto
Chave-original-local-B
Variáveis-demográficas-B
Variáveis-conteúdo-B
Variáveis-conteúdo-A
n Etapas do processo
Figura 07 - Modelo do processo de linkage australiano
(adaptado de http://www.health.vic.gov.au/vdl/downloads/introduction_to_vdl.pdf)
A principal característica do modelo australiano é que todas as UDL
integrantes da PHRN armazenam somente variáveis-demográficas e não
variáveis-conteúdo. Esta característica, por si só, aumenta a proteção da
privacidade das informações de saúde, pois variáveis-demográficas não são
manipuladas em conjunto com variáveis-conteúdo pela UDL.
69
A UDL funciona como uma terceira-parte-confiável (trusted-third-party
TTP), a quem os gestores-de-dados delegam a função técnica de parear seus
registros, implementa salvaguardas de segurança, não armazena variáveisconteúdo e, portanto, não poderá unir variáveis-demográficas com variáveisconteúdo. Todo o trabalho é feito em computadores-servidores seguros, sendo
acessados apenas por pessoal autorizado da UDL.
Dentro de uma mesma UDL, para permitir que os dados sobre a mesma
pessoa sejam pareados entre os conjuntos de dados diferentes, são criadas
chaves-de-ligação (linkage-keys), as quais consistem em seqüências aleatórias
de números e letras.
Os custodiantes-de-dados das bases em questão fornecem à UDL suas
bases originais, contendo todos os registros, mas apenas os campos relativos
a
variáveis-demográficas,
acrescidos
da
respectiva
chave-original
de
identificação local de cada registro (etapa 1). Os demais campos do registro
(que contém variáveis-conteúdo) permanecem guardados no gestor-de-dados,
o que significa que nunca a UDL têm acesso a esse conteúdo sensível.
Ao receber estas bases identificadas, a UDL realiza o pareamento dos
registros por meio de técnicas de linkage (etapa 2). Para cada par resultante
(que representa o mesmo indivíduo) é atribuída uma chave-de-ligação da
própria UDL, e ao final, o respectivo identificador de cada par no projeto
específico (identificador-do-projeto). A UDL, então, devolve os registros
resultantes aos gestores-de-dados, contendo apenas o identificador-do-projeto
e a chave-original-local (etapa 3).
De posse deste subconjunto, cada gestor-de-dados separadamente, por
meio da chave-original-local, acessa sua base e gera um extrato-de-dados com
as variáveis-conteúdo, mas substituindo suas variáveis-demográficas pelo
identificador-do-projeto (etapa 4). O extrato-de-dados resultante (registros
contemplando variáveis-conteúdo, identificador-do-projeto e sem variáveisdemográficas)
é
entregue
diretamente
por
cada
gestor-de-dados
ao
pesquisador.
De posse dos dois extratos-de-dados, o pesquisador pode unir os
registros por meio do identificador-do-projeto, determinando quais pares
70
pertencem à mesma pessoa, sem ter acesso às informações pessoais e
realizar suas análises estatísticas (etapa 5).
Para manter a atualização regular da UDL, os gestores-de-dados
provêem à UDL remessas periódicas de novos subconjuntos contendo
variáveis-demográficas, com suas chaves-originais-locais. Em seguida, usando
linkage probabilístico, a UDL verifica os novos dados versus a cadeia de pares
amazenada para ver se já existem pares anteriores para os mesmos indivíduos
ingressantes. Para cada registro considerado uma nova pessoa no sistema, a
UDL cria uma nova chave-de-ligação, que é então adicionada à coleção de
registros da UDL.
6.2.1.5 Relação com a sociedade
A PHRN apresenta em seu site vários documentos que propiciam a
confiança da sociedade na segurança da informação manejada pelas UDL.
Entre eles: lista de projetos realizados/em andamento publicada, relação de
perguntas frequentes, política de privacidade e modelo de governança.
Existe um comitê consultivo de ética, privacidade e participação do
consumidor, no qual há representação formal das entidades de defesa dos
direitos dos consumidores de serviços de saúde, públicos ou privados.
Em relação às iniciativas de sensibilização da sociedade, existe grande
variedade entre as UDL. A PHRN realiza cursos e palestras sobre o processo
da UDL e/ou sobre privacidade, desenvolvidos em modo presencial ou à
distância. Algumas UDL disponibilizam folders com as principais medidas de
proteção da privacidade vídeos explicativos muito interessantes, como por
exemplo, o vídeo do SANT-DL, (SA-NT DataLink; USA, 2012) disponível em
https://www.santdatalink.org.au/animation .
6.2.1.6 Financiamento
O orçamento original da PHRN foi de 20 milhões de dólares, para quatro
anos, obtido da NCRIS, acrescido de 32 milhões provenientes das
organizações membros e 19 milhões de outros fundos de financiamento a
ciência e tecnologia.
71
Há também a cobrança de taxas pelos serviços prestados, conforme
política de acesso e preços é publicada no site. (PHRN, 2011) O pagamento de
tarifas para a execução dos projetos é feito de acordo com a variedade de
bases de dados solicitadas, abrangência temporal, geográfica ou outros
critérios específicos. As UDL informam que as tarifas cobradas não visam
lucro, mas sim a cobertura dos custos operacionais.
6.2.2 Canadá
No Canadá foram estudadas cinco experiências. Todas são organizadas
em províncias, não havendo uma rede nacional semelhante à Austrália. A
única UDL que referiu realizar estudos nacionais foi a Statistics Canada. A
localização das UDL do Canadá incluídas no estudo consta na Figura 08.
72
Figura 08 - Localização das unidades de data linkage do Canadá
73
6.2.2.1 British Columbia – POPDATABC
6.2.2.1.1 Estrutura e operação
Em 1970, a University of British Columbia (UBC) firmou um acordo com
o Ministério da Saúde da província de British Columbia e outras instituições
para que seu centro de pesquisa em políticas e serviços de saúde, o Centre for
Health Services and Policy Research (CHSPR), mantivesse e provesse acesso
a informações de saúde para fins de pesquisa. (Population Data BC, 2012) Em
1988, o CHSPR/UBC, capitaneou o projeto British Columbia Linked Health
Database (BCLHD). Inicialmente, o projeto BCLHD unificou bases de dados de
utilização de serviços de saúde e eventos vitais. Mais tarde, passou a incluir
bases de dados de registro de câncer e eventos relacionados ao trabalho.
A partir de 1996, após um acordo do Ministério da Saúde e o Comissário
de Privacidade de British Columbia, foi criada uma política de acesso e uso dos
dados para pesquisas, iniciando a partir daí o fornecimento de dados a outros
centros de pesquisas.
Durante 11 anos o projeto BCLHD forneceu dados para projetos
aprovados da comunidade científica de BC, resguardando a privacidade dos
indivíduos. O projeto BCLHD levou ao reconhecimento da eficiência de se criar
uma fonte central e longitudinal de informações de saúde para pesquisadores.
De 2005 a 2008 o CHSPR captou recursos para expandir a amplitude de dados
de pesquisa disponíveis, consorciando-se a outras duas universidades: Simon
Fraser University (SFU) e University of Victoria (UVIC).
Em 2009, baseado no modelo do BCLHD, foi criado o POPDATABC. A
UDL é sediada em Vancouver na University of British Columbia e consiste em
uma organização com missão específica de atuar como uma unidade de data
linkage para a comunidade científica de BC. Representa uma fonte de
informações de saúde (disponíveis a partir de 1985), educacionais,
ocupacionais, ambientais e sócio-econômicas, bem como atua na formação de
profissionais com capacidades para usar as fontes de dados.
74
Antes de iniciar a operação do POPDATABC, foi realizado um estudo de
impacto de privacidade, avaliado e revisto pela Diretoria de Informática da UBC
e pelo Comissário de Privacidade BC. O POPDATABC informa que cumpre
todos os regulamentos governamentais referentes à proteção das Informações
Pessoais, incluindo o BC Freedom of Information and Protection of Privacy Act.
Em 2010 o POPDATABC obteve o certificado de conformidade com a norma
ISO/IEC-27002:2005 de segurança da informação e é considerado como uma
terceira parte confiável (TTP).
O POPDATABC desenvolveu padrões de segurança física, técnica e
processual para proteção de dados, sendo elementos críticos:
- Um ambiente físico seguro, que não permite que dados (identificáveis
ou não) transitem dentro ou para fora, sem mecanismos específicos de
segurança e controles de auditoria.
- Separação técnica e operacional estrita entre variáveis-demográficas e
variáveis-conteúdo.
- Linkage entre novas fontes de dados e existentes de uma forma
protegida, por meio da Unidade de Gerenciamento de Dados Identificados
como uma terceira parte confiável.
- Extratos de pesquisa são apenas disponibilizados para pesquisas
autorizadas e fins estatísticos (sob nenhuma circunstância para fins
administrativos) e fornecidos com identificadores-de-projeto específicos.
- Pesquisadores que utilizam estes dados podem tirar conclusões e
relatório sobre várias agregações (por exemplo, por região, ou a idade do
paciente), não no nível individual.
- As garantias de segurança e auditoria são extensivas para o trabalho
dos pesquisadores em suas próprias instalações, proporcionando-lhes acesso
remoto controlado aos extratos-de-dados, com exceções limitadas.
O POPDATABC publica o arcabouço técnico de gerenciamento de risco,
o Privacy Risk Management Framework, que consiste de muitos componentes:
- acordos de confidencialidade
- treinamento de privacidade
75
- avaliação do impacto de privacidade
- um site público com perguntas mais frequentes e as respostas
- prestação de contas,
- segurança física,
- segurança de rede,
- controle de recursos humanos, incluindo a presença de um oficial de
privacidade.
Outros esforços de segurança incluem:
- Manter os princípios de privacidade, políticas, procedimentos e as
práticas atuais e em harmonia com a legislação em vigor.
- Acompanhar a evolução da legislação de privacidade, de tecnologias
de reforço à proteção da privacidade e adaptar, se necessário.
- Buscar e adotar padrões reconhecidos de procedimentos físicos e
técnicos para segurança e dados.
- Promover a transparência e prestação de contas a fim de aumentar a
consciência da população sobre princípios de privacidade, políticas e
procedimentos.
- Promover uma cultura de privacidade na sociedade.
- Apoio à equipe na aplicação dos princípios de privacidade, políticas e
procedimentos.
- Apoiar o acesso controlado e uso responsável das informações
pessoais sob gestão do POPDATABC.
No POPDATABC, as áreas físicas e os ambientes computacionais são
segregados, conforme mostrado nas Figuras 09 e 10.
76
Figura 09 – Segregação física de ambientes do POPDATABC
Figura 10 – Segregação de ambientes computacionais do POPDATABC
77
6.2.2.1.2 Relação com gestores de dados
No POPDATABC a decisão sobre a autorização do acesso às bases é
dos custodiantes-de-dados dos gestores-de-dados em questão. Há um
documento (information sharing agreement) que estabelece o modo como o
gestor-de-dados poderá monitorar o uso de seus dados no POPDATABC
(relatórios periódicos e auditoria local nas UDL).
6.2.2.1.3 Relação com pesquisadores
POPDATABC oferece os seguintes serviços aos pesquisadores:
- Acesso às fontes de dados pessoais de-identificados, incluindo
registros de serviços de saúde, dados de saúde da população e áreas
geográficas de recenseamento.
- Apoio e orientação na requisição para acessar os dados mantidos
em seu acervo, complementar a um procedimento de acesso formalizado.
Cabe ressaltar que o POPDATABC apresenta o mais completo documento de
orientação de acesso aos dados das UDL estudadas: Research Data Access
Framework (RDAF). (Population Data BC, 2012)
- Acesso remoto a um servidor central para armazenamento de dados
e análise, incluindo backups criptografados, software e outros serviços para
garantir o cumprimento dos requisitos de acesso de dados.
O contato com os pesquisadores se dá por meio do próprio
POPDATABC. Entretanto, todas as solicitações precisam ser aprovadas pelos
custodiantes dos gestores. Ao ser aprovado o projeto de pesquisa, é assinado
um contrato entre o pesquisador e o POPDATABC (research agreement).
6.2.2.1.4 Modelo do processo de linkage
O POPDATABC separa variáveis-demográficas de variáveis-conteúdo
mas, ao contrário do modelo australiano, armazena estas últimas em suas
instalações, ainda que em ambientes físicos e computacionais separados.
78
Somente
programadores
designados
têm
acesso
a
variáveis-
demográficas para a realização do linkage quando os dados chegam, antes de
serem separados das variáveis-conteúdo. Variáveis-conteúdo são
utilizadas
somente para o linkage, sendo substituídas por identificadores-do-projeto
específico após sua conclusão e sendo estes arquivados em um local
fisicamente seguro. Só os identificadores-do-projeto são divulgados para
pesquisadores, juntamente com as variáveis-conteúdo.
Há uma unidade de gestão de variáveis-demográficas e uma unidade de
gestão de variáveis-conteúdo. Considerando que as transferências de dados
são extremamente limitadas, envolvendo apenas identificadores, os dados são
mantidos na mesma área lógica e tratados pelo mesmo grupo de
programadores, a título de simplificação, a partir da publicação da revisão do
estudo de impacto de privacidade (privacy impact assessment) (PIA),
(Population Data BC, 2012) foi decidido que, remessas de dados entre estas
unidades não seriam mais criptografadas e decriptografadas.
6.2.2.1.5 Relação com a sociedade
O POPDATABC publica em seu site os projetos de pesquisa em
andamento e concluídos, bem como todo o arcabouço normativo de proteção
de privacidade que dispõe e relação de perguntas frequentes.
6.2.2.1.6 Financiamento
A UDL é financiada por fundos governamentais e privados para inovação
e pesquisa científica. Há cobrança de taxas para cobertura dos custos
operacionais de extrações de dados.
6.2.2.2 Manitoba – Repositório-MCHP
O Centro de Políticas de Saúde (Manitoba Centre for Health Policy
MCHP) da University of Manitoba (UoM), localizado na cidade de Winnipeg,
hospeda o Repositório de Dados de Pesquisas em Saúde Populacional.
(Population Health Research Data Repository PHRDR). (University of
Manitoba, 2012) O programa de linkage foi iniciado em 1980 e a primeira base
de dados recebida foi em 1982. (Marchessault; PHEc, 2010)
79
O Repositório-MCHP consiste de uma coleção de bancos de dados,
constituída fundamentalmente por habitantes da província de Manitoba,
agrupadas nos seguintes domínios:
- Saúde: dados de pesquisas epidemiológicas, bases administrativas e
bases clínicas;
- Educação: dados de ensino fundamental, médio, graduação e pósgraduação;
- Social: dados de dois programas sociais de Manitoba e pesquisas;
- Justiça: dados do sistema de notificação de incidentes
- Registros: quatro bases de dados: registro de seguro de saúde,
mortalidade, prestadores de serviços e de uma etnia local.
- Outros bancos de dados de suporte.
Uma característica importante é que há um número de identificação
pessoal de saúde, amplamente utilizado em todos os sistemas de informação
(Personal Health Information Number PHIN), (MCHP, 2002) o que facilita o
linkage entre as bases de dados e dispensa o uso de outras variáveisdemográficas.
Os registros são anônimos por isso o Repositório-MCHP não dispõe dos
nomes ou endereços de pacientes ou médicos. Há também muitas medidas de
segurança, como firewalls, senhas, criptografia de arquivos e acesso restrito. A
política de privacidade é publicada no site, devendo ser revisada a cada dois
anos. (MCHP, 2002) Estão disponíveis também documentos e normativos
orientadores sobre boas práticas de segurança no uso de dados secundários.
Os projetos de pesquisa submetidos ao Repositório-MCHP precisam ser
aprovados pelo comitê-de-ética da UoM, pelos custodiantes-de-dados dos
gestores das bases em questão e pelo Comitê de Privacidade da Província de
Manitoba.
Há contrato com os gestores de dados para transferência periódica.
80
Há extensa documentação orientadora para a submissão de projetos de
pesquisa e requisição de extratos-de-dados.
A partir de abril de 2010, há uma exigência que todos os pesquisadores
que acessam o Repositório-MCHP cumpram uma sessão de capacitação
anualmente (accreditation session).
A primeira sessão é presencial ou por
teleconferência. As subsequentes anuais requerem preenchimento online de
perguntas. O objetivo é fornecer uma visão geral da UDL, dos dados
disponíveis no Repositório, do acesso aos dados, de seu uso e de como deve
ser a publicação de resultados desenvolvidos a partir do Repositório. Ao final, é
exigida
a
assinatura
pelo
pesquisador
de
um
compromisso
de
confidencialidade e de cumprimento das práticas preconizadas pelo MCHP
durante a pesquisa.
Resultados
de
pesquisas
apresentados
em
relatórios
são
obrigatoriamente publicados de forma resumida apenas, de modo que a
identificação individual não seja possível. Qualquer célula da tabela não pode
conter menos de cinco indivíduos. Todos os relatórios que usam bases
administrativas são submetidos à autoridade de saúde de Manitoba antes da
publicação,
para
garantir
que
a
privacidade
de
indivíduos
não
foi
comprometida.
Os conjuntos de dados são armazenados de forma desvinculada e
ligados apenas para os projetos específicos aprovados. Não há nomes de
médicos ou endereços na banco de dados. Antes de transferir dados para o
repositório, a autoridade de saúde de Manitoba remove ou criptografa as
variáveis-demográficas de todos os indivíduos. (MCHP, 2002)
Relação com a sociedade
A UDL publica a lista de projetos em andamento e concluídos. Há vídeos
sobre o centro de pesquisa MCHP.
81
Metade do orçamento do MCHP provém de acordos com a província de
Manitoba (desde 1991) para financiar seis grandes projetos de pesquisa
anualmente, relacionados à saúde e questões sociais, utilizando o RepositórioMCHP. A outra metade vem de organizações que apóiam pesquisas, em
âmbitos provincial, nacional ou internacional, sendo que os pesquisadores do
MCHP devem competir por esses fundos.
6.2.2.3 Nova Scotia – Dalhousie-PHRU
Na província de Nova Scotia, em 1993, foi criado o PHRU-DatabaseSystem, administrado pela Unidade de Pesquisa em Saúde Populacional
(Population Health Research Unit PHRU) (Dalhousie University, 2012) do
Departamento de Saúde Comunitária e Epidemiologia da Universidade de
Dalhousie. O propósito foi atender à necessidade crescente de dados e apoio à
pesquisa em saúde populacional, epidemiologia clínica, utilização de serviços
de saúde em Nova Scotia.
O PHRU-Database-System foi iniciado a partir do fornecimento de bases
de dados administrativas pela autoridade de saúde da província, com vigência
a partir de 1989. Depois foram complementadas por outras fontes de dados
relativas a registros de saúde do trabalhador, dados clínicos e inquéritos
populacionais.
Todo o acesso ao PHRU-Database-System é regido por um acordo de
confidencialidade. O linkage de seus dados com bases de dados externas
requer protocolos especiais para garantir a confidencialidade da informação,
criptografando identificadores do paciente.
Os projetos de pesquisa submetidos precisam ser aprovados por um
comitê de acesso a dados (comitê-de-ética), para que somente então sejam
criados os extratos-de-dados, de-identificados e com identificadores-deprojetos específicos.
Há um processo formal de solicitação de dados para os projetos de
pesquisa.
82
A UDL é localizada dentro da Universidade de Dalhousie. Não são
fornecidos detalhes sobre sua estrutura física e recursos humanos.
Embora sejam mencionadas algumas medidas de segurança da
informação, tais como utilização de rede lógica de computadores isolada, não
são mencionadas certificações em normas técnicas de segurança.
Informam que as diretrizes de acesso a dados (Dalhousie University,
2012) foram elaboradas em conformidade com os regulamentos locais
vigentes.
Existe um comitê de acesso a dados que analisa as solicitações de
dados para projetos de pesquisa, reunindo-se mensalmente em datas préestabelecidas. Todas solicitações de dados são consideradas projetos de
pesquisa e submetidas também ao comitê de ética em pesquisa da
Universidade Dalhousie.
Apenas são mencionadas as organizações gestoras de dados, sem
explicitar a relação com a UDL.
O site publica as diretrizes de acesso a dados, (Dalhousie University,
2012) o passo-a-passo para a solicitação de dados, as diretrizes de
confidencialidade, os documentos a serem assinados pelo pesquisador e o
termo de confidencialidade. As solicitações de dados devem ser enviadas pelo
site com antecedência de pelo menos 15 dias das reuniões do comitê de
acesso a dados. Após a aprovação do projeto de pesquisa, é firmado um
contrato com o pesquisador.
O pesquisador poderá acessar os dados na própria PHRU, ou nos casos
em que os dados serão lhe são diretamente fornecidos, deverá comprovar
adequadas condições físicas, técnicas e administrativas para garantir a
segurança dos dados a ele confiados.
83
Não há informação técnica publicada sobre o processo de linkage
conduzido pela UDL.
Nas diretrizes de acesso a dados (Dalhousie University, 2012) é
informado que somente em circunstâncias excepcionais haverá liberação de
dados identificados, mediante aprovação por escrito do Departamento de
Saúde (ou o gestor do banco de dados em questão) e com base em uma
recomendação por escrito da PHRU. Isto nos leva a crer que haja
armazenamento de variáveis-demográficas na UDL.
Embora a informação publicada seja muito sucinta, estão disponíveis os
relatórios dos projetos de pesquisa concluídos e em andamento. Não foi
identificado se há participação de usuários de serviços de saúde no comitê de
acesso a dados.
O financiamento da unidade é feito pela própria unidade e projetos de
pesquisa associados. Não são publicados os montantes financeiros envolvidos
na manutenção da UDL. Há menção à cobrança de taxas para cobertura de
custos dos serviços, sendo as cotações requisitadas em contato direto com a
UDL.
6.2.2.4 Ontario Canada Data Linkage Project
Na província de Canadá há uma colaboração para a constituição de uma
UDL por meio do projeto Ontário Canada Data Linkage Project (CD-LINK),
(Institute for Clinical Evaluative Sciences (ICES), 2011) formada pela University
of Toronto, Institute for Clinical Evaluative Sciences (ICES) e a Cancer Care
Canada. O propósito do projeto é constituir, por meio de linkage, uma base de
dados abrangente destinada à pesquisa científica sobre o câncer e a utilização
de serviços de saúde.
Há pouca informação no site. O CD-LINK fica baseado no ICES.
84
Há acordos formais entre o CD-LINK e os gestores de dados. Se um
projeto novo contempla a utilização de uma base de dados não integrante do
acervo do CD-LINK, é firmado um acordo específico.
Atualmente, os serviços da UDL estão disponíveis somente para
pesquisadores em instituições acadêmicas de Ontário e para pesquisas sem
fins lucrativos.
No momento não há cobrança de taxas, mas há uma planilha de registro
de custos, para fins de acompanhamento contábil.
O processo formal de submissão de solicitações de acesso a dados para
projetos de pesquisa segue o modelo praticado no ICES, incluindo uma
avaliação de impacto de privacidade (PIA).
Ao ser aprovado, é firmado um contrato entre o CD-LINK e o
pesquisador. Este contrato prevê um termo de confidencialidade assinado pelo
pesquisador e sua equipe, renovado anualmente.
Os dados são entregues em mãos aos pesquisadores, em mídia
criptografada, com dicionário de dados e relatório sobre o processo de
extração.
Como há exigência de revisão prévia pelo CD-LINK das publicações de
resultados a serem feitas pelo pesquisador, mensalmente o CD-LINK vasculha
o PubMed para verificar se houve alguma publicação não-autorizada.
Três meses antes do término do contrato, o pesquisador deve enviar ao
CD-LINK uma declaração de destruição do extrato-de-dados original, cópias,
backups ou outras bases derivadas.
Todos os dados são anonimizados através da remoção ou criptografia
de identificadores pessoais. São atribuídos identificadores-do-projeto específico
aos registros do extrato-de-dados. Todas as datas mais específicas do que no
85
ano são convertidos para o número de dias em relação à data índice (por
exemplo, data de diagnóstico).
Uma inovação relevante é que antes de serem liberados aos
pesquisadores, os extratos-de-dados gerados são avaliados com uma
ferramenta analítica de avaliação de risco de privacidade, um programa que
mede e gerencia o risco re-identificação dos registros.
Todos os extratos-de-dados devem ter um risco re-identificação de ≤
0,33 (pelo menos três observações semelhantes no extrato-de-dados) e, de
preferência, pelo menos, ≤ 0,20 (pelo menos cinco observações semelhantes
no extrato-de-dados). Consequentemente, as variáveis podem ser modificadas
para garantir que cada versão de dados atenda a esses critérios.
Por exemplo, as idades de índice podem ser agrupadas em faixasetárias, ou regiões geográficas podem ser combinadas. Desta forma, um novo
tipo de dados é criado, reduzindo o risco de re-identificação.
O processo de-identificação é realizado por um analista do CD-LINK, em
colaboração com o pesquisador, para garantir que os dados finais deidentificados ainda permitam que o pesquisador possa atingir seus objetivos de
estudo.
O projeto CD-LINK faz parte do elenco de projetos do ICES. Não foram
identificadas informações específicas sobre projetos em curso ou finalizados.
Não foram identificadas informações sobre a participação da sociedade em
comitês de governança.
São previstas cobranças de taxas para custeio dos serviços,
futuramente.
6.2.2.5 Statistics Canada
O Statistics Canada (SC) é a agência nacional de estatísticas do Canadá
e utilizam as técnicas de linkage como uma importante ferramenta no
desenvolvimento, produção, avaliação e análise de dados estatísticos para
86
lançar luz sobre importantes questões sociais. Embora, por sua natureza, o
linkage seja potencialmente intrusivo à privacidade, SC utiliza esta técnica nos
casos em que o bem público é claramente evidente e supera a invasão de
privacidade, fornecendo dados para projetos de pesquisa internos e externos
na área de saúde. (Statistics Canada, 2010)
Embora haja menção a uma rede de data-centers de pesquisa
localizados em ambientes seguros de universidades canadenses e um datacenter federal localizado em Ottawa, responsáveis por fornecer micro-dados
aos pesquisadores, (CRDCN, 2012) não foi possível identificar pelas
informações do site se todos os data-centers realizam linkage ou somente o
federal.
Há uma política sucinta sobre linkage em vigor desde 1986 (Statistics
Canada, 2005), preconizando que o SC irá realizá-lo somente se atendidas
todas as seguintes condições: (a) objetivo da atividade de linkage é estatístico
(ou pesquisa) e é consistente com a missão do SC; (b) os produtos de linkage
serão
lançados
somente
em
conformidade
com
as
disposições
de
confidencialidade da lei de estatística e com os requisitos aplicáveis da lei de
privacidade; (c) a atividade linkage tem custo demonstrável ou poupa encargos
dos inquiridos, se comparado a outras alternativas, ou é a única opção viável;
(d)
a atividade de linkage não será utilizada para fins que podem ser
prejudiciais para os indivíduos inquiridos e os benefícios a serem derivados do
linkage são claramente do interesse público; (e) o linkage em questão não
prejudicará futuros programas de estatísticas do Canadá; (f) o projeto satisfaz o
processo de aprovação.
Estudos que não utilizem bases de dados já disponíveis requerem uma
avaliação de impacto sobre a privacidade para que sejam aprovados.
Os dados disponibilizados para o SC são providos pelos ministérios das
distintas áreas de governo ou outros gestores. Não são mencionados aspectos
relativos a contratos com estes gestores.
87
O processo de solicitação de dados para pesquisas está descrito em um
documento intitulado Directives for Record Linkage, (Statistics Canada, 2011)
obtido por meio do serviço de contato a clientes do site da Health Statistics
Division Client Services Unit. (Statistics Canada, 2010)
Todas solicitações de dados para projetos de pesquisa passam por um
processo
de
aprovação
que
envolve
a
apresentação
de
propostas
documentadas para uma comissão interna de peritos. Há um conjunto de
linkages previamente aprovados pelas autoridades governamentais. Quando o
projeto em questão necessita usar outra base de dados ainda não aprovada, o
projeto é submetido aos custodiantes destes gestores de dados e à autoridade
de privacidade canadense e, em alguns casos, a grupos da sociedade civil
organizada que sejam relacionados ao estudo. Quem finalmente decide sobre
o trade-off entre o benefício público esperado e o grau de invasão de
privacidade é o ministro.
Em alguns casos cuja necessidade seja demonstrada, os pesquisadores
podem solicitar o acesso remoto gratuito aos dados, por meio de um ambiente
seguro. (“Health in Canada: How to access data”, 2010)
Os projetos de linkage são realizados a partir de bases de dados
governamentais de informações pessoais, descritas no InfoSource (Index of
Standard Personal Information Banks). (Government of Canada, 2010) Bases
resultantes de linkage podem ser disponibilizadas no InfoSource, desde que
aprovadas e com as devidas condições de acesso.
O SC tem experiência desde 1970 na realização de estudos de longo
prazo
epidemiológicos
sobre
nascimentos,
mortalidade
e
câncer
em
populações que tenham sido expostas a riscos, tais como processos
industriais, radiação e produtos químicos. (Statistics Canada, 2010)
Uma breve descrição do processo de linkage realizado a partir das
bases de dados de registro de câncer foi feita em um documento no site. Não
88
há separação entre variáveis demográficas e variáveis-conteúdo. (“Record
Linkage Overview - Canadian Cancer Registry Manuals”, 2005)
São publicados os projetos de linkage em andamento e concluídos. A
disseminação das informações resultantes do linkage, assim como todas as
outras informações estatísticas, são feitas sem que nenhum indivíduo possa
ser identificado. Os projetos de linkage realizados são listados no relatório
anual do parlamento, no que se refere à implementação da lei de privacidade
da informação. (Statistics Canada, 2011)
Embora o SC seja uma agência governamental com financiamento
específico, os dados resultantes do linkage são disponibilizados mediante taxas
de cobertura de custos de serviços.
6.2.3 Escócia
No Reino Unido, em 1963 foi realizado um trabalho pioneiro de linkage
na Inglaterra: o Oxford Record Linkage Pilot Study (ORLS), por meio da
Universidade de Oxford e hospitais regionais. Um dos objetivos era testar a
viabilidade de ligar registros médicos de várias fontes propiciando uma fonte de
informações para pesquisas. O ORLS constituiu um arquivo centralizado de
indivíduos e famílias, baseado em dados de morbidade e mortalidade.
Entretanto, a iniciativa inglesa não se constituiu como uma UDL até os dias
atuais. (National Research Council, 1999)
A experiência relevante de UDL no Reino Unido foi da Escócia:
Information Services Division – Medical Record Linkage (ISD-MRL). Em 1968 o
Serviço de Saúde escocês estabeleceu que todos os registros de alta
hospitalar, registros de câncer e de óbitos seriam armazenados de forma
centralizada, em forma legível por máquina e com informações de identificação
do paciente (variáveis-demográficas). (Kendrick, 1997) Já nesta época, havia a
cooperação com a iniciativa inglesa Oxford Record Linkage, com vistas a
aplicação de técnicas de record linkage probabilístico propostas inicialmente
por Newcombe. (Newcombe et al., 1959) Porém, somente a partir de 1989,
89
com os avanços da capacidade computacional, é que foi possível obter
resultados concretos, sendo criado o sistema Medical Record Linkage pela
Information Services Division (ISD). (ISD NHS Scotland Information Services
Division, 2010) A ISD faz parte do National Health System (NHS) – National
Services Scotland (NSS). O ISD-MRL é parte do Serviço de Informação em
Saúde Escocês e trabalha em estreita colaboração com o Serviço de
Informação em Saúde Escocês para a Pesquisa.
A localização da UDL da Escócia incluída no estudo é apresentada na
Figura 11.
Figura 11 - Localização da unidade de data linkage da Escócia
O ISD-MRL produz regularmente linkage de altas hospitalares, câncer,
mortalidade, nascimentos e anomalias congênitas. Além destes, há também
90
dois grandes conjuntos de dados: a pesquisa nacional de saúde escocesa e do
estudo longitudinal de saúde da Escócia.
Todos os dados envolvidos no linkage são tratados sob os mesmos
regulamentos de segurança, como quaisquer outros dados que contenham
informações de identificação pessoal. O linkage é realizado de forma
centralizada pelo Serviço de Saúde da Escócia.
Aspectos relativos à proteção da privacidade dos dados pessoais de
saúde são abordados de forma geral pela ISD, (ISD-NHS, 2010) não
especificamente para linkage, incluindo procedimentos para anonimização de
dados, uso secundário de informações de saúde e protocolo para divulgação
de estatísticas de pequenos números. Não foram detalhados aspectos
operacionais de tecnologia da informação relativos à segurança.
O fornecimento de bases de dados para pesquisas é coordenado pelo
Serviço de Informação em Saúde Escocês para a Pesquisa. Não são
mencionados detalhes sobre o fornecimento.
Há uma descrição do passo-a-passo para o acesso aos serviços de
linkage.
Consta no site um vasto dicionário de dados das bases disponíveis,
manual de regras de validação para subsidiar o pesquisador na formulação de
sua solicitação.
O processo de solicitação de extratos-de-dados prevê um contato
preliminar com a equipe do ISD-MRL para discussão de requisitos, sendo que
após, o pesquisador formaliza sua solicitação. A partir da solicitação formal e
detalhada, o ISD-MRL fornece orçamento e cronograma do projeto. A
solicitação é então submetida à aprovação do Comitê Consultivo de
Privacidade. Uma vez aprovado, o processo de extração é iniciado e os dados
são transferidos ao pesquisador mediante o pagamento das taxas de serviço.
91
Na Escócia é amplamente difundido o uso do número identificador dos
indivíduos para os sistemas de informação em saúde. Há uma base de dados
nacional centralizada e indexada por estes números identificadores chamada
Community Health Index (CHI). (ISD NHS Scotland Information Services
Division, 2010)
A base CHI contém registros de todos os residentes na Escócia
(incluindo alguns residentes temporários). Oito bancos armazenam dados para
as 14 juntas de saúde escocesas e um banco de dados de índice de busca é
usado para criar um identificador pessoal único para cada pessoa. Embora
existam outros números identificadores pessoais, como os números de
seguridade social e os do sistema nacional de saúde (NHS), não são
considerados suficientemente robustos para facilitar linkage de alta qualidade.
Sendo assim, em processos de linkage para a saúde, o número CHI é
amplamente utilizado como chave determinística.
Está em desenvolvimento de um novo serviço de indexação CHI, que
funcionará sob a responsabilidade do Programa Informática em Saúde da
Escócia, tendo como propósito auxiliar os pesquisadores em projetos de
indexação e linkage.
Há também o método probabilístico de linkage utilizado no ISD-MRL,
baseado em experiências anteriores escocesas, canadenses e inglesas
(Oxford). O site do ISD-MRL provê descrição detalhada da técnica aplicada,
mencionando que existe revisão visual dos pares obtidos como produto do
linkage.
Porém,
não
é
informado
se
as
variáveis-demográficas
são
armazenadas separadamente das variáveis-conteúdo. (Kendrick, 1997)
O site publica os projetos de linkage concluídos e em curso e as
medidas de proteção da privacidade.
Estão disponíveis folhetos-guias de informações sobre privacidade para
pacientes outros documentos instrutivos sobre o assunto. (ISD-NHS, 2010)
92
Tais documentos informam que a ISD, como parte do NHS NSS, adotou
uma política para proteger a segurança das informações pessoais de saúde e
gerenciar sua utilização de acordo com padrões rígidos. Cuidados são tomados
para assegurar que nenhum paciente possa ser identificado, sendo que o
acesso a informações pessoais de saúde requer uma autorização especial e é
rastreado.
A ISD dispõe de um custodiante-de-dados intitulado ‘Caldicott Guardian’
para auditar o tratamento dado às informações pessoais de saúde
adequadamente. Há caldicott guardians em hospitais e em outras instituições
que armazenam informações pessoais de saúde.
Os funcionários que acessam dados identificados são legalmente e
contratualmente obrigadas a respeitar a confidencialidade. Conselhos de saúde
e hospitais só têm acesso às informações relativas a seus próprios residentes
ou pacientes. Há um Comitê Consultivo de Privacidade, com membros não
pertencentes ao NHS, que aconselha sobre a forma de uso das informações
pessoais de saúde para pesquisas.
Os folhetos são simples e com linguagem muito clara. Referem-se ao
uso secundário das informações pessoais de saúde e da opção dos indivíduos
de objetarem este uso (opt-out).
No Reino Unido há uma exigência legal de que todas as organizações
que armazenam e processam informações pessoais (de saúde ou não) devem
notificar o Gabinete do Comissário de Informação sobre detalhes de seu
processo de trabalho. A falta de notificação é crime. O ICO, por sua vez,
disponibiliza o registro destas organizações ao público, chamado de Register of
Data Controllers (RDC). (United Kingdom; Information Comissioner´s Office,
2012) Nele o cidadão pode saber quais classes de dados são armazenadas,
para quais propósitos e quem é autorizado a acessar. A ISD está registrada no
RDC. As informações registradas têm período de validade de seis anos.
Por tratar-se de um serviço de saúde público, o funcionamento do ISDMRL é mantido com recursos do governo. Entretanto, há cobrança de taxas
pelos serviços de linkage.
93
6.2.4 Estados Unidos
A experiência estudada de UDL dos Estados Unidos foi a do Rochester
Epidemiology Project (REP). (Rochester Epidemiology Project, 2009) O projeto
é uma iniciativa de colaboração entre os prestadores de cuidados de saúde na
cidade de Rochester (pertencente ao Olmsted County, estado de Minnesota),
que permite aos pesquisadores estudar a saúde e doenças nas pessoas que
vivem nesta comunidade.
Desde
1966,
toda
pessoa
que
visita
um
hospital
ou
outro
estabelecimento de saúde de Olmsted County pela primeira vez é convidada a
assinar um formulário de consentimento para que sua ficha médica possa ser
usada para pesquisa. Devido ao isolamento geográfico, os indivíduos das
comunidades cobertas pelo REP são uma fonte importante e precisa de
informações para estudos de base populacional. Mais de 95% dos residentes
de Olmsted County deram permissão para que seus registros sejam incluídos
no REP. (Melton, 1996)
Todos os estudos utilizando os dados do REP são previamente
aprovados por um comitê-de-ética.
A localização da UDL incluída dos Estados Unidos no estudo consta na
Figura 12.
Figura 12 - Localização da unidade de data linkage dos Estados Unidos
94
Não são fornecidos detalhes no site sobre a estrutura e operação do
REP. O site informa que todos os estudos baseados no REP devem cumprir as
leis de proteção da privacidade estadual e federal.
Os dados são fornecidos pela rede de prestadores de serviços da
comunidade. Não são fornecidos detalhes sobre os procedimentos.
Os pesquisadores interessados em utilizar os dados do REP devem
submeter seus projetos à aprovação do comitê-de-ética da Mayo Clinic. Há
exemplos de protocolos de pesquisa para embasar as solicitações dos
pesquisadores. As solicitações são submetidas por email ou web formulários.
Os dados são acessados por meio dos laboratórios informáticos
conectados ao REP, sendo que os pesquisadores que acessam os registros
assinam termos de confidencialidade.
O REP investe na capacitação dos pesquisadores para acessarem os
registros com regras de proteção à privacidade, tais como anonimização e uso
de dados agregados.
Todas as informações publicadas em relatórios de pesquisa são
divulgadas de forma agregada.
Não constam detalhes.
Os projetos autorizados são publicados no site. Há também vídeos sobre
o REP, bem como explicações sobre proteção da privacidade das informações
e os benefícios de consentir que os registros médicos sejam utilizados para
pesquisas.
95
O projeto tem sido apoiado com recursos do Instituto Nacional de Saúde
há mais de 40 anos.
6.2.5 Síntese das práticas relevantes para segurança em UDL
O estudo das experiências permitiu a identificação de práticas relevantes
para a constituição de uma UDL segura. Não houve a intenção de contabilizar
quantas UDL adotam cada prática especificamente, pois o método utilizado
neste estudo (pesquisa em sites) poderia levar a interpretações e resultados
questionáveis, dado que os conteúdos dos sites podem ser atualizados a
qualquer momento. Além disso, algumas UDL podem adotar práticas que não
estejam explícitas em seus sites. Sendo assim, este trabalho buscou apenas
identificar as práticas relevantes publicadas nos sites, sem a preocupação de
indicar em quantas UDL são adotadas.
A Figura 13 apresenta uma síntese das práticas selecionadas e o quadro
04 apresenta-as detalhadamente, organizadas pelas dimensões e assuntos
estudados.
Estrutura e Operação
Relação com Pesquisadores
Acesso aos extratos-de-dados
Aprovação da solicitação
Capacitação do pesquisador
Comprovação de capacidade técnica
Contrato para extração de dados da UDL
Publicação e retorno de resultados
Informações do acervo de bases de dados da UDL
Plano de Segur. da Informação no Pesquisador
Preços dos serviços da UDL
Processo de solicitação de dados à UDL
Sanções por quebra de confidencialidade
Linkage com bases externas ao acervo da UDL
Ambiente computacional segregado
Ambiente físico segregado
Ambiente seguro de acesso remoto a dados
Avaliação de risco em SI
Comitê-de-ética
Estudo de impacto de privacidade
Sistema de Gestão da segurança da informação
Processos de trabalho mapeados
Transferências de dados
RH da UDL – Admissão de profissionais
Gestão de RH na UDL
24
75
34
Relação com Gestores
Capacitação / Sensibilização
Captação de bases para o acervo
Contrato de fornecimento de bases de dados
Relação com a Sociedade
Governança estratégica
Requisições de informações pessoais
Sensibilização
Transparência e governança
– divulgação dos princípios básicos
– participação social
– responsabilização
3
7
7
Modelo do Processo de Linkage
Atribuição de chave-de-ligação
Atribuição de identificador-do-projeto
Avaliação de risco de re-identificação
Divulgação do modelo do processo de linkage
Destruição após o linkage
Segregação dos dados
Figura 13 - Síntese das práticas selecionadas, por dimensão e assunto
96
Quadro 04 - Práticas relevantes para segurança em unidades de data linkage
(EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade)
Dim Assunto
Prática
EO
Estudo de impacto de privacidade
1. Antes de criar a UDL, realizar Estudo de Impacto de Privacidade que descreve a sua conformidade
com a legislação de proteção à privacidade e segurança, inclusive detalhando a sua estrutura de
gerenciamento de risco, modo de prestação de contas, segurança física, segurança de rede e os
controles de recursos humanos.
EO
Comitê-de-ética
2. Ter comitê-de-ética para analisar as solicitações de dados para projetos de pesquisa.
EO
Processos de trabalho
3. Constituir equipes específicas para funções da unidade: aspectos de ética e privacidade; atendimento
ao pesquisador; relacionamento com gestores-de-dados; infra-estrutura operacional de TI;
administração e finanças.
EO
Gestão da segurança da informação
4. Elaborar e publicar a política de segurança e/ou código de prática de segurança da informação da
UDL. Revisar a política de segurança a cada dois anos para que esteja em conformidade com os
regulamentos vigentes.
EO
na UDL
5. Elaborar um Sistema de Gestão de Segurança da Informação (SGSI) para a UDL que contenha: todas as medidas de segurança física para as instalações onde estejam operando os processos - a
classificação das informações armazenadas e processadas, as medidas de proteção nos horários de
expediente e fora dele, as medidas de segurança de sistemas e o plano para a implementação das
medidas
EO
na UDL
6. A UDL deve monitorar os indicadores de desempenho do SGSI, por meio de auditorias internas, e
avaliar criticamente em uma periodicidade definida, promovendo os ajustes necessários.
EO
na UDL
7. A Direção da UDL deve fornecer evidência do seu comprometimento com o estabelecimento,
implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI. Este
comprometimento pode ser expresso por meio de uma declaração do responsável pela instituição em
comprometer-se com a segurança dos dados a ela confiados.
EO
na UDL
8. A UDL deve comprovar a implementação de procedimentos e outros controles capazes de permitir a
pronta detecção de eventos de segurança da informação e resposta aos incidentes. Por exemplo: um
canal de comunicação para registros de incidentes de quebra de confidencialidade e um processo
formal de apuração. Os funcionários, gestores e terceiros de sistemas e serviços de informação devem
ser instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou
serviços.
97
Dim Assunto
Prática
EO
na UDL
9. A UDL deve designar formalmente as pessoas responsáveis no que tange à segurança da informação
e descrever suas responsabilidades.
EO
10. Classificar todas as informações do acervo quanto a confidencialidade, disponibilidade e integridade,
assegurando que toda informação receba um nível adequado de proteção. A informação deve ser
classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.
Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser definido e
implementado de acordo com o esquema de classificação adotado pela organização.
EO
11. Realizar avaliação de risco anualmente e elaborar plano de gerenciamento de risco, com o mapa de
riscos e medidas mitigatórias.
EO
Ambiente físico
12. Segregar ambientes físicos, com níveis de proteção diferenciados.
EO
Ambiente físico
13. Controlar acesso aos ambientes físicos por meio de identificação pessoal.
EO
Ambiente físico
14. Criar sala-cofre de acordo com as normas técnicas específicas.
EO
Ambiente computacional
15. Os usuários devem receber acesso (login e senha) somente aos serviços que tenham sido
especificamente autorizados a usar com o objetivo de prevenir acesso não autorizado aos serviços de
rede. Métodos apropriados de autenticação devem ser usados para controlar o acesso de usuários
remotos (certificados digitais, entre outros). Devem ser consideradas as identificações automáticas de
equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos
específicos.
EO
16. Todos os usuários devem ter um identificador único (ID de usuário), para uso pessoal e exclusivo, e
uma técnica adequada de autenticação deve ser escolhida para validar a identidade alegada por um
usuário.
EO
17. Sistemas para gerenciamento de senhas devem ser interativos e assegurar senhas de qualidade
EO
18. Terminais inativos devem ser desconectados após um período definido de inatividade. Restrições nos
horários de conexão devem ser utilizadas para proporcionar segurança adicional para aplicações de
alto risco.
EO
19. Segregar ambientes computacionais (redes isoladas): para o trabalho administrativo da UDL, para o
processo de linkage e outras redes.
EO
20. Reutilização e alienação seguras de equipamentos - Todos os equipamentos que contenham mídias de
98
Dim Assunto
Prática
armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os
dados sensíveis e softwares licenciados tenham sido removidos ou sobre gravados com segurança.
EO
21. Devem existir procedimentos implementados para o gerenciamento de mídias removíveis.
EO
22. Instalar o servidor de rede para o gerenciamento das funções de segurança em local protegido e
separado dos demais servidores.
EO
23. A UDL deve estar preparada para detectar atividades não autorizadas de processamento da
informação. Registros de auditoria (logs) contendo atividades dos usuários, exceções e outros eventos
de segurança da informação devem ser produzidos e mantidos por um período de tempo acordado
para auxiliar em futuras investigações e monitoramento de controle de acesso. Devem ser
estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da
informação e os resultados das atividades de monitoramento devem ser analisados criticamente, de
forma regular.
EO
24. Os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização
ou do domínio de segurança, devem ser sincronizados de acordo com uma hora oficial.
EO
25. Utilizar serviços de pseudonimização para as telas de sistemas ou outras formas de acesso em que
seja necessário exibir dados de identificação de pacientes.
EO
Recursos Humanos da UDL
26. Compor a equipe da UDL com funcionários próprios (não terceirizados). Em alguns casos, somente
servidores públicos.
EO
Recursos Humanos da UDL –
Admissão de profissionais
27. Ao admitir profissionais para compor a equipe da UDL, verificar antecedentes de todo o pessoal
admitido para trabalhar na equipe da UDL, na área protegida; exigir de todo a equipe da UDL
assinatura de acordos de compromisso com a confidencialidade, com renovação do acordo a cada
ano.
EO
Recursos Humanos da UDL –
Admissão de profissionais
28. Realizar capacitação da equipe nas medidas de segurança e admitir somente os aprovados no curso.
EO
29. Exigir de todo a equipe da UDL assinatura de acordos de compromisso com a confidencialidade, com
renovação do acordo a cada ano.
99
Dim Assunto
Prática
EO
30. Deve existir um processo disciplinar formal para os funcionários que tenham cometido uma violação da
segurança da informação.
EO
31. As responsabilidades para realizar o encerramento ou a mudança de um trabalho dos funcionários
devem ser claramente definidas e atribuídas. Todos devem devolver todos os ativos da organização
que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.
EO
Transferências de dados
32. Mídias contendo informações devem ser protegidas contra acesso não autorizado, uso impróprio ou
alteração indevida durante o transporte externo aos limites físicos da organização. Transferir dados
identificados (classificação: protegidos) entre os custodiantes e a UDL, em mídia criptografada e por
meio de portadores designados e seguros.
EO
Ambiente seguro de acesso remoto a
extratos-de-dados
33. A UDL deverá oferecer aos pesquisadores um ambiente seguro de acesso remoto para que possam
analisar os extratos-de-dados e gerar relatórios para suas pesquisas. Este ambiente deve prever
autenticação do usuário e log das atividades. Uma política, planos operacionais e procedimentos
devem ser desenvolvidos e implementados para atividades de trabalho remoto.
EO
Linkage sistemático para
monitoramento de ações de saúde
34. Realizar linkage e manter os pares do acervo da UDL atualizados trimestralmente, semestralmente ou
anualmente. Seus resultados servem para monitoramento de ações de saúde.
MPL Divulgação do modelo do processo de
linkage
35. Publicar documentação sobre o modelo do processo de linkage utilizado na UDL, em linguagem clara e
acessível tanto a pesquisadores quanto à sociedade em geral.
MPL Segregação dos dados
36. Conceder à equipe da UDL acesso somente a variáveis-demográficas. Os dados de saúde de cada
base de dados só são acessados pelas próprias organizações gestoras-de-dados e seus custodiantes.
MPL Segregação dos dados
37. Fornecer aos pesquisadores somente dados des-identificados.
MPL Atribuição de identificador-do-projeto
38. Todos os extratos-de-dados gerados pela UDL devem conter o identificador-do-projeto associado a
cada registro.
MPL Atribuição de chave-de-ligação
39. Todos os dados a serem ligados pela unidade devem ter um identificador único atribuído a cada
registro.
MPL Linkage com bases externas de dados
primários: diretriz de destruição após o
linkage
40. A UDL poderá realizar linkage com bases de dados primários externas ao seu acervo, sendo que após,
os dados entregues à UDL para a realização do linkage são destruídos.
100
Dim Assunto
Prática
MPL Avaliação de risco de re-identificação
41. A UDL deverá utilizar ferramentas de software para a avaliação do risco de re-identificação de
indivíduos constantes nos extratos-de-dados gerados.
RP
Informações sobre o acervo de bases
de dados da UDL
42. Publicar o catálogo do acervo de bases de dados processadas na unidade, bases administrativas (core
datasets) ou bases de projetos de pesquisa específicos, contendo: dicionários de dados; períodos
disponíveis; organizações gestoras; contatos dos respectivos custodiantes-de-dados.
RP
Informações sobre o acervo de bases
de dados da UDL
43. Realizar e publicar avaliações sobre a qualidade das bases de dados disponíveis a fim de apoiar os
clients no entendimento dos propósitos, pontos fortes e limitações das mesmas.
RP
Preços dos serviços da UDL
44. Publicar a política de preços dos serviços.
RP
Processo de solicitação de dados à
UDL (submissão de projetos)
45. Publicar a política de acesso aos dados do acervo da UDL.
RP
46. Publicar os critérios de priorização para atendimento aos projetos de pesquisa. Algumas das condições
para a realização dos projetos são: seja com o propósito de tempo limitado para abordar um conjunto
específico de questões de pesquisa. Não envolver o uso de dados para qualquer finalidade
administrativa ou não de outras pesquisas, ou para programas de pesquisa em andamento, salvo se
especificamente aprovado. Seja no interesse público, por exemplo, melhorar o bem-estar da
população, não ser proprietário de pesquisa, tais como a pesquisas feitas para fins de marketing
comercial. Ter mérito científico. Ter a aprovação de um comitê-de-ética reconhecido.
RP
Solicitações de Linkage com bases
externas ao acervo da UDL administrativas
47. Desde que aprovado por Comitê de Ética, a UDL poderá realizar linkage com bases de dados externas
ao seu acervo. Sendo bases administrativas de algum órgão público que ainda não forneça
regularmente à UDL é necessário firmar um termo entre a UDL e o gestor-de-dados, específico para o
projeto em questão. Após, o processo de submissão do pedido de dados segue o fluxo normal.
101
Dim Assunto
Prática
RP
Solicitações de Linkage com bases
externas ao acervo da UDL - dados
primários do pesquisador
48. Desde que aprovado por Comitê de Ética, a UDL poderá realizar linkage com bases de dados externas
ao seu acervo. Sendo bases de dados primários fornecidas pelos próprios pesquisadores, é necessário
para a aprovação: - conformidade com a legislação pertinente; avaliação dos riscos à privacidade
relacionados com o linkage destes dados primários. O pesquisador deverá descrever os riscos
potenciais de privacidade em realizar o linkage proposto. Isto deverá ser feito através de um apêndice
do formulário de solicitação de dados, que inclui itens comuns em um Estudo de Impacto de
Privacidade. - consentimento informado ou sua renúncia: o pesquisador terá que apresentar provas de
consentimento por escrito dos indivíduos aos quais a base de dados se refere para uso destes dados
na pesquisa específica, incluindo o formulário de solicitação de consentimento. Se o consentimento
não foi obtido, o pesquisador terá de fornecer uma justificativa de por que o consentimento foi visto
como impraticável.
RP
49. Publicar o procedimento a ser seguido pelo pesquisador para solicitar dados à UDL, isto é, submeter
seu projeto de pesquisa.
RP
50. Ter formulário eletrônico de registro on-line das solicitações de dados dos pesquisadores
RP
Aprovação da solicitação
51. Toda solicitação de dados submetida à UDL requer aprovação pelos custodiantes das bases de dados
em questão e pelo comitê-de-ética da UDL.
RP
Comprovação de capacidade técnica
52. A UDL deve exigir que o pesquisador comprove as condições técnicas para realizar a pesquisa antes
de atender à solicitação de dados: - experiência do pesquisador responsável (sênior) - capacitação
técnica - serviços e infra-estrutura disponível para o projeto - forma de financiamento do projeto aprovação no comitê de ética em pesquisa da unidade para projetos que usem dados pessoais aprovação de todas as instituições gestoras para projetos que usem dados pessoais - pelo menos um
pesquisador com base no território local
RP
Capacitação do pesquisador
53. Oferecer capacitação ao pesquisador sobre o funcionamento da UDL, ética/privacidade e toda a cadeia
produtiva do linkage, exigindo o cumprimento de carga horária obrigatória.
102
Dim Assunto
Prática
RP
Plano de Segurança da Informação no
Pesquisador
54. Para ter sua solicitação atendida, o pesquisador deverá informar à UDL o plano de segurança da
informação em suas instalações, contendo minimamente: onde os dados serão guardados e
analisados; quando armazenado em um computador disco, ou outra mídia, os arquivos de dados
devem ser sempre protegido por senha; como os dados serão armazenados antes e depois do término
do projeto de pesquisa; as medidas tomadas para garantir a segurança da informação, prevenindo
contra o mau-uso, perda ou acesso não-autorizado durante e após o término do projeto de pesquisa;
informações sobre por quanto tempo os dados serão retidos após o término da pesquisa e como serão
destruídos; a forma de destruição dos dados após o período previsto para a realização do estudo.
RP
Contrato para extração de dados da
UDL
55. Firmar contrato entre a UDL e o pesquisador, para o fornecimento das extrações de dados para os
projetos aprovados. O contrato deve, minimamente, conter as obrigações da UDL e do pesquisador.
RP
UDL
56. Dados fornecidos aos pesquisadores só podem ser utilizados para o projeto específico que tenha sido
aprovado. Não devem ser combinados com outros conjuntos de dados ou utilizados para outros
projetos.
RP
UDL
57. Apenas o pessoal aprovado listado na solicitação de dados pode ter acesso aos dados fornecidos.
RP
UDL
58. Pagar, pontualmente, as tarifas estipuladas.
RP
UDL
59. Submeter à aprovação da UDL eventuais mudanças em protocolo da pesquisa; equipe de
pesquisadores; condições que afetem a segurança da informação (mudanças de local, instalações
computacionais); plano de encerramento da pesquisa.
RP
UDL
60. A assinar acordo de confidencialidade, para guardar sigilo dos dados recebidos, aderindo ao código de
prática de segurança da informação da unidade.
RP
UDL
61. O pesquisador deverá submeter-se, se solicitado, à auditoria dos representantes da UDL, das
instituições custodiantes ou de alguma organização a qual tenha sido delegada a avaliação de
conformidade pelos gestores-de-dados (exemplo: organização externa certificadora).
RP
UDL – Publicação e retorno de
resultados
62. Resultados de pesquisas apresentados em relatórios são obrigatoriamente publicados de forma
resumida apenas, de modo que a identificação individual não seja possível. Qualquer célula da tabela
não pode conter menos de cinco indivíduos.
103
Dim Assunto
Prática
RP
UDL – Publicação e retorno de
resultados
63. Ao final do estudo, o pesquisador deverá fornecer à UDL cópia dos relatórios, artigos, demais
publicações ou manuscritos a serem submetidos para publicação para que sejam analisados e
comentados em até 30 dias antes da distribuição para publicação; cópia das publicações sobre a
pesquisa e resumo do projeto de pesquisa para divulgação no site da UDL.
RP
Acesso aos extratos-de-dados
64. Algumas UDL têm por padrão o acesso aos extratos-de-dados pelos pesquisadores somente pelo
ambiente seguro de acesso remoto, sendo a gravação de mídia considerada excepcionalidade, sujeita
à aprovação dos custodiantes-de-dados das bases em questão. Para extratos-de-dados
disponibilizados em mídia, os dados devem ser criptografados sempre e ser entregues / recolhidos
pessoalmente nos escritórios da UDL. A UDL nunca poderá enviar extratos-de-dados via e-mail.
RP
Sanções por descumprimento do
acordo de confidencialidade
65. Ao tomar conhecimento ou suspeitar do não cumprimento do acordo de confidencialidade, a UDL
poderá tomar medidas, assim previstas, isoladamente ou em conjunto, além de outros recursos
disponíveis nos termos do acordo ou previstos no direito: - notificar imediatamente todos os órgãos
públicos competentes, que são responsáveis pela atuação; - notificar imediatamente todos os
custodiantes-de-dados envolvidos; - suspender e/ou revogar a aprovação de acesso aos dados; revogar imediatamente acesso a ambientes remotos de acesso aos dados; - negar qualquer acesso
posterior às bases de dados da UDL ou de qualquer órgão público que atue em conjunto com ela; enviar relatórios de não-conformidade para a instituição de filiação do pesquisador, o comitê-de-ética
que deu a aprovação do projeto, todas as agências que forneceram o financiamento para o projeto,
qualquer organização que publicar os resultados do estudo.
RG
Captação de bases para o acervo
66. Fomentar a captação de mais bases de dados populacionais junto a potenciais gestores, por meio de
contatos, sensibilização em palestras, encontros e seminários, com o objetivo de ampliar o acervo
disponível na UDL.
RG
Capacitação / Sensibilização
67. Realizar cursos sobre o funcionamento da UDL, modelo do processo de linkage, segurança da
informação, ética/privacidade para os gestores-de-dados
RG
Contrato para fornecimento de bases
de dados à UDL
68. Firmar contrato entre a UDL e o gestor-de-dados para garantir fluxo regular de dados entre ambos, ou
para o fornecimento em um projeto específico (para bases não mantidas regularmente pela unidade).
104
Dim Assunto
Prática
RS
Transparência e governança –
divulgação dos princípios básicos
69. A UDL deve seguir alguns princípios básicos e informá-los à sociedade, tais como: O linkage não será
realizado diretamente entre as bases de dados originais completas, mas somente com as partes
destas bases estritamente necessárias para os propósitos da pesquisa em questão. A permissão de
acesso a cada base de dados específica é concedida pelo respectivo custodiante-de-dados da base. Compete ao custodiantes-de-dados a aprovação das solicitações de dados para projetos de pesquisa
com suas respectivas bases de dados. O acesso às bases de dados da UDL deve ser restrito a quem
tem necessidade de acessá-las para a realização de seu trabalho. Extratos-de-dados enviados aos
pesquisadores não poderão conter variáveis-demográficas (dados identificados). A UDL não fornece
dados para auditorias. Projetos financiados com recursos privados só são aceitos se não houver
conflito de interesse ou envolvimento inapropriado e se houver compromisso do pesquisador em
publicar os resultados da pesquisa em veículos de acesso público.
RS
responsabilização
70. A UDL deve informar nominalmente os gestores responsáveis por suas unidades, em especial pela
gestão da segurança da informação e proteção da privacidade (accountability).
RS
participação social
71. A UDL deverá constituir um comitê gestor, com a participação de representantes de financiadores,
gestores de dados, profissionais da unidade e usuários/consumidores de serviços de saúde.
RS
Governança estratégica
72. A UDL deverá publicar sua missão, o regimento interno e, se for o caso, o termo de formação da
iniciativa de colaboração institucional para sua formação.
RS
Divulgação dos princípios básicos
73. A UDL deverá informar à sociedade aspectos gerais, no intuito de propiciar transparência sobre seus
processos de trabalho. Entre as publicações, devem constar: - conjunto de bases de dados
processadas na unidade (bases administrativas -core datasets e bases de projetos de pesquisa
específicos), contendo a lista de variáveis disponíveis para cada base de dados; - modelo do processo
de linkage; - inventário (portifólio) de projetos realizados (concluídos e em andamento) e seus
resultados; - política de privacidade da UDL; - princípios da unidade; - formas de financiamento da
unidade; - exposição dos resultados e benefícios obtidos e potenciais.
RS
Sensibilização
74. A UDL deverá informar a sociedade sobre aspectos gerais de seu funcionamento, com linguagem clara
e acessível, utilizando diversos meios, tais como: página de FAQ (perguntas frequentes) - vídeo
explicativo sobre o processo de Linkage; folder explicativo sobre o propósito da UDL, o processo de
Linkage, modelo de governança e a política de segurança e privacidade. Realização de
cursos/palestras sobre o funcionamento da unidade, ética/privacidade. Consumer and Community
Engagement Training
105
Dim Assunto
Prática
RS
75. Ao receber requisições de informações do próprio indivíduo ou de outrem, a UDL deve encaminhar aos
respectivos custodiantes das bases em questão.
Requisições de informações pessoais
106
7 Estudo de normas técnicas sobre segurança da
informação
Neste capítulo é apresentado o estudo realizado para o alcance do
objetivo de analisar as normas técnicas sobre segurança da informação em
saúde. Serão apresentados os métodos, resultados e sua discussão.
7.1 Métodos
A partir da experiência adquirida pela participação da autora desta
pesquisa na Comissão de Estudo Especial de Informática em Saúde da ABNT
(ABNT / CEE-78) e da revisão realizada por Gottberg et al. (Gottberg et al.,
2011) foram identificadas as organizações produtoras de
padrões que
editaram normas técnicas relacionadas a segurança da informação em saúde.
Entre as organizações citadas por Gottberg et al. optou-se por selecionar
as normas ISO (ISO - International Organization for Standardization, 2012) por
representarem a congregação de aspectos abordados por várias outras
organizações de padrões internacionais.
Outra razão para a escolha da ISO como referência foi o fato de ter sido
a organização internacional de padrões citada nos documentos encontrados no
estudo das experiências internacionais de UDL. Diversas UDL mencionaram
normas ISO como referências em suas políticas ou regulamentos de segurança
disponíveis nos sites. Todas as normas ISO explicitamente citadas foram
incluídas neste estudo, pois mesmo que a UDL não seja certificada ou não
tenha implementado a norma na íntegra, sua menção em regulamentos
próprios demonstra a preocupação com a importância da norma e o
reconhecimento como boas práticas.
A consulta ao catálogo ISO (ISO - International Organization for
Standardization, 2012) foi feita em Outubro/2011. Foram consultados em
especial os catálogos dos comitês temáticos de Informática em Saúde (ISOTC215) (ISO - International Organization for Standardization, 2012) e de
Segurança da Informação ISO/IEC: Joint Technical Committee on Information
Technology (ISO/IEC/JTC1/SC27). (ISO - International Organization for
107
Standardization, 2012) No catálogo do ISO-TC215 existiam existiam 130
normas, sendo 89 publicadas e 41 em estágio de elaboração. No catálogo do
ISO/IEC/JTC1/SC27 existiam 174 normas, sendo 110 publicadas e 64 em
estágio de elaboração.
As normas técnicas foram selecionadas pela leitura de seus títulos e
resumos executivos, nos quais são descritos os escopos da norma, propósito e
a quem se destinam. Foram selecionadas aquelas consideradas compatíveis
com o ambiente de UDL. Também foi pesquisado o catálogo da ABNT, para
utilização da versão da norma em Português, quando disponível.
Para cada norma incluída no estudo foram analisados os aspectos
relacionados ao seu conteúdo, tais como: público-alvo, usos, resumo e
principais componentes. Foram analisados os aspectos considerados como
boas práticas da norma aplicáveis a UDL e sistematizados os controles
essenciais.
7.2 Resultados
Foram selecionadas 4 normas do campo da informática em saúde e 2 de
tecnologia da informação.
O Quadro 05 apresenta a síntese das normas técnicas estudadas. Logo
após é feita uma breve descrição de seus conteúdos e a análise de sua
aplicabilidade a UDL.
108
Quadro 05 – Normas ISO estudadas
Ano /
Tema*
2005
TI
Título
ISO/IEC-27001:2005 Information technology -- Security
techniques - Information security management systems –
Requirements (ISO - International Organization for
Assunto
Público-alvo
Requisitos para sistemas de
gerenciamento da segurança da
informação.
Todas as organizações, independentemente de
tipo, tamanho e natureza.
Código de práticas para o
gerenciamento da segurança da
informação.
Todas as organizações, independentemente de
tipo, tamanho e natureza. Organizações que
gerenciam informação em nome de terceiros,
assim como companhias terceirizadas de TI.
Gerenciamento de privilégios e
controle de acesso – visão geral e
gerenciamento de política de
acesso.
Desenvolvedores de software, administradores
de segurança de sistemas de informação em
saúde.
Serviços de pseudonimização de
registros de sujeitos da atenção
em saúde.
Organizações que desejam avaliar a
confiabilidade das operações envolvidas com
serviços de pseudonimização.
International Organization for Standardization, 2008)
Gerenciamento da segurança da
informação em saúde usando as
práticas da ISO/IEC 27002.
ISO/TS-29585:2010 Health informatics - Deployment of a clinical
data warehouse (ISO - International Organization for
Implantação de armazém de dados
clínicos.
Gestores de segurança da informação de
saúde, profissionais de saúde e de segurança,
consultores, auditores, prestadores de serviços
terceirizados.
Gestores de saúde, gestores de TI e analistas
que projetem e mantenham armazéns de
dados clínicos em organizações.
Standardization, 2005)
2005
TI
ISO/IEC-27002:2005 Information technology -- Security
techniques - Code of practice for information security
management (ISO - International Organization for
2006
IS
ISO/TS-22600-1:2006 Health informatics - Privilege management
and access control - Part 1: Overview and policy management
2008
IS
(ISO - International Organization for Standardization,
2006)
ISO/TS-25237:2008 Health informatics - Pseudonymization (ISO
- International Organization for Standardization, 2008)
2008
IS
ISO-27799:2008 Health informatics - Information security
management in health using ISO/IEC 27002 (ISO -
2010
IS
* Tema: Informática em Saúde (IS) e Tecnologia da Informação (TI)
109
7.2.1 ISO/IEC-27001:2005
A ISO/IEC-27001:2005 Information technology - Security techniques Information security management systems – Requirements (ISO - International
Organization for Standardization, 2005) possui versão brasileira: ABNT-NBRISO/IEC-27001:2006 Tecnologia da informação — Técnicas de segurança —
Sistemas de gestão de segurança da informação — Requisitos. (ABNT, 2006)
Esta norma especifica o arcabouço geral de requisitos para estabelecer
e manter um SGSI. A norma é indicada para assegurar a seleção de controles
de segurança adequados e proporcionais que protegem os ativos de
informação, dar confiança às partes interessadas, assegurar que os riscos de
segurança são geridos de forma eficaz e eficiente; garantir o cumprimento das
leis e regulamentos e determinar o estágio da implementação das atividades de
gestão de segurança da informação para os pesquisadores.
A ISO/IEC-27001:2005 estabelece 11 seções de segurança da
informação. Cada seção tem várias categorias de controles de segurança da
informação, totalizando 39 categorias/objetivos. Cada categoria tem um só
objetivo, mas possui um conjunto de controles associados a este objetivo.
Na prática, os controles estipulados em cada seção são as medidas que
a organização precisa adotar para alcançar a segurança de suas informações.
Ao todo, são 133 controles preconizados nas normas técnicas, detalhados na
norma seguinte ISO/IEC-27002:2005, com informações adicionais.
As seções de segurança da informação especificadas nestas duas
normas são:
1. Política de segurança da informação
2. Organizando a informação
3. Gestão de ativos
4. Segurança em recursos humanos
5. Segurança física e do ambiente
6. Gestão das operações e comunicações
110
7. Controle de acesso
8. Aquisição, desenvolvimento e manutenção de sistemas de
informação.
9. Gestão de incidentes de segurança da informação
10. Gestão da continuidade do negócio
11. Conformidade
A ISO/IEC-27001:2005 é aplicável a UDL para a estruturação das linhas
gerais de um sistema de gestão da segurança da informação.
7.2.2 ISO/IEC-27002:2005
A ISO/IEC-27002:2005 Information technology - Security techniques Code of practice for information security management (ISO - International
Organization for Standardization, 2005) possui versão brasileira: ABNT-NBRISO/IEC-27002:2005 Tecnologia da informação - Técnicas de segurança Código de pratica para a gestão de segurança da informação. Ela aprofunda os
controles previstos na ISO/IEC-27001:2005. A ISO/IEC-27002:2005 substituiu
a ISO/IEC-17799:2005 Information technology - Security techniques - Code of
practice for information security management (ISO - International Organization
for Standardization, 2005) em 2007.
As
normas
ISO/IEC-27001:2005
e
ISO/IEC-27002:2005
buscam
estabelecer um SGSI que permita a realização de auditorias de conformidade e
posteriormente a certificação de conformidade com as normas. Para uma
organização obter este certificado, deverá atender a todos os controles
previstos em sua formulação oficial. Adicionalmente, uma organização poderá
estabelecer novos controles, específicos para a sua atividade de negócio, o
que pode acontecer no caso das UDL. Também é possível que apenas um
segmento de uma organização obtenha a certificação, tal como um setor ou um
processo de trabalho. Há várias empresas certificadoras de conformidade com
a norma no mundo e poucas no Brasil.
Muitos controles especificados nas normas técnicas, em especial os da
ISO/IEC-27002:2005, foram mencionados nos procedimentos e políticas de
segurança das UDL estudadas.
111
7.2.3 ISO/TS-22600-1:2006
A ISO/TS-22600-1:2006 Health informatics - Privilege management and
access control - Part 1: Overview and policy management (ISO - International
Organization for Standardization, 2006) ainda não tem versão brasileira. A
norma se divide em três partes, mas só foi estuda a primeira parte.
Destina-se
informações
a
entre
apoiar as
organizações
necessidades de
de
saúde
compartilhamento de
(prestadores
de
serviços,
operadoras de planos de saúde, gestores, etc.), pacientes, profissionais de
saúde e empresas comerciais. A norma também se destina a apoiar as trocas
de informações entre indivíduos e sistemas de informação. O uso desta norma
possibilita o trabalho compartilhado entre gerenciadores de autorizações de
acesso que operam além das fronteiras das organizações.
A arquitetura de sistemas de informações em saúde compartilhados é
cada vez mais baseada em redes e em sistemas distribuídos. Devido a sua
facilidade de utilização, é crescente o uso de interfaces de usuário, ferramentas
e protocolos padronizados, o que garante independência de plataforma e,
conseqüentemente, o número de sistemas de informação realmente abertos
com base em redes corporativas e redes virtuais privadas também tem sido
crescente durante os últimos anos.
A ISO/TS-22600-1:2006 define conceitos para o gerenciamento de
privilégios e controle de acessos necessários para comunicação e uso de
informações de saúde distribuídas sobre o domínio e as fronteiras de
segurança. Co-operação entre domínios requer a definição de um conjunto
comum de políticas de segurança. As políticas comuns são derivadas
(negociadas) por meio de um processo chamado de policy-bridging.
As
políticas acordadas precisam ser documentadas e assinadas pelas autoridades
de cada domínio. As regras desta política deverão ser automatizadas e
verificadas a cada interação de serviço. (ISO - International Organization for
A norma apresenta princípios e especifica os serviços necessários para
o gerenciamento de privilégios e controle de acesso, especifica os conceitos
baseados em componentes e se destina a apoiar a sua implementação técnica.
112
A norma não especifica o uso desses conceitos em processo clínicos
específicos. Há três componentes centrais:
- Policy agreement – Acordo de políticas
- Policy repository – Repositório de políticas
- Directory of entities – Serviço de diretório de entidades, que contém as
informações de todas as entidades cobertas no acordo de política, com seus
papéis e autenticações.
Na ISO/TS-22600-1:2006 é apresentado um modelo conceitual onde os
servidores de autorização locais, um diretório trans-fronteiriço e serviços de
repositório de políticas podem embasar o controle de acesso em várias
aplicações (componentes de software). O repositório de políticas fornece
informações sobre as regras para o acesso às funções de vários aplicativos
com base em papéis e outros atributos. O serviço de diretório permite a
identificação do usuário individual. O acesso concedido será baseado em
quatro aspectos:
- a identificação do usuário autenticado;
- as regras de acesso conectadas a um objeto de informações
específicas;
- as regras relativas a atributos de autorização vinculada ao usuário
fornecida pelo gerente de autorização;
- as funções do aplicativo específico.
Na ISO/TS-22600-1:2006, a estrutura é explicada em um sentido amplo.
A descrição da estrutura para o modelo de processo da troca de informações
através das fronteiras dos domínios de segurança consiste nos seguintes
elementos: domínio; política; papéis; diretório; autenticação; processo. As
regras para estes elementos, acordadas pelos domínios envolvidos, são
armazenadas em um repositório e podem ser consideradas como uma parte
desta estrutura.
A ISO/TS-22600-1:2006 permite estabelecer os acordos de políticas
para trocas de dados seguras entre distintos domínios (co-operação entre
113
domínios), sendo aplicável às trocas entre os gestores de dados e UDL, ou
mesmo entre UDL regionais.
7.2.4 ISO/TS-25237:2008
A ISO/TS-25237:2008 Health informatics – Pseudonymization (ISO International Organization for Standardization, 2008) ainda não tem versão
brasileira.
A pseudonimização é reconhecida como um importante método para a
proteção da privacidade das informações pessoais de saúde, pois atribui um
pseudônimo ao sujeito da atenção, protegendo seus dados de identificação
verdadeiros. As áreas de aplicação incluem o uso secundário de dados clínicos
(por exemplo, pesquisa), avaliação e monitorização de saúde pública,
notificação de dados confidenciais dos pacientes (por exemplo, efeitos
adversos de drogas), entre outros. (ISO - International Organization for
A ISO/TS-25237:2008 apresenta um modelo conceitual, requisitos para
práticas confiáveis e especificações para apoiar o planejamento e aplicação de
serviços de pseudonimização, propiciando garantia da qualidade e confiança
destes serviços. A norma define também as interfaces dos serviços de
pseudonimização para assegurar a interoperabilidade com sistemas de
gerenciamento de identidade, prestadores de informação e destinatários de
pseudônimos. (ISO - International Organization for Standardization, 2008, p.
20)
A norma oferece uma visão geral dos diferentes casos de uso para
pseudonimização que podem ser reversíveis e irreversíveis. Define uma
metodologia básica para serviços de pseudonimização, incluindo aspectos
organizacionais e técnicos; fornece um guia para avaliação dos riscos para a
re-identificação; especifica um modelo de política e os requisitos mínimos para
práticas confiáveis para as operações de um serviço de pseudonimização e
para re-identificação controlada.
A ISO/TS-25237:2008 interessa às UDL que trabalham com variáveisdemográficas e desejem aplicar técnicas de pseudonimização para que os
dados reais não sejam conhecidos em algum tipo de acesso. Entre as UDL
114
houve menção a pseudonimização, (Rochester Epidemiology Project, 2009)
mas não foi possível identificar se em conformidade com esta norma.
7.2.5 ISO-27799:2008
A ISO-27799:2008 Health informatics - Information security management
in
health
using
ISO/IEC-27002
(ISO
- International Organization
for
Standardization, 2008) ainda não tem versão brasileira publicada, mas está em
elaboração pela comissão ABNT-CEE78, com previsão de publicação em
breve.
A ISO-27799:2008 é voltada a organizações de saúde ou as que lidam
com informações de saúde (tais como prestadores de serviços de TI).
Complementa os controles da ISO/IEC-27002:2005 e o arcabouço da ISO/IEC27001:2005, sem a intenção de suplantá-las, estabelecendo foco nas
informações sensíveis de saúde e seus ambientes operacionais diferenciados.
(ISO - International Organization for Standardization, 2008)
A efetiva gestão de segurança da informação em saúde se torna cada
vez mais necessária pelo uso crescente de redes sem fio e internet no
fornecimento de serviços de saúde. (ISO - International Organization for
Standardization, 2008) Se não forem implementadas corretamente, estas
tecnologias complexas aumentarão os riscos à confiabilidade, integridade e
disponibilidade da informação de saúde. Não obstante o tamanho, a posição e
o modelo do fornecimento de serviços, todas as organizações de saúde
precisam ter controles rígidos implantados para proteger as informações
confiadas a elas. Entretanto, muitos consultórios ou clínicas pequenas carecem
de recursos de TI para gerenciar a segurança da informação. A ISO27799:2008 propõe orientação clara, concisa, e específica na seleção e na
implementação de tais controles, adaptável a qualquer tamanho e tipos
diferentes de serviço disponibilizados pelas organizações de saúde. Além
disso, com o aumento da troca eletrônica da informação do paciente entre
profissionais de saúde, há um benefício claro em adotar uma referência comum
para a gerência da segurança destas informações.
A ISO-27799:2008 revisa cada uma das onze seções de segurança da
ISO/IEC-27002:2005 e orienta a seleção apropriada de controles de segurança
115
em um ambiente de saúde, estipulando alguns como obrigatórios para proteger
as informações pessoais de saúde, por exemplo: a existência e publicação de
política de segurança da informação comunicada a todos os funcionários e
entidades externas relevantes.
Entre vários aspectos, a ISO-27799:2008 aborda treinamento e
educação da equipe de TI, profissionais da saúde e outros que tenham acesso
a sistemas de informação de saúde e informação pessoal de saúde. Trata do
gerenciamento de operações contínuas e incidentes de segurança, com vistas
à detecção rápida e a minimizar suas conseqüências.
Talvez por ser relativamente nova, nenhuma UDL referiu ser certificada
nesta norma, mas a maioria de seus controles é aplicável a UDL.
7.2.6 ISO/TS-29585:2010
A norma ISO/TS-29585:2010 Health informatics - Deployment of a
clinical data warehouse (ISO - International Organization for Standardization,
2010) ainda não possui versão brasileira. A norma se destina a fornecer um
conjunto geral de diretrizes para a implantação de armazéns de dados (data
warehouse) clínicos apoiada por descrições úteis sobre agregação de dados
diferentes e abordagens de modelagem, bem como aspectos particulares da
arquitetura de informação que contribuam para uma implantação bemsucedida.
ISO/TS-29585:2010 tem três seções: 1) considerações gerais de projeto
e implantação, 2) agregação de dados e modelagem de dados e 3) arquitetura
e tecnologia. (ISO - International Organization for Standardization, 2010)
A primeira seção é de particular interesse para gestores de saúde e
gestores de tecnologia da informação, pois explicita requisitos e procedimentos
que propiciam a implantação bem sucedida do armazém de dados clínicos. A
segunda seção apóia a escolha de métodos que garantam a seleção confiável
e a agregação de dados primários para apoiar as decisões, orientando
estatísticos, epidemiologistas, especialistas em avaliação de saúde e outros. A
seção três é voltada aos informatas preocupados com arquiteturas eficientes,
métodos de mineração de dados, dados dinâmicos de consulta e visualização
para armazéns de dados clínicos.
116
Esta norma se aplica a UDL que implementam armazéns de dados
clínicos. Há muito pouca referência a processos de linkage. Os aspectos de
segurança que a norma aponta são referências às normas de segurança já
analisadas.
117
8 Discussão
Nesta seção discutiremos os resultados encontrados nos três estudos
apresentados
anteriormente,
abordaremos
o
cenário
brasileiro
e
apresentaremos, para debate, uma proposta de organização de unidades de
data linkage para o Brasil.
8.1 Consentimento para linkage
No estudo sobre consentimento foi observada uma heterogeneidade
significativa entre os artigos. A maioria deles relatou proporções de
consentimento altas, mas três apresentaram proporções de consentimento geral
iguais ou inferiores a 53% (Klassen et al., 2005; Tu et al., 2004; Young; Dobson;
Byles, 2001) A população-alvo deste último grupo de estudos difere
marcadamente: pacientes de um registro acidente vascular cerebral (Tu et al.,
2004); pacientes diabéticos em uma associação organizada; (Plotnikoff et al.,
2008) e os participantes em um estudo longitudinal de saúde da mulher.
(Young; Dobson; Byles, 2001)
As diferenças de desenho dos estudos analisados, bem como falta de
poder de mensuração da heterogeneidade devido ao pequeno número de
artigos incluídos na revisão são possíveis razões para a impossibilidade de
explicar a alta hetereogeneidade da medida resumo de consentimento e a
diferença marcante na proporção de consentimento para linkage observada
entre os dois grupos de estudos. No entanto, uma complexa interação entre
fatores contextuais e individuais também pode influenciar a heterogeneidade.
Kho et al, (Kho et al., 2009) em uma revisão sistemática realizada para avaliar
se o consentimento informado apresenta viés de seleção em estudos utilizando
registros médicos, encontrou diferenças entre os indivíduos que deram e que
não deram consentimento, com relação à idade, sexo, raça, renda, educação e
estado de saúde, mas a razão de tais diferenças variou entre os estudos e
manteve-se inconclusiva.
118
Quando consideramos os problemas de consentimento informado
relacionados com grandes bases de dados, como bases administrativas e
genéticas, o que a está em jogo é um potencial conflito de princípios éticos.
Existem pelo menos duas perspectivas éticas concorrentes a partir das
quais é possível estabelecer uma base moral para a utilização dos dados
identificados.
De acordo com a perspectiva kantiana, o valor da autonomia de uma
pessoa é intrínseco a ela e derivado do reconhecimento de que todas as
pessoas têm valor incondicional e capacidade de determinar seu próprio
destino. Neste caso, intervir sem o consentimento da pessoa é uma violação da
pessoa em si, e não simplesmente uma restrição de sua privacidade ou
intimidade. (Kant, 1989)
De acordo com a perspectiva utilitarista, a validade ética de uma ação é
estabelecida por suas conseqüências. A isenção do consentimento informado
poderia ser considerada uma sobreposição à privacidade e intimidade
eticamente válida, se o anonimato e a confidencialidade estiverem garantidos e
se for provado que esta sobreposição é necessária para viabilizar uma ação
que irá maximizar a felicidade ou a utilidade para um grande número de
pessoas. (Blackburn, 2008; Mill; Himmelfarb, 1982)
Por um lado, uma abordagem absoluta às questões de consentimento
pode prejudicar a pesquisa em saúde, necessária e útil, que irá contribuir para
o bem comum. Por outro lado, a falta de um nível adequado de proteção pode
levar à violação da privacidade dos indivíduos que pode afetar suas vidas (e
dos seus descendentes, se considerarmos as questões da triagem genética,
por exemplo) de formas imprevisíveis. Esses extremos podem ser evitados
com uma abordagem ética sensata.
Os benefícios do uso de registros relacionados por linkage para a
formulação de políticas de saúde já foram demonstrados por Roos. (Roos;
Menec; Currie, 2004) Há variações importantes entre os autores que discutiram
este dilema entre os benefícios da pesquisa e os riscos à privacidade.
Diversos estudos mostraram que as pessoas valorizam e estão
dispostas a participar de pesquisas, mas que desejam ser consultadas e
119
querem dar seu consentimento para tal. (Robling et al., 2004; Upshur; Morin;
Goel, 2001; Willison et al., 2003) Outros autores defendem a importância da
obtenção do consentimento, ainda que em formas modificadas. Sheehan
(Sheehan, 2011) apresenta um argumento convincente para a compatibilidade
de consentimento amplo e autonomia individual na escolha: a delegação da
decisão de consentir. Sheehan argumenta que quando o indivíduo não tem
informação suficiente para decidir, poderá delegar sua decisão a terceiros,
desde que haja informação suficiente sobre a reputação deste grupo decisor e
sobre a governança do processo decisório. Tal argumentação coaduna com a
existência de comitês de ética em pesquisa que utilizem dados secundários e
com a transparência sobre o processo decisório, como formas de dispensar o
consentimento informado individual.
Hansson et al (Hansson et al., 2006) descrevem os requisitos básicos
para as salvaguardas necessárias para impedir infrações éticas dos direitos
dos indivíduos sujeitos da pesquisa: permitindo a retirada dos dados individuais
de bancos de dados (opt-out), fornecendo medidas adequadas para a proteção
da privacidade e exigindo supervisão de comitês de ética em pesquisas futuras.
Upshur et al. (2001) (Upshur; Morin; Goel, 2001) cunharam a expressão
“paradoxo da privacidade” para descrever o comportamento dos cidadãos
canadenses que simultaneamente demandavam qualidade nos cuidados em
saúde e privacidade das suas informações pessoais de saúde. Adotando uma
perspectiva utilitarista, estes autores argumentaram que com a aplicação de
métodos e procedimentos adequados, o risco potencial de quebra não
autorizada de confidencialidade pode ser mantido baixo, e que assim, a
utilidade social da informação em saúde para a pesquisa científica superaria as
preocupações individuais com a proteção da privacidade.
Um relatório recente do IOM (IOM INSTITUTE OF MEDICINE, 2009a)
recomendou um novo cenário, baseando-se em enfatizar a exigência de que
todas as organizações que coletam e usam informações pessoais de saúde
devem adotar uma ampla gama de procedimentos para proteger a privacidade,
incluindo prestação de contas, fortes medidas de segurança e políticas
transparentes com relação aos propósitos para os quais informações são
120
usadas, em vez de confiar principalmente no consentimento informado dos
indivíduos para acesso aos dados.
Conforme ressaltado por Klassen (Klassen et al., 2005) é importante
observar que há espaço para processos de sensibilização da sociedade e
educação de profissionais para a natureza e a importância das pesquisas que
combinem inquéritos e bases de dados administrativas, buscando tratar
importantes questões de saúde coletiva.
Os resultados desta revisão indicam que, em geral, os indivíduos tendem
a aceitar a utilização de seus dados para linkage, com exceções em populações
específicas ou minorias. Acredita-se que isto, assim como a literatura citada,
pode contribuir para que políticas adequadas, que mantenham controles éticos
relevantes, possam dispensar o consentimento informado individual para cada
estudo que se baseia em dados secundários.
8.2 Experiências de Unidades de Data Linkage
A existência de unidades de data linkage vem ao encontro do
preconizado por Young et al. (Young; Dobson; Byles, 2001) em 2001 como
uma possibilidade de solução para o uso das bases de dados administrativas
de saúde em pesquisas, sem o consentimento explícito dos indivíduos
constantes nestas bases.
A proposta de investir em unidades organizacionais consideradas
terceiras partes confiáveis e no arcabouço ético e informático para a segurança
da informação é corroborada pelo GAO. (GAO United States General
Accounting Office, 2001).
O estudo das UDL revelou que a instalação destas unidades se deu nos
países que já tinham boa tradição na aplicação de técnicas de linkage descritos
por Roos (Roos; Menec; Currie, 2004) e Holman (Holman et al., 1999), o que
demonstra a preocupação com a evolução destas estruturas, que muitas vezes
foram originadas em grupos de pesquisas em universidades ou departamentos
governamentais, passando a exercerem suas funções para além das próprias
fronteiras, isto é, sendo fonte para outros pesquisadores.
121
Em relação à dimensão Estrutura e Operação, foi possível observar que
as UDL contam com equipes minimamente estruturadas para algumas funções
básicas: atendimento aos pesquisadores, administração interna e relação com
gestores-de-dados. Em todas as UDL há comitê-de-ética que analisa
solicitações de dados e define diretrizes éticas, em parceria com gestores-dedados.
Foi identificado que algumas UDL admitem somente funcionários
próprios (não terceirizados), verificando previamente antecedentes para o staff
de áreas protegidas. Em todas as UDL é exigida a assinatura de acordos
confidencialidade pelos funcionários, em geral, renovados a cada ano.
Preconiza-se que somente sejam admitidos candidatos aprovados em
treinamentos sobre as medidas de segurança e que haja procedimento formal
para remoção de acessos quando um funcionário é desligado.
As remessas de dados entre gestores-de-dados e a UDL em geral são
feitas por meio de mídias criptografadas e transportadas em-mãos por
portadores designados.
Em
relação a
remessas
ou acessos a
extratos-de-dados
por
pesquisadores, algumas UDL dispõem de ambiente seguro de acesso remoto
para que estes possam gerar análises e relatórios. (PHRN, 2011) Tais
ambientes prevêem autenticação do usuário, log de atividades e procedimentos
específicos de segurança.
Cabe destacar que o PopDataBC (Population Data BC, 2012) realizou
um interessante Estudo de Impacto de Privacidade que descreveu a sua
conformidade com a legislação de proteção à privacidade, detalhou a estrutura
necessária para seu funcionamento e os processos técnicos e administrativos
destinados ao gerenciamento da unidade. Este estudo foi aprovado por todas
as partes interessadas e financiadoras da UDL antes do funcionamento da
unidade.
Em relação ao modelo do processo de linkage, o principal aspecto
observado refere-se ao armazenamento ou não de variáveis-conteúdo no
ambiente da UDL, pois seu armazenamento em conjunto com variáveis-
122
demográficas amplia o risco à privacidade, dado que há manipulação
concomitante de informações sensíveis.
Na Austrália, (Kelman; Bass; Holman, 2002) as UDL só armazenam
variáveis-demográficas. As variáveis-conteúdo permanecem nos gestores de
dados. Os custodiantes-de-dados das bases em questão fornecem às UDL
suas bases originais, contendo todos os registros, mas apenas os campos
relativos a variáveis-demográficas, acrescidos da respectiva chave-original de
identificação local de cada registro. Os demais campos do registro, que contêm
variáveis-conteúdo, permanecem guardados no gestor-de-dados, o que
significa que a UDL nunca têm acesso a esse conteúdo sensível.
A UDL recebe as bases identificadas (sem variáveis-conteúdo) e realiza
o linkage. Para cada par resultante (que representa o mesmo indivíduo) é
atribuída uma chave-de-ligação da própria UDL, as quais consistem em
seqüências aleatórias de números e letras. Ao final, é atribuído um identificador
de cada par no projeto específico (identificador-do-projeto). A UDL, então,
devolve os registros resultantes aos gestores-de-dados, contendo apenas o
identificador-do-projeto e a chave-original-local.
Os gestores, por meio da chave-original-local, acessam suas bases e
geram
extrato-de-dados
com as variáveis-conteúdo,
substituindo suas
variáveis-demográficas pelo identificador-do-projeto. O resultado (registros
contemplando variáveis-conteúdo, identificador-do-projeto e sem variáveisdemográficas)
é
entregue
diretamente
por
cada
gestor-de-dados
ao
pesquisador. Então, este pode unir os registros por meio do identificador-doprojeto, determinando quais pares pertencem à mesma pessoa, sem ter acesso
às informações pessoais e realizar suas análises estatísticas.
Para manter a atualização regular da UDL, os gestores-de-dados
provêem à UDL remessas periódicas de novos subconjuntos contendo
variáveis-demográficas com suas chaves-originais-locais. Em seguida, usando
linkage probabilístico, a UDL verifica os novos dados versus a cadeia de pares
amazenada para ver se já existem pares anteriores para os mesmos indivíduos
ingressantes. Para cada registro considerado uma nova pessoa no sistema, a
123
UDL cria uma nova chave-de-ligação, que é então adicionada à coleção de
registros da UDL.
Nas UDL do Canadá, há armazenamento de variáveis-demográficas e
variáveis-conteúdo
nas
mesmas
instalações,
porém
em
ambientes
computacionais separados. Deste modo, há maior celeridade no processo de
atendimento às solicitações de pesquisadores, porém há maior risco à
segurança, que pode ser compensado com controles mais rígidos.
Todas as UDL estudadas fornecem aos pesquisadores somente dados
des-identificados. Nos extratos-de-dados gerados pela UDL constam campos
com o identificador-do-projeto e um identificador único, sendo este atribuído a
cada registro.
As UDL estudadas publicaram documentação sobre o modelo do
processo de linkage utilizado na UDL, em linguagem clara e acessível tanto a
pesquisadores quanto à sociedade em geral. Em algumas delas, o processo foi
descrito com riqueza de detalhes, tais como em algumas UDL da Austrália (SANT DataLink; USA, 2012; UWA, 2012) e do Canadá. (Population Data BC,
2012).
O CD-LINK, no Canadá, (Institute for Clinical Evaluative Sciences
(ICES), 2011) utiliza ferramentas de software para a avaliação do risco de reidentificação de indivíduos constantes nos extratos-de-dados gerados. É uma
iniciativa relevante para mitigar riscos potenciais de acesso direto ou
divulgação de dados dos indivíduos constantes nas bases de dados.
Na relação com os pesquisadores, foi possível identificar que todas as
UDL publicam o catálogo do acervo de bases de dados processadas na
unidade, contendo dicionários de dados; períodos disponíveis e organizações
gestoras. Alguns publicam avaliações sobre a qualidade das bases de dados
disponíveis.
Algumas UDL publicam a política de preços dos serviços, mas em geral,
os orçamentos são fornecidos após detalhamento do projeto.
As UDL podem realizar linkage com bases de dados identificados
externas ao seu acervo, desde que aprovado por Comitê de Ética. Sendo
bases administrativas de algum órgão público que ainda não forneça
124
regularmente à UDL é necessário firmar um termo entre a UDL e o gestor-dedados, específico para o projeto em questão. Após, o processo de submissão
do pedido de dados segue o fluxo normal.
Quando a base é fornecida pelos próprios pesquisadores, após o linkage
é destruída. Nestes casos, o pesquisador deverá descrever os riscos potenciais
de privacidade em realizar o linkage proposto, informando se houve
consentimento dos indivíduos ou sua renúncia. O pesquisador terá que
apresentar provas de consentimento por escrito dos indivíduos os quais
constam na base de dados da pesquisa específica, incluindo o formulário de
solicitação de consentimento. Se o consentimento não foi obtido, o pesquisador
terá de fornecer uma justificativa de por que o consentimento foi visto como
impraticável.
Todas as UDL informam o procedimento a ser seguido pelo pesquisador
para solicitar dados. Alguns têm formulário eletrônico. Toda solicitação de
dados submetida à UDL requer aprovação pelos custodiantes das bases de
dados em questão e pelo comitê-de-ética da UDL.
Algumas UDL oferecem capacitação aos pesquisadores sobre seu
funcionamento e ética/privacidade, exigindo o cumprimento de carga horária
obrigatória para atendimento à solicitação. Há também exigências que o
pesquisador comprove as condições técnicas para realizar a pesquisa antes de
atender à solicitação de dados (experiência do pesquisador responsável, infraestrutura disponível para o projeto, forma de financiamento do projeto). São
comuns exigências de plano de segurança da informação do pesquisador,
contendo minimamente onde os dados serão guardados e analisados e
declaração de destruição dos dados após a pesquisa.
Em todos os casos há contrato entre a UDL e o pesquisador, prevendo
as obrigações da UDL e do pesquisador, entre elas, que os dados fornecidos
só podem ser utilizados para o projeto específico que tenha sido aprovado. Não
devem ser combinados com outros conjuntos de dados ou utilizados para
outros projetos. Apenas o pessoal aprovado listado na solicitação de dados
pode ter acesso aos dados fornecidos. Submeter à aprovação da UDL
eventuais mudanças em protocolo da pesquisa; equipe de pesquisadores;
125
condições que afetem a segurança da informação (mudanças de local,
instalações
computacionais);
plano de encerramento da pesquisa. O
pesquisador deverá submeter-se, se solicitado, à auditoria dos representantes
da UDL, das instituições custodiantes ou de alguma organização a qual tenha
sido delegada a avaliação de conformidade pelos gestores-de-dados (exemplo:
organização externa certificadora).
Resultados
de
pesquisas
apresentados
em
relatórios
são
obrigatoriamente publicados de forma resumida apenas, de modo que a
identificação individual não seja possível. Qualquer célula da tabela não pode
conter menos de cinco indivíduos. Ao final do estudo, o pesquisador deverá
fornecer à UDL cópia dos relatórios, artigos, demais publicações ou
manuscritos a serem submetidos para publicação para que sejam analisados e
comentados antes da distribuição para publicação.
Algumas UDL têm por padrão o acesso aos extratos-de-dados pelos
pesquisadores somente pelo ambiente seguro de acesso remoto, sendo a
gravação de mídia considerada excepcionalidade, sujeita à aprovação dos
custodiantes-de-dados das bases em questão. Para extratos-de-dados
disponibilizados em mídia, os dados devem ser criptografados sempre e
entregues / recolhidos pessoalmente nos escritórios da UDL. A UDL nunca
poderá enviar extratos-de-dados via e-mail.
Ao tomar conhecimento ou suspeitar do não cumprimento do acordo de
confidencialidade, a UDL poderá tomar medidas previstas em contrato, tais
como: notificar imediatamente todos os órgãos públicos competentes; notificar
imediatamente todos os custodiantes-de-dados envolvidos; suspender e/ou
revogar a aprovação de acesso aos dados; revogar imediatamente acesso a
ambientes remotos de acesso aos dados; negar qualquer acesso posterior às
bases de dados da UDL ou de qualquer órgão público que atue em conjunto
com ela; enviar relatórios de não-conformidade para a instituição de filiação do
pesquisador, o comitê-de-ética que deu a aprovação do projeto, todas as
agências que forneceram o financiamento para o projeto, qualquer organização
que publicar os resultados do estudo.
126
Em relação aos gestores-de-dados, em geral, há acordos firmados entre
as partes para garantir fluxo regular de dados ou para o fornecimento em um
projeto específico. É interesse das UDL captar o maior conjunto possível de
bases de dados populacionais junto a potenciais gestores. Há contatos,
sensibilização em palestras, encontros e seminários, com o objetivo de ampliar
os
acervos
disponíveis
nas
UDL.
São
promovidos
cursos
sobre
o
funcionamento da UDL, modelo do processo de linkage, segurança da
informação, ética/privacidade para os gestores-de-dados.
Em relação à sociedade, as UDL estudadas publicaram princípios
básicos de seu funcionamento em seus sites, no intuito de propiciar
transparência sobre seus processos de trabalho. Entre as publicações, devem
constar: missão, regimento interno, conjunto de bases de dados processadas
na unidade, modelo do processo de linkage, inventário de projetos realizados e
em andamento, resultados, política de privacidade, princípios da unidade,
formas de financiamento; benefícios obtidos e potenciais. Uma UDL informou
que não fornece dados para auditorias e que projetos financiados com recursos
privados só são aceitos se não houver conflito de interesse ou envolvimento
inapropriado e se houver compromisso do pesquisador em publicar os
resultados da pesquisa em veículos de acesso público.
Há várias iniciativas de comunicação, com linguagem clara e acessível,
utilizando diversos meios, tais como: página de perguntas frequentes, videos
explicativos sobre o processo de linkage, folders explicativos sobre o propósito
da UDL, sobre o modelo de governança e a política de segurança e
privacidade.
Há também programas de cursos/palestras sobre o funcionamento da
unidade, ética/privacidade e engajamento do consumidor. Na rede australiana
há um comitê gestor, com a participação de representantes de financiadores,
gestores de dados, profissionais da unidade e usuários/consumidores de
serviços de saúde.
Este estudo incluiu somente UDL estabelecidas conforme o critério de
elegibilidade proposto. De fato, existem no mundo diversos grupos de pesquisa
que realizam linkage com bases de dados primárias e administrativas.
127
Atualmente, o controle da segurança da informação nestes locais é
praticamente inviável se não houver uma referência comum sobre a forma de
operação e os aspectos essenciais. A partir desta referência, poder-se-ia
conscientizar os atores envolvidos no processo e estabelecer mecanismos de
governança e controle social que propiciem maior segurança.
O relatório do IOM (IOM INSTITUTE OF MEDICINE, 2009a) sugere que
pesquisadores utilizem dados secundários, desde que tenham conformidade
com requisitos de segurança, que prestem contas dos resultados e sejam
passíveis de auditoria. De fato, a existência de UDL formalmente constituídas
não exclui a existência de grupos de pesquisa que realizem linkage. Mas o que
se precisa garantir é a segurança das informações, ao mesmo tempo em que
há o desenvolvimento local de capacidades e conhecimentos científicos.
8.3 Normas técnicas de segurança da informação e saúde
Todas as UDL analisadas no estudo anterior mencionam seguir
procedimentos
padronizados
referentes
à
segurança
da
informação
(especialmente no que concerne à confidencialidade) em suas políticas e
procedimentos internos. Entretanto, somente algumas fazem referência
explícita a normas técnicas internacionais (Population Data BC, 2012; SA-NT
DataLink; USA, 2012; UWA, 2012) em seus documentos publicados.
O estudo revelou que a quantidade de UDL que obtiveram ou buscam
certificação de conformidade com normas técnicas foi pequena, o que parece
indicar o alto esforço para usa implementação. O POPDATABC já é certificado
na norma ISO/IEC-27002:2005, a qual estabelece práticas e controles de um
sistema de gestão de segurança da informação, e o SANT-DL está em
processo de certificação. O DLB-WA não menciona certificações nas normas
ISO, mas cita as normas ISO/IEC-27001:2005 e ISO/IEC-27002:2005 em seus
documentos internos.
As normas citadas pelas UDL foram as referentes aos sistemas de
gestão de segurança: ISO/IEC-27001:2005 e ISO/IEC-27002:2005. Ambas
buscam estabelecer um sistema de gestão da segurança da informação que
permita a realização de auditorias de conformidade e posteriormente a
certificação de conformidade. Muitos controles especificados nas normas
128
técnicas, em especial os da ISO/IEC-27002:2005, foram mencionados nos
procedimentos e políticas de segurança das UDL estudadas. Em relação à
ISO-27799:2008, a maioria de seus controles é aplicável a UDL. Mas talvez por
ser relativamente nova, nenhuma UDL referiu ser certificada nesta norma
ainda. Apenas o SANT-DL fez referência a ela.
A existência de política de segurança ou código de prática é mandatória
para que uma UDL obtenha certificação de conformidade com normas técnicas
internacionais de sistemas de gestão da segurança da informação. (ISO International Organization for Standardization, 2005, 2005, 2008) A aderência
aos regulamentos vigentes é prevista para ser revisada periodicamente. O
comprometimento da direção da UDL com a segurança é evidenciado
publicamente por meio de declarações formais e postura. Em muitas UDL O
contato do responsável oficial pela segurança da informação na unidade é
disponibilizado no site.
As normas técnicas preconizam um sistema de gestão de segurança da
informação que contempla um vasto elenco de medidas de segurança física
para as instalações, classificação das informações quanto ao nível de proteção
necessário e indicadores de desempenho de um sistema de gestão de
segurança da informação. Os indicadores deste sistema devem ser
monitorados e avaliados criticamente por auditorias internas periódicas,
resultando nos ajustes necessários. Este sistema busca prever pronta detecção
de eventos de segurança e resposta aos incidentes, tais como canais de
comunicação, processo formal de apuração e processos disciplinares para
funcionários infratores. Funcionários, gestores e terceiros são instruídos a
notificar qualquer fragilidade de segurança. Anualmente realiza-se a avaliação
de riscos, atualizando o mapa e o plano de gerenciamento de riscos.
A norma ISO/IEC 27002:2005 (ISO - International Organization for
Standardization, 2005) preconiza que ambientes físicos e computacionais
devem ser segregados com níveis de proteção diferenciados, complementados
por controle de acesso via identificação pessoal. Deve haver salas-cofre para
servidores de rede. Áreas onde há acesso a informações pessoais devem estar
física e logicamente separadas de ambientes administrativos. Usuários devem
acessar somente serviços autorizados, utilizando métodos apropriados de
129
autenticação (senhas, certificados digitais, identificações automáticas de
equipamentos). A organização que implantar os controles desta norma precisa
dispor de mecanismos de detecção de acessos não autorizados e trilhas de
auditoria (logs) contendo atividades dos usuários, exceções e outros eventos
de segurança.
Diversas normas técnicas (ISO - International Organization for
Standardization, 2005, 2005, 2008) preconizam procedimentos de descarte
seguro de mídias fixas e removíveis, assegurando que dados sensíveis tenham
sido removidos. Backups precisam ser mantidos por um período de tempo
acordado para auxiliar em futuras investigações e monitoramento de controle
de acesso.
As demais normas estudadas são relevantes para aspectos específicos
das UDL. A ISO/TS-22600-1:2006 permite estabelecer os acordos de políticas
para trocas de dados seguras entre distintos domínios (co-operação entre
domínios), propiciando interoperabilidade entre os gestores de dados e UDL,
ou mesmo entre UDL regionais.
A ISO/TS-25237:2008 interessa às UDL que trabalham com variáveisdemográficas e desejem aplicar pseudonimização em seus dados. Entre as
UDL houve menção a pseudonimização, (Rochester Epidemiology Project,
2009) mas não foi possível identificar se em conformidade com esta norma.
A ISO/TS-29585:2010 se aplica a UDL que implementam armazéns de
dados clínicos. Há muito pouca referência a processos de linkage. Os aspectos
de segurança que a norma aponta são referências às normas de segurança já
analisadas.
Embora existam aspectos nas normas técnicas relacionados a todas as
dimensões estudadas nas UDL, a aplicabilidade principal de seus controles se
dá na dimensão de Estrutura e Operação, definida no estudo anterior. Isto
porque a principal recomendação destas normas é o estabelecimento de um
Sistema de Gestão de Segurança da Informação nas organizações.
Em senso amplo, seria excelente que todas as instituições buscassem o
cumprimento integral dos controles recomendados nas normas técnicas de
segurança. Entretanto, a escassez de recursos (humanos, financeiros e
130
técnicos) suscita a priorização da implementação destes controles. Os critérios
para esta priorização podem ser dados pela análise de viabilidade
(custo/tempo, impacto, benefícios), propiciando um roteiro ordenado para a
adoção destas medidas.
A pequena quantidade de normas técnicas sobre segurança da
informação em saúde publicadas no Brasil indica o quanto o assunto ainda é
pouco difundido e necessita ser aprofundado neste país.
8.4 Cenário no Brasil e proposta para debate
No Brasil há um vasto acervo de bases de dados administrativas com
potencial de uso para pesquisas, em sua maioria, armazenando dados
pessoais. No âmbito do SUS, há sistemas de informação que cobrem todo o
ciclo de vida de um indivíduo, do nascimento à morte. (Lima et al., 2009) A
ligação entre estes registros é feita majoritariamente por meio de linkage
probabilístico, devido à ausência de um campo identificador forte comum a
todas as bases de dados. Portanto, para fazer este linkage, faz-se necessário o
acesso a informações pessoais, que são fornecidas originalmente sem o
consentimento dos indivíduos para seu uso em pesquisas.
O crescimento do uso de técnicas de linkage com bases de dados
secundários para pesquisas em saúde no Brasil é evidenciado pelo aumento
no número de publicações científicas. (Bittencourt; Camacho; Leal, 2006; Lima
et al., 2009; Paiva et al., 2011; Pinheiro; Camargo Júnior; Coeli, 2006; Silva et
al., 2006) Em 2010, muitas destas experiências foram apresentadas em um
Seminário Internacional de Linkage de Bases de Dados realizado, no Rio de
Janeiro. (UFRJ, 2010)
O cenário atual de pesquisas com linkage de dados de saúde no Brasil é
descentralizado em diversas universidades e secretarias de saúde. Existem
diversos centros com experiência nas técnicas de linkage e na qualidade das
informações contidas em cada base de dados dos sistemas do SUS. Este
cenário tem como vantagem a criação de competência técnica distribuída entre
os diversos grupos de pesquisa, mas tem como risco a dificuldade de garantir a
segurança do processo.
131
O Ministério da Saúde (MS) é o grande repositório nacional das bases
de dados de saúde. Porém, somente realiza processos de linkage para o
atendimento a projetos de pesquisa específicos de suas próprias secretarias e
não em escala suficiente para abastecer a comunidade científica de extratosde-dados para suas próprias pesquisas.
Ao longo do tempo em que a autora desta pesquisa trabalhou na área de
disseminação de informações do Ministério da Saúde (2006-2010), foi possível
observar que há um significativo número de solicitações de cessões de bases
de dados identificados por pesquisadores externos ao Ministério que realizam
seu próprio linkage. Quando as solicitações são atendidas, os pesquisadores
recebem variáveis-demográficas junto com variáveis-conteúdo e, muitas vezes,
ligam estes dados com bases primárias locais por eles coletadas. Pelo
levantamento desta pesquisa, esta situação ainda permanece. Dá-se o dilema:
negar a solicitação de cessão de bases, em prol da proteção da privacidade
dos indivíduos, ou ceder bases identificadas para que o pesquisador realize o
linkage. Na maioria das vezes, as bases são cedidas, mediante termo de
compromisso do pesquisador com o sigilo dos dados, mas sem uma avaliação
prévia das condições de segurança em que estes dados serão manipulados.
É importante reconhecer iniciativas pioneiras, tais como a portaria
66/2004 da Secretaria de Vigilância em Saúde, (Brasil - Ministério da Saúde,
2004) que disciplinou a cessão de dados identificados sob sua gestão, e
avanços importantes com a publicação da Política de Segurança da Informação
do Ministério da Saúde (Brasil - Ministério da Saúde, 2010) e da recente
portaria ministerial 884/2011 que disciplina a cessão dos dados contidos nas
bases dos sistemas de informação sob gestão da Secretaria de Atenção à
Saúde (Brasil - Ministério da Saúde, 2011).
Entretanto, ainda não é possível identificar a existência de iniciativas
governamentais
de
fomento
ao
uso
de
mecanismos
de
segurança
padronizados para ambientes de pesquisa com linkage, ou mesmo, da
existência de um arcabouço técnico-legal que regulamente as condições
mínimas de segurança em que devem operar o linkage.
132
Sendo assim, o cenário atual ainda se mostra potencialmente inseguro,
pois não são exigidos ou auditados os controles essenciais de segurança para
os ambientes dos solicitantes quanto às salvaguardas necessárias. A
proliferação de cessões sem estas garantias pode aumentar a probabilidade de
que vazamentos de informações sensíveis venham a ocorrer.
Recentemente foi publicada a nova lei 12527/2011 de acesso a
informações, (Brasil, 2011) que fomenta o amplo acesso pelos cidadãos aos
dados custodiados pelas organizações públicas, sendo este acesso franqueado
para todas as informações que não tiverem classificação de sigilosas. A lei
explicita o conceito de informações pessoais e considerando-as sigilosas, dado
que seu conteúdo é relativo à vida privada, honra e à imagem e estabelece. Em
seu Art. 31, diz que o consentimento para acesso a estas informações não será
exigido quando as informações forem necessárias à realização de estatísticas
e pesquisas científicas de evidente interesse público ou geral, previstos em lei,
sendo proibida a identificação da pessoa a que as informações se referirem. A
lei reconhece a possibilidade de uso destas bases para pesquisa, mas ainda
deixa pendente a regulamentação dos procedimentos para tratamento de
informação pessoal e o arcabouço de segurança necessário.
Além das questões relacionadas à segurança da informação, outras
ações poderiam ser adotadas para propiciar maior integração dos centros de
linkage no Brasil, aumentar a eficiência dos processos e potencializar o uso de
seus resultados. Existem os re-trabalhos de eliminação de duplicidades de
dados e re-execução de linkage propriamente dito entre os distintos grupos de
pesquisa e isto acontece porque não ocorre a devolução dos pares obtidos nas
pesquisas ao Ministério da Saúde para que este propicie o re-aproveitamento
destes pares por outros grupos de pesquisa. Assim, muitas vezes um linkage
feito por um grupo é feito novamente por outro. Há uma replicação de bases de
dados sensíveis em mais de um local, acrescida da ampliação do risco de
vazamento.
Como melhorar este cenário? A partir do conhecimento das experiências
internacionais e da análise do nosso próprio contexto, propõe-se o desenho de
133
um modelo para o Brasil que alie o conhecimento técnico descentralizado dos
atuais centros de linkage à capacidade de regulação, assistência-técnica e
auditoria do Ministério da Saúde, alicerçado em bases ético-legais sobre uso
de informações pessoais para pesquisas em saúde.
Para dar sustentação legal a esta proposta, é preciso investir na
formulação dos marcos legais para acesso a bases de dados de saúde em
geral e, adicionalmente, para realização de linkage entre elas.
Considerando que os sistemas de informação do SUS são mantidos com
recursos públicos, todo dado contido em bases de dados destes sistemas
poderia ser considerado consentido para a utilização em pesquisas,
condicionado ao respeito às resoluções da CONEP e à aprovação do projeto
por comitê-de-ética em pesquisas. Neste sentido, o consentimento prévio
amplo para uso dos dados de saúde em pesquisas poderia ser adotado
legalmente.
Quem não se sentisse confortável em fornecer seus dados para
pesquisas poderia sempre pedir a revogação do consentimento (opt-out).
Nestes casos, os dados deste indivíduo poderiam ser anonimizados nas bases
de dados em questão. Adicionalmente, seriam necessárias campanhas de
conscientização da população para manterem o consentimento, mostrando os
benefícios coletivos oriundos destas pesquisas e os prejuízos que o opt-out
poderia trazer pela introdução de potenciais vieses. (IOM INSTITUTE OF
MEDICINE, 2009a)
Os marcos legais deveriam abordar os mecanismos de requisição e
gestão de consentimento dos indivíduos para estas bases, considerando a
necessidade de existirem instâncias que ser responsabilizem por este
consentimento, quando não for possível obtê-lo diretamente junto ao indivíduo.
Por exemplo, a dispensa do consentimento pode ser aprovada por comitê-deética desde que as condições propostas pela CIOMS (CIOMS Council for
International Organizations of Medical Sciences, 2009) sejam respeitadas. Tais
marcos poderiam servir de complemento à lei 12.527, como forma de acesso
seguro às informações de saúde para pesquisas.
134
No caso de pesquisas e de inquéritos de abrangência nacional no Brasil,
a abordagem junto aos indivíduos já poderia incluir sempre a possibilidade de
uso posterior dos dados para outras pesquisas, com linkage com bases de
dados administrativas, devendo essa autorização constar explicitamente no
termo de consentimento livre e esclarecido. (GAO United States General
Accounting Office, 2001)
Uma vez estabelecidos os marcos ético-legais acima descritos, poderse-ia investir na formalização dos controles de segurança essenciais para o
funcionamento de UDL. Ao mesmo tempo, seria necessário buscar garantir
tempo e recursos financeiros para sua implementação.
O próprio Ministério poderia criar linhas de financiamento para estrutura
e operação de UDL, exigindo em troca a certificação de conformidade dos
atuais centros de pesquisa. Criaria assim uma rede de UDL certificadas,
baseadas num padrão essencial de segurança proposto pelo Ministério.
As UDL certificadas poderiam ter apoio financeiro em sua sustentação
operacional, receberiam e operariam as bases confidenciais de forma segura.
Em contrapartida, prestariam um serviço rotineiro ao nó central da rede
(Ministério da Saúde), fornecendo os produtos de linkage gerados para compor
um índice centralizado destas bases. O Ministério, então, poderia disseminar
estes pares de forma anonimizada, potencializando o uso dos dados por mais e
mais pesquisadores.
A criação desta rede tornaria o processo descentralizado de linkage
mais seguro e confiável, garantindo assim a cessão de bases de dados
confidenciais do SUS somente às UDL em conformidade com o padrão de
segurança estabelecido.
A certificação de conformidade seria periodicamente submetida a
auditorias, propiciando maior tranqüilidade para os gestores de saúde (federal,
estaduais e municipais), bem como para os cidadãos, de que a privacidade das
informações está protegida.
Para criar uma rede de UDL no Brasil, é preciso formular uma política
pública para o uso de dados secundários de saúde e estimar os custos da
implementação desta rede. A partir de então, poderiam ser alocados orçamento
135
específico, papéis e responsabilidades para um plano de implantação, infraestrutura necessária (organizações, tecnologia e recursos humanos) e
participação social para garantir o cumprimento desta política.
Um forte elemento de fomento da confiança dos indivíduos para que
seus dados sejam usados para linkage, é a descrição do método do processo
de linkage de forma suficientemente clara e didática para que o cidadão
comum compreenda que a privacidade de seus dados de saúde está protegida.
Além do processo de trabalho transparente, as UDL também precisam deixar
disponíveis à sociedade suas políticas e prestações de contas. As experiências
de UDL da Austrália e do Canadá de existência de comitês-de-ética com
participação social e mídias de sensibilização e esclarecimentos à população
são umas boas fontes de inspiração.
Com relação aos aspectos de segurança, as instituições responsáveis
pelas bases de dados de saúde devem aplicar controles de segurança em seus
sistemas de informação que considerem os consentimentos estabelecidos.
Devem existir processos permanentes de monitoramento e avaliação da
conformidade dos processos em relação às normas de segurança de acesso e
uso das informações custodiadas. Nessa tese foram sintetizadas várias
práticas adotadas pelas UDL estudadas e contidas em normas de segurança
da ISO. Esperamos que tais práticas possam orientar um roteiro de definição
dos padrões essenciais para processos de linkage no Brasil.
136
9 Considerações Finais
Nesta tese buscou-se abordar o uso de dados dos sistemas de
informação em saúde para fins de pesquisa, pela aplicação de técnicas de
linkage, e as questões éticas e de segurança da informação, associadas a este
uso.
Os benefícios do acesso às bases de dados destes sistemas são claros,
conforme demonstrado pela literatura estudada. Entretanto, o acesso seguro a
estes dados precisa ser regulado de forma ética e transparente, para que a
população sinta confiança no sistema, assim como de forma ágil, para que não
haja obstrução do trabalho dos pesquisadores.
Compreende-se que o estabelecimento de um modelo de rede de UDL
e de uma política de linkage para o Brasil é um processo longo e gradual.
Enquanto não estiver maduro o suficiente, não devem ser interrompidos os
fluxos atualmente estabelecidos, sob pena de prejudicar a pesquisa em saúde
brasileira. Entretanto, é preciso dar passos adiante nesta caminhada para
aumentar a segurança da informação no que concerne à confidencialidade.
Esperamos que, assim como a literatura já existente, os resultados e
discussões apresentados neste estudo sejam uma contribuição para este
debate e para a pavimentação deste caminho.
137
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001:2006 Sistemas de Gestão de Segurança da Informação – requisitos.
Disponível
em:
<http://www.abntcatalogo.com.br/norma.aspx?ID=1492>.
Acesso em: 25 abr. 2011.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Associação Brasileira
de Normas Técnicas. Disponível em: <http://www.abnt.org.br/default.asp>.
Acesso em: 14 jan. 2012.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS; International
Organization for Standardization; Iinternational Electrotechnical Commission.
ABNT ISO/IEC GUIA 2:2006: normalização e atividades relacionadas Vocabulário
geral.
Disponível
em:
<http://www.abntcatalogo.com.br/norma.aspx?ID=7416>. Acesso em: 16 fev.
2012.
BEAUCHAMP, T. L.; CHILDRESS, J. F. Principles of biomedical ethics. 4.
ed. [S.l.] Oxford University Press, USA, 1994.
BITTENCOURT, S. A.; CAMACHO, L. A. B.; LEAL, M. DO C. Sistema de
Informação Hospitalar e sua aplicação na saúde coletiva. Cadernos de Saúde
Pública, v. 22, n. 1, p. 19-30, jan. 2006.
BLACKBURN, S. The Oxford Dictionary of Philosophy. 2. ed. [S.l.] OUP
Oxford, 2008.
BRASIL. Lei 12527-2011 Regula o acesso a informações. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm>.
Acesso em: 9 fev. 2012.
BRASIL - MINISTÉRIO DA SAÚDE. Portaria No 66/2004 - Estabelece os
procedimentos e responsabilidades relativas à divulgação técnicocientífica de dados e informações da Secretaria de Vigilância em Saúde SVS/MS.
Disponível
em:
<http://bvsms.saude.gov.br/bvs/saudelegis/svs/2004/prt0066_10_12_2004.html
>. Acesso em: 16 fev. 2012.
BRASIL - MINISTÉRIO DA SAÚDE. Portaria 3.207/2010 Institui a Política de
Segurança da Informação e Comunicações do Ministério da Saúde.
Disponível
em:
<http://bvsms.saude.gov.br/bvs/saudelegis/gm/2010/prt3207_20_10_2010.html
>. Acesso em: 25 abr. 2011.
BRASIL - MINISTÉRIO DA SAÚDE. Portaria No 884, de 13 de Dezembro de
2011-.
Disponível
em:
<http://bvsms.saude.gov.br/bvs/saudelegis/sas/2011/prt0884_13_12_2011.html
>. Acesso em: 9 fev. 2012.
BRYANT, H. et al. Population-based cohort development in Alberta, Canada: A
feasibility study. Chronic Diseases in Canada, v. 27, n. 2, p. 51-59, 2006.
138
BUCKOVICH, S. A.; RIPPEN, H. E.; ROZEN, M. J. Driving toward guiding
principles: a goal for privacy, confidentiality, and security of health information.
Journal of the American Medical Informatics Association: JAMIA, v. 6, n. 2,
p. 122-133, abr. 1999.
CAMARGO JR., K. R. DE; COELI, C. M. Reclink: aplicativo para o
relacionamento de bases de dados, implementando o método probabilistic
record linkage. Cadernos de Saúde Pública, v. 16, n. 2, p. 439-447, jun. 2000.
CANADIAN CANCER REGISTRY MANUALS. Record linkage overview Canadian
Cancer
Registry
Manuals.
Disponível
em:
<http://www.statcan.gc.ca/access_acces/alternative_alternatif.action?l=eng&loc
=http://www.statcan.gc.ca/pub/82-225-x/82-225-x2005005eng.pdf&t=Record%20Linkage%20Overview%20(Canadian%20Cancer%20Re
gistry%20Manuals)>. Acesso em: 3 fev. 2012.
CANADIAN RESEARCH DATA CENTRE NETWORK - About the CRDCN.
Disponível em: <http://www.rdc-cdr.ca/about-crdcn>. Acesso em: 3 fev. 2012.
CHEREL. CHeReL - Home. Disponível em: <http://www.cherel.org.au/>.
CENTER OF HISTORY AND NEW MEDIA, GEORGE MASON UNIVERSITY.
Zotero. [S.l.] www.zotero.org, 2011.
COUNCIL FOR INTERNATIONAL ORGANIZATIONS OF MEDICAL
SCIENCES. International Ethical Guidelines for Epidemiological Studies.
1st. ed. [S.l.] World Health Organization (WHO), 2009.
COMMISSION, A. L. R. C. For your information: Australian privacy law and
practice (Report 108), Section 66— Research: Databases and Data Linkage.
Disponível
em:
<http://www.alrc.gov.au/publications/66.%20Research%3A%20Databases%20a
nd%20Data%20Linkage/using-and-linking-information-databases>. Acesso em:
15 dez. 2011.
CURTIN UNIVERSITY. Centre for Data Linkage - Faculty of Health
Sciences,
Curtin
University
CDL.
Disponível
em:
<http://healthsciences.curtin.edu.au/research/cdl.cfm>. Acesso em: 20 jan.
2012.
DALHOUSIE UNIVERSITY. Population Health Research Unit PHRU.
Disponível em: <http://www.phru.dal.ca/index.cfm>. Acesso em: 29 jan. 2012.
DALHOUSIE UNIVERSITY. Population Health Research Unit - Dalhousie
University - Procedures for Obtaining Access to PHRU Data. Disponível em:
<http://www.phru.dal.ca/services/guidelines.cfm>. Acesso em: 29 jan. 2012.
DATASUS.
DATASUS.
Disponível
em:
<http://www2.datasus.gov.br/DATASUS/index.php>. Acesso em: 24 abr. 2011.
FELLEGI, I. P.; SUNTER, A. B. A theory for record linkage. Journal of the
American Statistical Association, v. 64, n. 328, p. 1183-1210, 1 dez. 1969.
FELLEGI, I. Record linkage techniques-1997: proceedings of an international
workshop and exposition, March 20-21, 1997, Arlington, Va. [S.l.] National
Academies, 1997.
139
FREIRE, SM. Regulação & Saúde: vol 3: documentos técnicos de apoio ao
Fórum de Saúde Suplementar de 2003 Tomo 2. [S.l: s.n.]. v. 3
GARFIELD, C.; ROSMAN, D.; BASS, J. Inside the Western Australian data
linkage system. In: PUBLIC HEALTH INFORMATION DEVELOPMENT UNIT PUBLICATIONS - SYMPOSIUM ON HEALTH DATA LINKAGE: ITS VALUE
FOR AUSTRALIAN HEALTH POLICY DEVELOPMENT AND POLICY
RELEVANT RESEARCH. Potts Point, Sydney, New South Wales:
2002Disponível em: <http://www.publichealth.gov.au/publications/symposiumon-health-data-linkage:-its-value-for-australian-health-policy-development-andpolicy-relevant-research:-proceedings.html>. Acesso em: 14 jan. 2012
GOLDIM, J. R. Código de Nuremberg - 1947. Disponível
<http://www.ufrgs.br/bioetica/nuremcod.htm>. Acesso em: 6 jun. 2011.
em:
GOSTIN, L. Health care information and the protection of personal privacy:
ethical and legal considerations. Annals of Internal Medicine, v. 127, n. 8 Pt 2,
p. 683-690, 15 out. 1997.
GOTTBERG, H. et al. Revisao sobre Normas e Padrões de Segurança da
Informação para o Registro Eletrônico em Saúde, 2011. Disponível em:
<http://www.sbis.org.br/cbis11/arquivos/910.pdf>. Acesso em: 15 nov. 2011
GOVERNMENT OF CANADA. Sources of Federal Government and
Employee
Information
2010
3
/
4.
Disponível
em:
<http://www.infosource.gc.ca/emp/emp03-eng.asp#descPIB>. Acesso em: 3
fev. 2012.
HANSSON, M. G. et al. Should donors be allowed to give broad consent to
future biobank research? The Lancet Oncology, v. 7, n. 3, p. 266-269, mar.
2006.
HARRIS, T. et al. Linking survey data with computerised records to predict
consulting by older people. The British Journal of General Practice, v. 54, n.
509, p. 928–931, 1 dez. 2004.
HARRIS, T. Linking questionnaires to primary care records: factors affecting
consent in older people. Journal of Epidemiology & Community Health, v.
59, n. 4, p. 336-338, abr. 2005.
HEALTH in Canada: How to access data. Disponível em:
<http://www4.statcan.gc.ca/health-sante/acces-eng.htm>. Acesso em: 3 fev.
2012.
HEALTH LINQ. Health LinQ | Health LinQ. Disponível
<http://www.healthlinq.org.au/health-linq>. Acesso em: 20 jan. 2012.
em:
HERZOG, T. N.; SCHEUREN, F. J.; WINKLER, W. E. Data quality and record
linkage techniques. 1. ed. [S.l.] Springer, 2007.
HIGGINS JPT; GREEN S. Cochrane Handbook for Systematic Reviews of
Interventions. Version 5.0.2 [updated September 2009] ed. [S.l.] The Cochrane
Collaboration, 2009.
HOLMAN, C. D. J. et al. Population‐based linkage of health records in Western
Australia: development of a health services research linked database.
Australian and New Zealand Journal of Public Health, v. 23, n. 5, p. 453459, 1 out. 1999.
140
HOLMAN, C. D. J. The impracticable nature of consent for research use of
linked administrative health records. Australian and New Zealand Journal of
Public Health, v. 25, n. 5, p. 421-422, 1 out. 2001.
HUANG, N. et al. Record linkage research and informed consent: who
consents? BMC Health Services Research, v. 7, n. 1, p. 18, 2007.
INFORMATION SERVICES DIVISION - NHS. ISD Services | Medical Record
Linkage | ISD Scotland. Disponível em: <http://www.isdscotland.org/Productsand-Services/Medical-Record-Linkage/>. Acesso em: 3 fev. 2012.
INFORMATION SERVICES DIVISION. CHI_Briefing_Paper.doc. Disponível
em:
<http://www.isdscotland.org/Products-and-Services/Medical-RecordLinkage/Files-for-upload/CHI_Briefing_Paper.doc>. Acesso em: 4 fev. 2012.
INFORMATION SERVICES DIVISION - NHS. ISD Services | Data protection
and
confidentiality
|
ISD
Scotland.
Disponível
em:
<http://www.isdscotland.org/Products-and-Services/Data-Protection-andConfidentiality/>. Acesso em: 4 fev. 2012.
INTERNATIONAL HEALTH DATA LINKAGE NETWORK. Disponível em:
<http://www.ihdln.org/>. Acesso em: 14 jan. 2012.
INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA.
Inmetro:
acreditação.
Disponível
em:
<http://www.inmetro.gov.br/credenciamento/>. Acesso em: 8 fev. 2012.
INSTITUTE FOR CLINICAL EVALUATIVE SCIENCES (ICES). CD-LINK Ontario
Cancer
Data
Linkage
Project.
Disponível
em:
<http://www.ices.on.ca/webpage.cfm?site_id=1&org_id=26&morg_id=0&gsec_i
d=0&item_id=6159>. Acesso em: 29 jan. 2012.
INSTITUTE OF MEDICINE. Beyond the HIPAA privacy rule: enhancing
privacy,
improving
health
through
research.
Disponível
em:
<http://books.nap.edu/openbook.php?record_id=12458>. Acesso em: 11 jan.
2012.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC
17799:2005 Information technology -- Security techniques -- Code of
practice for information security management. Text. Disponível em:
<http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu
mber=39612>. Acesso em: 12 jun. 2011.
27002:2005 Information technology -- Security techniques -- Code of
practice for information security management. Text. Disponível em:
27001:2005 Information technology -- Security techniques -- Information
security management systems -- Requirements. Text. Disponível em:
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/TS 226001:2006 Health informatics -- Privilege management and access control --
141
Part 1: overview and policy management. Text. Disponível em:
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Joining
in - Participating in International Standardization 2007. Disponível em:
<http://www.iso.org/iso/joining_in_2007.pdf>. Acesso em: 16 fev. 2012.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/TS
25237:2008 Health informatics -- Pseudonymization. Text. Disponível em:
<http://www.iso.org/iso/catalogue_detail?csnumber=42807>. Acesso em: 7 fev.
2012.
INTERNATIONAL
ORGANIZATION
FOR
STANDARDIZATION.
ISO
27799:2008 Health informatics -- Information security management in
health
using
ISO/IEC
27002.
Text.
Disponível
em:
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/TS
29585:2010 Health informatics -- Deployment of a clinical data warehouse.
Text.
Disponível
em:
Directives, Part 1 - Procedures for the technical work. Disponível em:
<http://isotc.iso.org/livelink/livelink/fetch/2000/2122/3146825/4229629/4230450/
4230455/ISO_IEC_Directives%2C_Part_1_%28Procedures_for_the_technical_
work%29_%282011%2C_8th_ed.%29_%28PDF_format%29.pdf?nodeid=1056
3026&vernum=-2>. Acesso em: 16 fev. 2012.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO International
Standardization
Organization.
Disponível
em:
<http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?c
ommid=54960>. Acesso em: 14 jan. 2012.
INTERNATIONAL
ORGANIZATION
FOR
STANDARDIZATION.
ISO
Catalogue. Disponível em: <http://www.iso.org/iso/search.htm>. Acesso em: 14
jan. 2012.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Website.
Disponível em: <www.iso.org>. Acesso em: 25 abr. 2011.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Catalogue
- JTC 1/SC 27 - IT Security techniques. 2012.
JARO, M. A. Probabilistic linkage of large public health data files. Statistics in
Medicine, v. 14, n. 5-7, p. 491-498, mar. 1995.
KANT, I. Foundations of the metaphysics of morals. 2. ed. [S.l.] Prentice
Hall, 1989.
KELMAN, C. W.; BASS, A. J.; HOLMAN, C. D. J. Research use of linked health
data - A best practice protocol. Australian and New Zealand Journal of
Public Health, v. 26, n. 3, p. 251-255, 2002.
142
KENDRICK, S. The Development of Record Linkage in Scotland: The
Responsive Application of Probability Matching. In: Record Linkage
Techniques -- 1997. [S.l: s.n.]. .
KHO, M. E. et al. Written informed consent and selection bias in observational
studies using medical records: systematic review. British Medical Journal v.
338, n. mar12_2, p. b866, 12 mar. 2009.
KLASSEN, A. F. et al. Linking survey data with administrative health
information: characteristics associated with consent from a neonatal intensive
care unit follow-up study. Canadian Journal of Public Health. Revue
Canadienne De Santé Publique, v. 96, n. 2, p. 151-154, abr. 2005.
LIBERATI, A. et al. The PRISMA Statement for Reporting Systematic Reviews
and Meta-Analyses of Studies That Evaluate Health Care Interventions:
Explanation and Elaboration. PLoS Med, v. 6, n. 7, p. e1000100, 21 jul. 2009.
LIMA, C. R. DE A. et al. Revisão das dimensões de qualidade dos dados e
métodos aplicados na avaliação dos sistemas de informação em saúde.
Cadernos de Saúde Pública, v. 25, n. 10, p. 2095-2109, out. 2009.
MACHADO, C. J. A literature review of record linkage procedures focusing on
infant health outcomes. Cadernos de Saúde Pública, v. 20, n. 2, p. 362-371,
abr. 2004.
MANITOBA CENTRE FOR HEALTH POLICY. Privacy Code Manitoba Centre
for
Health
Policy.
Disponível
em:
<http://umanitoba.ca/faculties/medicine/units/mchp/media_room/media/MCHP_
privacy_code.pdf>. Acesso em: 7 maio. 2012.
MARCHESSAULT, G.; PHEC, R. The Story of the Manitoba Centre for Health
Policy. Winnipeg: Manitoba Centre for Health Policy. Retrieved december,
v. 20, p. 2010, 2010.
MARTINS, A. C. M.; MACHADO, J. P.; SILVEIRA, D. P. Review about the
usage of probabilistic linkage in the Brazilian health area. IET Seminar
Digests, v. 2008, n. 12213, p. 9, jan. 2008.
MELTON, L. J., 3rd. History of the Rochester Epidemiology Project. Mayo
Clinic Proceedings. Mayo Clinic, v. 71, n. 3, p. 266-274, mar. 1996.
MENZIES RESEARCH INSTITUTE TASMANIA AND UTAS. Tasmanian Data
Linkage
Unit
TDLU.
Disponível
em:
<http://www.menzies.utas.edu.au/article.php?Doo=ContentView&id=1055>.
MILL, J. S.; HIMMELFARB, G. On liberty. Reprint ed. London, UK: Penguin
Classics, 1982.
NATIONAL RESEARCH COUNCIL. Record Linkage Techniques -- 1997:
Proceedings of an International Workshop and Exposition. Disponível em:
<http://books.nap.edu/openbook.php?record_id=6491&page=16>. Acesso em:
4 fev. 2012.
NEWCOMBE, H. B. et al. Automatic Linkage of Vital Records. Science, v. 130,
n. 3381, p. 954 -959, 16 out. 1959.
143
NEWCOMBE, H. B. Handbook of record linkage: methods for health and
statistical studies, administration, and business. [S.l.] Oxford University Press,
USA, 1988.
PAIVA, N. S. et al. Sistema de informações sobre nascidos vivos: um estudo de
revisão. Ciência &Saúde Coletiva, v. 16, p. 1211-1220, jan. 2011.
PILOTTO, L. S. et al. Sequential continuity of care by general practitioners:
which patients change doctor? The Medical Journal of Australia, v. 164, n. 8,
p. 463-466, 15 abr. 1996.
PINHEIRO, R. S.; CAMARGO JÚNIOR, K. R. DE; COELI, C. M.
Relacionamento de bases de dados em saúde; Database linkage on health.
Cadernos Saúde Coletiva, Rio de Janeiro, v. 14, n. 2, p. 195-196, jun. 2006.
PLOTNIKOFF, R. C. et al. Health-related behaviours in adults with diabetes:
Associations with health care utilization and costs. Canadian Journal of Public
Health, v. 99, n. 3, p. 227-231, 2008.
POPULATION DATA BC. Pop Data BC - Population Data British Columbia.
Disponível em: <http://www.popdata.bc.ca/>. Acesso em: 22 jan. 2012.
POPULATION DATA BC. Pop Data BC | Privacy - privacy impact assessment.
Disponível em: <http://www.popdata.bc.ca/privacy/pia>. Acesso em: 28 jan.
2012.
POPULATION HEALTH RESEARCH NETWORK. PHRN - home. Disponível
em: <http://www.phrn.org.au/>. Acesso em: 14 jan. 2012.
POPULATION HEALTH RESEARCH NETWORK. PHRN access and pricing
policy.
Disponível
em:
<http://www.phrn.org.au/media/36295/phrn%20access%20and%20pricing%20p
olicy%20v2.1_21.12.2011.pdf>. Acesso em: 14 jan. 2012.
POPULATION HEALTH RESEARCH NETWORK. PHRN - for data users.
Disponível em: <http://www.phrn.org.au/for-data-users/sure>. Acesso em: 14
jan. 2012.
ROBLING, M. et al. Public attitudes towards the use of primary care patient
record data in medical research without consent: a qualitative study. Journal of
Medical Ethics, v. 30, n. 1, p. 104-109, fev. 2004.
ROCHESTER EPIDEMIOLOGY PROJECT. Rochester Epidemiology Project
| Overview. Disponível em: <http://www.rochesterproject.org/>. Acesso em: 4
fev. 2012.
ROOS, L. L.; MENEC, V.; CURRIE, R. J. Policy analysis in an information-rich
environment. Social Science & Medicine (1982), v. 58, n. 11, p. 2231-2241,
jun. 2004.
SAFRAN, C. et al. Toward a National Framework for the Secondary Use of
Health Data: An American Medical Informatics Association White Paper.
Journal of the American Medical Informatics Association, v. 14, n. 1, p. 1-9,
1 jan. 2007.
SA-NT DATALINK; USA. SA-NT DataLink: supporting health, social and
economic research, education and policy in South Australia and the Northern
144
Territory. Disponível em: <https://www.santdatalink.org.au/>. Acesso em: 20
jan. 2012.
SAX INSTITUTE. SURE Secure Unified Research Environment. Disponível
em: <https://www.sure.org.au/>. Acesso em: 14 jan. 2012.
SEMINÁRIO INTERNACIONAL DE LINKAGE DE BASES DE DADOS, I., 2010,
Rio de Janeiro. [Anais]. Rio de Janeiro: UFRJ, 2010. Disponível em:
<http://www.iesc.ufrj.br/epi_bio/seminariolinkage/programa.html>. Acesso em:
13 jun. 2011.
SHAH, S. et al. Do income questions and seeking consent to link medical
records reduce survey response rates? A randomised controlled trial among
older people. The British Journal of General Practice, v. 51, n. 464, p. 223–
225, mar. 2001.
SHEEHAN, M. Can Broad Consent be Informed Consent? Public Health
Ethics, v. 4, n. 3, p. 226 -235, 1 nov. 2011.
SILVA, J. P. . et al. Revisão sistemática sobre encadeamento ou linkage de
bases de dados secundários para uso em pesquisa em saúde no Brasil.
Cadernos Saúde Coletiva, Rio de Janeiro, v. 14, n. 2, p. 197–224, 2006.
SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE. Manual de
certificação para sistemas de registro eletrônico em saúde (S-RES) versão
3.3. Disponível em: <http://www.sbis.org.br/>. Acesso em: 25 abr. 2011.
SOLOFF, C. et al. Enhancing longitudinal studies by linkage to national
databases: Growing up in Australia, the longitudinal study of Australian children.
International Journal of Social Research Methodology, v. 10, n. 5, p. 349363, 2007.
STATACORP. STATA 9.0: data analysis and statistical software. [S.l.]
STATACORP, 2011.
STATISTICS CANADA. Policy on record linkage. Disponível
<http://www.statcan.gc.ca/record-enregistrement/policy4-1-politique4-1eng.htm>. Acesso em: 3 fev. 2012.
em:
STATISTICS CANADA. Health in Canada: record linkage program. Disponível
em: <http://www4.statcan.gc.ca/health-sante/link-coup-eng.htm>. Acesso em: 3
fev. 2012.
STATISTICS CANADA. Statistics Canada: directive on record linkage, 28 nov.
2011.
TATE, A. R. et al. Mother’s consent to linkage of survey data with her child’s
birth records in a multi-ethnic national cohort study. International Journal of
Epidemiology, v. 35, n. 2, p. 294-298, abr. 2006.
TU, J. V. et al. Impracticability of Informed Consent in the Registry of the
Canadian Stroke Network. New England Journal of Medicine, v. 350, n. 14, p.
1414-1421, 1 abr. 2004.
UNITED KINGDOM; INFORMATION COMISSIONER´S OFFICE. Register of
data
controllers.
Disponível
em:
<http://www.ico.gov.uk/what_we_cover/register_of_data_controllers.aspx>.
Acesso em: 4 fev. 2012.
145
UNIVERSITY OF MANITOBA. Faculty of Medicine - Community Health
Sciences - Manitoba Centre for Health Policy. Population Health Research
Data
Repository.
Disponível
em:
<http://umanitoba.ca/faculties/medicine/units/community_health_sciences/depar
tmental_units/mchp/resources/repository/index.html>. Acesso em: 28 jan. 2012.
UNITED STATES. GENERAL ACCOUNTING OFFICE, N. Record linkage and
privacy: issues in creating new federal research and statistical information.
Washington, D.C.: United States General Accounting Office, 2001. Disponível
em: <http://www.gao.gov/assets/210/201699.pdf>. Acesso em: 12 jan. 2012.
UPSHUR, R. E. G.; MORIN, B.; GOEL, V. The privacy paradox: laying Orwell’s
ghost to rest. CMAJ, v. 165, n. 3, p. 307-309, 7 ago. 2001.
VERSCHUUREN, M. et al. The European data protection legislation and its
consequences for public health monitoring: a plea for action. European
Journal of Public Health, v. 18, n. 6, p. 550-551, dez. 2008.
VICTORIAN DATA LINKAGES, VDL. Victorian data linkages VDL Department of Health, Victoria, Australia. guidelines. Disponível em:
<http://www.health.vic.gov.au/vdl/>. Acesso em: 20 jan. 2012.
WESTERN AUSTRALIAN DATA LINKAGE INFORMATION.Data Linkage
Branch. Disponível em: <http://www.datalinkage-wa.org/>. Acesso em: 20 jan.
2012.
WILLISON, D. J. et al. Patients’ consent preferences for research uses of
information in electronic medical records: interview and survey data.British
Medical Journal, v. 326, n. 7385, p. 373-373, 15 fev. 2003.
YOUNG, A. F.; DOBSON, A. J.; BYLES, J. E. Health services research using
linked records: who consents and what is the gain? Australian and New
Zealand Journal of Public Health, v. 25, n. 5, p. 417-420, out. 2001.
146
Apêndice – Artigo
Downloaded from jme.bmj.com on March 9, 2012 - Published by group.bmj.com
JME Online First, published on March 8, 2012 as 10.1136/medethics-2011-100208
Brief report
Informed consent for record linkage:
a systematic review
Márcia Elizabeth Marinho da Silva,1 Cláudia Medina Coeli,2 Miriam Ventura,2
Marisa Palacios,2 Mônica Maria Ferreira Magnanini,2
Thais Medina Coeli Rochel Camargo,2 Kenneth Rochel Camargo Jr3
< Additional materials are
published online only. To view
these files please visit the
journal online (http://dx.doi.org/
10.1136/
medethics-2011-100208/
content/early/recent).
1
General Management of
Information Systems, Agency
for Health Plans and Insurance
(ANS), Rio de Janeiro, Rio de
Janeiro, Brazil
2
IESC, UFRJ, Rio de Janeiro, Rio
de Janeiro, Brazil
3
IMS, UERJ, Rio de Janeiro, Rio
de Janeiro, Brazil
Correspondence to
Márcia Elizabeth Marinho da
Silva, General Management of
Information Systems, Agency
for Health Plans and Insurance
(ANS), Av. Augusto Severo, 84,
108. Andar, Glória, Rio de
Janeiro, Rio de Janeiro
22021040, Brazil;
[email protected]
Received 5 September 2011
Revised 7 February 2012
Accepted 13 February 2012
ABSTRACT
Background Record linkage is a useful tool for health
research. Potential benefits aside, its use raises
discussions on privacy issues, such as whether a written
informed consent for access to health records and
linkage should be obtained. The authors aim to
systematically review studies that assess consent
proportions to record linkage.
Methods 8 databases were searched up to June 2011
to find articles which presented consent proportions to
record linkage. The screening, eligibility and inclusion of
articles were conducted by two independent reviewers.
The authors carried out meta-regression, subgroup and
sensitivity analyses to assess heterogeneity.
Results Of the 141 studies identified, only 11 presented
empirical consent proportions and were included in the
systematic review. The consent proportion varied widely
from 39% to 97%. Seven studies presented consent
proportions of 88% or higher, one of 72%, and only three
presented consented proportion equal to or lower than
53%. None of the studies’ characteristics evaluated
explained heterogeneity.
Conclusion The results of this review show that, in
general, individuals tend to consent to the use of their
data for record linkage, with exceptions in specific
populations or minorities. The authors believe that this,
as well as the cited literature, lends support to policies
that, while keeping relevant ethical controls in place, do
not require individual informed consent for each and
every study that relies on secondary data.
INTRODUCTION
Record linkage techniques aim to link records
believed to refer to the same individual.1 It is
a powerful tool for conducting epidemiological
studies in a practical and inexpensive way. Its use,
however, demands access to personal identifiers,
raising privacy concerns such as whether formal
consent for access to health records for linkage
should be obtained.2
Secondary data research uses health data that are
stored without the individual’s explicit consent or
even awareness. At the moment the data are
recorded, it is difficult to predict the type of questions
they will be used to answer, especially with linked
data. Large numbers of participants would have to be
contacted and the contact would only be necessary
for obtaining informed consent. Based on these
considerations, it has been proposed that alternatives
to the traditional opt in consent model, used in
primary data based research, should be adopted in the
context of secondary data based research.3e6
The discussion about the ethical access to
secondary data is part of a wider reconsideration of
the limits of the traditional informed consent
model.7 Another such context in which several
authors are exploring alternative consent models,
for example, is biobanking.8
The 4th guideline of the Council for International Organizations of Medical Sciences6 states
that the waiver of individual informed consent is to
be regarded as exceptional and must in all cases be
approved by an ethical review committee, unless
otherwise permitted under national legislation that
conforms to the ethical principles in those
guidelines. Since 1995, governments of developed
countries have passed legislation which requires
consent for the use of health information in
order to protect the privacy of identifiable health
information.9 Although the privacy laws allow
for a waiver of consent, in some special situations,
researchers became concerned that conservative
interpretations of the legislation by ethical review
committees would make mandatory the request for
individual consent.9 Ness,10 in a survey carried out
4 years after the implementation of the Health
Insurance Portability and Accountability Act Privacy
Rule, showed that American epidemiologists
perceived that this legislation impacted health
research negatively, increasing project costs and time.
The Brazilian context with a large number of
secondary data sources, an important and growing
number of studies relying on linkage techniques
and a national system for supervising ethics in
research established since 1996 demands a broad
discussion of this subject. With varying degrees,
however, the same could be said even for countries
with already established rules; as the technology
evolves, new challenges are inevitable. Thus, it is
important to know the consent proportions for
accessing private health information and record
linkage when a traditional opt in consent model is
used. We found a systematic review of consent and
secondary data in general,11 but this issue has not
been addressed specifically in the context of record
linkage. Therefore, this study aims to systematically review articles that assess consent proportions
to record linkage.
METHODS
The systematic review was conducted in accordance with the guidelines.12 Computer-assisted
search of eight electronic databases up to June 2011
was performed using the strategy described in
online box 1.
Marinho
da Silva ME,
Coeli CM,author
Ventura M,
et al.
J Medemployer)
Ethics (2012). doi:10.1136/medethics-2011-100208
Copyright
Article
(or
their
2012. Produced by BMJ
1 of 4
Publishing Group Ltd under licence.
Brief report
The screening, eligibility and inclusion of articles were
conducted by two independent reviewers. Disagreements
between reviewers were resolved by a third independent
reviewer. We excluded editorials, letters and reviews. The eligibility criteria were: full original articles published in Portuguese,
Spanish, English and French whose aim was to assess consent
proportions to record linkage or which reported consent
proportions to record linkage.
The studies were classified according to publication year;
country of the study; type and number of databases intended to
be linked; study population features; approach used to obtain
consent and who consented (subject himself/herself vs parent or
care giver).
Analyses were conducted using Stata V.9.0 (http://www.
stata.com). We intended to perform a meta-analysis; however,
we detected a significant heterogeneity in the data (s¼0.91). We
used a mixed-effects meta-regression model to specifically assess
the underlying reasons for between study heterogeneity. The
following covariates were tested in the meta-regression model:
country, age group, population origin, approach to obtaining
consent and who consented. Subgroup analysis was performed
according to the five variables mentioned above. Finally, in order
to identify influential studies, we performed a leave-one-studyout sensitivity analysis.
Table 1
Online figure 1 depicts the flowchart of this review. After
removing duplicated publications, the number of abstracts to be
screened was 140. One article identified scanning the reference
lists of the selected articles was later included. After reviewing the
abstracts, 81 studies were discarded due to language (n¼ 4), type
of publication (n¼6) and study aim not compatible (n¼71). Of
the 60 remaining articles, we discarded 49 because the study aim
did not meet the eligibility criteria (n¼ 42), the full text was not
accessible (n¼1), the studies reported consent proportions already
considered in earlier studies (n¼5) and one study reported having
replaced the individual consent with a confidentiality protocol
approved by an ethics committee on research.
Table 1 shows the general characteristics of the 11 studies
included. One article15 was published in 1996 and 10 articles
were published after 2000. The studies were carried out in
Canada, UK, Australia and Taiwan. The majority of the studies
dealt with both adults and seniors and only one study dealt
exclusively with women.22 In six articles, the study population
came from health services, whereas in the five remaining the
participants were enrolled in population surveys. The majority
of the studies requested consent from the participant himself/
herself and used a face-to-face approach. With the exception of
one article,18 the studies had moderate to large study sizes.
Summary of included studies evaluating the consent for record linkage (n¼11)
Year
Author
Setting
Linked databases
2006
Bryant13
Canada
Primary data; populationbased registry;
administrative database
2007
Soloff14
Australia
1996
Pilotto15
Australia
Primary data; immunisations
database; administrative
database
Primary data; administrative
databases
2004
Harris16
UK
databases
2006
Tate17
UK
Primary data; birth records
2001
Shah18
UK
Primary data; medical records
2007
Huang19
Taiwan
database; medical records
2005
Klassen20
Canada
databases; medical records
2008
Plotnikoff21
Canada
database
2001
Young22
Australia
2004
Tu4
Canada
Primary data;
administrative databases
Population-based registry;
medical records;
administrative databases
2 of 4
RESULTS
Population origin and
characteristics
Consent
approach
Who
consented
People asked
to consent
Consent
rate
Subjects; participating in
a survey; males 41%,
females 59%; aged 35e69
years (82% adult, 18% older)
Subjects participating in
a survey; males/females;
aged up to 5 years old
Patients of health services;
male/female; aged between
23 and 72 years
Patients of health services;
male 37%, female 63%; aged
more than 65
a survey; males/females; born
between September 2000 and
January 2002
Patients of health
services; male/female;
aged 65e74 years
a survey; males 49%/females
51%; aged 20 or more (youth
24%, adults 60%, older 16%)
Patients of health services
(two hospitals and three
neonatal intensive care units);
male/female; children born
between 1996 and 1997
Subjects with diabetes;
participating in a survey;
males/females; aged 18 or more
Women (100%); participating
in survey; all ages
Patients of health services; male
54%, female 46%; with acute stroke,
transient ischaemic attacks or both;
included in a stroke registry; aged in
medium: 69 years old (phase I) and
72 years old (phase II)
Letter
Own subject
11.863
97%
Face-to-face
10.000
97%
Face-to-face
Other person
responsible for
the subject
Own subject
555
94%
Letter
Own subject
1.704
92%
Face-to-face
Other person
responsible for
the subject
18.505
92%
Letters and
telephone
Own subject
129
88%
Face-to-face
Own subject
14.611
88%
Letter
Other person
responsible for
the subject
1.533
72%
Unidentified
Own subject
2.311
53%
Letter
Own subject
39.883
49%
Face-to-face
Other person
responsible for
the subject
4.285
phase I
2.823
phase II
39%
51%
Marinho da Silva ME, Coeli CM, Ventura M, et al. J Med Ethics (2012). doi:10.1136/medethics-2011-100208
Brief report
Table 2 Study characteristics associated with consent
proportion for record linkage
Variable
Country
Australia
Canada
Taiwan
UK
Age group
Children
Adults/elderly
Elderly
Population origin
Population survey
Health service
Approach
Face-to-face
Letter
Who consented
Own subject
Parents
Care giver
OR (95% CI)
1
0.29 (0.02 to 3.37)
0.94 (0.02 to 44.69)
1.27 (0.08 to 19.69)
1
0.53 (0.05 to 5.93)
0.27 (0.02 to 3.44)
1
0.31 (0.05 to 1.83)
1
1.06 (0.14 to 8.04)
1
1.60 (0.23 to 11.13)
0.13 (0.01 to 1.26)
s2¼0.83, s¼0.91.
The consent proportion varied widely from 39% to 97%.
Seven studies presented consent proportions of 88% or higher,
one of 72%, and only three presented consented proportion
equal to or lower than 53% (table 1). In subgroup analysis as
well as in meta-regression, the studies’ characteristics did not
explain heterogeneity (table 2). Sensitivity analysis did not show
significant variation in the results.
DISCUSSION
We observed an expressive heterogeneity among the studies.
The majority of them reported high consent proportions but
three presented overall consent proportions equal or lower than
53%.4 21 22 The target population of the latter studies differed
markedly: patients of a stroke registry;4 diabetic patients in an
organised association;21 and participants in a longitudinal study
of women’s health.22
As a limitation of our article, differences in studies design as
well as lack of power due to the small number of articles
included in the review are possible reasons for our inability to
explain the marked difference in proportion of consent for record
linkage observed between the two groups of studies. However,
a complex interplay between contextual and individual factors
might also play a role. Kho et al,11 in a systematic review carried
out to evaluate whether informed consent introduces selection
bias in studies using medical records, found differences between
individuals who gave and did not give consent with regard to
age, sex, race, income, education and health status, but the
direction of such differences varied among the studies and
remained inconclusive.
When we consider the problems of informed consent related
to large databases, such as administrative and genetic, what is at
stake is a potential conflict of ethical principles: on the one hand,
an absolute approach to issues of consent may hinder necessary
and useful research that will contribute to the common good; on
the other, lack of adequate protection may lead to breaches of
subjects’ privacy that can affect their lives (and those of their
descendants, if we consider issues of genetic screening, for
instance) in ways that are unforeseeable. These extremes can be
avoided with a sensible ethical approach. There are important
variations among authors who discussed this dilemma. A recent
report from the Institute of Medicine23 recommended a new
framework based on emphasising the requirement that all
organisations that collect and use personal health information
adopt a variety of procedures aiming to protect privacy including
accountability, strong security measures and transparency policies with regard to the purposes for which information is used,
instead of relying mainly on informed consent. Other authors
defend the importance of obtaining consent, even if in modified
forms. Sheehan24 makes a compelling case for the compatibility
of broad consent and individual autonomy in choosing. Hansson
et al25 describe the basic requirements for the necessary safeguards to prevent ethical infringements of research subjects’
rights: allowing for withdrawal of individual data from databases; providing adequate measures for privacy protection; and
requiring IRB oversight of future research.
CONCLUSION
The results of this review show that in general individuals tend
to consent to the use of their data for record linkage, with
exceptions in specific populations or minorities. We believe that
this, as well the cited literature, lends support to policies that,
while keeping relevant ethical controls in place, do not require
individual informed consent for each and every study that relies
on secondary data.
Contributors MEMS and CMC: organised the study concept and design. MEMS,
CMC, MMFM and TMCRC: acquired, analysed, interpreted the data and performed the
statistical analysis. MEMS, CMC, MV, MP, MMFM and KRC: performed background
literature research, had full access to all the data in the study, take responsibility of
the accuracy of the data analysis and drafted the manuscript.
Funding The study was supported by Fundação de Amparo à Pesquisa do Estado do
Rio de Janeiro (FAPERJ- E-26/100.691/2007; E-26/110.465/2007) and Conselho
Nacional de Desenvolvimento Cientı́fico e Tecnológico (CNPqd(473911/2009-4).
Cláudia Medina Coeli and Kenneth Rochel de Camargo were partially supported by
research fellowship grants from CNPq.
Competing interests None.
Provenance and peer review Not commissioned; externally peer reviewed.
REFERENCES
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Herzog TN, Scheuren F, Winkler WE. Data Quality and Record Linkage Techniques.
New York, NY: Springer, 2007. http://www.springerlink.com/content/978-0-38769502-0/#section¼268249&page¼1&locus¼0 (accessed 12 Jun 2011).
GAO United States General Accounting Office. Record Linkage and Privacy:
Issues in Creating New Federal Research and Statistical Information. Washington, DC:
United States General Accounting Office, 2001. http://www.gao.gov/assets/210/
201699.pdf (accessed 12 Jan 2012).
Upshur REG, Morin B, Goel V. The privacy paradox: laying Orwell’s ghost to rest.
CMAJ 2001;165:307e9.
Tu JV, Willison DJ, Silver FL, et al. Impracticability of informed consent in the
Registry of the Canadian stroke Network. N Engl J Med 2004;350:1414e21.
Holman CDJ. The impracticable nature of consent for research use of linked
administrative health records. Aust N Z J Public Health 2001;25:421e2.
Council for International Organizations of Medical Sciences (CIOMS).
International Ethical Guidelines for Epidemiological Studies. 1st edn. Geneva,
Switzerland: World Health Organization (WHO), 2009.
Manson NC, O’Neill O. Rethinking Informed Consent in Bioethics. 1st edn.
Cambridge, UK: Cambridge University Press, 2007.
Steinsbekk KS, Solberg B. BiobanksdWhen is Re-consent necessary? Public
Health Ethics. Published Online First: 3 November 2011. doi:10.1093/phe/phr031
Gershon AS, Tu JV. The effect of privacy legislation on observational research.
CMAJ 2008;178:871e3.
Ness RB. Influence of the HIPAA Privacy Rule on health research. JAMA
2007;298:2164e70.
Kho ME, Duffett M, Willison DJ, et al. Written informed consent and selection bias
in observational studies using medical records: systematic review. BMJ 2009;338:
b866.
Liberati A, Altman DG, Tetzlaff J, et al. The PRISMA statement for reporting
systematic reviews and meta-analyses of studies that evaluate health care
interventions: explanation and elaboration. PLoS Med 2009;6:e1000100.
Bryant H, Robson PJ, Ullman R, et al. Population-based cohort development in
Alberta, Canada: a feasibility study. Chronic Dis Can 2006;27:51e9.
3 of 4
Brief report
14.
15.
16.
17.
18.
19.
Soloff C, Sanson A, Wake M, et al. Enhancing longitudinal studies by linkage to
national databases: growing up in Australia, The Longitudinal Study of Australian
Children. Int J Soc Res Methodol 2007;10:349e63.
Pilotto LS, McCallum J, Raymond C, et al. Sequential continuity of care by general
practitioners: which patients change doctor? Med J Aust 1996;164:463e6.
Harris T, Cook DG, Victor CR, et al. Linking survey data with computerised records to
predict consulting by older people. Br J Gen Pract 2004;54:928e31.
Tate AR, Calderwood L, Dezateux C, et al. Mother’s consent to linkage of survey
data with her child’s birth records in a multi-ethnic national cohort study. Int J
Epidemiol 2006;35:294e8.
Shah S, Harris TJ, Rink E, et al. Do income questions and seeking consent to link
medical records reduce survey response rates? A randomised controlled trial among
older people. Br J Gen Pract 2001;51:223e5.
Huang N, Shih S-F, Chang H-Y, et al. Record linkage research and informed consent:
who consents? BMC Health Serv Res 2007;7:18.
20.
21.
22.
23.
24.
25.
Klassen AF, Lee SK, Barer M, et al. Linking survey data with administrative health
information: characteristics associated with consent from a neonatal intensive care
unit follow-up study. Can J Public Health 2005;96:151e4.
Plotnikoff RC, Karunamuni ND, Johnson JA, et al. Health-related behaviours in
adults with diabetes: associations with health care utilization and costs. Can J Public
Health 2008;99:227e31.
Young AF, Dobson AJ, Byles JE. Health services research using linked records: who
consents and what is the gain? Aust N Z J Public Health 2001;25:417e20.
Institute of Medicine (IOM). Beyond the HIPAA Privacy Rule: Enhancing Privacy,
Improving Health Through Research. http://books.nap.edu/openbook.php?
record_id¼12458 (accessed 11 Jan 2012).
Sheehan M. Can broad consent be informed consent? Public Health Ethics
2011;4:226e35.
Hansson MG, Dillner J, Bartram CR, et al. Should donors be allowed to give broad
consent to future biobank research? Lancet Oncol 2006;7:266e9.
PAGE fraction trail=3.25
4 of 4
Informed consent for record linkage: a
systematic review
Márcia Elizabeth Marinho da Silva, Cláudia Medina Coeli, Miriam
Ventura, et al.
J Med Ethics published online March 8, 2012
doi: 10.1136/medethics-2011-100208
Updated information and services can be found at:
http://jme.bmj.com/content/early/2012/03/07/medethics-2011-100208.full.html
These include:
Data Supplement
"Supplementary Data"
http://jme.bmj.com/content/suppl/2012/03/07/medethics-2011-100208.DC1.html
References
This article cites 19 articles, 6 of which can be accessed free at:
http://jme.bmj.com/content/early/2012/03/07/medethics-2011-100208.full.html#ref-list-1
P<P
Email alerting
service
Published online March 8, 2012 in advance of the print journal.
Receive free email alerts when new articles cite this article. Sign up in
the box at the top right corner of the online article.
Notes
Advance online articles have been peer reviewed, accepted for publication, edited and
typeset, but have not not yet appeared in the paper journal. Advance online articles are
citable and establish publication priority; they are indexed by PubMed from initial
publication. Citations to Advance online articles must include the digital object identifier
(DOIs) and date of initial publication.
To request permissions go to:
http://group.bmj.com/group/rights-licensing/permissions
To order reprints go to:
http://journals.bmj.com/cgi/reprintform
To subscribe to BMJ go to:
http://group.bmj.com/subscribe/

Linkage de bases de dados identificadas em saúde

Transcrição

Documentos relacionados

Comunicado - UNIÃO DE LEIRIA

Percursos Inclusivos com o Universal Design for Learning (UDL)

Segunda Lei de Mendel

Ford Escort MKII RS 2000

Mipolam Symbioz

Ficha Técnica - ACE Revestimentos

CERTIFICADO DE APROVAÇÃO - CA Nº 4.677 VÁLIDO

PISOS - pisotech

sikablock m700

sikablock m900