Linkage de bases de dados identificadas em saúde
Transcrição
Linkage de bases de dados identificadas em saúde
UNIVERSIDADE FEDERAL DO RIO DE JANEIRO MÁRCIA ELIZABETH MARINHO DA SILVA Linkage de bases de dados identificadas em saúde: consentimento, privacidade e segurança da informação. Rio de Janeiro 2012 MÁRCIA ELIZABETH MARINHO DA SILVA Linkage de bases de dados identificadas em saúde: consentimento, privacidade e segurança da informação. Tese apresentada ao Programa de Pós-Graduação em Saúde Coletiva, Instituto de Estudos em Saúde Coletiva, Universidade Federal do Rio de Janeiro, com vistas à obtenção do título de Doutora em Saúde Coletiva. Orientadora: Profª Cláudia Medina Coeli Rio de Janeiro 2012 Catalogação na fonte Instituto de Estudos em Saúde Coletiva Biblioteca S586 Silva, Márcia Elizabeth Marinho da Linkage de bases de dados identificadas em saúde: consentimento, privacidade e segurança da informação. / Márcia Elizabeth Marinho da Silva. Rio de Janeiro : UFRJ/Instituto de Estudos em Saúde Coletiva, 2012. 151 f., tab., graf. Orientador: Cláudia Medina Coeli Tese (Doutorado) – Universidade Federal do Rio de Janeiro, 2012. Referências: f. 1. Sistemas de Informação. 2. Bases de dados como assunto. 3. Segurança (Computação). 4. Ética em Pesquisa. 5. Privacidade. I. Coeli, Cláudia Medina. II. Universidade Federal do Rio de Janeiro. Instituto de Estudos em Saúde Coletiva. III. Título. CDD 025.52 Dedicatória Dedico este trabalho a todos os profissionais que produzem informações em saúde no Brasil, lutando para construir sistemas de informação eficientes e confiáveis. A todos os gestores, que sustentam o funcionamento do sistema de saúde, possibilitando que os cidadãos possam ter sua saúde assistida. A todos os pesquisadores que lidam com linkage, produzindo conhecimento para melhorar as vidas das pessoas. Aos usuários do sistema de saúde brasileiro, que na origem de tudo, alimentam a cadeia de sistemas de informação quando fornecem seus dados nos atendimentos. E no âmbito pessoal, dedico este trabalho ao meu amado esposo, Vanderlei, que sempre me incentivou a cursar o doutorado e que apoiou cada momento deste período de dedicação aos estudos. Aos meus filhos queridos, Rafaela e Gabriel, que também são estudantes. Que a jornada deste doutorado possa servir de inspiração à perseverança na busca de objetivos de longo prazo. Agradecimentos A todas as pessoas que, de alguma forma, contribuíram para esta pesquisa. Ainda que não seja possível citar todas, que estejam representadas naquelas aqui mencionadas. À professora Cláudia Medina Coeli, minha orientadora e amiga, que despertou a centelha desta pesquisa. Obrigada pela generosidade e dedicação em ajudar a achar os caminhos desta tese. Aos amigos Kenneth Rochel Camargo Jr., Miriam Ventura, Marisa Palácios, Thaís Medina, Mônica Magnanini e Eduardo Assad, que contribuíram neste estudo com sua valiosa participação. Aos dirigentes dos locais em que trabalhei: Ministério da Saúde, no Departamento de Informática do SUS (DATASUS) e Agência Nacional de Saúde Suplementar (ANS), cujo apoio foi determinante para que eu pudesse conciliar minha atividade profissional com a acadêmica. Registro o meu agradecimento aos senhores Ernani Bandarra e Luís Gustavo Loyola dos Santos, diretores do DATASUS, e Maurício Ceschin, Leandro Reis Tavares, Bruno Sobral de Carvalho e Wladmir Ventura de Souza, da ANS. A Cláudia Risso de Araújo Lima, Ceres Albuquerque e Márcia Franke Piovesan, que foram mais do que minhas gerentes. Foram amigas que incentivaram a perseverar no curso do doutorado. À minha equipe de trabalho, na qual confio e da qual reconheço o enorme valor de sua parceria. Muito obrigada a este time que “segura o rojão” com dedicação e garra. À Daniele Silveira (ANS), por ter me apresentou à International Health Data Linkage Network (IHDLN), que foi fundamental para esta pesquisa. Aos colegas da Comissão de Estudo Especial de Informática em Saúde da Associação Brasileira de Normas Técnicas (ABNT/CEE-78). Agradeço pela motivação e pelo muito que aprendi ao participar deste grupo de excelência, pavimentando importantes conceitos para esta tese. À minha mãe Odette, minha madrinha Noêmia, aos meus queridos irmãos e aos meus estimados familiares do Rio de Janeiro e do Rio Grande do Sul, meu agradecimento pela compreensão com a minha ausência do convívio em tantas ocasiões. À Mary, meu anjo da guarda em casa, que cuida tão bem de todos da nossa família e que soube “pilotar” a rotina doméstica para que eu pudesse estudar. Aos meus amores: Vanderlei, Rafaela e Gabriel, pois mais do que torcer e rezar para que eu prosseguisse nessa missão, souberam compreender a minha ausência. A Jesus Cristo, meu mestre e senhor, que foi o sustento do meu espírito ao longo desta jornada, luz nos momentos de escuridão e amparo nos momentos de dificuldade. Muito obrigada! Resumo Em um mundo cada dia mais digital, sistemas de informação registram quase todos os tipos de dados em diversas áreas da vida dos cidadãos: educação, saúde, trabalho, lazer, renda, entre outras. O acervo de bases de dados pode ter seu uso potencializado se for possível relacionar seus registros e obter novas informações derivadas destes relacionamentos. A técnica de Record Linkage tem sido proficuamente empregada para fins de pesquisas em saúde com uso secundário de bases de dados administrativas. Apesar dos benefícios obtidos, este uso suscita discussões sobre privacidade, tais como se deve ser obtido o consentimento de cada indivíduo cujos dados estão contidos nas bases de dados. Esta pesquisa objetivou estudar os aspectos éticos relacionados ao consentimento dos indivíduos para a realização de linkage com seus dados pessoais de saúde, assim como aspectos operacionais e normativos relacionados à segurança da informação, especialmente confidencialidade, em organizações que realizam linkage de forma sistemática. Buscou-se revisar sistematicamente estudos que avaliaram a proporção de consentimento para Record Linkage. Foram pesquisadas oito bases de dados até Junho de 2011 para encontrar artigos que apresentassem a proporção de consentimento para linkage. A pesquisa, a elegibilidade e a inclusão dos artigos foram feitas por dois revisores independentes. Foi realizada metaregressão, análise de subgrupo e análise de sensibilidade para avaliar a heterogeneidade entre os estudos. Dos 141 estudos identificados, somente 11 apresentaram proporções empíricas de consentimento. A proporção de consentimento variou amplamente entre 39% e 97%. Sete estudos apresentaram proporções de consentimento maiores ou iguais a 88%. Um apresentou de 72% e somente três estudos apresentaram proporções iguais ou menores que 53%. Nenhuma das características dos estudos explicou a alta heterogeneidade encontrada. Os resultados desta revisão mostraram que, em geral, os indivíduos tendem a consentir o uso de seus dados para linkage, exceto em populações específicas ou minorias. A partir deste resultado, buscou-se identificar práticas de segurança da informação relevantes para organizações que realizam linkage de forma sistemática. Foram pesquisadas experiências internacionais de unidades de data linkage a partir da literatura e do catálogo de membros da International Health Data Linkage Network (IHDLN). Em complemento, foram pesquisadas normas técnicas da International Standardization Association (ISO) sobre segurança da informação em saúde. Foram identificadas quatorze organizações em quatro países: Austrália, Canadá, Escócia e Estados Unidos. Foram selecionadas seis normas para análise aprofundada. Ao final, foi constituído um conjunto de 75 práticas relevantes para a segurança da informação em unidades de data linkage, que servirão para o debate sobre o assunto. Acreditamos que as conclusões desta pesquisa, assim como a literatura citada, subsidiarão políticas públicas, que estabeleçam a aplicação de controles éticos e tecnológicos relevantes, permitindo a realização de pesquisas com bases de dados administrativas sem a necessidade de consentimento individual para cada estudo. Palavras-chave: Sistemas de informação; Bases de dados como assunto; Segurança (Computação); Ética em pesquisa; Privacidade. Abstract In an increasingly digital world, information systems encompass almost all data types in many areas of people's lives: education, health, work, leisure and income, among others. The collection of databases may have its use enhanced if it is possible to relate their records and new information derived from these relationships. The Record Linkage technique has been usefully employed for purposes of health research with secondary use of administrative databases. Despite the benefits obtained, this use raises discussions about privacy; such as whether to obtain the consent of each individual whose data is contained in the databases. This research aimed to study the ethical aspects related to the consent of individuals regarding the linkage of their personal health data, as well as regulatory and operational aspects related to information security, especially confidentiality in organizations that perform linkage in a systematic way. We sought to systematically review studies that evaluated the proportion of consent for Record Linkage. We searched eight databases until June 2011 to find articles that presented the proportion of consent for linkage. Two independent reviewers made the research, the eligibility and the inclusion of articles. We performed meta-regression, subgroup analysis and sensitivity analysis to assess the heterogeneity between studies. Of 141 studies identified, only 11 had empirical proportions of consent. The consent proportion ranged widely between 39% and 97%. Seven studies showed proportions of consent greater than or equal to 88%. One showed 72% and only three studies had proportions equal to or less than 53%. None of the characteristics of the study explained the high heterogeneity found. The results of this review showed that, in general, individuals tend to consent to the use of their data for linkage, except in specific populations or minorities. Based on this result, we aimed to identify information security practices relevant to organizations that perform linkage in a systematic way. We searched international experiences of data linkage units from the literature and from the catalog of members of the International Health Data Linkage Network (IHDLN). In addition, we surveyed technical standards of the International Association for Standardization (ISO) on health information security. We found fourteen organizations in four countries: Australia, Canada, Scotland and the United States. Six standards were selected for deep analysis. At the end, we organized a set of 75 practices relating to information security in data linkage units, which will be of use to the debate on the subject. We believe that the findings of this research, as well as the literature cited, will subsidize public policies that establish the application of relevant technological and ethical controls, allowing the realization of research with administrative databases without the need for individual consent for each study. Key words: Information systems; Databases as topic; Computer security; Ethics, Research; Privacy. Sumário Apresentação.................................................................................................. 19 1 Introdução ............................................................................................... 21 1.1 Linkage de bases de dados.......................................................... 21 1.2 Privacidade e confidencialidade em saúde .................................. 23 1.3 Impacto na pesquisa em saúde.................................................... 26 1.4 Unidades de data linkage ............................................................. 30 1.5 Segurança da informação em saúde............................................ 31 1.6 Normas técnicas e conformidade ................................................. 33 1.7 Cenário atual ................................................................................ 37 2 Justificativa ............................................................................................. 38 3 Objetivos ................................................................................................. 44 4 Método – Fases da Pesquisa ................................................................. 45 5 Estudo sobre proporção de consentimento para linkage ....................... 46 6 7 8 9 5.1 Métodos ........................................................................................ 46 5.2 Resultados .................................................................................... 48 Estudo sobre experiências internacionais de unidades de data linkage 53 6.1 Métodos ........................................................................................ 53 6.2 Resultados .................................................................................... 57 Estudo de normas técnicas sobre segurança da informação .............. 106 7.1 Métodos ...................................................................................... 106 7.2 Resultados .................................................................................. 107 Discussão ............................................................................................. 117 8.1 Consentimento para linkage....................................................... 117 8.2 Experiências de Unidades de Data Linkage .............................. 120 8.3 Normas técnicas de segurança da informação e saúde ............ 127 8.4 Cenário no Brasil e proposta para debate.................................. 130 Considerações Finais ........................................................................... 136 Referências................................................................................................... 137 Apêndice – Artigo ......................................................................................... 146 Lista de Figuras Figura 01 - Série temporal de publicações sobre linkage .............................. 38 Figura 02 - Diagrama das fases da pesquisa................................................. 45 Figura 03 – Fluxograma da revisão sistemática............................................. 49 Figura 04 - Fluxograma de seleção das experiências incluídas no estudo ... 54 Figura 05 - Localização das unidades de data linkage incluídas................... 59 Figura 06 - Localização das unidades de data linkage da Austrália .............. 62 Figura 07 - Modelo do processo de linkage australiano ................................ 68 Figura 08 - Localização das unidades de data linkage do Canadá ............... 72 Figura 09 – Segregação física de ambientes do POPDATABC .................... 76 Figura 10 – Segregação de ambientes computacionais do POPDATABC.... 76 Figura 11 - Localização da unidade de data linkage da Escócia ................... 89 Figura 12 - Localização da unidade de data linkage dos Estados Unidos .... 93 Figura 13 - Síntese das práticas selecionadas, por dimensão e assunto...... 95 Lista de Tabelas Tabela 01 – Estudos incluídos que avaliaram proporção de consentimento. 51 Tabela 02 – Variáveis associadas à proporção de consentimento................ 52 Lista de Quadros Quadro 01 – Estratégia de Pesquisa .......................................................................... 47 Quadro 02 – Experiências Internacionais - dimensões e variáveis estudadas .......... 56 Quadro 03 – Unidades de data linkage incluídas no estudo ...................................... 58 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage ........ 96 Quadro 05 – Normas ISO estudadas ........................................................................ 108 Lista de Abreviaturas e Siglas ABNT Associação Brasileira de Normas Técnicas, Brasil. ABNT/CEE78 ABNT / Comissão de Estudo Especial de Informática em Saúde, Brasil. ABNT-NBR ABNT Norma Brasileira ANS Agência Nacional de Saúde Suplementar, Brasil. BC British Columbia, Canada BCLHD British Columbia Linked Health Database, Canada CDL Centre for Data Linkage, Australia. CD-LINK Ontario Data Linkage Project, Canadá. CFM Conselho Federal de Medicina, Brasil. CHEREL Center for Record Linkage, Australia CHI Community Health Index CHSPR Centre for Health Services and Policy Research, Canada CIINFO Comitê de Informação e Informática, Ministério da Saúde, Brasil. CIOMS Council for International Organizations of Medical Sciences CNS Conselho Nacional de Saúde, Brasil. CONEP Comissão Nacional de Ética em Pesquisa do CNS, Brasil. CPF Cadastro de Pessoa Física DL Data Linkage DLB-WA Data Linkage Branch of Western Australia, Australia DLU Data Linkage Unit FIOCRUZ Fundação Oswaldo Cruz, Brasil. GAO General Accounting Office - United States HIPAA Health Insurance Portability and Accountability Act HL7 Health Level 7 Institute HLQ Health Linq, Australia ICES Institute for Clinical Evaluative Sciences IEC International Electrotechnical Commission IHDLN International Health Data Linkage Network INC Instituto Nacional de Cardiologia, Brasil. INCA Instituto Nacional do Câncer, Brasil. InfoSource Index of Standard Personal Information Banks INMETRO Instituto Nacional de Metrologia, Qualidade e Tecnologia, Brasil. IOM Institute of Medicine – United States IS Informática em Saúde ISD-MRL Information Services Division – Medical Record Linkage, Scotland, UK ISO International Standardization Association ISO/IEC/JTC1 Joint Technical Committee on Information Technology ISO/TC ISO Technical Committee ISO/TC215 ISO / Technical Committee 215 Health Informatics ISO-DIS ISO Draft of International Standard ISO-FDIS ISO Final Draft of International Standard ISO-IS ISO International Standard ISO-TR ISO Technical Report ISO-TS ISO Technical Specification MCHP Manitoba Centre for Health Policy, Canada. MCHP Manitoba Centre for Health Policy MS Ministério da Saúde, Brasil. MS/DATASUS Departamento de Informática do SUS, Ministério da Saúde, Brasil. MS/SAS Secretaria de Assistência à Saúde, Ministério da Saúde, Brasil. MS/SVS Secretaria de Vigilância em Saúde, Ministério da Saúde, Brasil. NHS National Health System, United Kingdom. NSS National Services Scotland, Scotland. ORLS Oxford Record Linkage Study PHIN Personal Health Information Number PHRDR Population Health Research Data Repository PHRN Population Health Research Network PHRU Population Health Research Unit, Canada PHRU Population Health Research Unit PIA Privacy Impact Assessment POPDATABC Population Data British Columbia, Canada. PRISMA Preferred Reporting Items for Systematic Reviews and MetaAnalyses PUBMED PubMed RDAF Research Data Access Framework RDC Register of Data Controllers REP Rochester Epidemiology Project, United States. RIS Registro Integrado de Informações em Saúde RL Record Linkage SANT-DL South Australia and Northern Territory Linkage Consortium, Australia. SBIS Sociedade Brasileira de Informática em Saúde SC Statistics Canadá, Canada. SFU Simon Fraser University, Canada. SGSI Sistema de Gestão de Segurança da Informação SIHSUS Sistema de Informações Hospitalares do SUS SINASC Sistema de Informações de Nascidos Vivos SMS-JF/MG Secretaria Municipal de Saúde de Juiz de Fora, Minas Gerais, Brasil. (SMS-Rio) Secretaria Municipal do Rio de Janeiro, Rio de Janeiro, Brasil. S-RES Sistemas de Registro Eletrônico de Saúde SURE Secure Unified Reseach Environment SUS Sistema Único de Saúde TCLE Termo de Consentimento Livre e Esclarecido TDLU Tasmanian Data Linkage Unit, Australia. TI Tecnologia da Informação TTP Trusted-Third-Party UBC University of British Columbia, Canada. UDL Unidade de Data Linkage UFMG Universidade Federal de Minas Gerais, Brasil. UFRJ Universidade Federal do Rio de Janeiro, Brasil. UNIRIO Universidade Federal do Estado do Rio de Janeiro, Brasil. UoM University of Manitoba US-HHS United States Department of Health and Human Services USP Universidade de São Paulo, Brasil. UVIC University of Victoria, Canada. UWA University of Western Australia, Australia. VDL Victorian Data Linkages, Australia. Apresentação Neste trabalho abordaremos questões relacionadas à segurança e privacidade das informações de saúde armazenadas em sistemas mantidos por instituições públicas e privadas que realizam linkage sistematicamente. Foi estudado o uso destas informações para fins de pesquisa e como os pesquisadores e indivíduos sujeitos aos cuidados de saúde lidam com o consentimento informado para este uso. O trabalho congrega aspectos dos campos da Saúde Coletiva, Ética em Pesquisa e Informática em Saúde, tendo como produto a identificação de práticas básicas para estabelecer salvaguardas éticas essenciais e aprimorar a segurança da informação, com o propósito de proteger a privacidade das informações pessoais dos indivíduos sujeitos à atenção em saúde. Esta tese está estruturada em 8 capítulos. O capítulo 1 é dedicado à introdução sendo discutidos os aspectos relacionados aos conceitos de linkage, ética em saúde, privacidade, segurança da informação, normalização e certificação de conformidade. No capítulo 2, a partir de uma contextualização, é apresentada a justificativa para a realização desta pesquisa e no capítulo 3 são apresentados seus objetivos. O desenvolvimento desta pesquisa foi feito em duas fases. Na primeira, o foco foi o consentimento dos indivíduos para linkage com dados de saúde. Na segunda fase, o foco foi segurança das informações de saúde, com seu tratamento por organizações que realizam linkage sistemático para pesquisa em saúde e seus padrões de segurança. Para tal, foi realizado também o estudo de normas técnicas sobre segurança. Dada natureza diferenciada dos objetivos deste estudo, optouse por descrever os métodos e resultados específicos separadamente. Assim, o capítulo 4 aborda o estudo sobre consentimento para linkage, o capítulo 5 trata do estudo sobre as experiências internacionais de unidades de data linkage e o capítulo 6 aborda normas técnicas de segurança da informação voltadas para a área de saúde. O capítulo 7 apresenta a discussão sobre os temas estudados, bem como uma visão do cenário brasileiro e uma proposta para o debate sobre o estabelecimento de unidades de data linkage no país. O capítulo 8 apresenta as considerações finais e recomendações e o apêndice apresenta o artigo intitulado “Informed consent for record linkage: a systematic review”, publicado no Journal of Medical Ethics. Esperamos que possa contribuir para o debate brasileiro sobre uso secundário de bases de dados administrativas para fins de pesquisa e potencializar este uso de forma ampla e segura, em última análise, aprimorando a pesquisa em saúde no Brasil e a saúde dos brasileiros. 21 1 Introdução Em um mundo cada dia mais digital, sistemas de informação registram quase todos os tipos de dados em diversas áreas da vida dos cidadãos: educação, saúde, trabalho, lazer, renda, entre outras. O acervo de bases de dados pode ter seu uso potencializado se for possível relacionar seus registros e obter novas informações derivadas destes relacionamentos. 1.1 Linkage de bases de dados O relacionamento de registros (record linkage ou data linkage), é definido por Herzog et al. (Herzog; Scheuren; Winkler, 2007) como a junção de informações de dois registros que se acredita que se relacionam com a mesma entidade - por exemplo, a mesma pessoa. Isto poderá implicar a vinculação de registros de bases de dados diferentes unidos em um único arquivo, seja para identificar registros duplicados ou para associar outros dados desta mesma pessoa. A técnica de record linkage tem sido empregada para vincular pessoas e eventos nos diversos sistemas de informação em saúde. Este processo possibilita ações de vigilância e avaliação de serviços de saúde, utilizando-se bancos de dados epidemiológicos e administrativos para a identificação de desfechos tais como óbitos, hospitalizações, notificações de agravos e acompanhamento de doenças crônico-degenerativas (câncer ou AIDS) (Camargo Jr.; Coeli, 2000) e potencializando os benefícios da manutenção de sistemas de registros eletrônicos de saúde. Quando existe um campo identificador único entre as bases de dados a serem relacionadas, o relacionamento estabelecido é determinístico e muito simples. Na ausência deste identificador, o linkage probabilístico é uma das alternativas mais utilizadas. 22 Segundo Camargo & Coeli, (Camargo Jr.; Coeli, 2000) as técnicas de relacionamento automatizado de registros foram apresentadas por Newcombe no final da década de 50. (Newcombe et al., 1959) Em 1969, Fellegi e Sunter (Fellegi; Sunter, 1969) formalizaram o método matemático que é chamado de relacionamento probabilístico de registros. Este método se baseia em três etapas, a saber: a padronização de registros, a blocagem de registros (blocking) e o pareamento de registros. O uso do linkage probabilístico como método para relacionar registros em diferentes bases de dados deve-se em grande parte à indisponibilidade de um campo comum que permita a identificação de cada registro de forma unívoca (por exemplo, o CPF) entre as distintas bases de dados. Este método é baseado na utilização de combinações de campos comuns (ex. nome, data de nascimento) presentes nas bases a serem relacionadas. Estes campos são utilizados conjuntamente para o cálculo de um escore, que traduz o grau de concordância entre os registros de cada link formado. Adicionalmente, deve ser definida uma regra (valores de escores limiares) para a classificação dos escores dos links indique se os pares dentro dos limiares são verdadeiros ou se os que estão abaixo são falsos1. (Camargo Jr.; Coeli, 2000; Jaro, 1995) É importante diferenciar o significado dos termos data linkage e data matching. (Victorian Data Linkages, VDL, 2012) Em ambos os casos usa-se técnicas de record linkage, mas com diferentes propósitos. O primeiro busca ligar dados a partir de casos, com o objetivo claro de criar informação para uso em pesquisa, planejamento de serviços e avaliação. Uma pequena margem de erros pode ser tolerada no processo de linkage. Os resultados do linkage são usados 1 Neste trabalho não abordaremos os aspectos técnicos do processo de linkage em si, tais como a estimativa dos parâmetros, os passos da blocagem, entre outros. O foco do estudo é no acesso às informações utilizadas para o linkage em saúde, que são dados de identificação de pessoas (tais como nome, data de nascimento e nome da mãe) e eventos de saúde (internações, atendimentos, óbitos, diagnósticos, procedimentos realizados ou tratamentos). 23 somente para análises estatísticas. No segundo busca-se ligar dados de registros para identificar indivíduos a fim de prestar-lhes serviços assistenciais. Nenhuma margem de erro pode ser admitida no processo de linkage e os dados usados na prestação de serviços precisam ser suficientes para a identificação do indivíduo. As possibilidades de acesso a dados sensíveis de saúde suscitam preocupações com a proteção da privacidade dos dados de saúde dos indivíduos, que abordaremos a seguir. 1.2 Privacidade e confidencialidade em saúde Apesar dos enormes benefícios que os registros eletrônicos de saúde trazem para a gestão, vigilância e pesquisa em saúde, o crescimento da disponibilidade de tecnologias que permitem o armazenamento e transmissão de grandes quantidades de dados que, em geral, incluem informações sensíveis (diagnósticos, por exemplo), suscita questões de ordem ética sobre o acesso consentido a esses registros, a garantia da privacidade dos indivíduos e os mecanismos de segurança da informação. O emprego de técnicas de linkage requer que, ao longo de suas etapas, os profissionais que manipulam as bases de dados visualizem registros que contém dados pessoais. Ao final dos processos automatizados, em geral ainda é preciso realizar revisões visuais para análise de pares com escores próximos ao limiar estabelecido, para os quais há dúvida se são verdadeiros ou falsos (análise da “zona cinzenta”). Além disso, há a possibilidade de descoberta de novas informações a partir dos registros de dados relacionados entre si, informações estas que não estariam visíveis se estes registros permanecessem isolados. O IOM abordou os conceitos de privacidade e confidencialidade em saúde (IOM INSTITUTE OF MEDICINE, 2009a). Embora afirme que não há uma definição universal para o conceito de privacidade, considera-a como DIREITO fundamental de cada indivíduo de estar livre de observações intrusivas. No contexto das informações de 24 saúde, entre outros aspectos, significa que o sujeito da atenção tem o direito de decidir quais informações suas podem ser acessadas, por quem, sob quais condições e para quais finalidades. Os mesmos autores observam que o entendimento da sociedade sobre privacidade está diretamente associado ao de confidencialidade e segurança, sendo que muitas vezes estes conceitos são empregados de forma sobreposta. O conceito de confidencialidade refere-se ao DEVER de salvaguardar as informações obtidas no contexto de uma relação de intimidade, na qual a privacidade precisa ser protegida. No âmbito da saúde, aplica-se perfeitamente à relação médico-paciente, como o dever de profissionais e organizações de guardarem o sigilo das informações coletadas nos atendimentos. Considerando que os dados pessoais de saúde são fornecidos pelo indivíduo aos profissionais de saúde em condições de prestação de serviços de assistência à saúde, firma-se um compromisso com a confidencialidade destes dados por parte das instituições que os armazenam. Ao serem acessados por terceiros, sem o consentimento do indivíduo no caso do linkage para pesquisas, tais acessos seriam considerados em strito sensu quebras de confidencialidade, dado que sua privacidade teria sido violada. Esta questão suscita um debate ético sobre o respeito à privacidade individual versus o benefício coletivo de uma pesquisa, como veremos a seguir. Consentimento: autonomia do indivíduo versus benefício coletivo O debate sobre a obrigatoriedade do consentimento para linkage decorre da discussão ética sobre o equilíbrio entre o respeito à autonomia do sujeito da atenção em decidir pela preservação da privacidade de seus dados e a utilização destes dados para a produção de benefícios coletivos oriundos da pesquisa em saúde. 25 Conforme estabelecido por Beauchamps e Childress (Beauchamp; Childress, 1994) os quatro princípios básicos da ética devem ser considerados como prima-facie e priorizados no momento de sua aplicação em uma situação real, por exemplo, nos casos de uso de dados de bases administrativas de saúde em pesquisas científicas. Os princípios são: autonomia, não-maleficência, beneficência e justiça. O respeito à autonomia do indivíduo se dá pelo uso de seus dados em pesquisas com consentimento esclarecido e concedido com liberdade de escolha, impedindo a utilização de seus dados sem seu consentimento, o que é exigido desde o código de Nuremberg em 1947. (Goldim, 1997) A aplicação do princípio da beneficência pressupõe que os dados trarão benefícios para os sujeitos do estudo, a população alvo e a sociedade em geral. O princípio da não-maleficência garante que o uso dos dados na pesquisa em questão não trará malefícios ao sujeito. A grande preocupação com a preservação do sigilo e a não-maleficência decorre da possibilidade dos dados caírem em mãos erradas e o indivíduo sofrer estigmatização, prejuízos sociais e econômicos, etc. Entretanto, a aplicação de termos de consentimento livres e esclarecidos (TCLE), em pesquisas que pretendem fazer uso de bases de dados administrativas ou clínicas, pode ser absolutamente impraticável, dadas as dificuldades para obtenção do consentimento. Muitas vezes, os indivíduos cujos dados constam nas bases administrativas já estão inacessíveis (mudaram de endereço), ou são incapazes de decidir (problemas de ordem mental ou física) ou mesmo faleceram. Além destes motivos de vieses, poderiam ser incluídos ainda o consentimento parcial (para apenas alguns tipos de informação) ou a falta de entendimento sobre a pesquisa. Este dilema faz transparecer as dificuldades na aplicação do conceito de princípio moral da autonomia na prática social e política e para estabelecer um equilíbrio entre os interesses coletivo e individual na pesquisa em saúde. 26 A discussão ética sobre a dispensa de consentimento informado pelos indivíduos para a utilização de seus dados em pesquisas pode ser encarada sob duas perspectivas teóricas: a Kantiana e a Utilitarista. A primeira, baseada nos preceitos de Kant (Kant, 1989) estabelece que a autonomia do indivíduo é uma condição intrínseca ao ser humano e que deve ser respeitada de forma incondicional. Qualquer intervenção que quebre o princípio da autonomia caracterizase por uma violação não só do princípio, mas do indivíduo em si, tornando esta intervenção inaceitável. Na segunda perspectiva, baseada nas ideias de Mill, (Mill; Himmelfarb, 1982) desde que seja mantida a confidencialidade em condições essenciais, a dispensa do consentimento individual é eticamente justificável e não seria caracterizada a violação da privacidade. A justificativa baseia-se na expectativa de que os resultados esperados da decorrente pesquisa maximizem um benefício coletivo. Nesse sentido, o equilíbrio entre riscos e benefícios da pesquisa, a garantia de segurança na guarda dos dados, e a certeza de que sua utilização terá valor científico e social significativo seriam razões suficientemente fortes para a conduta ética de dispensar o consentimento dos indivíduos em pesquisas que utilizem bases de dados secundários identificadas. 1.3 Impacto na pesquisa em saúde A literatura tem expressado a constante preocupação entre o progresso da pesquisa em saúde e a necessidade de proteção da privacidade dos dados dos indivíduos, sendo o consentimento informado dos indivíduos para acesso a seus dados pessoais de saúde um fator limitante das pesquisas em saúde, dada a impraticabilidade de sua obtenção em muitos casos. (Holman, 2001) Gostin (1997) (Gostin, 1997) chama à atenção para a necessidade de se buscar soluções que permitam um equilíbrio entre 27 os benefícios coletivos oriundos do uso desses dados e a necessidade de proteção à privacidade individual. Muitos autores (incluindo os idealizadores dos métodos de linkage probabilístico: Newcombe (Newcombe, 1988) e Fellegi (Fellegi, I., 1997)) chamam à atenção para a necessidade de um debate informado sobre o tema. Buckovich et al. (Buckovich; Rippen; Rozen, 1999) sugeriram que todos os participantes dos sistemas de saúde (gestores, prestadores de serviços, profissionais de saúde, usuários) debatessem as questões referentes à privacidade e confidencialidade dos dados de saúde, na busca do consenso que levasse a uma legislação para o tema. Safran et al (2007) (Safran et al., 2007) observaram que o uso secundário de bases de dados de saúde pode incluir atividades, tais como avaliação de qualidade em saúde (pública ou privada), investigações epidemiológicas, controle de pagamentos, marketing e outras aplicações de negócios, inclusive algumas estritamente comerciais. Em última instância, a utilização secundária de dados de saúde pode melhorar o cuidado prestado aos indivíduos e expandir conhecimento sobre a doença e tratamentos adequados, bem como aproximar os prestadores de serviços das necessidades dos pacientes. Atentos ao crescente volume de aplicações informatizadas na área da saúde com a correspondente disponibilização de dados, os autores apontaram a falta de políticas coerentes, normas e exemplos de "boas práticas" para a utilização secundária de dados de saúde que possam nortear os processos de coleta, armazenamento, agregação, linkage, e transmissão de dados sanitários. A implantação de leis que regulamentem o acesso a informações identificadas para uso secundário almeja, entre outros propósitos, o equilíbrio entre os benefícios potenciais e os riscos à privacidade. Em alguns países onde já existe este tipo de legislação, já foram analisados os impactos de seus efeitos na pesquisa em saúde. Verschuuren et al (2008) (Verschuuren et al., 2008) mostram em seu estudo sobre a implementação das leis de proteção de dados de 28 saúde na União Européia, que ainda existem muitos pontos obscuros e confusos sobre privacidade, principalmente no tocante à obtenção do consentimento dos pacientes quanto ao uso de seus dados identificados para fins distintos daquele para o qual foram originalmente coletados. Nos países em que a exigência do consentimento é mais rígida, as dificuldades logísticas para sua obtenção podem levar ao descarte de dados que seriam cruciais para o correto monitoramento do sistema de saúde. Argumentam, ainda, que o reduzido número de pacientes que se recusa explicitamente a autorizar o uso de seus dados parece indicar que a sociedade não faz objeções à utilização de seus dados para estudos que claramente busquem o benefício coletivo. Por outro lado, muito pouco se conhece sobre os temores da população quanto ao uso abusivo de seus dados. Os autores apontam que a confiança da população na confidencialidade dos dados fornecidos para os atendimentos de saúde, pode ser reforçada por meio do uso de tecnologias de segurança da informação, propiciando ao mesmo tempo o uso eficiente deste acervo de dados para a gestão do sistema de saúde. Em consonância, o Council for International Organizations of Medical Sciences (CIOMS), (CIOMS Council for International Organizations of Medical Sciences, 2009) responsável pelas diretrizes éticas internacionais para estudos epidemiológicos, estabeleceu que registros médicos podem ser usados para estudos sem o consentimento dos respectivos pacientes somente quando um comitê de ética em pesquisa constatar que o estudo oferece riscos mínimos, que os direitos ou interesses dos pacientes não serão violados e que sua privacidade, confidencialidade e seu anonimato estarão preservados. Além disso, o estudo deve ter sido desenhado para responder a uma questão de saúde pública muito relevante, com benefícios claros, sendo impraticável realizá-lo se o consentimento informado dos pacientes fosse exigido. A recomendação para aprimoramento da segurança da informação também já havia sido feita pelo General Accounting Office - 29 United States (GAO) (GAO United States General Accounting Office, 2001) em 2001. O trabalho indica um conjunto de procedimentos e técnicas que devem ser adotados por organizações que realizam linkage. O relatório conclui que manter e melhorar a proteção da privacidade e a segurança da informação nas organizações custodiantes de dados sensíveis é fundamental para obter a cooperação do público na prestação de dados precisos e a participação em pesquisas e estudos. O relatório sobre os efeitos da introdução do Health Insurance Portability and Accountability Act (HIPAA) elaborado pelo Institute of Medicine (IOM) dos Estados Unidos (IOM INSTITUTE OF MEDICINE, 2009a) aponta para o aprimoramento das medidas de segurança da informação, como medida compensatória para uma menor ênfase na busca pelo TCLE ou simplificação dos procedimentos de obtenção do consentimento informado dos indivíduos para uso de informações confidenciais. Young et al. (Young; Dobson; Byles, 2001), em seu estudo sobre consentimento, sugeriram que uma alternativa para superar o dilema da necessidade de consentimento seria a existência de centrais de linkage, mantidas como agência ou órgão governamental que seja responsável por receber as bases de dados primários das pesquisas científicas e relacioná-las com as bases de dados administrativos identificados, mesmo sem obter o consentimento explícito dos indivíduos inclusos nestas bases, mas com a permissão geral dada por autoridades, uma vez que estas centrais atenderiam a requisitos de segurança da informação estabelecidos. Ao final deste relacionamento, os dados identificadores dos sujeitos seriam removidos e os dados pareados anonimizados seriam fornecidos aos pesquisadores. A questão passa a ser, portanto, como estabelecer as condições que possam maximizar o potencial de uso das bases de dados secundárias para pesquisa em saúde e, ao mesmo tempo, minimizar os riscos à segurança para que seja mantida a confidencialidade dos 30 dados, protegendo a privacidade dos indivíduos, conforme abordaremos a seguir. 1.4 Unidades de data linkage Segundo Roos, (Roos; Menec; Currie, 2004) sistemas de informação de saúde de base populacional usando dados administrativos longitudinais e técnicas de linkage têm ajudado a criar ambientes “ricos em informação” (“information-rich” environments) em várias organizações ao redor do mundo. Em muitos casos, estes ambientes fazem parte de projetos de pesquisa ou são centros que disseminam regularmente informações produzidas a partir da aplicação de técnicas de linkage. Consistem em estruturas organizacionais que se instalam para integrar bases de dados de saúde por meio de técnicas de linkage, buscando a composição de registros longitudinais de saúde dos indivíduos. Estas unidades fazem mais do que simplesmente ligar dados. São fontes de informação para análises e estudos que geram intervenções de gestores de saúde. Permitem a comparação entre regiões, áreas, prestadores de serviços e, por vezes, combinam informações de profissionais de saúde e pacientes. Embora não exista um nome consagrado internacionalmente para estes ambientes, utilizaremos a expressão "Unidades de Data Linkage" (UDL)2 para caracterizá-las. A literatura apresenta exemplos de experiências internacionais desta natureza. Holman et al. (Holman et al., 1999) mencionaram experiências da Escócia, do Canadá e dos Estados Unidos. Roos et al. (Roos; Menec; Currie, 2004) pesquisaram alguns projetos específicos conduzidos na Austrália, Inglaterra e Canadá, com foco no mapeamento do conteúdo das informações relacionadas entre as distintas bases de dados. 2 Machado et al. (Machado, 2004) Inicialmente, no projeto de pesquisa desta tese, foi utilizado o termo “Registro Integrado de Informações em Saúde” (RIS). Entretanto, a literatura demonstrou que o termo “Unidade de Data-Linkage” é mais recorrente e apropriado para caracterizar este tipo de organização. Inclusive pelo fato de muitas lidarem com dados externos ao campo da saúde (exemplo: educação, trabalho e emprego). 31 apresentaram uma revisão de experiências de procedimentos de linkage, com enfoque na saúde infantil, relatando iniciativas em nove países. Em 2008 foi criada a International Health Data Linkage Network (IHDLN), (IHDLN, 2012) uma associação que congrega instituições de diversos países comprometidas com a aplicação sistemática de linkage para produzir benefícios à pesquisa e à gestão em saúde, que em Outubro/2011 já contava com mais de 170 membros, provenientes de 13 países. Para a IHDLN, não basta apenas buscar maior abrangência dos dados e séries históricas, assim como maior eficiência na aplicação dos métodos probabilísticos do linkage. Entre os principais temas abordados por ela está a garantia da privacidade dos dados dos indivíduos nos processos de linkage, por meio de medidas éticas e de segurança. Cada vez mais, existe a necessidade de tratar adequadamente as questões relativas à segurança das informações pessoais de saúde. Para tal, há um arcabouço teórico e normativo que pode fundamentar estas ações, como veremos a seguir. 1.5 Segurança da informação em saúde O conceito geral de segurança da informação (ISO International Organization for Standardization, 2005) refere-se à proteção das informações de pessoa ou organizações. Considera-se informação todo e qualquer conteúdo ou dado que tenha valor para a organização ou pessoa. As principais dimensões que orientam as ações para implementação de medidas de segurança da informação são: integridade, disponibilidade e confidencialidade. A integridade refere-se à garantia de que a informação manipulada manteve suas características originais estabelecidas por seu proprietário. A disponibilidade garante que a informação esteja sempre disponível para usos autorizados por seu proprietário. A confidencialidade garante o acesso à informação limitado àqueles autorizados pelo proprietário da informação. 32 A confidencialidade é então uma das principais características da segurança. O arcabouço de segurança abrange as técnicas e mecanismos para garantir que a confidencialidade seja mantida para proteger as informações privadas dos indivíduos. Na prática, refere-se a procedimentos de armazenamento e troca das informações entre aqueles autorizados a conhecê-las, prevenindo e obstruindo o acesso, modificações e disseminação não autorizados. O investimento em segurança da informação é oneroso e, se não for bem feito, pode significar desperdício de recursos e não alcance dos resultados esperados. Muitas organizações baseiam suas ações em boas práticas e normas técnicas internacionais para que seus ambientes possam ser certificados como seguros. No campo da saúde, diversas instituições buscaram estabelecer padrões que abordam aspectos de segurança da informação. Gottberg et al. (Gottberg et al., 2011) realizaram um levantamento das normas e diretrizes brasileiras e internacionais sobre a segurança da informação na área da saúde, com foco na preparação das organizações para usarem sistemas consideradas duas de registros dimensões: eletrônicos a de adequação saúde. de Foram processos organizacionais e a utilização de sistemas de RES adequados. O estudo abordou publicações de legislações, regulamentações, normas e padrões nacionais e internacionais para o uso de RES editados pelo Conselho Federal de Medicina (CFM), Sociedade Brasileira de Informática em Saúde (SBIS), United States Department of Health na Human Services (US-HHS), Associação Brasileira de Normas Técnicas (ABNT), Health Level 7 Institute (HL7) e a ISO. No campo da informática em saúde, as normas técnicas ISO são elaboradas pelo Comitê Técnico de Informática em Saúde (ISO/TC215 Health Informatics), (ISO - International Organization for Standardization, 2012) específicas para segurança da informação. Algumas normas técnicas internacionais já foram traduzidas e adotadas no Brasil, por meio da Associação Brasileira de Normas Técnicas (ABNT) (ABNT, 2012). Outro exemplo de utilização destes 33 normativos é o manual de certificação de software da Sociedade Brasileira de Informática em Saúde (SBIS) que, em seus requisitos de segurança, tomou por base uma série de normas técnicas para certificação de sistemas de informação de registro eletrônico em saúde (S-RES) (SBIS - Sociedade Brasileira de Informática em Saúde, 2009) e representou um importante passo no estabelecimento de critérios objetivos de segurança para ambientes informáticos. Quando uma organização baseia suas ações de segurança em normas técnicas cria a possibilidade de acompanhamento da evolução de seu grau de maturidade, pois há como avaliar sua conformidade em relação às boas práticas. A elaboração de normas técnicas e a avaliação de conformidade são processos cuidadosos, baseados na participação de especialistas e com reconhecimento da comunidade internacional, conforme descrito a seguir. 1.6 Normas técnicas e conformidade Normas oficialmente técnicas acreditados (padrões) como são foros produzidas de por normalização. órgãos Estes documentos constituem regras ou diretrizes sobre produtos, processos ou serviços e são elaborados a partir do trabalho de vários especialistas que representam organizações produtoras, consumidoras ou neutras. Segundo da definição ABNT/ISO/IEC, uma norma técnica é : (ABNT - Associação Brasileira de Normas Técnicas; ISO International Organization for Standardization; IEC - International Electrotechnical Commission, 2006) Documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto. NOTA Convém que as normas sejam baseadas em resultados consolidados da ciência, tecnologia e da experiência acumulada, visando à otimização de benefícios para a comunidade. A conformidade de um produto/processo/serviço com um padrão, em geral, não é obrigatória, mas sim considerada uma boa 34 prática e representa um diferencial competitivo deste produto/processo/serviço no mercado. Há casos em que a norma é referendada por algum instrumento jurídico no país e torna-se obrigatória. Muitos destes padrões são elaborados e publicados como normas técnicas pela International Standardization Organization (ISO) (ISO - International Organization for Standardization, 2012), por congregar organizações técnicas produtoras de padrões, organizações consumidoras e organismos neutros (academia e governo) de diversos países. A ISO foi fundada em 1947 (ISO - International Organization for Standardization, 2012) como uma federação mundial de organismos nacionais de normalização. Sediada em Genebra, na Suíça, conta com cerca de 160 países membros e tem mais de 19.000 padrões publicados. Tem um caráter não governamental e trabalha muito próxima à International Electrotechnical Commission (IEC) em todos os assuntos de normalização eletro-técnica. (ISO - International Organization for Standardization, 2007) O trabalho de elaboração das normas internacionais é feito por comitês técnicos da ISO (ISO/TC) e seus sub-comitês (ISO/TC/SC). Cada organismo membro, interessado em um assunto para o qual foi constituído um comitê, tem o direito de se fazer representar nesse comitê. (ISO - International Organization for Standardization, 2011) Outras organizações internacionais de normalização, governamentais e não governamentais, em cooperação com a ISO, participam também nesse trabalho. Os projetos de normas internacionais ISO-DIS (draft of international standard) e ISO-FDIS (final draft of international standard) elaborados pelos ISO/TC são submetidos aos organismos membros para votação. A publicação como norma internacional requer a aprovação de pelo menos 75% dos organismos membros votantes. 35 Em geral, um padrão internacional leva cerca de três anos para ser publicado. O processo de elaboração de normas e produtos ISO comporta seis estágios: 1) Estágio de Proposição, que corresponde à apresentação de propostas de novos assuntos de trabalho. 2) Estágio Preparatório, que corresponde à preparação de projetos (drafts) de trabalho. 3) Estágio de comitê, quando ocorrem o exame e a aprovação de projetos (drafts) de comitê com vista à sua submissão como projetos de Norma internacional (DIS). 4) Estágio de Votação, quando há a distribuição dos projetos de Norma internacional (DIS), pelos organismos membros da ISO, para análise e votação. 5) Estágio de Aprovação, quando há a distribuição dos projetos finais de Norma internacional (FDIS), pelos organismos membros da ISO, para votação final. 6) Estágio de publicação, quando finalmente ocorre a publicação de documentos normativos sob a forma de international standard (IS), technical report (ISO-TR) ou technical specification (ISO-TS) ou outros tipos de documentos. A certificação de conformidade de uma organização com um padrão é o processo pelo qual uma entidade certificadora (externa e independente à organização devidamente acreditada para esse efeito), emite um certificado que atesta que determinado produto, processo ou serviço está em conformidade com os requisitos do padrão. Anteriormente, a acreditação de uma entidade certificadora deve ter sido conferida por organismos acreditadores independentes, os quais tem por missão reconhecer a competência técnica daquelas entidades, num dado âmbito e de acordo com referenciais internacionais. No Brasil, as funções de organismo nacional de acreditação se encontram atribuídas ao Instituto Nacional de Metrologia, Qualidade e Tecnologia (INMETRO). (INMETRO, 2012) 36 Existem certificações de produtos, serviços e sistemas de gestão. A certificação de produtos é específica por produto, isto é, esta certificação assegura ao consumidor que o produto certificado cumpre com a(s) norma(s) especificadas no seu certificado. A certificação de um serviço corresponde ao mesmo conceito, aplicado ao serviço prestado ao consumidor. Já a certificação de um sistema de gestão é o processo pelo qual é avaliada e verificada a conformidade do(s) sistema(s) implementados, relativa à norma ou normas de referência, e relativamente às quais a organização pretende ser certificada. Estes processos são normalmente compostos por diversas fases, de entre as quais se destaca a auditoria de certificação. A certificação é uma decisão voluntária das organizações na maioria dos países. Em geral, serve como um diferencial competitivo de mercado. Internamente, exige um grande envolvimento dos diversos setores da organização e deve ser feita de forma consciente e dedicada, envolvendo todos os colaboradores da organização. No entanto, e apesar da voluntariedade do processo, a certificação começa a se tornar uma imposição do mercado nacional e internacional, sendo impossível a penetração em alguns setores de atividade a empresas/ produtos que não sejam certificados. Qualquer certificação é temporária. A ISO prevê que todas as normas sejam reavaliadas periodicamente, o que normalmente se traduz na alteração e publicação de uma nova edição da norma. Por outro lado, aos certificados emitidos é atribuído um prazo ao fim do qual todo o processo de certificação é reiniciado. Durante cada ciclo de certificação a entidade certificadora faz visitas regulares à empresa, normalmente com uma frequência anual, no sentido de confirmar que os requisitos continuam a serem cumpridos. Buscar certificação de conformidade com normas técnicas demonstra o empenho de uma organização em primar pela qualidade de seus serviços. No caso das organizações de saúde, que por sua natureza lidam com dados sensíveis, a conformidade é muito bemvinda, pois além de conferir maior aderência às boas práticas de 37 gestão administrativa, propicia a seus usuários e clientes maior confiança em seus processos de trabalho. 1.7 Cenário atual Conforme exposto, o cenário atual demonstra que, por um lado, o aumento da disponibilidade de grandes bases de dados com potencial de uso para fins de pesquisa e o surgimento de novas organizações que praticam linkage de dados sistematicamente podem ser excelentes aliados no progresso da pesquisa em saúde. Mas, por outro lado, a preocupação com a confidencialidade persiste e impacta significativamente no desenvolvimento da pesquisa. O arcabouço de conhecimentos técnicos em segurança da informação pode ser um grande apoio para equilibrar estas duas vertentes. 38 2 Justificativa O linkage probabilístico de registros vem sendo cada vez mais usado na pesquisa em Saúde Pública. (Roos; Menec; Currie, 2004) A maior parte dos estudos ocorreu em países desenvolvidos, uma vez que nos países subdesenvolvidos há um número menor de sistemas informatizados no campo da saúde pública. Pesquisando a base Pubmed, observamos um crescimento exponencial do número de artigos que tratam de relacionamento de dados em geral. Porém, o número de artigos que abordam o consentimento é acentuadamente menor e o incremento é observado somente depois de 2000. A Figura 01 mostra a curva de crescimento do número de artigos publicados no Pubmed relacionadas com linkage e o número de artigos que tratam de consentimento, de 1969 até 2008. 400 350 Número de Artigos 300 250 200 150 100 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 1998 1997 1996 1995 1994 1993 1992 1991 1990 1989 1988 1987 1986 1985 1984 1983 1982 1981 1980 1979 1978 1977 1976 1975 1974 1973 1972 1971 1970 0 1969 50 Ano Figura 01 - Série temporal de publicações sobre linkage No Brasil, as bases de dados do Sistema Único de Saúde (SUS) estão disponíveis para acesso gratuito desde 1991, disseminadas pelo Departamento de Informática do SUS (MS/DATASUS), (DATASUS, 2011) órgão do Ministério da Saúde responsável por consolidar os dados dos diversos sistemas de informação alimentados pelas secretarias municipais e estaduais de saúde, bem como pelos estabelecimentos assistenciais conveniados. Todas estas informações 39 são disseminadas de forma anônima, isto é, sem os dados de identificação dos indivíduos sujeitos da atenção em saúde. Entretanto, essas bases ainda não contam, em larga escala, com um campo identificador comum, tornando-se necessário o emprego de métodos alternativos para o relacionamento das mesmas, sendo o método de linkage probabilístico a alternativa com melhor custo-benefício. A cada ano vem aumentando o número de projetos de pesquisa envolvendo acesso à informação identificada destes sistemas para realização de linkage. Porém, quando os dados são coletados em seus sistemas de origem, não é mencionado aos indivíduos que seus dados poderão ser usados para fins de pesquisa e relacionados a outras bases por técnicas de linkage. (Martins; Machado; Silveira, 2008) Os projetos de pesquisa têm sido desenvolvidos em ambientes descentralizados no Brasil, isto é, em universidades, órgãos gestores, entre outros. Em 2006, Silva et al. (Silva et al., 2006) realizaram uma revisão sistemática sobre a aplicação da técnica de linkage no Brasil e identificaram que o crescimento do uso da técnica coincide com a implantação do Sistema de Informações de Nascidos Vivos (SINASC) e com a intensificação do uso das bases de dados do Sistema de Informações Hospitalares do SUS (SIHSUS) na saúde coletiva. O estudo confirmou também que no Brasil muitas organizações, de distintas esferas e naturezas administrativas, realizam processos de linkage. Várias experiências de organizações brasileiras que realizam linkage foram apresentadas em um Seminário Internacional de Linkage de Bases de Dados, (UFRJ, 2010) realizado em Setembro de 2010, no Rio de Janeiro. Entre as instituições governamentais, estão a Secretaria de Vigilância em Saúde (MS/SVS) do Ministério da Saúde e a Agência Nacional de Saúde Suplementar (ANS), assim como instituições federais de assistência e pesquisa em saúde, como o Instituto Nacional de Cardiologia (INC) e o Instituto Nacional do Câncer (INCA). Em outras esferas de governo, há iniciativas na Secretaria Estadual de Saúde do Rio de Janeiro (SES/RJ) e na Secretaria 40 Municipal do Rio de Janeiro (SMS-Rio) e Saúde de Juiz de Fora (SMSJF/MG). Existem também incentivas frutuosas vinculadas a instituições de ensino e pesquisa, como a Universidade Federal do Rio de Janeiro (UFRJ), Universidade de São Paulo (USP), Universidade Federal de Minas Gerais (UFMG), Universidade Federal do Estado do Rio de Janeiro (UNIRIO), Fundação Oswaldo Cruz (FIOCRUZ), entre outras. A salvaguarda da confidencialidade dos dados é um compromisso ético dos pesquisadores brasileiros. Entretanto, não há um conjunto de regras padronizadas e claras que orientem estes profissionais quanto à segurança da informação e que possam ser verificadas por alguma autoridade competente a fim de certificar a proteção da privacidade dos indivíduos. Em recente trabalho de revisão dos projetos de linkage no Brasil, Martins et al. (Martins; Machado; Silveira, 2008) constataram que a maioria das pesquisas não informa os indivíduos sobre os procedimentos técnicos para garantir a proteção da privacidade, mesmo que todas tenham sido feitos com dados identificados. Este fato suscita grande preocupação por parte dos gestores dos sistemas de informação, das instituições de pesquisa e da própria sociedade a cerca dos aspectos éticos e da confidencialidade dos dados. A existência de processos de linkage em diversas organizações no Brasil requer atenção a aspectos técnicos, operacionais e legais. Por um lado, este cenário favoreceu o desenvolvimento de competências técnicas locais e o aprimoramento dos processos e ferramentas de software para linkage. Mas por outro lado, na maioria das vezes não há um controle efetivo sobre as condições de segurança da informação existentes em cada local e nem o retorno dos dados pareados para a instituição cedente das bases (Ministério da Saúde), a qual poderia usar este trabalho realizado e até disseminar anonimamente os pares para promover o uso das informações em saúde. Adicionalmente, não há uma uniformidade nas características técnicas de informática e uma certificação dos requisitos de segurança 41 para pesquisadores que tem acesso a informações identificadas, o que acaba gerando incerteza nas instituições cedentes das bases de dados quanto à segurança e longos atrasos nas cessões de bases de dados confidenciais. Freire (Freire, SM, 2004) em 2004, apontou que a legislação brasileira tem refletido a preocupação com a privacidade dos indivíduos em diversos decretos e resoluções, entretanto, ainda não há uma consolidação destas regulamentações específicas para a área da saúde, que leve em conta os aspectos não contemplados ou mal definidos. Também não foi identificada nenhuma legislação ou norma específica para linkage, em especial para uso em fins de pesquisa. Desde 2004 está em vigor a portaria 66 da MS/SVS (Brasil Ministério da Saúde, 2004), que estabelece que as cessões de bases de dados nominais dos sistemas sob gestão desta secretaria devem ser submetidas à análise da área técnica e aprovação do Secretário. Um avanço recente foi a instituição em 2010 da Política de Segurança da Informação do Ministério da Saúde, (Brasil - Ministério da Saúde, 2010) que conceitua “Base de Dados Confidenciais” como aquela que possui informações que, por razões de interesse público ou para a preservação dos direitos individuais deve ser de conhecimento restrito, mantida em separado, sob a guarda do Ministério da Saúde, por requerer medidas especiais para sua segurança e salvaguarda. (Brasil - Ministério da Saúde, 2010) São confidenciais as bases que apresentam quaisquer formas ou meios que possam identificar o usuário do SUS, relacionando aos seus dados pessoais e/ou eventos em saúde. Cabe destacar também que em 2011 foi publicada a portaria 884 da Secretaria de Assistência à Saúde do Ministério da Saúde (MS/SAS), (Brasil - Ministério da Saúde, 2011) que disciplina o processo de cessão de bases de dados nominais (confidenciais) sob sua gestão. Para que uma base seja cedida a um pesquisador, é necessário que seu projeto tenha sido aprovado por um comitê de ética em pesquisa. A portaria é um importante passo para formalizar a 42 relação entre a cedente (MS/SAS) e os pesquisadores e, com isso, agilizar os trâmites para esta cessão. Entretanto, são poucos os aspectos técnicos mencionados sobre a proteção da privacidade dos indivíduos cujos dados estão contidos nestas bases. Atualmente está em elaboração pelo Sub-Comitê de Segurança da Informação do Ministério da Saúde, vinculado ao Comitê de Informação e Informática (CIINFO/MS), uma norma geral de cessão de bases de dados confidenciais para fins de pesquisa. O demonstrado crescimento do uso do linkage torna necessário conhecer, por meio de uma revisão sistemática da literatura, a proporção de participantes que autorizam o linkage com seus dados pessoais de saúde, assim como as características individuais e do processo de coletas de dados que podem influenciar o consentimento para esse uso. Tais informações são relevantes para a elaboração de diretrizes para o tratamento da questão do consentimento informado dos sujeitos da atenção em saúde quanto ao uso de seus dados. Além disso, como já apontado na literatura, (IOM INSTITUTE OF MEDICINE, 2009a) é preciso estabelecer um conjunto essencial de requisitos de segurança para que os locais que realizam processos de linkage no Brasil estejam em conformidade com a necessidade de proteção dos dados, ao mesmo tempo em estes requisitos que sejam viáveis economicamente e não obstruam os projetos de pesquisa. Tais requisitos poderiam integrar uma diretriz ou política de linkage de dados de saúde para o Brasil a serem implementados passo-a-passo, com ganhos de maturidade para todas as instituições envolvidas. Uma revisão bibliográfica que permita a sistematização das experiências em diferentes países do mundo e dos padrões internacionais de segurança da informação poderá contribuir com subsídios relevantes para orientar o debate e o desenvolvimento de diretrizes específicas sobre o tema. Este trabalho pretende aprofundar os aspectos éticos relacionados ao consentimento para linkage e proteção da privacidade, associados ao emprego do linkage probabilístico no Brasil e propor 43 ações para a promoção da segurança da informação nestes processos. 44 3 Objetivos OBJETIVO GERAL Estudar os aspectos éticos relacionados ao consentimento dos indivíduos para a realização de linkage com seus dados pessoais de saúde e aspectos operacionais e normativos relacionados à segurança da informação, especialmente confidencialidade, em organizações que realizam linkage de forma sistemática, como fonte de referência para pesquisa e gestão em saúde (unidades de data linkage). OBJETIVOS ESPECÍFICOS (a) Revisar de forma sistemática os artigos que avaliam as proporções de consentimento para linkage, bem como os fatores associados com o consentimento do indivíduo sujeito da atenção à saúde, (b) Sistematizar experiências internacionais de unidades de data linkage. (c) Identificar normas técnicas sobre segurança aplicáveis a unidades de data linkage. (d) Propor um modelo de segurança de informação em saúde para unidades de data linkage no Brasil. 45 4 Método – Fases da Pesquisa O desenvolvimento desta pesquisa de tese foi feito em três fases, conforme apresentado na Figura 02. Estudosobre sobre Estudo processosde de processos Linkage Linkage Estudosobre sobre Estudo éticaem empesquisa pesquisa ética na saúde na saúde Estudosobre sobre Estudo revisão revisão sistemática sistemática 1ª Fase 1ª Fase Revisãosistemática sistemática Revisão sobre consentimento sobre consentimento paraLinkage Linkage para 2ª.Fase Fase 2ª. Estudo de Estudo de experiências experiências internacionais internacionais Estudode denormas normas Estudo técnicas de técnicas de segurança segurança Estudosobre sobre Estudo proteção da proteção da privacidadeee privacidade segurança em segurança em Unidadesde deData Data Unidades Linkage Linkage 3ª. Fase 3ª. Fase Sistematização Sistematização dosresultados resultadosee dos contextualização contextualização comooBrasil Brasil com Revisãode deLiteratura Literatura Revisão Figura 02 - Diagrama das fases da pesquisa Na primeira, o foco foi o consentimento dos indivíduos. Pesquisou-se a natureza das técnicas de linkage e aspectos éticos da pesquisa científica em saúde relacionados ao consentimento informado do paciente, em especial com dados secundários. Para a adequada sistematização dos achados destes estudos, foi necessário também o aprofundamento nos métodos de revisão sistemática. Na segunda fase, o foco foi a segurança das informações de saúde e seu tratamento por organizações que realizam linkage como uma atividade sistemática de suporte à pesquisa em saúde. Na terceira fase, foi feita a sistematização dos resultados e a relação com o contexto brasileiro. Dada a natureza diferenciada dos métodos dos estudos que compõem esta tese, eles serão descritos separadamente nos próximos capítulos. 46 5 Estudo sobre proporção de consentimento para linkage Neste capítulo é apresentado o estudo realizado para o alcance do objetivo de revisar sistematicamente a literatura científica sobre consentimento para linkage com dados de saúde. Serão apresentados os métodos e os resultados, sendo que a discussão será feita em conjunto com os demais estudos desta tese. 5.1 Métodos Pesquisou-se a natureza das técnicas de linkage e aspectos éticos da pesquisa científica em saúde, relacionados ao consentimento informado do paciente, em especial com dados secundários. Para a adequada sistematização dos achados destes estudos, foi necessário também o aprofundamento nos métodos de revisão sistemática. A revisão sistemática foi conduzida de acordo com as orientações do Manual Cochrane de revisões sistemáticas de intervenções (Higgins JPT; Green S, 2009) e do PRISMA Statement for Reporting Systematic Reviews and Meta-Analyses of Studies. (Liberati et al., 2009) Foi realizada a pesquisa em oito bases de dados eletrônicas, até Junho de 2011, usando a estratégia descrita no Quadro 01. 47 Quadro 01 – Estratégia de Pesquisa Medline - retornaram 71 artigos. CONSENT[All Fields] AND ("DATA LINKAGE"[All Fields] OR "DATABASE LINKAGE"[All Fields] OR (("records as topic"[MeSH Terms] OR ("records"[All Fields] AND "topic"[All Fields]) OR "records as topic"[All Fields] OR "record"[All Fields]) AND LINKAGE[All Fields])) ISI Web of Science - retornaram 35 artigos. TS=(consent and ("data linkage" or "database linkage" or record linkage)) Scopus - retornaram 99 artigos. TITLE-ABS-KEY(consent AND ("data linkage" OR "database linkage" OR record linkage)) Science Direct - retornaram 8 artigos. TITLE-ABSTR-KEY(consent) and (TITLE-ABSTR-KEY(record linkage) or TITLEABSTR-KEY(data linkage) or TITLE-ABSTR-KEY(database linkage)) OVID – retornaram 4 artigos. (consent and ("record linkage" or "data linkage" or "database linkage")).ti,ab,kw. + Search terms used: *consent, *data, *database, *linkage, *record Cochrane library - retornaram 12 artigos. consent and (record and linkage or data and linkage or database and linkage) Scielo and LILACS - não retornaram artigos. consent and ("data linkage" or "data linkage" or "record linkage") As referências foram tratadas com o programa Zotero (versão 2.0b7.4). (CHNM Center of History and New Media, George Mason University, 2011) A triagem de elegibilidade e a inclusão de artigos foram realizadas por dois revisores independentes. Discordâncias entre os revisores foram resolvidas por um terceiro revisor independente. Foram excluídos os editoriais, cartas, resenhas. Estudos que tiveram mais de um artigo publicado foram contados apenas uma vez, fato que ocorreu com a pesquisa de Harris. (Harris, 2005) Os critérios de inclusão foram: artigos originais completos publicados em Português, Espanhol, Inglês e Francês, cujo objetivo principal foi avaliar as proporções consentimento para linkage consentimento para linkage. ou que relataram proporções 48 Os estudos foram classificados de acordo com ano de publicação, país do estudo, o tipo e o número de bancos de dados destinados relacionados, características demográficas da população de estudo, origem da população de estudos (população geral, pacientes atendidos em serviços de saúde ou incluídas em registros de morbidade, a abordagem usada para obter o consentimento (face-aface, carta, outros) e quem consentiu (próprio sujeito, pais ou responsável). As análises foram realizadas empregando-se o programa Stata versão 9.0. (STATACORP, 2011) Havia a disposição inicial de realizar meta-análise sobre a proporção de consentimento para linkage. Entretanto, foi detectada uma heterogeneidade significativa nos dados (tau = 0,91) e, por esta razão, optou-se por não calcular a medida agregada de proporção de consentimento. Um modelo de meta-regressão de efeitos mistos foi usado para analisar as causas que poderiam influenciar a heterogeneidade entre os estudos. Foram testadas as seguintes variáveis neste modelo: país, idade, grupo de idade, origem da população, abordagem para obtenção do consentimento e quem consentiu. A análise de subgrupos foi realizada Finalmente com para heterogeneidade as mesmas identificar se isoladamente, variáveis algum foi mencionadas estudo realizada acima. influenciava uma análise a de sensibilidade, retirando-se cada estudo por vez e recalculando-se o resultado. 5.2 Resultados A Figura 03 mostra o fluxograma da revisão. Após a remoção das publicações duplicadas, o número de resumos a ler foi 140. Um artigo foi identificado a partir das listas de referências dos artigos selecionados e incluído posteriormente. 49 Resumos capturados por meio de pesquisa em bases de dados (n=229) Resumos adicionais Identificados por outras fontes (n=1) Resumos restantes após a remoção das duplicidades (n=140) Resumos classificados (n=141) Resumos excluídos (n=81) Linguagem (n= 4), Tipo de publicação (n=6), Objetivo do estudo incompatível (n=71) Artigos completos excluídos (n=49) Artigos completos eleitos para leitura (n=60) Estudos incluídos na análise qualitativa (n=11) • Objetivo do estudo incompatível com critério de inclusão (n= 42), • Artigo completo não acessível (n=1), • Proporção de consentimento já considerada em estudos anteriores (n=5) • Estudo usou protocolo de confidencialidade ao invés de consentimento (n=1) Figura 03 – Fluxograma da revisão sistemática Depois de analisar os resumos, oitenta e um estudos foram descartados devido a: idioma (n=4), tipo de publicação (n=6) e objetivo do estudo não compatível (n=71). Dos 60 artigos restantes, foram descartados 49, porque: o objetivo do estudo não preenchia os critérios de elegibilidade (n=42), o texto completo não era acessível (n=1), os estudos relataram proporções de consentimento já consideradas em estudos anteriores (n=5) e um estudo relatou ter substituído o consentimento individual com um protocolo de confidencialidade aprovado pelo comitê de ética em pesquisa. A Tabela 01 mostra as características gerais dos 11 estudos incluídos. Um artigo (Pilotto et al., 1996) foi publicado em 1996 e dez artigos foram publicados após 2000. Os estudos foram realizados no Canadá, Reino Unido, Austrália e Taiwan. A maioria dos estudos trabalhou tanto com adultos, quanto com idosos e apenas um estudo lidou exclusivamente com mulheres. (Young; Dobson; Byles, 2001) Em seis artigos, a população do estudo veio de serviços de saúde, 50 enquanto que nos cinco restantes os participantes foram participantes de inquéritos populacionais. A maioria dos estudos solicitou o consentimento do participante e usou uma abordagem face-a-face. Com exceção de um artigo, (Shah et al., 2001) os estudos tiveram tamanhos de amostras de moderada a grande. A proporção consentimento variou amplamente de 39% a 97%. Sete estudos apresentaram proporções de consentimento de 88% ou superior, um de 72%, e apenas três apresentaram proporção de consentimento igual ou inferior a 53%. 51 Tabela 01 – Estudos incluídos que avaliaram proporção de consentimento Local Bases de dados usadas no linkage Origem da população e características Abordagem para obter consentimento Quem consentiu Pessoas instadas a consentir Proporção de consentimento 2006 Bryant (Bryant et al., 2006) Canadá Dados primários; registro de base populacional; bases administrativas. Indivíduos participantes de inquérito; 41% homens 59% mulheres; idades entre 35 e 69 anos (82% adultos, 18% idosos). Carta O próprio indivíduo da atenção. 11.863 97% 2007 Soloff (Soloff et al., 2007) Austrália Dados primários; base de dados de imunizações; bases administrativas. Indivíduos participantes de inquérito; homens / mulheres; idades a partir de 5 anos. Face-a-face 10.000 Outra pessoa, responsável pelo indivíduo. 97% 1996 Pilotto (Pilotto et al., 1996) Austrália Dados primários; bases administrativas. Pacientes de serviços de saúde; homens/mulheres; idades entre 23 e 72 anos. Face-a-face O próprio indivíduo da atenção. 555 94% 2004 Harris (Harris et al., 2004) Reino Unido Dados primários; bases administrativas. Pacientes de serviços de saúde; homens 37%, mulheres 63%; idades acima de 65 anos. Carta O próprio indivíduo da atenção. 1.704 92% 2006 Tate (Tate et al., 2006) Reino Unido Dados primários; registros de nascimentos. Indivíduos participantes de inquérito; homens/mulheres; nascidos entre Setembro/2000 e Janeiro/2002. Face-a-face 18.505 Outra pessoa, responsável pelo indivíduo. 2001 Shah (Shah et al., 2001) Reino Unido Dados primários; registros médicos. Pacientes de serviços de saúde; homens/mulheres; idades entre 65 e 74 anos. Cartas e telefone O próprio indivíduo da atenção. 129 88% 2007 Huang (Huang et al., 2007) Taiwan Dados primários; bases administrativas; registros médicos. Face-a-face Indivíduos participantes de inquérito; homens 49% / mulheres 51%; idades a partir de 20 anos (jovens 24%, adultos 60%, idosos 16%). O próprio indivíduo da atenção. 14.611 88% 2005 Klassen (Klassen et al., 2005) Canadá Dados primários; bases administrativas; registros médicos. Pacientes de serviços de saúde (dois hospitais e três UTI neonatais); homens/mulheres; crianças nascidas entre 1996-1997. Carta 1.533 Outra pessoa, responsável pelo indivíduo. 72% 2008 Plotnikoff (Plotnikoff et al., 2008) Canadá Dados primários; bases administrativas. Indivíduos com diabetes; participantes de inquérito; homens/mulheres; idades a partir de 18 anos. Não identificado O próprio indivíduo da atenção. 2.311 53% 2001 Young (Young; Dobson; Byles, 2001) Austrália Dados primários; bases administrativas. Mulheres (100%); participantes de inquérito; todas as idades. Carta O próprio indivíduo da atenção. 39.883 49% 2004 Tu (Tu et al., 2004) Canadá Registro de base populacional; registros médicos; bases administrativas. Pacientes de serviços de saúde; homens 54%, mulheres 46%; com AVC, ataques isquêmicos, ou ambos; incluídos em registro de AVC; idade média: 69 anos (fase 1) e 72 anos (fase 2). Face-a-face 4.285 fase 1 Outra pessoa, responsável pelo 2.823 fase 2 indivíduo. Ano Autor 92% 39% 51% 52 Na análise de subgrupos, bem como na meta-regressão as características dos estudos não explicam a heterogeneidade (Tabela 02). A análise de sensibilidade não mostrou variação significativa nos resultados. Tabela 02 – Variáveis associadas à proporção de consentimento Variável Razão de Chances (95% CI) País Austrália Canadá Taiwan Reino Unido 1 0.29 (0.02 – 3.37) 0.94 (0.02 – 44.69) 1.27 (0.08 – 19.69) Grupo etário Crianças Adultos/Idosos Idosos 1 0.53 (0.05 – 5.93) 0.27 (0.02 – 3.44) Origem da população Inquérito populacional 1 0.31 (0.05 – 1.83) Serviços de Saúde Abordagem Face-a-face Carta 1 1.06 (0.14 - 8.04) Quem consentiu Próprio indivíduo 1 Pais 1.60 (0.23 – 11.13) Responsável/cuidador 0.13 (0.01 – 1.26) tau-quadrado= 0.83, tau=0.91 53 6 Estudo sobre experiências internacionais de unidades de data linkage Neste capítulo são apresentados o estudo realizado sobre unidades de data linkage internacionais e suas boas práticas relacionadas à segurança da informação. Serão apresentados os métodos e os resultados, sendo que a discussão destes resultados será feita em conjunto com os demais estudos desta tese. 6.1 Métodos As organizações pesquisadas foram selecionadas a partir de dois artigos científicos (Holman et al., 1999; Roos; Menec; Currie, 2004) editados em 1999 e 2004 e do diretório de membros da IHDLN (IHDLN, 2012), criada em 2008. Pelo estudo de Roos, (Roos; Menec; Currie, 2004) usou-se como referência histórica os registros do Canadá: Manitoba Centre For Health Policy and Population Health e Population Health and Learning Observatory de British Columbia; da Austrália: Western Australian Data Linkage Information; e do Reino Unido: Oxford Record Linkage Study e Scottish Record Linkage System. Pelo estudo de Holman et al. (Holman et al., 1999) foi acrescida a experiência do Rochester Epidemiology Project (Estados Unidos). A seguir, o método utilizado para a identificação das experiências provenientes da IHDLN foi a leitura dos conteúdos publicados nos sites de internet. A Figura 04 apresenta o fluxograma de seleção das experiências incluídas no estudo. 54 Organizações selecionadas Erro! Indicador não definido. inicialmente nos artigos científicos (Roos,2004 e Holman,1999) (n=6) Lista de indivíduos membros da IHDLN (n=176) Organizações selecionadas como potenciais experiências de RIS (n=102) Organizações selecionadas após a exclusão de duplicatas (n=87) Sites completos de organizações avaliadas para elegibilidade (n=46) Duplicatas (n=21) Organizações excluídas (n=41) Não havia referência ao membro da IHDLN ou aos termos pesquisados Organizações excluídas (n=32) Não atenderam critérios de elegibilidade Sites de organizações incluídas na análise qualitativa (n=14) Figura 04 - Fluxograma de seleção das experiências incluídas no estudo Pela IHDLN, a seleção foi iniciada a partir da lista de membros da rede, disponível no site em 12/10/2011, a qual contava com 176 indivíduos membros. Entre eles, constavam analistas de dados, analistas de sistemas, estatísticos, médicos, entre outros. Estes membros ocupavam posições de pesquisadores, chefes de grupos de pesquisa, gerentes e diretores, nas organizações membros da IHDLN. Foram padronizados os dados das organizações dos indivíduos constantes na lista de membros, considerando os campos relativos à sua descrição. A partir dos indivíduos, foram sistematizados os sites e referências das organizações às quais pertenciam, chegando-se a 102 organizações selecionadas como potenciais UDL. Após o descarte de duplicatas (n=21), restaram 87 sites. Nestes sites foram usadas ferramentas de busca, pesquisando termos que caracterizassem a realização sistemática de linkage. Os termos usados na busca foram: "data linkage" ou "record linkage" ou "linkage center" ou "linkage centre" ou "linkage unit" ou "linkage group" ou "linkage project". Os sites de 55 organizações que não atenderam a nenhum dos critérios acima foram excluídos, restando 46 sites completos a navegar extensivamente para avaliação de elegibilidade. Ao longo da navegação dos sites, foram também pesquisadas links de outras organizações indicadas como referências em linkage pelos sites. Ao final, foram incluídas no estudo as experiências de UDL em função dos seguintes critérios de elegibilidade: (a) ser uma unidade minimamente organizada: com equipe dedicada, estrutura física e missão estabelecida; (b) funcionar continuamente, produzindo dados para projetos de pesquisa para a comunidade científica em geral ou apoio à gestão; (c) apresentar as bases de dados que integram o acervo; (d) apresentar um processo formal de solicitação de acesso aos dados pelos pesquisadores; (e) descrever resumidamente seu modelo do processo de linkage; (f) apresentar políticas, procedimentos, normas ou medidas de proteção da privacidade dos dados dos indivíduos. A navegação extensiva dos sites foi realizada até 31/01/2012. Foram lidos documentos disponíveis para download e foram requisitados, por e-mail, documentos citados que não estavam disponíveis no site. As informações relevantes de cada experiência foram registradas em fichas de caracterização da experiência, estruturadas em dimensões: estrutura e funcionamento interno; relação com gestores (provedores de dados); relação com pesquisadores (solicitantes); modelo do processo de linkage; relação com a sociedade e financiamento, conforme apresentado no Quadro 02. 56 Quadro 02 – Experiências Internacionais - dimensões e variáveis estudadas Dimensão A. Estrutura e operação Segurança da Informação B. Relação com gestores (provedores de dados) C. Relação com pesquisadores (solicitantes) D. Modelo do Processo de Linkage E. Relação com a sociedade F. Financiamento Variáveis analisadas 1. Aspectos gerais relacionados à criação da UDL 2. Estrutura física mencionada no site (escritórios, computadores) 3. Composição da equipe da UDL 4. Certificações segurança 5. Outras certificações 1. Há contrato com os gestores de dados? 1. Escopo/assunto das bases de dados disponíveis publicados no site 2. Dicionário de dados publicado no site 3. Publicação no site da relação de produtos de linkage disseminados 4. Publicação no site da abrangência temporal dos dados disponíveis 5. Processo de Requisição de Extração de Dados Publicado no site 6. Contrato com termo de confidencialidade assinado pelo requisitante 7. Capacitação a pesquisadores sobre o processo da UDL e/ou sobre privacidade (à distância ou presencial) 8. Ambiente remoto para análise de dados relacionados disponível 1. Docs publicados site sobre modo operação descrição do fluxo do processo de RL publicada (Processo técnico de organização dos arquivos usados no linkage e o “passo-a-passo” do processo) 2. Documentos Disponíveis 1. Missão declarada 2. Lista de projetos realizados/em andamento publicada 3. FAQ publicadas 4. Capacitação à sociedade em geral sobre o processo da UDL e/ou sobre privacidade (à distância ou presencial) 5. Política de privacidade publicada no site 6. Modelo de governança publicado 1. Fontes de recursos de sustentação financeira 2. Orçamento publicado Após a coleta de dados, foi feita a sistematização das boas práticas de segurança selecionadas como relevantes para ambientes de UDL. Adicionalmente, quando disponíveis, foram coletados dados sobre a forma de financiamento das UDL. 57 6.2 Resultados Foram incluídas no estudo 14 experiências internacionais de UDL, em 4 países: Austrália (sete UDL), Canadá (cinco UDL), Escócia (uma UDL) e Estados Unidos (uma UDL). Por vezes as UDL surgem a partir de projetos de pesquisas incubados em universidades e depois se tornam unidades organizadas como prestadoras de serviço de extração de dados voltados à pesquisa em saúde. Em todos os casos estudados os processos de instalação se deram por iniciativas de cooperação entre instituições gestoras das bases de dados e instituições dispostas a hospedar a infra-estrutura necessária para o funcionamento dos processos de linkage. A experiência norte-americana (Rochester Epidemiology Project) (Rochester Epidemiology Project, 2009) é a mais antiga (1966), embora tenha abrangência geográfica muito restrita ao condado de Olmsted. Outras UDL regionais mais antigos datam da década de 80 no Canadá, nas províncias de Manitoba (MCHP, 2002) e Bristish Columbia, (Population Data BC, 2012) sendo que a experiência nacional do Statitics Canada (Statistics Canada, 2010) é da mesma década. A partir de 1995, com o início do funcionamento do Data Linkage Branch of Western Australia, ( houve um crescimento notável da instalação de UDL na Austrália, estendendo-se por todo o país durante os próximos quinze anos e culminando na formação da Population Health Research Network (PHRN), (PHRN, 2011) como uma rede nacional de UDL. Atualmente, observa-se que metade das UDL (n=7) funciona em universidades, quatro UDL em autoridades governamentais sanitárias (ministérios, departamentos de saúde), duas UDL são em serviços de saúde de referência e uma UDL funciona em um instituto federal de estatísticas. O Quadro 03 apresenta as UDL incluídas no estudo e a Figura 05 mostra as localizações geográficas no mundo. 58 Quadro 03 – Unidades de data linkage incluídas no estudo País Nome / URL Austrália Centre for Data Linkage (CDL) (CDL Curtin University, 2011) www.phrn.org.au/cdl 2009 Center for Record Linkage (CHEREL) (CHeRel, 2011) http://www.cherel.org.au/ 2006 Canadá Escócia Estados Unidos Data Linkage Branch of Western Australia (DLB-WA) (UWA, 2012) http://www.datalinkage-wa.org/ Health Linq (HLQ) (Health LinQ, 2010) http://www.healthlinq.org.au/health-linq South Australia and Northern Territory Linkage Consortium (SANT-DL) (SA-NT DataLink; USA, 2012) https://www.santdatalink.org.au/ Tasmanian Data Linkage Unit (TDLU) (Menzies Research Institute Tasmania and UTAS, 2008) www.menzies.utas.edu.au Victorian Data Linkages (VDL) (Victorian Data Linkages, VDL, 2012) www.health.vic.gov.au/vdl/ Population Data British Columbia (POPDATABC) (Population Data BC, 2012) http://www.popdata.bc.ca/ Manitoba Centre for Health Policy (MCHP) (University of Manitoba, 2012) http://umanitoba.ca/faculties/medicine/units/community_health_sciences/departmental_unit s/mchp/ Population Health Research Unit (PHRU) (Dalhousie University, 2012) http://www.phru.dal.ca/index.cfm Ontario Data Linkage Project (CD-LINK) (Institute for Clinical Evaluative Sciences (ICES), 2011) http://www.ices.on.ca/webpage.cfm?site_id=1&org_id=26&morg_id=0&gsec_id=6159&item _id=6159 Statistics Canadá (SC) (Statistics Canada, 2010) http://www4.statcan.gc.ca/health-sante/link-coup-eng.htm Information Services Division – Medical Record Linkage (ISD-MRL) (ISD NHS Scotland Information Services Division, 2010) http://www.isdscotland.org/Products-and-Services/Medical-Record-Linkage/ Rochester Epidemiology Project (REP) (Rochester Epidemiology Project, 2009) http://www.rochesterproject.org/ Ano Início 1995 2009 2009 2006 1998 2009 1980 1993 2010 1970 1989 1966 Abrangência Geográfica Nacional Cidade Sede Natureza da Instituição Sede Perth Universidade New South Australia (NSW) e Australia Capital Territory (ACT) Western Australia Sydney Serviço de Saúde Perth Autoridade Sanitária Queensland Brisbane Universidade South Australia Adelaide Universidade Tasmania Hobart Autoridade Sanitária Victoria Melbourne Autoridade Sanitária British Columbia Vancouver Universidade Manitoba Winnipeg Universidade Nova Scotia Halifax Universidade Ontario Toronto Universidade Nacional Ottawa Instituto Estatístico Scotland Edinburgh Autoridade Sanitária Rochester e Olmsted County Rochester Serviço de Saúde 59 Figura 05 - Localização das unidades de data linkage incluídas 60 O estudo revelou aspectos comuns entre as UDL. Em todas foi possível identificar um conjunto de atores (pessoas ou organizações) que participam do processo de linkage, conforme descrito a seguir: − Gestores-de-dados: organizações que hospedam os sistemas de informação em saúde cujas bases de dados serão utilizadas nos processos de linkage. Em alguns locais, são chamados de provedores-dedados (data-providers). Em cada organização desta, existe o custodiantede-dados: profissional responsável pela custódia das bases-de-dados e a quem cabe garantir o cumprimento das regras de segurança da informação. − Pesquisadores: indivíduos ou grupos que requisitam à UDL extratos de bases de dados relacionadas por meio de linkage. No contexto desta pesquisa, o termo “pesquisador” engloba todos os tipos de clientes dos serviços prestados pela UDL, tais como gestores de saúde ou profissionais que atuam no monitoramento de ações de saúde utilizando os resultados do linkage. − Responsáveis-por-projeto: profissionais integrantes da equipe técnica da UDL encarregados de analisar as solicitações dos pesquisadores e coordenar o atendimento da pesquisa em questão. São auxiliados por programadores, que executam as rotinas computacionais do linkage. − Comitês-de-ética: instâncias responsáveis por estabelecer as diretrizes éticas de garantia da privacidade dos indivíduos a serem observadas pela UDL e pelos pesquisadores, bem como por analisar os projetos de pesquisa que requisitam dados à UDL. Quanto às informações que são objeto do interesse de pesquisas, estas podem ser organizadas essencialmente em dois grupos de dados: − variáveis-demográficas: campos de dados que identificam o indivíduo sujeito da atenção em saúde, tais como, nome, data-de-nascimento, nome-da-mãe, documento-de-identidade, endereço. − variáveis-conteúdo: campos de dados relacionados ao atendimento, tais como: identificação-do-prestador-serviço, identificação-profissional, 61 data-do-atendimento, diagnóstico, procedimento, resultado-de-exame, serviços prestados, informação clínica, entre outros. As UDL relacionam variáveis-demográficas de bases distintas utilizando técnicas de linkage. Os pares obtidos são então associados às respectivas variáveis-conteúdo, para que ao final resultem em extratos-de-dados por projeto de pesquisa específico. Os modelos de processo de linkage das experiências estudadas preconizam variadas formas de processamento/armazenamento de variáveisdemográficas e variáveis-conteúdo, as quais geram impacto direto no grau de segurança da informação. Em algumas experiências estudadas, as UDL lidam somente com variáveis-demográficas, sendo que em outras também lidam com variáveis-conteúdo. Em relação ao financiamento, foram identificadas diversas fontes: dotações orçamentárias de órgãos vinculados (governo ou universidades públicas e privadas), orçamentos de projetos de pesquisa específicos, subsídios de loterias, subvenções de associados e cobranças de tarifas para a cobertura de custo operacional de serviços (despesas de pessoal e equipamentos utilizados para os processos de linkage). As tarifas dependem do tamanho e da complexidade das tarefas, tais como número de bases de dados, número de anos e o número de indivíduos no extrato-de-dados. A seguir, são detalhadas as experiências estudadas segundo as dimensões estabelecidas. 6.2.1 Austrália A localização das UDL da Austrália incluídas no estudo consta na Figura 06. Foram acrescidos dois pontos: o escritório central da PHRN e a sede da instituição que hospeda o ambiente de acesso remoto, ambos em linhas tracejadas. Em cada uma, é informado também o ano de início de operação. 62 Figura 06 - Localização das unidades de data linkage da Austrália 63 6.2.1.1 Estrutura e operação O modelo de UDL australiano foi baseado no protocolo de melhores práticas de linkage estabelecido por Kelman et al. em 2002 (Kelman; Bass; Holman, 2002) e utilizado na mais antiga UDL da Austrália: o Western Australia Research Linked Database Project, a partir de 1995, sediado na University of Western Austrália (UWA) . Os princípios do protocolo são: − Maximizar a proteção da privacidade dos indivíduos. − Prover arquivos de dados ligados somente a pesquisadores oficialmente designados a projetos de pesquisa formalmente aprovados. − Fornecer aos pesquisadores somente os dados suficientes requeridos para o seu projeto de pesquisa específico. − Assegurar aos custodiantes-de-dados que seus dados confiados à UDL terão uso apropriado e todas as obrigações de segurança serão atendidas. Em 2008, a comissão de reforma legislativa australiana (Commission, 2008) formalizou o princípio norteador do modelo de UDL australiano, preconizando que o processo de relacionamento de informações de saúde para pesquisa é distinto do relacionamento de informações de saúde para cuidados clínicos. A prestação de cuidados clínicos necessita saber a identidade do indivíduo e ter acesso às suas informações de saúde. Pesquisadores em geral não precisam saber a identidade do indivíduo, mas sim que certas informações de saúde se referem ao mesmo indivíduo. Isto pode ser obtido por meio de processos nos quais organizações intermediárias independentes realizam o linkage dos dados, mas sem ter acesso às reais informações de saúde, e os pesquisadores têm acesso somente às informações de saúde já ligadas, mas sem a identificação do indivíduo. Estes conceitos impulsionaram a criação de uma rede de UDL. 64 Com o objetivo de desenvolver infra-estrutura de pesquisa para permitir que pesquisadores em universidades, institutos de pesquisa, agências governamentais e outras organizações acessem de forma mais fácil e segura as bases de dados de pesquisa já existentes, bases ad hoc e bases administrativas, foi concebido o projeto de uma rede de abrangência nacional, composta por organizações independentes responsáveis pelo linkage dos dados: a PHRN. (PHRN, 2011) A PHRN foi concebida como um projeto financiado com recursos da Estratégia Nacional de Pesquisa Colaborativa na Austrália e do Ministério do Desenvolvimento, Ciência e Tecnologia da Austrália, sendo constituída baseada nas experiências anteriores duas grandes UDL: Western Australia Data Linkage (criada em 1995)(Garfield; Rosman; Bass, 2002) e do CheRel (criado em 2006). Formalizada em 2009, a PHRN tem abrangência geográfica nacional, com UDL em cada estado (Northern Territory participa com South Australia e Australian Capital Territory participa com New South Wales). Atualmente a rede é composta de 12 instituições, coordenadas pelo escritório central (em Perth/WA) situado na UWA, desde 2006. Há uma UDL nacional: CDL – Center for Data Linkage, situado na Curtin University desde 2009 (CDL Curtin University, 2011) e mais seis regionais, sendo que destes, dois são sediados em universidades: SANT Data Linkage Consortium, sediado na University of South Austrália desde 2009 (SA-NT DataLink; USA, 2012) e o HealthLinQ baseado na University of Queensland desde 2009. (Health LinQ, 2010) Três ficam em departamentos de saúde (governo regional): Data Linkage Branch Western Austrália (DLB-WA) (UWA, 2012), o mais antigo, desde 1995; Victorian Data Linkages (VDL) (Victorian Data Linkages, VDL, 2012) e Tasmanian Data Linkage Unit (TDLU) (Menzies Research Institute Tasmania and UTAS, 2008). O último: Center for Record Linkage (CHEREL) é sediado no Instituto Nacional de Câncer. (CHeRel, 2011) Os sites de cada uma das UDL da PHRN ainda estão em diferentes graus de profundidade das informações divulgadas. Entretanto, foi possível identificar as informações 65 essenciais para sua inclusão como UDL neste estudo, além do que, a PHRN divulga um conjunto de regras comuns a todos os membros da rede. Há um ambiente computacional de acesso remoto para análise dos dados por pesquisadores: o Secure Unified Reseach Environment (SURE), (SAX Institute, 2012) mantido por um instituto de pesquisa em saúde (SAX Institute). O ambiente só é acessível a pesquisadores certificados e cujos projetos de pesquisa tenham sido aprovados. O acesso ao SURE é pago e feito por conexão criptografada, disponível nas universidades. Nele estão disponíveis ferramentas de análise estatística, para uso nos espaços virtuais segregados por projeto de pesquisa. A implantação do SURE substituiu a remessa de mídias com dados-extraídos aos pesquisadores e o conseqüente armazenamento destes dados nos ambientes locais dos pesquisadores. A PHRN não conduz pesquisas por iniciativa própria, isto é, somente viabiliza a extração de dados para projetos de pesquisa de outras instituições. O linkage com dados de saúde é o motivo principal da existência das UDL, mas algumas delas (VDL, SANT-DL) realizam linkage com outros dados populacionais. Quanto à infra-estrutura física, a descrição da capacidade instalada é obtida no site de cada UDL integrante. Algumas UDL publicam grande volume de documentos sobre sua estrutura, forma de operação e política de privacidade. Entretanto, o grau de detalhamento das informações publicadas é bastante variado, sendo mais completo nas UDL mais antigas. Além dos serviços de linkage de dados, algumas UDL da PHRN (como o DLB-WA) oferecem extração de bases já relacionadas disponíveis, geocodificação de dados, seleção de amostras de dados para pesquisas e relações genealógicas (indivíduos, famílias, grupos). A única UDL que informou realizar linkage sistemático para provimento periódico de dados para monitoramento de ações e serviços de saúde por gestores foi a VDL (Victorian Data Linkages, VDL, 2012). O acesso e utilização de conjuntos de dados de pesquisa são estritamente controlados e gerenciados. A PHRN publica sua política de privacidade e medidas de segurança. O SANT-DL (SA-NT DataLink; USA, 66 2012) está em processo de certificação de conformidade com normas de segurança da informação ISO/IEC-27002:2005 (ISO - International Organization for Standardization, 2005). O site da PHRN oferece vasta documentação relevante sobre o modelo de governança da rede e aponta para os sites de cada uma das UDL integrantes da rede. Embora o modelo australiano estabeleça a padronização de procedimentos entre as distintas UDL, uma vez que todas utilizam o mesmo protocolo técnico (Kelman; Bass; Holman, 2002), as UDL da rede podem estabelecer fluxos próprios, desde que não contrariem os mecanismos de governança da rede. A PHRN disponibiliza também informações sobre os projetos de pesquisa em andamento e já concluídos. 6.2.1.2 Relação com gestores de dados Cada UDL da PHRN pode estabelecer um instrumento contratual que regule sua relação com os gestores-de-dados de sua jurisdição. Não há pagamento pelo fornecimento. A PHRN padronizou um instrumento (data transfer agreement) para a transferência de dados regular à UDL nacional (CDL) que, entre outros aspectos, estabelece a periodicidade e a forma de transferência dos dados. É de interesse das UDL manter o maior acervo de dados possível. Neste sentido, há documentos de esclarecimento e estímulo a potenciais gestores-dedados para que disponibilizem suas bases às UDL. É possível também realizar linkage com bases de dados externas às UDL, tais como bases de dados primários coletados pelos pesquisadores, desde que o projeto seja aprovado pelo comitê-de-ética. 6.2.1.3 Relação com pesquisadores Pesquisadores que desejem obter dados dos gestores devem passar por um rigoroso processo de submissão de sua solicitação à aprovação dos custodiantes-de-dados e dos comitês-de-ética dos gestores das bases de dados desejadas. O comitê-de-ética certifica que o estudo é válido e de interesse público. 67 O processo de submissão é padronizado quanto ao conteúdo mínimo. Todas as UDL explicitam claramente os processos de submissão em seus sites, embora variem os estágios tecnológicos de formas de submissão eletrônica de projetos. A maioria das UDL publica a relação das bases de dados disponíveis, sua abrangência temporal e seu dicionário de dados. Uma vez que uma solicitação é aprovada, torna-se um projeto na UDL. Os custodiantes-de-dados e os programadores da UDL trabalham juntos para determinar quais registros e campos são necessários para o projeto para garantir que a quantidade mínima necessária de dados seja fornecida ao pesquisador. Após esta fase, é iniciado o processo de linkage propriamente dito. O contato com o pesquisador é feito pelo custodiante-de-dados do gestor. Várias obrigações dos pesquisadores são formalizadas em contrato, entre elas a apresentação de um plano de segurança da informação em suas instalações, a assinatura de um termo de confidencialidade e uma declaração de destruição da massa de dados ao final do período previsto para sua utilização. 6.2.1.4 Modelo do processo de linkage O modelo de linkage adotado na Austrália é baseado na experiência do DLB-WA, sendo padronizado entre todos as UDL da rede. A seguir, são descritos os passos do atendimento das solicitações, considerando que já tenham sido aprovadas pelos comitês de ética dos gestores-de-dados. O fluxo do processo de linkage, propriamente dito, a partir daí, é ilustrado sucintamente na Figura 07. 68 gestor-de-dados-A base-original A gestor-de-dados-B resultado do linkage 3 resultado do linkage base-original B Devolução dos registros resultantes do linkage aos gestores 1 4 Envio das variáveis da base A obtidas para o linkage na UDL Entrega do extrato da base A ao pesquisador UDL Envio das variáveis da base B obtidas para o linkage na UDL Record linkage; atribuição de chaves-de-ligação e 2 identificador-do-projeto aos pares; atualização da coleção da UDL pesquisador 1 Entrega do extrato da base B ao pesquisador 4 Extratos das bases relacionáveis entre si, contemplando variáveis5 conteúdo e sem variáveisdemográficas Chave-original-local-A Chave-de-ligação na UDL Variáveis-demográficas-A Identificador-do-projeto Chave-original-local-B Variáveis-demográficas-B Variáveis-conteúdo-B Variáveis-conteúdo-A n Etapas do processo Figura 07 - Modelo do processo de linkage australiano (adaptado de http://www.health.vic.gov.au/vdl/downloads/introduction_to_vdl.pdf) A principal característica do modelo australiano é que todas as UDL integrantes da PHRN armazenam somente variáveis-demográficas e não variáveis-conteúdo. Esta característica, por si só, aumenta a proteção da privacidade das informações de saúde, pois variáveis-demográficas não são manipuladas em conjunto com variáveis-conteúdo pela UDL. 69 A UDL funciona como uma terceira-parte-confiável (trusted-third-party TTP), a quem os gestores-de-dados delegam a função técnica de parear seus registros, implementa salvaguardas de segurança, não armazena variáveisconteúdo e, portanto, não poderá unir variáveis-demográficas com variáveisconteúdo. Todo o trabalho é feito em computadores-servidores seguros, sendo acessados apenas por pessoal autorizado da UDL. Dentro de uma mesma UDL, para permitir que os dados sobre a mesma pessoa sejam pareados entre os conjuntos de dados diferentes, são criadas chaves-de-ligação (linkage-keys), as quais consistem em seqüências aleatórias de números e letras. Os custodiantes-de-dados das bases em questão fornecem à UDL suas bases originais, contendo todos os registros, mas apenas os campos relativos a variáveis-demográficas, acrescidos da respectiva chave-original de identificação local de cada registro (etapa 1). Os demais campos do registro (que contém variáveis-conteúdo) permanecem guardados no gestor-de-dados, o que significa que nunca a UDL têm acesso a esse conteúdo sensível. Ao receber estas bases identificadas, a UDL realiza o pareamento dos registros por meio de técnicas de linkage (etapa 2). Para cada par resultante (que representa o mesmo indivíduo) é atribuída uma chave-de-ligação da própria UDL, e ao final, o respectivo identificador de cada par no projeto específico (identificador-do-projeto). A UDL, então, devolve os registros resultantes aos gestores-de-dados, contendo apenas o identificador-do-projeto e a chave-original-local (etapa 3). De posse deste subconjunto, cada gestor-de-dados separadamente, por meio da chave-original-local, acessa sua base e gera um extrato-de-dados com as variáveis-conteúdo, mas substituindo suas variáveis-demográficas pelo identificador-do-projeto (etapa 4). O extrato-de-dados resultante (registros contemplando variáveis-conteúdo, identificador-do-projeto e sem variáveisdemográficas) é entregue diretamente por cada gestor-de-dados ao pesquisador. De posse dos dois extratos-de-dados, o pesquisador pode unir os registros por meio do identificador-do-projeto, determinando quais pares 70 pertencem à mesma pessoa, sem ter acesso às informações pessoais e realizar suas análises estatísticas (etapa 5). Para manter a atualização regular da UDL, os gestores-de-dados provêem à UDL remessas periódicas de novos subconjuntos contendo variáveis-demográficas, com suas chaves-originais-locais. Em seguida, usando linkage probabilístico, a UDL verifica os novos dados versus a cadeia de pares amazenada para ver se já existem pares anteriores para os mesmos indivíduos ingressantes. Para cada registro considerado uma nova pessoa no sistema, a UDL cria uma nova chave-de-ligação, que é então adicionada à coleção de registros da UDL. 6.2.1.5 Relação com a sociedade A PHRN apresenta em seu site vários documentos que propiciam a confiança da sociedade na segurança da informação manejada pelas UDL. Entre eles: lista de projetos realizados/em andamento publicada, relação de perguntas frequentes, política de privacidade e modelo de governança. Existe um comitê consultivo de ética, privacidade e participação do consumidor, no qual há representação formal das entidades de defesa dos direitos dos consumidores de serviços de saúde, públicos ou privados. Em relação às iniciativas de sensibilização da sociedade, existe grande variedade entre as UDL. A PHRN realiza cursos e palestras sobre o processo da UDL e/ou sobre privacidade, desenvolvidos em modo presencial ou à distância. Algumas UDL disponibilizam folders com as principais medidas de proteção da privacidade vídeos explicativos muito interessantes, como por exemplo, o vídeo do SANT-DL, (SA-NT DataLink; USA, 2012) disponível em https://www.santdatalink.org.au/animation . 6.2.1.6 Financiamento O orçamento original da PHRN foi de 20 milhões de dólares, para quatro anos, obtido da NCRIS, acrescido de 32 milhões provenientes das organizações membros e 19 milhões de outros fundos de financiamento a ciência e tecnologia. 71 Há também a cobrança de taxas pelos serviços prestados, conforme política de acesso e preços é publicada no site. (PHRN, 2011) O pagamento de tarifas para a execução dos projetos é feito de acordo com a variedade de bases de dados solicitadas, abrangência temporal, geográfica ou outros critérios específicos. As UDL informam que as tarifas cobradas não visam lucro, mas sim a cobertura dos custos operacionais. 6.2.2 Canadá No Canadá foram estudadas cinco experiências. Todas são organizadas em províncias, não havendo uma rede nacional semelhante à Austrália. A única UDL que referiu realizar estudos nacionais foi a Statistics Canada. A localização das UDL do Canadá incluídas no estudo consta na Figura 08. 72 Figura 08 - Localização das unidades de data linkage do Canadá 73 6.2.2.1 British Columbia – POPDATABC 6.2.2.1.1 Estrutura e operação Em 1970, a University of British Columbia (UBC) firmou um acordo com o Ministério da Saúde da província de British Columbia e outras instituições para que seu centro de pesquisa em políticas e serviços de saúde, o Centre for Health Services and Policy Research (CHSPR), mantivesse e provesse acesso a informações de saúde para fins de pesquisa. (Population Data BC, 2012) Em 1988, o CHSPR/UBC, capitaneou o projeto British Columbia Linked Health Database (BCLHD). Inicialmente, o projeto BCLHD unificou bases de dados de utilização de serviços de saúde e eventos vitais. Mais tarde, passou a incluir bases de dados de registro de câncer e eventos relacionados ao trabalho. A partir de 1996, após um acordo do Ministério da Saúde e o Comissário de Privacidade de British Columbia, foi criada uma política de acesso e uso dos dados para pesquisas, iniciando a partir daí o fornecimento de dados a outros centros de pesquisas. Durante 11 anos o projeto BCLHD forneceu dados para projetos aprovados da comunidade científica de BC, resguardando a privacidade dos indivíduos. O projeto BCLHD levou ao reconhecimento da eficiência de se criar uma fonte central e longitudinal de informações de saúde para pesquisadores. De 2005 a 2008 o CHSPR captou recursos para expandir a amplitude de dados de pesquisa disponíveis, consorciando-se a outras duas universidades: Simon Fraser University (SFU) e University of Victoria (UVIC). Em 2009, baseado no modelo do BCLHD, foi criado o POPDATABC. A UDL é sediada em Vancouver na University of British Columbia e consiste em uma organização com missão específica de atuar como uma unidade de data linkage para a comunidade científica de BC. Representa uma fonte de informações de saúde (disponíveis a partir de 1985), educacionais, ocupacionais, ambientais e sócio-econômicas, bem como atua na formação de profissionais com capacidades para usar as fontes de dados. 74 Antes de iniciar a operação do POPDATABC, foi realizado um estudo de impacto de privacidade, avaliado e revisto pela Diretoria de Informática da UBC e pelo Comissário de Privacidade BC. O POPDATABC informa que cumpre todos os regulamentos governamentais referentes à proteção das Informações Pessoais, incluindo o BC Freedom of Information and Protection of Privacy Act. Em 2010 o POPDATABC obteve o certificado de conformidade com a norma ISO/IEC-27002:2005 de segurança da informação e é considerado como uma terceira parte confiável (TTP). O POPDATABC desenvolveu padrões de segurança física, técnica e processual para proteção de dados, sendo elementos críticos: - Um ambiente físico seguro, que não permite que dados (identificáveis ou não) transitem dentro ou para fora, sem mecanismos específicos de segurança e controles de auditoria. - Separação técnica e operacional estrita entre variáveis-demográficas e variáveis-conteúdo. - Linkage entre novas fontes de dados e existentes de uma forma protegida, por meio da Unidade de Gerenciamento de Dados Identificados como uma terceira parte confiável. - Extratos de pesquisa são apenas disponibilizados para pesquisas autorizadas e fins estatísticos (sob nenhuma circunstância para fins administrativos) e fornecidos com identificadores-de-projeto específicos. - Pesquisadores que utilizam estes dados podem tirar conclusões e relatório sobre várias agregações (por exemplo, por região, ou a idade do paciente), não no nível individual. - As garantias de segurança e auditoria são extensivas para o trabalho dos pesquisadores em suas próprias instalações, proporcionando-lhes acesso remoto controlado aos extratos-de-dados, com exceções limitadas. O POPDATABC publica o arcabouço técnico de gerenciamento de risco, o Privacy Risk Management Framework, que consiste de muitos componentes: - acordos de confidencialidade - treinamento de privacidade 75 - avaliação do impacto de privacidade - um site público com perguntas mais frequentes e as respostas - prestação de contas, - segurança física, - segurança de rede, - controle de recursos humanos, incluindo a presença de um oficial de privacidade. Outros esforços de segurança incluem: - Manter os princípios de privacidade, políticas, procedimentos e as práticas atuais e em harmonia com a legislação em vigor. - Acompanhar a evolução da legislação de privacidade, de tecnologias de reforço à proteção da privacidade e adaptar, se necessário. - Buscar e adotar padrões reconhecidos de procedimentos físicos e técnicos para segurança e dados. - Promover a transparência e prestação de contas a fim de aumentar a consciência da população sobre princípios de privacidade, políticas e procedimentos. - Promover uma cultura de privacidade na sociedade. - Apoio à equipe na aplicação dos princípios de privacidade, políticas e procedimentos. - Apoiar o acesso controlado e uso responsável das informações pessoais sob gestão do POPDATABC. No POPDATABC, as áreas físicas e os ambientes computacionais são segregados, conforme mostrado nas Figuras 09 e 10. 76 Figura 09 – Segregação física de ambientes do POPDATABC http://www.popdata.bc.ca/ Figura 10 – Segregação de ambientes computacionais do POPDATABC http://www.popdata.bc.ca/ 77 6.2.2.1.2 Relação com gestores de dados No POPDATABC a decisão sobre a autorização do acesso às bases é dos custodiantes-de-dados dos gestores-de-dados em questão. Há um documento (information sharing agreement) que estabelece o modo como o gestor-de-dados poderá monitorar o uso de seus dados no POPDATABC (relatórios periódicos e auditoria local nas UDL). 6.2.2.1.3 Relação com pesquisadores POPDATABC oferece os seguintes serviços aos pesquisadores: - Acesso às fontes de dados pessoais de-identificados, incluindo registros de serviços de saúde, dados de saúde da população e áreas geográficas de recenseamento. - Apoio e orientação na requisição para acessar os dados mantidos em seu acervo, complementar a um procedimento de acesso formalizado. Cabe ressaltar que o POPDATABC apresenta o mais completo documento de orientação de acesso aos dados das UDL estudadas: Research Data Access Framework (RDAF). (Population Data BC, 2012) - Acesso remoto a um servidor central para armazenamento de dados e análise, incluindo backups criptografados, software e outros serviços para garantir o cumprimento dos requisitos de acesso de dados. O contato com os pesquisadores se dá por meio do próprio POPDATABC. Entretanto, todas as solicitações precisam ser aprovadas pelos custodiantes dos gestores. Ao ser aprovado o projeto de pesquisa, é assinado um contrato entre o pesquisador e o POPDATABC (research agreement). 6.2.2.1.4 Modelo do processo de linkage O POPDATABC separa variáveis-demográficas de variáveis-conteúdo mas, ao contrário do modelo australiano, armazena estas últimas em suas instalações, ainda que em ambientes físicos e computacionais separados. 78 Somente programadores designados têm acesso a variáveis- demográficas para a realização do linkage quando os dados chegam, antes de serem separados das variáveis-conteúdo. Variáveis-conteúdo são utilizadas somente para o linkage, sendo substituídas por identificadores-do-projeto específico após sua conclusão e sendo estes arquivados em um local fisicamente seguro. Só os identificadores-do-projeto são divulgados para pesquisadores, juntamente com as variáveis-conteúdo. Há uma unidade de gestão de variáveis-demográficas e uma unidade de gestão de variáveis-conteúdo. Considerando que as transferências de dados são extremamente limitadas, envolvendo apenas identificadores, os dados são mantidos na mesma área lógica e tratados pelo mesmo grupo de programadores, a título de simplificação, a partir da publicação da revisão do estudo de impacto de privacidade (privacy impact assessment) (PIA), (Population Data BC, 2012) foi decidido que, remessas de dados entre estas unidades não seriam mais criptografadas e decriptografadas. 6.2.2.1.5 Relação com a sociedade O POPDATABC publica em seu site os projetos de pesquisa em andamento e concluídos, bem como todo o arcabouço normativo de proteção de privacidade que dispõe e relação de perguntas frequentes. 6.2.2.1.6 Financiamento A UDL é financiada por fundos governamentais e privados para inovação e pesquisa científica. Há cobrança de taxas para cobertura dos custos operacionais de extrações de dados. 6.2.2.2 Manitoba – Repositório-MCHP O Centro de Políticas de Saúde (Manitoba Centre for Health Policy MCHP) da University of Manitoba (UoM), localizado na cidade de Winnipeg, hospeda o Repositório de Dados de Pesquisas em Saúde Populacional. (Population Health Research Data Repository PHRDR). (University of Manitoba, 2012) O programa de linkage foi iniciado em 1980 e a primeira base de dados recebida foi em 1982. (Marchessault; PHEc, 2010) 79 O Repositório-MCHP consiste de uma coleção de bancos de dados, constituída fundamentalmente por habitantes da província de Manitoba, agrupadas nos seguintes domínios: - Saúde: dados de pesquisas epidemiológicas, bases administrativas e bases clínicas; - Educação: dados de ensino fundamental, médio, graduação e pósgraduação; - Social: dados de dois programas sociais de Manitoba e pesquisas; - Justiça: dados do sistema de notificação de incidentes - Registros: quatro bases de dados: registro de seguro de saúde, mortalidade, prestadores de serviços e de uma etnia local. - Outros bancos de dados de suporte. Uma característica importante é que há um número de identificação pessoal de saúde, amplamente utilizado em todos os sistemas de informação (Personal Health Information Number PHIN), (MCHP, 2002) o que facilita o linkage entre as bases de dados e dispensa o uso de outras variáveisdemográficas. 6.2.2.2.1 Estrutura e operação Os registros são anônimos por isso o Repositório-MCHP não dispõe dos nomes ou endereços de pacientes ou médicos. Há também muitas medidas de segurança, como firewalls, senhas, criptografia de arquivos e acesso restrito. A política de privacidade é publicada no site, devendo ser revisada a cada dois anos. (MCHP, 2002) Estão disponíveis também documentos e normativos orientadores sobre boas práticas de segurança no uso de dados secundários. Os projetos de pesquisa submetidos ao Repositório-MCHP precisam ser aprovados pelo comitê-de-ética da UoM, pelos custodiantes-de-dados dos gestores das bases em questão e pelo Comitê de Privacidade da Província de Manitoba. 6.2.2.2.2 Relação com gestores de dados Há contrato com os gestores de dados para transferência periódica. 80 6.2.2.2.3 Relação com pesquisadores Há extensa documentação orientadora para a submissão de projetos de pesquisa e requisição de extratos-de-dados. A partir de abril de 2010, há uma exigência que todos os pesquisadores que acessam o Repositório-MCHP cumpram uma sessão de capacitação anualmente (accreditation session). A primeira sessão é presencial ou por teleconferência. As subsequentes anuais requerem preenchimento online de perguntas. O objetivo é fornecer uma visão geral da UDL, dos dados disponíveis no Repositório, do acesso aos dados, de seu uso e de como deve ser a publicação de resultados desenvolvidos a partir do Repositório. Ao final, é exigida a assinatura pelo pesquisador de um compromisso de confidencialidade e de cumprimento das práticas preconizadas pelo MCHP durante a pesquisa. Resultados de pesquisas apresentados em relatórios são obrigatoriamente publicados de forma resumida apenas, de modo que a identificação individual não seja possível. Qualquer célula da tabela não pode conter menos de cinco indivíduos. Todos os relatórios que usam bases administrativas são submetidos à autoridade de saúde de Manitoba antes da publicação, para garantir que a privacidade de indivíduos não foi comprometida. 6.2.2.2.4 Modelo do processo de linkage Os conjuntos de dados são armazenados de forma desvinculada e ligados apenas para os projetos específicos aprovados. Não há nomes de médicos ou endereços na banco de dados. Antes de transferir dados para o repositório, a autoridade de saúde de Manitoba remove ou criptografa as variáveis-demográficas de todos os indivíduos. (MCHP, 2002) Relação com a sociedade A UDL publica a lista de projetos em andamento e concluídos. Há vídeos sobre o centro de pesquisa MCHP. 81 6.2.2.2.5 Financiamento Metade do orçamento do MCHP provém de acordos com a província de Manitoba (desde 1991) para financiar seis grandes projetos de pesquisa anualmente, relacionados à saúde e questões sociais, utilizando o RepositórioMCHP. A outra metade vem de organizações que apóiam pesquisas, em âmbitos provincial, nacional ou internacional, sendo que os pesquisadores do MCHP devem competir por esses fundos. 6.2.2.3 Nova Scotia – Dalhousie-PHRU Na província de Nova Scotia, em 1993, foi criado o PHRU-DatabaseSystem, administrado pela Unidade de Pesquisa em Saúde Populacional (Population Health Research Unit PHRU) (Dalhousie University, 2012) do Departamento de Saúde Comunitária e Epidemiologia da Universidade de Dalhousie. O propósito foi atender à necessidade crescente de dados e apoio à pesquisa em saúde populacional, epidemiologia clínica, utilização de serviços de saúde em Nova Scotia. O PHRU-Database-System foi iniciado a partir do fornecimento de bases de dados administrativas pela autoridade de saúde da província, com vigência a partir de 1989. Depois foram complementadas por outras fontes de dados relativas a registros de saúde do trabalhador, dados clínicos e inquéritos populacionais. Todo o acesso ao PHRU-Database-System é regido por um acordo de confidencialidade. O linkage de seus dados com bases de dados externas requer protocolos especiais para garantir a confidencialidade da informação, criptografando identificadores do paciente. Os projetos de pesquisa submetidos precisam ser aprovados por um comitê de acesso a dados (comitê-de-ética), para que somente então sejam criados os extratos-de-dados, de-identificados e com identificadores-deprojetos específicos. Há um processo formal de solicitação de dados para os projetos de pesquisa. 82 6.2.2.3.1 Estrutura e operação A UDL é localizada dentro da Universidade de Dalhousie. Não são fornecidos detalhes sobre sua estrutura física e recursos humanos. Embora sejam mencionadas algumas medidas de segurança da informação, tais como utilização de rede lógica de computadores isolada, não são mencionadas certificações em normas técnicas de segurança. Informam que as diretrizes de acesso a dados (Dalhousie University, 2012) foram elaboradas em conformidade com os regulamentos locais vigentes. Existe um comitê de acesso a dados que analisa as solicitações de dados para projetos de pesquisa, reunindo-se mensalmente em datas préestabelecidas. Todas solicitações de dados são consideradas projetos de pesquisa e submetidas também ao comitê de ética em pesquisa da Universidade Dalhousie. 6.2.2.3.2 Relação com gestores de dados Apenas são mencionadas as organizações gestoras de dados, sem explicitar a relação com a UDL. 6.2.2.3.3 Relação com pesquisadores O site publica as diretrizes de acesso a dados, (Dalhousie University, 2012) o passo-a-passo para a solicitação de dados, as diretrizes de confidencialidade, os documentos a serem assinados pelo pesquisador e o termo de confidencialidade. As solicitações de dados devem ser enviadas pelo site com antecedência de pelo menos 15 dias das reuniões do comitê de acesso a dados. Após a aprovação do projeto de pesquisa, é firmado um contrato com o pesquisador. O pesquisador poderá acessar os dados na própria PHRU, ou nos casos em que os dados serão lhe são diretamente fornecidos, deverá comprovar adequadas condições físicas, técnicas e administrativas para garantir a segurança dos dados a ele confiados. 83 6.2.2.3.4 Modelo do processo de linkage Não há informação técnica publicada sobre o processo de linkage conduzido pela UDL. Nas diretrizes de acesso a dados (Dalhousie University, 2012) é informado que somente em circunstâncias excepcionais haverá liberação de dados identificados, mediante aprovação por escrito do Departamento de Saúde (ou o gestor do banco de dados em questão) e com base em uma recomendação por escrito da PHRU. Isto nos leva a crer que haja armazenamento de variáveis-demográficas na UDL. 6.2.2.3.5 Relação com a sociedade Embora a informação publicada seja muito sucinta, estão disponíveis os relatórios dos projetos de pesquisa concluídos e em andamento. Não foi identificado se há participação de usuários de serviços de saúde no comitê de acesso a dados. 6.2.2.3.6 Financiamento O financiamento da unidade é feito pela própria unidade e projetos de pesquisa associados. Não são publicados os montantes financeiros envolvidos na manutenção da UDL. Há menção à cobrança de taxas para cobertura de custos dos serviços, sendo as cotações requisitadas em contato direto com a UDL. 6.2.2.4 Ontario Canada Data Linkage Project Na província de Canadá há uma colaboração para a constituição de uma UDL por meio do projeto Ontário Canada Data Linkage Project (CD-LINK), (Institute for Clinical Evaluative Sciences (ICES), 2011) formada pela University of Toronto, Institute for Clinical Evaluative Sciences (ICES) e a Cancer Care Canada. O propósito do projeto é constituir, por meio de linkage, uma base de dados abrangente destinada à pesquisa científica sobre o câncer e a utilização de serviços de saúde. 6.2.2.4.1 Estrutura e operação Há pouca informação no site. O CD-LINK fica baseado no ICES. 84 6.2.2.4.2 Relação com gestores de dados Há acordos formais entre o CD-LINK e os gestores de dados. Se um projeto novo contempla a utilização de uma base de dados não integrante do acervo do CD-LINK, é firmado um acordo específico. 6.2.2.4.3 Relação com pesquisadores Atualmente, os serviços da UDL estão disponíveis somente para pesquisadores em instituições acadêmicas de Ontário e para pesquisas sem fins lucrativos. No momento não há cobrança de taxas, mas há uma planilha de registro de custos, para fins de acompanhamento contábil. O processo formal de submissão de solicitações de acesso a dados para projetos de pesquisa segue o modelo praticado no ICES, incluindo uma avaliação de impacto de privacidade (PIA). Ao ser aprovado, é firmado um contrato entre o CD-LINK e o pesquisador. Este contrato prevê um termo de confidencialidade assinado pelo pesquisador e sua equipe, renovado anualmente. Os dados são entregues em mãos aos pesquisadores, em mídia criptografada, com dicionário de dados e relatório sobre o processo de extração. Como há exigência de revisão prévia pelo CD-LINK das publicações de resultados a serem feitas pelo pesquisador, mensalmente o CD-LINK vasculha o PubMed para verificar se houve alguma publicação não-autorizada. Três meses antes do término do contrato, o pesquisador deve enviar ao CD-LINK uma declaração de destruição do extrato-de-dados original, cópias, backups ou outras bases derivadas. 6.2.2.4.4 Modelo do processo de linkage Todos os dados são anonimizados através da remoção ou criptografia de identificadores pessoais. São atribuídos identificadores-do-projeto específico aos registros do extrato-de-dados. Todas as datas mais específicas do que no 85 ano são convertidos para o número de dias em relação à data índice (por exemplo, data de diagnóstico). Uma inovação relevante é que antes de serem liberados aos pesquisadores, os extratos-de-dados gerados são avaliados com uma ferramenta analítica de avaliação de risco de privacidade, um programa que mede e gerencia o risco re-identificação dos registros. Todos os extratos-de-dados devem ter um risco re-identificação de ≤ 0,33 (pelo menos três observações semelhantes no extrato-de-dados) e, de preferência, pelo menos, ≤ 0,20 (pelo menos cinco observações semelhantes no extrato-de-dados). Consequentemente, as variáveis podem ser modificadas para garantir que cada versão de dados atenda a esses critérios. Por exemplo, as idades de índice podem ser agrupadas em faixasetárias, ou regiões geográficas podem ser combinadas. Desta forma, um novo tipo de dados é criado, reduzindo o risco de re-identificação. O processo de-identificação é realizado por um analista do CD-LINK, em colaboração com o pesquisador, para garantir que os dados finais deidentificados ainda permitam que o pesquisador possa atingir seus objetivos de estudo. 6.2.2.4.5 Relação com a sociedade O projeto CD-LINK faz parte do elenco de projetos do ICES. Não foram identificadas informações específicas sobre projetos em curso ou finalizados. Não foram identificadas informações sobre a participação da sociedade em comitês de governança. 6.2.2.4.6 Financiamento São previstas cobranças de taxas para custeio dos serviços, futuramente. 6.2.2.5 Statistics Canada O Statistics Canada (SC) é a agência nacional de estatísticas do Canadá e utilizam as técnicas de linkage como uma importante ferramenta no desenvolvimento, produção, avaliação e análise de dados estatísticos para 86 lançar luz sobre importantes questões sociais. Embora, por sua natureza, o linkage seja potencialmente intrusivo à privacidade, SC utiliza esta técnica nos casos em que o bem público é claramente evidente e supera a invasão de privacidade, fornecendo dados para projetos de pesquisa internos e externos na área de saúde. (Statistics Canada, 2010) 6.2.2.5.1 Estrutura e operação Embora haja menção a uma rede de data-centers de pesquisa localizados em ambientes seguros de universidades canadenses e um datacenter federal localizado em Ottawa, responsáveis por fornecer micro-dados aos pesquisadores, (CRDCN, 2012) não foi possível identificar pelas informações do site se todos os data-centers realizam linkage ou somente o federal. Há uma política sucinta sobre linkage em vigor desde 1986 (Statistics Canada, 2005), preconizando que o SC irá realizá-lo somente se atendidas todas as seguintes condições: (a) objetivo da atividade de linkage é estatístico (ou pesquisa) e é consistente com a missão do SC; (b) os produtos de linkage serão lançados somente em conformidade com as disposições de confidencialidade da lei de estatística e com os requisitos aplicáveis da lei de privacidade; (c) a atividade linkage tem custo demonstrável ou poupa encargos dos inquiridos, se comparado a outras alternativas, ou é a única opção viável; (d) a atividade de linkage não será utilizada para fins que podem ser prejudiciais para os indivíduos inquiridos e os benefícios a serem derivados do linkage são claramente do interesse público; (e) o linkage em questão não prejudicará futuros programas de estatísticas do Canadá; (f) o projeto satisfaz o processo de aprovação. Estudos que não utilizem bases de dados já disponíveis requerem uma avaliação de impacto sobre a privacidade para que sejam aprovados. 6.2.2.5.2 Relação com gestores de dados Os dados disponibilizados para o SC são providos pelos ministérios das distintas áreas de governo ou outros gestores. Não são mencionados aspectos relativos a contratos com estes gestores. 87 6.2.2.5.3 Relação com pesquisadores O processo de solicitação de dados para pesquisas está descrito em um documento intitulado Directives for Record Linkage, (Statistics Canada, 2011) obtido por meio do serviço de contato a clientes do site da Health Statistics Division Client Services Unit. (Statistics Canada, 2010) Todas solicitações de dados para projetos de pesquisa passam por um processo de aprovação que envolve a apresentação de propostas documentadas para uma comissão interna de peritos. Há um conjunto de linkages previamente aprovados pelas autoridades governamentais. Quando o projeto em questão necessita usar outra base de dados ainda não aprovada, o projeto é submetido aos custodiantes destes gestores de dados e à autoridade de privacidade canadense e, em alguns casos, a grupos da sociedade civil organizada que sejam relacionados ao estudo. Quem finalmente decide sobre o trade-off entre o benefício público esperado e o grau de invasão de privacidade é o ministro. Em alguns casos cuja necessidade seja demonstrada, os pesquisadores podem solicitar o acesso remoto gratuito aos dados, por meio de um ambiente seguro. (“Health in Canada: How to access data”, 2010) 6.2.2.5.4 Modelo do processo de linkage Os projetos de linkage são realizados a partir de bases de dados governamentais de informações pessoais, descritas no InfoSource (Index of Standard Personal Information Banks). (Government of Canada, 2010) Bases resultantes de linkage podem ser disponibilizadas no InfoSource, desde que aprovadas e com as devidas condições de acesso. O SC tem experiência desde 1970 na realização de estudos de longo prazo epidemiológicos sobre nascimentos, mortalidade e câncer em populações que tenham sido expostas a riscos, tais como processos industriais, radiação e produtos químicos. (Statistics Canada, 2010) Uma breve descrição do processo de linkage realizado a partir das bases de dados de registro de câncer foi feita em um documento no site. Não 88 há separação entre variáveis demográficas e variáveis-conteúdo. (“Record Linkage Overview - Canadian Cancer Registry Manuals”, 2005) 6.2.2.5.5 Relação com a sociedade São publicados os projetos de linkage em andamento e concluídos. A disseminação das informações resultantes do linkage, assim como todas as outras informações estatísticas, são feitas sem que nenhum indivíduo possa ser identificado. Os projetos de linkage realizados são listados no relatório anual do parlamento, no que se refere à implementação da lei de privacidade da informação. (Statistics Canada, 2011) 6.2.2.5.6 Financiamento Embora o SC seja uma agência governamental com financiamento específico, os dados resultantes do linkage são disponibilizados mediante taxas de cobertura de custos de serviços. 6.2.3 Escócia No Reino Unido, em 1963 foi realizado um trabalho pioneiro de linkage na Inglaterra: o Oxford Record Linkage Pilot Study (ORLS), por meio da Universidade de Oxford e hospitais regionais. Um dos objetivos era testar a viabilidade de ligar registros médicos de várias fontes propiciando uma fonte de informações para pesquisas. O ORLS constituiu um arquivo centralizado de indivíduos e famílias, baseado em dados de morbidade e mortalidade. Entretanto, a iniciativa inglesa não se constituiu como uma UDL até os dias atuais. (National Research Council, 1999) A experiência relevante de UDL no Reino Unido foi da Escócia: Information Services Division – Medical Record Linkage (ISD-MRL). Em 1968 o Serviço de Saúde escocês estabeleceu que todos os registros de alta hospitalar, registros de câncer e de óbitos seriam armazenados de forma centralizada, em forma legível por máquina e com informações de identificação do paciente (variáveis-demográficas). (Kendrick, 1997) Já nesta época, havia a cooperação com a iniciativa inglesa Oxford Record Linkage, com vistas a aplicação de técnicas de record linkage probabilístico propostas inicialmente por Newcombe. (Newcombe et al., 1959) Porém, somente a partir de 1989, 89 com os avanços da capacidade computacional, é que foi possível obter resultados concretos, sendo criado o sistema Medical Record Linkage pela Information Services Division (ISD). (ISD NHS Scotland Information Services Division, 2010) A ISD faz parte do National Health System (NHS) – National Services Scotland (NSS). O ISD-MRL é parte do Serviço de Informação em Saúde Escocês e trabalha em estreita colaboração com o Serviço de Informação em Saúde Escocês para a Pesquisa. A localização da UDL da Escócia incluída no estudo é apresentada na Figura 11. Figura 11 - Localização da unidade de data linkage da Escócia 6.2.3.1 Estrutura e operação O ISD-MRL produz regularmente linkage de altas hospitalares, câncer, mortalidade, nascimentos e anomalias congênitas. Além destes, há também 90 dois grandes conjuntos de dados: a pesquisa nacional de saúde escocesa e do estudo longitudinal de saúde da Escócia. Todos os dados envolvidos no linkage são tratados sob os mesmos regulamentos de segurança, como quaisquer outros dados que contenham informações de identificação pessoal. O linkage é realizado de forma centralizada pelo Serviço de Saúde da Escócia. Aspectos relativos à proteção da privacidade dos dados pessoais de saúde são abordados de forma geral pela ISD, (ISD-NHS, 2010) não especificamente para linkage, incluindo procedimentos para anonimização de dados, uso secundário de informações de saúde e protocolo para divulgação de estatísticas de pequenos números. Não foram detalhados aspectos operacionais de tecnologia da informação relativos à segurança. 6.2.3.2 Relação com gestores de dados O fornecimento de bases de dados para pesquisas é coordenado pelo Serviço de Informação em Saúde Escocês para a Pesquisa. Não são mencionados detalhes sobre o fornecimento. 6.2.3.3 Relação com pesquisadores Há uma descrição do passo-a-passo para o acesso aos serviços de linkage. Consta no site um vasto dicionário de dados das bases disponíveis, manual de regras de validação para subsidiar o pesquisador na formulação de sua solicitação. O processo de solicitação de extratos-de-dados prevê um contato preliminar com a equipe do ISD-MRL para discussão de requisitos, sendo que após, o pesquisador formaliza sua solicitação. A partir da solicitação formal e detalhada, o ISD-MRL fornece orçamento e cronograma do projeto. A solicitação é então submetida à aprovação do Comitê Consultivo de Privacidade. Uma vez aprovado, o processo de extração é iniciado e os dados são transferidos ao pesquisador mediante o pagamento das taxas de serviço. 91 6.2.3.4 Modelo do processo de linkage Na Escócia é amplamente difundido o uso do número identificador dos indivíduos para os sistemas de informação em saúde. Há uma base de dados nacional centralizada e indexada por estes números identificadores chamada Community Health Index (CHI). (ISD NHS Scotland Information Services Division, 2010) A base CHI contém registros de todos os residentes na Escócia (incluindo alguns residentes temporários). Oito bancos armazenam dados para as 14 juntas de saúde escocesas e um banco de dados de índice de busca é usado para criar um identificador pessoal único para cada pessoa. Embora existam outros números identificadores pessoais, como os números de seguridade social e os do sistema nacional de saúde (NHS), não são considerados suficientemente robustos para facilitar linkage de alta qualidade. Sendo assim, em processos de linkage para a saúde, o número CHI é amplamente utilizado como chave determinística. Está em desenvolvimento de um novo serviço de indexação CHI, que funcionará sob a responsabilidade do Programa Informática em Saúde da Escócia, tendo como propósito auxiliar os pesquisadores em projetos de indexação e linkage. Há também o método probabilístico de linkage utilizado no ISD-MRL, baseado em experiências anteriores escocesas, canadenses e inglesas (Oxford). O site do ISD-MRL provê descrição detalhada da técnica aplicada, mencionando que existe revisão visual dos pares obtidos como produto do linkage. Porém, não é informado se as variáveis-demográficas são armazenadas separadamente das variáveis-conteúdo. (Kendrick, 1997) 6.2.3.5 Relação com a sociedade O site publica os projetos de linkage concluídos e em curso e as medidas de proteção da privacidade. Estão disponíveis folhetos-guias de informações sobre privacidade para pacientes outros documentos instrutivos sobre o assunto. (ISD-NHS, 2010) 92 Tais documentos informam que a ISD, como parte do NHS NSS, adotou uma política para proteger a segurança das informações pessoais de saúde e gerenciar sua utilização de acordo com padrões rígidos. Cuidados são tomados para assegurar que nenhum paciente possa ser identificado, sendo que o acesso a informações pessoais de saúde requer uma autorização especial e é rastreado. A ISD dispõe de um custodiante-de-dados intitulado ‘Caldicott Guardian’ para auditar o tratamento dado às informações pessoais de saúde adequadamente. Há caldicott guardians em hospitais e em outras instituições que armazenam informações pessoais de saúde. Os funcionários que acessam dados identificados são legalmente e contratualmente obrigadas a respeitar a confidencialidade. Conselhos de saúde e hospitais só têm acesso às informações relativas a seus próprios residentes ou pacientes. Há um Comitê Consultivo de Privacidade, com membros não pertencentes ao NHS, que aconselha sobre a forma de uso das informações pessoais de saúde para pesquisas. Os folhetos são simples e com linguagem muito clara. Referem-se ao uso secundário das informações pessoais de saúde e da opção dos indivíduos de objetarem este uso (opt-out). No Reino Unido há uma exigência legal de que todas as organizações que armazenam e processam informações pessoais (de saúde ou não) devem notificar o Gabinete do Comissário de Informação sobre detalhes de seu processo de trabalho. A falta de notificação é crime. O ICO, por sua vez, disponibiliza o registro destas organizações ao público, chamado de Register of Data Controllers (RDC). (United Kingdom; Information Comissioner´s Office, 2012) Nele o cidadão pode saber quais classes de dados são armazenadas, para quais propósitos e quem é autorizado a acessar. A ISD está registrada no RDC. As informações registradas têm período de validade de seis anos. 6.2.3.6 Financiamento Por tratar-se de um serviço de saúde público, o funcionamento do ISDMRL é mantido com recursos do governo. Entretanto, há cobrança de taxas pelos serviços de linkage. 93 6.2.4 Estados Unidos A experiência estudada de UDL dos Estados Unidos foi a do Rochester Epidemiology Project (REP). (Rochester Epidemiology Project, 2009) O projeto é uma iniciativa de colaboração entre os prestadores de cuidados de saúde na cidade de Rochester (pertencente ao Olmsted County, estado de Minnesota), que permite aos pesquisadores estudar a saúde e doenças nas pessoas que vivem nesta comunidade. Desde 1966, toda pessoa que visita um hospital ou outro estabelecimento de saúde de Olmsted County pela primeira vez é convidada a assinar um formulário de consentimento para que sua ficha médica possa ser usada para pesquisa. Devido ao isolamento geográfico, os indivíduos das comunidades cobertas pelo REP são uma fonte importante e precisa de informações para estudos de base populacional. Mais de 95% dos residentes de Olmsted County deram permissão para que seus registros sejam incluídos no REP. (Melton, 1996) Todos os estudos utilizando os dados do REP são previamente aprovados por um comitê-de-ética. A localização da UDL incluída dos Estados Unidos no estudo consta na Figura 12. Figura 12 - Localização da unidade de data linkage dos Estados Unidos 94 6.2.4.1 Estrutura e operação Não são fornecidos detalhes no site sobre a estrutura e operação do REP. O site informa que todos os estudos baseados no REP devem cumprir as leis de proteção da privacidade estadual e federal. 6.2.4.2 Relação com gestores de dados Os dados são fornecidos pela rede de prestadores de serviços da comunidade. Não são fornecidos detalhes sobre os procedimentos. 6.2.4.3 Relação com pesquisadores Os pesquisadores interessados em utilizar os dados do REP devem submeter seus projetos à aprovação do comitê-de-ética da Mayo Clinic. Há exemplos de protocolos de pesquisa para embasar as solicitações dos pesquisadores. As solicitações são submetidas por email ou web formulários. Os dados são acessados por meio dos laboratórios informáticos conectados ao REP, sendo que os pesquisadores que acessam os registros assinam termos de confidencialidade. O REP investe na capacitação dos pesquisadores para acessarem os registros com regras de proteção à privacidade, tais como anonimização e uso de dados agregados. Todas as informações publicadas em relatórios de pesquisa são divulgadas de forma agregada. 6.2.4.4 Modelo do processo de linkage Não constam detalhes. 6.2.4.5 Relação com a sociedade Os projetos autorizados são publicados no site. Há também vídeos sobre o REP, bem como explicações sobre proteção da privacidade das informações e os benefícios de consentir que os registros médicos sejam utilizados para pesquisas. 95 6.2.4.6 Financiamento O projeto tem sido apoiado com recursos do Instituto Nacional de Saúde há mais de 40 anos. 6.2.5 Síntese das práticas relevantes para segurança em UDL O estudo das experiências permitiu a identificação de práticas relevantes para a constituição de uma UDL segura. Não houve a intenção de contabilizar quantas UDL adotam cada prática especificamente, pois o método utilizado neste estudo (pesquisa em sites) poderia levar a interpretações e resultados questionáveis, dado que os conteúdos dos sites podem ser atualizados a qualquer momento. Além disso, algumas UDL podem adotar práticas que não estejam explícitas em seus sites. Sendo assim, este trabalho buscou apenas identificar as práticas relevantes publicadas nos sites, sem a preocupação de indicar em quantas UDL são adotadas. A Figura 13 apresenta uma síntese das práticas selecionadas e o quadro 04 apresenta-as detalhadamente, organizadas pelas dimensões e assuntos estudados. Estrutura e Operação Relação com Pesquisadores Acesso aos extratos-de-dados Aprovação da solicitação Capacitação do pesquisador Comprovação de capacidade técnica Contrato para extração de dados da UDL Publicação e retorno de resultados Informações do acervo de bases de dados da UDL Plano de Segur. da Informação no Pesquisador Preços dos serviços da UDL Processo de solicitação de dados à UDL Sanções por quebra de confidencialidade Linkage com bases externas ao acervo da UDL Ambiente computacional segregado Ambiente físico segregado Ambiente seguro de acesso remoto a dados Avaliação de risco em SI Comitê-de-ética Estudo de impacto de privacidade Sistema de Gestão da segurança da informação Processos de trabalho mapeados Transferências de dados RH da UDL – Admissão de profissionais Gestão de RH na UDL 24 75 34 Relação com Gestores Capacitação / Sensibilização Captação de bases para o acervo Contrato de fornecimento de bases de dados Relação com a Sociedade Governança estratégica Requisições de informações pessoais Sensibilização Transparência e governança – divulgação dos princípios básicos – participação social – responsabilização 3 7 7 Modelo do Processo de Linkage Atribuição de chave-de-ligação Atribuição de identificador-do-projeto Avaliação de risco de re-identificação Divulgação do modelo do processo de linkage Destruição após o linkage Segregação dos dados Figura 13 - Síntese das práticas selecionadas, por dimensão e assunto 96 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática EO Estudo de impacto de privacidade 1. Antes de criar a UDL, realizar Estudo de Impacto de Privacidade que descreve a sua conformidade com a legislação de proteção à privacidade e segurança, inclusive detalhando a sua estrutura de gerenciamento de risco, modo de prestação de contas, segurança física, segurança de rede e os controles de recursos humanos. EO Comitê-de-ética 2. Ter comitê-de-ética para analisar as solicitações de dados para projetos de pesquisa. EO Processos de trabalho 3. Constituir equipes específicas para funções da unidade: aspectos de ética e privacidade; atendimento ao pesquisador; relacionamento com gestores-de-dados; infra-estrutura operacional de TI; administração e finanças. EO Gestão da segurança da informação 4. Elaborar e publicar a política de segurança e/ou código de prática de segurança da informação da UDL. Revisar a política de segurança a cada dois anos para que esteja em conformidade com os regulamentos vigentes. EO Gestão da segurança da informação na UDL 5. Elaborar um Sistema de Gestão de Segurança da Informação (SGSI) para a UDL que contenha: todas as medidas de segurança física para as instalações onde estejam operando os processos - a classificação das informações armazenadas e processadas, as medidas de proteção nos horários de expediente e fora dele, as medidas de segurança de sistemas e o plano para a implementação das medidas EO Gestão da segurança da informação na UDL 6. A UDL deve monitorar os indicadores de desempenho do SGSI, por meio de auditorias internas, e avaliar criticamente em uma periodicidade definida, promovendo os ajustes necessários. EO Gestão da segurança da informação na UDL 7. A Direção da UDL deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI. Este comprometimento pode ser expresso por meio de uma declaração do responsável pela instituição em comprometer-se com a segurança dos dados a ela confiados. EO Gestão da segurança da informação na UDL 8. A UDL deve comprovar a implementação de procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta aos incidentes. Por exemplo: um canal de comunicação para registros de incidentes de quebra de confidencialidade e um processo formal de apuração. Os funcionários, gestores e terceiros de sistemas e serviços de informação devem ser instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços. 97 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática EO Gestão da segurança da informação na UDL 9. A UDL deve designar formalmente as pessoas responsáveis no que tange à segurança da informação e descrever suas responsabilidades. EO Avaliação de risco em SI 10. Classificar todas as informações do acervo quanto a confidencialidade, disponibilidade e integridade, assegurando que toda informação receba um nível adequado de proteção. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser definido e implementado de acordo com o esquema de classificação adotado pela organização. EO Avaliação de risco em SI 11. Realizar avaliação de risco anualmente e elaborar plano de gerenciamento de risco, com o mapa de riscos e medidas mitigatórias. EO Ambiente físico 12. Segregar ambientes físicos, com níveis de proteção diferenciados. EO Ambiente físico 13. Controlar acesso aos ambientes físicos por meio de identificação pessoal. EO Ambiente físico 14. Criar sala-cofre de acordo com as normas técnicas específicas. EO Ambiente computacional 15. Os usuários devem receber acesso (login e senha) somente aos serviços que tenham sido especificamente autorizados a usar com o objetivo de prevenir acesso não autorizado aos serviços de rede. Métodos apropriados de autenticação devem ser usados para controlar o acesso de usuários remotos (certificados digitais, entre outros). Devem ser consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos específicos. EO Ambiente computacional 16. Todos os usuários devem ter um identificador único (ID de usuário), para uso pessoal e exclusivo, e uma técnica adequada de autenticação deve ser escolhida para validar a identidade alegada por um usuário. EO Ambiente computacional 17. Sistemas para gerenciamento de senhas devem ser interativos e assegurar senhas de qualidade EO Ambiente computacional 18. Terminais inativos devem ser desconectados após um período definido de inatividade. Restrições nos horários de conexão devem ser utilizadas para proporcionar segurança adicional para aplicações de alto risco. EO Ambiente computacional 19. Segregar ambientes computacionais (redes isoladas): para o trabalho administrativo da UDL, para o processo de linkage e outras redes. EO Ambiente computacional 20. Reutilização e alienação seguras de equipamentos - Todos os equipamentos que contenham mídias de 98 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre gravados com segurança. EO Ambiente computacional 21. Devem existir procedimentos implementados para o gerenciamento de mídias removíveis. EO Ambiente computacional 22. Instalar o servidor de rede para o gerenciamento das funções de segurança em local protegido e separado dos demais servidores. EO Ambiente computacional 23. A UDL deve estar preparada para detectar atividades não autorizadas de processamento da informação. Registros de auditoria (logs) contendo atividades dos usuários, exceções e outros eventos de segurança da informação devem ser produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso. Devem ser estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento devem ser analisados criticamente, de forma regular. EO Ambiente computacional 24. Os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, devem ser sincronizados de acordo com uma hora oficial. EO Ambiente computacional 25. Utilizar serviços de pseudonimização para as telas de sistemas ou outras formas de acesso em que seja necessário exibir dados de identificação de pacientes. EO Recursos Humanos da UDL 26. Compor a equipe da UDL com funcionários próprios (não terceirizados). Em alguns casos, somente servidores públicos. EO Recursos Humanos da UDL – Admissão de profissionais 27. Ao admitir profissionais para compor a equipe da UDL, verificar antecedentes de todo o pessoal admitido para trabalhar na equipe da UDL, na área protegida; exigir de todo a equipe da UDL assinatura de acordos de compromisso com a confidencialidade, com renovação do acordo a cada ano. EO Recursos Humanos da UDL – Admissão de profissionais 28. Realizar capacitação da equipe nas medidas de segurança e admitir somente os aprovados no curso. EO Recursos Humanos da UDL 29. Exigir de todo a equipe da UDL assinatura de acordos de compromisso com a confidencialidade, com renovação do acordo a cada ano. 99 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática EO Recursos Humanos da UDL 30. Deve existir um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação. EO Recursos Humanos da UDL 31. As responsabilidades para realizar o encerramento ou a mudança de um trabalho dos funcionários devem ser claramente definidas e atribuídas. Todos devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo. EO Transferências de dados 32. Mídias contendo informações devem ser protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização. Transferir dados identificados (classificação: protegidos) entre os custodiantes e a UDL, em mídia criptografada e por meio de portadores designados e seguros. EO Ambiente seguro de acesso remoto a extratos-de-dados 33. A UDL deverá oferecer aos pesquisadores um ambiente seguro de acesso remoto para que possam analisar os extratos-de-dados e gerar relatórios para suas pesquisas. Este ambiente deve prever autenticação do usuário e log das atividades. Uma política, planos operacionais e procedimentos devem ser desenvolvidos e implementados para atividades de trabalho remoto. EO Linkage sistemático para monitoramento de ações de saúde 34. Realizar linkage e manter os pares do acervo da UDL atualizados trimestralmente, semestralmente ou anualmente. Seus resultados servem para monitoramento de ações de saúde. MPL Divulgação do modelo do processo de linkage 35. Publicar documentação sobre o modelo do processo de linkage utilizado na UDL, em linguagem clara e acessível tanto a pesquisadores quanto à sociedade em geral. MPL Segregação dos dados 36. Conceder à equipe da UDL acesso somente a variáveis-demográficas. Os dados de saúde de cada base de dados só são acessados pelas próprias organizações gestoras-de-dados e seus custodiantes. MPL Segregação dos dados 37. Fornecer aos pesquisadores somente dados des-identificados. MPL Atribuição de identificador-do-projeto 38. Todos os extratos-de-dados gerados pela UDL devem conter o identificador-do-projeto associado a cada registro. MPL Atribuição de chave-de-ligação 39. Todos os dados a serem ligados pela unidade devem ter um identificador único atribuído a cada registro. MPL Linkage com bases externas de dados primários: diretriz de destruição após o linkage 40. A UDL poderá realizar linkage com bases de dados primários externas ao seu acervo, sendo que após, os dados entregues à UDL para a realização do linkage são destruídos. 100 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática MPL Avaliação de risco de re-identificação 41. A UDL deverá utilizar ferramentas de software para a avaliação do risco de re-identificação de indivíduos constantes nos extratos-de-dados gerados. RP Informações sobre o acervo de bases de dados da UDL 42. Publicar o catálogo do acervo de bases de dados processadas na unidade, bases administrativas (core datasets) ou bases de projetos de pesquisa específicos, contendo: dicionários de dados; períodos disponíveis; organizações gestoras; contatos dos respectivos custodiantes-de-dados. RP Informações sobre o acervo de bases de dados da UDL 43. Realizar e publicar avaliações sobre a qualidade das bases de dados disponíveis a fim de apoiar os clients no entendimento dos propósitos, pontos fortes e limitações das mesmas. RP Preços dos serviços da UDL 44. Publicar a política de preços dos serviços. RP Processo de solicitação de dados à UDL (submissão de projetos) 45. Publicar a política de acesso aos dados do acervo da UDL. RP Processo de solicitação de dados à UDL (submissão de projetos) 46. Publicar os critérios de priorização para atendimento aos projetos de pesquisa. Algumas das condições para a realização dos projetos são: seja com o propósito de tempo limitado para abordar um conjunto específico de questões de pesquisa. Não envolver o uso de dados para qualquer finalidade administrativa ou não de outras pesquisas, ou para programas de pesquisa em andamento, salvo se especificamente aprovado. Seja no interesse público, por exemplo, melhorar o bem-estar da população, não ser proprietário de pesquisa, tais como a pesquisas feitas para fins de marketing comercial. Ter mérito científico. Ter a aprovação de um comitê-de-ética reconhecido. RP Solicitações de Linkage com bases externas ao acervo da UDL administrativas 47. Desde que aprovado por Comitê de Ética, a UDL poderá realizar linkage com bases de dados externas ao seu acervo. Sendo bases administrativas de algum órgão público que ainda não forneça regularmente à UDL é necessário firmar um termo entre a UDL e o gestor-de-dados, específico para o projeto em questão. Após, o processo de submissão do pedido de dados segue o fluxo normal. 101 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática RP Solicitações de Linkage com bases externas ao acervo da UDL - dados primários do pesquisador 48. Desde que aprovado por Comitê de Ética, a UDL poderá realizar linkage com bases de dados externas ao seu acervo. Sendo bases de dados primários fornecidas pelos próprios pesquisadores, é necessário para a aprovação: - conformidade com a legislação pertinente; avaliação dos riscos à privacidade relacionados com o linkage destes dados primários. O pesquisador deverá descrever os riscos potenciais de privacidade em realizar o linkage proposto. Isto deverá ser feito através de um apêndice do formulário de solicitação de dados, que inclui itens comuns em um Estudo de Impacto de Privacidade. - consentimento informado ou sua renúncia: o pesquisador terá que apresentar provas de consentimento por escrito dos indivíduos aos quais a base de dados se refere para uso destes dados na pesquisa específica, incluindo o formulário de solicitação de consentimento. Se o consentimento não foi obtido, o pesquisador terá de fornecer uma justificativa de por que o consentimento foi visto como impraticável. RP Processo de solicitação de dados à UDL (submissão de projetos) 49. Publicar o procedimento a ser seguido pelo pesquisador para solicitar dados à UDL, isto é, submeter seu projeto de pesquisa. RP Processo de solicitação de dados à UDL (submissão de projetos) 50. Ter formulário eletrônico de registro on-line das solicitações de dados dos pesquisadores RP Aprovação da solicitação 51. Toda solicitação de dados submetida à UDL requer aprovação pelos custodiantes das bases de dados em questão e pelo comitê-de-ética da UDL. RP Comprovação de capacidade técnica 52. A UDL deve exigir que o pesquisador comprove as condições técnicas para realizar a pesquisa antes de atender à solicitação de dados: - experiência do pesquisador responsável (sênior) - capacitação técnica - serviços e infra-estrutura disponível para o projeto - forma de financiamento do projeto aprovação no comitê de ética em pesquisa da unidade para projetos que usem dados pessoais aprovação de todas as instituições gestoras para projetos que usem dados pessoais - pelo menos um pesquisador com base no território local RP Capacitação do pesquisador 53. Oferecer capacitação ao pesquisador sobre o funcionamento da UDL, ética/privacidade e toda a cadeia produtiva do linkage, exigindo o cumprimento de carga horária obrigatória. 102 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática RP Plano de Segurança da Informação no Pesquisador 54. Para ter sua solicitação atendida, o pesquisador deverá informar à UDL o plano de segurança da informação em suas instalações, contendo minimamente: onde os dados serão guardados e analisados; quando armazenado em um computador disco, ou outra mídia, os arquivos de dados devem ser sempre protegido por senha; como os dados serão armazenados antes e depois do término do projeto de pesquisa; as medidas tomadas para garantir a segurança da informação, prevenindo contra o mau-uso, perda ou acesso não-autorizado durante e após o término do projeto de pesquisa; informações sobre por quanto tempo os dados serão retidos após o término da pesquisa e como serão destruídos; a forma de destruição dos dados após o período previsto para a realização do estudo. RP Contrato para extração de dados da UDL 55. Firmar contrato entre a UDL e o pesquisador, para o fornecimento das extrações de dados para os projetos aprovados. O contrato deve, minimamente, conter as obrigações da UDL e do pesquisador. RP Contrato para extração de dados da UDL 56. Dados fornecidos aos pesquisadores só podem ser utilizados para o projeto específico que tenha sido aprovado. Não devem ser combinados com outros conjuntos de dados ou utilizados para outros projetos. RP Contrato para extração de dados da UDL 57. Apenas o pessoal aprovado listado na solicitação de dados pode ter acesso aos dados fornecidos. RP Contrato para extração de dados da UDL 58. Pagar, pontualmente, as tarifas estipuladas. RP Contrato para extração de dados da UDL 59. Submeter à aprovação da UDL eventuais mudanças em protocolo da pesquisa; equipe de pesquisadores; condições que afetem a segurança da informação (mudanças de local, instalações computacionais); plano de encerramento da pesquisa. RP Contrato para extração de dados da UDL 60. A assinar acordo de confidencialidade, para guardar sigilo dos dados recebidos, aderindo ao código de prática de segurança da informação da unidade. RP Contrato para extração de dados da UDL 61. O pesquisador deverá submeter-se, se solicitado, à auditoria dos representantes da UDL, das instituições custodiantes ou de alguma organização a qual tenha sido delegada a avaliação de conformidade pelos gestores-de-dados (exemplo: organização externa certificadora). RP Contrato para extração de dados da UDL – Publicação e retorno de resultados 62. Resultados de pesquisas apresentados em relatórios são obrigatoriamente publicados de forma resumida apenas, de modo que a identificação individual não seja possível. Qualquer célula da tabela não pode conter menos de cinco indivíduos. 103 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática RP Contrato para extração de dados da UDL – Publicação e retorno de resultados 63. Ao final do estudo, o pesquisador deverá fornecer à UDL cópia dos relatórios, artigos, demais publicações ou manuscritos a serem submetidos para publicação para que sejam analisados e comentados em até 30 dias antes da distribuição para publicação; cópia das publicações sobre a pesquisa e resumo do projeto de pesquisa para divulgação no site da UDL. RP Acesso aos extratos-de-dados 64. Algumas UDL têm por padrão o acesso aos extratos-de-dados pelos pesquisadores somente pelo ambiente seguro de acesso remoto, sendo a gravação de mídia considerada excepcionalidade, sujeita à aprovação dos custodiantes-de-dados das bases em questão. Para extratos-de-dados disponibilizados em mídia, os dados devem ser criptografados sempre e ser entregues / recolhidos pessoalmente nos escritórios da UDL. A UDL nunca poderá enviar extratos-de-dados via e-mail. RP Sanções por descumprimento do acordo de confidencialidade 65. Ao tomar conhecimento ou suspeitar do não cumprimento do acordo de confidencialidade, a UDL poderá tomar medidas, assim previstas, isoladamente ou em conjunto, além de outros recursos disponíveis nos termos do acordo ou previstos no direito: - notificar imediatamente todos os órgãos públicos competentes, que são responsáveis pela atuação; - notificar imediatamente todos os custodiantes-de-dados envolvidos; - suspender e/ou revogar a aprovação de acesso aos dados; revogar imediatamente acesso a ambientes remotos de acesso aos dados; - negar qualquer acesso posterior às bases de dados da UDL ou de qualquer órgão público que atue em conjunto com ela; enviar relatórios de não-conformidade para a instituição de filiação do pesquisador, o comitê-de-ética que deu a aprovação do projeto, todas as agências que forneceram o financiamento para o projeto, qualquer organização que publicar os resultados do estudo. RG Captação de bases para o acervo 66. Fomentar a captação de mais bases de dados populacionais junto a potenciais gestores, por meio de contatos, sensibilização em palestras, encontros e seminários, com o objetivo de ampliar o acervo disponível na UDL. RG Capacitação / Sensibilização 67. Realizar cursos sobre o funcionamento da UDL, modelo do processo de linkage, segurança da informação, ética/privacidade para os gestores-de-dados RG Contrato para fornecimento de bases de dados à UDL 68. Firmar contrato entre a UDL e o gestor-de-dados para garantir fluxo regular de dados entre ambos, ou para o fornecimento em um projeto específico (para bases não mantidas regularmente pela unidade). 104 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática RS Transparência e governança – divulgação dos princípios básicos 69. A UDL deve seguir alguns princípios básicos e informá-los à sociedade, tais como: O linkage não será realizado diretamente entre as bases de dados originais completas, mas somente com as partes destas bases estritamente necessárias para os propósitos da pesquisa em questão. A permissão de acesso a cada base de dados específica é concedida pelo respectivo custodiante-de-dados da base. Compete ao custodiantes-de-dados a aprovação das solicitações de dados para projetos de pesquisa com suas respectivas bases de dados. O acesso às bases de dados da UDL deve ser restrito a quem tem necessidade de acessá-las para a realização de seu trabalho. Extratos-de-dados enviados aos pesquisadores não poderão conter variáveis-demográficas (dados identificados). A UDL não fornece dados para auditorias. Projetos financiados com recursos privados só são aceitos se não houver conflito de interesse ou envolvimento inapropriado e se houver compromisso do pesquisador em publicar os resultados da pesquisa em veículos de acesso público. RS Transparência e governança – responsabilização 70. A UDL deve informar nominalmente os gestores responsáveis por suas unidades, em especial pela gestão da segurança da informação e proteção da privacidade (accountability). RS Transparência e governança – participação social 71. A UDL deverá constituir um comitê gestor, com a participação de representantes de financiadores, gestores de dados, profissionais da unidade e usuários/consumidores de serviços de saúde. RS Governança estratégica 72. A UDL deverá publicar sua missão, o regimento interno e, se for o caso, o termo de formação da iniciativa de colaboração institucional para sua formação. RS Transparência e governança – Divulgação dos princípios básicos 73. A UDL deverá informar à sociedade aspectos gerais, no intuito de propiciar transparência sobre seus processos de trabalho. Entre as publicações, devem constar: - conjunto de bases de dados processadas na unidade (bases administrativas -core datasets e bases de projetos de pesquisa específicos), contendo a lista de variáveis disponíveis para cada base de dados; - modelo do processo de linkage; - inventário (portifólio) de projetos realizados (concluídos e em andamento) e seus resultados; - política de privacidade da UDL; - princípios da unidade; - formas de financiamento da unidade; - exposição dos resultados e benefícios obtidos e potenciais. RS Sensibilização 74. A UDL deverá informar a sociedade sobre aspectos gerais de seu funcionamento, com linguagem clara e acessível, utilizando diversos meios, tais como: página de FAQ (perguntas frequentes) - vídeo explicativo sobre o processo de Linkage; folder explicativo sobre o propósito da UDL, o processo de Linkage, modelo de governança e a política de segurança e privacidade. Realização de cursos/palestras sobre o funcionamento da unidade, ética/privacidade. Consumer and Community Engagement Training 105 Quadro 04 - Práticas relevantes para segurança em unidades de data linkage (EO: estrutura e operação; MPL: modelo do processo de linkage; RP: relação com pesquisadores; RG: relação com gestores de bases; RS: relação com a sociedade) Dim Assunto Prática RS 75. Ao receber requisições de informações do próprio indivíduo ou de outrem, a UDL deve encaminhar aos respectivos custodiantes das bases em questão. Requisições de informações pessoais 106 7 Estudo de normas técnicas sobre segurança da informação Neste capítulo é apresentado o estudo realizado para o alcance do objetivo de analisar as normas técnicas sobre segurança da informação em saúde. Serão apresentados os métodos, resultados e sua discussão. 7.1 Métodos A partir da experiência adquirida pela participação da autora desta pesquisa na Comissão de Estudo Especial de Informática em Saúde da ABNT (ABNT / CEE-78) e da revisão realizada por Gottberg et al. (Gottberg et al., 2011) foram identificadas as organizações produtoras de padrões que editaram normas técnicas relacionadas a segurança da informação em saúde. Entre as organizações citadas por Gottberg et al. optou-se por selecionar as normas ISO (ISO - International Organization for Standardization, 2012) por representarem a congregação de aspectos abordados por várias outras organizações de padrões internacionais. Outra razão para a escolha da ISO como referência foi o fato de ter sido a organização internacional de padrões citada nos documentos encontrados no estudo das experiências internacionais de UDL. Diversas UDL mencionaram normas ISO como referências em suas políticas ou regulamentos de segurança disponíveis nos sites. Todas as normas ISO explicitamente citadas foram incluídas neste estudo, pois mesmo que a UDL não seja certificada ou não tenha implementado a norma na íntegra, sua menção em regulamentos próprios demonstra a preocupação com a importância da norma e o reconhecimento como boas práticas. A consulta ao catálogo ISO (ISO - International Organization for Standardization, 2012) foi feita em Outubro/2011. Foram consultados em especial os catálogos dos comitês temáticos de Informática em Saúde (ISOTC215) (ISO - International Organization for Standardization, 2012) e de Segurança da Informação ISO/IEC: Joint Technical Committee on Information Technology (ISO/IEC/JTC1/SC27). (ISO - International Organization for 107 Standardization, 2012) No catálogo do ISO-TC215 existiam existiam 130 normas, sendo 89 publicadas e 41 em estágio de elaboração. No catálogo do ISO/IEC/JTC1/SC27 existiam 174 normas, sendo 110 publicadas e 64 em estágio de elaboração. As normas técnicas foram selecionadas pela leitura de seus títulos e resumos executivos, nos quais são descritos os escopos da norma, propósito e a quem se destinam. Foram selecionadas aquelas consideradas compatíveis com o ambiente de UDL. Também foi pesquisado o catálogo da ABNT, para utilização da versão da norma em Português, quando disponível. Para cada norma incluída no estudo foram analisados os aspectos relacionados ao seu conteúdo, tais como: público-alvo, usos, resumo e principais componentes. Foram analisados os aspectos considerados como boas práticas da norma aplicáveis a UDL e sistematizados os controles essenciais. 7.2 Resultados Foram selecionadas 4 normas do campo da informática em saúde e 2 de tecnologia da informação. O Quadro 05 apresenta a síntese das normas técnicas estudadas. Logo após é feita uma breve descrição de seus conteúdos e a análise de sua aplicabilidade a UDL. 108 Quadro 05 – Normas ISO estudadas Ano / Tema* 2005 TI Título ISO/IEC-27001:2005 Information technology -- Security techniques - Information security management systems – Requirements (ISO - International Organization for Assunto Público-alvo Requisitos para sistemas de gerenciamento da segurança da informação. Todas as organizações, independentemente de tipo, tamanho e natureza. Código de práticas para o gerenciamento da segurança da informação. Todas as organizações, independentemente de tipo, tamanho e natureza. Organizações que gerenciam informação em nome de terceiros, assim como companhias terceirizadas de TI. Gerenciamento de privilégios e controle de acesso – visão geral e gerenciamento de política de acesso. Desenvolvedores de software, administradores de segurança de sistemas de informação em saúde. Serviços de pseudonimização de registros de sujeitos da atenção em saúde. Organizações que desejam avaliar a confiabilidade das operações envolvidas com serviços de pseudonimização. International Organization for Standardization, 2008) Gerenciamento da segurança da informação em saúde usando as práticas da ISO/IEC 27002. ISO/TS-29585:2010 Health informatics - Deployment of a clinical data warehouse (ISO - International Organization for Implantação de armazém de dados clínicos. Gestores de segurança da informação de saúde, profissionais de saúde e de segurança, consultores, auditores, prestadores de serviços terceirizados. Gestores de saúde, gestores de TI e analistas que projetem e mantenham armazéns de dados clínicos em organizações. Standardization, 2005) 2005 TI ISO/IEC-27002:2005 Information technology -- Security techniques - Code of practice for information security management (ISO - International Organization for 2006 IS ISO/TS-22600-1:2006 Health informatics - Privilege management and access control - Part 1: Overview and policy management 2008 IS (ISO - International Organization for Standardization, 2006) ISO/TS-25237:2008 Health informatics - Pseudonymization (ISO - International Organization for Standardization, 2008) 2008 IS ISO-27799:2008 Health informatics - Information security management in health using ISO/IEC 27002 (ISO - Standardization, 2005) 2010 IS Standardization, 2010) * Tema: Informática em Saúde (IS) e Tecnologia da Informação (TI) 109 7.2.1 ISO/IEC-27001:2005 A ISO/IEC-27001:2005 Information technology - Security techniques Information security management systems – Requirements (ISO - International Organization for Standardization, 2005) possui versão brasileira: ABNT-NBRISO/IEC-27001:2006 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. (ABNT, 2006) Esta norma especifica o arcabouço geral de requisitos para estabelecer e manter um SGSI. A norma é indicada para assegurar a seleção de controles de segurança adequados e proporcionais que protegem os ativos de informação, dar confiança às partes interessadas, assegurar que os riscos de segurança são geridos de forma eficaz e eficiente; garantir o cumprimento das leis e regulamentos e determinar o estágio da implementação das atividades de gestão de segurança da informação para os pesquisadores. A ISO/IEC-27001:2005 estabelece 11 seções de segurança da informação. Cada seção tem várias categorias de controles de segurança da informação, totalizando 39 categorias/objetivos. Cada categoria tem um só objetivo, mas possui um conjunto de controles associados a este objetivo. Na prática, os controles estipulados em cada seção são as medidas que a organização precisa adotar para alcançar a segurança de suas informações. Ao todo, são 133 controles preconizados nas normas técnicas, detalhados na norma seguinte ISO/IEC-27002:2005, com informações adicionais. As seções de segurança da informação especificadas nestas duas normas são: 1. Política de segurança da informação 2. Organizando a informação 3. Gestão de ativos 4. Segurança em recursos humanos 5. Segurança física e do ambiente 6. Gestão das operações e comunicações 110 7. Controle de acesso 8. Aquisição, desenvolvimento e manutenção de sistemas de informação. 9. Gestão de incidentes de segurança da informação 10. Gestão da continuidade do negócio 11. Conformidade A ISO/IEC-27001:2005 é aplicável a UDL para a estruturação das linhas gerais de um sistema de gestão da segurança da informação. 7.2.2 ISO/IEC-27002:2005 A ISO/IEC-27002:2005 Information technology - Security techniques Code of practice for information security management (ISO - International Organization for Standardization, 2005) possui versão brasileira: ABNT-NBRISO/IEC-27002:2005 Tecnologia da informação - Técnicas de segurança Código de pratica para a gestão de segurança da informação. Ela aprofunda os controles previstos na ISO/IEC-27001:2005. A ISO/IEC-27002:2005 substituiu a ISO/IEC-17799:2005 Information technology - Security techniques - Code of practice for information security management (ISO - International Organization for Standardization, 2005) em 2007. As normas ISO/IEC-27001:2005 e ISO/IEC-27002:2005 buscam estabelecer um SGSI que permita a realização de auditorias de conformidade e posteriormente a certificação de conformidade com as normas. Para uma organização obter este certificado, deverá atender a todos os controles previstos em sua formulação oficial. Adicionalmente, uma organização poderá estabelecer novos controles, específicos para a sua atividade de negócio, o que pode acontecer no caso das UDL. Também é possível que apenas um segmento de uma organização obtenha a certificação, tal como um setor ou um processo de trabalho. Há várias empresas certificadoras de conformidade com a norma no mundo e poucas no Brasil. Muitos controles especificados nas normas técnicas, em especial os da ISO/IEC-27002:2005, foram mencionados nos procedimentos e políticas de segurança das UDL estudadas. 111 7.2.3 ISO/TS-22600-1:2006 A ISO/TS-22600-1:2006 Health informatics - Privilege management and access control - Part 1: Overview and policy management (ISO - International Organization for Standardization, 2006) ainda não tem versão brasileira. A norma se divide em três partes, mas só foi estuda a primeira parte. Destina-se informações a entre apoiar as organizações necessidades de de saúde compartilhamento de (prestadores de serviços, operadoras de planos de saúde, gestores, etc.), pacientes, profissionais de saúde e empresas comerciais. A norma também se destina a apoiar as trocas de informações entre indivíduos e sistemas de informação. O uso desta norma possibilita o trabalho compartilhado entre gerenciadores de autorizações de acesso que operam além das fronteiras das organizações. A arquitetura de sistemas de informações em saúde compartilhados é cada vez mais baseada em redes e em sistemas distribuídos. Devido a sua facilidade de utilização, é crescente o uso de interfaces de usuário, ferramentas e protocolos padronizados, o que garante independência de plataforma e, conseqüentemente, o número de sistemas de informação realmente abertos com base em redes corporativas e redes virtuais privadas também tem sido crescente durante os últimos anos. A ISO/TS-22600-1:2006 define conceitos para o gerenciamento de privilégios e controle de acessos necessários para comunicação e uso de informações de saúde distribuídas sobre o domínio e as fronteiras de segurança. Co-operação entre domínios requer a definição de um conjunto comum de políticas de segurança. As políticas comuns são derivadas (negociadas) por meio de um processo chamado de policy-bridging. As políticas acordadas precisam ser documentadas e assinadas pelas autoridades de cada domínio. As regras desta política deverão ser automatizadas e verificadas a cada interação de serviço. (ISO - International Organization for Standardization, 2006) A norma apresenta princípios e especifica os serviços necessários para o gerenciamento de privilégios e controle de acesso, especifica os conceitos baseados em componentes e se destina a apoiar a sua implementação técnica. 112 A norma não especifica o uso desses conceitos em processo clínicos específicos. Há três componentes centrais: - Policy agreement – Acordo de políticas - Policy repository – Repositório de políticas - Directory of entities – Serviço de diretório de entidades, que contém as informações de todas as entidades cobertas no acordo de política, com seus papéis e autenticações. Na ISO/TS-22600-1:2006 é apresentado um modelo conceitual onde os servidores de autorização locais, um diretório trans-fronteiriço e serviços de repositório de políticas podem embasar o controle de acesso em várias aplicações (componentes de software). O repositório de políticas fornece informações sobre as regras para o acesso às funções de vários aplicativos com base em papéis e outros atributos. O serviço de diretório permite a identificação do usuário individual. O acesso concedido será baseado em quatro aspectos: - a identificação do usuário autenticado; - as regras de acesso conectadas a um objeto de informações específicas; - as regras relativas a atributos de autorização vinculada ao usuário fornecida pelo gerente de autorização; - as funções do aplicativo específico. Na ISO/TS-22600-1:2006, a estrutura é explicada em um sentido amplo. A descrição da estrutura para o modelo de processo da troca de informações através das fronteiras dos domínios de segurança consiste nos seguintes elementos: domínio; política; papéis; diretório; autenticação; processo. As regras para estes elementos, acordadas pelos domínios envolvidos, são armazenadas em um repositório e podem ser consideradas como uma parte desta estrutura. A ISO/TS-22600-1:2006 permite estabelecer os acordos de políticas para trocas de dados seguras entre distintos domínios (co-operação entre 113 domínios), sendo aplicável às trocas entre os gestores de dados e UDL, ou mesmo entre UDL regionais. 7.2.4 ISO/TS-25237:2008 A ISO/TS-25237:2008 Health informatics – Pseudonymization (ISO International Organization for Standardization, 2008) ainda não tem versão brasileira. A pseudonimização é reconhecida como um importante método para a proteção da privacidade das informações pessoais de saúde, pois atribui um pseudônimo ao sujeito da atenção, protegendo seus dados de identificação verdadeiros. As áreas de aplicação incluem o uso secundário de dados clínicos (por exemplo, pesquisa), avaliação e monitorização de saúde pública, notificação de dados confidenciais dos pacientes (por exemplo, efeitos adversos de drogas), entre outros. (ISO - International Organization for Standardization, 2008) A ISO/TS-25237:2008 apresenta um modelo conceitual, requisitos para práticas confiáveis e especificações para apoiar o planejamento e aplicação de serviços de pseudonimização, propiciando garantia da qualidade e confiança destes serviços. A norma define também as interfaces dos serviços de pseudonimização para assegurar a interoperabilidade com sistemas de gerenciamento de identidade, prestadores de informação e destinatários de pseudônimos. (ISO - International Organization for Standardization, 2008, p. 20) A norma oferece uma visão geral dos diferentes casos de uso para pseudonimização que podem ser reversíveis e irreversíveis. Define uma metodologia básica para serviços de pseudonimização, incluindo aspectos organizacionais e técnicos; fornece um guia para avaliação dos riscos para a re-identificação; especifica um modelo de política e os requisitos mínimos para práticas confiáveis para as operações de um serviço de pseudonimização e para re-identificação controlada. A ISO/TS-25237:2008 interessa às UDL que trabalham com variáveisdemográficas e desejem aplicar técnicas de pseudonimização para que os dados reais não sejam conhecidos em algum tipo de acesso. Entre as UDL 114 houve menção a pseudonimização, (Rochester Epidemiology Project, 2009) mas não foi possível identificar se em conformidade com esta norma. 7.2.5 ISO-27799:2008 A ISO-27799:2008 Health informatics - Information security management in health using ISO/IEC-27002 (ISO - International Organization for Standardization, 2008) ainda não tem versão brasileira publicada, mas está em elaboração pela comissão ABNT-CEE78, com previsão de publicação em breve. A ISO-27799:2008 é voltada a organizações de saúde ou as que lidam com informações de saúde (tais como prestadores de serviços de TI). Complementa os controles da ISO/IEC-27002:2005 e o arcabouço da ISO/IEC27001:2005, sem a intenção de suplantá-las, estabelecendo foco nas informações sensíveis de saúde e seus ambientes operacionais diferenciados. (ISO - International Organization for Standardization, 2008) A efetiva gestão de segurança da informação em saúde se torna cada vez mais necessária pelo uso crescente de redes sem fio e internet no fornecimento de serviços de saúde. (ISO - International Organization for Standardization, 2008) Se não forem implementadas corretamente, estas tecnologias complexas aumentarão os riscos à confiabilidade, integridade e disponibilidade da informação de saúde. Não obstante o tamanho, a posição e o modelo do fornecimento de serviços, todas as organizações de saúde precisam ter controles rígidos implantados para proteger as informações confiadas a elas. Entretanto, muitos consultórios ou clínicas pequenas carecem de recursos de TI para gerenciar a segurança da informação. A ISO27799:2008 propõe orientação clara, concisa, e específica na seleção e na implementação de tais controles, adaptável a qualquer tamanho e tipos diferentes de serviço disponibilizados pelas organizações de saúde. Além disso, com o aumento da troca eletrônica da informação do paciente entre profissionais de saúde, há um benefício claro em adotar uma referência comum para a gerência da segurança destas informações. A ISO-27799:2008 revisa cada uma das onze seções de segurança da ISO/IEC-27002:2005 e orienta a seleção apropriada de controles de segurança 115 em um ambiente de saúde, estipulando alguns como obrigatórios para proteger as informações pessoais de saúde, por exemplo: a existência e publicação de política de segurança da informação comunicada a todos os funcionários e entidades externas relevantes. Entre vários aspectos, a ISO-27799:2008 aborda treinamento e educação da equipe de TI, profissionais da saúde e outros que tenham acesso a sistemas de informação de saúde e informação pessoal de saúde. Trata do gerenciamento de operações contínuas e incidentes de segurança, com vistas à detecção rápida e a minimizar suas conseqüências. Talvez por ser relativamente nova, nenhuma UDL referiu ser certificada nesta norma, mas a maioria de seus controles é aplicável a UDL. 7.2.6 ISO/TS-29585:2010 A norma ISO/TS-29585:2010 Health informatics - Deployment of a clinical data warehouse (ISO - International Organization for Standardization, 2010) ainda não possui versão brasileira. A norma se destina a fornecer um conjunto geral de diretrizes para a implantação de armazéns de dados (data warehouse) clínicos apoiada por descrições úteis sobre agregação de dados diferentes e abordagens de modelagem, bem como aspectos particulares da arquitetura de informação que contribuam para uma implantação bemsucedida. ISO/TS-29585:2010 tem três seções: 1) considerações gerais de projeto e implantação, 2) agregação de dados e modelagem de dados e 3) arquitetura e tecnologia. (ISO - International Organization for Standardization, 2010) A primeira seção é de particular interesse para gestores de saúde e gestores de tecnologia da informação, pois explicita requisitos e procedimentos que propiciam a implantação bem sucedida do armazém de dados clínicos. A segunda seção apóia a escolha de métodos que garantam a seleção confiável e a agregação de dados primários para apoiar as decisões, orientando estatísticos, epidemiologistas, especialistas em avaliação de saúde e outros. A seção três é voltada aos informatas preocupados com arquiteturas eficientes, métodos de mineração de dados, dados dinâmicos de consulta e visualização para armazéns de dados clínicos. 116 Esta norma se aplica a UDL que implementam armazéns de dados clínicos. Há muito pouca referência a processos de linkage. Os aspectos de segurança que a norma aponta são referências às normas de segurança já analisadas. 117 8 Discussão Nesta seção discutiremos os resultados encontrados nos três estudos apresentados anteriormente, abordaremos o cenário brasileiro e apresentaremos, para debate, uma proposta de organização de unidades de data linkage para o Brasil. 8.1 Consentimento para linkage No estudo sobre consentimento foi observada uma heterogeneidade significativa entre os artigos. A maioria deles relatou proporções de consentimento altas, mas três apresentaram proporções de consentimento geral iguais ou inferiores a 53% (Klassen et al., 2005; Tu et al., 2004; Young; Dobson; Byles, 2001) A população-alvo deste último grupo de estudos difere marcadamente: pacientes de um registro acidente vascular cerebral (Tu et al., 2004); pacientes diabéticos em uma associação organizada; (Plotnikoff et al., 2008) e os participantes em um estudo longitudinal de saúde da mulher. (Young; Dobson; Byles, 2001) As diferenças de desenho dos estudos analisados, bem como falta de poder de mensuração da heterogeneidade devido ao pequeno número de artigos incluídos na revisão são possíveis razões para a impossibilidade de explicar a alta hetereogeneidade da medida resumo de consentimento e a diferença marcante na proporção de consentimento para linkage observada entre os dois grupos de estudos. No entanto, uma complexa interação entre fatores contextuais e individuais também pode influenciar a heterogeneidade. Kho et al, (Kho et al., 2009) em uma revisão sistemática realizada para avaliar se o consentimento informado apresenta viés de seleção em estudos utilizando registros médicos, encontrou diferenças entre os indivíduos que deram e que não deram consentimento, com relação à idade, sexo, raça, renda, educação e estado de saúde, mas a razão de tais diferenças variou entre os estudos e manteve-se inconclusiva. 118 Quando consideramos os problemas de consentimento informado relacionados com grandes bases de dados, como bases administrativas e genéticas, o que a está em jogo é um potencial conflito de princípios éticos. Existem pelo menos duas perspectivas éticas concorrentes a partir das quais é possível estabelecer uma base moral para a utilização dos dados identificados. De acordo com a perspectiva kantiana, o valor da autonomia de uma pessoa é intrínseco a ela e derivado do reconhecimento de que todas as pessoas têm valor incondicional e capacidade de determinar seu próprio destino. Neste caso, intervir sem o consentimento da pessoa é uma violação da pessoa em si, e não simplesmente uma restrição de sua privacidade ou intimidade. (Kant, 1989) De acordo com a perspectiva utilitarista, a validade ética de uma ação é estabelecida por suas conseqüências. A isenção do consentimento informado poderia ser considerada uma sobreposição à privacidade e intimidade eticamente válida, se o anonimato e a confidencialidade estiverem garantidos e se for provado que esta sobreposição é necessária para viabilizar uma ação que irá maximizar a felicidade ou a utilidade para um grande número de pessoas. (Blackburn, 2008; Mill; Himmelfarb, 1982) Por um lado, uma abordagem absoluta às questões de consentimento pode prejudicar a pesquisa em saúde, necessária e útil, que irá contribuir para o bem comum. Por outro lado, a falta de um nível adequado de proteção pode levar à violação da privacidade dos indivíduos que pode afetar suas vidas (e dos seus descendentes, se considerarmos as questões da triagem genética, por exemplo) de formas imprevisíveis. Esses extremos podem ser evitados com uma abordagem ética sensata. Os benefícios do uso de registros relacionados por linkage para a formulação de políticas de saúde já foram demonstrados por Roos. (Roos; Menec; Currie, 2004) Há variações importantes entre os autores que discutiram este dilema entre os benefícios da pesquisa e os riscos à privacidade. Diversos estudos mostraram que as pessoas valorizam e estão dispostas a participar de pesquisas, mas que desejam ser consultadas e 119 querem dar seu consentimento para tal. (Robling et al., 2004; Upshur; Morin; Goel, 2001; Willison et al., 2003) Outros autores defendem a importância da obtenção do consentimento, ainda que em formas modificadas. Sheehan (Sheehan, 2011) apresenta um argumento convincente para a compatibilidade de consentimento amplo e autonomia individual na escolha: a delegação da decisão de consentir. Sheehan argumenta que quando o indivíduo não tem informação suficiente para decidir, poderá delegar sua decisão a terceiros, desde que haja informação suficiente sobre a reputação deste grupo decisor e sobre a governança do processo decisório. Tal argumentação coaduna com a existência de comitês de ética em pesquisa que utilizem dados secundários e com a transparência sobre o processo decisório, como formas de dispensar o consentimento informado individual. Hansson et al (Hansson et al., 2006) descrevem os requisitos básicos para as salvaguardas necessárias para impedir infrações éticas dos direitos dos indivíduos sujeitos da pesquisa: permitindo a retirada dos dados individuais de bancos de dados (opt-out), fornecendo medidas adequadas para a proteção da privacidade e exigindo supervisão de comitês de ética em pesquisas futuras. Upshur et al. (2001) (Upshur; Morin; Goel, 2001) cunharam a expressão “paradoxo da privacidade” para descrever o comportamento dos cidadãos canadenses que simultaneamente demandavam qualidade nos cuidados em saúde e privacidade das suas informações pessoais de saúde. Adotando uma perspectiva utilitarista, estes autores argumentaram que com a aplicação de métodos e procedimentos adequados, o risco potencial de quebra não autorizada de confidencialidade pode ser mantido baixo, e que assim, a utilidade social da informação em saúde para a pesquisa científica superaria as preocupações individuais com a proteção da privacidade. Um relatório recente do IOM (IOM INSTITUTE OF MEDICINE, 2009a) recomendou um novo cenário, baseando-se em enfatizar a exigência de que todas as organizações que coletam e usam informações pessoais de saúde devem adotar uma ampla gama de procedimentos para proteger a privacidade, incluindo prestação de contas, fortes medidas de segurança e políticas transparentes com relação aos propósitos para os quais informações são 120 usadas, em vez de confiar principalmente no consentimento informado dos indivíduos para acesso aos dados. Conforme ressaltado por Klassen (Klassen et al., 2005) é importante observar que há espaço para processos de sensibilização da sociedade e educação de profissionais para a natureza e a importância das pesquisas que combinem inquéritos e bases de dados administrativas, buscando tratar importantes questões de saúde coletiva. Os resultados desta revisão indicam que, em geral, os indivíduos tendem a aceitar a utilização de seus dados para linkage, com exceções em populações específicas ou minorias. Acredita-se que isto, assim como a literatura citada, pode contribuir para que políticas adequadas, que mantenham controles éticos relevantes, possam dispensar o consentimento informado individual para cada estudo que se baseia em dados secundários. 8.2 Experiências de Unidades de Data Linkage A existência de unidades de data linkage vem ao encontro do preconizado por Young et al. (Young; Dobson; Byles, 2001) em 2001 como uma possibilidade de solução para o uso das bases de dados administrativas de saúde em pesquisas, sem o consentimento explícito dos indivíduos constantes nestas bases. A proposta de investir em unidades organizacionais consideradas terceiras partes confiáveis e no arcabouço ético e informático para a segurança da informação é corroborada pelo GAO. (GAO United States General Accounting Office, 2001). O estudo das UDL revelou que a instalação destas unidades se deu nos países que já tinham boa tradição na aplicação de técnicas de linkage descritos por Roos (Roos; Menec; Currie, 2004) e Holman (Holman et al., 1999), o que demonstra a preocupação com a evolução destas estruturas, que muitas vezes foram originadas em grupos de pesquisas em universidades ou departamentos governamentais, passando a exercerem suas funções para além das próprias fronteiras, isto é, sendo fonte para outros pesquisadores. 121 Em relação à dimensão Estrutura e Operação, foi possível observar que as UDL contam com equipes minimamente estruturadas para algumas funções básicas: atendimento aos pesquisadores, administração interna e relação com gestores-de-dados. Em todas as UDL há comitê-de-ética que analisa solicitações de dados e define diretrizes éticas, em parceria com gestores-dedados. Foi identificado que algumas UDL admitem somente funcionários próprios (não terceirizados), verificando previamente antecedentes para o staff de áreas protegidas. Em todas as UDL é exigida a assinatura de acordos confidencialidade pelos funcionários, em geral, renovados a cada ano. Preconiza-se que somente sejam admitidos candidatos aprovados em treinamentos sobre as medidas de segurança e que haja procedimento formal para remoção de acessos quando um funcionário é desligado. As remessas de dados entre gestores-de-dados e a UDL em geral são feitas por meio de mídias criptografadas e transportadas em-mãos por portadores designados. Em relação a remessas ou acessos a extratos-de-dados por pesquisadores, algumas UDL dispõem de ambiente seguro de acesso remoto para que estes possam gerar análises e relatórios. (PHRN, 2011) Tais ambientes prevêem autenticação do usuário, log de atividades e procedimentos específicos de segurança. Cabe destacar que o PopDataBC (Population Data BC, 2012) realizou um interessante Estudo de Impacto de Privacidade que descreveu a sua conformidade com a legislação de proteção à privacidade, detalhou a estrutura necessária para seu funcionamento e os processos técnicos e administrativos destinados ao gerenciamento da unidade. Este estudo foi aprovado por todas as partes interessadas e financiadoras da UDL antes do funcionamento da unidade. Em relação ao modelo do processo de linkage, o principal aspecto observado refere-se ao armazenamento ou não de variáveis-conteúdo no ambiente da UDL, pois seu armazenamento em conjunto com variáveis- 122 demográficas amplia o risco à privacidade, dado que há manipulação concomitante de informações sensíveis. Na Austrália, (Kelman; Bass; Holman, 2002) as UDL só armazenam variáveis-demográficas. As variáveis-conteúdo permanecem nos gestores de dados. Os custodiantes-de-dados das bases em questão fornecem às UDL suas bases originais, contendo todos os registros, mas apenas os campos relativos a variáveis-demográficas, acrescidos da respectiva chave-original de identificação local de cada registro. Os demais campos do registro, que contêm variáveis-conteúdo, permanecem guardados no gestor-de-dados, o que significa que a UDL nunca têm acesso a esse conteúdo sensível. A UDL recebe as bases identificadas (sem variáveis-conteúdo) e realiza o linkage. Para cada par resultante (que representa o mesmo indivíduo) é atribuída uma chave-de-ligação da própria UDL, as quais consistem em seqüências aleatórias de números e letras. Ao final, é atribuído um identificador de cada par no projeto específico (identificador-do-projeto). A UDL, então, devolve os registros resultantes aos gestores-de-dados, contendo apenas o identificador-do-projeto e a chave-original-local. Os gestores, por meio da chave-original-local, acessam suas bases e geram extrato-de-dados com as variáveis-conteúdo, substituindo suas variáveis-demográficas pelo identificador-do-projeto. O resultado (registros contemplando variáveis-conteúdo, identificador-do-projeto e sem variáveisdemográficas) é entregue diretamente por cada gestor-de-dados ao pesquisador. Então, este pode unir os registros por meio do identificador-doprojeto, determinando quais pares pertencem à mesma pessoa, sem ter acesso às informações pessoais e realizar suas análises estatísticas. Para manter a atualização regular da UDL, os gestores-de-dados provêem à UDL remessas periódicas de novos subconjuntos contendo variáveis-demográficas com suas chaves-originais-locais. Em seguida, usando linkage probabilístico, a UDL verifica os novos dados versus a cadeia de pares amazenada para ver se já existem pares anteriores para os mesmos indivíduos ingressantes. Para cada registro considerado uma nova pessoa no sistema, a 123 UDL cria uma nova chave-de-ligação, que é então adicionada à coleção de registros da UDL. Nas UDL do Canadá, há armazenamento de variáveis-demográficas e variáveis-conteúdo nas mesmas instalações, porém em ambientes computacionais separados. Deste modo, há maior celeridade no processo de atendimento às solicitações de pesquisadores, porém há maior risco à segurança, que pode ser compensado com controles mais rígidos. Todas as UDL estudadas fornecem aos pesquisadores somente dados des-identificados. Nos extratos-de-dados gerados pela UDL constam campos com o identificador-do-projeto e um identificador único, sendo este atribuído a cada registro. As UDL estudadas publicaram documentação sobre o modelo do processo de linkage utilizado na UDL, em linguagem clara e acessível tanto a pesquisadores quanto à sociedade em geral. Em algumas delas, o processo foi descrito com riqueza de detalhes, tais como em algumas UDL da Austrália (SANT DataLink; USA, 2012; UWA, 2012) e do Canadá. (Population Data BC, 2012). O CD-LINK, no Canadá, (Institute for Clinical Evaluative Sciences (ICES), 2011) utiliza ferramentas de software para a avaliação do risco de reidentificação de indivíduos constantes nos extratos-de-dados gerados. É uma iniciativa relevante para mitigar riscos potenciais de acesso direto ou divulgação de dados dos indivíduos constantes nas bases de dados. Na relação com os pesquisadores, foi possível identificar que todas as UDL publicam o catálogo do acervo de bases de dados processadas na unidade, contendo dicionários de dados; períodos disponíveis e organizações gestoras. Alguns publicam avaliações sobre a qualidade das bases de dados disponíveis. Algumas UDL publicam a política de preços dos serviços, mas em geral, os orçamentos são fornecidos após detalhamento do projeto. As UDL podem realizar linkage com bases de dados identificados externas ao seu acervo, desde que aprovado por Comitê de Ética. Sendo bases administrativas de algum órgão público que ainda não forneça 124 regularmente à UDL é necessário firmar um termo entre a UDL e o gestor-dedados, específico para o projeto em questão. Após, o processo de submissão do pedido de dados segue o fluxo normal. Quando a base é fornecida pelos próprios pesquisadores, após o linkage é destruída. Nestes casos, o pesquisador deverá descrever os riscos potenciais de privacidade em realizar o linkage proposto, informando se houve consentimento dos indivíduos ou sua renúncia. O pesquisador terá que apresentar provas de consentimento por escrito dos indivíduos os quais constam na base de dados da pesquisa específica, incluindo o formulário de solicitação de consentimento. Se o consentimento não foi obtido, o pesquisador terá de fornecer uma justificativa de por que o consentimento foi visto como impraticável. Todas as UDL informam o procedimento a ser seguido pelo pesquisador para solicitar dados. Alguns têm formulário eletrônico. Toda solicitação de dados submetida à UDL requer aprovação pelos custodiantes das bases de dados em questão e pelo comitê-de-ética da UDL. Algumas UDL oferecem capacitação aos pesquisadores sobre seu funcionamento e ética/privacidade, exigindo o cumprimento de carga horária obrigatória para atendimento à solicitação. Há também exigências que o pesquisador comprove as condições técnicas para realizar a pesquisa antes de atender à solicitação de dados (experiência do pesquisador responsável, infraestrutura disponível para o projeto, forma de financiamento do projeto). São comuns exigências de plano de segurança da informação do pesquisador, contendo minimamente onde os dados serão guardados e analisados e declaração de destruição dos dados após a pesquisa. Em todos os casos há contrato entre a UDL e o pesquisador, prevendo as obrigações da UDL e do pesquisador, entre elas, que os dados fornecidos só podem ser utilizados para o projeto específico que tenha sido aprovado. Não devem ser combinados com outros conjuntos de dados ou utilizados para outros projetos. Apenas o pessoal aprovado listado na solicitação de dados pode ter acesso aos dados fornecidos. Submeter à aprovação da UDL eventuais mudanças em protocolo da pesquisa; equipe de pesquisadores; 125 condições que afetem a segurança da informação (mudanças de local, instalações computacionais); plano de encerramento da pesquisa. O pesquisador deverá submeter-se, se solicitado, à auditoria dos representantes da UDL, das instituições custodiantes ou de alguma organização a qual tenha sido delegada a avaliação de conformidade pelos gestores-de-dados (exemplo: organização externa certificadora). Resultados de pesquisas apresentados em relatórios são obrigatoriamente publicados de forma resumida apenas, de modo que a identificação individual não seja possível. Qualquer célula da tabela não pode conter menos de cinco indivíduos. Ao final do estudo, o pesquisador deverá fornecer à UDL cópia dos relatórios, artigos, demais publicações ou manuscritos a serem submetidos para publicação para que sejam analisados e comentados antes da distribuição para publicação. Algumas UDL têm por padrão o acesso aos extratos-de-dados pelos pesquisadores somente pelo ambiente seguro de acesso remoto, sendo a gravação de mídia considerada excepcionalidade, sujeita à aprovação dos custodiantes-de-dados das bases em questão. Para extratos-de-dados disponibilizados em mídia, os dados devem ser criptografados sempre e entregues / recolhidos pessoalmente nos escritórios da UDL. A UDL nunca poderá enviar extratos-de-dados via e-mail. Ao tomar conhecimento ou suspeitar do não cumprimento do acordo de confidencialidade, a UDL poderá tomar medidas previstas em contrato, tais como: notificar imediatamente todos os órgãos públicos competentes; notificar imediatamente todos os custodiantes-de-dados envolvidos; suspender e/ou revogar a aprovação de acesso aos dados; revogar imediatamente acesso a ambientes remotos de acesso aos dados; negar qualquer acesso posterior às bases de dados da UDL ou de qualquer órgão público que atue em conjunto com ela; enviar relatórios de não-conformidade para a instituição de filiação do pesquisador, o comitê-de-ética que deu a aprovação do projeto, todas as agências que forneceram o financiamento para o projeto, qualquer organização que publicar os resultados do estudo. 126 Em relação aos gestores-de-dados, em geral, há acordos firmados entre as partes para garantir fluxo regular de dados ou para o fornecimento em um projeto específico. É interesse das UDL captar o maior conjunto possível de bases de dados populacionais junto a potenciais gestores. Há contatos, sensibilização em palestras, encontros e seminários, com o objetivo de ampliar os acervos disponíveis nas UDL. São promovidos cursos sobre o funcionamento da UDL, modelo do processo de linkage, segurança da informação, ética/privacidade para os gestores-de-dados. Em relação à sociedade, as UDL estudadas publicaram princípios básicos de seu funcionamento em seus sites, no intuito de propiciar transparência sobre seus processos de trabalho. Entre as publicações, devem constar: missão, regimento interno, conjunto de bases de dados processadas na unidade, modelo do processo de linkage, inventário de projetos realizados e em andamento, resultados, política de privacidade, princípios da unidade, formas de financiamento; benefícios obtidos e potenciais. Uma UDL informou que não fornece dados para auditorias e que projetos financiados com recursos privados só são aceitos se não houver conflito de interesse ou envolvimento inapropriado e se houver compromisso do pesquisador em publicar os resultados da pesquisa em veículos de acesso público. Há várias iniciativas de comunicação, com linguagem clara e acessível, utilizando diversos meios, tais como: página de perguntas frequentes, videos explicativos sobre o processo de linkage, folders explicativos sobre o propósito da UDL, sobre o modelo de governança e a política de segurança e privacidade. Há também programas de cursos/palestras sobre o funcionamento da unidade, ética/privacidade e engajamento do consumidor. Na rede australiana há um comitê gestor, com a participação de representantes de financiadores, gestores de dados, profissionais da unidade e usuários/consumidores de serviços de saúde. Este estudo incluiu somente UDL estabelecidas conforme o critério de elegibilidade proposto. De fato, existem no mundo diversos grupos de pesquisa que realizam linkage com bases de dados primárias e administrativas. 127 Atualmente, o controle da segurança da informação nestes locais é praticamente inviável se não houver uma referência comum sobre a forma de operação e os aspectos essenciais. A partir desta referência, poder-se-ia conscientizar os atores envolvidos no processo e estabelecer mecanismos de governança e controle social que propiciem maior segurança. O relatório do IOM (IOM INSTITUTE OF MEDICINE, 2009a) sugere que pesquisadores utilizem dados secundários, desde que tenham conformidade com requisitos de segurança, que prestem contas dos resultados e sejam passíveis de auditoria. De fato, a existência de UDL formalmente constituídas não exclui a existência de grupos de pesquisa que realizem linkage. Mas o que se precisa garantir é a segurança das informações, ao mesmo tempo em que há o desenvolvimento local de capacidades e conhecimentos científicos. 8.3 Normas técnicas de segurança da informação e saúde Todas as UDL analisadas no estudo anterior mencionam seguir procedimentos padronizados referentes à segurança da informação (especialmente no que concerne à confidencialidade) em suas políticas e procedimentos internos. Entretanto, somente algumas fazem referência explícita a normas técnicas internacionais (Population Data BC, 2012; SA-NT DataLink; USA, 2012; UWA, 2012) em seus documentos publicados. O estudo revelou que a quantidade de UDL que obtiveram ou buscam certificação de conformidade com normas técnicas foi pequena, o que parece indicar o alto esforço para usa implementação. O POPDATABC já é certificado na norma ISO/IEC-27002:2005, a qual estabelece práticas e controles de um sistema de gestão de segurança da informação, e o SANT-DL está em processo de certificação. O DLB-WA não menciona certificações nas normas ISO, mas cita as normas ISO/IEC-27001:2005 e ISO/IEC-27002:2005 em seus documentos internos. As normas citadas pelas UDL foram as referentes aos sistemas de gestão de segurança: ISO/IEC-27001:2005 e ISO/IEC-27002:2005. Ambas buscam estabelecer um sistema de gestão da segurança da informação que permita a realização de auditorias de conformidade e posteriormente a certificação de conformidade. Muitos controles especificados nas normas 128 técnicas, em especial os da ISO/IEC-27002:2005, foram mencionados nos procedimentos e políticas de segurança das UDL estudadas. Em relação à ISO-27799:2008, a maioria de seus controles é aplicável a UDL. Mas talvez por ser relativamente nova, nenhuma UDL referiu ser certificada nesta norma ainda. Apenas o SANT-DL fez referência a ela. A existência de política de segurança ou código de prática é mandatória para que uma UDL obtenha certificação de conformidade com normas técnicas internacionais de sistemas de gestão da segurança da informação. (ISO International Organization for Standardization, 2005, 2005, 2008) A aderência aos regulamentos vigentes é prevista para ser revisada periodicamente. O comprometimento da direção da UDL com a segurança é evidenciado publicamente por meio de declarações formais e postura. Em muitas UDL O contato do responsável oficial pela segurança da informação na unidade é disponibilizado no site. As normas técnicas preconizam um sistema de gestão de segurança da informação que contempla um vasto elenco de medidas de segurança física para as instalações, classificação das informações quanto ao nível de proteção necessário e indicadores de desempenho de um sistema de gestão de segurança da informação. Os indicadores deste sistema devem ser monitorados e avaliados criticamente por auditorias internas periódicas, resultando nos ajustes necessários. Este sistema busca prever pronta detecção de eventos de segurança e resposta aos incidentes, tais como canais de comunicação, processo formal de apuração e processos disciplinares para funcionários infratores. Funcionários, gestores e terceiros são instruídos a notificar qualquer fragilidade de segurança. Anualmente realiza-se a avaliação de riscos, atualizando o mapa e o plano de gerenciamento de riscos. A norma ISO/IEC 27002:2005 (ISO - International Organization for Standardization, 2005) preconiza que ambientes físicos e computacionais devem ser segregados com níveis de proteção diferenciados, complementados por controle de acesso via identificação pessoal. Deve haver salas-cofre para servidores de rede. Áreas onde há acesso a informações pessoais devem estar física e logicamente separadas de ambientes administrativos. Usuários devem acessar somente serviços autorizados, utilizando métodos apropriados de 129 autenticação (senhas, certificados digitais, identificações automáticas de equipamentos). A organização que implantar os controles desta norma precisa dispor de mecanismos de detecção de acessos não autorizados e trilhas de auditoria (logs) contendo atividades dos usuários, exceções e outros eventos de segurança. Diversas normas técnicas (ISO - International Organization for Standardization, 2005, 2005, 2008) preconizam procedimentos de descarte seguro de mídias fixas e removíveis, assegurando que dados sensíveis tenham sido removidos. Backups precisam ser mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso. As demais normas estudadas são relevantes para aspectos específicos das UDL. A ISO/TS-22600-1:2006 permite estabelecer os acordos de políticas para trocas de dados seguras entre distintos domínios (co-operação entre domínios), propiciando interoperabilidade entre os gestores de dados e UDL, ou mesmo entre UDL regionais. A ISO/TS-25237:2008 interessa às UDL que trabalham com variáveisdemográficas e desejem aplicar pseudonimização em seus dados. Entre as UDL houve menção a pseudonimização, (Rochester Epidemiology Project, 2009) mas não foi possível identificar se em conformidade com esta norma. A ISO/TS-29585:2010 se aplica a UDL que implementam armazéns de dados clínicos. Há muito pouca referência a processos de linkage. Os aspectos de segurança que a norma aponta são referências às normas de segurança já analisadas. Embora existam aspectos nas normas técnicas relacionados a todas as dimensões estudadas nas UDL, a aplicabilidade principal de seus controles se dá na dimensão de Estrutura e Operação, definida no estudo anterior. Isto porque a principal recomendação destas normas é o estabelecimento de um Sistema de Gestão de Segurança da Informação nas organizações. Em senso amplo, seria excelente que todas as instituições buscassem o cumprimento integral dos controles recomendados nas normas técnicas de segurança. Entretanto, a escassez de recursos (humanos, financeiros e 130 técnicos) suscita a priorização da implementação destes controles. Os critérios para esta priorização podem ser dados pela análise de viabilidade (custo/tempo, impacto, benefícios), propiciando um roteiro ordenado para a adoção destas medidas. A pequena quantidade de normas técnicas sobre segurança da informação em saúde publicadas no Brasil indica o quanto o assunto ainda é pouco difundido e necessita ser aprofundado neste país. 8.4 Cenário no Brasil e proposta para debate No Brasil há um vasto acervo de bases de dados administrativas com potencial de uso para pesquisas, em sua maioria, armazenando dados pessoais. No âmbito do SUS, há sistemas de informação que cobrem todo o ciclo de vida de um indivíduo, do nascimento à morte. (Lima et al., 2009) A ligação entre estes registros é feita majoritariamente por meio de linkage probabilístico, devido à ausência de um campo identificador forte comum a todas as bases de dados. Portanto, para fazer este linkage, faz-se necessário o acesso a informações pessoais, que são fornecidas originalmente sem o consentimento dos indivíduos para seu uso em pesquisas. O crescimento do uso de técnicas de linkage com bases de dados secundários para pesquisas em saúde no Brasil é evidenciado pelo aumento no número de publicações científicas. (Bittencourt; Camacho; Leal, 2006; Lima et al., 2009; Paiva et al., 2011; Pinheiro; Camargo Júnior; Coeli, 2006; Silva et al., 2006) Em 2010, muitas destas experiências foram apresentadas em um Seminário Internacional de Linkage de Bases de Dados realizado, no Rio de Janeiro. (UFRJ, 2010) O cenário atual de pesquisas com linkage de dados de saúde no Brasil é descentralizado em diversas universidades e secretarias de saúde. Existem diversos centros com experiência nas técnicas de linkage e na qualidade das informações contidas em cada base de dados dos sistemas do SUS. Este cenário tem como vantagem a criação de competência técnica distribuída entre os diversos grupos de pesquisa, mas tem como risco a dificuldade de garantir a segurança do processo. 131 O Ministério da Saúde (MS) é o grande repositório nacional das bases de dados de saúde. Porém, somente realiza processos de linkage para o atendimento a projetos de pesquisa específicos de suas próprias secretarias e não em escala suficiente para abastecer a comunidade científica de extratosde-dados para suas próprias pesquisas. Ao longo do tempo em que a autora desta pesquisa trabalhou na área de disseminação de informações do Ministério da Saúde (2006-2010), foi possível observar que há um significativo número de solicitações de cessões de bases de dados identificados por pesquisadores externos ao Ministério que realizam seu próprio linkage. Quando as solicitações são atendidas, os pesquisadores recebem variáveis-demográficas junto com variáveis-conteúdo e, muitas vezes, ligam estes dados com bases primárias locais por eles coletadas. Pelo levantamento desta pesquisa, esta situação ainda permanece. Dá-se o dilema: negar a solicitação de cessão de bases, em prol da proteção da privacidade dos indivíduos, ou ceder bases identificadas para que o pesquisador realize o linkage. Na maioria das vezes, as bases são cedidas, mediante termo de compromisso do pesquisador com o sigilo dos dados, mas sem uma avaliação prévia das condições de segurança em que estes dados serão manipulados. É importante reconhecer iniciativas pioneiras, tais como a portaria 66/2004 da Secretaria de Vigilância em Saúde, (Brasil - Ministério da Saúde, 2004) que disciplinou a cessão de dados identificados sob sua gestão, e avanços importantes com a publicação da Política de Segurança da Informação do Ministério da Saúde (Brasil - Ministério da Saúde, 2010) e da recente portaria ministerial 884/2011 que disciplina a cessão dos dados contidos nas bases dos sistemas de informação sob gestão da Secretaria de Atenção à Saúde (Brasil - Ministério da Saúde, 2011). Entretanto, ainda não é possível identificar a existência de iniciativas governamentais de fomento ao uso de mecanismos de segurança padronizados para ambientes de pesquisa com linkage, ou mesmo, da existência de um arcabouço técnico-legal que regulamente as condições mínimas de segurança em que devem operar o linkage. 132 Sendo assim, o cenário atual ainda se mostra potencialmente inseguro, pois não são exigidos ou auditados os controles essenciais de segurança para os ambientes dos solicitantes quanto às salvaguardas necessárias. A proliferação de cessões sem estas garantias pode aumentar a probabilidade de que vazamentos de informações sensíveis venham a ocorrer. Recentemente foi publicada a nova lei 12527/2011 de acesso a informações, (Brasil, 2011) que fomenta o amplo acesso pelos cidadãos aos dados custodiados pelas organizações públicas, sendo este acesso franqueado para todas as informações que não tiverem classificação de sigilosas. A lei explicita o conceito de informações pessoais e considerando-as sigilosas, dado que seu conteúdo é relativo à vida privada, honra e à imagem e estabelece. Em seu Art. 31, diz que o consentimento para acesso a estas informações não será exigido quando as informações forem necessárias à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo proibida a identificação da pessoa a que as informações se referirem. A lei reconhece a possibilidade de uso destas bases para pesquisa, mas ainda deixa pendente a regulamentação dos procedimentos para tratamento de informação pessoal e o arcabouço de segurança necessário. Além das questões relacionadas à segurança da informação, outras ações poderiam ser adotadas para propiciar maior integração dos centros de linkage no Brasil, aumentar a eficiência dos processos e potencializar o uso de seus resultados. Existem os re-trabalhos de eliminação de duplicidades de dados e re-execução de linkage propriamente dito entre os distintos grupos de pesquisa e isto acontece porque não ocorre a devolução dos pares obtidos nas pesquisas ao Ministério da Saúde para que este propicie o re-aproveitamento destes pares por outros grupos de pesquisa. Assim, muitas vezes um linkage feito por um grupo é feito novamente por outro. Há uma replicação de bases de dados sensíveis em mais de um local, acrescida da ampliação do risco de vazamento. Como melhorar este cenário? A partir do conhecimento das experiências internacionais e da análise do nosso próprio contexto, propõe-se o desenho de 133 um modelo para o Brasil que alie o conhecimento técnico descentralizado dos atuais centros de linkage à capacidade de regulação, assistência-técnica e auditoria do Ministério da Saúde, alicerçado em bases ético-legais sobre uso de informações pessoais para pesquisas em saúde. Para dar sustentação legal a esta proposta, é preciso investir na formulação dos marcos legais para acesso a bases de dados de saúde em geral e, adicionalmente, para realização de linkage entre elas. Considerando que os sistemas de informação do SUS são mantidos com recursos públicos, todo dado contido em bases de dados destes sistemas poderia ser considerado consentido para a utilização em pesquisas, condicionado ao respeito às resoluções da CONEP e à aprovação do projeto por comitê-de-ética em pesquisas. Neste sentido, o consentimento prévio amplo para uso dos dados de saúde em pesquisas poderia ser adotado legalmente. Quem não se sentisse confortável em fornecer seus dados para pesquisas poderia sempre pedir a revogação do consentimento (opt-out). Nestes casos, os dados deste indivíduo poderiam ser anonimizados nas bases de dados em questão. Adicionalmente, seriam necessárias campanhas de conscientização da população para manterem o consentimento, mostrando os benefícios coletivos oriundos destas pesquisas e os prejuízos que o opt-out poderia trazer pela introdução de potenciais vieses. (IOM INSTITUTE OF MEDICINE, 2009a) Os marcos legais deveriam abordar os mecanismos de requisição e gestão de consentimento dos indivíduos para estas bases, considerando a necessidade de existirem instâncias que ser responsabilizem por este consentimento, quando não for possível obtê-lo diretamente junto ao indivíduo. Por exemplo, a dispensa do consentimento pode ser aprovada por comitê-deética desde que as condições propostas pela CIOMS (CIOMS Council for International Organizations of Medical Sciences, 2009) sejam respeitadas. Tais marcos poderiam servir de complemento à lei 12.527, como forma de acesso seguro às informações de saúde para pesquisas. 134 No caso de pesquisas e de inquéritos de abrangência nacional no Brasil, a abordagem junto aos indivíduos já poderia incluir sempre a possibilidade de uso posterior dos dados para outras pesquisas, com linkage com bases de dados administrativas, devendo essa autorização constar explicitamente no termo de consentimento livre e esclarecido. (GAO United States General Accounting Office, 2001) Uma vez estabelecidos os marcos ético-legais acima descritos, poderse-ia investir na formalização dos controles de segurança essenciais para o funcionamento de UDL. Ao mesmo tempo, seria necessário buscar garantir tempo e recursos financeiros para sua implementação. O próprio Ministério poderia criar linhas de financiamento para estrutura e operação de UDL, exigindo em troca a certificação de conformidade dos atuais centros de pesquisa. Criaria assim uma rede de UDL certificadas, baseadas num padrão essencial de segurança proposto pelo Ministério. As UDL certificadas poderiam ter apoio financeiro em sua sustentação operacional, receberiam e operariam as bases confidenciais de forma segura. Em contrapartida, prestariam um serviço rotineiro ao nó central da rede (Ministério da Saúde), fornecendo os produtos de linkage gerados para compor um índice centralizado destas bases. O Ministério, então, poderia disseminar estes pares de forma anonimizada, potencializando o uso dos dados por mais e mais pesquisadores. A criação desta rede tornaria o processo descentralizado de linkage mais seguro e confiável, garantindo assim a cessão de bases de dados confidenciais do SUS somente às UDL em conformidade com o padrão de segurança estabelecido. A certificação de conformidade seria periodicamente submetida a auditorias, propiciando maior tranqüilidade para os gestores de saúde (federal, estaduais e municipais), bem como para os cidadãos, de que a privacidade das informações está protegida. Para criar uma rede de UDL no Brasil, é preciso formular uma política pública para o uso de dados secundários de saúde e estimar os custos da implementação desta rede. A partir de então, poderiam ser alocados orçamento 135 específico, papéis e responsabilidades para um plano de implantação, infraestrutura necessária (organizações, tecnologia e recursos humanos) e participação social para garantir o cumprimento desta política. Um forte elemento de fomento da confiança dos indivíduos para que seus dados sejam usados para linkage, é a descrição do método do processo de linkage de forma suficientemente clara e didática para que o cidadão comum compreenda que a privacidade de seus dados de saúde está protegida. Além do processo de trabalho transparente, as UDL também precisam deixar disponíveis à sociedade suas políticas e prestações de contas. As experiências de UDL da Austrália e do Canadá de existência de comitês-de-ética com participação social e mídias de sensibilização e esclarecimentos à população são umas boas fontes de inspiração. Com relação aos aspectos de segurança, as instituições responsáveis pelas bases de dados de saúde devem aplicar controles de segurança em seus sistemas de informação que considerem os consentimentos estabelecidos. Devem existir processos permanentes de monitoramento e avaliação da conformidade dos processos em relação às normas de segurança de acesso e uso das informações custodiadas. Nessa tese foram sintetizadas várias práticas adotadas pelas UDL estudadas e contidas em normas de segurança da ISO. Esperamos que tais práticas possam orientar um roteiro de definição dos padrões essenciais para processos de linkage no Brasil. 136 9 Considerações Finais Nesta tese buscou-se abordar o uso de dados dos sistemas de informação em saúde para fins de pesquisa, pela aplicação de técnicas de linkage, e as questões éticas e de segurança da informação, associadas a este uso. Os benefícios do acesso às bases de dados destes sistemas são claros, conforme demonstrado pela literatura estudada. Entretanto, o acesso seguro a estes dados precisa ser regulado de forma ética e transparente, para que a população sinta confiança no sistema, assim como de forma ágil, para que não haja obstrução do trabalho dos pesquisadores. Compreende-se que o estabelecimento de um modelo de rede de UDL e de uma política de linkage para o Brasil é um processo longo e gradual. Enquanto não estiver maduro o suficiente, não devem ser interrompidos os fluxos atualmente estabelecidos, sob pena de prejudicar a pesquisa em saúde brasileira. Entretanto, é preciso dar passos adiante nesta caminhada para aumentar a segurança da informação no que concerne à confidencialidade. Esperamos que, assim como a literatura já existente, os resultados e discussões apresentados neste estudo sejam uma contribuição para este debate e para a pavimentação deste caminho. 137 Referências ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006 Sistemas de Gestão de Segurança da Informação – requisitos. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=1492>. Acesso em: 25 abr. 2011. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Associação Brasileira de Normas Técnicas. Disponível em: <http://www.abnt.org.br/default.asp>. Acesso em: 14 jan. 2012. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS; International Organization for Standardization; Iinternational Electrotechnical Commission. ABNT ISO/IEC GUIA 2:2006: normalização e atividades relacionadas Vocabulário geral. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=7416>. Acesso em: 16 fev. 2012. BEAUCHAMP, T. L.; CHILDRESS, J. F. Principles of biomedical ethics. 4. ed. [S.l.] Oxford University Press, USA, 1994. BITTENCOURT, S. A.; CAMACHO, L. A. B.; LEAL, M. DO C. Sistema de Informação Hospitalar e sua aplicação na saúde coletiva. Cadernos de Saúde Pública, v. 22, n. 1, p. 19-30, jan. 2006. BLACKBURN, S. The Oxford Dictionary of Philosophy. 2. ed. [S.l.] OUP Oxford, 2008. BRASIL. Lei 12527-2011 Regula o acesso a informações. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm>. Acesso em: 9 fev. 2012. BRASIL - MINISTÉRIO DA SAÚDE. Portaria No 66/2004 - Estabelece os procedimentos e responsabilidades relativas à divulgação técnicocientífica de dados e informações da Secretaria de Vigilância em Saúde SVS/MS. Disponível em: <http://bvsms.saude.gov.br/bvs/saudelegis/svs/2004/prt0066_10_12_2004.html >. Acesso em: 16 fev. 2012. BRASIL - MINISTÉRIO DA SAÚDE. Portaria 3.207/2010 Institui a Política de Segurança da Informação e Comunicações do Ministério da Saúde. Disponível em: <http://bvsms.saude.gov.br/bvs/saudelegis/gm/2010/prt3207_20_10_2010.html >. Acesso em: 25 abr. 2011. BRASIL - MINISTÉRIO DA SAÚDE. Portaria No 884, de 13 de Dezembro de 2011-. Disponível em: <http://bvsms.saude.gov.br/bvs/saudelegis/sas/2011/prt0884_13_12_2011.html >. Acesso em: 9 fev. 2012. BRYANT, H. et al. Population-based cohort development in Alberta, Canada: A feasibility study. Chronic Diseases in Canada, v. 27, n. 2, p. 51-59, 2006. 138 BUCKOVICH, S. A.; RIPPEN, H. E.; ROZEN, M. J. Driving toward guiding principles: a goal for privacy, confidentiality, and security of health information. Journal of the American Medical Informatics Association: JAMIA, v. 6, n. 2, p. 122-133, abr. 1999. CAMARGO JR., K. R. DE; COELI, C. M. Reclink: aplicativo para o relacionamento de bases de dados, implementando o método probabilistic record linkage. Cadernos de Saúde Pública, v. 16, n. 2, p. 439-447, jun. 2000. CANADIAN CANCER REGISTRY MANUALS. Record linkage overview Canadian Cancer Registry Manuals. Disponível em: <http://www.statcan.gc.ca/access_acces/alternative_alternatif.action?l=eng&loc =http://www.statcan.gc.ca/pub/82-225-x/82-225-x2005005eng.pdf&t=Record%20Linkage%20Overview%20(Canadian%20Cancer%20Re gistry%20Manuals)>. Acesso em: 3 fev. 2012. CANADIAN RESEARCH DATA CENTRE NETWORK - About the CRDCN. Disponível em: <http://www.rdc-cdr.ca/about-crdcn>. Acesso em: 3 fev. 2012. CHEREL. CHeReL - Home. Disponível em: <http://www.cherel.org.au/>. Acesso em: 20 jan. 2012. CENTER OF HISTORY AND NEW MEDIA, GEORGE MASON UNIVERSITY. Zotero. [S.l.] www.zotero.org, 2011. COUNCIL FOR INTERNATIONAL ORGANIZATIONS OF MEDICAL SCIENCES. International Ethical Guidelines for Epidemiological Studies. 1st. ed. [S.l.] World Health Organization (WHO), 2009. COMMISSION, A. L. R. C. For your information: Australian privacy law and practice (Report 108), Section 66— Research: Databases and Data Linkage. Disponível em: <http://www.alrc.gov.au/publications/66.%20Research%3A%20Databases%20a nd%20Data%20Linkage/using-and-linking-information-databases>. Acesso em: 15 dez. 2011. CURTIN UNIVERSITY. Centre for Data Linkage - Faculty of Health Sciences, Curtin University CDL. Disponível em: <http://healthsciences.curtin.edu.au/research/cdl.cfm>. Acesso em: 20 jan. 2012. DALHOUSIE UNIVERSITY. Population Health Research Unit PHRU. Disponível em: <http://www.phru.dal.ca/index.cfm>. Acesso em: 29 jan. 2012. DALHOUSIE UNIVERSITY. Population Health Research Unit - Dalhousie University - Procedures for Obtaining Access to PHRU Data. Disponível em: <http://www.phru.dal.ca/services/guidelines.cfm>. Acesso em: 29 jan. 2012. DATASUS. DATASUS. Disponível em: <http://www2.datasus.gov.br/DATASUS/index.php>. Acesso em: 24 abr. 2011. FELLEGI, I. P.; SUNTER, A. B. A theory for record linkage. Journal of the American Statistical Association, v. 64, n. 328, p. 1183-1210, 1 dez. 1969. FELLEGI, I. Record linkage techniques-1997: proceedings of an international workshop and exposition, March 20-21, 1997, Arlington, Va. [S.l.] National Academies, 1997. 139 FREIRE, SM. Regulação & Saúde: vol 3: documentos técnicos de apoio ao Fórum de Saúde Suplementar de 2003 Tomo 2. [S.l: s.n.]. v. 3 GARFIELD, C.; ROSMAN, D.; BASS, J. Inside the Western Australian data linkage system. In: PUBLIC HEALTH INFORMATION DEVELOPMENT UNIT PUBLICATIONS - SYMPOSIUM ON HEALTH DATA LINKAGE: ITS VALUE FOR AUSTRALIAN HEALTH POLICY DEVELOPMENT AND POLICY RELEVANT RESEARCH. Potts Point, Sydney, New South Wales: 2002Disponível em: <http://www.publichealth.gov.au/publications/symposiumon-health-data-linkage:-its-value-for-australian-health-policy-development-andpolicy-relevant-research:-proceedings.html>. Acesso em: 14 jan. 2012 GOLDIM, J. R. Código de Nuremberg - 1947. Disponível <http://www.ufrgs.br/bioetica/nuremcod.htm>. Acesso em: 6 jun. 2011. em: GOSTIN, L. Health care information and the protection of personal privacy: ethical and legal considerations. Annals of Internal Medicine, v. 127, n. 8 Pt 2, p. 683-690, 15 out. 1997. GOTTBERG, H. et al. Revisao sobre Normas e Padrões de Segurança da Informação para o Registro Eletrônico em Saúde, 2011. Disponível em: <http://www.sbis.org.br/cbis11/arquivos/910.pdf>. Acesso em: 15 nov. 2011 GOVERNMENT OF CANADA. Sources of Federal Government and Employee Information 2010 3 / 4. Disponível em: <http://www.infosource.gc.ca/emp/emp03-eng.asp#descPIB>. Acesso em: 3 fev. 2012. HANSSON, M. G. et al. Should donors be allowed to give broad consent to future biobank research? The Lancet Oncology, v. 7, n. 3, p. 266-269, mar. 2006. HARRIS, T. et al. Linking survey data with computerised records to predict consulting by older people. The British Journal of General Practice, v. 54, n. 509, p. 928–931, 1 dez. 2004. HARRIS, T. Linking questionnaires to primary care records: factors affecting consent in older people. Journal of Epidemiology & Community Health, v. 59, n. 4, p. 336-338, abr. 2005. HEALTH in Canada: How to access data. Disponível em: <http://www4.statcan.gc.ca/health-sante/acces-eng.htm>. Acesso em: 3 fev. 2012. HEALTH LINQ. Health LinQ | Health LinQ. Disponível <http://www.healthlinq.org.au/health-linq>. Acesso em: 20 jan. 2012. em: HERZOG, T. N.; SCHEUREN, F. J.; WINKLER, W. E. Data quality and record linkage techniques. 1. ed. [S.l.] Springer, 2007. HIGGINS JPT; GREEN S. Cochrane Handbook for Systematic Reviews of Interventions. Version 5.0.2 [updated September 2009] ed. [S.l.] The Cochrane Collaboration, 2009. HOLMAN, C. D. J. et al. Population‐based linkage of health records in Western Australia: development of a health services research linked database. Australian and New Zealand Journal of Public Health, v. 23, n. 5, p. 453459, 1 out. 1999. 140 HOLMAN, C. D. J. The impracticable nature of consent for research use of linked administrative health records. Australian and New Zealand Journal of Public Health, v. 25, n. 5, p. 421-422, 1 out. 2001. HUANG, N. et al. Record linkage research and informed consent: who consents? BMC Health Services Research, v. 7, n. 1, p. 18, 2007. INFORMATION SERVICES DIVISION - NHS. ISD Services | Medical Record Linkage | ISD Scotland. Disponível em: <http://www.isdscotland.org/Productsand-Services/Medical-Record-Linkage/>. Acesso em: 3 fev. 2012. INFORMATION SERVICES DIVISION. CHI_Briefing_Paper.doc. Disponível em: <http://www.isdscotland.org/Products-and-Services/Medical-RecordLinkage/Files-for-upload/CHI_Briefing_Paper.doc>. Acesso em: 4 fev. 2012. INFORMATION SERVICES DIVISION - NHS. ISD Services | Data protection and confidentiality | ISD Scotland. Disponível em: <http://www.isdscotland.org/Products-and-Services/Data-Protection-andConfidentiality/>. Acesso em: 4 fev. 2012. INTERNATIONAL HEALTH DATA LINKAGE NETWORK. Disponível em: <http://www.ihdln.org/>. Acesso em: 14 jan. 2012. INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA. Inmetro: acreditação. Disponível em: <http://www.inmetro.gov.br/credenciamento/>. Acesso em: 8 fev. 2012. INSTITUTE FOR CLINICAL EVALUATIVE SCIENCES (ICES). CD-LINK Ontario Cancer Data Linkage Project. Disponível em: <http://www.ices.on.ca/webpage.cfm?site_id=1&org_id=26&morg_id=0&gsec_i d=0&item_id=6159>. Acesso em: 29 jan. 2012. INSTITUTE OF MEDICINE. Beyond the HIPAA privacy rule: enhancing privacy, improving health through research. Disponível em: <http://books.nap.edu/openbook.php?record_id=12458>. Acesso em: 11 jan. 2012. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management. Text. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu mber=39612>. Acesso em: 12 jun. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. Text. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu mber=50297>. Acesso em: 7 jun. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements. Text. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu mber=42103>. Acesso em: 7 jun. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/TS 226001:2006 Health informatics -- Privilege management and access control -- 141 Part 1: overview and policy management. Text. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu mber=36337>. Acesso em: 7 jun. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Joining in - Participating in International Standardization 2007. Disponível em: <http://www.iso.org/iso/joining_in_2007.pdf>. Acesso em: 16 fev. 2012. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/TS 25237:2008 Health informatics -- Pseudonymization. Text. Disponível em: <http://www.iso.org/iso/catalogue_detail?csnumber=42807>. Acesso em: 7 fev. 2012. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002. Text. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu mber=41298>. Acesso em: 7 jun. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/TS 29585:2010 Health informatics -- Deployment of a clinical data warehouse. Text. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnu mber=45582>. Acesso em: 7 jun. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC Directives, Part 1 - Procedures for the technical work. Disponível em: <http://isotc.iso.org/livelink/livelink/fetch/2000/2122/3146825/4229629/4230450/ 4230455/ISO_IEC_Directives%2C_Part_1_%28Procedures_for_the_technical_ work%29_%282011%2C_8th_ed.%29_%28PDF_format%29.pdf?nodeid=1056 3026&vernum=-2>. Acesso em: 16 fev. 2012. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO International Standardization Organization. Disponível em: <http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?c ommid=54960>. Acesso em: 14 jan. 2012. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Catalogue. Disponível em: <http://www.iso.org/iso/search.htm>. Acesso em: 14 jan. 2012. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Website. Disponível em: <www.iso.org>. Acesso em: 25 abr. 2011. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO Catalogue - JTC 1/SC 27 - IT Security techniques. 2012. JARO, M. A. Probabilistic linkage of large public health data files. Statistics in Medicine, v. 14, n. 5-7, p. 491-498, mar. 1995. KANT, I. Foundations of the metaphysics of morals. 2. ed. [S.l.] Prentice Hall, 1989. KELMAN, C. W.; BASS, A. J.; HOLMAN, C. D. J. Research use of linked health data - A best practice protocol. Australian and New Zealand Journal of Public Health, v. 26, n. 3, p. 251-255, 2002. 142 KENDRICK, S. The Development of Record Linkage in Scotland: The Responsive Application of Probability Matching. In: Record Linkage Techniques -- 1997. [S.l: s.n.]. . KHO, M. E. et al. Written informed consent and selection bias in observational studies using medical records: systematic review. British Medical Journal v. 338, n. mar12_2, p. b866, 12 mar. 2009. KLASSEN, A. F. et al. Linking survey data with administrative health information: characteristics associated with consent from a neonatal intensive care unit follow-up study. Canadian Journal of Public Health. Revue Canadienne De Santé Publique, v. 96, n. 2, p. 151-154, abr. 2005. LIBERATI, A. et al. The PRISMA Statement for Reporting Systematic Reviews and Meta-Analyses of Studies That Evaluate Health Care Interventions: Explanation and Elaboration. PLoS Med, v. 6, n. 7, p. e1000100, 21 jul. 2009. LIMA, C. R. DE A. et al. Revisão das dimensões de qualidade dos dados e métodos aplicados na avaliação dos sistemas de informação em saúde. Cadernos de Saúde Pública, v. 25, n. 10, p. 2095-2109, out. 2009. MACHADO, C. J. A literature review of record linkage procedures focusing on infant health outcomes. Cadernos de Saúde Pública, v. 20, n. 2, p. 362-371, abr. 2004. MANITOBA CENTRE FOR HEALTH POLICY. Privacy Code Manitoba Centre for Health Policy. Disponível em: <http://umanitoba.ca/faculties/medicine/units/mchp/media_room/media/MCHP_ privacy_code.pdf>. Acesso em: 7 maio. 2012. MARCHESSAULT, G.; PHEC, R. The Story of the Manitoba Centre for Health Policy. Winnipeg: Manitoba Centre for Health Policy. Retrieved december, v. 20, p. 2010, 2010. MARTINS, A. C. M.; MACHADO, J. P.; SILVEIRA, D. P. Review about the usage of probabilistic linkage in the Brazilian health area. IET Seminar Digests, v. 2008, n. 12213, p. 9, jan. 2008. MELTON, L. J., 3rd. History of the Rochester Epidemiology Project. Mayo Clinic Proceedings. Mayo Clinic, v. 71, n. 3, p. 266-274, mar. 1996. MENZIES RESEARCH INSTITUTE TASMANIA AND UTAS. Tasmanian Data Linkage Unit TDLU. Disponível em: <http://www.menzies.utas.edu.au/article.php?Doo=ContentView&id=1055>. Acesso em: 20 jan. 2012. MILL, J. S.; HIMMELFARB, G. On liberty. Reprint ed. London, UK: Penguin Classics, 1982. NATIONAL RESEARCH COUNCIL. Record Linkage Techniques -- 1997: Proceedings of an International Workshop and Exposition. Disponível em: <http://books.nap.edu/openbook.php?record_id=6491&page=16>. Acesso em: 4 fev. 2012. NEWCOMBE, H. B. et al. Automatic Linkage of Vital Records. Science, v. 130, n. 3381, p. 954 -959, 16 out. 1959. 143 NEWCOMBE, H. B. Handbook of record linkage: methods for health and statistical studies, administration, and business. [S.l.] Oxford University Press, USA, 1988. PAIVA, N. S. et al. Sistema de informações sobre nascidos vivos: um estudo de revisão. Ciência &Saúde Coletiva, v. 16, p. 1211-1220, jan. 2011. PILOTTO, L. S. et al. Sequential continuity of care by general practitioners: which patients change doctor? The Medical Journal of Australia, v. 164, n. 8, p. 463-466, 15 abr. 1996. PINHEIRO, R. S.; CAMARGO JÚNIOR, K. R. DE; COELI, C. M. Relacionamento de bases de dados em saúde; Database linkage on health. Cadernos Saúde Coletiva, Rio de Janeiro, v. 14, n. 2, p. 195-196, jun. 2006. PLOTNIKOFF, R. C. et al. Health-related behaviours in adults with diabetes: Associations with health care utilization and costs. Canadian Journal of Public Health, v. 99, n. 3, p. 227-231, 2008. POPULATION DATA BC. Pop Data BC - Population Data British Columbia. Disponível em: <http://www.popdata.bc.ca/>. Acesso em: 22 jan. 2012. POPULATION DATA BC. Pop Data BC | Privacy - privacy impact assessment. Disponível em: <http://www.popdata.bc.ca/privacy/pia>. Acesso em: 28 jan. 2012. POPULATION HEALTH RESEARCH NETWORK. PHRN - home. Disponível em: <http://www.phrn.org.au/>. Acesso em: 14 jan. 2012. POPULATION HEALTH RESEARCH NETWORK. PHRN access and pricing policy. Disponível em: <http://www.phrn.org.au/media/36295/phrn%20access%20and%20pricing%20p olicy%20v2.1_21.12.2011.pdf>. Acesso em: 14 jan. 2012. POPULATION HEALTH RESEARCH NETWORK. PHRN - for data users. Disponível em: <http://www.phrn.org.au/for-data-users/sure>. Acesso em: 14 jan. 2012. ROBLING, M. et al. Public attitudes towards the use of primary care patient record data in medical research without consent: a qualitative study. Journal of Medical Ethics, v. 30, n. 1, p. 104-109, fev. 2004. ROCHESTER EPIDEMIOLOGY PROJECT. Rochester Epidemiology Project | Overview. Disponível em: <http://www.rochesterproject.org/>. Acesso em: 4 fev. 2012. ROOS, L. L.; MENEC, V.; CURRIE, R. J. Policy analysis in an information-rich environment. Social Science & Medicine (1982), v. 58, n. 11, p. 2231-2241, jun. 2004. SAFRAN, C. et al. Toward a National Framework for the Secondary Use of Health Data: An American Medical Informatics Association White Paper. Journal of the American Medical Informatics Association, v. 14, n. 1, p. 1-9, 1 jan. 2007. SA-NT DATALINK; USA. SA-NT DataLink: supporting health, social and economic research, education and policy in South Australia and the Northern 144 Territory. Disponível em: <https://www.santdatalink.org.au/>. Acesso em: 20 jan. 2012. SAX INSTITUTE. SURE Secure Unified Research Environment. Disponível em: <https://www.sure.org.au/>. Acesso em: 14 jan. 2012. SEMINÁRIO INTERNACIONAL DE LINKAGE DE BASES DE DADOS, I., 2010, Rio de Janeiro. [Anais]. Rio de Janeiro: UFRJ, 2010. Disponível em: <http://www.iesc.ufrj.br/epi_bio/seminariolinkage/programa.html>. Acesso em: 13 jun. 2011. SHAH, S. et al. Do income questions and seeking consent to link medical records reduce survey response rates? A randomised controlled trial among older people. The British Journal of General Practice, v. 51, n. 464, p. 223– 225, mar. 2001. SHEEHAN, M. Can Broad Consent be Informed Consent? Public Health Ethics, v. 4, n. 3, p. 226 -235, 1 nov. 2011. SILVA, J. P. . et al. Revisão sistemática sobre encadeamento ou linkage de bases de dados secundários para uso em pesquisa em saúde no Brasil. Cadernos Saúde Coletiva, Rio de Janeiro, v. 14, n. 2, p. 197–224, 2006. SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE. Manual de certificação para sistemas de registro eletrônico em saúde (S-RES) versão 3.3. Disponível em: <http://www.sbis.org.br/>. Acesso em: 25 abr. 2011. SOLOFF, C. et al. Enhancing longitudinal studies by linkage to national databases: Growing up in Australia, the longitudinal study of Australian children. International Journal of Social Research Methodology, v. 10, n. 5, p. 349363, 2007. STATACORP. STATA 9.0: data analysis and statistical software. [S.l.] STATACORP, 2011. STATISTICS CANADA. Policy on record linkage. Disponível <http://www.statcan.gc.ca/record-enregistrement/policy4-1-politique4-1eng.htm>. Acesso em: 3 fev. 2012. em: STATISTICS CANADA. Health in Canada: record linkage program. Disponível em: <http://www4.statcan.gc.ca/health-sante/link-coup-eng.htm>. Acesso em: 3 fev. 2012. STATISTICS CANADA. Statistics Canada: directive on record linkage, 28 nov. 2011. TATE, A. R. et al. Mother’s consent to linkage of survey data with her child’s birth records in a multi-ethnic national cohort study. International Journal of Epidemiology, v. 35, n. 2, p. 294-298, abr. 2006. TU, J. V. et al. Impracticability of Informed Consent in the Registry of the Canadian Stroke Network. New England Journal of Medicine, v. 350, n. 14, p. 1414-1421, 1 abr. 2004. UNITED KINGDOM; INFORMATION COMISSIONER´S OFFICE. Register of data controllers. Disponível em: <http://www.ico.gov.uk/what_we_cover/register_of_data_controllers.aspx>. Acesso em: 4 fev. 2012. 145 UNIVERSITY OF MANITOBA. Faculty of Medicine - Community Health Sciences - Manitoba Centre for Health Policy. Population Health Research Data Repository. Disponível em: <http://umanitoba.ca/faculties/medicine/units/community_health_sciences/depar tmental_units/mchp/resources/repository/index.html>. Acesso em: 28 jan. 2012. UNITED STATES. GENERAL ACCOUNTING OFFICE, N. Record linkage and privacy: issues in creating new federal research and statistical information. Washington, D.C.: United States General Accounting Office, 2001. Disponível em: <http://www.gao.gov/assets/210/201699.pdf>. Acesso em: 12 jan. 2012. UPSHUR, R. E. G.; MORIN, B.; GOEL, V. The privacy paradox: laying Orwell’s ghost to rest. CMAJ, v. 165, n. 3, p. 307-309, 7 ago. 2001. VERSCHUUREN, M. et al. The European data protection legislation and its consequences for public health monitoring: a plea for action. European Journal of Public Health, v. 18, n. 6, p. 550-551, dez. 2008. VICTORIAN DATA LINKAGES, VDL. Victorian data linkages VDL Department of Health, Victoria, Australia. guidelines. Disponível em: <http://www.health.vic.gov.au/vdl/>. Acesso em: 20 jan. 2012. WESTERN AUSTRALIAN DATA LINKAGE INFORMATION.Data Linkage Branch. Disponível em: <http://www.datalinkage-wa.org/>. Acesso em: 20 jan. 2012. WILLISON, D. J. et al. Patients’ consent preferences for research uses of information in electronic medical records: interview and survey data.British Medical Journal, v. 326, n. 7385, p. 373-373, 15 fev. 2003. YOUNG, A. F.; DOBSON, A. J.; BYLES, J. E. Health services research using linked records: who consents and what is the gain? Australian and New Zealand Journal of Public Health, v. 25, n. 5, p. 417-420, out. 2001. 146 Apêndice – Artigo Downloaded from jme.bmj.com on March 9, 2012 - Published by group.bmj.com JME Online First, published on March 8, 2012 as 10.1136/medethics-2011-100208 Brief report Informed consent for record linkage: a systematic review Márcia Elizabeth Marinho da Silva,1 Cláudia Medina Coeli,2 Miriam Ventura,2 Marisa Palacios,2 Mônica Maria Ferreira Magnanini,2 Thais Medina Coeli Rochel Camargo,2 Kenneth Rochel Camargo Jr3 < Additional materials are published online only. To view these files please visit the journal online (http://dx.doi.org/ 10.1136/ medethics-2011-100208/ content/early/recent). 1 General Management of Information Systems, Agency for Health Plans and Insurance (ANS), Rio de Janeiro, Rio de Janeiro, Brazil 2 IESC, UFRJ, Rio de Janeiro, Rio de Janeiro, Brazil 3 IMS, UERJ, Rio de Janeiro, Rio de Janeiro, Brazil Correspondence to Márcia Elizabeth Marinho da Silva, General Management of Information Systems, Agency for Health Plans and Insurance (ANS), Av. Augusto Severo, 84, 108. Andar, Glória, Rio de Janeiro, Rio de Janeiro 22021040, Brazil; [email protected] Received 5 September 2011 Revised 7 February 2012 Accepted 13 February 2012 ABSTRACT Background Record linkage is a useful tool for health research. Potential benefits aside, its use raises discussions on privacy issues, such as whether a written informed consent for access to health records and linkage should be obtained. The authors aim to systematically review studies that assess consent proportions to record linkage. Methods 8 databases were searched up to June 2011 to find articles which presented consent proportions to record linkage. The screening, eligibility and inclusion of articles were conducted by two independent reviewers. The authors carried out meta-regression, subgroup and sensitivity analyses to assess heterogeneity. Results Of the 141 studies identified, only 11 presented empirical consent proportions and were included in the systematic review. The consent proportion varied widely from 39% to 97%. Seven studies presented consent proportions of 88% or higher, one of 72%, and only three presented consented proportion equal to or lower than 53%. None of the studies’ characteristics evaluated explained heterogeneity. Conclusion The results of this review show that, in general, individuals tend to consent to the use of their data for record linkage, with exceptions in specific populations or minorities. The authors believe that this, as well as the cited literature, lends support to policies that, while keeping relevant ethical controls in place, do not require individual informed consent for each and every study that relies on secondary data. INTRODUCTION Record linkage techniques aim to link records believed to refer to the same individual.1 It is a powerful tool for conducting epidemiological studies in a practical and inexpensive way. Its use, however, demands access to personal identifiers, raising privacy concerns such as whether formal consent for access to health records for linkage should be obtained.2 Secondary data research uses health data that are stored without the individual’s explicit consent or even awareness. At the moment the data are recorded, it is difficult to predict the type of questions they will be used to answer, especially with linked data. Large numbers of participants would have to be contacted and the contact would only be necessary for obtaining informed consent. Based on these considerations, it has been proposed that alternatives to the traditional opt in consent model, used in primary data based research, should be adopted in the context of secondary data based research.3e6 The discussion about the ethical access to secondary data is part of a wider reconsideration of the limits of the traditional informed consent model.7 Another such context in which several authors are exploring alternative consent models, for example, is biobanking.8 The 4th guideline of the Council for International Organizations of Medical Sciences6 states that the waiver of individual informed consent is to be regarded as exceptional and must in all cases be approved by an ethical review committee, unless otherwise permitted under national legislation that conforms to the ethical principles in those guidelines. Since 1995, governments of developed countries have passed legislation which requires consent for the use of health information in order to protect the privacy of identifiable health information.9 Although the privacy laws allow for a waiver of consent, in some special situations, researchers became concerned that conservative interpretations of the legislation by ethical review committees would make mandatory the request for individual consent.9 Ness,10 in a survey carried out 4 years after the implementation of the Health Insurance Portability and Accountability Act Privacy Rule, showed that American epidemiologists perceived that this legislation impacted health research negatively, increasing project costs and time. The Brazilian context with a large number of secondary data sources, an important and growing number of studies relying on linkage techniques and a national system for supervising ethics in research established since 1996 demands a broad discussion of this subject. With varying degrees, however, the same could be said even for countries with already established rules; as the technology evolves, new challenges are inevitable. Thus, it is important to know the consent proportions for accessing private health information and record linkage when a traditional opt in consent model is used. We found a systematic review of consent and secondary data in general,11 but this issue has not been addressed specifically in the context of record linkage. Therefore, this study aims to systematically review articles that assess consent proportions to record linkage. METHODS The systematic review was conducted in accordance with the guidelines.12 Computer-assisted search of eight electronic databases up to June 2011 was performed using the strategy described in online box 1. Marinho da Silva ME, Coeli CM,author Ventura M, et al. J Medemployer) Ethics (2012). doi:10.1136/medethics-2011-100208 Copyright Article (or their 2012. Produced by BMJ 1 of 4 Publishing Group Ltd under licence. Downloaded from jme.bmj.com on March 9, 2012 - Published by group.bmj.com Brief report The screening, eligibility and inclusion of articles were conducted by two independent reviewers. Disagreements between reviewers were resolved by a third independent reviewer. We excluded editorials, letters and reviews. The eligibility criteria were: full original articles published in Portuguese, Spanish, English and French whose aim was to assess consent proportions to record linkage or which reported consent proportions to record linkage. The studies were classified according to publication year; country of the study; type and number of databases intended to be linked; study population features; approach used to obtain consent and who consented (subject himself/herself vs parent or care giver). Analyses were conducted using Stata V.9.0 (http://www. stata.com). We intended to perform a meta-analysis; however, we detected a significant heterogeneity in the data (s¼0.91). We used a mixed-effects meta-regression model to specifically assess the underlying reasons for between study heterogeneity. The following covariates were tested in the meta-regression model: country, age group, population origin, approach to obtaining consent and who consented. Subgroup analysis was performed according to the five variables mentioned above. Finally, in order to identify influential studies, we performed a leave-one-studyout sensitivity analysis. Table 1 Online figure 1 depicts the flowchart of this review. After removing duplicated publications, the number of abstracts to be screened was 140. One article identified scanning the reference lists of the selected articles was later included. After reviewing the abstracts, 81 studies were discarded due to language (n¼ 4), type of publication (n¼6) and study aim not compatible (n¼71). Of the 60 remaining articles, we discarded 49 because the study aim did not meet the eligibility criteria (n¼ 42), the full text was not accessible (n¼1), the studies reported consent proportions already considered in earlier studies (n¼5) and one study reported having replaced the individual consent with a confidentiality protocol approved by an ethics committee on research. Table 1 shows the general characteristics of the 11 studies included. One article15 was published in 1996 and 10 articles were published after 2000. The studies were carried out in Canada, UK, Australia and Taiwan. The majority of the studies dealt with both adults and seniors and only one study dealt exclusively with women.22 In six articles, the study population came from health services, whereas in the five remaining the participants were enrolled in population surveys. The majority of the studies requested consent from the participant himself/ herself and used a face-to-face approach. With the exception of one article,18 the studies had moderate to large study sizes. Summary of included studies evaluating the consent for record linkage (n¼11) Year Author Setting Linked databases 2006 Bryant13 Canada Primary data; populationbased registry; administrative database 2007 Soloff14 Australia 1996 Pilotto15 Australia Primary data; immunisations database; administrative database Primary data; administrative databases 2004 Harris16 UK Primary data; administrative databases 2006 Tate17 UK Primary data; birth records 2001 Shah18 UK Primary data; medical records 2007 Huang19 Taiwan Primary data; administrative database; medical records 2005 Klassen20 Canada Primary data; administrative databases; medical records 2008 Plotnikoff21 Canada Primary data; administrative database 2001 Young22 Australia 2004 Tu4 Canada Primary data; administrative databases Population-based registry; medical records; administrative databases 2 of 4 RESULTS Population origin and characteristics Consent approach Who consented People asked to consent Consent rate Subjects; participating in a survey; males 41%, females 59%; aged 35e69 years (82% adult, 18% older) Subjects participating in a survey; males/females; aged up to 5 years old Patients of health services; male/female; aged between 23 and 72 years Patients of health services; male 37%, female 63%; aged more than 65 Subjects participating in a survey; males/females; born between September 2000 and January 2002 Patients of health services; male/female; aged 65e74 years Subjects participating in a survey; males 49%/females 51%; aged 20 or more (youth 24%, adults 60%, older 16%) Patients of health services (two hospitals and three neonatal intensive care units); male/female; children born between 1996 and 1997 Subjects with diabetes; participating in a survey; males/females; aged 18 or more Women (100%); participating in survey; all ages Patients of health services; male 54%, female 46%; with acute stroke, transient ischaemic attacks or both; included in a stroke registry; aged in medium: 69 years old (phase I) and 72 years old (phase II) Letter Own subject 11.863 97% Face-to-face 10.000 97% Face-to-face Other person responsible for the subject Own subject 555 94% Letter Own subject 1.704 92% Face-to-face Other person responsible for the subject 18.505 92% Letters and telephone Own subject 129 88% Face-to-face Own subject 14.611 88% Letter Other person responsible for the subject 1.533 72% Unidentified Own subject 2.311 53% Letter Own subject 39.883 49% Face-to-face Other person responsible for the subject 4.285 phase I 2.823 phase II 39% 51% Marinho da Silva ME, Coeli CM, Ventura M, et al. J Med Ethics (2012). doi:10.1136/medethics-2011-100208 Downloaded from jme.bmj.com on March 9, 2012 - Published by group.bmj.com Brief report Table 2 Study characteristics associated with consent proportion for record linkage Variable Country Australia Canada Taiwan UK Age group Children Adults/elderly Elderly Population origin Population survey Health service Approach Face-to-face Letter Who consented Own subject Parents Care giver OR (95% CI) 1 0.29 (0.02 to 3.37) 0.94 (0.02 to 44.69) 1.27 (0.08 to 19.69) 1 0.53 (0.05 to 5.93) 0.27 (0.02 to 3.44) 1 0.31 (0.05 to 1.83) 1 1.06 (0.14 to 8.04) 1 1.60 (0.23 to 11.13) 0.13 (0.01 to 1.26) s2¼0.83, s¼0.91. The consent proportion varied widely from 39% to 97%. Seven studies presented consent proportions of 88% or higher, one of 72%, and only three presented consented proportion equal to or lower than 53% (table 1). In subgroup analysis as well as in meta-regression, the studies’ characteristics did not explain heterogeneity (table 2). Sensitivity analysis did not show significant variation in the results. DISCUSSION We observed an expressive heterogeneity among the studies. The majority of them reported high consent proportions but three presented overall consent proportions equal or lower than 53%.4 21 22 The target population of the latter studies differed markedly: patients of a stroke registry;4 diabetic patients in an organised association;21 and participants in a longitudinal study of women’s health.22 As a limitation of our article, differences in studies design as well as lack of power due to the small number of articles included in the review are possible reasons for our inability to explain the marked difference in proportion of consent for record linkage observed between the two groups of studies. However, a complex interplay between contextual and individual factors might also play a role. Kho et al,11 in a systematic review carried out to evaluate whether informed consent introduces selection bias in studies using medical records, found differences between individuals who gave and did not give consent with regard to age, sex, race, income, education and health status, but the direction of such differences varied among the studies and remained inconclusive. When we consider the problems of informed consent related to large databases, such as administrative and genetic, what is at stake is a potential conflict of ethical principles: on the one hand, an absolute approach to issues of consent may hinder necessary and useful research that will contribute to the common good; on the other, lack of adequate protection may lead to breaches of subjects’ privacy that can affect their lives (and those of their descendants, if we consider issues of genetic screening, for instance) in ways that are unforeseeable. These extremes can be avoided with a sensible ethical approach. There are important variations among authors who discussed this dilemma. A recent report from the Institute of Medicine23 recommended a new framework based on emphasising the requirement that all organisations that collect and use personal health information adopt a variety of procedures aiming to protect privacy including accountability, strong security measures and transparency policies with regard to the purposes for which information is used, instead of relying mainly on informed consent. Other authors defend the importance of obtaining consent, even if in modified forms. Sheehan24 makes a compelling case for the compatibility of broad consent and individual autonomy in choosing. Hansson et al25 describe the basic requirements for the necessary safeguards to prevent ethical infringements of research subjects’ rights: allowing for withdrawal of individual data from databases; providing adequate measures for privacy protection; and requiring IRB oversight of future research. CONCLUSION The results of this review show that in general individuals tend to consent to the use of their data for record linkage, with exceptions in specific populations or minorities. We believe that this, as well the cited literature, lends support to policies that, while keeping relevant ethical controls in place, do not require individual informed consent for each and every study that relies on secondary data. Contributors MEMS and CMC: organised the study concept and design. MEMS, CMC, MMFM and TMCRC: acquired, analysed, interpreted the data and performed the statistical analysis. MEMS, CMC, MV, MP, MMFM and KRC: performed background literature research, had full access to all the data in the study, take responsibility of the accuracy of the data analysis and drafted the manuscript. Funding The study was supported by Fundação de Amparo à Pesquisa do Estado do Rio de Janeiro (FAPERJ- E-26/100.691/2007; E-26/110.465/2007) and Conselho Nacional de Desenvolvimento Cientı́fico e Tecnológico (CNPqd(473911/2009-4). Cláudia Medina Coeli and Kenneth Rochel de Camargo were partially supported by research fellowship grants from CNPq. Competing interests None. Provenance and peer review Not commissioned; externally peer reviewed. REFERENCES 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Herzog TN, Scheuren F, Winkler WE. Data Quality and Record Linkage Techniques. New York, NY: Springer, 2007. http://www.springerlink.com/content/978-0-38769502-0/#section¼268249&page¼1&locus¼0 (accessed 12 Jun 2011). GAO United States General Accounting Office. Record Linkage and Privacy: Issues in Creating New Federal Research and Statistical Information. Washington, DC: United States General Accounting Office, 2001. http://www.gao.gov/assets/210/ 201699.pdf (accessed 12 Jan 2012). Upshur REG, Morin B, Goel V. The privacy paradox: laying Orwell’s ghost to rest. CMAJ 2001;165:307e9. Tu JV, Willison DJ, Silver FL, et al. Impracticability of informed consent in the Registry of the Canadian stroke Network. N Engl J Med 2004;350:1414e21. Holman CDJ. The impracticable nature of consent for research use of linked administrative health records. Aust N Z J Public Health 2001;25:421e2. Council for International Organizations of Medical Sciences (CIOMS). International Ethical Guidelines for Epidemiological Studies. 1st edn. Geneva, Switzerland: World Health Organization (WHO), 2009. Manson NC, O’Neill O. Rethinking Informed Consent in Bioethics. 1st edn. Cambridge, UK: Cambridge University Press, 2007. Steinsbekk KS, Solberg B. BiobanksdWhen is Re-consent necessary? Public Health Ethics. Published Online First: 3 November 2011. doi:10.1093/phe/phr031 Gershon AS, Tu JV. The effect of privacy legislation on observational research. CMAJ 2008;178:871e3. Ness RB. Influence of the HIPAA Privacy Rule on health research. JAMA 2007;298:2164e70. Kho ME, Duffett M, Willison DJ, et al. Written informed consent and selection bias in observational studies using medical records: systematic review. BMJ 2009;338: b866. Liberati A, Altman DG, Tetzlaff J, et al. The PRISMA statement for reporting systematic reviews and meta-analyses of studies that evaluate health care interventions: explanation and elaboration. PLoS Med 2009;6:e1000100. Bryant H, Robson PJ, Ullman R, et al. Population-based cohort development in Alberta, Canada: a feasibility study. Chronic Dis Can 2006;27:51e9. Marinho da Silva ME, Coeli CM, Ventura M, et al. J Med Ethics (2012). doi:10.1136/medethics-2011-100208 3 of 4 Downloaded from jme.bmj.com on March 9, 2012 - Published by group.bmj.com Brief report 14. 15. 16. 17. 18. 19. Soloff C, Sanson A, Wake M, et al. Enhancing longitudinal studies by linkage to national databases: growing up in Australia, The Longitudinal Study of Australian Children. Int J Soc Res Methodol 2007;10:349e63. Pilotto LS, McCallum J, Raymond C, et al. Sequential continuity of care by general practitioners: which patients change doctor? Med J Aust 1996;164:463e6. Harris T, Cook DG, Victor CR, et al. Linking survey data with computerised records to predict consulting by older people. Br J Gen Pract 2004;54:928e31. Tate AR, Calderwood L, Dezateux C, et al. Mother’s consent to linkage of survey data with her child’s birth records in a multi-ethnic national cohort study. Int J Epidemiol 2006;35:294e8. Shah S, Harris TJ, Rink E, et al. Do income questions and seeking consent to link medical records reduce survey response rates? A randomised controlled trial among older people. Br J Gen Pract 2001;51:223e5. Huang N, Shih S-F, Chang H-Y, et al. Record linkage research and informed consent: who consents? BMC Health Serv Res 2007;7:18. 20. 21. 22. 23. 24. 25. Klassen AF, Lee SK, Barer M, et al. Linking survey data with administrative health information: characteristics associated with consent from a neonatal intensive care unit follow-up study. Can J Public Health 2005;96:151e4. Plotnikoff RC, Karunamuni ND, Johnson JA, et al. Health-related behaviours in adults with diabetes: associations with health care utilization and costs. Can J Public Health 2008;99:227e31. Young AF, Dobson AJ, Byles JE. Health services research using linked records: who consents and what is the gain? Aust N Z J Public Health 2001;25:417e20. Institute of Medicine (IOM). Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research. http://books.nap.edu/openbook.php? record_id¼12458 (accessed 11 Jan 2012). Sheehan M. Can broad consent be informed consent? Public Health Ethics 2011;4:226e35. Hansson MG, Dillner J, Bartram CR, et al. Should donors be allowed to give broad consent to future biobank research? Lancet Oncol 2006;7:266e9. PAGE fraction trail=3.25 4 of 4 Marinho da Silva ME, Coeli CM, Ventura M, et al. J Med Ethics (2012). doi:10.1136/medethics-2011-100208 Downloaded from jme.bmj.com on March 9, 2012 - Published by group.bmj.com Informed consent for record linkage: a systematic review Márcia Elizabeth Marinho da Silva, Cláudia Medina Coeli, Miriam Ventura, et al. J Med Ethics published online March 8, 2012 doi: 10.1136/medethics-2011-100208 Updated information and services can be found at: http://jme.bmj.com/content/early/2012/03/07/medethics-2011-100208.full.html These include: Data Supplement "Supplementary Data" http://jme.bmj.com/content/suppl/2012/03/07/medethics-2011-100208.DC1.html References This article cites 19 articles, 6 of which can be accessed free at: http://jme.bmj.com/content/early/2012/03/07/medethics-2011-100208.full.html#ref-list-1 P<P Email alerting service Published online March 8, 2012 in advance of the print journal. Receive free email alerts when new articles cite this article. Sign up in the box at the top right corner of the online article. Notes Advance online articles have been peer reviewed, accepted for publication, edited and typeset, but have not not yet appeared in the paper journal. Advance online articles are citable and establish publication priority; they are indexed by PubMed from initial publication. Citations to Advance online articles must include the digital object identifier (DOIs) and date of initial publication. To request permissions go to: http://group.bmj.com/group/rights-licensing/permissions To order reprints go to: http://journals.bmj.com/cgi/reprintform To subscribe to BMJ go to: http://group.bmj.com/subscribe/