Autorização e controle de acesso para o prontuário eletrônico do paciente em ambientes abertos e distribuídos: uma proposta de modelo e arquitetura
Resumo
A perspectiva do aumento do uso de Sistemas de Informações Hospitalares em aplicações distribuídas de telemedicina a curto e médio prazos, com o Prontuário Eletrônico do Paciente (PEP) disponível a um grande número de instituições e pessoas, suscita preocupações acerca do acesso às informações clínicas. O problema é que o controle de acesso ao PEP, em nenhuma circunstância, deve prejudicar o atendimento ao paciente por negar acesso legítimo às informações e aos serviços requisitados pelo pessoal médico. Outra questão refere-se a como administrar uma política de autorização e impor o controle de acesso ao PEP, visto que este é composto por segmentos que estão distribuídos em bases de dados distintas, acessadas por aplicações diversas, em plataformas heterogêneas. Este trabalho apresenta um modelo de autorização adequado para as exigências de controle de acesso ao prontuário eletrônico, capaz de assegurar a privacidade do paciente e a segurança de acesso aos seus dados, mas flexível o suficiente para conceder o acesso em situações excepcionais. Propõem ainda a implementação deste modelo de autorização e controle de acesso numa arquitetura baseada em padrões abertos e distribuída, capaz de ser acessada pelos diversos segmentos em que o PEP se distribui, mas com uma administração unificada para política de autorização e controle de acesso.
Referências
Beznosov, K. "Requirements for Access Control: US Health-care Domain", Proceedings of the 3rd ACM Workshop on Role-based Access, Fairfax, VA, USA, (1998), 43.
Beznosov, K.; Deng, Y.; Blakley, B.; Burt, C. e Barkley, J. "A Resource Access Decision Service for CORBA-based Distributed Systems", Proceedings. of the 15th Annual Computer Security Applications Conference (ACSAC '99)., (1999), 310-319.
Motta, G. H. M. B.; Furuie, S. S.; Nardon, F. B. e Gutierrez, M. A. "Considerações Sobre o Controle de Acesso ao Prontuário Eletrônico do Paciente", Anais do CBIS'2000 - VII Congresso Brasileiro de Informática em Saúde, São Paulo, SP, outubro de 2000.
National Academy of Sciences. For the Record: Protecting Electronic Health Information, National Academy Press, Washington, DC, USA, 1997.
Object Management Group. CORBA Security Service Specification. In: http://www.omg.org/cgibin/doc?formal/98-12-17.
Object Management Group. Resource Access Decision Facility. In: http://www.omg.org/cgi-bin/doc?dtc/00-08-06.
Sandhu, R. S. e Samarati, P. "Access Control: Principles and Practice", IEEE Communications Magazine, (Setembro 1994), 40-48.
Wiederhold, G.; Bilello, M.; Sarathy, V. e Qian, X "A Security Mediator for Health Care Information", Proceedings of the 1996 AMIM Conference, Washington, DC, USA, (1996), 120-124.
Yeong, W.; Howes, T. e Kille, S. Lightweight Directory Access Protocol. Internet Engineering Task Force - IETF, (Março 1995), In: http://www.ietf.org/rfc/rfc1777.txt?number=1777.
