Os meios tecnológicos permitem o acesso, cada vez maior, à informação na área da saúde, em tempo útil, quer a cidadãos, quer a profissionais de saúde. Com o aumento da informação disponibilizada, há, consequentemente, um aumento à exposição de riscos, tornando-se crucial implementar, transversalmente a todos os serviços, organismos e entidades na área da saúde, a boa prática de registo centralizado de incidentes de segurança, contribuindo para a vigilância do sistema nacional e, em última instância, para a minimização do risco de perda de dados dos seus sistemas centrais, através da análise e tratamento dos registos realizados.

Neste contexto, e no âmbito da cibersegurança da informação, foi publicado o Despacho nº1348/2017, em Diário da República nº28/2017, Série II de 2017-02-08, reforçando as competências da SPMS, EPE na coordenação e monitorização da implementação e operacionalização das boas práticas, garantindo uma melhoria contínua da resposta a ciber-riscos, no setor da saúde.

Assim, dando cumprimento ao disposto na Resolução do Conselho de Ministros n.º 62/2016, de 17 de outubro, que aprovou a Estratégia Nacional para o Ecossistema de Informação de Saúde 2020 (ENESIS 2020), e dando continuidade à estratégia de serviços partilhados, a SPMS assegura o estabelecimento de um protocolo de cooperação e articulação com o Centro Nacional de Cibersegurança (CNCSeg), para assegurar a notificação obrigatória, centralizada nesta última entidade, de incidentes de cibersegurança do Serviço Nacional de Saúde e do Ministério da Saúde, bem como para garantir a adoção de procedimentos comuns e a utilização de taxonomias definidas para o efeito pelo CNCSeg.

As entidades do SNS e os órgãos, serviços e organismos do Ministério da Saúde encontram -se obrigados a proceder à notificação de incidentes de segurança à SPMS, devendo designar o Responsável pela Notificação Obrigatória (RNO) de incidentes de cibersegurança.

Consulte na íntegra o Despacho nº1348/2017, publicado em Diário da República nº28/2017,SérieII de2017-02-08

No âmbito do Dia da Internet Mais Segura, assinalado hoje, 07 de fevereiro, a SPMS, EPE apresenta o ponto de situação sobre o trabalho que está a ser desenvolvido relativamente a políticas de segurança e privacidade no processo de transformação digital, no setor da Saúde, com impacto direto nos sites e portais que integram o Ministério da Saúde.

Com o avanço do processo de transformação digital na sociedade, as entidades, incluindo as do setor da Saúde, aproveitam novas oportunidades para melhorar a satisfação das partes envolvidas, em particular o cidadão e, também, otimizar recursos disponíveis para obtenção de ganhos de eficiência.

No entanto, esta transformação digital tem alguns riscos subjacentes. Neste contexto, a SPMS lançou, em 2016, um “Programa de Melhoria do Risco e Segurança da Informação”, tendo como âmbito as dimensões de governança, gestão e operação da segurança na área da Saúde.

Desde então, foram desenhadas 13 iniciativas que têm vindo a ser lançadas, algumas das quais focadas no tema da cibersegurança, por exemplo, ao nível do reforço dos mecanismos e controlo de gestão de riscos relacionados com as tecnologias de informação, desenho e implementação de controlos de cibersegurança nas áreas de maior criticidade, entre outras ações.

Este programa pretende reforçar os instrumentos de governança e gestão dos riscos e controlos relacionados com a segurança da informação. Enquadra-se num modelo mais alargado de melhoria da governança e gestão do SNS, tendo como objetivo a coordenação e partilha de boas práticas relacionadas com os sistemas de informação do Ministério da Saúde, sendo a segurança da informação, a cibersegurança e a privacidade dos dados partes integrantes deste programa.

Atualmente, encontra-se em implementação o projeto de lançamento do “Serviço de Avaliações de Segurança no eSIS”, com a missão de realizar revisões de conformidade e técnicas a todas as entidades do Ministério da Saúde.

Para 2017 prevê-se a continuação da implementação das iniciativas em curso e o lançamento de outras, nomeadamente a criação do Microsite Cibersegurança SNS, o desenvolvimento de um inquérito de avaliação de maturidade e estudo da segurança da informação e de um inquérito de avaliação e estudo sobre a maturidade da gestão da informação e privacidade, ambos no setor da Saúde em Portugal.

Pretende-se, também, concluir a elaboração do guia de boas práticas para resposta ao regulamento europeu de privacidade dos dados (GDPR) e realizar um ciclo de workshops e conferências, sob o tema “Segurança e Privacidade na Saúde em Portugal”.