1 Revisão sobre Normas e Padrões de Segurança da Informação para o Registro Eletrônico em Saúde Heitor Gottberg 1 , Thiago Martini da Costa 2 , Beatriz de Faria Leão 3 , Ivan Torres Pisa 4 1 Programa de Pós-graduação em Saúde Coletiva, Universidade Federal de São Paulo (UNIFESP) 2 Programa de Pós-graduação em Informática em Saúde, UNIFESP 3 Zilics Sistemas de Informação em Saúde, Brasil 4 Departamento de Informática em Saúde, UNIFESP Resumo. A migração para um ambiente totalmente sem-papel no processo assistencial torna-se hoje pos- sível graças aos avanços da tecnologia da informação (TI) aplicada à saúde. Instituições internacionais, como a International Organization for Standardization (ISO) e Health Level 7 (HL7), e nacionais, como Con- selho Federal de Medicina (CFM), Sociedade Brasileira de Informática em Saúde (SBIS) e Agência Nacional de Saúde Suplementar (ANS) desenvolveram normas e padrões que visam garantir que esta migração não traga prejuízos ao paciente nem à instituição. A certificação de processos das organizações em saúde e dos sistemas de Registro Eletrônico em Saúde (RES). Este artigo apresenta revisão sobre as normas de segu- rança da informação quanto do uso dos RES e propõe as ações necessárias para garantir a segurança da informação em saúde. Palavras-chave . Informática em Saúde, Gerenciamento de Informação, Segurança (computação); Armaze- namento e Recuperação da Informação. Abstract. The migration to a patient-care paper-less environment is today possible due to the latest ad- vanced in information technology (IT) applied to healthcare. International institutions, such as the Interna- tional Organization for Standardization (ISO) and Health Level 7 (HL7), and Brazilian organizations, e.g. the National Council of Medicine (CFM), Brazilian Society for Healthcare Informatics (SBIS) and the National Agency of Supplementary Healthcare (ANS) have developed regulations and standards to assure that this migration is harmless to patients and health care providers. certifications of the healthcare organizations processes and Electronic Health Records (EHR) systems. So, it is possible to foresee that we will be able to make use of advantages on digital healthcare. A concern rises about the information security of those digital- ized data. This article focuses on highlighting the debates around information security when using EHRs, concluding with actions that the Chief Information Officer (CIO) of a healthcare organization shall pay atten- tion when exposed to the challenge of digitalizing the healthcare processes. Keywords : Health Informatics, Information Management, Rules Health Information Security, Information Storage and Retrieval. Introdução O tema do Prontuário Eletrônico do Paciente (PEP), ou Registro Eletrônico em Saúde (RES) é amplo e circundado atualmente por vários deba- tes na área da Informática em Saúde. Em No- vembro de 2007, o Brasil deu mais um importante passo na viabilização do uso do RES pelas Orga- nizações em Saúde (OS) com a publicação no Diário Oficial da Resolução 1821/07 que aprova as normas técnicas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde [1]. Com esta resolução estabelece-se o amparo legal para o uso do registro de saúde em meio exclusi- vamente digital. Ao mesmo tempo, a questão da segurança da informação ganha uma nova dimensão quando os dados confidenciais de pacientes passam a estar armazenados em computadores e discos rígidos. Um relatório [2] sobre um estudo discos rígidos descartados e práticas de “limpeza” dos dados mostrou que, em Agosto de 2002, o Centro Médico de Administração dos Veteranos dos EUA, em Indianópolis, vendeu ou doou 139 com- putadores sem remover dados confidenciais, incluindo nomes de pacientes de AIDS e doenças mentais. Em Maio de 2006 um artigo de jornal [2] denunciou que uma falha nos computadores pode ter levado ao roubo de dados referentes a 60.000 pacientes que visitaram o Centro Médico da Uni- versidade de Ohio. Estes exemplos serviram de motivação pa- ra que pesquisássemos o que vem sendo debati- do em relação a padrões e regulamentações de segurança da informação digital em saúde e quando do uso do RES. Este artigo apresenta os resultados de um levantamento das normas e diretrizes nacionais e internacionais sobre a de segurança da informação na área de saúde..