Uma equipa de especialistas da spin-off da U.Porto HealthySystems está a desenvolver um projeto-piloto em conjunto com a Agência para a Modernização Administrativa (AMA). O projeto tem como finalidade registar os acessos aos serviços do portal de cidadão, de forma a que estejam em conformidade com o Novo Regulamento Europeu de Proteção de Dados, mantendo a rastreabilidade da informação. “É uma espécie de ‘caixa negra’ que garante a máxima rastreabilidade do acesso aos dados mais sensíveis de todos portugueses”, explicam os especialistas.
A nova lei da proteção de dados resulta da implementação de um regulamento europeu que entrou em vigor em maio de 2016, obrigando as instituições e empresas a tomarem medidas no que se refere à proteção da privacidade dos cidadãos, explica Ricardo Correia, cofundador da HealthySystems e investigador do CINTESIS – Centro de Investigação em Tecnologias e Serviços de Saúde, centro de investigação onde esta spin-off nasceu.
Nesse âmbito, a Agência para a Modernização Administrativa – um instituto público com especiais responsabilidades nas áreas da modernização e simplificação administrativas e de transformação digital, procurou através desta aplicação constituir um registo rastreável e auditável dos acessos num dos portais de maior visibilidade externa. “Estes registos permitirão à AMA, em condições de segurança e em estreito cumprimento do RGPD, garantir um mecanismo de controlo e procedimentos que garanta registos de atividade (logs) seguros.”
“O projeto em causa tem como objetivo instalar e configurar um piloto de uma solução de auditoria para o portal do cidadão”, esclarece o especialista em Informática Médica do CINTESIS, Ricardo Correia. “A tecnologia que nos propomos aplicar visa criar uma ‘caixa negra’ que mantenha a informação relativa aos acessos dos diferentes utilizadores aos sistemas de informação no mais alto nível de segurança”. Essa informação é particularmente sensível e relevante, pois é através dela que se consegue provar que determinado processo foi bem realizado por um profissional, mas também é através dela que se consegue despistar casos de acesso ou de alteração de dados indevidos”.
Luís Filipe Antunes, cofundador da HealthySystems e especialista em proteção de dados da Faculdade de Ciências da Universidade do Porto, garante que “esta solução, alavancada nas boas práticas já existentes na AMA, vai permitir em auditoria garantir a responsabilização dos acessos feitos à plataforma e a validade legal dos mecanismos de prova, requisito essencial para a conformidade com o Regulamento Europeu de Proteção de Dados. Esta solução é essencial na Avaliação de Risco de Privacidade imposto pelo RGPD e todas as instituições públicas ou privadas tem que possuir este tipo de soluções.”
Embora teoricamente os sistemas de informação já permitam rastrear a informação, na sua maioria possuem falhas de segurança que permitem que um elevado número de pessoas com acesso aos sistemas informáticos possa adulterar a informação. Mas este piloto da HealthySystems mantem o registo real e inalterável da data e hora das ações de cada utilizador, para além de permitir detetar de forma muito eficiente qualquer adulteração que seja realizada num registo.
Note-se que a HealthySystems é a única entidade no mercado nacional que oferece este tipo de soluções de segurança informática. Para além disso, a spin-off do CINTESIS possui já um elevado nível de experiência na gestão de sistemas de informação complexos e com informação confidencial, dos vários projetos desenvolvidos com instituições da área da saúde, no âmbito de diferentes parcerias promovidas pelo CINTESIS.