Quem acompanha meu blog já sabe que eu evito citar nomes de empresas quando quero falar mal de alguma coisa, mas como este post tem um tom de “protesto” peço que entendam a citação de nomes de empresas envolvidas no assunto.

Quem trabalha em empresas da área da saúde já sabe que a ANS (Agência Nacional de Saúde Suplementar) definiu o padrão TISS para troca de informações entre prestadores de serviços de saúde. Esse padrão define a forma como as informações devem ser transmitidas entre empresas, de forma que se aumente a agilidade da troca de informações e para que seja possível obter informações precisas sobre saúde suplementar.

Se você olhar o site do TISS (um hotsite dentro do site da ANS) terá informações mais detalhadas sobre o que eu estou dizendo. E se você clicar no link segurança e privacidade, vai ver uma declaração enfatizando a importância da privacidade das informações individuais. Veja um trecho do texto:

A privacidade das informações individuais (…) é preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais (…).

Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar – TISS – pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.

Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º 1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10 de abril de 2001 ).

Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.

Já deu pra perceber que uma das principais preocupações da ANS está relacionada com a privacidade das informações dos pacientes. Se você der uma olhada na norma, verá que em determinadas situações você deve utilizar uma aplicação que use certificados digitais em nome da empresa e tudo mais.

Dados os conceitos, vamos à prática: eu trabalho em uma empresa da área da saúde, que presta serviços para alguns convênios. Alguns desses convênios terceirizaram o processamento das informações transmitidas de acordo o padrão TISS, contratando os serviços da empresa Orizon, que já ouvi dizer que é a maior empresa no setor.

Para transmitir as informações para a Orizon, você tem que usar um programa instalado no desktop, que tem muitos problemas com usabilidade. Alguns processos são simplesmente ilógicos. Depois que você transmite as informações, você tem que entrar no site da empresa para ver o status do lote que você enviou – analisando, rejeitado, recebido, etc. Aí temos outro desgosto: o sistema é igualmente confuso, além de não funcionar em qualquer browser. Isso sem falar do suporte deles que é extremamente deficiente (já chegamos a gastar dias para tentar obter alguma ajuda no call center, sem sucesso).

Depois que você envia um lote e ele é aceito, você pode emitir uma espécie de “resumo” do lote, contendo o nome do paciente, número da carteirinha do convênio e o detalhamento de tudo o que está sendo cobrado – desde consultas a materiais de procedimento como luvas, seringas, medicamentos, etc. E é na emissão desse relatório que está o epicentro do meu protesto: não é a primeira vez que, ao baixar um relatório de um lote que transmitimos, recebemos o relatório dos lotes enviados POR OUTRA EMPRESA, referente A OUTROS PACIENTES de OUTROS CONVÊNIOS.

A questão da usabilidade pode até ter seus pontos de subjetividade e eu posso estar sendo meio radical quanto a isso, mas em relação à segurança é impossível que haja subjetividade: o sistema me devolveu um relatório de outra empresa, expondo informações pessoais e de tratamento de outros pacientes!

Particularmente, não gosto de ralhar ninguém nem empresa nenhuma em público (nem em particular), mas essa história tem um agravante: entramos em contato com nosso cliente (que contratou a Orizon) para alertar sobre o problema. Nenhuma atitude visível foi tomada. E quando ligamos para o [deficiente] suporte da Orizon para informar o problema, nos deparamos com uma postura no mínimo cômica:

Nós: Fomos emitir um relatório no sistema e recebemos um relatório de outra empresa. Se isso está acontecendo, pode ser que outras empresas estejam vendo dados dos nossos pacientes …
Suporte da Orizon: Ah, sim, isso pode acontecer …

E mais nada. Nenhuma atiude de ao menos “disparar a sirene”. De que adianta ser a maior empresa do setor? Isso seria cômico se não fosse trágico.

O motivo do meu protesto público é esse: eu represento um cliente mal atendido. Falar com o cliente e com o prestador do serviço não adiantou. Ficar calado seria um erro dos grandes. Hoje o sistema expõe dados dos nossos pacientes. Amanhã podem ser dados dos meus parentes ou dos seus. Ou até de nós mesmos.