Uma equipa de especialistas da HealthySystems, spin-off da Universidade do Porto, está a desenvolver um projeto-piloto em conjunto com a Agência para a Modernização Administrativa (AMA). O projeto tem como finalidade registar os acessos aos serviços do portal de cidadão, de forma a que estejam em conformidade com o Novo Regulamento Europeu de Proteção de Dados, mantendo a rastreabilidade da informação. “É uma espécie de ‘caixa negra’ que garante a máxima rastreabilidade do acesso aos dados mais sensíveis de todos portugueses”, apresentam os especialistas.
A nova lei da proteção de dados resulta da implementação de um regulamento europeu que entrou em vigor em maio de 2016, obrigando as instituições e empresas a tomarem medidas no que se refere à proteção da privacidade dos cidadãos. Nesse âmbito, a AMA – um instituto público com especiais responsabilidades nas áreas da modernização e simplificação administrativas e de transformação digital – procurou através desta aplicação constituir um registo rastreável e auditável dos acessos num dos portais de maior visibilidade externa. “Estes registos permitirão à AMA, em condições de segurança e em estreito cumprimento do RGPD, garantir um mecanismo de controlo e procedimentos que garanta registos de atividade (logs) seguros”, explica Ricardo Correia, cofundador da HealthySystems e investigador do CINTESIS – Centro de Investigação em Tecnologias e Serviços de Saúde, centro de investigação onde esta spin-off nasceu.
“O projeto em causa tem como objetivo instalar e configurar um piloto de uma solução de auditoria para o portal do cidadão”, esclarece o especialista em Informática Médica do CINTESIS. Na prática, “a tecnologia que nos propomos aplicar visa criar uma ‘caixa negra’ que mantenha a informação relativa aos acessos dos diferentes utilizadores aos sistemas de informação no mais alto nível de segurança”. Essa informação “é particularmente sensível e relevante, pois é através dela que se consegue provar que determinado processo foi bem realizado por um profissional, mas também é através dela que se consegue despistar casos de acesso ou de alteração de dados indevidos”, esclarece Ricardo Correia.
Luís Filipe Antunes, cofundador da HealthySystems e especialista em proteção de dados da Faculdade de Ciências da Universidade do Porto (FCUP), garante que “esta solução, alavancada nas boas práticas já existentes na AMA, vai permitir em auditoria garantir a responsabilização dos acessos feitos à plataforma e a validade legal dos mecanismos de prova, requisito essencial para a conformidade com o Regulamento Europeu de Proteção de Dados. Esta solução é essencial na Avaliação de Risco de Privacidade imposto pelo RGPD e todas as instituições públicas ou privadas tem que possuir este tipo de soluções.”
Embora teoricamente os sistemas de informação já permitam rastrear a informação, na sua maioria possuem falhas de segurança que permitem que um elevado número de pessoas com acesso aos sistemas informáticos possa adulterar a informação. Mas este piloto da HealthySystems mantem o registo real e inalterável da data e hora das ações de cada utilizador, para além de permitir detetar de forma muito eficiente qualquer adulteração que seja realizada num registo.
Note-se que a HealthySystems é a única entidade no mercado nacional que oferece este tipo de soluções de segurança informática. Para além disso, a spin-off da U.Porto possui já um elevado nível de experiência na gestão de sistemas de informação complexos e com informação confidencial, dos vários projetos desenvolvidos com instituições da área da saúde, no âmbito de diferentes parcerias promovidas pelo CINTESIS.