O Observatório Anahp 2026 dedica um capítulo inteiro à Tecnologia da Informação. Ele mede satisfação do usuário de help desk, taxa de resolução de chamado e quais sistemas os hospitais usam. O que ele não mede, em nenhuma linha, é segurança da informação. E isso, num setor que guarda o dado mais sensível que existe, é um ponto cego que merece atenção.
O hospital é um cofre de dado sensível
Prontuário é dado pessoal sensível na definição da LGPD, na mesma categoria que recebe a proteção mais alta da lei. Diagnóstico, histórico, exame, medicação. Um hospital de médio porte guarda dezenas de milhares desses registros. Em termos de valor para um atacante e de risco para o titular, é um dos ativos mais críticos da economia.
Apesar disso, o benchmark de TI do setor mede, com razão, a qualidade do suporte interno, mas não mede a exposição ao risco cibernético. Não há indicador de incidentes de segurança, de tempo de resposta a incidente, de cobertura de autenticação forte, de teste de restauração de backup ou de aderência a um referencial de segurança.
Por que isso é especialmente grave em saúde
Hospital é alvo preferencial de ransomware por um motivo cruel: o cuidado não pode parar. Quando o sistema cai, não é uma loja que fecha por um dia, é uma UTI sem prontuário. Essa pressão torna o setor mais propenso a pagar resgate, o que atrai mais ataque. Some a isso a LGPD: vazamento de dado de saúde expõe a organização a sanção da ANPD, que já começou a aplicar multas relevantes.
O que daria pra medir
Assim como o grupo de trabalho de TI da Anahp construiu, a partir de 2018, os indicadores de SLA de suporte, o próximo conjunto natural é o de segurança. Alguns candidatos:
- Número de incidentes de segurança por ano e tempo médio de resposta a incidente.
- Percentual de sistemas críticos com autenticação multifator.
- Backup com restauração testada periodicamente, não apenas executada.
- Percentual de colaboradores treinados contra phishing, a porta de entrada mais comum.
- Aderência a um referencial como a ISO 27001.
Medir satisfação de chamado e não medir exposição a incidente é como um hospital medir a simpatia da recepção e não medir a taxa de infecção. As duas importam, mas só uma delas pode fechar a operação.
A facilita estrutura a proteção do dado de saúde por dois caminhos que se reforçam: conformidade com a LGPD e ISO 27001 como sistema de gestão de segurança da informação. Como as duas se sobrepõem em boa parte dos controles, dá para cobrir as duas exigências com um esforço só.
O recado
O setor que mais investe em segurança do paciente ainda não trata a segurança do dado do paciente com o mesmo rigor de indicador. O Observatório já provou que o setor sabe medir aquilo que considera prioridade. Colocar segurança da informação no painel de TI seria o reconhecimento de que, em 2026, proteger o prontuário é parte de cuidar do paciente.
Dados e citações: Observatório Anahp 2026 (edição 25 anos), Sistema de Indicadores Hospitalares Anahp. Baixe o relatório completo aqui.
Seu dado de saúde está protegido de verdade?
Em poucos minutos, faça um diagnóstico de prontidão e veja onde sua operação ganha em compliance, segurança e governança.
Diagnóstico de prontidão Comece grátis Falar com a gente