Lendo as 578 páginas do Observatório Anahp 2026, um contraste salta aos olhos. A palavra "acreditação" aparece em mais de 200 páginas. A sigla "ISO" aparece em duas. O setor hospitalar privado brasileiro domina a acreditação assistencial e praticamente ignora a certificação de sistemas de gestão. Historicamente, isso fez sentido. No contexto de 2026, vira um buraco que sai caro.
O que a acreditação cobre, e o que ela não cobre
ONA, JCI e Qmentum são excelentes no que se propõem: validar a qualidade e a segurança do cuidado ao paciente. Protocolo clínico, segurança cirúrgica, prevenção de queda, gestão de risco assistencial. É o core do hospital, e o setor é forte nisso.
Mas há uma camada inteira de risco que a acreditação assistencial não foi desenhada para cobrir:
- Segurança da informação (ISO 27001): proteção do prontuário e dos dados, o ativo mais sensível do hospital.
- Compliance e antissuborno (ISO 37001 e 37301): governança de contratos, compras e relação com o poder público, relevante para quem opera com volume alto de fornecedores e convênios.
- Governança de IA (ISO 42001): uso responsável de algoritmo na decisão assistencial e administrativa.
- Continuidade de negócio (ISO 22301): manter a operação de pé diante de um incidente, de um ataque a um desastre.
Por que isso importa agora
O contexto mudou debaixo dos pés do setor. A LGPD está em plena vigência e fiscalização, e o dado de saúde é classificado como sensível, com proteção reforçada. A NR-1 com riscos psicossociais entrou em vigor. Hospitais viraram alvo preferencial de ataque cibernético no mundo todo. Nenhum desses riscos é endereçado por uma acreditação assistencial. Eles vivem no escopo das normas ISO de gestão, justamente as que o benchmark do setor mal menciona.
Não se trata de trocar acreditação por ISO. Trata-se de somar. A ISO 9001 conversa com a ONA em vez de competir com ela. A ISO 27001 protege o prontuário que a JCI pressupõe seguro, mas não audita a fundo.
A facilita opera as normas ISO como sistema de gestão real, não como pasta de documento parada: ISO 27001 para segurança da informação, ISO 9001 para qualidade e o conjunto de compliance integrado. Para o hospital, dá para sobrepor isso à acreditação que já existe. Vale ver como ISO 27001 e LGPD se sobrepõem e reduzem retrabalho.
O recado
O setor escolheu, com boa razão histórica, concentrar energia na acreditação do cuidado. Foi a escolha certa para a época. Mas os riscos que mais crescem hoje, dado, privacidade, compliance e cibersegurança, moram fora desse escopo. Preencher esse buraco com sistema de gestão certificável não é burocracia a mais: é proteger o hospital exatamente onde a acreditação assistencial, por desenho, não chega.
Dados e citações: Observatório Anahp 2026 (edição 25 anos), Sistema de Indicadores Hospitalares Anahp. Baixe o relatório completo aqui.
Quais riscos de gestão estão fora do seu radar?
Em poucos minutos, faça um diagnóstico de prontidão e descubra onde sua operação ganha em organização, compliance e governança.
Diagnóstico de prontidão Comece grátis Falar com a gente