Análise de risco · RIPD
Onde os dados da sua clínica podem vazar?
O RIPD é o mapa que mostra os pontos fracos da clínica — antes que a ANPD (ou um hacker) mostre pra você.
Pense nos dados que circulam na sua clínica num dia comum: a ficha de anamnese no computador da recepção, as radiografias no software de imagem, as fotos enviadas ao laboratório de prótese pelo WhatsApp, a agenda online. Cada um desses pontos pode falhar. O Relatório de Impacto (RIPD) coloca todos eles numa página e responde: qual a chance de dar errado, e qual o tamanho do estrago?
O mesmo dado, riscos diferentes
O segredo do RIPD é que o risco não está só no dado, mas em como você o trata. Veja os tratamentos típicos de uma clínica:
| Tratamento na clínica | Nível de risco |
|---|---|
| HD com 2.000 prontuários, sem criptografia | Crítico |
| Radiografias enviadas ao laboratório por WhatsApp | Alto |
| Agenda online sem 2 fatores | Alto |
| Backup em nuvem criptografado e testado | Baixo |
Repare: o backup guarda os mesmos dados do HD, mas com risco muito menor. A matriz mostra, em uma olhada, onde investir primeiro.
Sem RIPD, você descobre o ponto fraco no dia do incidente — o pior momento possível.
O que entra num RIPD
Não precisa ser um calhamaço. Um RIPD útil cabe em poucas páginas e responde, para cada tratamento: quais dados são tratados, com qual finalidade e base legal, quem tem acesso, com quem são compartilhados, por quanto tempo ficam guardados, qual o risco e qual a medida de mitigação. É esse documento que a ANPD pede quando quer saber se você agiu com diligência.
Um exemplo passo a passo
Pegue o envio de radiografias ao laboratório de prótese pelo WhatsApp. Dados: nome, imagem clínica, pedido. Probabilidade de falha: média — mensageria sem controle de acesso, aparelho que pode ser perdido. Impacto: alto — é dado de saúde identificável. Resultado: risco alto. Mitigação: firmar um DPA com o laboratório, usar um canal com controle de acesso e não enviar mais imagens do que o necessário. Em três linhas, você saiu do "achismo" para uma decisão registrada.
Mitigações que rendem mais
- Criptografia nos dispositivos que guardam prontuário — derruba o impacto de um roubo.
- Dois fatores no sistema de prontuário e no e-mail da clínica.
- Controle de acesso por usuário — cada pessoa vê só o que precisa, e você sabe quem viu o quê.
- DPA com todo fornecedor que toca dados de paciente.
No dia de um incidente, a ANPD pergunta o que você fez para preveni-lo. O RIPD é exatamente essa resposta, por escrito.
Perguntas rápidas
RIPD é a mesma coisa que mapa de dados?
São complementares. O mapa diz quais dados você tem; o RIPD avalia o risco de cada tratamento e o que mitigar.
Preciso de consultor pra fazer?
Não necessariamente. Uma clínica organizada consegue mapear riscos com a ferramenta certa e chamar apoio só nos pontos críticos.
Com que frequência atualizo?
Sempre que mudar um processo ou sistema, e numa revisão ao menos anual. Risco não é foto, é filme.
Veja os riscos da sua clínica em minutos
Análise de risco guiada, com nível e plano de mitigação por tratamento.
Começar grátis Planos a partir de R$ 99,90/mês