Como passar em auditoria de prontuário eletrônico em clínica médica

A clínica que me procura para preparar auditoria de prontuário eletrônico chega com a mesma frase: “tenho um sistema bom, devo estar coberto”. Eu pergunto duas coisas: cadê o último teste de restore do backup, e cadê o log de acessos dos últimos 12 meses. Em 8 de 10 casos, nenhuma das duas existe.

Auditoria de prontuário eletrônico não é evento que você se prepara na semana antes. É prova pronta — conjunto de evidências que você tem (ou não tem) no dia em que CRM, ANPD, plano de saúde ou auditor interno bater na porta. Quem documentou ao longo do ano passa em uma manhã. Quem não documentou descobre a lista de gaps no pior momento possível.

Aqui está o que de fato é pedido, em ordem, em uma auditoria real de clínica pequena.

O que é auditoria de prontuário eletrônico, na prática

Auditoria de prontuário eletrônico é a verificação de que o sistema, os processos e a documentação da clínica cumprem três frentes simultâneas: as resoluções do CFM (incluindo a 1.821/07 sobre prontuário e a 2.454/26 sobre uso de sistemas), a Lei 13.787 de 2018 que disciplina a digitalização do prontuário, e a LGPD em tudo que toca dado de paciente. As três se sobrepõem, mas cada auditor olha de um ângulo.

Quem pode bater na porta:

• CRM regional — fiscaliza conformidade com resoluções do CFM, normalmente em resposta a denúncia ou em rotina de inspeção
• ANPD — fiscaliza LGPD em caso de incidente reportado, denúncia ou inspeção temática (a ANPD vem fazendo inspeção em saúde desde 2024)
• Operadora de plano de saúde — audita prontuário em contestação de glosa ou auditoria de procedimento, com escopo restrito mas exigência alta de log e rastreabilidade
• Auditor independente — contratado pela própria clínica para pré-auditoria, ou exigido por contrato com hospital, rede de clínicas ou seguradora

Para cada figura o tom é diferente, mas o conjunto de evidências que serve para uma serve para todas. É melhor montar uma vez bem feito do que correr atrás quatro vezes.

A confusão que mata a maioria das clínicas pequenas

A confusão recorrente é equiparar “tenho sistema com selo SBIS” a “estou auditável”. Não é a mesma coisa.

O selo SBIS-CFM atesta que o sistema atende a um conjunto de requisitos técnicos. O NGS2 (Nível de Garantia de Segurança 2) é o nível mais alto, que permite eliminar o papel de vez — mas exige certificado digital ICP-Brasil para assinatura, controle de acesso, log de auditoria interno do sistema e outros itens. NGS1 é o nível básico, ainda exige papel para alguns documentos. A SBIS mantém lista pública de sistemas certificados em sbis.org.br/certificacoes — vale conferir antes de assinar contrato.

Mas o selo do sistema não cobre:

• Como a sua clínica usa o sistema (senha compartilhada, login genérico, dois fatores desabilitado anula o controle de acesso)
• O contrato que você assinou com o fornecedor (cláusulas de proteção de dado, transferência internacional, prazo de retenção)
• O backup adicional sob seu controle (o backup interno do SaaS é dele, não seu)
• A política de privacidade que você publicou (ou não)
• O treinamento da equipe (auditor pede lista de presença assinada)
• O registro de operações de tratamento da sua clínica especificamente

Resumo: o sistema com NGS2 entra com presunção de conformidade técnica. A clínica precisa provar conformidade operacional. São coisas diferentes, e a maioria das auditorias falha na segunda, não na primeira.

Os 6 documentos que toda auditoria pede

Em qualquer auditoria — CRM, ANPD, plano de saúde, interna — a base de evidência são seis documentos. Sem eles, o resto não importa.

1. Contrato com o fornecedor do prontuário, atualizado. Tem que cobrir: cláusula explícita de proteção de dados, identificação clara de controlador e operador na linguagem da LGPD, localização do servidor (Brasil ou exterior), política do fornecedor em caso de incidente, prazo de retenção, e o que acontece com o dado em caso de rescisão. Se o servidor é fora do Brasil, exigir cláusula de transferência internacional conforme artigo 33 da LGPD. Contrato antigo de 2019 sem essas cláusulas é gap automático.

2. Política de retenção e backup com prova de teste recente. Documento de 1 a 2 páginas: o que é guardado, por quanto tempo, onde, criptografado em repouso ou não, com restore testado pelo menos uma vez no trimestre. Backup só do SaaS não basta — auditor pergunta “se o fornecedor sumir amanhã, você tem o dado?”. Quem responde “tenho um export diário do prontuário rodando em servidor sob meu controle, criptografado, com restore testado mês passado” passa. Quem responde “o fornecedor faz backup” não passa.

3. Registro das operações de tratamento (ROPA) específico do prontuário. Tabela com: cada categoria de dado (identificação do paciente, dado clínico, exame, prescrição, financeiro), finalidade, base legal, sistemas que tocam, prazo de retenção, com quem compartilha. Para clínica pequena, 15 a 30 linhas resolvem. ANPD pede esse documento primeiro em qualquer fiscalização.

4. Log de acessos dos últimos 12 meses, extraível e legível. Auditor pergunta: “quem acessou o prontuário do paciente João da Silva nos últimos 6 meses?”. O sistema tem que responder em minutos, nominalmente. Se o sistema não tem log de auditoria interno, a clínica está exposta. Se o sistema tem mas a clínica nunca extraiu, é hora de testar antes do auditor pedir.

5. Plano de resposta a incidente. Documento de 2 páginas: o que é incidente (vazamento, acesso indevido, perda de equipamento, sequestro de dado), quem comunica internamente, quem comunica externamente, prazo da ANPD (a comunicação deve ser feita em “prazo razoável” — boa prática é até 72 horas), modelo de e-mail de comunicação ao paciente, log do incidente. Sem esse plano, qualquer incidente vira crise.

6. Termo de consentimento atualizado do paciente. TCLE específico para tratamento de dado, não o termo genérico de procedimento. Cobre: dados coletados, finalidade de cada uso, prazo de retenção, compartilhamentos com terceiros (laboratório, plano, prontuário em SaaS), direitos do paciente (acesso, correção, portabilidade, eliminação), contato do encarregado.

Esses seis cobrem 80% do que qualquer auditoria pede. Os outros 20% mudam conforme o auditor — CRM olha conformidade técnica e ética médica, ANPD olha LGPD pura, plano olha glosa.

Os 5 padrões que reprovam direto

Cinco coisas, na prática, derrubam clínica em auditoria. Cada uma é corrigível, mas tem que ser corrigida antes do auditor chegar.

1. Senha compartilhada entre funcionários. “Senha da recepção” usada por três pessoas, login do médico-sócio que a secretária também usa, dois fatores desabilitado. Quando isso existe, o log de auditoria perde valor — não dá para responsabilizar ninguém. Auditor escreve gap em letras grandes.

2. Backup que ninguém testou. O fornecedor faz backup. Você nunca pediu restore. Em uma fiscalização real, auditor pede: “exporte o prontuário do paciente X em formato legível, agora”. Se a clínica não consegue, o backup é fé, não é processo.

3. Contrato sem proteção de dados. Contrato de 2019 com fornecedor de prontuário, sem cláusula explícita de LGPD, sem identificação de controlador e operador, sem dizer onde o servidor mora. ANPD considera isso gap material. Solução é pedir aditivo — todo fornecedor sério tem modelo pronto.

4. Prontuário em SaaS estrangeiro sem cláusula de transferência internacional. Sistema americano, servidor nos Estados Unidos, contrato sem o artigo 33 da LGPD coberto. Em auditoria, vira recomendação prioritária. Em incidente envolvendo dado, vira responsabilidade direta da clínica.

5. Ausência ou impossibilidade de extrair log de acesso. Sistema que não tem log nativo, ou tem mas o fornecedor não dá acesso ao histórico, ou tem mas o formato é ilegível. Sem log, a clínica não consegue provar quem acessou o quê — o que mata defesa em qualquer disputa.

Os cinco são corrigíveis em 30 a 60 dias. O problema é que ninguém corrige até a notificação chegar.

O caso real — clínica de 10 funcionários em Vila Mariana

Em março de 2026, acompanhei a preparação de uma clínica em Vila Mariana, São Paulo. Dois médicos sócios, 10 funcionários, prontuário em SaaS nacional com NGS2, agenda em outro SaaS. Faturamento próximo de R$2 milhões por ano. Motivo da preparação: hospital parceiro pediu pré-auditoria como condição de credenciamento.

Estado inicial (diagnóstico em 3 dias):

• Sistema com NGS2: ok
• Contrato com fornecedor: de 2021, sem cláusula explícita de LGPD
• Backup: só do SaaS, sem cópia adicional, nenhum restore testado nos últimos 18 meses
• Log de acesso: o sistema tinha, mas a clínica nunca extraiu — não sabia se conseguia
• Senha: 4 dos 10 funcionários compartilhavam login da recepção
• ROPA: não existia
• Política de privacidade: copiada de modelo genérico, sem adaptação à clínica
• Plano de incidente: não existia

Trabalho em 35 dias úteis:

• Aditivo de LGPD assinado com o fornecedor (3 dias úteis depois do pedido)
• Backup adicional configurado: export diário do prontuário em CSV criptografado, parado em servidor sob controle da clínica, com restore testado e documentado
• Logs extraídos para amostra dos últimos 12 meses, formatados, arquivados em PDF
• Login individual ativado para todos os 10 funcionários, dois fatores habilitado, política de senha definida
• ROPA escrito (24 linhas), revisado por advogado especializado
• Política de privacidade reescrita pelo perfil da clínica, publicada no site e na recepção
• Plano de resposta a incidente com fluxo de comunicação interna e externa
• Treinamento de 2 horas com toda equipe, lista de presença assinada

Custo total: R$14 mil. R$4 mil em advogado especializado para revisar contrato e ROPA, R$8 mil em consultoria de infra para configurar o backup e ativar log. R$2 mil em horas internas (médico-sócio e gerente).

Resultado: auditoria do hospital parceiro passou em uma manhã, sem ressalva. Credenciamento liberado.

Isso é o que a iAvancada entrega para clínica de São Paulo que precisa ficar auditável: estruturamos o ambiente, configuramos backup adicional sob controle do cliente, ativamos monitoramento que detecta acesso anômalo antes do auditor pedir, e ficamos no service desk com IA reativa para acompanhar incidente. Não vendemos prontuário — preparamos a infra ao redor dele.

A ordem certa de preparação — 4 fases

A ordem importa. Quem tenta resolver tudo em paralelo se perde. Quem segue a sequência abaixo entrega em 30 a 45 dias úteis.

Fase 1 — Diagnóstico (5 dias úteis). Inventário do que existe: sistemas, contratos, backups, logs, senhas, políticas, treinamentos. Mapa de gaps em uma planilha única. Sem essa fase, qualquer trabalho posterior é palpite.

Fase 2 — Documentação (10 dias úteis). ROPA, política de privacidade, plano de incidente, termo de consentimento atualizado, política interna de uso do prontuário. Aqui vale apoio pontual de advogado especializado (R$3 mil a R$6 mil resolve para clínica pequena).

Fase 3 — Técnica (15 dias úteis). Backup adicional sob controle da clínica, log extraível e arquivado, controle de acesso individual com dois fatores, criptografia em repouso onde aplicável, monitoramento com alerta de acesso anômalo. Aqui a infra AI-ready começa a aparecer — porque dado bem controlado hoje é base para rodar IA com prontuário amanhã.

Fase 4 — Operação (5 dias úteis). Treinamento da equipe com lista de presença, comunicação atualizada aos pacientes, calendário de revisão para os próximos 12 meses (revisão trimestral do ROPA, teste mensal do backup, revisão semestral dos contratos).

No fim, a clínica tem pasta digital com 6 documentos, evidência técnica de cada controle, log arquivado, e equipe treinada. Em qualquer auditoria — CRM, ANPD, plano, interna — apresenta a pasta e responde rápido.

O que NÃO cabe nesse cronograma

Para ser honesto sobre escopo, três coisas não cabem em 30 a 45 dias e ficam no plano de continuidade.

Troca de prontuário eletrônico. Se o atual não tem NGS2 e a clínica decide migrar, a migração leva 60 a 120 dias. Auditoria aponta o gap, plano resolve depois.

Implantação de IA com prontuário. Quem quer rodar análise de dado de paciente com IA precisa de infra AI-ready própria — Postgres self-hosted, criptografia em repouso, segregação por médico, monitoramento. É projeto separado, 30 a 60 dias depois da preparação para auditoria.

Certificação ISO 27001 ou similar. Auditoria de conformidade não é certificação formal. Para clínica que quer chancela externa de segurança da informação, o caminho é diferente — 6 a 12 meses, R$80 mil a R$200 mil.

Conclusão

Auditoria de prontuário eletrônico em clínica médica não se prepara na semana antes. Se prepara antes do auditor existir. A clínica que monta os 6 documentos, fecha os 5 padrões que reprovam direto, e segue a ordem de 4 fases passa em uma manhã. A clínica que confunde “ter sistema bom” com “estar auditável” descobre os gaps no pior momento.

Em 2026, com a ANPD ativa em saúde, com hospitais e planos pedindo pré-auditoria como condição de credenciamento, e com a Resolução CFM 2.454 de 2026 elevando o sarrafo de uso de IA com prontuário, ficar auditável deixou de ser projeto opcional. Virou condição de operar.

Se a sua clínica de São Paulo quer entender em 30 minutos onde estão os gaps específicos antes de começar, agende uma conversa de diagnóstico. Sem custo, sem proposta automática — só conversa pra ver se faz sentido.

Perguntas frequentes sobre auditoria de prontuário eletrônico

As perguntas abaixo são as que mais aparecem em conversa com médico-sócio que está preparando a clínica. Respostas diretas, sem floreio.