Plano de contingência quando o sistema de prontuário cai: o protocolo que protege a clínica odontológica
Quando o prontuário eletrônico sai do ar, a clínica odontológica não para só de registrar: para de confirmar agenda, para de acessar histórico, para de faturar. A regulação (CFO 91/2009, Lei 13.787/2018, LGPD) exige backup e continuidade. Veja o protocolo completo, do minuto zero à reconciliação, com checklist, tabela e base legal.
Você precisa de um protocolo escrito que cubra os primeiros dez minutos (comunicação, registro manual, cadeia de contatos), backup redundante (local e nuvem) e reconciliação pós-retorno, porque a regulação brasileira obriga guarda de 20 anos e a LGPD prevê multa de até 2% do faturamento por falha de segurança em dado de saúde.
- A Resolução CFO 91/2009 e a Lei 13.787/2018 exigem guarda do prontuário por 20 anos após o último registro, em papel ou digital, o que torna backup redundante uma obrigação regulatória, não uma opção de TI. ([Fonte: CRO-MG](https://cromg.org.br/noticias/etica-em-foco-prontuarios/))
- A LGPD classifica dado de saúde como sensível e prevê multa de até 2% do faturamento limitada a R$50 milhões por infração em caso de falha de segurança ou perda de dados. ([Fonte: Lei 13.709/2018, Art. 52](https://lgpd-brasil.info/capitulo_08/artigo_52))
- Nas clínicas atendidas pela Odonto Results, 43,8% dos leads chegam fora do horário comercial; se o sistema cai justamente nesse período sem protocolo de contingência, a equipe perde o histórico e o agendamento de quase metade da demanda, dados internos da Odonto Results.
Faz parte do guia: Como fazer a gestão da clínica odontológica (agenda, faltas e faturamento)?
Nesta página
- TL;DR
- Pontos-chave
- Por que toda clínica de porte precisa de um plano formal (não é só TI, é obrigação regulatória)
- O que diz a regulação: CFM 1.821/2007, CFO 91/2009 e o NGS2
- Prazo de guarda de 20 anos: por que isso obriga backup redundante
- LGPD e dado de saúde: o custo real de não ter continuidade
- O protocolo dos primeiros dez minutos: comunicação, coordenação e registro manual
- Checklist do kit de contingência
- Retomada: reconciliar o papel com o sistema sem perder auditoria
- Continuidade da agenda: não deixar o paciente que já confirmou virar falta
- Risco cibernético: por que o plano de contingência é também defesa contra ransomware
- Como transformar isso em rotina testada (simulação trimestral, não plano engavetado)
- Seu próximo passo
- Perguntas frequentes
"O que acontece na minha clínica se o sistema de prontuário cair agora, neste minuto?"
Se você não tem uma resposta pronta para essa pergunta, o risco é real. Não é só TI fora do ar: é agenda inacessível, histórico do paciente trancado, equipe sem saber o que fazer e faturamento parado.
A regulação brasileira não aceita "o sistema caiu" como justificativa. A Resolução CFO 91/2009 exige guarda de prontuário por 20 anos. A LGPD (Art. 52) prevê multa de até 2% do faturamento, limitada a R$50 milhões, por falha de segurança em dado sensível de saúde.
O problema não é SE o sistema vai cair. É QUANDO.
Neste guia você vai ver:
- O que a regulação exige de fato (CFM, CFO, LGPD) e o que muda se seu software não é certificado NGS2
- O protocolo operacional dos primeiros dez minutos após a queda
- O checklist do kit de contingência pronto para uso
- Como reconciliar o papel com o sistema sem perder auditoria
- Como proteger a agenda e o comparecimento durante a indisponibilidade
- Como transformar o plano em rotina testada, não em documento engavetado
Por que toda clínica de porte precisa de um plano formal (não é só TI, é obrigação regulatória)
A maioria dos donos de clínica trata indisponibilidade de sistema como problema de infraestrutura. "Chama o suporte, espera voltar."
Mas quando o prontuário é eletrônico, a indisponibilidade atinge três camadas ao mesmo tempo:
- Registro clínico: sem acesso ao histórico, o dentista atende às cegas. Alergia, medicamento em uso, evolução do tratamento, tudo fica trancado.
- Agenda e confirmação: a equipe não sabe quem vem, não consegue confirmar, e o paciente que já estava agendado pode simplesmente não aparecer.
- Faturamento e financeiro: procedimentos feitos durante a queda ficam sem registro imediato. Se a redigitação falha, receita se perde.
Dados internos da Odonto Results mostram que 43,8% dos leads chegam fora do horário comercial. Se o sistema cai à noite ou no fim de semana, sem ninguém na clínica com protocolo em mãos, o estrago é ainda maior: quase metade da demanda pode passar sem registro.
O plano de contingência não é "burocracia a mais". É a diferença entre uma queda de duas horas sem impacto e uma queda de duas horas com perda de dados, pacientes que faltam e risco regulatório.
Lembre: a regulação não distingue "sistema caiu" de "negligência". A responsabilidade pela guarda e integridade do prontuário é do responsável técnico, independentemente do que o fornecedor do software fez ou deixou de fazer.
O que diz a regulação: CFM 1.821/2007, CFO 91/2009 e o NGS2
Três normas formam a base legal do prontuário eletrônico no Brasil. Você não precisa decorá-las, mas precisa saber o que exigem na prática.
| Norma | O que determina | Implicação para a clínica |
|---|---|---|
| Resolução CFM 1.821/2007 | Autoriza uso de prontuário eletrônico desde que atenda integralmente ao NGS2 (Nível de Garantia de Segurança 2) do Manual de Certificação SBIS | Se o software não tem certificação NGS2, o papel original não pode ser eliminado |
| Resolução CFO 91/2009 | Estende a autorização à odontologia, com assinatura digital ICP-Brasil | Sem ICP-Brasil, o sistema é auxiliar, não substituto do papel |
| Lei 13.787/2018 | Define prazo de guarda de 20 anos após o último registro, papel ou digital | Perda de dados dentro dos 20 anos gera responsabilidade direta |
A Resolução CFM 1.821/2007 exige que o sistema de prontuário eletrônico atenda "integralmente aos requisitos do Nível de Garantia de Segurança 2 (NGS2)" para que o registro em papel possa ser eliminado (Fonte: CONARQ). Já a Resolução CFO 91/2009 estende essa diretriz à odontologia, exigindo também assinatura digital ICP-Brasil (Fonte: ROBRAC).
O que isso significa para você:
- Se o seu software tem certificação NGS2 + ICP-Brasil: o sistema é o registro oficial. Uma queda sem backup recuperável equivale a perda de prontuário.
- Se o seu software não tem certificação NGS2: o papel é o registro oficial, e o sistema é ferramenta auxiliar. Mas isso não elimina o risco: se você opera só no digital (como quase toda clínica), a queda trava a operação do mesmo jeito.
Em ambos os cenários, o plano de contingência é obrigatório. A diferença é que, sem NGS2, você tecnicamente deveria manter papel como registro principal, o que a maioria das clínicas simplesmente não faz.
Prazo de guarda de 20 anos: por que isso obriga backup redundante
O CRO-MG reforça que o prazo mínimo de guarda do prontuário odontológico é de 20 anos a partir da data do último registro, seja em papel ou digitalizado, conforme a Resolução CFO 91/2009 e a Lei 13.787/2018.
Vinte anos é muito tempo. Pense no que pode acontecer com um servidor local nesse período:
- Disco rígido falha (nenhum HD dura para sempre, e uso contínuo acelera o desgaste)
- Ransomware criptografa o banco de dados e pede resgate
- Incêndio, furto ou dano elétrico destrói o equipamento físico
- O fornecedor do software fecha as portas e o suporte some
Se o seu backup está só no servidor da clínica, um evento desses elimina duas décadas de prontuários de uma vez.
A conta é simples: backup local (HD externo, NAS na clínica) protege contra falha de software. Backup em nuvem protege contra desastre físico. Só os dois juntos cobrem o espectro de risco que 20 anos exigem.
Frequência mínima recomendada:
- Backup diário automático (incremental) para nuvem e para dispositivo local
- Backup semanal completo (full) com verificação de integridade
- Teste trimestral de restauração: restaurar ao menos um dia de registros e conferir que prontuários, agenda e financeiro voltam íntegros
Backup que nunca foi testado não é backup. É esperança.
Lembre: o prazo de 20 anos vale a partir do último registro do paciente, não do primeiro. Se um paciente volta à clínica após 10 anos e você faz uma nova anotação, o relógio reinicia.
LGPD e dado de saúde: o custo real de não ter continuidade
A LGPD (Lei 13.709/2018) classifica dado de saúde como dado pessoal sensível. Isso coloca o prontuário odontológico no nível mais alto de proteção previsto em lei.
O que isso exige na prática:
- Medidas de segurança técnicas e administrativas para proteger os dados contra acesso não autorizado, destruição, perda ou alteração
- Registro de incidentes de segurança (incluindo indisponibilidade que resulte em perda de dados)
- Comunicação à ANPD e aos titulares em caso de incidente que possa acarretar risco ou dano relevante
A sanção prevista no Art. 52 da LGPD é objetiva: "multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração."
Não é só teoria. O setor de saúde no Brasil é alvo crescente de ataques cibernéticos. Ransomware sequestra dados de pacientes e exige pagamento para devolvê-los. Sem backup redundante e sem plano de resposta, a clínica fica refém.
E mesmo sem ataque externo, a simples perda de dados por falha técnica (sem backup restaurável) pode configurar infração à LGPD se houver dano ao titular.
Ter plano de contingência documentado e testado é a principal evidência de diligência que a clínica pode apresentar diante de uma fiscalização. Sem ele, o argumento de "boa-fé" enfraquece.
O protocolo dos primeiros dez minutos: comunicação, coordenação e registro manual
O momento mais crítico de uma queda de sistema são os primeiros minutos. É quando a equipe entra em modo reativo e as decisões erradas se multiplicam.
Aqui está o protocolo dividido em três fases:
Fase 1: Detecção e comunicação (minutos 0 a 3)
- Quem detectou a falha avisa imediatamente o coordenador de contingência (geralmente o gerente ou o responsável técnico, definido previamente).
- O coordenador confirma que é indisponibilidade real (não é computador individual, Wi-Fi fora, login errado).
- O coordenador aciona o suporte do software pelo canal prioritário (telefone, não e-mail) e registra hora exata do chamado.
- Um aviso breve vai para toda a equipe: "Sistema fora do ar. Operamos no protocolo manual a partir de agora."
Fase 2: Ativação do registro manual (minutos 3 a 7)
- O kit de contingência é retirado do local designado (recepção ou sala do coordenador).
- Cada profissional em atendimento recebe formulários manuais de evolução/anamnese.
- A recepção puxa a lista impressa de pacientes do dia (atualizada diariamente na abertura) para continuar chamando os pacientes pelo nome e horário.
Fase 3: Estabilização (minutos 7 a 10)
- O coordenador avalia a previsão de retorno com o suporte.
- Se a previsão é superior a 2 horas: considerar reagendar pacientes das últimas janelas do dia (prefira manter os que já estão na clínica).
- Registrar em papel o horário de início da queda, os pacientes atendidos durante a falha e quem abriu o chamado.
Esse protocolo exige uma coisa: que a equipe saiba que ele existe, onde está o kit e quem é o coordenador. Treinamento e simulação resolvem isso (mais sobre isso adiante).
Checklist do kit de contingência
O kit é físico, fica em local fixo e conhecido de toda a equipe. Montar um custa pouco; não ter um custa caro.
| Item | Quantidade | Observação |
|---|---|---|
| Formulário de evolução clínica (papel timbrado, campos pré-impressos) | 50 cópias | Campos: nome do paciente, data/hora, dente/região, procedimento, materiais, evolução, assinatura do profissional |
| Formulário de anamnese simplificada | 20 cópias | Para primeiras consultas durante a queda (alergias, medicamentos, condições sistêmicas) |
| Lista de pacientes do dia (impressa na abertura) | 1 por dia | Atualizar diariamente antes de abrir a clínica |
| Cadeia de contatos (folha plastificada) | 2 cópias | Suporte do software (telefone + protocolo), TI da clínica, responsável técnico, fornecedor de internet, coordenador de contingência |
| Caneta esferográfica preta | 5 unidades | Prontuário manual só em caneta preta ou azul (nunca lápis) |
| Pasta organizadora com divisórias | 1 | Para separar formulários preenchidos por dentista ou por sala |
| Carimbo ou etiqueta do profissional | 1 por dentista | Nome, CRO e especialidade, para agilizar assinatura no papel |
Dica: revise o kit no primeiro dia útil de cada mês. Reponha formulários usados, atualize a cadeia de contatos se algum telefone mudou e confirme que a lista de pacientes está sendo impressa diariamente.
Retomada: reconciliar o papel com o sistema sem perder auditoria
A queda em si é metade do problema. A outra metade é o que acontece quando o sistema volta.
Se a equipe não redigita o que foi registrado em papel, você fica com prontuários incompletos, faturamento errado e potencial problema de auditoria. Se redigita de qualquer jeito, sem padrão, duplica registros ou perde detalhes.
O processo de reconciliação precisa ser tão protocolar quanto a contingência:
1. Recolher todos os formulários preenchidos durante a queda.
O coordenador de contingência coleta a pasta, confere que cada formulário tem data, hora, nome do paciente e assinatura do profissional. Formulário sem assinatura não pode ser arquivado.
2. Redigitar no sistema dentro de 24 horas.
Cada profissional redigita seus próprios registros (ele escreveu, ele sabe o contexto). O campo de data e hora no sistema deve refletir o momento real do atendimento, não o momento da digitação.
3. Anotar no registro digital que a entrada veio de contingência manual.
Um campo de observação ("Registro originalmente feito em papel durante indisponibilidade de sistema em DD/MM/AAAA, redigitado em DD/MM/AAAA") preserva a rastreabilidade. Se o sistema tem log de auditoria, essa marcação mostra que o intervalo sem registro digital não foi negligência.
4. Arquivar os formulários em papel.
Não descarte o papel depois da redigitação. Guarde em pasta física por ao menos 12 meses (prazo para qualquer questionamento imediato). Ele é o comprovante de que o atendimento aconteceu e foi registrado no momento, mesmo que o sistema estivesse fora.
5. Registrar o incidente no log da clínica.
Data e hora da queda, duração, causa (se identificada), pacientes atendidos durante o período, data da reconciliação completa. Esse log é a evidência de diligência que a LGPD e o CRO podem pedir.
Continuidade da agenda: não deixar o paciente que já confirmou virar falta
Uma queda de sistema não cancela os pacientes do dia. Eles vão chegar.
O problema é que, sem o sistema, a equipe não sabe quem confirmou, quem é novo, qual o procedimento previsto e se tem alguma restrição clínica no histórico.
Três medidas resolvem isso antes da queda acontecer:
Lista impressa de pacientes do dia. Imprima na abertura da clínica (ou na noite anterior) a agenda completa do dia seguinte: nome, horário, procedimento previsto, telefone de contato. Essa lista deve ficar na recepção, física. Leva dois minutos para gerar e é a primeira linha de defesa.
Confirmação multicanal que não depende do sistema. Se a clínica confirma pacientes via WhatsApp ou telefone, essa etapa pode continuar funcionando mesmo com o sistema fora do ar, desde que a equipe tenha a lista impressa como referência. A confirmação não precisa do prontuário, precisa do nome e do horário.
Atendimento continua, registro fica no papel. O dentista atende normalmente, registra evolução no formulário manual e anota qualquer informação clínica relevante que precisou acessar de memória (e conferir depois, quando o sistema voltar).
Uma pesquisa-ação em unidades de saúde de Piracicaba/SP registrou 3.904 consultas agendadas com 3.488 faltas antes da implementação de um sistema estruturado de prontuário único e organização do registro; a intervenção reduziu faltas em 8 das 12 unidades estudadas (66,6% delas) (Fonte: SciELO, Ciência & Saúde Coletiva). O ponto não é que prontuário único resolve tudo, mas que desorganização no registro é um dos fatores diretos de falta. E uma queda de sistema sem contingência é exatamente isso: desorganização temporária forçada.
Lembre: o paciente não sabe (nem precisa saber) que o sistema caiu. Ele marcou, confirmou e veio. A experiência dele na clínica não pode mudar por um problema interno de infraestrutura.
Risco cibernético: por que o plano de contingência é também defesa contra ransomware
Plano de contingência não é só para "o servidor travou". Ataques de ransomware ao setor de saúde no Brasil crescem a cada ano. O prontuário odontológico, por conter dados sensíveis protegidos pela LGPD, é um alvo de valor.
O padrão de um ataque de ransomware é simples:
- O invasor ganha acesso ao sistema (phishing, senha fraca, software desatualizado)
- Criptografa o banco de dados inteiro (prontuários, agenda, financeiro)
- Exige pagamento (em criptomoeda) para devolver o acesso
Sem backup externo (fora do servidor da clínica), pagar o resgate vira a única opção para recuperar os dados. E mesmo pagando, não há garantia de que os dados voltem íntegros.
O plano de contingência protege contra esse cenário em duas frentes:
- Backup em nuvem isolado (que o ransomware não alcança porque não está na mesma rede) permite restaurar os dados sem pagar resgate.
- Protocolo manual mantém a clínica operando durante a restauração, sem suspender atendimentos.
Medidas preventivas que reduzem o risco:
- Senhas fortes e autenticação em dois fatores para acesso ao sistema
- Atualizações de software em dia (patches de segurança)
- Treinamento da equipe para identificar e-mails de phishing
- Acesso ao servidor restrito (não compartilhar login genérico)
- Segmentação da rede (o computador da recepção não precisa ter acesso administrativo ao servidor)
A prevenção é a primeira camada. O plano de contingência é a segunda. As duas juntas é o que a LGPD chama de "medidas de segurança técnicas e administrativas."
Como transformar isso em rotina testada (simulação trimestral, não plano engavetado)
Um plano de contingência que ninguém na equipe conhece é o mesmo que não ter plano. A diferença entre documento de gaveta e rotina funcional é uma palavra: simulação.
O que testar a cada trimestre:
- Simule a queda. Desligue o acesso ao sistema por 30 minutos numa janela de baixo movimento (exemplo: terça-feira às 7h30, antes de abrir). A equipe opera no protocolo manual.
- Avalie a execução. O coordenador cronometra quanto tempo levou para ativar o kit, se todos sabiam onde estava, se os formulários foram preenchidos corretamente.
- Teste a restauração do backup. Peça ao suporte do software (ou à TI) para restaurar um backup em ambiente separado e confirme que os dados voltam íntegros: prontuários, agenda, financeiro.
- Atualize o plano com o que falhou. Se o formulário de evolução não tinha campo para materiais utilizados, corrija. Se a cadeia de contatos estava desatualizada, atualize. O plano melhora a cada ciclo.
Quem participa:
- Toda a equipe clínica (dentistas, auxiliares, recepção)
- O coordenador de contingência
- O responsável técnico da clínica
| Periodicidade | Ação | Responsável |
|---|---|---|
| Diário | Imprimir lista de pacientes do dia | Recepção |
| Mensal | Revisar e repor kit de contingência | Coordenador |
| Trimestral | Simulação de queda + teste de restauração de backup | Coordenador + TI/Suporte |
| Semestral | Revisar o plano completo e atualizar normas se houver mudança | Responsável técnico |
O objetivo não é criar mais reunião. É gastar 30 minutos por trimestre para garantir que, quando a queda real acontecer, ninguém precise pensar no que fazer. Já sabe.
Leia também: LGPD na clínica: como tratar os dados de leads e pacientes
Leia também: Como migrar o prontuário de papel para digital sem parar a clínica
Leia também: Como organizar prontuário e processos na clínica odontológica
Seu próximo passo
- Monte o kit de contingência esta semana. Imprima os formulários, plastifique a cadeia de contatos, defina quem é o coordenador. Custo baixo, impacto alto.
- Agende a primeira simulação trimestral. Escolha uma data de baixo movimento, desconecte o sistema por 30 minutos e rode o protocolo com a equipe inteira. Anote o que falhou e corrija.
- Verifique seu backup agora. Pergunte ao seu fornecedor de software: com que frequência o backup roda, onde ele fica armazenado (local e nuvem), e quando foi a última restauração testada com sucesso. Se a resposta for vaga, resolva antes da próxima segunda-feira.
Quer que a sua clínica tenha previsibilidade do anúncio ao comparecimento, com sistema de captação e atendimento que não depende de sorte? Agende uma apresentação.
Perguntas frequentes
Quanto tempo meu prontuário odontológico precisa ficar guardado?
Vinte anos a partir da data do último registro, seja em papel ou digital. Essa exigência vem da Resolução CFO 91/2009 e da Lei 13.787/2018. Se o sistema perder dados antes desse prazo, a responsabilidade é do responsável técnico da clínica.
Posso eliminar o prontuário em papel se já tenho o digital?
Só se o sistema atender integralmente ao Nível de Garantia de Segurança 2 (NGS2) do Manual de Certificação SBIS, com assinatura digital ICP-Brasil. Se o software não tem essa certificação, o papel original precisa ser mantido.
A LGPD se aplica ao prontuário odontológico?
Sim. Dado de saúde é classificado como dado pessoal sensível pela LGPD. Isso significa que a clínica precisa garantir segurança e backup adequados, e a multa por falha pode chegar a 2% do faturamento, limitada a R$50 milhões por infração.
Com que frequência devo testar a restauração do backup?
A boa prática é testar trimestralmente. Um backup que nunca foi testado pode falhar justamente na hora da emergência. Inclua no teste a restauração completa de ao menos um dia de registros e confirme que prontuários, agenda e financeiro voltam íntegros.
O que faço se o sistema cair no meio de um atendimento?
Registre evolução, procedimento e observações no formulário manual de contingência (papel timbrado com campos pré-impressos). Ao retorno do sistema, redigite exatamente o que foi escrito em papel, mantendo data e hora originais, e arquive o papel como comprovante de reconciliação.