HIPAA-Compliance-Risiken mit KI-Schreibern im Gesundheitswesen: Was Führungskräfte im Bereich Digital Health wissen müssen

KI-Schreiber werden schnell zum digitalen Helfer der modernen Gesundheitsversorgung. Sie versprechen, das Burnout von Ärzten zu verringern, die Dokumentation zu rationalisieren und das Patientenerlebnis zu verbessern. Doch während Gesundheitsdienstleister und Digital-Health-Unternehmen um die Implementierung von KI-Schreiberlösungen ringen, taucht immer wieder ein großes Problem auf: Wie hoch sind die HIPAA-Risiken?

Das HIPAA-Risiko hängt in hohem Maße davon ab, wie die KI-Lösung geschult, eingesetzt, integriert und verwaltet wird. Wenn Ihr Unternehmen eine KI-Schreiberlösung in Erwägung zieht oder bereits einsetzt, sollten Sie das Risiko anhand dieses Blogs als Fahrplan prüfen.

Was ist ein KI-Schreiber?

KI-Schreiber verwenden Modelle des maschinellen Lernens, um Aufzeichnungen von Begegnungen zwischen Patient und Arzt anzuhören (oder zu verarbeiten) und strukturierte klinische Notizen zu erstellen. Diese Tools werden so vermarktet, dass sie sich nahtlos in die elektronische Patientenakte (EPA) integrieren lassen, den Bedarf an manuellen Aufzeichnungen verringern und es den Ärzten ermöglichen, sich während der Besuche mehr auf den Patienten zu konzentrieren.

Hinter den Kulissen verarbeiten KI-Schreiber eine große Menge geschützter Gesundheitsinformationen (PHI) in Echtzeit und über mehrere Modalitäten hinweg (z. B. Audio, Abschriften, strukturierte EHR-Daten usw.). Infolgedessen unterliegen KI-Schreiber dem HIPAA.

HIPAA-Fallen im Lebenszyklus des AI-Schreibers

Im Folgenden finden Sie die häufigsten HIPAA-Fallen, auf die wir bei der Beratung von Kunden aus dem Bereich der digitalen Gesundheit, von Gesundheitssystemen und KI-Anbietern, die Schreibertechnologien einführen, gestoßen sind.

1. Schulung von KI auf PHI ohne entsprechende Genehmigung

Viele KI-Schreiber werden anhand realer Daten, einschließlich früherer Begegnungen oder vom Arzt bearbeiteter Notizen, "feinabgestimmt" oder neu trainiert. Diese Daten enthalten in der Regel PHI. Nach dem HIPAA ist für die Verwendung von PHI zu anderen Zwecken als der Behandlung, Bezahlung oder dem Betrieb des Gesundheitswesens durch einen Gesundheitsdienstleister im Allgemeinen eine Genehmigung des Patienten erforderlich. Infolgedessen muss für Anwendungsfälle wie Modellschulungen oder Produktverbesserungen eindeutig nachgewiesen werden, dass die Aktivität als Gesundheitsversorgungsmaßnahme der betroffenen Einrichtung gilt - andernfalls ist eine Genehmigung des Patienten erforderlich.

Risiko: Wenn ein KI-Anbieter sein Modell auf Kundendaten trainiert, ohne dass der Patient seine Zustimmung erteilt hat, oder im Namen des Kunden auf einer vertretbaren Behandlungs-, Zahlungs- oder Gesundheitsversorgungsbasis, müsste diese Verwendung als potenzieller HIPAA-Verstoß bewertet werden. Berücksichtigen Sie auch alle anderen Zustimmungen, die für den Einsatz dieser Technologie erforderlich sein könnten, wie z. B. die Zustimmung von Patienten oder Anbietern zur Aufzeichnung gemäß den staatlichen Aufzeichnungsgesetzen.

2. Unzulässige Vereinbarungen mit Geschäftspartnern (BAAs)

Ein KI-Schreiber-Anbieter, der im Auftrag einer betroffenen Einrichtung oder eines anderen Geschäftspartners auf PHI zugreift, diese speichert oder anderweitig verarbeitet, ist fast immer ein Geschäftspartner gemäß HIPAA. Wir haben jedoch Anbieterverträge gesehen, die entweder (a) keine konforme BAA enthalten, (b) zu weit gefasste Haftungsausschlüsse enthalten, die im Wesentlichen die Haftung des Anbieters ausschließen, oder (c) die zulässige Verwendung und Offenlegung nicht definieren oder Verwendungen und Offenlegungen enthalten, die nach dem HIPAA nicht zulässig sind (wie z. B. die Erlaubnis für den Anbieter, KI-Modelle auf PHI zu trainieren, ohne eine ordnungsgemäße Genehmigung zu haben oder anderweitig eine HIPAA-Ausnahme zu erfüllen).

Tipp: Prüfen Sie jede KI-Anbietervereinbarung. Stellen Sie sicher, dass in der BAA oder dem zugrunde liegenden Dienstleistungsvertrag klar definiert ist, auf welche Daten zugegriffen wird, welche gespeichert oder anderweitig verarbeitet werden, wie die Daten verwendet werden dürfen, einschließlich der Daten, die für das Training verwendet werden dürfen, und ob die Daten nach der Leistungserbringung de-identifiziert oder aufbewahrt werden.

3. Fehlende Sicherheitsvorkehrungen 

KI-Schreiberplattformen sind hochwertige Ziele für Angreifer. Die Plattformen können Audiodaten in Echtzeit erfassen, Entwürfe klinischer Notizen speichern oder über APIs in die elektronische Patientenakte integriert werden. Sind diese Plattformen nicht ordnungsgemäß gesichert und kommt es infolgedessen zu einer Datenschutzverletzung, bestehen die Risiken in Geldbußen und Strafen, Sammelklagen und Rufschädigung.

HIPAA-Anforderung: Abgedeckte Einrichtungen und Geschäftspartner müssen "angemessene und geeignete" technische, administrative und physische Sicherheitsvorkehrungen zum Schutz von PHI treffen. HIPAA-regulierte Einrichtungen müssen außerdem ihre Risikoanalysen aktualisieren, um den Einsatz von AI-Schreibern einzubeziehen.

4. Halluzinationen und fehlgeleitete Ausgaben modellieren

KI-Schreiber, insbesondere solche, die auf generativen Modellen basieren, können klinische Informationen "halluzinieren" oder fälschen. Schlimmer noch, sie können Informationen dem falschen Patienten zuordnen, wenn Transkriptionsfehler oder Patienteninkongruenzen auftreten. Dies ist nicht nur ein Problem des Arbeitsablaufs. Wenn PHI in das falsche Diagramm eingefügt oder an die falsche Person weitergegeben werden, kann dies eine Verletzung des HIPAA und der staatlichen Datenschutzgesetze darstellen (und sogar potenziell nachteilig für den Patienten sein, wenn die künftige Behandlung durch einen fehlerhaften Eintrag beeinträchtigt wird).

Risikomanagement: Führen Sie für alle KI-Notizen eine menschliche Überprüfung ein. Stellen Sie sicher, dass die Anbieter darin geschult sind, die Richtigkeit der Notizen vor der Eingabe in die Patientenakte zu bestätigen.

5. Fehler bei der Identitätsfeststellung

Einige Anbieter behaupten, ihre KI-Lösung sei "HIPAA-konform", weil die Daten de-identifiziert sind. Die Anbieter halten sich jedoch oft nicht streng an eine der beiden zulässigen Methoden zur De-Identifizierung gemäß HIPAA ( 45 C.F.R. § 164.514): die Expertenermittlung oder die Safe-Harbor-Methode. Wenn die Daten nach einer dieser Methoden nicht vollständig de-identifiziert werden, sind die Daten nach HIPAA nicht de-identifiziert.

Compliance Check: Wenn ein Anbieter behauptet, sein System falle nicht in den Geltungsbereich des HIPAA, weil nur de-identifizierte Daten verwendet werden, fragen Sie nach: der verwendeten De-Identifizierungsmethode, dem Nachweis einer Risikoanalyse zur Re-Identifizierung und den Referenzen des verwendeten De-Identifizierungsexperten (falls zutreffend). Beachten Sie auch, dass, wenn der Anbieter PHI zur De-Identifizierung erhält, eine BAA mit dem Anbieter und dem Anbieter für diese De-Identifizierung bestehen muss. 

Praktische nächste Schritte für Gesundheitssysteme und Digital-Health-Unternehmen

Für Unternehmen, die den Einsatz eines KI-Schreibers in Erwägung ziehen oder bereits implementiert haben, gibt es hier Tipps zur Risikominderung, ohne die Innovation zu behindern:

1. Prüfen Sie die Anbieter gründlich
2. Integrieren Sie Governance in Ihre EHR-Workflows
3. Begrenzung der sekundären Nutzung/Ausbildung ohne Genehmigung
4. Aktualisieren Sie Ihre Risikoanalyse
5. Schulung Ihrer Anbieter

Die Quintessenz

KI-Schreiber verändern die klinische Dokumentation. Mit großer Automatisierung geht jedoch auch große Verantwortung einher, insbesondere im Rahmen des HIPAA. Anbieter, Digital-Health-Unternehmen und Gesundheitssysteme müssen KI-Schreiber nicht nur als Software behandeln, sondern als Datenverwalter, die in die Patientenversorgung eingebunden sind. Durch den Aufbau starker vertraglicher Sicherheitsvorkehrungen, die Beschränkung der Nutzung von PHI auf das nach HIPAA Erlaubte und die kontinuierliche Bewertung nachgelagerter Risiken können Führungskräfte im Bereich der digitalen Gesundheit Innovationen begrüßen, ohne ungerechtfertigte Risiken einzugehen.

Für weitere Informationen zu KI, Telemedizin, Telehealth, digitaler Gesundheit und anderen Gesundheitsinnovationen, einschließlich des Teams, der Veröffentlichungen und der Erfahrungen von Vertretern, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counsel der Foley Cybersecurity and Data Privacy Group oder der Health Care Practice Group.