Riesgos de cumplimiento de la HIPAA con los escribas de IA en la atención sanitaria: lo que deben saber los líderes de la salud digital

Los escribas de IA se están convirtiendo rápidamente en los compañeros digitales de la atención sanitaria moderna. Prometen reducir el agotamiento de los médicos, agilizar la documentación y mejorar la experiencia del paciente. Pero a medida que los proveedores de atención médica y las empresas de salud digital se apresuran a implementar soluciones de escribas de IA, sigue surgiendo una preocupación importante: ¿cuáles son los riesgos de la HIPAA?

El riesgo de la HIPAA depende en gran medida de cómo se entrene, implemente, integre y gestione la solución de IA. Si su empresa está explorando o ya utiliza una solución de escriba de IA, ponga a prueba el riesgo con este blog como guía.

¿Qué es un AI Scribe?

Los escribas de IA utilizan modelos de aprendizaje automático para escuchar (o procesar grabaciones de) las consultas entre pacientes y proveedores y generar notas clínicas estructuradas. Estas herramientas se comercializan para integrarse perfectamente en la historia clínica electrónica (HCE), reducir la necesidad de realizar gráficos manuales y permitir a los médicos centrarse más en el paciente durante las visitas.

Entre bastidores, los escribas de IA manejan un gran volumen de información médica protegida (PHI) en tiempo real, a través de múltiples modalidades (por ejemplo, audio, transcripciones, datos estructurados de EHR, etc.). Como resultado, los escribas de IA estarán regulados por la HIPAA.

Los escollos de la HIPAA en el ciclo de vida de AI Scribe

A continuación se enumeran los errores más comunes relacionados con la HIPAA que hemos detectado al asesorar a clientes del sector de la salud digital, sistemas sanitarios y proveedores de IA que están implementando tecnologías de transcripción.

1. Entrenamiento de IA con información médica protegida sin la autorización adecuada

Muchos escribas de IA se «ajustan» o se vuelven a formar utilizando datos del mundo real, incluyendo encuentros previos o notas editadas por médicos. Esos datos suelen contener información médica protegida (PHI). Según la HIPAA, el uso de la PHI para fines que vayan más allá del tratamiento, el pago o las operaciones de atención médica de un proveedor de atención médica cubierto por la ley generalmente requiere la autorización del paciente. Como resultado, los casos de uso como el entrenamiento de modelos o la mejora de productos requieren un argumento sólido que demuestre que la actividad califica como operaciones de atención médica del proveedor de atención médica de la entidad cubierta; de lo contrario, se requerirá la autorización del paciente.

Riesgo: si un proveedor de IA está entrenando su modelo con datos de clientes sin la autorización de los pacientes o en nombre del cliente sobre la base de un tratamiento, pago u operaciones de atención médica justificables, ese uso debería evaluarse como una posible infracción de la HIPAA. También hay que tener en cuenta cualquier otro consentimiento que pueda ser necesario para implementar esta tecnología, como los consentimientos de los pacientes o proveedores que deben registrarse en virtud de las leyes estatales de registro.

2. Acuerdos de asociación comercial (BAA) inadecuados

Un proveedor de servicios de transcripción mediante IA que accede, almacena o procesa de cualquier otra forma información médica protegida (PHI) en nombre de una entidad cubierta u otro socio comercial es casi siempre un socio comercial según la HIPAA. Sin embargo, hemos visto contratos de proveedores que (a) carecen de un acuerdo de asociado comercial (BAA) que cumpla con la normativa, (b) contienen exenciones de responsabilidad excesivamente amplias que eliminan esencialmente la responsabilidad del proveedor, o (c) no definen los usos y divulgaciones permitidos o incluyen usos y divulgaciones no permitidos por la HIPAA (como permitir al proveedor entrenar modelos de IA con PHI sin la debida autorización o sin cumplir con una excepción de la HIPAA).Consejo de

: Examine minuciosamente todos los acuerdos con proveedores de IA. Asegúrese de que el BAA o el contrato de servicios subyacente defina claramente: los datos a los que se accede, se almacenan o se procesan de otro modo, cómo se pueden utilizar los datos, incluidos los datos que se pueden utilizar para el entrenamiento, y si los datos se desidentifican o se conservan después de la prestación del servicio.

3. Falta de medidas de seguridad 

Las plataformas de transcripción con IA son objetivos muy valiosos para los atacantes. Estas plataformas pueden capturar audio en tiempo real, almacenar borradores de notas clínicas o integrarse a través de API en los registros médicos electrónicos (EHR). Si estas plataformas no están debidamente protegidas y se produce una violación de datos, los riesgos incluyen multas y sanciones reglamentarias, demandas colectivas y daños a la reputación.

Requisito de la HIPAA: Las entidades cubiertas y los socios comerciales deben implementar medidas de seguridad técnicas, administrativas y físicas «razonables y adecuadas» para proteger la PHI. Las entidades reguladas por la HIPAA también deben actualizar sus análisis de riesgos para incluir el uso de escribas de IA.

4. Alucinaciones modelo y resultados erróneos

Los escribas de IA, especialmente los basados en modelos generativos, pueden «alucinar» o fabricar información clínica. Peor aún, pueden atribuir erróneamente la información al paciente equivocado si se producen errores de transcripción o discrepancias entre pacientes. No se trata solo de un problema de flujo de trabajo. Si la información médica protegida (PHI) se inserta en la historia clínica equivocada o se divulga a la persona equivocada, podría constituir una infracción de la HIPAA y de las leyes estatales sobre violación de datos (e incluso podría ser perjudicial para el paciente si la atención futura se ve afectada por una entrada errónea).

Gestión de riesgos: Implemente una revisión con intervención humana para todas las notas redactadas por IA. Asegúrese de que los proveedores estén capacitados para confirmar la exactitud de las notas antes de introducirlas en el historial del paciente.

5. Falacias de la desidentificación

Algunos proveedores afirman que su solución de IA «cumple con la HIPAA» porque los datos están desidentificados. Sin embargo, los proveedores a menudo no siguen estrictamente ninguno de los dos métodos de desidentificación permitidos por la HIPAA en 45 C.F.R. § 164.514: el método de determinación por expertos o el método de puerto seguro. Si los datos no se anonimizan completamente según uno de esos métodos, no se consideran anonimizados según la HIPAA.

Comprobación de cumplimiento: si un proveedor afirma que su sistema queda fuera del alcance de la HIPAA porque solo utiliza datos anonimizados, insista en conocer: el método de anonimización utilizado, las pruebas del análisis de riesgo de reidentificación y las credenciales del experto en anonimización utilizado (si procede). Además, tenga en cuenta que si se proporciona al proveedor información médica protegida (PHI) para desidentificarla, debe existir un acuerdo de nivel de servicio (BAA) entre el proveedor y el proveedor para dicha desidentificación. 

Próximos pasos prácticos para los sistemas sanitarios y las empresas de salud digital

Para las empresas que están evaluando o ya han implementado un sistema de escritura con IA, aquí hay algunos consejos para mitigar el riesgo sin frenar la innovación:

1. Vendedores veterinarios exhaustivos
2. Incorpore la gobernanza en sus flujos de trabajo de EHR.
3. Limitar el uso secundario/formación sin autorización.
4. Actualice su análisis de riesgos.
5. Forma a tus proveedores

El resultado final

Los escribas de IA están transformando la documentación clínica. Sin embargo, una gran automatización conlleva una gran responsabilidad, especialmente en el marco de la HIPAA. Los proveedores, las empresas de salud digital y los sistemas de salud deben tratar a los escribas de IA no solo como software, sino como administradores de datos integrados en la atención al paciente. Mediante la creación de sólidas garantías contractuales, la limitación del uso de la PHI a lo permitido por la HIPAA y la evaluación continua de los riesgos derivados, los líderes de la salud digital pueden adoptar la innovación sin incurrir en riesgos injustificados.

Para obtener más información sobre la IA, la telemedicina, la telesalud, la salud digital y otras innovaciones sanitarias, incluido el equipo, las publicaciones y la experiencia representativa, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica Sanitaria de Foley.