Risques de conformité à l'HIPAA avec les scribes d'IA dans les soins de santé : Ce que les leaders de la santé numérique doivent savoir

Les scribes d'IA deviennent rapidement l'acolyte numérique des soins de santé modernes. Ils promettent de réduire l'épuisement des cliniciens, de rationaliser la documentation et d'améliorer l'expérience des patients. Mais alors que les prestataires de soins de santé et les entreprises de santé numérique s'empressent de mettre en œuvre des solutions de scribe d'IA, une préoccupation majeure continue de faire surface : Quels sont les risques HIPAA ?

Le risque HIPAA dépend fortement de la façon dont la solution d'IA est formée, déployée, intégrée et gouvernée. Si votre entreprise explore ou utilise déjà une solution de scribe IA, testez les risques avec ce blog comme feuille de route.

Qu'est-ce qu'un scribe AI ?

Les scribes d'IA utilisent des modèles d'apprentissage automatique pour écouter (ou traiter les enregistrements) des rencontres entre le patient et le prestataire de soins et générer des notes cliniques structurées. Ces outils sont commercialisés pour s'intégrer de manière transparente dans le dossier médical électronique (DME), réduire la nécessité de consigner manuellement les données et permettre aux médecins de se concentrer davantage sur le patient pendant les visites.

En coulisses, les scribes d'IA traitent un volume important d'informations de santé protégées (PHI) en temps réel, à travers de multiples modalités (par exemple, audio, transcriptions, données EHR structurées, etc.) Par conséquent, les scribes d'IA seront réglementés par l'HIPAA.

Les pièges de l'HIPAA dans le cycle de vie du scribe d'IA

Vous trouverez ci-dessous les pièges les plus courants de l'HIPAA que nous avons rencontrés en conseillant les clients de la santé numérique, les systèmes de santé et les fournisseurs d'IA qui mettent en place des technologies de scribe.

1. Formation de l'IA sur les PHI sans autorisation appropriée

De nombreux scribes d'IA sont "affinés" ou réentraînés à l'aide de données réelles, y compris des rencontres antérieures ou des notes éditées par des cliniciens. Ces données contiennent généralement des informations personnelles. En vertu de la loi HIPAA, l'utilisation de ces informations à des fins autres que le traitement, le paiement ou les opérations de soins de santé d'un fournisseur de soins de santé d'une entité couverte nécessite généralement l'autorisation du patient. Par conséquent, les cas d'utilisation tels que la formation à un modèle ou l'amélioration d'un produit requièrent des arguments solides pour que l'activité soit considérée comme relevant des opérations de soins de santé du prestataire de soins de santé de l'entité couverte, faute de quoi l'autorisation du patient sera nécessaire.

Risque : si un fournisseur d'IA entraîne son modèle sur les données d'un client sans l'autorisation de ce dernier ou au nom du client sur une base défendable de traitement, de paiement ou d'opérations de soins de santé, cette utilisation devra être évaluée comme une violation potentielle de la HIPAA. Il convient également d'envisager tout autre consentement qui pourrait être nécessaire pour déployer cette technologie, comme le consentement des patients ou des prestataires à être enregistrés en vertu des lois de l'État sur l'enregistrement.

2. Accords d'association commerciale (BAA) inappropriés

Un fournisseur de scribe d'IA qui accède, stocke ou traite des PHI pour le compte d'une entité couverte ou d'un autre associé commercial est presque toujours un associé commercial au sens de l'HIPAA. Pourtant, nous avons vu des contrats de fournisseurs qui (a) n'ont pas de BAA conforme, (b) contiennent des clauses d'indemnisation trop larges qui éliminent essentiellement la responsabilité du fournisseur, ou (c) ne définissent pas les utilisations et divulgations autorisées ou incluent des utilisations et divulgations non autorisées par l'HIPAA (par exemple, en permettant au fournisseur d'entraîner des modèles d'IA sur des PHI sans autorisation appropriée ou en répondant à une exception de l'HIPAA).

Conseil: Examinez minutieusement chaque contrat de fournisseur d'IA. Assurez-vous que le BAA ou le contrat de services sous-jacent définit clairement : les données auxquelles on accède, que l'on stocke ou que l'on traite d'une autre manière, la manière dont les données peuvent être utilisées, y compris les données qui peuvent être utilisées pour la formation, et si les données sont dépersonnalisées ou conservées après la prestation de services.

3. Absence de garanties de sécurité 

Les plateformes de scribe IA sont des cibles de grande valeur pour les attaquants. Ces plateformes peuvent capturer des données audio en temps réel, stocker des projets de notes cliniques ou s'intégrer via des API dans le DSE. Si ces plateformes ne sont pas correctement sécurisées et qu'une violation de données s'ensuit, les risques comprennent des amendes et des pénalités réglementaires, des recours collectifs et une atteinte à la réputation.

Exigence de la HIPAA : Les entités couvertes et les associés commerciaux doivent mettre en œuvre des mesures de protection techniques, administratives et physiques "raisonnables et appropriées" pour protéger les PHI. Les entités réglementées par l'HIPAA doivent également mettre à jour leurs analyses de risques afin d'y inclure l'utilisation de scribes IA.

4. Hallucinations du modèle et sorties mal dirigées

Les scribes IA, en particulier ceux qui reposent sur des modèles génératifs, peuvent "halluciner" ou fabriquer des informations cliniques. Pire encore, ils peuvent attribuer des informations au mauvais patient en cas d'erreurs de transcription ou de non-concordance des patients. Il ne s'agit pas seulement d'un problème de flux de travail. Si des informations personnelles sont insérées dans le mauvais dossier ou divulguées à la mauvaise personne, il peut s'agir d'une violation de la loi HIPAA et des lois nationales sur les violations de données (et même d'un préjudice potentiel pour le patient si les soins futurs sont affectés par une entrée erronée).

Gestion des risques: Mettre en place un examen humain en boucle pour toutes les notes rédigées à l'aide de l'IA. Veillez à ce que les prestataires soient formés pour confirmer l'exactitude des notes avant leur saisie dans le dossier du patient.

5. Fallacies de désidentification

Certains fournisseurs affirment que leur solution d'IA est "conforme à la HIPAA" parce que les données sont dépersonnalisées. Cependant, les fournisseurs ne respectent souvent pas strictement l'une des deux méthodes de dépersonnalisation autorisées par l'HIPAA ( 45 C.F.R. § 164.514) : la détermination par un expert ou la méthode de la sphère de sécurité. Si les données ne sont pas totalement dépersonnalisées selon l'une de ces méthodes, elles ne sont pas dépersonnalisées au sens de l'HIPAA.

Contrôle de conformité: Si un fournisseur affirme que son système n'est pas soumis à la HIPAA parce qu'il n'utilise que des données dépersonnalisées, demandez-lui : la méthode de dépersonnalisation utilisée, la preuve d'une analyse des risques de réidentification et les références de l'expert en dépersonnalisation utilisé (le cas échéant). Il convient également de noter que si le fournisseur se voit confier des PHI à dépersonnaliser, un BAA doit être conclu avec le prestataire et le fournisseur pour cette dépersonnalisation. 

Prochaines étapes pratiques pour les systèmes de santé et les entreprises de santé numérique

Pour les entreprises qui évaluent ou mettent déjà en œuvre un scribe d'IA, voici des conseils pour atténuer les risques sans étouffer l'innovation :

1. Vérifier minutieusement les fournisseurs
2. Intégrez la gouvernance dans vos flux de travail DSE
3. Limiter l'utilisation secondaire/la formation sans autorisation
4. Mettez à jour votre analyse des risques
5. Formez vos prestataires

Le bilan

Les scribes d'IA transforment la documentation clinique. Cependant, une grande automatisation s'accompagne d'une grande responsabilité, en particulier dans le cadre de l'HIPAA. Les fournisseurs, les entreprises de santé numérique et les systèmes de santé doivent traiter les scribes d'IA non seulement comme des logiciels, mais aussi comme des gestionnaires de données intégrés dans les soins aux patients. En mettant en place des garanties contractuelles solides, en limitant l'utilisation des PHI à ce qui est autorisé par l'HIPAA et en évaluant continuellement les risques en aval, les leaders de la santé numérique peuvent adopter l'innovation sans s'exposer à des risques injustifiés.

Pour plus d'informations sur l'IA, la télémédecine, la télésanté, la santé numérique et d'autres innovations dans le domaine de la santé, y compris l'équipe, les publications et l'expérience des représentants, veuillez contacter l'un des auteurs ou l'un des associés ou avocats principaux du groupe Cybersécurité et confidentialité des données ou du groupe de pratique Soins de santé de Foley.