Risico's van naleving HIPAA met AI-scribes in de gezondheidszorg: Wat leiders in de digitale gezondheidszorg moeten weten

AI-scribes worden snel het digitale hulpje van de moderne gezondheidszorg. Ze beloven burn-out bij artsen te verminderen, documentatie te stroomlijnen en de patiëntervaring te verbeteren. Maar terwijl zorgverleners en digitale gezondheidsbedrijven in een race verwikkeld zijn om AI-scribes te implementeren, blijft er één grote zorg opduiken: Wat zijn de HIPAA-risico's?

Het HIPAA-risico is sterk afhankelijk van hoe de AI-oplossing wordt getraind, ingezet, geïntegreerd en beheerd. Als uw bedrijf een AI-scribe-oplossing onderzoekt of al gebruikt, test dan de risico's met deze blog als stappenplan.

Wat is een AI-scribe?

AI-scribes gebruiken modellen voor machinaal leren om te luisteren naar (of opnames te verwerken van) ontmoetingen tussen patiënt en zorgverlener en gestructureerde klinische aantekeningen te genereren. Deze tools worden op de markt gebracht om naadloos te integreren in het elektronische patiëntendossier (EHR), de noodzaak voor handmatig in kaart brengen te verminderen en artsen in staat te stellen zich tijdens bezoeken meer op de patiënt te richten.

Achter de schermen verwerken AI-scribes een grote hoeveelheid beschermde gezondheidsinformatie (PHI) in realtime, in verschillende modaliteiten (bijv. audio, transcripties, gestructureerde EHR-gegevens, etc.). Als gevolg hiervan vallen AI-scribes onder de regelgeving van HIPAA.

HIPAA-valkuilen in de levenscyclus van AI-scribe

Hieronder staan de meest voorkomende HIPAA-valkuilen die we zijn tegengekomen bij het adviseren van klanten op het gebied van digitale gezondheidszorg, zorgsystemen en AI-leveranciers bij het uitrollen van scribe-technologieën.

1. AI trainen op PHI zonder de juiste autorisatie

Veel AI-scribes worden "verfijnd" of bijgeschoold met behulp van echte gegevens, waaronder eerdere ontmoetingen of door artsen bewerkte aantekeningen. Deze gegevens bevatten meestal PHI. Volgens HIPAA is voor het gebruik van PHI voor andere doeleinden dan behandeling, betaling of gezondheidszorgactiviteiten van een gedekte zorgaanbieder over het algemeen toestemming van de patiënt vereist. Als gevolg hiervan vereisen use cases zoals modeltraining of productverbetering een sterk bewijs dat de activiteit in aanmerking komt als gezondheidszorgactiviteiten van de betrokken zorgverlener - anders is toestemming van de patiënt vereist.

Risico: Als een AI-verkoper zijn model traint op klantgegevens zonder toestemming van de patiënt of namens de klant op een verdedigbare basis voor behandeling, betaling of gezondheidszorgactiviteiten, moet dat gebruik worden beoordeeld als een mogelijke schending van HIPAA. Denk ook aan andere toestemmingen die nodig kunnen zijn om deze technologie in te zetten, zoals toestemming voor patiënten of zorgverleners om te worden opgenomen volgens de wetten voor het opnemen van gegevens in de staat.

2. Onjuiste Business Associate Agreements (BAA's)

Een AI-scribe-leverancier die toegang heeft tot PHI, deze opslaat of anderszins verwerkt namens een betrokken entiteit of een andere business associate is bijna altijd een business associate onder HIPAA. Toch hebben we leverancierscontracten gezien waarin (a) geen BAA is opgenomen die voldoet aan de voorschriften, (b) die te ruime vrijwaringsclausules bevatten die in wezen de aansprakelijkheid van de leverancier uitsluiten, of (c) waarin het toegestane gebruik en de toegestane openbaarmaking niet zijn gedefinieerd of waarin het gebruik en de openbaarmaking zijn opgenomen die niet zijn toegestaan volgens HIPAA (zoals de leverancier toestaan om AI-modellen te trainen op PHI zonder de juiste autorisatie of die op een andere manier voldoen aan een HIPAA-uitzondering).

Tip: Neem elke overeenkomst met een AI-leverancier nauwkeurig onder de loep. Zorg ervoor dat de BAA of het onderliggende dienstencontract duidelijk definieert: welke gegevens worden opgevraagd, opgeslagen of anderszins verwerkt, hoe de gegevens mogen worden gebruikt, inclusief welke gegevens mogen worden gebruikt voor training, en of gegevens worden gedeïdentificeerd of bewaard na levering van de service.

3. Ontbrekende veiligheidswaarborgen 

AI scribe-platforms zijn hoogwaardige doelwitten voor aanvallers. De platforms kunnen real-time audio vastleggen, concept klinische aantekeningen opslaan of via API's integreren in het EPD. Als deze platforms niet goed beveiligd zijn en er als gevolg daarvan een datalek optreedt, bestaat het risico uit boetes en straffen, rechtszaken en reputatieschade.

HIPAA-vereiste: Covered entities en business associates moeten "redelijke en passende" technische, administratieve en fysieke beveiligingen implementeren om PHI te beschermen. Gereguleerde HIPAA-entiteiten moeten ook hun risicoanalyses bijwerken om het gebruik van AI-scribes op te nemen.

4. Model Hallucinaties en misplaatste uitgangen

AI-scribes, vooral als ze zijn gebaseerd op generatieve modellen, kunnen klinische informatie "hallucineren" of fabriceren. Erger nog, ze kunnen informatie verkeerd toewijzen aan de verkeerde patiënt als er transcriptiefouten worden gemaakt of als de patiënt niet overeenkomt. Dat is niet alleen een workflowprobleem. Als PHI in het verkeerde dossier wordt opgenomen of aan de verkeerde persoon wordt verstrekt, kan dat een schending zijn volgens de HIPAA- en nationale wetten inzake gegevensinbreuk (en mogelijk zelfs schadelijk voor de patiënt als toekomstige zorg wordt beïnvloed door een foutieve invoer).

Risicomanagement: Implementeer een menselijke controle voor alle AI-aantekeningen. Zorg ervoor dat zorgverleners getraind zijn om de juistheid van aantekeningen te bevestigen voordat ze in het patiëntendossier worden opgenomen.

5. De-identificatie fouten

Sommige leveranciers beweren dat hun AI-oplossing "HIPAA-compliant" is omdat de gegevens zijn gedeïdentificeerd. Leveranciers houden zich echter vaak niet strikt aan een van de twee toegestane methoden voor de-identificatie onder HIPAA in 45 C.F.R. § 164.514: de Expert Determination of de Safe Harbor methode. Als de gegevens niet volledig gedeïdentificeerd zijn volgens een van deze methoden, zijn de gegevens niet gedeïdentificeerd volgens HIPAA.

Compliance Check: Als een leverancier beweert dat zijn systeem buiten het bereik van HIPAA valt omdat er alleen niet-geïdentificeerde gegevens worden gebruikt, vraag dan naar: de gebruikte methode voor de-identificatie, bewijs van een risicoanalyse voor heridentificatie en de referenties van de gebruikte de-identificatie-expert (indien van toepassing). Houd er ook rekening mee dat als de leverancier PHI krijgt om te de-identificeren, er een BAA moet zijn met de leverancier en de leverancier voor die de-identificatie. 

Praktische volgende stappen voor zorgstelsels en digitale zorgbedrijven

Voor bedrijven die een AI-scribent evalueren of al implementeren, zijn hier tips om risico's te beperken zonder innovatie te verstikken:

1. Verkopers grondig doorlichten
2. Governance inbouwen in uw EPD-workflows
3. Secundair gebruik/training zonder autorisatie beperken
4. Werk uw risicoanalyse bij
5. Train uw leveranciers

De kern van de zaak

AI-scribes transformeren klinische documentatie. Maar met grote automatisering komt ook grote verantwoordelijkheid, vooral onder HIPAA. Leveranciers, digitale gezondheidsbedrijven en zorgstelsels moeten AI-scribers niet alleen als software behandelen, maar ook als data stewards die deel uitmaken van de patiëntenzorg. Door sterke contractuele waarborgen in te bouwen, het gebruik van PHI te beperken tot wat is toegestaan onder HIPAA en voortdurend downstream risico's te beoordelen, kunnen leiders in de digitale gezondheidszorg innovatie omarmen zonder ongerechtvaardigde risico's uit te lokken.

Voor meer informatie over AI, telegeneeskunde, telehealth, digitale gezondheidszorg en andere innovaties in de gezondheidszorg, waaronder het team, publicaties en ervaringen van vertegenwoordigers, kunt u contact opnemen met een van de auteurs of een van de partners of senior counsel in Foley's Cybersecurity and Data Privacy Group of Health Care Practice Group.