Riscos de conformidade da HIPAA com escribas de IA nos cuidados de saúde: O que os líderes da saúde digital precisam de saber

Os escribas de IA estão a tornar-se rapidamente o ajudante digital dos cuidados de saúde modernos. Eles prometem reduzir o esgotamento dos médicos, agilizar a documentação e melhorar a experiência do paciente. Mas à medida que os prestadores de cuidados de saúde e as empresas de saúde digital correm para implementar soluções de escriba de IA, uma grande preocupação continua a surgir: Quais são os riscos da HIPAA?

O risco da HIPAA depende muito da forma como a solução de IA é treinada, implantada, integrada e governada. Se a sua empresa estiver a explorar ou já estiver a utilizar uma solução de AI scribe, teste o risco com este blogue como roteiro.

O que é um escriba de IA?

Os escribas de IA utilizam modelos de aprendizagem automática para ouvir (ou processar gravações de) encontros entre doentes e médicos e gerar notas clínicas estruturadas. Estas ferramentas são comercializadas para se integrarem perfeitamente no registo de saúde eletrónico (EHR), reduzirem a necessidade de elaboração manual de registos e permitirem que os médicos se concentrem mais no doente durante as consultas.

Nos bastidores, os escribas de IA lidam com um grande volume de informações de saúde protegidas (PHI) em tempo real, em várias modalidades (por exemplo, áudio, transcrições, dados estruturados de EHR, etc.). Por conseguinte, os escribas de IA serão regulados pela HIPAA.

Armadilhas da HIPAA no ciclo de vida do escriba de IA

Abaixo estão as armadilhas mais comuns da HIPAA que encontrámos ao aconselhar clientes de saúde digital, sistemas de saúde e fornecedores de IA que estão a implementar tecnologias de escriba.

1. Formação de IA sobre PHI sem a devida autorização

Muitos escribas de IA são "afinados" ou treinados novamente utilizando dados do mundo real, incluindo encontros anteriores ou notas editadas pelo médico. Esses dados contêm normalmente PHI. Ao abrigo da HIPAA, a utilização de PHI para outros fins que não o tratamento, pagamento ou operações de cuidados de saúde de um prestador de cuidados de saúde de uma entidade abrangida requer geralmente a autorização do paciente. Consequentemente, casos de utilização como a formação de modelos ou a melhoria de produtos requerem um argumento sólido de que a atividade se qualifica como operações de cuidados de saúde do prestador de cuidados de saúde da entidade abrangida - caso contrário, será necessária a autorização do doente.

Risco: Se um fornecedor de IA estiver a treinar o seu modelo nos dados do cliente sem autorização do paciente ou em nome do cliente numa base defensável de tratamento, pagamento ou operações de cuidados de saúde, essa utilização terá de ser avaliada como uma potencial violação da HIPAA. Considere também quaisquer outros consentimentos que possam ser necessários para implementar esta tecnologia, tais como consentimentos para que os pacientes ou fornecedores sejam registados ao abrigo das leis de registo estatais.

2. Acordos de Associados Comerciais (BAA) incorrectos

Um fornecedor de AI scribe que aceda, armazene ou processe PHI em nome de uma entidade abrangida ou de outro associado comercial é quase sempre um associado comercial ao abrigo da HIPAA. No entanto, temos visto contratos de fornecedores que (a) não possuem um BAA compatível, (b) contêm isenções de responsabilidade de indenização muito amplas, essencialmente eliminando a responsabilidade do fornecedor, ou (c) não definem os usos e divulgações permitidos ou incluem usos e divulgações não permitidos pela HIPAA (como permitir que o fornecedor treine modelos de IA em PHI sem a devida autorização ou de outra forma atendendo a uma exceção da HIPAA).

Dica: Examine todos os contratos de fornecedores de IA. Certifique-se de que o BAA ou o contrato de serviços subjacente define claramente: os dados que estão a ser acedidos, armazenados ou processados de outra forma, a forma como os dados podem ser utilizados, incluindo os dados que podem ser utilizados para formação, e se os dados são desidentificados ou retidos após a prestação do serviço.

3. Falta de salvaguardas de segurança 

As plataformas de AI scribe são alvos de elevado valor para os atacantes. As plataformas podem captar áudio em tempo real, armazenar rascunhos de notas clínicas ou integrar-se através de APIs no EHR. Se essas plataformas não estiverem devidamente protegidas e, como resultado, ocorrer uma violação de dados, os riscos incluem multas e sanções regulamentares, acções judiciais colectivas e danos à reputação.

Requisito HIPAA: As entidades abrangidas e os associados comerciais têm de implementar salvaguardas técnicas, administrativas e físicas "razoáveis e adequadas" para proteger as PHI. As entidades regulamentadas pela HIPAA também têm de atualizar as suas análises de risco para incluir a utilização de escribas de IA.

4. Alucinações do modelo e saídas mal direcionadas

Os escribas de IA, especialmente os que se baseiam em modelos generativos, podem "alucinar" ou fabricar informações clínicas. Pior ainda, podem atribuir erradamente informações ao doente errado se ocorrerem erros de transcrição ou incompatibilidades entre doentes. Não se trata apenas de um problema de fluxo de trabalho. Se as PHI forem inseridas no registo errado ou divulgadas à pessoa errada, isso pode constituir uma violação ao abrigo da HIPAA e das leis estatais de violação de dados (e até ser potencialmente prejudicial para o doente se os cuidados futuros forem afectados por uma entrada incorrecta).

Gestão de riscos: Implementar uma revisão humana para todas as notas escritas com IA. Certifique-se de que os prestadores de serviços têm formação para confirmar a exatidão das notas antes de as introduzirem no registo do doente.

5. Falácias de desidentificação

Alguns fornecedores afirmam que a sua solução de IA é "compatível com a HIPAA" porque os dados são desidentificados. No entanto, os fornecedores muitas vezes não seguem rigorosamente nenhum dos dois métodos permitidos de desidentificação ao abrigo da HIPAA no 45 C.F.R. § 164.514: a Determinação de Perito ou o método de Porto Seguro. Se os dados não forem totalmente desidentificados ao abrigo de um desses métodos, os dados não são desidentificados ao abrigo da HIPAA.

Verificação de conformidade: Se um fornecedor alegar que o seu sistema está fora do alcance da HIPAA porque apenas são utilizados dados desidentificados, prima para obter: o método de desidentificação utilizado, provas de análise de risco de reidentificação e credenciais do perito em desidentificação utilizado (se aplicável). Além disso, tenha em atenção que, se o fornecedor receber PHI para desidentificar, deve existir um BAA em vigor com o fornecedor e o prestador para essa desidentificação. 

Próximas etapas práticas para sistemas de saúde e empresas de saúde digital

Para as empresas que estão a avaliar ou já estão a implementar um escriba de IA, eis algumas dicas para reduzir o risco sem sufocar a inovação:

1. Verificar minuciosamente os fornecedores
2. Integre a governação nos seus fluxos de trabalho de EHR
3. Limitar a utilização/formação secundária sem autorização
4. Atualizar a sua análise de risco
5. Formar os seus fornecedores

A linha de fundo

Os escribas de IA estão a transformar a documentação clínica. No entanto, com uma grande automatização vem uma grande responsabilidade, especialmente ao abrigo da HIPAA. Os fornecedores, as empresas de saúde digital e os sistemas de saúde devem tratar os escribas de IA não apenas como software, mas como administradores de dados incorporados no atendimento ao paciente. Ao criar fortes salvaguardas contratuais, limitando a utilização de PHI ao que é permitido ao abrigo da HIPAA e avaliando continuamente os riscos a jusante, os líderes da saúde digital podem abraçar a inovação sem correr riscos injustificados.

Para mais informações sobre IA, telemedicina, telessaúde, saúde digital e outras inovações na área da saúde, incluindo a equipa, publicações e experiência representativa, contacte qualquer um dos autores ou qualquer um dos parceiros ou advogados sénior do Grupo de Cibersegurança e Privacidade de Dados ou do Grupo de Prática de Cuidados de Saúde da Foley.