الافتراضات المتعلقة بالامتثال التي ترتكبها منظمات الرعاية الصحية
كل منظمة رعاية صحية تستخدم أدوات الذكاء الاصطناعي السحابية تتلقى نفس النصيحة من فريقها القانوني: قم بتوقيع اتفاقية شريك تجاري مع البائع وستكون محميًا بموجب HIPAA.
متطلبات اتفاقية الشريك التجاري حقيقية. تتطلب قاعدة الخصوصية في HIPAA من الكيانات المغطاة تنفيذ اتفاقيات شراكة تجارية مع الشركاء التجاريين - البائعين الذين يقومون بإنشاء أو تلقي أو الحفاظ على أو نقل المعلومات الصحية المحمية نيابة عنهم. يحتاج بائع الذكاء الاصطناعي الذي يعالج ملاحظاتك السريرية إلى اتفاقية شراكة تجارية قبل أن يتعامل مع تلك البيانات.
لكن متطلبات اتفاقية الشريك التجاري تتعلق بالعلاقة التعاقدية بين المنظمات. إنها لا تتناول ما يحدث للمعلومات الصحية المحمية على بنية البائع التحتية بعد توقيع العقد.
السؤال الحاسم ليس ما إذا كان لديك اتفاقية شراكة تجارية. إنه ما إذا كان بإمكان البائع الوصول إلى معلوماتك الصحية المحمية بصيغة نصية عادية - وماذا يحدث لتلك البيانات عندما يتعرضون للاختراق.
ما تغطيه اتفاقية الشريك التجاري فعليًا
تحدد اتفاقية الشريك التجاري أن الشريك التجاري سوف:
- يستخدم المعلومات الصحية المحمية فقط للأغراض المحددة في الاتفاقية
- ينفذ تدابير حماية مناسبة لحماية المعلومات الصحية المحمية
- يبلغ عن أي خرق للمعلومات الصحية المحمية إلى الكيان المغطى
- يعيد أو يدمر المعلومات الصحية المحمية عند إنهاء الاتفاقية
اتفاقية الشريك التجاري هي التزام تعاقدي. يلتزم الشريك التجاري بالتعامل مع المعلومات الصحية المحمية بمسؤولية، وتنفيذ أمان معقول، وإخطار الكيان المغطى إذا حدث خطأ ما.
ما لا تفعله اتفاقية الشريك التجاري:
- منع أنظمة الشريك التجاري من التعرض للاختراق
- القضاء على الوصول الفني للشريك التجاري إلى المعلومات الصحية المحمية بصيغة مفككة
- حماية الكيان المغطى من المسؤولية بموجب HIPAA عندما يتعرض الشريك التجاري للاختراق
عندما يتعرض بائع الذكاء الاصطناعي السحابي للاختراق وتحتوي خوادمهم على معلومات صحية محمية لمرضاك بصيغة يمكن فك تشفيرها، يتم الوفاء بالتزام الإخطار عن الخرق من خلال اتفاقية الشريك التجاري - لكن تعرض المعلومات الصحية المحمية هو أمر حقيقي، ويتعرض المرضى للأذى، ويواجه الكيان المغطى تحقيقات تنفيذ HIPAA بغض النظر عن العقد الموقّع.
مشكلة المعلومات الصحية المحمية على الخادم
تعمل أدوات الذكاء الاصطناعي السحابية التي تعالج بيانات الرعاية الصحية على بنية أساسية أساسية: تنتقل البيانات إلى خوادم البائع، ويتم معالجتها هناك بواسطة نموذج الذكاء الاصطناعي، وتُعاد النتائج إلى المستخدم. لكي يعمل ذلك، يجب أن تكون بنية البائع التحتية قادرة على الوصول إلى البيانات بشكل يمكن أن يعالجه نموذج الذكاء الاصطناعي.
هذا يعني إما أن البيانات غير مشفرة على خوادم البائع، أو أن التشفير يتم بواسطة البائع باستخدام مفاتيح يتحكم فيها البائع.
التشفير الذي يتحكم فيه البائع ليس تشفيرًا من النهاية إلى النهاية. إذا كان البائع يحتفظ بالمفاتيح، يمكن للبائع فك التشفير. إذا كان بإمكان البائع فك التشفير، فإن خادم البائع المخترق يكشف بياناتك بصيغة قابلة للقراءة.
هذه هي البنية التي لا تتناولها اتفاقيات الشراكة التجارية. تتطلب اتفاقية الشريك التجاري من البائع استخدام "تدابير حماية مناسبة" - لكن التشفير على الخادم الذي يتحكم فيه البائع يفي بتلك المتطلبات تعاقديًا، على الرغم من أنه لا يوفر أي حماية ضد الاختراقات من جانب البائع.
تحتوي بيانات الرعاية الصحية المعالجة بواسطة الذكاء الاصطناعي السحابي في ظل هذه الظروف على ملف تعريف خطر محدد: المعلومات الصحية المحمية المستخدمة لتوليد الوثائق السريرية المدعومة بالذكاء الاصطناعي، أو رموز الفواتير، أو خطط الرعاية موجودة في بنية البائع التحتية بصيغة يمكن قراءتها إذا تم اختراق تلك البنية.
لا تميز إنفاذ HIPAA بين "لقد تعرضنا للاختراق لكن كان لدينا اتفاقية شراكة تجارية" و"لقد تعرضنا للاختراق." تم الكشف عن المعلومات الصحية المحمية لمرضى الكيان المغطى. كان لدى الكيان المغطى التزام بحمايتها. التنفيذ الفني لتلك الحماية هو ما يحدد ما إذا تم الوفاء بالالتزام - وليس العقد.
ما تغيره بنية عدم المعرفة
تعالج بنية عدم المعرفة مشكلة الوصول من جانب الخادم على المستوى المعماري.
في تنفيذ عدم المعرفة، يتم anonymization المعلومات الصحية المحمية قبل مغادرتها بيئة الكيان المغطى. يتلقى بائع الذكاء الاصطناعي بيانات anonymized - ملاحظات سريرية مع معرفات المرضى تم استبدالها برموز هيكلية، سجلات الفواتير مع الأسماء وأرقام الحسابات المستبدلة، وخطط الرعاية مع المعلومات الديموغرافية المحذوفة.
يعالج نموذج الذكاء الاصطناعي المحتوى المجهول الهوية ويعيد النتائج. يعيد الكيان المغطى ربط النتائج بسجل المريض الأصلي باستخدام خريطة الرموز، التي لم يتم نقلها أبدًا إلى البائع.
ما يتغير هذا:
لا يتلقى البائع أبدًا المعلومات الصحية المحمية. تحتوي الملاحظات السريرية المعالجة من خلال anonymization عدم المعرفة على أسماء، تواريخ ميلاد، عناوين، أرقام سجلات طبية، أو أي معرفات أخرى للمعلومات الصحية المحمية كما هو محدد في HIPAA. يعمل نموذج الذكاء الاصطناعي للبائع على بيانات مجهولة الهوية.
لا يكشف اختراق البائع عن أي معلومات صحية محمية. إذا تم اختراق بنية البائع للذكاء الاصطناعي، فإن البيانات المخزنة هناك تحتوي على محتوى مجهول الهوية دون أي معلومات يمكن تحديد هوية المرضى. لا يمكن أن يؤدي الاختراق إلى الكشف عن المعلومات الصحية المحمية لأن المعلومات الصحية المحمية لم تُنقل أبدًا.
تُلبى متطلبات اتفاقية الشريك التجاري بمعايير أعلى. لقد نفذ الكيان المغطى تدابير حماية تقنية تتجاوز الحد الأدنى التعاقدي - ليس لأن اتفاقية الشريك التجاري تتطلب ذلك، ولكن لأن البنية تجعل الكشف عن المعلومات الصحية المحمية مستحيلاً تقنيًا بدلاً من مجرد حظره تعاقديًا.
معيار الامتثال الذي يُعتبر فعلاً
يركز إنفاذ HIPAA تحت مكتب حقوق الإنسان HHS على ما إذا كانت الكيانات المغطاة قد نفذت تدابير حماية معقولة ومناسبة لحماية المعلومات الصحية المحمية. يتم تقييم "المعقولة والمناسبة" مقابل خطر المعلومات الصحية المحمية، واحتمالية الاختراق، وتكلفة تدابير الحماية المتاحة.
تعرض بائعو الذكاء الاصطناعي السحابيين الذين يعالجون المعلومات الصحية المحمية بموجب اتفاقيات الشراكة التجارية للاختراقات. الخطر ليس افتراضيًا. السؤال الذي يطرحه المحققون في الإنفاذ هو ما إذا كانت الكيان المغطى قد نفذت تدابير حماية تعالج ملف تعريف الخطر المعروف لعلاقاتهم مع البائعين.
الكيان المغطى الذي اعتمد على اتفاقية شراكة تجارية وتشفير على الخادم يتحكم فيه البائع اتخذ نهجًا تعاقديًا لمشكلة تقنية. الكيان المغطى الذي نشر anonymization عدم المعرفة قبل نقل أي معلومات صحية محمية إلى بائعي الذكاء الاصطناعي اتخذ نهجًا تقنيًا أزال الكشف.
يتناول النهج الثاني سؤال الإنفاذ: لم تكن المعلومات الصحية المحمية أبدًا في حوزة البائع بصيغة قابلة للاستخدام. لا يوجد اختراق للإبلاغ عنه، ولا مريض لإخطار، ولا تحقيق إنفاذ للرد عليه - لأن البنية جعلت وضع الفشل مستحيلًا.
بالنسبة لمنظمات الرعاية الصحية التي تقيم اعتماد الذكاء الاصطناعي السحابي، فإن إطار الامتثال ليس "احصل على اتفاقية شراكة تجارية واستمر." إنه "تأكد من أن المعلومات الصحية المحمية لا تصل أبدًا إلى بيئة البائع بصيغة قابلة للاسترداد." تفي اتفاقية الشراكة التجارية بالمتطلبات التعاقدية. تفي بنية عدم المعرفة بالمتطلبات التقنية.
المصادر: