अनुपालन धारणा जो स्वास्थ्य देखभाल संगठन गलत समझते हैं
हर स्वास्थ्य देखभाल संगठन जो क्लाउड AI उपकरणों को तैनात करता है, अपने कानूनी टीम से एक ही सलाह प्राप्त करता है: विक्रेता के साथ एक व्यवसाय सहयोगी अनुबंध पर हस्ताक्षर करें और आप HIPAA के तहत कवर हैं।
BAA की आवश्यकता वास्तविक है। HIPAA का गोपनीयता नियम कवर की गई संस्थाओं को व्यवसाय सहयोगियों के साथ BAAs पर हस्ताक्षर करने की आवश्यकता करता है - विक्रेता जो उनकी ओर से संरक्षित स्वास्थ्य जानकारी को बनाते, प्राप्त करते, बनाए रखते या प्रसारित करते हैं। AI विक्रेता जिसे आपके नैदानिक नोट्स को प्रोसेस करना है, उसे उस डेटा को छूने से पहले एक BAA की आवश्यकता होती है।
लेकिन BAA की आवश्यकता संगठनों के बीच संविदात्मक संबंध को संबोधित करती है। यह इस बात को संबोधित नहीं करती कि अनुबंध पर हस्ताक्षर करने के बाद विक्रेता के बुनियादी ढांचे पर PHI के साथ क्या होता है।
महत्वपूर्ण प्रश्न यह नहीं है कि क्या आपके पास एक BAA है। यह है कि क्या विक्रेता आपके PHI को प्लेनटेक्स्ट में एक्सेस कर सकता है - और जब वे एक उल्लंघन का अनुभव करते हैं तो उस डेटा के साथ क्या होता है।
व्यवसाय सहयोगी अनुबंध वास्तव में क्या कवर करता है
एक BAA स्थापित करता है कि एक व्यवसाय सहयोगी:
- अनुबंध में निर्दिष्ट उद्देश्यों के लिए ही PHI का उपयोग करेगा
- PHI की सुरक्षा के लिए उचित सुरक्षा उपाय लागू करेगा
- कवर की गई संस्था को किसी भी PHI उल्लंघन की रिपोर्ट करेगा
- अनुबंध समाप्ति पर PHI को लौटाएगा या नष्ट करेगा
BAA एक संविदात्मक दायित्व है। व्यवसाय सहयोगी PHI को जिम्मेदारी से संभालने, उचित सुरक्षा लागू करने और यदि कुछ गलत होता है तो कवर की गई संस्था को सूचित करने के लिए प्रतिबद्ध होता है।
BAA क्या नहीं करता:
- व्यवसाय सहयोगी के सिस्टम को उल्लंघन से रोकना
- व्यवसाय सहयोगी के तकनीकी एक्सेस को PHI के डिक्रिप्टेड रूप में समाप्त करना
- व्यवसाय सहयोगी के उल्लंघन होने पर कवर की गई संस्था को HIPAA दायित्व से बचाना
जब एक क्लाउड AI विक्रेता उल्लंघन का शिकार होता है और उनके सर्वर-साइड स्टोरेज में आपके मरीजों का PHI डिक्रिप्टेबल रूप में होता है, तो उल्लंघन की सूचना देने की जिम्मेदारी BAA द्वारा पूरी होती है - लेकिन PHI का खुलासा वास्तविक होता है, मरीजों को नुकसान होता है, और कवर की गई संस्था को HIPAA प्रवर्तन जांच का सामना करना पड़ता है, चाहे कोई भी अनुबंध पर हस्ताक्षर किया गया हो।
सर्वर-साइड PHI समस्या
क्लाउड AI उपकरण जो स्वास्थ्य देखभाल डेटा को प्रोसेस करते हैं, एक मौलिक आर्किटेक्चर पर काम करते हैं: डेटा विक्रेता के सर्वर पर जाता है, वहां AI मॉडल द्वारा प्रोसेस किया जाता है, और परिणाम उपयोगकर्ता को लौटाए जाते हैं। इसके लिए, विक्रेता के बुनियादी ढांचे को डेटा तक उस रूप में पहुंच होनी चाहिए जिसे AI मॉडल प्रोसेस कर सके।
इसका मतलब है कि या तो डेटा विक्रेता के सर्वर पर अनएन्क्रिप्टेड है, या एन्क्रिप्शन विक्रेता द्वारा उन कुंजियों का उपयोग करके संभाला जाता है जिन्हें विक्रेता नियंत्रित करता है।
विक्रेता द्वारा नियंत्रित एन्क्रिप्शन एंड-टू-एंड एन्क्रिप्शन नहीं है। यदि विक्रेता कुंजियों को रखता है, तो विक्रेता डिक्रिप्ट कर सकता है। यदि विक्रेता डिक्रिप्ट कर सकता है, तो एक समझौता किया गया विक्रेता सर्वर आपके डेटा को पठनीय रूप में उजागर करता है।
यह वह आर्किटेक्चर है जिसे BAAs संबोधित नहीं करते। BAA विक्रेता से "उचित सुरक्षा उपाय" का उपयोग करने की आवश्यकता करता है - लेकिन विक्रेता द्वारा नियंत्रित सर्वर-साइड एन्क्रिप्शन संविदात्मक रूप से उस आवश्यकता को पूरा करता है, भले ही यह विक्रेता-साइड उल्लंघनों के खिलाफ कोई सुरक्षा प्रदान न करे।
इन परिस्थितियों में क्लाउड AI द्वारा प्रोसेस किया गया स्वास्थ्य देखभाल डेटा एक विशिष्ट जोखिम प्रोफ़ाइल रखता है: PHI जिसका उपयोग AI-सहायता प्राप्त नैदानिक दस्तावेज़ीकरण, बिलिंग कोड, या देखभाल योजनाओं को उत्पन्न करने के लिए किया जाता है, विक्रेता के बुनियादी ढांचे में एक रूप में मौजूद है जिसे पढ़ा जा सकता है यदि वह बुनियादी ढांचा समझौता कर लिया जाए।
HIPAA प्रवर्तन "हम उल्लंघन का शिकार हुए लेकिन हमारे पास एक BAA था" और "हम उल्लंघन का शिकार हुए" के बीच अंतर नहीं करता। कवर की गई संस्था के मरीजों का PHI उजागर हुआ। कवर की गई संस्था के पास इसे सुरक्षित रखने का दायित्व था। उस सुरक्षा का तकनीकी कार्यान्वयन यह निर्धारित करता है कि क्या दायित्व पूरा हुआ - न कि अनुबंध।
जीरो-ज्ञान आर्किटेक्चर क्या बदलता है
जीरो-ज्ञान आर्किटेक्चर आर्किटेक्चरल स्तर पर सर्वर-साइड एक्सेस समस्या को संबोधित करता है।
एक जीरो-ज्ञान कार्यान्वयन में, PHI को कवर की गई संस्था के वातावरण से बाहर निकलने से पहले एनोनिमाइज किया जाता है। AI विक्रेता एनोनिमाइज्ड डेटा प्राप्त करता है - नैदानिक नोट्स जिनमें रोगी पहचानकर्ता संरचित टोकनों द्वारा प्रतिस्थापित होते हैं, बिलिंग रिकॉर्ड जिनमें नाम और खाता संख्या प्रतिस्थापित होते हैं, देखभाल योजनाएं जिनमें जनसांख्यिकीय जानकारी हटा दी जाती है।
AI मॉडल एनोनिमाइज्ड सामग्री को प्रोसेस करता है और परिणाम लौटाता है। कवर की गई संस्था परिणामों को मूल रोगी रिकॉर्ड के साथ फिर से जोड़ती है, जिसका टोकन मैपिंग विक्रेता को कभी भी नहीं भेजा गया।
यह क्या बदलता है:
विक्रेता कभी भी PHI प्राप्त नहीं करता। जीरो-ज्ञान एनोनिमाइजेशन के माध्यम से प्रोसेस किए गए नैदानिक नोट्स में कोई नाम, जन्म तिथि, पते, चिकित्सा रिकॉर्ड संख्या, या अन्य HIPAA-परिभाषित PHI पहचानकर्ता नहीं होते। विक्रेता का AI मॉडल एनोनिमाइज्ड डेटा पर काम करता है।
एक विक्रेता उल्लंघन कोई PHI उजागर नहीं करता। यदि AI विक्रेता का बुनियादी ढांचा समझौता कर लिया गया है, तो वहां संग्रहीत डेटा में एनोनिमाइज्ड सामग्री होती है जिसमें कोई रोगी-पहचान योग्य जानकारी नहीं होती। उल्लंघन PHI के उजागर होने का परिणाम नहीं हो सकता क्योंकि PHI कभी भी भेजा नहीं गया।
BAA की आवश्यकताएं उच्च मानक पर पूरी होती हैं। कवर की गई संस्था ने तकनीकी सुरक्षा उपाय लागू किए हैं जो संविदात्मक न्यूनतम से अधिक हैं - न कि इसलिए कि BAA इसकी आवश्यकता करता है, बल्कि इसलिए कि आर्किटेक्चर PHI के उजागर होने को तकनीकी रूप से असंभव बनाता है न कि केवल संविदात्मक रूप से निषिद्ध।
वह अनुपालन मानक जो वास्तव में लागू होता है
HHS नागरिक अधिकार कार्यालय के तहत HIPAA प्रवर्तन इस पर केंद्रित है कि क्या कवर की गई संस्थाओं ने PHI की सुरक्षा के लिए उचित और उचित सुरक्षा उपाय लागू किए। "उचित और उचित" को PHI के जोखिम, समझौते की संभावना, और उपलब्ध सुरक्षा उपायों की लागत के खिलाफ मूल्यांकित किया जाता है।
BAAs के तहत PHI को प्रोसेस करने वाले क्लाउड AI विक्रेताओं ने उल्लंघनों का अनुभव किया है। जोखिम काल्पनिक नहीं है। प्रवर्तन जांचकर्ताओं द्वारा पूछे जाने वाला प्रश्न यह है कि क्या कवर की गई संस्था ने उन विक्रेता संबंधों के ज्ञात जोखिम प्रोफ़ाइल को संबोधित करने वाले सुरक्षा उपाय लागू किए।
एक कवर की गई संस्था जिसने BAA और विक्रेता-नियंत्रित सर्वर-साइड एन्क्रिप्शन पर भरोसा किया, उसने एक तकनीकी समस्या के लिए संविदात्मक दृष्टिकोण अपनाया। एक कवर की गई संस्था जिसने AI विक्रेताओं को कोई PHI भेजने से पहले जीरो-ज्ञान एनोनिमाइजेशन को लागू किया, उसने एक तकनीकी दृष्टिकोण अपनाया जिसने उजागर होने को समाप्त कर दिया।
दूसरा दृष्टिकोण प्रवर्तन प्रश्न को संबोधित करता है: PHI कभी भी विक्रेता के पास उपयोगी रूप में नहीं था। रिपोर्ट करने के लिए कोई उल्लंघन नहीं है, सूचित करने के लिए कोई मरीज नहीं है, जवाब देने के लिए कोई प्रवर्तन जांच नहीं है - क्योंकि आर्किटेक्चर ने विफलता मोड को असंभव बना दिया।
स्वास्थ्य देखभाल संगठनों के लिए जो क्लाउड AI अपनाने का मूल्यांकन कर रहे हैं, अनुपालन ढांचा "एक BAA प्राप्त करें और आगे बढ़ें" नहीं है। यह है "सुनिश्चित करें कि PHI कभी भी पुनर्प्राप्त करने योग्य रूप में विक्रेता के वातावरण तक नहीं पहुंचता।" BAA संविदात्मक आवश्यकता को पूरा करता है। जीरो-ज्ञान आर्किटेक्चर तकनीकी आवश्यकता को पूरा करता है।
स्रोत: