Помилкове припущення відповідності, яке роблять організації охорони здоров'я
Кожна організація охорони здоров'я, що розгортає хмарні ШІ-інструменти, отримує одну й ту саму пораду від своєї юридичної команди: підпишіть угоду про ділового партнера (BAA) з постачальником — і ви будете захищені за HIPAA.
Вимога BAA є реальною. Правило конфіденційності HIPAA вимагає від охоплених суб'єктів підписання BAA з діловими партнерами — постачальниками, які створюють, отримують, зберігають або передають PHI від їхнього імені. ШІ-постачальнику, який обробляє ваші клінічні нотатки, потрібен BAA до того, як вони торкнуться цих даних.
Але вимога BAA регулює контрактні відносини між організаціями. Вона не регулює те, що відбувається з PHI в інфраструктурі постачальника після підписання контракту.
Ключове питання не в тому, чи є у вас BAA. Питання в тому, що технічно відбувається з PHI після того, як він потрапляє до систем постачальника.
Різниця між BAA та технічним захистом
Що BAA забезпечує:
- Юридичне зобов'язання обробляти PHI відповідно до HIPAA
- Зобов'язання постачальника повідомляти про порушення
- Договірна відповідальність у разі порушення
Що BAA НЕ забезпечує:
- Технічну неможливість для постачальника бачити PHI
- Захист від витоку постачальника
- Гарантію від доступу інсайдерів постачальника
- Захист від ордерів, що змушують постачальника розкрити дані
Архітектура нульових знань вирішує технічну проблему
З архітектурою нульових знань для шифрування:
- Ваші PHI ніколи не існують у незашифрованому вигляді на серверах постачальника
- Постачальник математично не може отримати доступ до ваших PHI
- Навіть внутрішні загрози постачальника не можуть переглянути ваші дані
- Навіть якщо сервери постачальника повністю скомпрометовані — зашифровані PHI без ключів марні
Підхід anonym.legal
Ключі шифрування залишаються вашими
- Ключі шифрування генеруються та зберігаються на вашому пристрої
- Ми ніколи не бачимо ваші ключі
- Ми не можемо розшифрувати ваші дані, навіть якщо нас примусять
Обробка PHI
- Виявлення PII відбувається без зберігання вашого вмісту
- Ми повертаємо позиції сутностей, а не ваші PHI
- Вхідні дані відкидаються після обробки
Zero-knowledge архітектура + HIPAA
- Технічні гарантії відповідають вимогам Правила безпеки HIPAA 164.312
- Журнали аудиту для кожної операції обробки PHI
- BAA доступний для організацій охорони здоров'я
Висновок
BAA є необхідним, але недостатнім. Справжня відповідність HIPAA для хмарних ШІ-інструментів вимагає технічних заходів, що не дозволяють постачальнику бачити PHI у відкритому тексті — незалежно від підписаних контрактів.
Архітектура нульових знань — це різниця між «постачальник обіцяє не зловживати PHI» та «постачальник технічно не може зловживати PHI».
Джерела: