Panduan untuk Standar & Regulasi Layanan Kesehatan Esensial

Diterbitkan: 2022-03-25

Pada 1980-an, ERP dan EHR mengantarkan era modern TI perawatan kesehatan. Saat ini, perawatan klinis, keselamatan pasien, dan peningkatan kualitas hampir seluruhnya diserahkan ke komputer.

Namun, terlepas dari berbagai teknologi komunikasi yang tersedia, tidak ada cara universal untuk mengelola dan mentransfer data perawatan kesehatan. Kendala utama yang menghambat kelancaran pertukaran data adalah pengadopsian standar data perawatan kesehatan yang tidak teratur untuk menyimpan, menyandikan, dan berbagi informasi klinis.

Sementara pemerintah federal telah bergerak maju dengan mengintegrasikan sistem perawatan kesehatan, kebutuhan untuk menavigasi banyak standar TI perawatan kesehatan tetap ada.

Posting blog ini mencantumkan standar dan peraturan TI perawatan kesehatan penting untuk perusahaan perangkat lunak perawatan kesehatan dan organisasi medis yang perlu diingat ketika mengembangkan dan meluncurkan teknologi perawatan kesehatan. Mari selami!

Standar TI perawatan kesehatan yang mengatur keamanan data

HIPAA

Apa yang pernah dimulai sebagai tindakan yang melindungi asuransi kesehatan bagi pekerja yang kehilangan pekerjaan, HIPAA, atau Undang-Undang Portabilitas dan Profitabilitas Asuransi Kesehatan, sekarang mungkin merupakan undang-undang paling terkenal yang melindungi informasi perawatan kesehatan. Ini menetapkan standar untuk menyimpan, berbagi, mengelola, dan merekam informasi kesehatan yang dapat diidentifikasi secara pribadi (PHI).

Jadi, setiap entitas yang terlibat dalam pengoperasian data perawatan kesehatan atau penyediaan perangkat lunak yang menangani data tersebut harus memastikan peraturan teknologi informasi kesehatan yang diperlukan terpenuhi. HIPAA terdiri dari beberapa komponen:

  • Aturan Keamanan
  • Aturan Privasi
  • Aturan Pemberitahuan Pelanggaran
  • Aturan Omnibus
  • Aturan Penegakan

Yang terikat dengan perangkat lunak perawatan kesehatan adalah Aturan Pemberitahuan Keamanan, Privasi, dan Pelanggaran.

Aturan Keamanan HIPAA

Aturan keamanan menguraikan perlindungan untuk melindungi PHI dan mencakup tiga bagian: pengamanan teknis, fisik, dan administratif.

Pengamanan teknis

Pengamanan teknis mengharuskan organisasi layanan kesehatan untuk mengenkripsi PHI elektronik setelah melewati server internal. Organisasi bebas memilih cara yang tepat untuk menerapkan persyaratan berikut:

  • Kontrol akses (diperlukan) memastikan setiap pengguna yang memiliki akses ke PHI memiliki nama dan kata sandi yang unik. Standar data perawatan kesehatan juga mengharuskan penerapan prosedur yang mengatur pelepasan dan pengungkapan PHI dalam keadaan darurat
  • Otentikasi ePHI (dapat dialamatkan) memerlukan mekanisme pembentukan untuk mengonfirmasi apakah PHI telah diubah atau disabotase
  • Enkripsi dan dekripsi (dapat dialamatkan) menetapkan fungsionalitas untuk mengenkripsi dan mendekripsi pesan yang dikirim di luar server internal
  • Log aktivitas dan kontrol audit (diperlukan) mendaftarkan upaya akses PHI dan mencatat perubahan yang dilakukan pada data setelah diakses
  • Log-off otomatis (dapat dialamatkan) mencegah kompromi informasi kesehatan pribadi setelah perangkat dibiarkan tanpa pengawasan

Pengamanan fisik

Perlindungan fisik berfokus pada pengamanan akses fisik ke PHI dan menjabarkan langkah-langkah untuk mengamankan perangkat seluler dan stasiun kerja. Organisasi perawatan kesehatan diharuskan untuk menerapkan:

  • Kontrol akses fasilitas (dapat dialamatkan)
  • Pedoman untuk menemukan dan menggunakan stasiun kerja (wajib)
  • Prosedur penggunaan perangkat seluler (wajib)
  • Kebijakan inventaris dan perangkat keras (dapat dialamatkan)

Pengamanan administratif

Pengamanan administratif menetapkan langkah-langkah tingkat tinggi untuk perlindungan PHI. Mereka membutuhkan:

  • Melakukan penilaian risiko (wajib)
  • Memperkenalkan kebijakan manajemen risiko (wajib)
  • Melatih karyawan tentang penanganan data kesehatan yang aman (dapat dialamatkan)
  • Mengembangkan rencana darurat (wajib)
  • Menguji rencana kontingensi (dapat dialamatkan)
  • Membatasi akses pihak ketiga ke data (wajib)
  • Melaporkan insiden keamanan (dapat dialamatkan)

Aturan Privasi HIPAA

Aturan Privasi standar data perawatan kesehatan HIPAA menguraikan langkah-langkah tentang bagaimana PHI dapat digunakan dan diungkapkan. Di bawah Aturan Privasi, organisasi layanan kesehatan seharusnya:

  • Latih karyawan untuk memastikan mereka mengetahui informasi apa yang boleh dan tidak boleh dibagikan di luar mekanisme keamanan organisasi
  • Terapkan langkah-langkah yang tepat untuk menjaga integritas PHI
  • Pastikan izin tertulis diterima dari pasien sebelum informasi kesehatan mereka digunakan untuk pemasaran, penggalangan dana, atau penelitian

Aturan Pemberitahuan Pelanggaran HIPAA

Aturan Pemberitahuan Pelanggaran mengharuskan organisasi layanan kesehatan untuk memberi tahu pasien jika PHI mereka disusupi. Ini juga mengharuskan entitas untuk segera memberi tahu Departemen Kesehatan dan Layanan Kemanusiaan tentang pelanggaran PHI dan mengeluarkan pemberitahuan kepada media jika pelanggaran tersebut memengaruhi lebih dari lima ratus pasien.

HITECH

Undang-undang Teknologi Informasi Kesehatan untuk Ekonomi dan Kesehatan Klinis ditandatangani pada tahun 2009. Peraturan TI perawatan kesehatan yang baru bertujuan untuk mempromosikan "adopsi dan penggunaan teknologi informasi kesehatan yang berarti" dan menetapkan penegakan HIPAA yang lebih ketat. Tindakan tersebut mengharuskan penyedia layanan kesehatan untuk menjalankan audit keamanan untuk menyelidiki apakah mereka mematuhi aturan Privasi dan Keamanan HIPAA.

Jadi, HITECH dapat dianggap sebagai sayap penegakan HIPAA. Regulasi TI perawatan kesehatan juga memberikan insentif keuangan bagi organisasi perawatan kesehatan untuk meniadakan biaya peralihan ke EHR dan persyaratan keamanan data yang lebih ketat serta hukuman bagi penyedia layanan kesehatan dan vendor perangkat lunak. Di bawah HITECH, pasien harus diberi tahu tentang akses tidak sah ke data mereka, dan informasi kesehatan pribadi hanya dapat dibagikan melalui metode yang aman.

GDPR

Peraturan Perlindungan Data Umum adalah salah satu peraturan TI perawatan kesehatan penting yang mengontrol semua data masalah di UE, dan informasi kesehatan termasuk dalam cakupannya. Perlu diingat bahwa GDPR tidak hanya berlaku untuk organisasi yang berbasis di UE, tetapi juga untuk organisasi di luarnya jika mereka menargetkan individu yang berbasis di UE. Langkah-langkah penting yang harus diambil organisasi untuk memastikan rentang kepatuhan GDPR:

  • Menunjuk Petugas Perlindungan Data khusus
  • Mengevaluasi risiko terkait data dengan melakukan penilaian dampak perlindungan data (DPIA)
  • Rancang dan luncurkan strategi keamanan data
  • Beri tahu pelanggaran data dalam waktu 72 jam.

Peraturan IT perawatan kesehatan yang mengendalikan perangkat medis dan perangkat lunak sebagai perangkat medis (SaMD)

FDA

Administrasi Makanan dan Obat-obatan AS mengatur segalanya mulai dari makanan hingga obat-obatan hingga kosmetik. Apa yang menarik bagi vendor TI perawatan kesehatan adalah bahwa entitas tersebut memeriksa dan menetapkan standar TI kesehatan untuk perangkat medis dan aplikasi perangkat lunak yang berfungsi sebagai perangkat medis. Jadi, jika perangkat lunak Anda terlibat dalam melakukan tugas medis dan penggunaan perangkat lunak ini secara tidak sengaja memiliki risiko tinggi, Anda harus mendapatkan izin FDA.

Contoh perangkat lunak yang berada di bawah peraturan FDA dapat mencakup aplikasi yang membantu mengontrol inflasi dan deflasi manset tekanan darah atau aplikasi seluler yang mengarahkan pengiriman insulin pada pompa insulin. Anda dapat memeriksa semua fitur yang membuat produk Anda tunduk pada persetujuan FDA di sini.

Di sisi lain, jika perangkat lunak Anda tidak memenuhi definisi perangkat medis atau menimbulkan risiko rendah bagi publik, kemungkinan Anda tidak perlu mengajukan permohonan persetujuan FDA. Aplikasi yang dikecualikan dari sertifikasi FDA dapat mencakup aplikasi seluler yang membantu pasien mengelola sendiri kondisi mereka tanpa memberikan saran perawatan khusus atau yang membantu penyedia layanan kesehatan dalam mengotomatiskan tugas sehari-hari mereka. Untuk mendapatkan persetujuan FDA,

Klasifikasikan perangkat Anda atau SaMD

Klasifikasikan perangkat lunak atau perangkat Anda di awal perjalanan pengembangan aplikasi perawatan kesehatan Anda. Tergantung pada fitur produk Anda, mungkin termasuk dalam kelas I, II, atau III, yang menentukan peraturan perangkat lunak medis yang harus dijalankan. Kelas perangkat tergantung pada tujuan penggunaannya dan, yang lebih penting, risikonya. Kelas I mencakup perangkat dengan risiko terendah dan kelas III — perangkat dengan risiko tertinggi. Untuk menentukan kelas produk, Anda dapat langsung masuk ke database klasifikasi dan mencari perangkat berdasarkan nama.

Atau, Anda dapat membuka daftar panel dan mencari berdasarkan panel atau spesialisasi medis perangkat Anda. Selain itu, karena hingga 74% perangkat kelas I dikecualikan dari proses pemberitahuan pra-pasar, periksa apakah produk Anda sesuai dengan itu dengan mencarinya di halaman Pengecualian Perangkat Medis. Dan jika Anda sedang mengembangkan perangkat medis atau SaMD dengan tujuan penggunaan yang benar-benar baru, sebaiknya hubungi FDA secara langsung untuk membahas peraturan teknologi informasi perawatan kesehatan yang mungkin berlaku.

Terapkan kontrol yang diperlukan

Alat kesehatan kelas I memerlukan penerapan pengendalian umum, yaitu:

  1. Pendaftaran pendirian dan daftar alat kesehatan (21 CFR Part 807)
  2. Regulasi sistem mutu (21 CFR Bagian 820)
  3. Persyaratan pelabelan (21 CFR Bagian 801)
  4. Pelaporan perangkat medis (21 CFR Bagian 803)
  5. Pemberitahuan prapasar (21 CFR Bagian 807)
  6. Koreksi dan penghapusan pelaporan (21 CFR Bagian 806)
  7. Persyaratan pengecualian perangkat investigasi untuk studi klinis perangkat investigasi (21 CFR Bagian 812)

Perangkat Kelas II memerlukan penerapan kontrol umum di atas, kontrol khusus, dan pemberitahuan prapasar. Perangkat Kelas III memerlukan penerapan kontrol umum dan persetujuan prapasar. Setelah Anda mendapatkan dokumentasi yang diperlukan, kirimkan untuk dipertimbangkan. Catatan: Mulai awal 2022, entitas sedang menyusun panduan yang mengatur teknologi kesehatan digital untuk akuisisi data jarak jauh dan investigasi klinis. Panduannya belum final, tapi kami akan mengawasinya.

Standar struktur konten layanan kesehatan

HL7

Dikembangkan oleh Health Level Seven International, entitas nirlaba yang menyediakan kerangka kerja dan peraturan informasi kesehatan terkait, HL7 menangani pertukaran data medis antara sistem perawatan kesehatan yang berbeda. Standar adalah tulang punggung EHR. Karena EHR adalah sistem terdistribusi yang bergantung pada interaksi yang lancar antara beberapa subsistem untuk membentuk proses perawatan kesehatan tertentu, HL7 berfungsi sebagai penghubung antara subsistem tersebut. Ada dua versi standar TI perawatan kesehatan HL7.

  • HL7 versi 2: HL7 v2 sesuai dengan sistem perawatan pasien terpusat dan lingkungan terdistribusi di mana data pasien berada di subsistem departemen. Dengan penandatanganan HITECH, HL7 versi 2.5.1 secara khusus dipilih sebagai standar untuk memenuhi sertifikasi tertentu.
  • HL7 versi 3: HL7 v3 mengambil pendekatan baru untuk bertukar informasi klinis yang bergantung pada pesan yang ditulis dalam sintaks XML. Tujuan HL7 v3 adalah untuk meningkatkan adopsi standar HL7 di seluruh dunia, menghilangkan ketidakjelasan, dan menciptakan standar yang lebih tepat yang bebas dari masalah warisan. Jadi, dibandingkan dengan HL7 versi 2, HL7 versi 3 menampilkan model data yang konsisten dan peran yang terdefinisi dengan baik untuk aplikasi dan pesan yang digunakan untuk fungsi klinis yang berbeda.

HL7 versi 3 telah diadopsi terutama untuk aplikasi tanpa persyaratan komunikasi lama, tanpa riwayat penggunaan HL7 versi2, atau di wilayah dengan persyaratan pemerintah yang ketat untuk penggunaan HL7 v3. Kedua versi standar data perawatan kesehatan hidup berdampingan, dan cukup umum untuk memiliki beberapa versi standar yang digunakan secara bersamaan di institusi yang sama.

Standar transportasi pesan

FHIR

Dibangun di atas HL7, Sumber Daya Interoperabilitas Perawatan Kesehatan Cepat menjelaskan format data dan API untuk catatan kesehatan elektronik. Standar ini menyediakan satu set RESTful API berbasis HTTP untuk memungkinkan penyedia layanan kesehatan berbagi data dalam format XML dan JSON. Standar ini berlaku di berbagai pengaturan, mulai dari aplikasi seluler hingga aplikasi cloud hingga berbagi data berbasis EHR. Elemen penting dari FHIR adalah sumber daya.

Bergantung pada jenisnya, sumber daya dapat berisi data tentang demografi pasien, obat-obatan, rencana perawatan, alergi, dan banyak lagi. Ketika digabungkan, sumber daya membentuk alur kerja klinis dan administratif yang bervariasi. Terlepas dari reaksi beragam penyedia layanan kesehatan terhadap kedewasaan FHIR, FHIR diproyeksikan untuk mengambil alih standar pertukaran data perawatan kesehatan lainnya pada tahun 2024. Alasannya adalah bahwa FHIR menawarkan kemungkinan untuk membangun aplikasi standar untuk mengakses data perawatan kesehatan — tidak peduli EHR mana yang mendukung infrastruktur.

DICOM

DICOM, atau Digital Images and Communications in Medicine, memfasilitasi pertukaran gambar medis dan data terkait di seluruh perangkat lunak dan perangkat keras. Dibandingkan dengan file gambar standar, seperti JPEG atau TIFF, yang tidak menampilkan data tentang konteks gambar, file DICOM memiliki struktur yang lebih kompleks.

Mereka berisi metadata yang memberikan wawasan tentang pasien dan parameter akuisisi gambar. Sistem yang diterapkan DICOM bermacam-macam: dari pemindai CT dan MRI hingga pengarsipan gambar dan sistem komunikasi (PACS) hingga sistem informasi radiologi (RIS).

Hal-hal penting yang perlu diingat ketika berhadapan dengan solusi teknologi perawatan kesehatan

Pandemi telah mendorong banyak organisasi kesehatan dan startup kesehatan untuk berpikir digital-first. Akibatnya, jumlah solusi teknologi yang memasuki pasar perawatan kesehatan telah meningkat pesat. Sebagai penyedia dan pengguna teknologi perawatan kesehatan, apa yang dapat Anda lakukan untuk memastikan solusi tersebut memenuhi semua peraturan TI perawatan kesehatan yang dibutuhkan? Kami telah menyusun daftar tip penting yang perlu diingat.

Tips untuk vendor teknologi kesehatan:

  • Mengembangkan solusi teknologi baru membutuhkan pemahaman yang mendalam tentang kompleksitas dan kekhususan sistem perawatan kesehatan. Jadi, sebelum mempelajari desain produk, pastikan untuk memahami konteks di mana produk akan digunakan, termasuk pengaturan organisasi, kelompok pemangku kepentingan yang relevan, dan hubungan pemangku kepentingan. Penting juga untuk mengevaluasi risiko yang terkait dengan penggunaan teknologi perawatan kesehatan yang Anda kembangkan. Mengetahui risikonya akan membantu Anda menguraikan standar TI perawatan kesehatan yang diperlukan.
  • Agar produk Anda disetujui, Anda harus menyerahkan semua jenis dokumentasi kepada otoritas pengatur. Jadi, ketika membuat ide, merancang, dan mengembangkan solusi Anda, dokumentasikan proses pengembangannya. Untuk menentukan dokumentasi dan prosedur yang perlu Anda ikuti, lihat Departemen Kesehatan dan Layanan Kemanusiaan, Kantor Inspektur Jenderal (OIG), Drug Enforcement Administration (DEA), dan Food and Drug Administration (FDA).
  • Sebelum benar-benar memasuki pasar, pertimbangkan untuk melakukan pengujian kepatuhan eksternal. Berkolaborasi dengan vendor yang mengetahui peraturan perangkat lunak perawatan kesehatan masuk dan keluar dapat membantu menurunkan risiko saat membawa produk Anda ke pasar.

Tips untuk organisasi kesehatan:

Untuk memastikan bahwa teknologi yang Anda gunakan mematuhi semua peraturan perangkat lunak medis yang diperlukan, sangat penting untuk membuat program kepatuhan di seluruh organisasi yang komprehensif.

  • Untuk melakukannya, buat komite multidisiplin dan tunjuk Chief Compliance Officer (CCO) untuk memandu upaya kepatuhan.
  • Sebagai langkah kedua, biarkan komite menetapkan kebijakan, proses, dan jadwal yang diperlukan untuk mencapai kepatuhan.
  • Pastikan roadmap kepatuhan Anda memiliki fitur audit internal dan eksternal reguler. Melibatkan auditor pihak ketiga dalam meninjau proses kepatuhan Anda dapat membantu mengidentifikasi kerentanan, celah, dan inefisiensi alur kerja.
  • Untuk memaksimalkan upaya kepatuhan Anda, luncurkan program pendidikan karyawan yang tangguh dan pastikan karyawan Anda diajari untuk secara konsisten mematuhi standar TI perawatan kesehatan yang relevan.
  • Terakhir, pastikan upaya Anda membuahkan hasil dengan menilai efektivitas program kepatuhan Anda secara teratur.

Alih-alih sebuah kesimpulan

Saat teknologi perawatan kesehatan mendekati momentumnya dan teknologi inovatif seperti AI medis, IoMT, dan RPA mendapatkan lebih banyak perhatian, badan pengatur bekerja untuk mengelaborasi standar TI perawatan kesehatan yang ditetapkan. Karena standar menjadi lebih tepat dan kompleks, dapat menjadi sangat sulit bagi perusahaan rintisan medis dan organisasi perawatan kesehatan untuk menemukan apa yang relevan untuk produk mereka dan mempertahankan kepatuhan.

Jadi, jika Anda ingin mengembangkan solusi perawatan kesehatan yang memeriksa semua kotak kepatuhan yang diperlukan, hubungi pakar ITRex. Kami akan membantu Anda mencapai keamanan tertinggi dan keamanan tanpa kompromi.

Awalnya diterbitkan di https://itrexgroup.com pada 22 Maret 2022.