Una guida agli standard e ai regolamenti essenziali per l'assistenza sanitaria

Pubblicato: 2022-03-25

Negli anni '80, ERP e EHR hanno inaugurato l'era moderna dell'IT sanitario. Oggi, l'assistenza clinica, la sicurezza del paziente e il miglioramento della qualità sono quasi interamente affidati ai computer.

Tuttavia, nonostante la gamma di tecnologie di comunicazione disponibili, non esiste un modo universale per gestire e trasferire i dati sanitari. L'ostacolo principale che ostacola il regolare scambio di dati è stata l'adozione disordinata di standard di dati sanitari per l'archiviazione, la codifica e la condivisione delle informazioni cliniche.

Mentre il governo federale è andato avanti con l'integrazione dei sistemi sanitari, la necessità di navigare tra i numerosi standard IT sanitari è ferma.

Questo post del blog elenca gli standard e i regolamenti IT sanitari vitali che le società di software sanitari e le organizzazioni mediche devono tenere a mente durante lo sviluppo e l'implementazione della tecnologia sanitaria. Immergiamoci!

Standard informatici sanitari che regolano la sicurezza dei dati

HIPAA

Quello che una volta era iniziato come un atto a protezione dell'assicurazione sanitaria per i lavoratori che hanno perso il lavoro, HIPAA, o legge sulla portabilità e la redditività dell'assicurazione sanitaria, è ora probabilmente l'atto legislativo più noto a protezione delle informazioni sanitarie. Definisce gli standard per l'archiviazione, la condivisione, la gestione e la registrazione delle informazioni sanitarie di identificazione personale (PHI).

Pertanto, qualsiasi entità coinvolta nella gestione di dati sanitari o nella fornitura di software che si occupa di tali dati deve garantire il rispetto delle necessarie normative in materia di tecnologia dell'informazione sanitaria. HIPAA è costituito da diversi componenti:

  • Regola di sicurezza
  • Normativa sulla privacy
  • Regola di notifica di violazione
  • Regola Omnibus
  • Regola di applicazione

Quelli legati al software sanitario sono le regole di sicurezza, privacy e notifica di violazione.

Regola di sicurezza HIPAA

La regola di sicurezza delinea le salvaguardie per la protezione delle PHI e comprende tre parti: salvaguardie tecniche, fisiche e amministrative.

Tutele tecniche

Le salvaguardie tecniche richiedono alle organizzazioni sanitarie di crittografare le PHI elettroniche una volta che viaggiano oltre i server interni. Le organizzazioni sono libere di scegliere i mezzi appropriati per implementare i seguenti requisiti:

  • Il controllo dell'accesso (obbligatorio) garantisce che ogni utente che ha accesso a PHI abbia un nome univoco e una password. Lo standard sui dati sanitari richiede anche l'adozione di procedure che regolano il rilascio e la divulgazione delle PHI in caso di emergenza
  • L'autenticazione ePHI (indirizzabile) richiede l'istituzione di meccanismi per confermare se le PHI sono state alterate o sabotate
  • Crittografia e decrittografia (indirizzabile) stabilisce funzionalità per crittografare e decrittografare i messaggi inviati oltre un server interno
  • I registri delle attività e i controlli di audit (obbligatorio) registrano i tentativi di accesso alle PHI e registrano le modifiche apportate ai dati una volta effettuato l'accesso
  • La disconnessione automatica (indirizzabile) impedisce di compromettere le informazioni sulla salute personale una volta che un dispositivo viene lasciato incustodito

Tutele fisiche

Le salvaguardie fisiche si concentrano sulla protezione dell'accesso fisico alle PHI e stabiliscono misure per proteggere i dispositivi mobili e le workstation. Le organizzazioni sanitarie sono tenute a implementare:

  • Controlli di accesso alle strutture (indirizzabili)
  • Linee guida per la localizzazione e l'utilizzo delle postazioni di lavoro (richiesto)
  • Procedure per l'utilizzo dei dispositivi mobili (richiesto)
  • Criteri di inventario e hardware (indirizzabili)

Tutele amministrative

Le garanzie amministrative stabiliscono misure di alto livello per la protezione delle PHI. Richiedono:

  • Esecuzione di una valutazione del rischio (richiesto)
  • Introduzione di una politica di gestione del rischio (richiesto)
  • Formazione dei dipendenti sulla gestione sicura dei dati sanitari (indirizzabili)
  • Sviluppo di un piano di emergenza (richiesto)
  • Testare un piano di emergenza (indirizzabile)
  • Limitazione dell'accesso di terze parti ai dati (obbligatorio)
  • Segnalazione di incidenti di sicurezza (indirizzabile)

Normativa sulla privacy HIPAA

La normativa sulla privacy dello standard di dati sanitari HIPAA delinea le misure su come le PHI possono essere utilizzate e divulgate. In base alla normativa sulla privacy, le organizzazioni sanitarie devono:

  • Formare i dipendenti per assicurarsi che sappiano quali informazioni possono e non possono essere condivise al di fuori del meccanismo di sicurezza di un'organizzazione
  • Implementare misure appropriate per mantenere l'integrità delle PHI
  • Assicurarsi che i pazienti ricevano il permesso scritto prima che le loro informazioni sanitarie vengano utilizzate per il marketing, la raccolta fondi o la ricerca

Regola di notifica di violazione HIPAA

La regola di notifica delle violazioni richiede alle organizzazioni sanitarie di informare i pazienti se le loro PHI sono compromesse. Richiede inoltre alle entità di notificare tempestivamente al Dipartimento della salute e dei servizi umani le violazioni delle PHI e di inviare un avviso ai media se la violazione colpisce più di cinquecento pazienti.

HITECH

L'Health Information Technology for Economic and Clinical Health Act è stato firmato nel 2009. Il nuovo regolamento IT sanitario mirava a promuovere "l'adozione e l'uso significativo della tecnologia dell'informazione sanitaria" e stabilire un'applicazione più rigorosa dell'HIPAA. L'atto richiede agli operatori sanitari di eseguire audit di sicurezza per indagare se rispettano le norme sulla privacy e sulla sicurezza dell'HIPAA.

Quindi, HITECH può essere considerato un'ala di contrasto dell'HIPAA. Il regolamento IT sanitario prevede anche incentivi finanziari per le organizzazioni sanitarie per annullare il costo del passaggio a EHR e requisiti di sicurezza dei dati più severi e sanzioni sia per gli operatori sanitari che per i fornitori di software. In HITECH, i pazienti devono essere informati dell'accesso non autorizzato ai loro dati e le informazioni sanitarie personali possono essere condivise solo tramite metodi sicuri.

GDPR

Il regolamento generale sulla protezione dei dati è una delle normative IT sanitarie critiche che controlla tutti i dati relativi ai problemi nell'UE e le informazioni sanitarie rientrano nel suo campo di applicazione. Vale la pena ricordare che il GDPR si applica non solo alle organizzazioni con sede nell'UE, ma anche a quelle esterne nel caso in cui si rivolgano a individui con sede nell'UE. I passaggi critici che un'organizzazione deve intraprendere per garantire la conformità al GDPR:

  • Nominare un Responsabile della protezione dei dati dedicato
  • Valutazione dei rischi relativi ai dati effettuando una valutazione d'impatto sulla protezione dei dati (DPIA)
  • Progettare e implementare una strategia di sicurezza dei dati
  • Notifica delle violazioni dei dati entro 72 ore.

Normative informatiche sanitarie che controllano i dispositivi medici e il software come dispositivo medico (SaMD)

FDA

La Food and Drug Administration statunitense regola tutto, dal cibo ai farmaci ai cosmetici. Ciò che interessa ai fornitori di IT sanitari è che l'entità controlla e stabilisce standard IT sanitari per dispositivi medici e applicazioni software che funzionano come dispositivi medici. Pertanto, se il tuo software è coinvolto nell'esecuzione di un'attività medica e l'uso non intenzionale di questo software è soggetto a rischi elevati, dovrai ottenere un'autorizzazione FDA.

Un esempio di software che rientra nelle normative FDA potrebbe includere un'applicazione che aiuta a controllare il gonfiaggio e lo sgonfiaggio di un bracciale per la pressione sanguigna o un'app mobile che dirige la somministrazione di insulina su un microinfusore. Puoi controllare tutte le caratteristiche che rendono il tuo prodotto soggetto all'approvazione della FDA qui.

D'altra parte, se il tuo software non soddisfa la definizione di dispositivo medico o rappresenta un basso rischio per il pubblico, è probabile che non dovrai richiedere l'approvazione della FDA. Le applicazioni escluse dalla certificazione FDA possono includere app mobili che aiutano i pazienti a gestire autonomamente le proprie condizioni senza fornire suggerimenti terapeutici specifici o coloro che assistono gli operatori sanitari nell'automatizzazione delle loro attività quotidiane. Per ottenere l'approvazione della FDA,

Classifica il tuo dispositivo o SaMD

Classifica il tuo software o dispositivo all'inizio del tuo percorso di sviluppo di app sanitarie. A seconda delle caratteristiche del prodotto, può rientrare nella classe I, II o III, che determina le normative sul software medico da eseguire. La classe in cui rientra un dispositivo dipende dalla sua destinazione d'uso e, soprattutto, dai suoi rischi. La classe I comprende i dispositivi con il rischio più basso e la classe III, quelli con il rischio più alto. Per determinare la classe del prodotto, è possibile accedere direttamente al database di classificazione e cercare il dispositivo per nome.

In alternativa, puoi andare all'elenco del pannello e cercare per pannello o specialità medica a cui appartiene il tuo dispositivo. Inoltre, poiché fino al 74% dei dispositivi di classe I sono esenti dal processo di notifica pre-commercializzazione, controlla se è il caso del tuo prodotto effettuando una ricerca nella pagina Esenzioni per dispositivi medici. E se stai sviluppando un dispositivo medico o un SaMD con una destinazione d'uso completamente nuova, ti consigliamo di contattare direttamente la FDA per discutere quali normative in materia di tecnologia dell'informazione sanitaria potrebbero essere applicate.

Implementare i controlli necessari

I dispositivi medici di classe I richiedono l'attuazione di controlli generali, ovvero:

  1. Registrazione dello stabilimento ed elenco dei dispositivi medici (21 CFR Part 807)
  2. Regolamento del sistema qualità (21 CFR Part 820)
  3. Requisiti di etichettatura (21 CFR Parte 801)
  4. Segnalazione di dispositivi medici (21 CFR Part 803)
  5. Notifica pre-commercializzazione (21 CFR Part 807)
  6. Segnalazione di correzioni e rimozioni (21 CFR Part 806)
  7. Requisiti di esenzione per i dispositivi sperimentali per gli studi clinici sui dispositivi sperimentali (21 CFR Parte 812)

I dispositivi di classe II richiedono l'implementazione dei controlli generali di cui sopra, i controlli speciali e la notifica prima della commercializzazione. I dispositivi di classe III richiedono l'implementazione di controlli generali e l'approvazione prima della commercializzazione. Una volta che hai la documentazione richiesta pronta, inviala a titolo oneroso. Nota: a partire dall'inizio del 2022, l'entità sta redigendo linee guida che regolano le tecnologie sanitarie digitali per l'acquisizione di dati a distanza e l'indagine clinica. La guida non è ancora finalizzata, ma la terremo d'occhio.

Standard di struttura dei contenuti sanitari

HL7

Sviluppato da Health Level Seven International, un'entità senza scopo di lucro che fornisce un quadro e le relative normative in materia di informazioni sanitarie, HL7 gestisce lo scambio di dati medici tra sistemi sanitari disparati. Lo standard è la spina dorsale di EHR. Poiché EHR è un sistema distribuito che dipende da un'interazione regolare tra più sottosistemi per creare uno specifico processo sanitario, HL7 funge da collegamento tra quei sottosistemi. Esistono due versioni dello standard IT sanitario HL7.

  • HL7 versione 2: HL7 v2 si adatta ai sistemi centralizzati di assistenza ai pazienti e agli ambienti distribuiti in cui i dati dei pazienti risiedono nei sottosistemi dipartimentali. Con la firma di HITECH, HL7 versione 2.5.1 viene specificamente selezionato come standard per soddisfare specifiche certificazioni.
  • HL7 versione 3: HL7 v3 adotta un nuovo approccio allo scambio di informazioni cliniche basato su messaggi scritti nella sintassi XML. Gli obiettivi di HL7 v3 erano aumentare l'adozione a livello mondiale dello standard HL7, rimuovere la vaghezza e creare uno standard più preciso che fosse privo di problemi legacy. Pertanto, rispetto a HL7 versione 2, HL7 versione 3 presenta un modello di dati coerente e ruoli ben definiti per applicazioni e messaggi utilizzati per diverse funzioni cliniche.

HL7 versione 3 è stato adottato principalmente per applicazioni senza requisiti di comunicazione legacy, senza utilizzo storico di HL7 versione2 o in regioni con rigidi requisiti governativi per l'utilizzo di HL7 v3. Entrambe le versioni dello standard per i dati sanitari coesistono ed è abbastanza comune avere diverse versioni dello standard implementate contemporaneamente nello stesso istituto.

Standard di trasporto dei messaggi

FHIR

Basate su HL7, Fast Healthcare Interoperability Resources descrivono formati di dati e API per cartelle cliniche elettroniche. Lo standard fornisce una serie di API RESTful basate su HTTP per consentire agli operatori sanitari di condividere i dati nei formati XML e JSON. Lo standard è applicabile in varie impostazioni, dalle app mobili alle applicazioni cloud alla condivisione dei dati basata su EHR. Un elemento essenziale di FHIR è una risorsa.

A seconda del tipo, una risorsa può contenere dati su dati demografici del paziente, farmaci, piani di assistenza, allergie e altro ancora. Se combinate, le risorse costituiscono vari flussi di lavoro clinici e amministrativi. Nonostante le reazioni contrastanti degli operatori sanitari nei confronti della maturità FHIR, si prevede che FHIR acquisirà altri standard di scambio di dati sanitari entro il 2024. Il motivo è che FHIR offre la possibilità di creare applicazioni standardizzate per l'accesso ai dati sanitari, indipendentemente dall'EHR alla base dell'infrastruttura.

DICOM

DICOM, o Digital Images and Communications in Medicine, facilita lo scambio di immagini mediche e dati correlati attraverso software e hardware. Rispetto ai file di immagine standard, come JPEG o TIFF, che non presentano dati sul contesto di un'immagine, i file DICOM hanno una struttura più complessa.

Contengono metadati che forniscono informazioni dettagliate su un paziente e sui parametri di acquisizione dell'immagine. I sistemi a cui si applica DICOM sono molteplici: dagli scanner TC e MRI ai sistemi di archiviazione e comunicazione delle immagini (PACS) ai sistemi di informazione radiologica (RIS).

Elementi chiave da tenere a mente quando si ha a che fare con soluzioni tecnologiche sanitarie

La pandemia ha spinto molte organizzazioni sanitarie e startup sanitarie a pensare in primo luogo al digitale. Di conseguenza, il numero di soluzioni tecnologiche che entrano nel mercato sanitario è aumentato considerevolmente. In qualità di fornitore e utente di tecnologia sanitaria, cosa puoi fare per garantire che le soluzioni in questione soddisfino tutte le normative IT sanitarie necessarie? Abbiamo compilato un elenco dei suggerimenti essenziali da tenere a mente.

Suggerimenti per i fornitori di tecnologia sanitaria:

  • Lo sviluppo di una nuova soluzione tecnologica richiede una profonda comprensione delle complessità e delle specificità del sistema sanitario. Quindi, prima di approfondire la progettazione del prodotto, assicurati di comprendere il contesto in cui verrà utilizzato il prodotto, inclusi gli assetti organizzativi, i gruppi di stakeholder rilevanti e le relazioni con gli stakeholder. È inoltre essenziale valutare i rischi associati all'utilizzo della tecnologia sanitaria che sviluppate. Conoscere i rischi ti aiuterà a delineare gli standard IT sanitari necessari.
  • Per ottenere l'approvazione del tuo prodotto, dovrai presentare tutti i tipi di documentazione alle autorità di regolamentazione. Pertanto, durante l'ideazione, la progettazione e lo sviluppo della soluzione, documenta il processo di sviluppo. Per definire la documentazione e le procedure da seguire, fare riferimento al Dipartimento della salute e dei servizi umani, all'Office of Inspector General (OIG), alla Drug Enforcement Administration (DEA) e alla Food and Drug Administration (FDA).
  • Prima di entrare effettivamente nel mercato, prendere in considerazione l'esecuzione di test di conformità esterni. Collaborare con un fornitore che conosce le normative del software sanitario in entrata e in uscita potrebbe aiutare a ridurre i rischi quando si introduce il prodotto sul mercato.

Suggerimenti per le organizzazioni sanitarie:

Per garantire che la tecnologia utilizzata sia conforme a tutte le normative necessarie sul software medico, è fondamentale stabilire un programma di conformità completo a livello di organizzazione.

  • Per fare ciò, crea un comitato multidisciplinare e nomina un Chief Compliance Officer (CCO) per guidare gli sforzi di conformità.
  • Come secondo passo, lascia che il comitato stabilisca le politiche, i processi e i programmi necessari per ottenere la conformità.
  • Assicurati che la tua roadmap di conformità includa controlli interni ed esterni regolari. Coinvolgere revisori di terze parti nella revisione dei processi di conformità potrebbe aiutare a identificare vulnerabilità, scappatoie e inefficienze del flusso di lavoro.
  • Per massimizzare i tuoi sforzi di conformità, implementa un solido programma di formazione dei dipendenti e assicurati che ai tuoi dipendenti venga insegnato a rispettare costantemente gli standard IT sanitari pertinenti.
  • Infine, assicurati che i tuoi sforzi diano frutti valutando regolarmente l'efficacia del tuo programma di conformità.

Invece di una conclusione

Man mano che la tecnologia sanitaria si avvicina al suo slancio e tecnologie innovative come IA medica, IoMT e RPA ottengono maggiore attenzione, le agenzie di regolamentazione lavorano per elaborare gli standard IT sanitari stabiliti. Man mano che gli standard diventano più precisi e complessi, può diventare piuttosto complicato per le startup mediche e le organizzazioni sanitarie trovare ciò che è rilevante per il loro prodotto e mantenere la conformità.

Quindi, se desideri sviluppare una soluzione sanitaria che controlli tutte le caselle di conformità necessarie, contatta gli esperti di ITRex. Ti aiuteremo a raggiungere la massima sicurezza e una sicurezza senza compromessi.

Pubblicato originariamente su https://itrexgroup.com il 22 marzo 2022.