Un ghid pentru standardele și reglementările esențiale pentru asistența medicală

În anii 1980, ERP-urile și EHR-urile au inaugurat era modernă a IT-ului medical. Astăzi, îngrijirea clinică, siguranța pacienților și îmbunătățirea calității sunt aproape în întregime transmise computerelor.

Totuși, în ciuda gamei de tehnologii de comunicații disponibile, nu există o modalitate universală de gestionare și transferare a datelor privind asistența medicală. Principalul obstacol care împiedică schimbul de date fără probleme a fost adoptarea dezordonată a standardelor de date medicale pentru stocarea, codificarea și partajarea informațiilor clinice.

În timp ce guvernul federal a avansat cu integrarea sistemelor de asistență medicală, nevoia de a naviga prin numeroasele standarde IT de asistență medicală rămâne fermă.

Această postare de blog enumeră standardele și reglementările IT esențiale pentru asistența medicală pentru companiile de software de asistență medicală și organizațiile medicale pe care să le țină cont atunci când dezvoltă și lansează tehnologia medicală. Să ne scufundăm!

Standardele IT din domeniul sănătății care guvernează securitatea datelor

HIPAA

Ceea ce a început odată ca un act de protecție a asigurărilor de sănătate pentru lucrătorii care și-au pierdut locul de muncă, HIPAA sau Legea privind portabilitatea și profitabilitatea asigurărilor de sănătate, este acum probabil cea mai cunoscută lege care protejează informațiile privind asistența medicală. Acesta stabilește standarde pentru stocarea, partajarea, gestionarea și înregistrarea informațiilor de sănătate identificabile personal (PHI).

Așadar, orice entitate implicată în operarea datelor de asistență medicală sau furnizarea de software care se ocupă cu astfel de date trebuie să se asigure că sunt respectate reglementările necesare privind tehnologia informației în domeniul sănătății. HIPAA constă din mai multe componente:

• Regula de securitate
• Regula de confidențialitate
• Regula de notificare a încălcării
• Regula omnibus
• Regula de executare

Cele legate de software-ul de asistență medicală sunt regulile de securitate, confidențialitate și notificare a încălcării.

Regula de securitate HIPAA

Regula de securitate conturează garanțiile pentru protejarea PHI și cuprinde trei părți: garanții tehnice, fizice și administrative.

Garanții tehnice

Garanțiile tehnice impun organizațiilor din domeniul sănătății să cripteze PHI electronic odată ce acesta depășește serverele interne. Organizațiile sunt libere să aleagă mijloacele adecvate pentru implementarea următoarelor cerințe:

• Controlul accesului (obligatoriu) asigură că fiecare utilizator care are acces la PHI are un nume unic și o parolă. Standardul de date privind asistența medicală necesită, de asemenea, instituirea unor proceduri care guvernează eliberarea și divulgarea PHI în caz de urgență
• Autentificarea ePHI (adresabilă) necesită stabilirea unor mecanisme pentru a confirma dacă PHI a fost modificat sau sabotat
• Criptarea și decriptarea (adresabilă) stabilește funcționalitatea pentru criptarea și decriptarea mesajelor trimise dincolo de un server intern
• Jurnalele de activitate și controalele de audit (obligatorii) înregistrează încercările de acces la PHI și înregistrează modificările aduse datelor odată ce acestea sunt accesate
• Deconectarile automate (adresabile) previn compromiterea informațiilor personale de sănătate odată ce un dispozitiv este lăsat nesupravegheat

Garanții fizice

Garanțiile fizice se concentrează pe securizarea accesului fizic la PHI și stabilesc măsuri pentru securizarea dispozitivelor mobile și a stațiilor de lucru. Organizațiile din domeniul sănătății sunt obligate să implementeze:

• Controale acces la facilitate (adresabile)
• Instrucțiuni pentru localizarea și utilizarea stațiilor de lucru (obligatoriu)
• Proceduri pentru utilizarea dispozitivelor mobile (obligatoriu)
• Politici de inventar și hardware (adresabile)

Garanții administrative

Garanțiile administrative prevăd măsuri la nivel înalt pentru protecția PHI. Acestea necesită:

• Efectuarea unei evaluări a riscului (obligatoriu)
• Introducerea unei politici de management al riscului (obligatoriu)
• Instruirea angajaților cu privire la manipularea în siguranță a datelor de sănătate (adresabile)
• Elaborarea unui plan de urgență (obligatoriu)
• Testarea unui plan de urgență (adresabil)
• Restricționarea accesului terților la date (obligatoriu)
• Raportarea incidentelor de securitate (adresabilă)

Regula de confidențialitate HIPAA

Regula de confidențialitate a standardului HIPAA privind datele de asistență medicală subliniază măsurile privind modul în care PHI poate fi utilizat și divulgat. Conform regulii de confidențialitate, organizațiile din domeniul sănătății trebuie să:

• Instruiți angajații pentru a vă asigura că știu ce informații pot și nu pot fi partajate în afara mecanismului de securitate al unei organizații
• Implementați măsuri adecvate pentru a menține integritatea PHI
• Asigurați-vă că ați primit permisiunea scrisă de la pacienți înainte ca informațiile lor de sănătate să fie utilizate pentru marketing, strângere de fonduri sau cercetare

Regula de notificare a încălcării HIPAA

Regula de notificare a încălcării solicită organizațiilor medicale să notifice pacienții dacă PHI le este compromis. De asemenea, solicită entităților să notifice prompt Departamentul de Sănătate și Servicii Umane cu privire la încălcările PHI și să emită o notificare către mass-media dacă încălcarea afectează mai mult de cinci sute de pacienți.

ÎNALTĂ TEHNOLOGIE

Legea privind tehnologia informației în domeniul sănătății pentru sănătatea economică și clinică a fost semnat în 2009. Noul regulament IT pentru asistența medicală a vizat promovarea „adopției și utilizării semnificative a tehnologiei informaționale privind sănătatea” și a stabilit o aplicare mai strictă a HIPAA. Actul impune furnizorilor de servicii medicale să efectueze audituri de securitate pentru a investiga dacă respectă regulile de confidențialitate și securitate ale HIPAA.

Deci, HITECH poate fi considerată o aripă de aplicare a HIPAA. Reglementarea IT de asistență medicală oferă, de asemenea, stimulente financiare pentru organizațiile din domeniul sănătății pentru a anula costul trecerii la EHR și cerințe mai stricte de securitate a datelor și sancțiuni atât pentru furnizorii de servicii medicale, cât și pentru furnizorii de software. În cadrul HITECH, pacienții trebuie să fie anunțați cu privire la accesul neautorizat la datele lor, iar informațiile personale de sănătate pot fi partajate numai prin metode securizate.

GDPR

Regulamentul general privind protecția datelor este una dintre reglementările IT critice în domeniul sănătății care controlează toate problemele de date din UE, iar informațiile de sănătate intră în domeniul său de aplicare. Merită să ne amintim că GDPR se aplică nu numai organizațiilor cu sediul în UE, ci și celor din afara acesteia, în cazul în care vizează persoane din UE. Pașii critici pe care trebuie să-i facă o organizație pentru a asigura respectarea GDPR:

• Numirea unui responsabil cu protecția datelor dedicat
• Evaluarea riscurilor legate de date prin efectuarea unei evaluări a impactului asupra protecției datelor (DPIA)
• Proiectați și implementați o strategie de securitate a datelor
• Notificați încălcarea datelor în termen de 72 de ore.

Reglementări IT de asistență medicală care controlează dispozitivele medicale și software-ul ca dispozitiv medical (SaMD)

FDA

Administrația SUA pentru Alimente și Medicamente reglementează totul, de la alimente la medicamente la produse cosmetice. Ceea ce interesează furnizorii IT de asistență medicală este că entitatea verifică și stabilește standarde IT de sănătate pentru dispozitivele medicale și aplicațiile software care funcționează ca dispozitive medicale. Astfel, dacă software-ul dumneavoastră este implicat în realizarea unei sarcini medicale și utilizarea neintenționată a acestui software este legată de riscuri mari, va trebui să obțineți o autorizație FDA.

Un exemplu de software care intră sub incidența reglementărilor FDA ar putea include o aplicație care ajută la controlul umflarii și dezumflarii manșetei pentru tensiune arterială sau o aplicație mobilă care direcționează administrarea insulinei pe o pompă de insulină. Puteți verifica aici toate caracteristicile care fac produsul dumneavoastră să fie supus aprobării FDA.

Pe de altă parte, dacă software-ul dvs. nu îndeplinește definiția unui dispozitiv medical sau prezintă un risc scăzut pentru public, sunt șanse să nu va trebui să solicitați aprobarea FDA. Aplicațiile excluse de la certificarea FDA pot include aplicații mobile care ajută pacienții să-și gestioneze singuri afecțiunile fără a oferi sugestii specifice de tratament sau cele care ajută furnizorii de asistență medicală în automatizarea sarcinilor zilnice. Pentru a obține aprobarea FDA,

Clasificați dispozitivul sau SaMD

Clasificați-vă software-ul sau dispozitivul la începutul călătoriei de dezvoltare a aplicațiilor de asistență medicală. În funcție de caracteristicile produsului dvs., acesta poate intra în clasa I, II sau III, care determină reglementările software-ului medical de executat. Clasa în care se încadrează un dispozitiv depinde de utilizarea prevăzută și, mai important, de riscurile sale. Clasa I cuprinde dispozitivele cu cel mai scăzut risc și clasa III - cele cu cel mai mare risc. Pentru a determina clasa de produs, puteți merge direct la baza de date de clasificare și puteți căuta dispozitivul după nume.

Alternativ, puteți accesa lista panoului și puteți căuta după un panou sau specialitate medicală căreia îi aparține dispozitivul dvs. În plus, deoarece până la 74% dintre dispozitivele de clasa I sunt scutite de procesul de notificare înainte de comercializare, verificați dacă este cazul produsului dvs. căutându-l pe pagina Exceptări pentru dispozitive medicale. Și dacă dezvoltați un dispozitiv medical sau SaMD cu o utilizare complet nouă, vă recomandăm să contactați direct FDA pentru a discuta despre ce reglementări se pot aplica în domeniul tehnologiei informației medicale.

Implementați controalele necesare

Dispozitivele medicale din clasa I necesită implementarea unor controale generale, și anume:

1. Înregistrarea unității și listarea dispozitivelor medicale (21 CFR Part 807)
2. Reglementarea sistemului de calitate (21 CFR Part 820)
3. Cerințe de etichetare (21 CFR Part 801)
4. Raportarea dispozitivelor medicale (21 CFR Part 803)
5. Notificare înainte de comercializare (21 CFR Part 807)
6. Raportarea corecțiilor și eliminărilor (21 CFR Part 806)
7. Cerințe de exceptare a dispozitivelor de investigație pentru studiile clinice ale dispozitivelor de investigație (21 CFR Part 812)

Dispozitivele de clasa II necesită implementarea controalelor generale de mai sus, controale speciale și notificare înainte de comercializare. Dispozitivele de clasa III necesită implementarea controalelor generale și aprobarea înainte de comercializare. După ce ați pregătit documentația necesară, trimiteți-o spre examinare. Notă: De la începutul anului 2022, entitatea elaborează un ghid care reglementează tehnologiile digitale de sănătate pentru achiziția de date de la distanță și investigația clinică. Îndrumarea nu este încă finalizată, dar vom fi cu ochii pe el.

Standarde de structură a conținutului în domeniul sănătății

HL7

Dezvoltat de Health Level Seven International, o entitate non-profit care oferă un cadru și reglementări legate de informații despre sănătate, HL7 se ocupă de schimbul de date medicale între sistemele de sănătate disparate. Standardul este coloana vertebrală a EHR. Deoarece EHR este un sistem distribuit care depinde de o interacțiune lină între mai multe subsisteme pentru a alcătui un anumit proces de asistență medicală, HL7 servește ca o legătură între acele subsisteme. Există două versiuni ale standardului IT de asistență medicală HL7.

• HL7 versiunea 2: HL7 v2 se potrivește sistemelor centralizate de îngrijire a pacienților și mediilor distribuite în care datele pacientului se află în subsisteme departamentale. Odată cu semnarea HITECH, versiunea HL7 2.5.1 este selectată în mod special ca standard pentru a îndeplini certificări specifice.
• HL7 versiunea 3: HL7 v3 adoptă o nouă abordare a schimbului de informații clinice care se bazează pe mesaje scrise în sintaxa XML. Obiectivele HL7 v3 au fost de a crește gradul de adoptare la nivel mondial a standardului HL7, de a elimina neclaritatea și de a crea un standard mai precis, fără probleme vechi. Deci, în comparație cu HL7 versiunea 2, HL7 versiunea 3 prezintă un model de date consistent și roluri bine definite pentru aplicații și mesaje utilizate pentru diferite funcții clinice.

HL7 versiunea 3 a fost adoptată în principal pentru aplicații fără cerințe de comunicare vechi, fără utilizarea istorică a HL7 versiunea2 sau în regiunile cu cerințe guvernamentale stricte pentru utilizarea HL7 v3. Ambele versiuni ale standardului de date de asistență medicală coexistă și este destul de comun să existe mai multe versiuni ale standardului implementate simultan în aceeași instituție.

Standarde de transport de mesaje

FHIR

Construit pe HL7, Fast Healthcare Interoperability Resources descrie formate de date și API-uri pentru înregistrările electronice de sănătate. Standardul oferă un set de API-uri RESTful bazate pe HTTP pentru a permite furnizorilor de servicii medicale să partajeze date în formatele XML și JSON. Standardul este aplicabil în diferite setări, de la aplicații mobile la aplicații cloud până la partajarea datelor bazată pe EHR. Un element esențial al FHIR este o resursă.

În funcție de tipul său, o resursă poate conține date despre demografia pacientului, medicamente, planuri de îngrijire, alergii și multe altele. Atunci când sunt combinate, resursele alcătuiesc fluxuri de lucru clinice și administrative variate. În ciuda reacțiilor mixte ale furnizorilor de asistență medicală față de maturitatea FHIR, se preconizează că FHIR va prelua alte standarde de schimb de date de asistență medicală până în 2024. Motivul este că FHIR oferă posibilitatea de a construi aplicații standardizate pentru accesarea datelor de asistență medicală - indiferent de EHR care stă la baza infrastructurii.

DICOM

DICOM, sau Digital Images and Communications in Medicine, facilitează schimbul de imagini medicale și date aferente între software și hardware. În comparație cu fișierele de imagine standard, cum ar fi JPEG sau TIFF, care nu prezintă date despre contextul unei imagini, fișierele DICOM au o structură mai complexă.

Acestea conțin metadate care oferă o perspectivă despre un pacient și despre parametrii de achiziție a imaginii. Sistemele la care se aplică DICOM sunt multiple: de la scanere CT și RMN la sisteme de arhivare și comunicare a imaginilor (PACS) la sisteme de informații radiologice (RIS).

Lucruri cheie de reținut atunci când aveți de-a face cu soluții tehnologice de asistență medicală

Pandemia a determinat multe organizații din domeniul sănătății și startup-uri din domeniul sănătății să gândească mai întâi digital. Ca urmare, numărul de soluții tehnologice care intră pe piața sănătății a crescut considerabil. În calitate de furnizor și utilizator de tehnologie medicală, ce puteți face pentru a vă asigura că soluțiile în cauză îndeplinesc toate reglementările necesare în domeniul sănătății IT? Am întocmit o listă cu sfaturile esențiale de care trebuie să ținem cont.

Sfaturi pentru furnizorii de tehnologie medicală:

• Dezvoltarea unei soluții tehnologice noi necesită o înțelegere profundă a complexităților și specificului sistemului de sănătate. Așadar, înainte de a aborda proiectarea produsului, asigurați-vă că înțelegeți contextul în care va fi utilizat produsul, inclusiv setările organizaționale, grupurile relevante de părți interesate și relațiile cu părțile interesate. De asemenea, este esențial să evaluați riscurile asociate cu utilizarea tehnologiei de asistență medicală pe care o dezvoltați. Cunoașterea riscurilor vă va ajuta să conturați standardele IT necesare în domeniul sănătății.
• Pentru a obține aprobarea produsului, va trebui să trimiteți toate tipurile de documente autorităților de reglementare. Așadar, atunci când concepeți, proiectați și dezvoltați soluția dvs., documentați procesul de dezvoltare. Pentru a defini ce documentație și ce proceduri ar trebui să urmați, consultați Departamentul de Sănătate și Servicii Umane, Biroul Inspectorului General (OIG), Drug Enforcement Administration (DEA) și Food and Drug Administration (FDA).
• Înainte de a intra efectiv pe piață, luați în considerare efectuarea unor teste externe de conformitate. Colaborarea cu un furnizor care cunoaște reglementările software pentru asistență medicală poate ajuta la reducerea riscurilor atunci când aduceți produsul pe piață.

Sfaturi pentru organizațiile medicale:

Pentru a vă asigura că tehnologia pe care o utilizați respectă toate reglementările necesare pentru software medical, este esențial să stabiliți un program cuprinzător de conformitate la nivelul întregii organizații.

• Pentru a face acest lucru, creați un comitet multidisciplinar și numiți un Chief Compliance Officer (CCO) care să ghideze eforturile de conformitate.
• Ca al doilea pas, lăsați-i comitetul să stabilească politicile, procesele și programele necesare pentru a îndeplini conformitatea.
• Asigurați-vă că foaia de parcurs de conformitate include audituri interne și externe regulate. Angajarea auditorilor terți în revizuirea proceselor dvs. de conformitate ar putea ajuta la identificarea vulnerabilităților, lacunelor și ineficiențelor fluxului de lucru.
• Pentru a vă maximiza eforturile de conformitate, implementați un program robust de educare a angajaților și asigurați-vă că angajații dvs. sunt învățați să respecte în mod consecvent standardele relevante din domeniul sănătății IT.
• În cele din urmă, asigurați-vă că eforturile dvs. dau roade evaluând în mod regulat eficacitatea programului dvs. de conformitate.

În loc de concluzie

Pe măsură ce tehnologia de asistență medicală se apropie de impuls și tehnologii inovatoare precum AI medical, IoMT și RPA câștigă mai multă atenție, agențiile de reglementare lucrează la elaborarea standardelor IT de asistență medicală stabilite. Pe măsură ce standardele devin mai precise și mai complexe, poate deveni destul de dificil pentru startup-urile medicale și organizațiile din domeniul sănătății să găsească ceea ce este relevant pentru produsul lor și să mențină conformitatea.

Așadar, dacă doriți să dezvoltați o soluție de asistență medicală care să verifice toate casetele de conformitate necesare, contactați experții ITRex. Vă vom ajuta să obțineți o siguranță de top și o securitate fără compromisuri.

Publicat inițial la https://itrexgroup.com pe 22 martie 2022.