基本醫療保健 IT 標準和法規指南

已發表: 2022-03-25

在 1980 年代,ERP 和 EHR 迎來了醫療保健 IT 的現代時代。 今天,臨床護理、患者安全和質量改進幾乎完全交給了計算機。

儘管如此,儘管有一系列可用的通信技術,但沒有通用的方法來管理和傳輸醫療保健數據。 阻礙數據順利交換的最大障礙是無序地採用醫療數據標準來存儲、編碼和共享臨床信息。

儘管聯邦政府一直在推進醫療保健系統的整合,但駕馭許多醫療保健 IT 標準的需求依然堅定。

這篇博文列出了重要的醫療保健 IT 標準和法規,供醫療保健軟件公司和醫療組織在開發和推廣醫療保健技術時牢記。 讓我們潛入吧!

管理數據安全的醫療保健 IT 標準

HIPAA

曾經作為一項保護失業工人健康保險的法案,HIPAA 或健康保險流通和盈利法案,現在可能是保護醫療保健信息的最著名的立法。 它為存儲、共享、管理和記錄個人身份健康信息 (PHI) 設定了標準。

因此,任何參與運營醫療保健數據或提供處理此類數據的軟件的實體都必須確保滿足必要的健康信息技術法規。 HIPAA 由幾個部分組成:

  • 安全規則
  • 隱私規則
  • 違反通知規則
  • 綜合規則
  • 執行規則

與醫療保健軟件綁定的是安全、隱私和違規通知規則。

HIPAA 安全規則

安全規則概述了保護 PHI 的安全措施,涵蓋三個部分:技術、物理和管理安全措施。

技術保障

技術保障要求醫療機構在電子 PHI 超出內部服務器時對其進行加密。 組織可以自由選擇適當的方式來實施以下要求:

  • 訪問控制(必需)確保有權訪問 PHI 的每個用戶都有唯一的名稱和密碼。 醫療保健數據標準還要求制定程序,在緊急情況下管理 PHI 的發布和披露
  • ePHI 身份驗證(可尋址)需要建立機制來確認 PHI 是否已被更改或破壞
  • 加密和解密(可尋址)規定了對發送到內部服務器之外的消息進行加密和解密的功能
  • 活動日誌和審計控制(必需)註冊 PHI 訪問嘗試並記錄訪問後對數據所做的更改
  • 一旦設備無人看管,自動註銷(可尋址)可防止洩露個人健康信息

物理保障

物理保護措施側重於保護對 PHI 的物理訪問,並製定了保護移動設備和工作站的措施。 醫療機構必須實施:

  • 設施訪問控制(可尋址)
  • 定位和使用工作站的指南(必填)
  • 移動設備使用流程(必填)
  • 庫存和硬件策略(可尋址)

行政保障

行政保障措施為 PHI 保護製定了高級別的措施。 他們要求:

  • 進行風險評估(必需)
  • 引入風險管理政策(必填)
  • 培訓員工安全處理健康數據(可尋址)
  • 制定應急計劃(必填)
  • 測試應急計劃(可尋址)
  • 限制第三方訪問數據(必需)
  • 報告安全事件(可尋址)

HIPAA 隱私規則

HIPAA 醫療保健數據標準的隱私規則概述瞭如何使用和披露 PHI 的措施。 根據隱私規則,醫療機構應該:

  • 培訓員工以確保他們知道哪些信息可以和不可以在組織的安全機制之外共享
  • 實施適當的措施來維護 PHI 的完整性
  • 確保在將患者的健康信息用於營銷、籌款或研究之前獲得患者的書面許可

HIPAA 違規通知規則

違規通知規則要求醫療保健組織在其 PHI 受到損害時通知患者。 它還要求實體將 PHI 違規行為及時通知衛生與公眾服務部,並在違規影響超過 500 名患者時向媒體發布通知。

海泰克

2009 年簽署了《用於經濟和臨床健康的健康信息技術法案》。新的醫療保健 IT 法規旨在促進“健康信息技術的採用和有意義的使用”,並對 HIPAA 進行更嚴格的執行。 該法案要求醫療保健提供者進行安全審計,以調查他們是否遵守 HIPAA 的隱私和安全規則。

因此,HITECH 可以被視為 HIPAA 的執行機構。 醫療保健 IT 法規還為醫療保健組織提供財務激勵,以抵消切換到 EHR 的成本以及對醫療保健提供者和軟件供應商的更嚴格的數據安全要求和處罰。 在 HITECH 下,必須通知患者未經授權訪問其數據,並且只能通過安全方法共享個人健康信息。

GDPR

通用數據保護條例是控制歐盟所有問題數據的關鍵醫療保健 IT 條例之一,健康信息屬於其範圍。 值得記住的是,GDPR 不僅適用於歐盟境內的組織,也適用於歐盟以外的組織,以防它們針對歐盟境內的個人。 組織為確保 GDPR 合規範圍而採取的關鍵步驟:

  • 任命專門的數據保護官
  • 通過進行數據保護影響評估 (DPIA) 評估與數據相關的風險
  • 設計並推出數據安全策略
  • 在 72 小時內通知數據洩露。

控制醫療設備和軟件作為醫療設備 (SaMD) 的醫療保健 IT 法規

食品和藥物管理局

美國食品和藥物管理局對從食品到藥品再到化妝品的一切進行監管。 醫療保健 IT 供應商感興趣的是,該實體審查和設置醫療設備和用作醫療設備的軟件應用程序的健康 IT 標準。 因此,如果您的軟件涉及執行醫療任務並且意外使用該軟件必然會帶來高風險,您將需要獲得 FDA 的許可。

受 FDA 監管的軟件示例可能包括幫助控制血壓袖帶充氣和放氣的應用程序或指導胰島素泵上胰島素輸送的移動應用程序。 您可以在此處查看使您的產品獲得 FDA 批准的所有功能。

另一方面,如果您的軟件不符合醫療設備的定義或對公眾構成低風險,您可能不需要申請 FDA 批准。 被 FDA 認證排除的應用程序可能包括幫助患者自我管理病情而不提供具體治療建議的移動應用程序,或幫助醫療保健提供者自動執行日常任務的應用程序。 為了獲得 FDA 的批准,

對您的設備或 SaMD 進行分類

在您的醫療保健應用程序開發之旅開始時對您的軟件或設備進行分類。 根據您產品的功能,它可能屬於 I、II 或 III 類,這決定了要執行的醫療軟件法規。 設備所屬的類別取決於其預期用途,更重要的是,它的風險。 I 類涵蓋風險最低的設備和 III 類——風險最高的設備。 要確定產品類別,您可以直接進入分類數據庫並按名稱搜索設備。

或者,您可以轉到面板列表並按您的設備所屬的面板或醫學專業進行搜索。 此外,由於高達 74% 的 I 類設備免於上市前通知流程,因此請在“醫療設備豁免”頁面上搜索您的產品是否屬於這種情況。 如果您正在開發具有全新預期用途的醫療設備或 SaMD,我們建議直接聯繫 FDA 以討論可能適用的醫療保健信息技術法規。

實施必要的控制

I 類醫療器械需要實施一般控制,即:

  1. 企業註冊和醫療器械上市(21 CFR Part 807)
  2. 質量體係法規(21 CFR Part 820)
  3. 標籤要求(21 CFR Part 801)
  4. 醫療器械報告(21 CFR Part 803)
  5. 上市前通知(21 CFR Part 807)
  6. 報告更正和刪除 (21 CFR Part 806)
  7. 研究器械臨床研究的研究器械豁免要求(21 CFR Part 812)

II 類設備需要實施上述一般控制、特殊控制和上市前通知。 III 類設備需要實施一般控制和上市前批准。 準備好所需的文件後,請提交以供考慮。 注:截至 2022 年初,該實體正在起草規範遠程數據採集和臨床調查的數字健康技術的指南。 該指南尚未最終確定,但我們將密切關注。

醫療保健內容結構標準

HL7

HL7 由提供框架和相關健康信息法規的非營利實體 Health Level Seven International 開發,負責處理不同醫療保健系統之間的醫療數據交換。 該標準是 EHR 的支柱。 由於 EHR 是一個分佈式系統,它依賴於多個子系統之間的平滑交互來構成特定的醫療保健流程,因此 HL7 充當了這些子系統之間的鏈接。 HL7 醫療保健 IT 標準有兩個版本。

  • HL7 版本 2:HL7 v2 適合集中式患者護理系統和患者數據駐留在部門子系統中的分佈式環境。 隨著HITECH的簽約,HL7 2.5.1版本被特選為滿足特定認證的標準。
  • HL7 版本 3:HL7 v3 採用一種新方法來交換臨床信息,該方法依賴於以 XML 語法編寫的消息。 HL7 v3 的目標是增加 HL7 標準的全球採用率,消除模糊性,並創建一個沒有遺留問題的更精確的標準。 因此,與 HL7 版本 2 相比,HL7 版本 3 具有一致的數據模型和明確定義的角色,用於不同臨床功能的應用程序和消息。

HL7 版本 3 主要用於沒有傳統通信要求的應用程序,沒有 HL7 版本 2 的歷史使用,或者在政府對 HL7 v3 使用有嚴格要求的地區。 兩個版本的醫療數據標準共存,在同一機構同時部署多個版本的標準是很常見的。

消息傳輸標準

高頻頭

Fast Healthcare Interoperability Resources 基於 HL7 構建,描述了電子健康記錄的數據格式和 API。 該標準提供了一組基於 HTTP 的 RESTful API,讓醫療保健提供者可以共享 XML 和 JSON 格式的數據。 該標準適用於各種設置,從移動應用程序到雲應用程序再到基於 EHR 的數據共享。 FHIR 的一個基本要素是資源。

根據其類型,資源可以包含有關患者人口統計、藥物、護理計劃、過敏症等的數據。 合併後,資源構成​​了不同的臨床和管理工作流程。 儘管醫療保健提供者對 FHIR 的成熟度反應不一,但 FHIR 預計將在 2024 年取代其他醫療保健數據交換標準。原因是 FHIR 提供了構建標準化應用程序以訪問醫療保健數據的可能性——無論哪個 EHR 支持基礎設施。

DICOM

DICOM,或醫學中的數字圖像和通信,促進了跨軟件和硬件的醫學圖像和相關數據的交換。 與不包含有關圖片上下文數據的標準圖像文件(如 JPEG 或 TIFF)相比,DICOM 文件具有更複雜的結構。

它們包含元數據,可讓您深入了解患者和圖像採集參數。 DICOM 適用的系統是多方面的:從 CT 和 MRI 掃描儀到圖片存檔和通信系統 (PACS) 到放射信息系統 (RIS)。

處理醫療保健技術解決方案時要記住的關鍵事項

大流行已促使許多醫療保健組織和健康初創公司以數字為先。 因此,進入醫療保健市場的技術解決方案數量大幅增加。 作為醫療保健技術的提供者和用戶,您可以做些什麼來確保相關解決方案符合所有必需的醫療保健 IT 法規? 我們編制了一份需要牢記的基本提示列表。

給醫療技術供應商的提示:

  • 開發新技術解決方案需要深入了解醫療保健系統的複雜性和細節。 因此,在深入研究產品設計之前,請務必了解產品的使用環境,包括組織設置、相關利益相關者群體和利益相關者關係。 評估與使用您開發的醫療保健技術相關的風險也很重要。 了解風險將幫助您概述必要的醫療保健 IT 標準。
  • 要使您的產品獲得批准,您需要向監管機構提交所有類型的文件。 因此,在構思、設計和開發您的解決方案時,請記錄開發過程。 要確定您需要遵循哪些文件和程序,請參閱衛生與公眾服務部、監察長辦公室 (OIG)、緝毒署 (DEA) 和食品藥品監督管理局 (FDA)。
  • 在實際進入市場之前,考慮進行外部合規性測試。 與了解醫療軟件法規的供應商合作有助於降低將產品推向市場的風險。

給醫療機構的提示:

為確保您使用的技術符合所有必要的醫療軟件法規,建立一個全面的組織範圍內的合規計劃至關重要。

  • 為此,請創建一個多學科委員會並任命一名首席合規官 (CCO) 來指導合規工作。
  • 第二步,讓委員會制定完成合規所需的必要政策、流程和時間表。
  • 確保您的合規路線圖包含定期的內部和外部審計。 聘請第三方審計師審查您的合規流程有助於識別漏洞、漏洞和工作流程效率低下。
  • 為了最大限度地提高您的合規性,推出強大的員工教育計劃,並確保您的員工被教導始終遵守相關的醫療保健 IT 標準。
  • 最後,通過定期評估合規計劃的有效性,確保您的努力取得成果。

而不是一個結論

隨著醫療保健技術的發展勢頭越來越猛,醫療 AI、IoMT 和 RPA 等創新技術獲得更多關注,監管機構致力於製定醫療保健 IT 標準。 隨著標準變得更加精確和復雜,醫療初創公司和醫療保健組織很難找到與其產品相關的內容並保持合規性。

因此,如果您想開發一個檢查所有所需合規框的醫療保健解決方案,請聯繫 ITRex 專家。 我們將幫助您實現最高的安全性和不妥協的安全性。

最初於 2022 年 3 月 22 日在 https://itrexgroup.com 上發布。