Connect with us

HIPAA і AI: Що повинні знати лідери охорони здоров’я перед розгортанням інтелектуальних інструментів

Лідери думок

HIPAA і AI: Що повинні знати лідери охорони здоров’я перед розгортанням інтелектуальних інструментів

mm
Published
Updated

Штучний інтелект (AI) все частіше перетворює охорону здоров’я. Лікарні та системи охорони здоров’я досліджують AI для підтримки клінічної діагностики, управління робочими процесами та поліпшення прийняття рішень. За даними опитування Deloitte’s 2024 Health Care Outlook, 53% систем охорони здоров’я експериментують з генеративним AI для конкретних випадків використання, тоді як 27% намагаються масштабувати технологію по всьому підприємству. Незважаючи на цей зростання, багато організацій ще знаходяться на ранніх етапах інтеграції AI в реальні клінічні середовища.

Швидке впровадження AI породжує значні регуляторні та управлінські виклики. Багато організацій охорони здоров’я ще не повністю готові до виконання оновлених стандартів конфіденційності та безпеки Закону про переносимість та підтримку страхування здоров’я (HIPAA). Тому забезпечення дотримання вимог не тільки технічне питання, але й основна відповідальність керівництва.

Лідери охорони здоров’я, включаючи генеральних директорів, технічних директорів, офіцерів з дотримання вимог та членів ради директорів, повинні забезпечити, щоб AI впроваджувався відповідально. Це включає встановлення чітких політик управління, проведення ретельних оцінок постачальників та підтримання прозорості з пацієнтами щодо використання AI. Рішення, прийняті керівництвом в цій галузі, впливають як на дотримання вимог, так і на репутацію організації, а також довірчу довіру пацієнтів.

Керівництво та регуляторний нагляд за безпечним AI в охороні здоров’я

Після швидкого зростання AI в охороні здоров’я організації повинні пріоритезувати відповідальне впровадження. Лікарні все частіше використовують AI для клінічної підтримки прийняття рішень, управління робочими процесами та оперативної ефективності. Однак впровадження AI часто відбувається швидше, ніж розуміння управління та регуляторних вимог, що створює прогалини, які можуть загрозити даних пацієнтів. Тому лідери охорони здоров’я повинні активніше звертатися до цих ризиків, щоб забезпечити дотримання вимог HIPAA та відповідність цілям організації.

Керівництво відіграє центральну роль у ліквідації цієї прогалини. Наприклад, неформальне або не затверджене використання AI, іноді зване тіньовим AI, може привести до порушень вимог та загрозити конфіденційності пацієнтів. Тому виконавці повинні визначити чіткі політики, встановити відповідальність та наглядати за всіма ініціативами AI. Цей нагляд може включати формування комітетів з управління AI, впровадження формальних структур звітності та проведення регулярних аудитів внутрішніх систем та постачальників.

HIPAA надає правову основу для захисту інформації про здоров’я пацієнтів, і навіть системи AI, які використовують деідентифіковані дані, несуть ризики повторної ідентифікації, що підпадає під захист HIPAA. Тому лідери повинні розглядати HIPAA не як перешкоду, а як керівництво для етичного та безпечного використання AI. Дотримання цих вимог захищає пацієнтів, підтримує довірчу довіру та сприяє відповідальному інноваціям.

Крім того, виконавці повинні враховувати ширші регуляторні вимоги, оскільки Міністерство охорони здоров’я та соціальних служб США опублікувало стратегічний план AI на 2025 рік, який підкреслює прозорість, пояснюваність та захист інформації про здоров’я пацієнтів (PHI). Крім того, кілька штатів ввели закони про конфіденційність, які розширюють зобов’язання HIPAA, включаючи суворіші правила повідомлення про порушення та аудиту AI. Лідери повинні звертатися як до федеральних, так і до державних регуляторних вимог, щоб забезпечити послідовне дотримання вимог по всій організації.

Перед затвердженням розгортання AI виконавці повинні поставити критичні питання. Вони повинні визначити, чи постачальник AI отримує доступ або зберігає PHI, чи рішення AI можна аудітувати або пояснити, що відбувається, якщо помилки AI призводять до шкоди пацієнтам, і хто володіє даними, згенерованими або проаналізованими інструментами AI. Відповіді на ці питання допомагають визначити ризик дотримання вимог та стратегічну готовність.

Ефективне керівництво також потребує уваги до технічних, етичних та оперативних аспектів, оскільки верифікація сертифікатів безпеки постачальників, підтримання людського нагляду в процесах прийняття рішень AI, моніторинг продуктивності системи та звертання до потенційної упередженості алгоритмів є суттєвими. Крім того, лідери повинні залучати клінічні команди та персонал до обговорень щодо управління, навчання та процесів звітності, оскільки відкрита комунікація про те, як AI обробляє інформацію про пацієнтів та підтримує прийняття рішень, сприяє культурі відповідальності та довірчої довіри.

Зв’язуючи управління, регуляторне дотримання вимог та організаційну культуру, лідери охорони здоров’я можуть ліквідувати прогалину між швидким впровадженням AI та відповідальним розгортанням. Тому AI може покращити догляд за пацієнтами, захищати конфіденційність, виконувати юридичні зобов’язання та сприяяти сталому, етичному інноваціям.

Ключові ризики дотримання вимог при використанні AI для інформації про пацієнтів

Когда організації переходять від планування до активного розгортання систем AI, лідери охорони здоров’я повинні зрозуміти основні ризики дотримання вимог, які виникають при взаємодії AI з інформацією про пацієнтів. Ці ризики пов’язані з практиками обробки даних, операціями постачальників, продуктивністю алгоритмів та загальною безпекою середовища. Звертання до цих питань є суттєвим для забезпечення того, щоб AI підтримував клінічні та оперативні цілі без створення регуляторного ризику.

Одним з основних питань є обробка даних під час навчання моделі та операції системи. Системи AI часто залежать від великих наборів даних, і якщо ці набори містять ідентифіковану або погано деідентифіковану інформацію про пацієнтів, зростає ризик виявлення. Тому лідери повинні підтвердити, що всі дані, використані для розробки або оптимізації AI, мінімалізовані, деідентифіковані, якщо це можливо, та обмежені затвердженими цілями. Крім того, лідери повинні забезпечити, щоб їхні команди зрозуміли, як довго дані зберігаються, де вони зберігаються та хто має доступ до них, оскільки незрозумілі практики зберігання можуть суперечити вимогам HIPAA.

Аналогічно, ризики постачальників та третьої сторони потребують ретельного нагляду. Постачальники AI суттєво відрізняються у своєму розумінні регуляторних вимог та очікувань безпеки. Як результат, виконавці повинні переглянути сертифікації безпеки кожного постачальника, записи про дотримання вимог та плани реагування на інциденти. Формальний договір про асоціацію бізнесу (BAA) необхідний кожного разу, коли зовнішній партнер отримує доступ до інформації про пацієнтів. Крім того, хмарне розміщення AI вводить ще один рівень відповідальності, оскільки керівництво повинно підтвердити, що вибране середовище хостингу підтримує шифрування, реєстрацію аудиту, контроль доступу та інші заходи безпеки, очікувані в умовах HIPAA. Перегляд цих елементів допомагає організаціям зменшити операційні та юридичні ризики, сприяючи безпечному впровадженню AI.

Етичні та пов’язані з упередженістю питання також мають імплікації щодо дотримання вимог. Алгоритми можуть працювати нерівномірно по відношенню до різних груп пацієнтів, що може впливати на клінічну якість та довірчу довіру. Тому лідери повинні вимагати прозорості щодо наборів даних, використаних для навчання інструментів AI, того, як постачальник тестує на упередженість, та яких заходів приймають, коли з’являються нерівні результати. Постійний моніторинг необхідний для забезпечення того, щоб AI підтримував справедливе та надійне прийняття рішень для всіх пацієнтів.

Крім того, AI збільшує ризик кібербезпеки організації, оскільки він вводить нові потоки даних, зовнішні зв’язки та інтеграції систем. Ці елементи можуть створити вразливості, якщо не керувати ними ретельно. Тому лідери повинні координувати команди кібербезпеки та дотримання вимог на ранніх етапах проекту AI. Діяльності, такі як тестування на проникнення, перегляд підключень API, верифікація шифрування та моніторинг прав доступу, залишаються суттєвими для захисту інформації про пацієнтів.

Звертаючись до обробки даних, практик постачальників, поведінки алгоритмів та кібербезпеки разом, лідери охорони здоров’я можуть звертатися до повного спектру ризиків дотримання вимог, пов’язаних з AI. Цей комплексний підхід не тільки підтримує відповідність HIPAA, але також посилює організаційну готовність до просунутих цифрових інструментів. Як результат, AI можна впроваджувати таким чином, щоб підтримувати клінічну допомогу, підтримувати довірчу довіру пацієнтів та відображати зобов’язання організації щодо відповідального інноваційного розвитку.

Підхід керівництва до відповідального розгортання AI

Лідери охорони здоров’я повинні застосовувати структурований підхід, щоб забезпечити, що впровадження AI є безпечним, відповідає вимогам та відповідає цілям організації. Ефективне розгортання вимагає поєднання управління, нагляду за постачальниками, залучення персоналу та постійного моніторингу у скоординованому порядку.

Перший крок – планування та оцінка ризиків. Лідери повинні чітко визначити випадки використання AI та визначити, чи буде отримано доступ до PHI. Залучення офіцерів з дотримання вимог на ранніх етапах та проведення формального аналізу ризиків HIPAA може допомогти забезпечити, щоб ініціативи AI починалися на солідній основі.

Під час пілотного та контрольного розгортання лідери повинні пріоритезувати безпеку та дотримання вимог. Використання деідентифікованих або обмежених наборів даних під час тестування зменшує ризик, тоді як шифрування всіх передач даних захищає конфіденційну інформацію. Вибір постачальників хостингу, що відповідають вимогам HIPAA, таких як AWS, Google Cloud, Microsoft Azure або Atlantic.Net, забезпечує інфраструктуру, яка відповідає регуляторним та організаційним стандартам. Моніторинг потоку даних та доступу під час цього етапу допомагає лідерам виявити потенційні прогалини до повномасштабного впровадження.

Когда розгортання переходить до виробництва, лідери повинні остаточно затверджувати контракти постачальників, переглядати результати аудиту та підтримувати людський нагляд у системах прийняття рішень AI. Збереження детальних слідів аудиту для всіх взаємодій AI, пов’язаних з PHI, посилює відповідальність та регуляторне дотримання вимог. Безпечна, відповідна інфраструктура хмари продовжує бути суттєвою на цьому етапі.

Збереження відповідального використання AI вимагає постійного технічного обслуговування, аудиту та покращення. Лідери повинні регулярно переглядати інструменти AI, оцінювати продуктивність постачальників та оновлювати політики на основі нових керівних принципів або регуляторних змін. Постійний моніторинг дозволяє організаціям звертатися до нових ризиків оперативно та підтримувати як операційну ефективність, так і довірчу довіру пацієнтів.

На всіх етапах керівництво повинно зосереджуватися на навчанні персоналу, етичному використанні AI та створенні культури відповідальності. Політики повинні запобігати використанню публічних платформ AI для даних пацієнтів, а команди повинні розуміти обмеження систем AI. Прозорість та залучення клінічного та оперативного персоналу підтримують дотримання вимог HIPAA та сприяють довірчій довірі до інструментів AI.

Зв’язуючи управління, структуроване впровадження, нагляд за постачальниками, залучення персоналу та постійний огляд, лідери охорони здоров’я можуть забезпечити, що розгортання AI є відповідальним, відповідає вимогам та вигідним як для догляду за пацієнтами, так і для організаційних цілей.

Заключні думки

Використання AI в охороні здоров’я все частіше стає центральним для клінічних та оперативних процесів, однак воно вводить складні виклики, які потребують ретельного керівництва. Тому виконавці повинні інтегрувати структуроване управління, ретельний нагляд за постачальниками, залучення персоналу та постійний моніторинг, щоб забезпечити, що AI підтримує догляд за пацієнтами, захищає конфіденційну інформацію та підтримує організаційну цілісність.

Крім того, увагу до етичних питань, надійності алгоритмів та регуляторної відповідності посилює довірчу довіру серед пацієнтів та персоналу. Звертаючись до цих аспектів разом, організації можуть передбачати ризики, підтримувати дотримання вимог та впроваджувати AI ефективно. В кінцевому підсумку, ретельне керівництво на кожному етапі дозволяє AI покращувати прийняття рішень, підвищувати оперативну ефективність та підтримувати організаційну цілісність, забезпечуючи, що інновації розвиваються без компрометації безпеки чи довірчої довіри пацієнтів.

mm

Марті Пуранік є засновником і генеральним директором Atlantic.Net, приватної глобальної інфраструктури хмарних обчислень, відомої своєю доставкою безпечних, відповідних, на вимогу та налаштованих рішень для розміщення. Під керівництвом Марті з 1994 року компанія обслуговує клієнтів у понад 100 країнах, різноманітний спектр галузей з рішеннями, включаючи GPU-хмарове розміщення для штучного інтелекту, розміщення, відповідне вимогам HIPAA, і розміщення, відповідне вимогам PCI, яке підтримується серверами без оперативної системи, виділеним розміщенням, колокацією та її нагороджуваною платформою Cloud. Працюючи з восьми стратегічно розташованих регіональних центрів даних по всій території Сполучених Штатів, Канади, Великої Британії та Азії, Atlantic.Net забезпечує критично важливі робочі навантаження для організацій усьому світі.