الذكاء الاصطناعي المتوافق مع HIPAA: ما تحتاج فرق العمليات الصحية إلى معرفته
كل مؤسسة رعاية صحية تقيّم أدوات الذكاء الاصطناعي تصل في النهاية إلى نفس السؤال: كيف نستخدم هذه الأدوات دون انتهاك قانون HIPAA؟ الإجابة أكثر تعقيداً مما توحي به معظم العروض التقديمية للبائعين، وأقل إثارة للقلق مما يفترضه معظم مسؤولي الامتثال في البداية. يمكن بالتأكيد نشر الذكاء الاصطناعي بطرق متوافقة مع HIPAA، لكن ذلك يتطلب فهم أين تتدفق المعلومات الصحية المحمية (PHI)، وكيف تتم معالجتها، وما هي الضمانات المطلوبة تعاقدياً وتقنياً.
أين تدخل المعلومات الصحية المحمية في سير عمل الذكاء الاصطناعي
تتعامل أدوات الذكاء الاصطناعي في العمليات الصحية مع المعلومات الصحية المحمية في نقاط متعددة. تعالج أداة تدقيق المطالبات أسماء المرضى وتواريخ الميلاد ومعرّفات التأمين ورموز التشخيص ورموز الإجراءات. يتعامل نظام التفويض المسبق مع الوثائق السريرية بما في ذلك تاريخ العلاج ونتائج المختبرات وملاحظات الأطباء. تعالج أداة التواصل مع المرضى أرقام الهواتف وتفاصيل المواعيد وأحياناً معلومات سريرية مثل تذكيرات الأدوية.
السؤال الأول المتعلق بالامتثال هو ما إذا كانت أداة الذكاء الاصطناعي تعالج المعلومات الصحية المحمية أصلاً. تعمل بعض أدوات الذكاء الاصطناعي مع بيانات مجهولة الهوية أو مجمّعة، وهي خارج نطاق HIPAA. قد لا تحتاج أداة تحسين الجدولة التي تحلل أنماط المواعيد دون الوصول إلى سجلات المرضى الفردية إلى اتفاقية شريك أعمال (BAA). لكن معظم أدوات الذكاء الاصطناعي التشغيلية تعالج المعلومات الصحية المحمية، ويجب على المؤسسة التعامل معها وفقاً لذلك.
اتفاقيات شركاء الأعمال
أي بائع تعالج أداة الذكاء الاصطناعي الخاصة به المعلومات الصحية المحمية أو تخزنها أو تنقلها نيابة عن كيان مشمول يُعتبر شريك أعمال بموجب HIPAA. يتطلب هذا اتفاقية شريك أعمال (BAA) تحدد كيف سيحمي البائع المعلومات الصحية المحمية، وما المسموح له بفعله بها، وكيف سيتم التعامل مع الانتهاكات.
تستحق متطلبات اتفاقية شريك الأعمال لبائعي الذكاء الاصطناعي اهتماماً خاصاً في عدة مجالات. يجب أن تحدد قيود استخدام البيانات أن البائع لا يمكنه استخدام المعلومات الصحية المحمية الخاصة بمؤسستك لتدريب نماذج تفيد عملاء آخرين. هذا مصدر قلق حقيقي مع منصات الذكاء الاصطناعي السحابية. إذا كانت بيانات مرضاك تُستخدم لتحسين النموذج العام للبائع، فيجب الإفصاح عن هذا الاستخدام والحصول على الموافقة عليه.
يجب أن تحدد سياسات الاحتفاظ بالبيانات المدة التي يحتفظ فيها البائع بالمعلومات الصحية المحمية بعد المعالجة. قد تحتاج أداة تدقيق المطالبات بالذكاء الاصطناعي إلى الاحتفاظ ببيانات المطالبات لثوانٍ فقط أثناء المعالجة، لكن بعض البائعين يحتفظون بالبيانات لأسابيع أو أشهر لأغراض تحسين النموذج. يجب أن تضع اتفاقية شريك الأعمال حدوداً واضحة للاحتفاظ ومتطلبات الحذف.
تُعد إدارة المقاولين من الباطن أمراً مهماً لأن العديد من بائعي الذكاء الاصطناعي يستخدمون مزودي البنية التحتية السحابية (AWS، Azure، GCP) كمقاولين من الباطن. يجب أن تمتد سلسلة اتفاقيات شركاء الأعمال إلى هؤلاء المقاولين من الباطن، مما يضمن حماية المعلومات الصحية المحمية في كل طبقة من طبقات البنية التقنية.
نماذج معالجة البيانات
تؤثر طريقة معالجة الذكاء الاصطناعي للمعلومات الصحية المحمية بشكل كبير على ملف المخاطر. توجد ثلاثة نماذج شائعة، لكل منها تداعيات امتثال مختلفة.
في النموذج الأول، تُنقل المعلومات الصحية المحمية إلى البيئة السحابية للبائع للمعالجة. هذا هو النموذج الأكثر شيوعاً ويتطلب تشفيراً قوياً أثناء النقل وفي حالة السكون، وضوابط وصول من جانب البائع، وتسجيل تدقيق لجميع عمليات الوصول إلى المعلومات الصحية المحمية. يجب أن تستوفي البيئة السحابية للبائع متطلبات أمان HIPAA بما في ذلك الضمانات المادية والتقنية والإدارية.
في النموذج الثاني، يعمل الذكاء الاصطناعي محلياً داخل البنية التحتية لمؤسسة الرعاية الصحية. لا تغادر المعلومات الصحية المحمية بيئة المؤسسة أبداً، مما يبسّط الامتثال بشكل كبير. المقابل هو أن النشر المحلي يتطلب موارد تقنية أكبر وقد يحد من الوصول إلى أحدث تحديثات النموذج.
في النموذج الثالث، وهو النهج الهجين، تُجرد المعلومات الصحية المحمية من الهوية قبل مغادرة المؤسسة، وتُعالج في سحابة البائع، ويُعاد تحديد الهوية عند عودة النتائج. يقلل هذا النهج من المخاطر لكنه يضيف تعقيداً وقد يؤثر على دقة الذكاء الاصطناعي إذا أزالت عملية إزالة الهوية معلومات ذات صلة سريرية. منصات الذكاء الاصطناعي للرعاية الصحية التي تقدم نماذج نشر مرنة تمنح المؤسسات مزيداً من التحكم في وضعها الامتثالي.
متطلبات الأمان لأنظمة الذكاء الاصطناعي
تتطلب قاعدة أمان HIPAA ضمانات إدارية ومادية وتقنية. بالنسبة لأنظمة الذكاء الاصطناعي تحديداً، تستحق عدة ضمانات تقنية اهتماماً مركّزاً.
التشفير أمر لا يقبل التفاوض. يجب تشفير المعلومات الصحية المحمية أثناء النقل (TLS 1.2 أو أعلى) وفي حالة السكون (AES-256 أو ما يعادله). ينطبق هذا على البيانات المرسلة إلى الذكاء الاصطناعي للمعالجة، والبيانات المخزنة أثناء المعالجة، والنتائج المعادة إلى مؤسسة الرعاية الصحية.
يجب أن تضمن ضوابط الوصول أن الموظفين المصرح لهم فقط يمكنهم الوصول إلى نظام الذكاء الاصطناعي والمعلومات الصحية المحمية التي يعالجها. يجب أن يحد التحكم في الوصول المستند إلى الأدوار (RBAC) من يمكنه عرض البيانات أو تعديلها أو تصديرها. يجب أن تكون المصادقة متعددة العوامل مطلوبة للوصول الإداري إلى منصة الذكاء الاصطناعي.
يجب أن يسجل تسجيل التدقيق من وصل إلى أي معلومات صحية محمية، ومتى، وما الإجراءات التي اتخذها. بالنسبة لأنظمة الذكاء الاصطناعي، يمتد هذا إلى تسجيل سجلات المرضى التي عالجها الذكاء الاصطناعي، والمدخلات المقدمة، والمخرجات المولّدة. هذه السجلات ضرورية للتحقيق في الانتهاكات وتدقيق الامتثال.
إطار تقييم المخاطر
قبل نشر أي أداة ذكاء اصطناعي تتعامل مع المعلومات الصحية المحمية، يجب على المؤسسات إجراء تقييم مخاطر HIPAA خاص بتطبيق الذكاء الاصطناعي. يجب أن يقيّم هذا التقييم حجم وحساسية المعلومات الصحية المحمية المعالجة، وتدفق البيانات بما في ذلك جميع نقاط النقل والتخزين، والوضع الأمني للبائع وتاريخه، والأثر المحتمل لانتهاك يتضمن هذه البيانات المحددة، والضمانات التقنية والإدارية المعمول بها.
تقييم المخاطر ليس تمريناً يُجرى مرة واحدة. تتطور أنظمة الذكاء الاصطناعي، وتُحدّث النماذج، وتتغير البنية التحتية للبائع. إعادة التقييم سنوياً كحد أدنى، وإعادة التقييم كلما تغير نظام الذكاء الاصطناعي بشكل كبير، يحافظ على وضع الامتثال محدّثاً.
قائمة مراجعة عملية للامتثال
بالنسبة لفرق العمليات الصحية التي تقيّم بائعي الذكاء الاصطناعي، يجب التحقق من العناصر التالية قبل توقيع العقد. تأكد من أن البائع سيوقع اتفاقية شريك أعمال تعالج المخاوف الخاصة بالذكاء الاصطناعي. تحقق من شهادة SOC 2 Type II أو شهادة أمان معادلة. تأكد من تشفير البيانات المتوافق مع HIPAA أثناء النقل وفي حالة السكون. راجع سياسات الاحتفاظ بالبيانات والحذف لدى البائع. افهم ما إذا كانت بياناتك تُستخدم لتدريب النماذج وما إذا كان بإمكانك الانسحاب. تحقق من أن البائع لديه عملية إخطار بالانتهاكات تستوفي متطلبات HIPAA. راجع اتفاقيات المقاولين من الباطن ومتطلبات الأمان لدى البائع. تأكد من أن تسجيل التدقيق يستوفي متطلبات الامتثال لمؤسستك.
معظم بائعي الذكاء الاصطناعي ذوي السمعة الطيبة في مجال الرعاية الصحية قد عالجوا هذه المتطلبات لأنهم لا يستطيعون البيع في سوق الرعاية الصحية بدونها. لكن التفاصيل مهمة، ومسؤولو الامتثال الذين يطرحون أسئلة تفصيلية حول التعامل مع البيانات يميلون إلى اكتشاف اختلافات مهمة بين البائعين تتجاهلها العروض التقديمية للمبيعات. المؤسسات التي تنجح في تطبيق الذكاء الاصطناعي في الرعاية الصحية هي تلك التي تتعامل مع الامتثال كقيد تصميمي من البداية وليس كفكرة لاحقة تُعالج بعد نشر التقنية فعلياً.