AI yang Sesuai HIPAA: Apa yang Perlu Diketahui Tim Operasional Layanan Kesehatan
Setiap organisasi layanan kesehatan yang mengevaluasi alat AI pada akhirnya akan menemui pertanyaan yang sama: Bagaimana kami menggunakan ini tanpa melanggar HIPAA? Jawabannya lebih bernuansa dari yang disarankan oleh kebanyakan materi presentasi vendor, dan tidak seseram yang diasumsikan oleh kebanyakan petugas kepatuhan pada awalnya. AI benar-benar dapat diterapkan dengan cara yang sesuai HIPAA, tetapi memerlukan pemahaman tentang ke mana PHI mengalir, bagaimana PHI diproses, dan perlindungan apa yang diperlukan secara kontraktual dan teknis.
Di Mana PHI Memasuki Alur Kerja AI
Alat AI dalam operasional layanan kesehatan menyentuh informasi kesehatan yang dilindungi di berbagai titik. Alat pembersihan klaim memproses nama pasien, tanggal lahir, ID asuransi, kode diagnosis, dan kode prosedur. Sistem otorisasi sebelumnya menangani dokumentasi klinis termasuk riwayat perawatan, hasil laboratorium, dan catatan dokter. Alat komunikasi pasien memproses nomor telepon, detail janji temu, dan terkadang informasi klinis seperti pengingat obat.
Pertanyaan kepatuhan pertama adalah apakah AI memproses PHI sama sekali. Beberapa alat AI bekerja dengan data yang telah dianonimkan atau diagregasi, yang berada di luar cakupan HIPAA. Alat optimasi penjadwalan yang menganalisis pola janji temu tanpa mengakses catatan pasien individu mungkin tidak memerlukan BAA. Tetapi sebagian besar alat AI operasional memang memproses PHI, dan organisasi perlu memperlakukannya sesuai dengan itu.
Perjanjian Rekan Bisnis
Setiap vendor yang alat AI-nya memproses, menyimpan, atau mengirimkan PHI atas nama entitas yang dilindungi adalah rekan bisnis berdasarkan HIPAA. Ini memerlukan Perjanjian Rekan Bisnis (BAA) yang menentukan bagaimana vendor akan melindungi PHI, apa yang diizinkan untuk mereka lakukan dengannya, dan bagaimana pelanggaran akan ditangani.
Persyaratan BAA untuk vendor AI memerlukan perhatian khusus di beberapa area. Batasan penggunaan data harus menentukan bahwa vendor tidak dapat menggunakan PHI organisasi Anda untuk melatih model yang menguntungkan pelanggan lain. Ini adalah kekhawatiran nyata dengan platform AI berbasis cloud. Jika data pasien Anda digunakan untuk meningkatkan model umum vendor, penggunaan data tersebut perlu diungkapkan dan disetujui.
Kebijakan retensi data harus menentukan berapa lama vendor menyimpan PHI setelah pemrosesan. Alat pembersihan klaim AI mungkin hanya perlu menyimpan data klaim selama beberapa detik selama pemrosesan, tetapi beberapa vendor menyimpan data selama berminggu-minggu atau berbulan-bulan untuk tujuan peningkatan model. BAA harus menetapkan batas retensi yang jelas dan persyaratan penghapusan.
Manajemen subkontraktor penting karena banyak vendor AI menggunakan penyedia infrastruktur cloud (AWS, Azure, GCP) sebagai subkontraktor. Rantai BAA perlu diperluas ke subkontraktor ini, memastikan bahwa PHI dilindungi di setiap lapisan tumpukan teknologi.
Model Pemrosesan Data
Cara AI memproses PHI secara signifikan memengaruhi profil risiko. Tiga model umum ada, masing-masing dengan implikasi kepatuhan yang berbeda.
Dalam model pertama, PHI dikirimkan ke lingkungan cloud vendor untuk diproses. Ini adalah model yang paling umum dan memerlukan enkripsi yang kuat saat transit dan saat diam, kontrol akses di sisi vendor, dan pencatatan audit dari semua akses PHI. Lingkungan cloud vendor harus memenuhi persyaratan keamanan HIPAA termasuk perlindungan fisik, perlindungan teknis, dan perlindungan administratif.
Dalam model kedua, AI berjalan secara on-premises di dalam infrastruktur organisasi layanan kesehatan. PHI tidak pernah meninggalkan lingkungan organisasi, yang menyederhanakan kepatuhan secara signifikan. Konsekuensinya adalah penerapan on-premises memerlukan lebih banyak sumber daya TI dan mungkin membatasi akses ke pembaruan model terbaru.
Dalam model ketiga, pendekatan hibrida, PHI dianonimkan sebelum meninggalkan organisasi, diproses di cloud vendor, dan diidentifikasi kembali ketika hasilnya kembali. Pendekatan ini mengurangi risiko tetapi menambah kompleksitas dan dapat memengaruhi akurasi AI jika proses anonimisasi menghapus informasi yang relevan secara klinis. Platform AI layanan kesehatan yang menawarkan model penerapan fleksibel memberikan organisasi lebih banyak kendali atas postur kepatuhan mereka.
Persyaratan Keamanan untuk Sistem AI
Aturan Keamanan HIPAA memerlukan perlindungan administratif, fisik, dan teknis. Untuk sistem AI secara khusus, beberapa perlindungan teknis memerlukan perhatian terfokus.
Enkripsi tidak bisa ditawar. PHI harus dienkripsi saat transit (TLS 1.2 atau lebih tinggi) dan saat diam (AES-256 atau setara). Ini berlaku untuk data yang dikirim ke AI untuk diproses, data yang disimpan selama pemrosesan, dan hasil yang dikembalikan ke organisasi layanan kesehatan.
Kontrol akses harus memastikan bahwa hanya personel yang berwenang yang dapat mengakses sistem AI dan PHI yang diprosesnya. Kontrol akses berbasis peran (RBAC) harus membatasi siapa yang dapat melihat, memodifikasi, atau mengekspor data. Autentikasi multi-faktor harus diperlukan untuk akses administratif ke platform AI.
Pencatatan audit harus menangkap siapa yang mengakses PHI apa, kapan, dan tindakan apa yang mereka ambil. Untuk sistem AI, ini mencakup pencatatan catatan pasien mana yang diproses oleh AI, input apa yang diberikan, dan output apa yang dihasilkan. Log ini penting untuk investigasi pelanggaran dan audit kepatuhan.
Kerangka Penilaian Risiko
Sebelum menerapkan alat AI apa pun yang menyentuh PHI, organisasi harus melakukan penilaian risiko HIPAA yang spesifik untuk implementasi AI. Penilaian ini harus mengevaluasi volume dan sensitivitas PHI yang diproses, aliran data termasuk semua titik transit dan penyimpanan, postur keamanan dan riwayat vendor, dampak potensial dari pelanggaran yang melibatkan data spesifik ini, serta perlindungan teknis dan administratif yang ada.
Penilaian risiko bukan latihan satu kali. Sistem AI berkembang, model diperbarui, dan infrastruktur vendor berubah. Penilaian ulang tahunan minimal, dan penilaian ulang setiap kali sistem AI berubah secara signifikan, menjaga postur kepatuhan tetap terkini.
Daftar Periksa Kepatuhan Praktis
Untuk tim operasional layanan kesehatan yang mengevaluasi vendor AI, item-item berikut harus diverifikasi sebelum menandatangani kontrak. Konfirmasi bahwa vendor akan menandatangani BAA yang menangani masalah khusus AI. Verifikasi sertifikasi SOC 2 Type II atau pengesahan keamanan setara. Konfirmasi enkripsi data yang sesuai HIPAA saat transit dan saat diam. Tinjau kebijakan retensi dan penghapusan data vendor. Pahami apakah data Anda digunakan untuk pelatihan model dan apakah Anda dapat memilih untuk tidak ikut serta. Verifikasi bahwa vendor memiliki proses pemberitahuan pelanggaran yang memenuhi persyaratan HIPAA. Tinjau perjanjian subkontraktor dan persyaratan keamanan vendor. Konfirmasi bahwa pencatatan audit memenuhi persyaratan kepatuhan organisasi Anda.
Sebagian besar vendor AI layanan kesehatan terkemuka telah menangani persyaratan ini karena mereka tidak dapat menjual ke pasar layanan kesehatan tanpanya. Tetapi detail spesifik itu penting, dan petugas kepatuhan yang mengajukan pertanyaan mendetail tentang penanganan data cenderung menemukan perbedaan penting antar vendor yang dilewatkan oleh presentasi penjualan. Organisasi yang berhasil mengimplementasikan AI dalam layanan kesehatan adalah mereka yang memperlakukan kepatuhan sebagai batasan desain sejak awal, bukan sebagai hal yang baru dipikirkan setelah teknologi sudah diterapkan.