Podcast: Reproduza em uma nova janela | Download (Duração: 34:46 – 31,8 MB)
Assine: Podcasts da Apple | Spotify
O CIO da Dayton Children, JD Whitlock, explica por que o atual processo de revisão da TEFCA preocupa alguns CIOs. Assista abaixo ou no YouTube.
JD Whitlock, CIO, Hospital Infantil de Dayton
JD Whitlock quer um “T” dentro TEFCA para significar alguma coisa. Como diretor de TI do Children’s Hospital Dayton, ele observa o fluxo de dados dos pacientes da Epic todos os dias. É claro que essas solicitações são impossíveis de serem verificadas em tempo real por design. O Trusted Exchange Framework e o Acordo Geral exigem que os fornecedores compartilhem amplamente. Em particular, os prestadores devem acreditar que o outro lado é quem dizem ser. No entanto, litígios recentes sugerem que alguns inquéritos serviram para fins não relacionados com cuidados. Consequentemente, Whitlock juntou-se a um coro de líderes do sistema de saúde que pressionavam por controlos mais fortes a montante.
Dayton Children’s é um sistema pediátrico com receita de US$ 850 milhões e um hospital com 230 leitos. Seus 4.500 funcionários atendem ao sudoeste de Ohio. O sistema funciona em Epic e Workday. Além disso, Whitlock faz parte do Comité Diretor de Políticas da CHIME, onde toma forma grande parte da sua defesa da governação da TEFCA. Embora Dayton não tenha assinado, Whitlock diz que apoiou uma carta enviada em Janeiro por 77 sistemas de saúde e organizações relacionadas com a saúde, pedindo ao Projecto Sequoia que reforçasse a verificação dos participantes. A Sequoia atua como Entidade Coordenadora Reconhecida (RCE) da TEFCA.
Confiança é toda arquitetura
O principal problema está na mecânica da troca de solicitações. Uma vez aprovada a Rede de Informação Qualificada em Saúde (QHIN), os seus participantes e subparticipantes podem fazer consultas aos sistemas de saúde. Especificamente, eles fazem isso alegando que estão tratando um paciente. No entanto, os provedores não podem pausar cada solicitação e questionar sua finalidade. Por outras palavras, têm de confiar que a rede já fez este trabalho. No caso do Health Gorilla, por exemplo, a Epic processou o Health Gorilla. (Para informações básicas, consulte reclamação na Epic Systems Corp. v. Health Gorilla, Inc. etc.) A denúncia alega que os subparticipantes da rede baixaram informações de saúde protegidas sob a bandeira do tratamento. Além disso, o objetivo real está relacionado ao litígio. A denúncia também observa que os subparticipantes redigiram dados clínicos em alguns casos para disfarçar a intenção.
“Quando alguém entra na rede TEFCA e faz uma investigação, não temos escolha. Não podemos parar e perguntar sempre se isto é realmente um tratamento. Temos de confiar. TEFCA é confiança. Se o T desaparecer, não funcionará”, disse Whitlock.
Esta posição coloca sobre o RCE e o ONC a responsabilidade de estabelecer regras nas quais os fornecedores possam confiar. Especificamente, a estrutura contratual atual dá ao Projeto Sequoia uma medida de autoridade pseudo-reguladora. Assim, com esta autoridade vem a responsabilidade das entidades veterinárias antes de aderirem à rede. Em última análise, o governo tem um papel legítimo a desempenhar na melhoria da interoperabilidade, disse ele. Construir confiança no sistema faz parte desta função.
Responsabilidade a montante
Uma estrutura de governação em camadas cria múltiplos locais onde a responsabilização pode escorregar. ONC contrata o Projeto Sequoia. Além disso, a Sequoia endossa QHINs, incluindo Epic e Health Gorilla. Além disso, os QHINs incluem participantes, que incluem subparticipantes. Quando algo dá errado, cada nível pode apontar para o próximo. Para Whitlock, um veterano da Marinha que serviu como oficial de guerra de superfície, a analogia da cadeia de comando é clara. Afinal, a responsabilidade está no topo e não é transmitida quando as coisas dão errado.
Há uma conexão adicional que vale a pena mencionar. Os sistemas de saúde que aderiram ao processo da Epic para levantar preocupações sobre o acesso indevido a dados enfrentaram uma resposta surpreendente. Na verdade, seguiram-se ações judiciais coletivas acusando-os de divulgar os dados em primeiro lugar. Na verdade, esses provedores estavam cumprindo as regras federais destinadas a evitar o bloqueio de informações. No entanto, os advogados dos demandantes usaram essa conformidade contra eles.
Desafios pediátricos e o caminho político a seguir
Os cuidados pediátricos acrescentam uma dimensão que raramente aparece no debate mais amplo sobre a interoperabilidade. As leis de privacidade dos adolescentes variam em cada estado. Especificamente, um sistema de saúde que opera em vários países deve configurar o seu EHR para cada um. Além disso, os direitos de acesso dos pais complicam o quadro. Consideremos um pai que acaba de perder direitos numa disputa de custódia. Este pai ainda possui informações de identificação suficientes para solicitar o registro de uma criança por meio do serviço de Acesso Individual. Além disso, as actuais propostas simplificariam esse processo de uma forma que o preocupa.
Considere um pai bem-intencionado que baixa o arquivo completo de um filho em um aplicativo de bem-estar encontrado na App Store. Esses dados caem em um ambiente não regulamentado, fora dos requisitos de segurança da HIPAA. Além disso, a criança não tem como baixar a gravação de volta depois de desconectada. A criança também não pode consentir em primeiro lugar. Especificamente, disse Whitlock, é por isso que o cabelo da parte de trás da cabeça cresce mais rápido na pediatria. As políticas de acesso individual acarretam riscos maiores quando um menor não pode consentir.
Para os CIOs que navegam neste terreno, o seu conselho começa perto de casa. Coordene as relações jurídicas, de conformidade e governamentais para que todos saibam onde está a exposição. Da mesma forma, considere comunicar-se com o paciente em situações em que os dados foram baixados incorretamente. Em particular, fique atento aos canais do setor. Segue o autor da interoperabilidade Brendan Keeler para rastrear casos legais e conta com o Comitê de Gestão de Políticas do CHIME para Advocacia Coletiva.
A resposta federal dá-lhe motivos para um otimismo comedido. O Coordenador Nacional Thomas Keen sinalizou que a ONC está explorando requisitos adicionais de aceitação e procedimentos de verificação (veja a recente entrevista do healthsystemCIO com Keen sobre a verificação da TEFCA). Na verdade, o governo tem o direito de agir contra os maus actores sem atrasos processuais significativos. Assim, foi exatamente isso que os 75 sistemas de saúde solicitaram em sua carta à Sequoia. Eventualmente, a fiscalização deverá seguir-se, disse Whitlock.
Leve embora:
- Os provedores não podem verificar as solicitações TEFCA em tempo real. A verificação upstream por RCE e QHIN é a única proteção significativa.
- A conformidade com as regras de bloqueio de informações não é uma defesa contra a exposição a uma ação coletiva. No entanto, coordene com as autoridades legais e de conformidade no início de qualquer projeto de intercâmbio.
- Os sistemas pediátricos enfrentam complexidades únicas relacionadas com a privacidade dos adolescentes e os direitos dos pais que variam de estado para estado. Inclua-os nos comentários sobre as ofertas de serviços de Acesso Individual.
- Junte-se ao CHIME ou a grupos comparáveis para se envolver na defesa de políticas coletivas. Em particular, as cartas conjuntas têm mais peso do que os comentários individuais.
- Rastreie litígios de interoperabilidade por meio de fontes confiáveis.
O risco real, disse ele, é que a clemência para os casos de hoje atraia mais casos amanhã. “Mesmo que hoje seja um caso limítrofe, não continuará a ser um caso limítrofe se as pessoas que fazem coisas inadequadas não sofrerem consequências”, disse Whitlock.
