Podcast: Reproduza em uma nova janela | Download (Duração: 51:11 – 46,9 MB)
Assine: Podcasts da Apple | Spotify
Advogado veterano analisa o processo Health Gorilla da Epic e explica por que os CIOs precisam de uma coordenação jurídica mais rígida sobre o risco da TEFCA. Assista abaixo ou no YouTube.
Helen Oscislavski, esq. Fundador e Sócio-Gerente, Oscislawski Attorneys
O caso Epic, Health Gorilla fez com que os sistemas de saúde repensassem a forma como coordenam as suas equipas tecnológicas e jurídicas, e a linha entre a violação do contrato e a divulgação ilícita está agora no centro desse trabalho.
Essa distinção tem mais significado do que os títulos sugerem, disse Helen Oscislavski, Esq., fundadora e sócia-gerente da Advogados na Oscislawski LLCem um episódio recente do HealthsystemCIO Show. A ação, movida pela Epic e vários sistemas de saúde, alega que as informações dos pacientes passaram pela estrutura nacional conhecida como TEFCA de maneiras que violaram o gerenciamento de confiança com o qual todos assinaram. Grande parte da atenção inicial se concentrou no GuardDog, um participante conectado através do Health Gorilla. GuardDog fez um certo julgamento e concedeu certos pontos em troca da liberação do processo.
A GuardDog admitiu que seu caso de uso de tratamento nunca começou e forneceu registros a terceiros, como escritórios de advocacia. Estes factos já não são contestados. Ainda assim, Oscislavski pediu ao público que diminuísse o ritmo antes de concluir que havia ocorrido fraude. A segunda peça do puzzle permanece oculta, nomeadamente se os pacientes assinaram autorizações HIPAA permitindo a divulgação a estas empresas.
“Quebra de contrato não é a mesma coisa que divulgação ilegal”, disse ela. “Essas coisas exigem a consideração de todos os fatos e circunstâncias, e essa é a peça do quebra-cabeça que realmente não temos aqui.” Se existir um sistema de consentimento e os pacientes tiverem autorização de liberação, a análise será alterada. A fraude também exige intenção e, até agora, o Departamento de Justiça não foi visto investigando ninguém. Isso pode mudar.
A participação é voluntária, mesmo quando parece obrigatória
Muitos sistemas parecem fechados na TEFCA. Contudo, o quadro continua a ser voluntário por uma questão de lei federal, e nenhuma organização é legalmente obrigada a ligar-se através de uma rede qualificada de informação em saúde. Na verdade, a política federal mudou para redes compatíveis com CMS. Como resultado, os HIEs regionais e estaduais têm agora mais espaço para desempenhar as mesmas funções.
A pressão vem de outra direção. Os mandatos de interoperabilidade, incluindo as notificações ADT exigidas pelo Medicare, devem ser cumpridos de alguma forma. Para os sistemas da Epic, o caminho de menor atrito é através da TEFCA, já que a Epic se tornou totalmente compatível com a estrutura em 2024 e removeu o opt-out anterior. Consequentemente, os clientes podem sentir-se atraídos para uma rede nacional que nunca escolheram especificamente.
Um sistema que não funciona com a Epic tem mais espaço de manobra. Se funcionar com um HIE regional ou estadual, poderá atender aos requisitos de interoperabilidade de qualquer forma tecnicamente viável, disse Oscislavski. O Gabinete do Coordenador Nacional foi inflexível ao afirmar que contactar o QHIN não era a única via. Por esse motivo, ela sugeriu que os CIOs revisitassem a questão com seus fornecedores, perguntando se eles poderiam satisfazer as emissões ADT do CMS sem optar pelo compartilhamento de dados em todo o estado. Afinal, a maioria das actividades ADT acontecem a nível regional e local.
Onde o modelo de confiança ficou tenso
O caso também revelou fragilidades na forma como a rede avalia os participantes. Sequóiaa entidade coordenadora reconhecida (RCE) verifica o QHIN, o QHIN verifica o nível abaixo, e assim por diante, ao longo de uma cadeia que abrange muitos intervenientes. Quanto mais se estende, mais difícil se torna descobrir quem está baixando dados e por quê. Freqüentemente, o problema é a confusão sobre o que termos como “tratamento” realmente significam.
Os órgãos governamentais tomaram medidas para reforçar esta ambiguidade. A Sequoia abriu recentemente para comentários públicos um procedimento operacional padrão atualizado para tratamento. Da mesma forma, a Carequality e a TEFCA revisaram as suas regras de delegação de autoridade para exigir a delegação documentada. A atualização do tratamento dividirá os atestados em dois códigos. Um envolve cuidados clínicos onde existe uma verdadeira relação paciente-provedor. A outra abrange as atividades mais amplas de coordenação de cuidados permitidas pela HIPAA, onde não existe tal relacionamento. A mudança visa justamente a área cinzenta explorada pelo GuardDog.
Do ponto de vista da gestão, Oscislavski atribui à TEFCA a resposta sensata às fraquezas do sector. Por exemplo, a integração agora inclui perguntas mais detalhadas sobre quem são os participantes e o que pretendem fazer com os dados. No entanto, a auditoria e a fiscalização ainda precisam de trabalho, pois auditorias aleatórias exigem recursos que poucas organizações possuem. No entanto, ela acredita que o litígio teve um efeito inibidor, uma vez que os riscos parecem agora demasiado grandes.
Por que os CIOs não podem deixar isso apenas para entidades legais
Para os líderes tecnológicos, a coordenação estreita com as autoridades legais e a conformidade já não são obrigatórias. Os sistemas que receberam notificações da Epic sobre registros afetados provavelmente já configuraram grupos de tarefas. Estas equipas devem determinar se a notificação constitui uma notificação formal de violação, se o relógio de notificação começou e se as notificações dos pacientes são justificadas.
A última decisão merece atenção especial. A notificação excessiva tem custos reais, especialmente quando leva o sistema de saúde a tornar-se a face pública de um incidente que não criou. Na verdade, os BPAs da HIPAA normalmente não especificam quem emite avisos, permitindo que os sistemas transfiram essa responsabilidade de volta para o provedor. A revisão destes contratos agora, embora a questão seja nova, ajuda a esclarecer onde realmente reside o risco.
Os CIOs que estão simplesmente monitorando o caso não devem presumir que ele já foi processado. Alguns sistemas nem sabem o que é TEFCA. Um CIO que monitora os desenvolvimentos pode iniciar a conformidade e os requisitos legais antecipadamente, descrevendo problemas e possíveis exposições. Da mesma forma, o mesmo cuidado é aplicado às bolsas locais e regionais que apresentam riscos comparáveis.
Leve embora
- Trate cada notificação da Epic de registros afetados como um gatilho para convocar o Departamento Jurídico, de Conformidade e de TI e, em seguida, documente cada resolução.
- Confirme se o aviso é um aviso de violação formal antes de presumir que o relógio de denúncia já começou.
- Revise os acordos HIPAA para manter o parceiro comercial como a face pública das notificações dos pacientes.
- Pergunte ao seu provedor de EHR se você pode cumprir o ADT do CMS e as obrigações de interoperabilidade sem uma troca TEFCA em todo o estado.
- Revise como seus HIEs regionais e estaduais avaliam e avaliam os participantes, pois as mesmas lacunas de confiança se aplicam.
- Informações jurídicas concisas e conformidade contínua, enviando atualizações conforme o cenário regulatório muda.
Olhando para além da actual controvérsia, Oscislavski alertou que a automatização apenas aumentará os riscos. “Essas aplicações de IA se tornarão conectores”, disse ela. “Então, quando estávamos falando sobre o CIO, conformidade e aceitação legal da situação do Health Gorilla, a Epic como uma oportunidade de entender como você se relaciona com o HIE, você tem que colocar uma nota de rodapé em toda essa conversa: Como a IA afeta tudo isso?”
