البودكاست: العب في نافذة جديدة | تحميل (المدة: 51:17 — 47.0 ميجابايت)
الاشتراك: أبل بودكاست | سبوتيفي
محامي ذو خبرة يكشف النقاب عن الدعوى القضائية الملحمية المتعلقة بالغوريلا الصحية ويشرح لماذا يحتاج مديرو تكنولوجيا المعلومات إلى تنسيق قانوني أكثر صرامة بشأن مخاطر TEFCA. شاهد أدناه أو على يوتيوب.
هيلين أوسيسلاوسكي، إسق. المؤسس والشريك الإداري، محامون في شركة Oscislawski
دفعت الدعوى القضائية التي رفعتها شركة Epic Health Gorilla أنظمة الرعاية الصحية إلى إعادة التفكير في كيفية التنسيق بين فرقها التقنية والقانونية، وأصبح الخط الفاصل بين خرق العقد والإفصاح غير القانوني الآن محوريًا في هذا العمل.
هذا التمييز أكثر أهمية مما توحي به العناوين الرئيسية، كما تقول هيلين أوسيسلاوسكي، إسق، المؤسس والشريك الإداري لشركة محامون في شركة Oscislawski LLCفي حلقة حديثة من برنامج healthsystemCIO Show. الدعوى، التي رفعتها Epic والعديد من أنظمة الرعاية الصحية، تزعم أن معلومات المريض انتقلت عبر الإطار الوطني المعروف باسم تيفكا بطريقة اخترقت الحوكمة المألوفة التي اشترك فيها الجميع. كان الكثير من الاهتمام المبكر موجهًا إلى GuardDog، وهو مشارك متصل عبر Health Gorilla. أصدر GuardDog حكمًا معينًا ومنح نقاطًا معينة مقابل الإعفاء من الدعوى.
اعترفت شركة GuardDog بأن تطبيق العلاج الخاص بها لم يبدأ أبدًا وأصدرت البيانات إلى أطراف ثالثة، مثل شركات المحاماة. هذه الحقائق لم تعد محل نزاع. ومع ذلك، حث أوسيسلاوسكي الجمهور على أخذ الأمور ببساطة قبل القفز إلى استنتاج مفاده أن الاحتيال قد حدث. ويظل الجزء الثاني من اللغز مخفيًا، وهو ما إذا كان المرضى قد وقعوا على تفويضات قانون نقل التأمين الصحي والمسؤولية (HIPAA) التي تسمح بالإفصاح لتلك الشركات.
وقالت: “إن خرق العقد ليس مثل الكشف غير القانوني”. “تلك الأشياء تتطلب منا أن ننظر إلى كل الحقائق والظروف، وهذا هو جزء اللغز الذي لا نملكه هنا حقًا.” إذا كان هناك نظام موافقة وسمح المرضى بالإفراج عنهم، يتغير التحليل. ويتطلب الاحتيال أيضًا وجود نية، وحتى الآن لم تشهد وزارة العدل التحقيق مع أي شخص. يمكن أن يتغير ذلك.
المشاركة طوعية، حتى لو كانت إلزامية
تشعر العديد من الأنظمة بأنها مقيدة بـ TEFCA. ومع ذلك، يظل الإطار طوعيًا باعتباره مسألة تنظيمية اتحادية، ولا يلزم قانونًا أي منظمة بالاتصال عبر شبكة معلومات صحية مؤهلة. في الواقع، تحولت السياسة الفيدرالية نحو الشبكات المتوافقة مع نظام إدارة المحتوى (CMS). ونتيجة لذلك، أصبح لدى مراكز تقييم المعرفة الإقليمية والوطنية الآن مجال أكبر للوفاء بنفس الالتزامات.
الضغط يأتي من اتجاه آخر. يجب تلبية تفويضات التشغيل البيني، بما في ذلك إشعارات ADT المطلوبة بموجب برنامج Medicare، بطريقة أو بأخرى. بالنسبة للأنظمة الموجودة على Epic، فإن المسار الأقل احتكاكًا هو من خلال TEFCA، حيث انضمت Epic بالكامل إلى إطار العمل في عام 2024 وأزالت خيار إلغاء الاشتراك السابق. ونتيجة لذلك، قد يشعر العملاء وكأنهم دخلوا إلى شبكة وطنية لم يختاروا الانضمام إليها صراحةً.
النظام الذي لا يقوم بتشغيل Epic لديه مساحة أكبر للمناورة. وقال أوسيسلاوسكي إنه إذا دخلت في شراكة مع مركز تبادل المعلومات على المستوى الإقليمي أو الوطني، فيمكنها تلبية متطلبات التشغيل البيني بأي طريقة ممكنة من الناحية الفنية. لقد أوضح مكتب المنسق الوطني أن الاتصال بـ QHIN ليس هو الطريق الوحيد. ولهذا السبب، اقترحت أن يقوم مدراء تكنولوجيا المعلومات بإعادة مناقشة السؤال مع البائعين، والسؤال عما إذا كان بإمكانهم الالتزام بخلاصات CMS ADT دون الاشتراك في مشاركة البيانات الوطنية. وفي نهاية المطاف، فإن معظم أنشطة ADT تتم على المستوى الإقليمي والمحلي.
حيث كان نموذج الثقة تحت الضغط
كشفت القضية أيضًا عن نقاط ضعف في الطريقة التي تقوم بها الشبكة بفحص المشاركين. سيكوياتقوم هيئة التنسيق المعترف بها (RCE) بفحص QHINs، وتقوم QHINs بفحص المستوى أدناه، وهكذا في سلسلة تؤثر بشدة على العديد من المشاركين. وكلما اتسع نطاق الأمر، أصبح من الصعب معرفة من يقوم بجمع البيانات ولماذا. غالبًا ما تكون المشكلة هي الارتباك حول المعنى الحقيقي لمصطلحات مثل “العلاج”.
وقد اتخذت الهيئات الإدارية خطوات لتشديد هذا الغموض. افتتحت شركة Sequoia مؤخرًا إجراء معالجة قياسيًا محدثًا للتعليق العام. وبالمثل، قامت Carequality وTEFCA بمراجعة قواعد تفويض السلطة الخاصة بها لتتطلب تفويضًا موثقًا. سيؤدي تحديث العلاج إلى تقسيم الشهادات إلى رمزين. ويتعلق أحدها بالعلاج السريري، حيث توجد علاقة حقيقية بين المريض ومقدم الخدمة. ويتعلق الآخر بأنشطة تنسيق الرعاية الأوسع التي يسمح بها قانون HIPAA، حيث لا توجد مثل هذه العلاقة. يركز التغيير تحديدًا على المنطقة الرمادية التي يستغلها GuardDog.
من وجهة نظر إدارية، نسب أوسيسلاوسكي الفضل إلى TEFCA لاستجابتها بحكمة لنقاط الضعف في القطاع. على سبيل المثال، يتضمن الإعداد الآن أسئلة أكثر تفصيلاً حول هوية المشاركين وما يريدون فعله بالبيانات. ومع ذلك، لا تزال عمليات التدقيق والتنفيذ بحاجة إلى العمل، حيث تتطلب عمليات التدقيق العشوائية موارد لا تتوفر لدى سوى عدد قليل من المنظمات. ومع ذلك، فهي تعتقد أن الدعوى القضائية كان لها تأثير مروع لأن المخاطر تبدو الآن كبيرة للغاية.
لماذا لا يستطيع مديرو تكنولوجيا المعلومات ترك هذا الأمر للقسم القانوني وحده؟
بالنسبة لقادة التكنولوجيا، لم يعد التنسيق الوثيق مع الشؤون القانونية والامتثال أمرًا اختياريًا. من المحتمل أن تكون الأنظمة التي تلقت إشعارات من Epic بشأن السجلات المتأثرة قد أنشأت فرق عمل بالفعل. يجب على هذه الفرق تحديد ما إذا كان التقرير يشكل إشعارًا رسميًا بالانتهاك، وما إذا كانت ساعة الإبلاغ قد بدأت، وما إذا كان هناك ما يبرر تقارير المرضى.
القرار الأخير يستحق عناية خاصة. إن الإفراط في الإبلاغ ينطوي على تكاليف حقيقية، خاصة إذا دفع نظام الرعاية الصحية إلى أن يصبح الوجه العام لحادث لم يتسبب فيه. في الواقع، لا تحدد اتفاقيات HIPAA مع شركاء العمل عادةً من يرسل الإشعارات، مما يمنح الأنظمة حرية نقل هذه المسؤولية مرة أخرى إلى البائع. وإعادة النظر في هذه العقود الآن، والموضوع لا يزال جديدا، سيوضح أين يكمن الخطر فعليا.
لا ينبغي لرؤساء تكنولوجيا المعلومات الذين ينظرون فقط في القضية أن يفترضوا أن الإدارة القانونية قد تعاملت مع القضية بالفعل. بعض الأنظمة لا تعرف حتى ما هو TEFCA. يستطيع مدير تكنولوجيا المعلومات الذي يتابع التطورات إعداد الامتثال والتشريعات مبكرًا وتحديد المشكلات والمخاطر المحتملة. وعلى نحو مماثل، تنطبق نفس الرعاية على البورصات المحلية والإقليمية، التي تحمل مخاطر مماثلة.
خذها بعيدا
- تعامل مع كل إشعار Epic بالمستندات المتأثرة كمحفز لعقد اجتماع مع الشؤون القانونية والامتثال وتكنولوجيا المعلومات، ثم قم بتوثيق كل قرار.
- قبل أن تفترض أن ساعة الإبلاغ قد بدأت، تأكد من أن التقرير هو إشعار رسمي بحدوث انتهاك.
- قم بمراجعة اتفاقيات HIPAA للحفاظ على شريك العمل باعتباره الوجه العام لتقارير المرضى.
- اسأل بائع السجل الصحي الإلكتروني الخاص بك عما إذا كان بإمكانك الوفاء بالتزامات CMS ADT وقابلية التشغيل البيني دون تبادل TEFCA الوطني.
- قم بمراجعة كيفية توجيه مراكز تبادل المعلومات على المستوى الإقليمي وعلى مستوى الولاية للمشاركين والأطباء البيطريين، حيث تنطبق نفس فجوات الثقة.
- تقديم معلومات موجزة مستمرة حول المسائل القانونية والامتثال وإرسال التحديثات مع تغير الصورة التنظيمية.
وبالنظر إلى ما هو أبعد من النزاع الحالي، حذر أوسيسلاوسكي من أن الأتمتة لن تؤدي إلا إلى زيادة المخاطر. وقالت: “ستصبح تطبيقات الذكاء الاصطناعي هذه بمثابة الروابط”. “لذلك عندما كنا نتحدث للتو عن مدير تكنولوجيا المعلومات والامتثال والتعامل مع الوضع الملحمي لـ Health Gorilla بشكل قانوني كفرصة لفهم كيفية ارتباطك بـ HIEs، عليك وضع حاشية لتلك المحادثة بأكملها: كيف يؤثر الذكاء الاصطناعي على كل هذا؟”
