В конце серии статей, посвящённых обновлениям правила безопасности HIPAA, мы рассматриваем, как Офис гражданских прав Министерства здравоохранения и социальных служб США (HHS) интерпретирует применение правила безопасности HIPAA к искусственному интеллекту (ИИ) и другим новым технологиям. Традиционно правило безопасности HIPAA не зависело от технологий, однако HHS явно охватывает меры безопасности для этих развивающихся технологий. Предложенные изменения в правилах (NPRM) предлагают рекомендации по включению соображений, касающихся ИИ, в стратегии соблюдения и оценки рисков. При этом, важно учитывать вопросы ИИ и безопасность HIPAA.
Оценка рисков, связанных с ИИ
Согласно NPRM, HHS требует от организаций, работающих с защищённой электронной медицинской информацией (ePHI), составления исчерпывающего и актуального перечня всех технологических активов, в который должны входить технологии ИИ, взаимодействующие с ePHI. HHS уточняет, что правило безопасности регулирует ePHI, используемую как в данных для обучения ИИ, так и в алгоритмах, разработанных или используемых регулируемыми субъектами. Это подчеркивает необходимость того, чтобы такие организации включали ИИ в свои процессы анализа и управления рисками, а также регулярно обновляли свои оценки в соответствии с изменениями в технологиях или операциях. Это подчеркивает важность понимания ИИ и безопасность HIPAA.
Организации должны оценивать, как ИИ-система взаимодействует с ePHI, учитывая тип и объем данных, к которым осуществляется доступ, а также способы, которыми ИИ использует или раскрывает ePHI и кому направляются результаты, сгенерированные ИИ. HHS ожидает, что организации будут идентифицировать, отслеживать и оценивать разумно предсказуемые риски, связанные с моделями ИИ, включая риски, связанные с доступом к данным, их обработкой и выводами. Это особенно важно для управления ИИ и безопасность HIPAA.
Интеграция разработчиков ИИ в анализ рисков безопасности
Более зрелые организации, как правило, имеют налаженные процедуры управления рисками поставщиков. Если NPRM будет окончательно утвержден, все регулируемые организации, заключающие контракты с разработчиками ИИ, должны будут формально включать оценки рисков по соглашениям с бизнес-партнерами (BAA) в свои анализы рисков безопасности. Организации также должны будут оценивать своих партнеров на основании документированных проверок безопасности, которые подтверждают наличие у поставщика ИИ соответствующих мер защиты в контексте ИИ и безопасность HIPAA.
Сотрудничество с поставщиками ИИ позволит организациям идентифицировать и отслеживать разумно предсказуемые угрозы и уязвимости, оценивать их вероятность и потенциальное влияние, а также документировать меры безопасности и управления рисками для обеспечения соответствия ИИ и безопасность HIPAA.
Начало работы с текущими требованиями
Клиники всё чаще интегрируют ИИ в клинические рабочие процессы для анализа медицинских записей, выявления факторов риска, помощи в диагностике заболеваний и составления резюме пациентов в реальном времени для последующего анализа человеком. Согласно последнему опросу HIMSS по кибербезопасности, большинство медицинских организаций разрешают использование генеративного ИИ, но с разными подходами к управлению ИИ и рисками. Многие из них учитывают ИИ и безопасность HIPAA при разработке своих систем.
Почти половина опрошенных организаций не имела процесса одобрения для ИИ, и только 31% сообщают о том, что активно контролируют системы ИИ. В результате большинство респондентов обеспокоены утечками данных и предвзятостью в системах ИИ. NPRM улучшает специфику процесса анализа рисков, включая неформальные рекомендации HHS, инструменты оценки безопасности и рамки для более детальных спецификаций, соответствующих принципам ИИ и безопасность HIPAA.
Организациям необходимо обновить свои процессы закупок, чтобы подтвердить, что их поставщики ИИ соответствуют правилам безопасности и лучшим практикам отрасли, таким как Рамочная структура управления рисками ИИ NIST, для управления рисками, связанными с ИИ, включая вопросы конфиденциальности, безопасности, предвзятости и этического использования ePHI.
Заключение
Предложенные требования HHS — это не единственные проблемы, которые клиницисты должны учитывать при оценке поставщиков ИИ. HHS также утвердил правило в соответствии с Разделом 1557 Закона о доступном медицинском обслуживании, требующее от медицинских учреждений идентифицировать и смягчать риски дискриминации, возникающие при использовании инструментов поддержки принятия решений в области ухода за пациентами. Это еще один аспект ИИ и безопасность HIPAA.
Регулируемые организации должны смягчать риски безопасности, связанные с ИИ, и усиливать контроль за поставщиками в контрактах, касающихся программного обеспечения ИИ, обрабатывающего ePHI, чтобы соответствовать этим новым требованиям.
Благодарим вас за внимание к этой серии статей, посвящённых обновлениям правила безопасности. Если у вас есть вопросы или вам нужна помощь в дальнейших действиях, пожалуйста, свяжитесь с нами.
Источник: The National Law Review