Comment la règle de l’API d’application grand public de la loi sur les cures favorisera l’interopérabilité

Le 21st Century Cures Act a été signé en 2016 et couvre divers composants des soins de santé, y compris la modernisation du processus d’approbation de la FDA. Une autre partie de la loi traite de l’interopérabilité.

Alors que HIPAA a été conçu pour protéger les données, la composante de portabilité du mandat HIPAA est devenue un énorme problème. Il n’y avait pas de format ou de moyen normalisé pour rendre possible le déplacement des données d’un endroit à un autre, et les détenteurs de données comme les fournisseurs de DSE pensaient qu’ils possédaient les données des patients.

Avec le 21st Century Cures Act, les décideurs politiques ont maintenant dit non ; les données de santé appartiennent aux individus, et il faut leur permettre d’y accéder facilement.

La loi sur les cures a cherché à établir des règles fondamentales autour de cela pour l’interopérabilité. Les législateurs pensaient qu’il fallait un moyen très spécifique et bien articulé par lequel les données sont déplacées de l’endroit où elles sont conservées vers l’endroit où elles doivent aller.

La La règle finale d’interopérabilité et d’accès des patients (CMS-9115-F), qui est sortie en 2020, a articulé la feuille de route et les normes de données. La loi sur les cures comprend des dispositions relatives à la règle de blocage des informations, qui concerne davantage les fournisseurs et leurs fournisseurs informatiques – par exemple, les fournisseurs de DSE. Ces deux règles ont jeté les bases de ce à quoi l’interopérabilité devrait ressembler.

Jonathan Shannon est un expert de ces lois et règles. Il est directeur principal de la stratégie des soins de santé chez LexisNexis Risk Solutions. Nous nous sommes assis avec lui pour discuter de la règle des interfaces de programmation d’applications grand public de la loi sur les cures et le besoin d’interopérabilité sans compromettre la sécurité des données.

Q : Veuillez décrire la section relative aux règles de l’API pour les applications grand public de la loi sur les remèdes et expliquer ses objectifs.

UN. Lorsque vous pensez à qui utilise les API, un exemple auquel de nombreuses personnes se réfèrent est celui des clients des banques et des institutions de services financiers qui accèdent aux données d’autres entités pour créer une vue consolidée de leur profil financier. En utilisant un logiciel qui s’interface avec leur base de données, les API établissent une connexion.

Cela change la donne pour les soins de santé, où les API sont de plus en plus répandues. Auparavant, l’interopérabilité pouvait signifier la recherche de dossiers par une infirmière qui trouvait physiquement le dossier, le numérisait et envoyait les informations à quiconque en avait besoin, un processus incroyablement ardu et coûteux. La technologie API permet d’interroger une base de données beaucoup plus rapidement.

Lire aussi  L'Ecosse signale le premier cas de monkeypox | Écosse

La deuxième chose qui en est ressortie, ce sont les normes. HL7 est sorti avec 4.0, appelé FHIR, qui a également changé la donne en termes de capacité à obtenir des données de manière standardisée. C’est ce que nous attendons de vous; c’est ainsi que nous voulons que les données soient organisées et ce que nous acceptons. Cela offre une capacité d’ingestion beaucoup plus facile que vous pouvez faire via la machine, l’IA ou l’apprentissage automatique, ce qui vous donne un avantage fondamental à partir des données.

Enfin, il existe désormais des attentes concernant l’exhaustivité des données et le type de données qui doivent être disponibles. La norme FHIR est essentielle, mais les plans de santé doivent mettre à disposition six années de réclamations, présentant les informations cliniques dont ils disposent sur chaque patient.

Les payeurs doivent être totalement ouverts, en disant : “C’est tout ce que nous avons sur vous, c’est ce que nous avons collecté, et c’est ainsi que nous vous voyons”, et permettre aux patients de partager cela avec qui ils veulent.

Ces mandats ont créé une opportunité d’augmenter la vitesse de livraison via l’API, de convertir les données en informations digestibles selon les normes FHIR et de créer un profil de patient holistique en raison des données qui doivent être disponibles.

Il y a des années, les patients avaient souvent l’impression qu’ils n’étaient pas considérés comme faisant partie intégrante de la prise de décision liée à leurs soins. Aujourd’hui, ces mandats y insèrent directement les patients : c’est leur santé, ce sont leurs données, et ils ont le droit d’en faire ce qu’ils veulent, de les partager avec des applications de bien-être, des prestataires, d’autres plans de santé, vraiment toute personne qu’un individu croit pouvoir soutenir leur parcours de soins.

Q. Concernant l’accès aux données patients, comment se passe le déploiement des API ?

UN. Sous HIPAA, il y a eu cette idée de continuité des soins de santé axée sur le fournisseur. Par exemple, lorsqu’il interagit avec des patients passifs, un prestataire peut dire : « Puis-je partager vos données avec un prestataire ? ou “Puis-je demander vos données à un autre médecin ?” Les gens répondent “bien sûr” parce que c’est facile. Ils en sont venus à compter sur cela sans connaître les informations d’identification ou les versions ou quoi que ce soit d’opérationnel concernant l’accès.

Lire aussi  Plus d'un quart des personnes asthmatiques utilisent encore trop les inhalateurs de secours, ce qui les expose à un risque accru de crises graves

La première partie de cette loi exigeait que les plans de santé mettent en service ces API en juillet 2021. Cependant, pour certains plans de santé, leurs API sont difficiles à trouver. Vous pouvez rechercher “plan de santé API d’accès patient XYZ” sans résultats. Même si un développeur d’application peut s’y connecter, l’enregistrement et la facilitation de l’échange de données peuvent être difficiles, nécessitant beaucoup d’efforts particuliers pour toutes les parties.

La réglementation, en fait, a noté que cela devait se produire “sans effort particulier”. Lorsque vous pensez à la quantité de ressources dont disposent les organisations fournisseurs pour rechercher des données, elles sont incroyablement limitées. Leur compétence principale est de traiter, de diagnostiquer et d’interagir avec les patients, et non de gérer les problèmes informatiques. L’interopérabilité était censée être facile, mais nous n’en sommes pas encore là.

Il y a sans aucun doute un rôle pour l’application et une meilleure articulation de la compréhension, non seulement la lettre de la loi mais l’esprit de la loi.

Q. Quel est l’impact de cette règle sur les payeurs ?

UN. Cela a eu un impact énorme. Je n’envie pas les CTO des régimes de santé et la quantité de travail qu’ils doivent faire pour se préparer à l’interopérabilité. Après l’élaboration des règles de mars 2020, ils ont dû orchestrer toutes ces données sur la base des règles en 18 mois environ.

Heureusement, les payeurs disposent d’un personnel informatique assez averti qui s’est empressé de le faire ou s’est engagé avec des entreprises tierces pour soutenir leurs efforts. Cependant, certains ont eu du mal à répondre à une loi étant donné qu’il s’agissait d’une entreprise massive.

Non seulement ils ont dû créer une API, mais ils ont également dû orchestrer toutes les données de tous leurs différents systèmes – réclamations, marketing, gestion clinique et des soins – afin que les données longitudinales soient disponibles lorsqu’un patient le demande, le tout au format FHIR et disponible par API.

Les payeurs ont également dû renforcer la sécurité pour tenir compte des personnes demandant des données qui sortiraient de leurs quatre murs. Le Cures Act a essentiellement établi qu’une fois que cela se produit, HIPAA ne s’applique plus, mais c’est plutôt un problème de la FTC et la responsabilité des applications de protéger ces données.

Lire aussi  L'année des estampes

Mais vous pouvez imaginer qu’un grand plan de santé ne voudrait pas que ses données soient compromises. Il s’agit de frictions qui s’ajoutent aux demandes de données solides, aux problèmes de conformité et aux défis liés à la pandémie. Les défis logistiques et techniques se sont avérés trop importants pour certains payeurs, tandis que d’autres ont fait un travail remarquable.

Q. Comment répondons-nous au besoin d’interopérabilité sans compromettre la sécurité des données ?

UN. Je pense que c’est une situation carotte/bâton. Tout d’abord, vous devez célébrer les gens qui font du bon travail. CMS et ONC peuvent dire publiquement : “Excellent travail, plan XYZ ! Voilà à quoi devrait ressembler l’interopérabilité.” D’un autre côté, de nombreux plans de santé ne respectent pas la lettre de la loi ou l’esprit de la loi.

Les organes directeurs doivent faire appliquer cela s’ils croient que c’est l’avenir. Il doit y avoir un préjudice financier et de réputation aux organisations qui ne l’adoptent pas.

C’était l’un des projets de loi les plus bipartites jamais adoptés. Les dispositions relatives au partage des données sont vitales : elles donnent plus de pouvoir au consommateur. Supposons que cela se produise au niveau des parties prenantes – les plans de santé, les fournisseurs de DSE – où il est évident que CMS est sérieux. Dans ce cas, vous commencerez à voir le consumérisme augmenter à mesure que ces technologies seront disponibles.

Nous verrons également des définitions plus précises de ce à quoi ressemble une bonne application et comment appliquer plus efficacement la sécurité des données. Les acteurs traditionnels de la santé (par exemple, les plans de santé, les fournisseurs) comprennent tous HIPAA, mais que fait un développeur d’applications travaillant dans son sous-sol avec toutes ces données sensibles ? A quoi ressemble ce monde ?

Il doit y avoir plus de transparence en termes d’attentes en matière de sécurité des données. Une fois que nous comprendrons mieux la technologie et les droits des consommateurs, nous ferons confiance à la technologie et à ce que les données peuvent faire.

Twitter: @SiwickiHealthIT
Envoyez un courriel à l’auteur : [email protected]
Healthcare IT News est une publication HIMSS Media.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick