医疗保健合规袖珍指南
已发表: 2020-06-26医疗保健是受到数字技术轰炸的主要行业之一,旨在实现其基础设施景观和服务的现代化。
以机构支出为衡量标准,与其他行业相比,医疗保健在美国政府支出中遥遥领先。 2017年,美国为医疗保健拨款3.5万亿美元。 作为该国国内生产总值的一部分,这达到了17.7% 。 在美国,医疗保健不仅仅局限于拥有大量资本进行投资和扩张的传统企业,而是向所有人开放以供参与。
数字健康是该行业的一个发展前景,包括远程医疗、通过智能手机应用程序进行远程监控和处方药上门交付等商业模式。 仅在 2019 年,倡导数字医疗保健采用的初创公司在美国境内的 1,700 多项交易中筹集了超过170 亿美元。 正如预期的那样,移动医疗保健的发展正在成为中心舞台。
开发一种声称可以影响/改善个人卫生的产品是一个难以破解的难题,这不是因为所涉及的医疗保健软件开发服务挑战,而是因为信托指南。
多亏了我们的合作伙伴,Appinventiv 处于这一变革的前沿,推动了行业的心跳。 作为一家医疗保健应用程序开发公司,我们一直在那里并做到了这一点,这对于将突破性的想法付诸实践是必要的。 作为您的知己,今天我们将讨论您在开发 mHealth 应用程序时必须牢记的常见法规和合规性。
什么是医疗保健法规合规性?
医疗保健中的法规遵从性是指医疗协会遵守适用于其业务流程的法律、指南、法规和规范。 违反监管合规通常会导致法律处罚,包括联邦罚款。 它是满足或超过与特定医疗保健协会或供应商相关的合法、道德和专业规范的连续循环。
目前,医院和医疗保健提供者等医疗保健公司都有专门的团队成员,他们特别关注法规遵从性。 医院监管要求的原因和本质优势是改善患者护理。
医疗保健合规的目的是什么?
医疗保健合规性是每个医疗提供者的基本部分。 这是遵循与医疗保健服务实践相关的规则、指南、法律和法规的方式。
医疗保健的合规性涵盖了广泛的实践,并遵守内部和外部规则。 然而,大多数医疗服务合规性问题与患者安全、患者数据保护和计费演练有关。
美国卫生与公众服务部 (HHS) 制定了全国范围的标准,称为《健康保险流通与责任法案》(HIPAA),医疗合规的核心特征是支持这项立法。
为什么医疗保健合规很重要?
合规性使任务顺利进行,并确保每个人都遵循合法程序并理解假设。
然而,与不同行业相比,医疗服务的合规性所带来的风险要高得多。 另一方面,如果像医生和护士这样的医疗从业者不遵循合法程序,那么他们最终可能会伤害患者或其他工作人员。
归根结底,医疗保健合规性是关于提供安全、高质量的患者护理。 遵守行业标准和法规有助于医疗保健组织继续提高护理质量。
最后,医疗保健合规性是关于提供受保护的、优质的、安全的患者护理。 遵守行业指南和法规有助于医疗保健组织不断提高护理质量。
医疗机构必须遵守政府的严格指导方针、法律和法规。 违反这些法律可能会招致诉讼、巨额罚款,甚至吊销执照。
合规问题的高风险是什么?
监管框架作为用于制裁指导方针的模型。 这样的结构可能会在明确的兴趣领域内创建,例如医疗保健行业。 政府经常依赖利用这些框架来制定和颁布指导方针、规则和法律。 监管框架通常首先在考虑最终目标的情况下制定。
让我们来看看困扰每个人的主要问题,那就是医疗保健中的合规性问题是什么?
HIPAA 和数据泄露
基于价值的补偿安排
反回扣和医生医院问题
尽职调查流程
远程医疗提供者资格
恢复审计承包商
免税医院和合规要求
美国的医疗保健法规和合规性
数字健康对健康信息技术 (HIT)、移动健康、个性化处方、可穿戴技术和远程健康有详细的说明。 移动应用程序是最常见的医疗保健交付方式之一,无论是通过离线在线服务还是软件即服务。 如果是这种情况,企业家必须提出以下问题并找到客观答案:
上述调查问卷将确定您的移动应用程序是否需要信托许可。 如果您的回答大多是肯定的,那么有三个联邦机构会调查您的移动医疗产品问题:
- 食品和药物管理局 (FDA)
- 联邦贸易委员会 (FTC)
- 民权办公室 (OCR)
下面我们来看看关键的联邦职能领域以及医疗软件开发公司必须为其客户提供建议的细粒度事实检查的范围。
1. 健康保险流通与责任法案 (HIPAA)
该法案由美国卫生与公众服务部的民权办公室 (OCR) 执行。 此符合医疗标准的HIPAA 安全规则保护符合条件的健康相关数据的隐私和安全问题,在特定情况下,认为报告数据泄露是强制性的。 不遵守特定的 HIPAA 安全规则可能会导致罚款,最低支付100美元,每次违规的罚款高达150 万美元。
既然您已经清楚地了解了满足医疗保健法规要求的严肃性,我们应该继续研究应该符合 HIPAA 传统政策的医疗应用程序类型。 三个 3 因素决定了应用程序在操作方面被区分为医疗的资格标准:
I. 使用应用程序的实体的性质。
实体是指将使用该应用程序的客户。 HIPAA 的宪法涵盖了一组预定义的医疗从业人员,例如医生、医生、医院等组织和健康保险提供者。 如果他们是该应用程序的直接受益者,则必须逐字遵循 HIPAA的医疗保健法规和医院法规遵从列表。 另一方面,如果该应用程序只是策划并与客户分享卫生提示或健康知识,则将不受 HIPAA 章程的约束。
二、 应用程序产生、保存和进一步共享的数据的性质。
数据对于在线业务的运作需求至关重要。 联邦当局推动制定法律,以消除数据泄露等安全问题,并确保存在强大的加密基础设施。 从本质上讲,收集的数据不应该也不应该通过他们的个人信息(如地址、社会安全号码等)将恶意行为者引向人们。如果应用程序要处理这些个人信息的使用,则 HIPAA 规则将应用。
三、 为应用程序提供动力的底层软件。
最佳医疗保健移动应用程序开发必须专注于创新安全手机应用程序。 HIPAA 共享受保护的健康信息 (PHI) 的详细信息,并指导软件供应商围绕它建立安全网。 其指令有一份详尽的审计清单和要为 PHI 安装的内部控制。
2. 联邦贸易委员会法(FTC 法)
该法案规定了监管协议,以处理企业中的不公平索赔和不当行为,还涉及隐私问题和一般数据安全挑战。 该法律涵盖有关应用程序使用的毫无根据的声明。 FTC 的健康违规通知规则要求选定的企业报告个人健康记录等数据泄露。
3. 联邦食品、药品和化妆品法案 (FD&C Act)
本法委托食品药品监督管理局实施。 他们的主要目标是确保医疗设备(包括移动应用程序)符合标准指南,因此可以安全地大量使用。 最重要的是,我们提到并非所有医疗保健应用程序都属于这个管辖范围,而是少数几个。 这些是如果未能兑现索赔会对消费者健康造成严重后果的那些。
附加规定 对于数字健康
虽然上述行为是针对医疗保健应用的,但还有其他一些行为并非出于此原因而进行了调整,以包含相同的内容。 在本节中,我们将概述移动医疗企业家必须遵守的此类国家支持的规范。
1. 食品药品监督管理局 (FDA)
美国食品和药物管理局是美国政府支持的机构,是美国卫生与公众服务部的重要组成部分。 医疗保健应用程序开发人员在设计应用程序以获得 FDA 许可时必须注意这样一套定义明确的指南。 对于数字健康领域,FDA 根据以下两个假设将移动应用程序归类为“医疗”板块:
- 该应用程序可作为附件与已受监管的医疗设备一起使用。
- 该应用程序将移动平台转变为受监管的移动设备
基于上述一级分类,应用程序的子行业是根据其与以下新兴数字技术的关系来定义的,以接近 FDA 的批准。
I. 软件作为医疗设备 (SaMD)
SaMD 被定义为一种模型,其中软件用于医疗目的而不与硬件医疗仪器/设备相关联。 该模型高度灵活,可应用于从虚拟网络到医疗设备的一系列平台。
国际医疗器械监管机构论坛 (IMDRF) 是一个倡导对医疗器械进行系统治理的全球联盟。 2013 年,它制定了作为医疗器械工作组 (SaMDWG) 的软件,以引入可操作的指导,以支持该领域数字技术的进步。 该小组由 FDA 本身领导,记录了大量关于以下方面的框架:
- 定义
- 风险分类
- 质量管理体系
- 临床评估
浏览他们的目录将帮助您确定是否会获得 SaMD 批准。
二、 无线医疗设备
是指具备无线传输信息斜线数据以促进医疗保健服务的医疗设备。 此类工具包部署无线电频率进行通信,可通过 WiFi、蓝牙或智能手机进行传输。 一个常见的例子是射频识别 (RFID) 设备,您可能会在公司办公室找到。
三、 远程医疗
健康 IT 分为远程医疗和远程医疗,以简化获得 FDA 批准的过程。 远程医疗被指定为使用电信来促进和支持与医疗保健相关的功能——自 COVID-19 爆发以来,这一功能越来越受到关注。 一家定制的医疗保健软件开发公司可以开发应用程序,这些应用程序使用:
- 实时(异步)视频会议
- 存储转发(异步)视频会议
- 远程病人监护 (RPM)
- 移动健康 (mHealth)
四。 健康资讯科技
在这种情况下,我们最好引用联邦政府健康信息技术国家协调员办公室提供的定义,“硬件、软件、集成技术或相关许可、知识产权、升级或作为服务出售的打包解决方案旨在或支持医疗保健实体或患者使用电子方式创建、维护、访问或交换健康信息。”
五、医疗器械数据系统(MDDS)
可用于传输数据、保存/存储信息、将数据从一种格式转换为另一种格式或仅显示科学/医学数据的硬件/软件产品属于 MDDS 类别。 此类设备的目的不是提供额外的特征或增强数据集,而是简单地显示它。
六、 医疗设备互操作性 (MDI)
可以说,没有其他数字健康子域比 MDI 更能说明安全电话应用程序的概念。 医疗设备互操作性是指多个设备之间的跨平台/技术信息交换。 与主要动机是演示的 MDDS 不同,MDI 应用程序可以显示、存储和分析数据。 由于来回通信,它们还可以用于控制其他产品。
七。 设备软件功能
在谈论这一类别时,仅对那些根据 FDA 指南有资格成为“设备”的软件应用程序给予许可。 具有最小或没有消费风险的软件设备可能不需要 FDA 的官方批准,并且该组织在这种情况下明确表示它
“将行使执法自由裁量权,不会期望制造商提交上市前审查申请或向 FDA 注册和列出他们的软件。 ”
八。 网络安全
网络安全本身并不是 mHealth 应用程序的一种分类模式。 然而,FDA 希望建立一个明确的谅解备忘录 (MOU),以便它可以权衡应用程序带来的数据安全挑战和对用户的好处。
九。 人工智能/机器学习
与其他技术相比,人工智能对医疗保健的影响不成比例地巨大。 然而,由于 FDA 不得不对其监管框架进行调整,这一领域的进展是相当近期的。 根据其最新指南,FDA 将与制造商携手合作,从其上市前开发阶段开始持续评估软件,并在上市后性能阶段达到高潮。 该框架特别适用于 SaMD。
2. HL7 标准
Health Level Seven International,简称 HL7,是一个成立于 1983 年的非营利组织,它为电子健康信息的交换、集成、共享和检索制定行业基准,以实现程序性医疗实践。 除此之外, HL7 标准在管理健康服务、保持无缝医疗保健交付和评估结果方面发挥着基本作用。
他们是怎么做到的?
HL7 标准定义了两个医疗保健应用程序之间可互操作的信息打包,规定了语言、数据格式及其结构的工作流程,以便轻松集成到系统中。 通过这样做,他们减少了对技术基础设施的投资,并使患者受益,从而使医疗保健更加负担得起。 遵守起草的规则以获得 HL7 批准对于规范医疗保健行业具有双重好处。 首先,医疗保健应用程序已被普遍接受并准备在全球范围内部署。 其次,降低了应用开发成本。
3. HITECH法案
2009 年巴拉克奥巴马总统执政期间引入了经济和临床健康信息技术法案。HITECH 法案的目的是通过电子健康记录 (EHR) 促进企业采用健康信息技术。 政府还收紧了围绕 1996 年 HIPAA 法案的松散端,此后,医疗保健企业必须在其凭证被盗用时通知客户。
HITECH 法案的直接影响是,借助 EHR,两个不同实体之间的信息共享变得更容易处理。 该法案还确保安装难以破解的安全基础设施与 HIPAA 法案的隐私和安全必备条件相一致。 获得 HITECH 批准的所有监管要求都通过最终综合规则纳入 HIPAA,这导致两种行为都在单一立法下叠加。
4. 自带设备
自带设备 (BYOD) 是一种概念性实践,医疗保健雇主允许医务人员使用个人设备,例如但不限于智能手机和平板电脑来执行公务。 如果您的 mHealth 解决方案未针对 BYOD 安全协议进行定制,事情可能会瞬间走下坡路。 例如,假设员工丢失了他/她的智能手机,而该设备可以访问关键的受保护健康信息 (PHI)。
这就是经过深思熟虑的移动设备管理策略发挥作用的地方。 如果应用程序开发人员在 mHealth 解决方案中内置了远程擦除功能,您就可以擦除与丢失设备相关的数据。 BYOD 保护伞中的类似功能包括保护电子邮件和浏览器等客户端应用程序。 在初始 SDLC 阶段注意这些细节可以帮助初创公司最终获得 BYOD 批准。
5. GDPR
通用数据保护条例由欧盟 (EU) 制定,适用于收集和处理欧盟公民客户数据的智能手机应用程序。 谈到在欧盟以外的工作中该法案的类似迭代,它被认为是应用程序开发人员根据相同创建移动医疗解决方案的一种安全措施。 隐私保护是 GDPR 的本质,联邦当局通过它试图(成功地)将一些个人数据的控制权交给外行。 它还公开了与私有数据管理有关的业务实践。
GDPR 的规定要求移动应用程序在收集或处理其数据之前请求许可,即主动用户同意。 该应用程序应该使用户可以通过复选框或任何其他按钮轻松分享他们的协议,以单击并注册操作。 此外,不应预先勾选此类复选框,以免在心理上影响用户的选择,而用户的选择必须不受阻碍。 条款和条件页面必须有自己的“我同意”按钮。 GDPR 在很大程度上使个人数据控制民主化,因为即使在用户同意后,如果用户选择,他们也可以撤销授予应用程序的所有权利并退出。 如果移动应用程序开发公司根据此讨论设计解决方案,则从当局激活 GDPR 批准相对容易。
最后的想法
得益于移动医疗、远程医疗、传感器和可穿戴技术以及远程监控工具等数字技术,到 2026 年,全国医疗保健支出预计将达到 5.7 万亿美元。 这种医疗保健趋势表明,前所未见的医疗解决方案正在艰难前进,这些解决方案结合了技术,可以立即向公众推广。 他们还有望使所有人都能负担得起医疗保健作为一项基本权利,而不是一项可以使用的服务。 当您专注于企业的业务方面时,让美国顶级医疗保健应用程序开发机构之一的Appinventiv作为您的技术指南随时待命。
我们将等待听到您的想法。