医疗保健中使用AI记录员的HIPAA合规风险：数字健康领导者需要了解的内容 - AI与医疗健康

医疗保健中使用AI记录员的HIPAA合规风险：数字健康领导者需要了解的内容HIPAA Compliance Risks with AI Scribes in Health Care: What Digital Health Leaders Need to Know

环球医讯 / AI与医疗健康来源：www.jdsupra.com美国 - 英语2025-06-10 23:00:00 - 阅读时长5分钟 - 2088字

本文探讨了在医疗保健中使用AI记录员时可能面临的HIPAA合规风险，并提供了相应的风险管理建议。文章详细分析了从训练数据授权到业务伙伴协议等多个方面的潜在问题，并提出了具体的应对措施。

AI记录员正迅速成为现代医疗保健的数字化助手。它们承诺减少临床医生的工作负担，简化文档记录，并改善患者体验。然而，在医疗保健提供者和数字健康公司竞相实施AI记录员解决方案时，一个主要的问题不断浮现：这些方案存在哪些HIPAA风险？

HIPAA风险高度依赖于AI解决方案的训练、部署、集成和治理方式。如果你的公司在探索或已经使用AI记录员解决方案，请通过本文作为路线图来测试这些风险。

什么是AI记录员？

AI记录员使用机器学习模型监听（或处理录音）患者与医疗提供者的交流，并生成结构化的临床笔记。这些工具被宣传为能够无缝集成到电子健康记录（EHR）中，减少手动记录的需求，并使医生在就诊过程中更专注于患者。

在幕后，AI记录员实时处理大量受保护的健康信息（PHI），涉及多种模式（如音频、转录文本、结构化EHR数据等）。因此，AI记录员将受到HIPAA的监管。

AI记录员生命周期中的HIPAA陷阱

以下是我们在为数字健康客户、医疗系统和推出记录员技术的AI供应商提供建议时遇到的最常见的HIPAA陷阱。

1. 在未经适当授权的情况下使用PHI训练AI

许多AI记录员通过使用真实世界的数据进行“微调”或重新训练，包括之前的会诊记录或经过医生编辑的笔记。这些数据通常包含PHI。根据HIPAA的规定，使用PHI用于超出覆盖实体医疗服务提供者的治疗、支付或医疗运营之外的目的通常需要患者的授权。因此，像模型训练或产品改进这样的用例需要强有力的论据证明该活动属于覆盖实体医疗服务提供者的医疗运营——否则就需要患者授权。

风险：如果AI供应商在未经患者授权或代表客户在可辩护的治疗、支付或医疗运营基础上使用客户数据训练其模型，则该使用行为需要评估为潜在的HIPAA违规行为。此外，还需要考虑部署该技术所需的其他同意，例如根据州法律对患者或提供者进行录音的同意。

2. 不当的业务伙伴协议（BAA）

几乎所有的AI记录员供应商都会以覆盖实体或另一个业务伙伴的名义访问、存储或处理PHI，因此几乎总是被视为HIPAA下的业务伙伴。然而，我们看到一些供应商合同要么（a）缺乏合规的BAA，（b）包含过于宽泛的免责条款，实际上消除了供应商的责任，或者（c）未能定义允许的使用和披露，或者包括了HIPAA不允许的使用和披露（例如，允许供应商在没有适当授权或不符合HIPAA例外情况的情况下使用PHI训练AI模型）。

提示：仔细审查每个AI供应商协议。确保BAA或基础服务合同明确定义了所访问、存储或处理的数据，如何使用这些数据（包括哪些数据可用于训练），以及数据是否进行了去标识化或在服务交付后保留。

3. 缺乏安全防护

AI记录员平台是攻击者的高价值目标。这些平台可能会捕获实时音频、存储草稿临床笔记，或通过API集成到EHR中。如果这些平台没有得到适当的安全保护，并且发生数据泄露，风险包括监管罚款和处罚、集体诉讼以及声誉损失。

HIPAA要求：覆盖实体和业务伙伴必须实施“合理和适当的”技术、管理和物理安全措施来保护PHI。受HIPAA监管的实体还必须更新其风险分析，以包括使用AI记录员的情况。

4. 模型幻觉和错误输出

AI记录员，尤其是基于生成模型构建的记录员，可能会“幻觉”或编造临床信息。更糟糕的是，如果转录错误或患者匹配错误发生，它们可能会将信息错误地归因于错误的患者。这不仅仅是工作流程问题。如果PHI被插入错误的病历或披露给错误的个人，这可能是HIPAA和州数据泄露法律下的违规行为（甚至可能对患者未来的护理产生负面影响）。

风险管理：对所有AI记录的笔记实施人工审核。确保提供者在将笔记录入患者记录之前确认其准确性。

5. 去标识化谬误

一些供应商声称他们的AI解决方案是“符合HIPAA”的，因为数据已去标识化。然而，供应商往往未能严格遵循HIPAA第45 C.F.R. § 164.514条规定的两种去标识化方法之一：专家确定法或安全港方法。如果数据未完全按照其中一种方法去标识化，则数据在HIPAA下并不被视为去标识化。

合规检查：如果供应商声称他们的系统不在HIPAA的管辖范围内，因为只使用了去标识化数据，请要求提供以下信息：使用的去标识化方法、再识别风险分析的证据以及去标识化专家的资质（如果适用）。此外，如果供应商被给予PHI进行去标识化处理，则必须与提供商和供应商之间签订BAA。

医疗系统和数字健康公司的实际下一步

对于正在评估或已经实施AI记录员的公司，以下是减轻风险而不扼杀创新的建议：

仔细审查供应商
将治理纳入EHR工作流程
限制未经授权的二次使用/训练
更新风险分析
培训提供者

结论

AI记录员正在改变临床文档记录。然而，随着自动化程度的提高，特别是在HIPAA下的责任也相应增加。供应商、数字健康公司和医疗系统必须将AI记录员视为不仅是一种软件，而是嵌入患者护理中的数据管理者。通过建立强大的合同保障，限制PHI的使用仅限于HIPAA允许的范围，并持续评估下游风险，数字健康领导者可以拥抱创新而不会招致不必要的风险。

(全文结束)