我们的国家取得了巨大进步,并投入了数十亿美元的私人和公共资金来建立医疗保健系统的数字化未来。因此,我们对最近收到的持续和最新报告高度关注,这些报告称,目前实施的各种法律和法规可能存在违反其文字和精神的行为,这些法律和法规旨在确保信息共享,改善我们的医疗保健系统并改善所有美国人的生活。在这篇博文中,我们描述了一些引起我们注意的问题以及我们为解决这些问题而采取的措施。
目前,超过 96% 的医院和 78% 的医生办公室使用通过ONC 医疗 IT 认证计划认证的电子健康记录 (EHR) 。为促进采用现代互操作性方法,2016 年颁布的《21世纪治愈法案》要求对这些 EHR 进行配置,以便“通过使用应用程序编程接口 (API)轻松访问、交换和使用数据”。自 2023 年 1 月 1 日起,所有经过认证的 EHR 用户都必须拥有用于患者和人群服务的标准化 FHIR API,以便与授权业务合作伙伴和患者交换信息。正如我们在2024 年 1 月的博客文章中所讨论的那样,绝大多数经过认证的开发人员已在可公开访问的认证医疗 IT 产品列表上发布了他们的认证 API 和相关文档。此外,我们在医疗保险和医疗补助服务中心 (CMS) 的机构合作伙伴现在要求受监管的付款人使用现代 API 技术与提供商、其他付款人和患者进行互操作。
此外,为了消除对信息共享政策必要性的任何疑问,《21世纪治愈法案》还禁止“信息阻止”的做法,以确保这些 EHR 和 API 技术实际上“无需特别努力”即可访问。这些规定现在通过美国卫生与公众服务部和 CMS、国家卫生信息技术协调员办公室和卫生与公众服务部监察长办公室颁布的单独但相互关联的规则生效。
这是一项巨大的成就,只有私营部门和公共部门经过多年的努力才有可能实现。因此,令人担忧的是,信息共享仍然存在相当大的摩擦。近几个月来,除了审查向我们报告的数百起信息阻止投诉外,ASTP 还与 API 用户和医疗保健组织进行了多次听证会,以更好地了解患者、提供商、付款人和开发人员所面临的挑战,他们只是想按照法律规定的方式访问 API 和 EHR 技术。
显而易见的是,阻碍进步的最大障碍是行为,而不是技术。以下是我们听到的一些经验:
可公开访问的 API 文档不可用或无法使用。API用户描述了开发人员及其认证 API 技术所需的业务和技术信息披露不可用或不可用的情况。他们表示,他们发现有关访问条款和条件、费用结构以及注册应用程序的流程的文档不一致且不完整。
第三方应用程序开发商实际上被拒之门外。API用户表示,认证 API 开发商以繁重的费用、定价惯例、合同条款和法规禁止的知识产权要求来限制 API 访问。API 用户还表示,认证 API 开发商拖延或不公平对待应用程序注册请求,以访问已部署的认证 API 技术,这是认证计划所禁止的。
API 用户无法与提供商建立连接。已安装的 EHR 系统隐藏在通用 API 端点后面,这使得 API 用户难以直接与医疗保健系统建立连接。第三方开发者应用程序并非适用于所有 EHR 用户系统,也未有机会向 EHR 用户销售。
为患者服务的第三方开发商面临着虚假的监管障碍。提供商组织和/或认证 API 开发商要求患者访问 API 开发商签署 HIPAA 业务伙伴协议,但这并不是患者以电子方式访问其信息的必要条件。
未能响应 API 访问请求。API用户表示,经认证的 API 开发人员和/或医疗保健提供商未按照法规要求及时以书面形式回复拒绝访问电子健康信息的请求。
后果和执行
提出的众多担忧之一是,认证 API 开发人员可能不遵守针对 API(45 CFR 170.404)和信息屏蔽(45 CFR 170.401)的认证条件和维护要求。此外,作为信息屏蔽法规(45 CFR 第 171 部分)的约束对象,认证 API 开发人员如果从事他们本应知道可能会干扰 EHI 的访问、交换和使用的任何行为,则可能构成信息屏蔽(除非该行为是法律要求的或属于例外情况)。
不遵守任何认证条件和维护要求不仅违反了认证计划的条款,而且破坏了制定这些要求的精神。认证 API 开发人员的此类行为会导致人们对医疗 IT 的信任度降低、新技术的采用率降低、成本增加、医疗系统效率持续低下,并最终导致患者的结果更差。
ASTP 将继续指导审核认证 API 开发人员及其健康 IT,以评估其是否符合所有适用的认证计划要求。如果经认证的健康 IT 开发人员的业务实践或经认证的健康 IT 存在不合规情况,则可能会面临受影响认证的暂停或终止。如果开发人员的一个或多个健康 IT 模块认证被终止,则会导致开发人员被禁止参加认证计划。
同时,我们与 HHS 监察长办公室 (OIG) 和 CMS 的合作对于阻止和解决信息封锁问题至关重要。OIG 随时准备调查潜在的信息封锁案件,并对医疗 IT 开发商、医疗信息网络或医疗信息交换机构处以每次违规最高 100 万美元的民事罚款,并向 CMS 提交申请,对任何经 OIG 确定犯有信息封锁行为的医疗服务提供者采取适当的惩罚措施。
您对 ASTP 未来的发展有何期待?
确保经过认证的 API 技术 ASTP 的首要任务。我们将与 ONC 授权认证机构 (ONC-ACB) 合作,与 OIG 接洽,并听取更多 API 用户的意见,以监控医疗信息共享领域需要帮助的领域。在接下来的几周和 高尔夫球场电子邮件列表 几个月里,以下是您可以期待看到的一些内容:
监控和执行: ASTP 将通过在初始认证阶段和持续认证维护期间实施更严格的 API 文档审查流程来加强监督和执行。我们还将密切监控通过多个数据点看到的趋势,包括监控认证 API 开发人员在认证计划下必须维护的投诉日志。
与开发人员的互动: ASTP 计划在 2024 年 10 月 23 日举行的季度虚拟圆桌会议上讨论我们听说过的问题以及认证计划下的开发人员 API 要求。展望未来,我们还打算举办更多网络研讨会,重点关注认证 API 技术及其开发人员的 API 条件和认证要求的维护。
新的教育资源:我们的健康 IT 认证计划页面包含有关 API 条件和认证要求维护的多种资源,例如API 认证配套指南 (CCG)、API 资源指南、学习模块和情况说明书。为了回答提出的问题,我们将很快发布新的教育材料,包括更新的情况说明书、一些 API“可做和不可做”场景的示例,以及一个模板,该模板概述了对认证 API 开发人员的期望,包括业务和技术文档发布和可访问性要求,以及专门与认证 API 相关的信息阻止资源。
改进的反馈渠道:我们正在改进反馈机制,使利益相关者更容易与我们沟通。医疗 IT 反馈和咨询门户中已添加专门用于处理API 相关投诉和咨询的部分。这一新渠道将帮助我们及时收到反馈,并迅速采取行动解决任何不符合或误解认证计划要求的情况。我们鼓励遇到问题的任何最终用户或第三方应用程序开发人员告知 ASTP 该问题。
通过随时了解最新信息并分享您的见解、问题和顾虑,您可以帮助我们确定 ASTP 的方向,并确保 API 能够有效满足医疗保健社区的需求。通过健康 IT 反馈和咨询门户分享您的意见,并确保参加2024 年 10 月 23 日举行的ONC 健康 IT 认证计划开发者圆桌会议,该会议将重点讨论 API 合规性。