Category Archives: Infomation

The golden rules of medical IoT HIPAA compliance

In the past 5 years, a lot has happened in the digital health space. Venture funding in 2018 was close to $10BN and a lot of work is being done.

As our customers progress through their clinical trial journey to FDA clearance and post-marketing, we are frequently asked on how to achieve HIPAA compliance in an era of digital health apps, medical IoT and collection of RWD (real-world data) from patients. I will try and help you make sense out of HIPAA and the HITECH Act (Health Information Technology for Economical and Clinical Health).

On January 25, 2013, the HIPAA Omnibus Rule was published in the Federal Register, which created the final modifications to the HIPAA privacy and security rule. You can see the source of the law here.

The HITECH Act created a supply chain trust model.

According to 45 CFR 164.502(e), the Privacy Rule applies only to covered entities (healthcare providers, health plans and healthcare clearinghouses). Going down the chain, covered entities have suppliers who are defined as BAS (business associates). A business associate is a supplier that creates, receives, maintains, or transmits protected health information on behalf of a covered entity or other business associates.

The HITECH Act requires suppliers in the chain of trust to comply with the Security Rule.   A medtech company and its’ cloud service providers, customer engagement service providers et al are all business associates.

The HITECH Act does not impose all Privacy Rule obligations upon a BA but:

1.BAs are subject to HIPAA penalties if they violate the required terms of their BA Agreement (BAA).

2.BAs may use or disclose PHI only in accordance with the required terms of its BAA

3.BAs may not use or disclose PHI in a manner that would violate the Privacy Rule if done by the CE

Down the supply chain and to the right

When we go downstream in the supply chain, the BAA becomes more and more restricted regarding permissible uses and disclosures.

For example, if a business associate agreement between a covered entity and a supplier does not permit the supplier to de-identify protected health information, then the business associate agreement between the supplier and a subcontractor (and the agreement between the subcontractor and another subcontractor) cannot permit the de-identification of protected health information. Such a use may be permissible if done by the covered entity, but is not permitted by the downstream suppliers in the supply chain, if it is not permitted by the covered entity’s business associate agreement with the contractor.

Concrete example of a digital therapeutic.

A physician (covered entity) prescribes a digital therapeutic app. The physician writes a script that is sent to a customer service center, which provides customer support to patients to download and use the app.

The healthcare provider will need a BA with the digital therapeutics company (or its customer service center that may be a separate business), who then has BAAs with other online suppliers for cloud and Braze customer engagement services. Graphically, the supply chain looks like this:

As we move down the supply chain and to the right, we see that the suppliers are providing specific and more restricted digital services.

Digital therapeutics HIPAA

 

The golden rule

Although a BA is a formal, regulatory requirement, it includes compliance with the HIPAA Security Rule and possible exposure to Privacy Rule disclosures. To a large degree, the Golden Rule applies – “He who has the gold rules”.   For early stage medtech and digital therapeutics companies, your customers have the gold. Do a good job on your homework on your security and privacy risk assessment.  Consider external threats as well as possible exploits and cascade attacks on your APIs.

Tell your friends and colleagues about us. Thanks!
Share this
dilbert-paradigm-intro

A new agenda for Israeli education.

הצעה לסדר יום אחר בבית הספר בישראל

הזמן – עוד מעט ראש השנה של איזה שנה עברית ששמה לא זכורה למרביתנו.

המקום – אי-שם במדינת היהודיים.

לפני איזה תשעה חודשים בשבת בבוקר אני קורא ראיון עם שי פירון, (זה היה ראיון עם שר החינוך של ילדינו בעתון ישראל השבוע ב 6.12.13. )

אמרי מתק שפתיים פופוליסטיים כגון: “לחלק מבתי הספר חולקו מחשבים בלי להכין תכניות לימוד שמותאמות למאה ה 21,…מורים לא עברו השתלמויות” (השר הפירון עצר את היוזמה של השר הקודם לציוד בתי ספר רבים במחשבים – ד.ל).

או, “הסברתי לראש הממשלה שישראל צריכה להתאים את עצמה למאה ה21, נעבור משינון להעמקה, לעיסוק במשמעות; כל ילד יידע לסדר את החומר, אך גם יהיה סקרן“.

הממ – אני חושב לעצמי – הנה ראיה מוצקה שהסמכה לרבנות איננה ערובה להבנה היכן אתה חי.

מעיקרא (במהות הענין) – העיסוק בתקשוב ושיטות לימוד משמש עלה תאנה לבעיה שורשית יותר: חוסר יכולת לחשיבה צלולה וחדשנית ומתן העדפה לעיסוק בהפרחת סיסמאות וקלישאות (“התאמת מערכת החינוך למאה ה21”) ולא במציאת פתרונות.

נחזור כעת לסוגיית “התקשוב והשינון”.

נדון כעת ב”סוגיית התקשוב”: בפועל, למרבית ילדי ישראל (בגילאים 12-17), יש יותר הבנה ושליטה בטכנולוגיות תקשוב מאשר למורה שלהם בכיתה. סמארטפון הוא מובן מאליו, כנ”ל אינטנרנט, טבלט ואפליקציות ברור…לעומר זאת, השר פירון שולח את המורים שלו, על חשבון משלמי המיסים, להשתלמות וצבירת גמולים בלימוד אקסל ווינדוז.

צודק השר. אין צורך בעוד ציוד תקשוב בבתי הספר, יש צורך בשיפור מצב השירותים. את הטכנולוגיות תשאיר לילדים.

נדון כעת ב”סוגיית השינו”: כל חתני וכלות פרסי נובל הישראלים שאנו כה גאים בהם (כולל אלה שחיים בארה”ב 30 שנה) למדו ב”שיטה הישנה” של המאה הקודמת.

הם שיננו שירי ביאליק (ופוצ’קין…) בע”פ. הם למדו לוח הכפל בעל פה. באוניברסיטה, בקורס אנאליזה קלאסית,הם פתרו אלף אינטגרלים (בעל פה) והפלא ופלא איכשהוא הצליחו להמציא את זכרון הפלאש, לפתח מעבדי אינטל, לכתוב שירה וספרות נפלאה, ליצור מוזיקה שמימית ולגלות למה אנשים דווקא כן אוהבים לקחת סיכונים (טוורסקי וכהנהמן: פרס נובל עבור תורת הפרוספקטים).

אני מציע לשר החינוך KISS – KEEP IT SIMPLE STUPID

שינון זה טוב
שירותים נקיים זה טוב
שכר טוב למורים טובים זה טוב

לא צריך הרבה יותר מזה. רק אל תפריע.
ואגב, יש סיכוי טוב יותר שתכנית פשוטה תתגשם בקדנציה אחת של שר מאשר תכנית מסובכת שמורכבת מפסיפס של אינספור אינטרסים פרטיים, ממלכתיים ומסחריים (מוכרי ציוד, מפתחי תכניות, יועצים וכו’).

עזבו אותנו מטכנוליגה ואל תנסו ללמד אותנו להיות סקרנים ולסדר את החומר – הילדים הכי יצרתיים ומוכשים שונאים תהליכים ונוהלים מבית היוצר של משרד החינוך ונופלים במבחנים הסטנדרטיים של פיזה.

ילדים ומשרד החינוך. זה בעצם כמו לערבב מין ושיאנו במינו.

אבל, לא צריך להתייאש.

מסתבר שזה ממש לא מפריע למדינת ישראל להוביל את כל מדינות הG7 במספר הפטנטנטים שהוענקו ע” משרד הפטנטים האמריקאי ולהתגאות בכלכלה תוססת ובריאה בעוד מדינות כמו ספרד מדשדשות במקרה הטוב.

וזה לא הכל.

עיין פרשת ויגש – פרשה מרתקת שמפגישה את יוסף עם אביו ואחיו. הפרשה מפוצצת מסרים חינוכיים. בבקשה.

מסתבר שהסבר לכל התופעה הנפלאה הזאת של היצירה היהודית טמון דווקא בניתוח הפשט בפרשת ויגש.

הרב זלמן סורוצקין (כן – ההוא מהרחוב בירושלים…) שבטח לא הבין במחשבים, שם לב שעל המצרים כתוב “וינהלם בלחם” ועל היהודים כתוב “ויכלכל יוסף את אביו ואת אחיו”. אומר הרב סורצקין – “גויים אפשר לנהל ויהודים אי אפשר לנהל – גם העני המרוד ביותר לא יסתפק בלחם ונזיד עדשים, הוא תמיד ישאף ליותר, אם לא לעצמו אז לילידיו”.

אז מילא שהרב שי פירון צריך עידוד לחשיבה מקורית. לכאורה, ריש המתיבתא של “יש עתיד” צריך הוראה מתקנת גם בפרשת השבוע, רחמנא לצלן.

לזה יש לי כבר פתרון. אולי במקום הפגנות רחוב, עצומות בפייסבוק ומחאה חברתית של קבוצות הורים מתוסכלים וכו’ ניתן לשר חינוך ילדינו תמריץ אישי.

בזמנו, הייתי נותן פרס של קרמבו לילדים בשולחן השבת כתגמול על הפגנת ידע בסיסי בפשט של הפרשה – תשובה נכונה לשאלה כגון על מי נאמר “וינהלם בלחם” זיכתה את הילדים בקרמבו. חבר שלנו היה נותן פרס עפרונות יפים כאלה (עפרונות מוקצה בשבת אז היה נותן את העפרונות במוצ”ש) – כי טען שלימוד דחיית סיפוקים זה חשוב. פעם או פעמיים ניסיתי עפרונות, אבל הקרמבו עשו קאמבק וניצחו – אולי כי המכולתניק שלנו לא מכר עפרונות שווים…

אז מה אתם אומרים – לשלוח לשר החינוך חבילת קרמבו? הרי עפרונות לא חסרים ויש מלא ציוד תקשוב לא מנוצל.

Tell your friends and colleagues about us. Thanks!
Share this