Sur tous les toits du monde

Google et Ascension semblent être dans des cargaisons d'eau chaude sur leur projet secret de partage de données médicales sur les patients qui implique des dizaines de millions de patients. Un jour après que le Wall Street Journal a publié son exposé, dont nous avons discuté hier, le ministère de la Santé et des Services sociaux, normalement complaisant, s'est réveillé pour ouvrir une enquête. Les créateurs du Congrès sont également en colère. Et s'il le souhaite, HHS peut abaisser le marteau sur Ascension et Google. Le Guardian rapporte que Google et Ascension ont signé un accord quelques heures après que le Journal a dévoilé son histoire. C'est une preuve prima facie que chaque bit de données sur les patients que Ascension a remis à Google était une violation flagrante des dispositions de la HIPAA en matière de confidentialité. Et comme nous le montrerons plus loin, des documents divulgués montrent que le partage de données s'est bien passé. Sous HIPAA Ascension peut partager les données des patients avec des partenaires commerciaux "uniquement si Il y a un contrat en place Il y a un objectif envisagé par la HIPAA pour la fourniture de données L'accord garantit que l'associé commercial mettra en œuvre des pratiques pour assurer la conformité à la HIPAA. Un peu difficile de faire tout cela sans contrat. Enfin, nous verrons pourquoi les dossiers de santé électroniques et l'idée d'appliquer l'IA aux données médicales sont un rêve de pipe depuis des décennies et cette situation ne devrait pas changer de si tôt. Le meilleur remède pour les patients ayant des antécédents médicaux complexes serait pour eux d'avoir des droits beaucoup plus forts sur leurs données, y compris en exigeant par défaut des fournisseurs médicaux de fournir des copies électroniques des résultats des tests et des changements de médicaments sous forme électronique aux patients rapidement après chaque visite. Pourquoi HHS peut clouer Ascension et Google Ce qui s'est passé entre Google et Ascension est plus effronté que je ne l'imaginais, et j'ai une imagination active. D'abord un bref examen et une mise à jour sur l'état des lieux, en commençant par les points forts du post d'hier sur l'histoire de blockbuster de Google: Le Wall Street Journal a percé une histoire importante sur l'incursion de Google dans l'arène médicale Sans en informer les patients ou les médecins, et encore moins obtenir leur consentement, le géant de la recherche a obtenu les dossiers médicaux de dizaines de millions de personnes »dans 21 États, tous patients of Ascension, une chaîne de 2600 hôpitaux basée à Saint-Louis. De plus, vous pouvez voir que l'effort est agressif, dans le but de générer des antécédents médicaux des patients, de relier les individus aux membres de la famille, et de faire des suggestions de personnel et de traitement ... ainsi que d'identifier les opportunités de mise à jour et d'autres façons de traire les patients. Les données impliquées dans l'initiative englobent les résultats de laboratoire, les diagnostics des médecins et les dossiers d'hospitalisation, entre autres catégories, et constituent un historique de santé complet, y compris les noms des patients et les dates de naissance. Ni les patients ni les médecins n'ont été informés. Au moins 150 employés de Google ont déjà accès à une grande partie des données sur des dizaines de millions de patients, selon une personne proche du dossier et des documents. Ascension et violations flagrantes de la réglementation de Google Un régulateur fédéral a ouvert une enquête sur le projet «Nightingale» de Google et d'Ascension, rassemblant les informations détaillées sur la santé de millions de patients. Le Bureau des droits civils du ministère de la Santé et des Services sociaux cherchera à en savoir plus sur cette collecte massive de dossiers médicaux individuels pour garantir que les protections HIPAA sont pleinement mises en œuvre », a déclaré le directeur du bureau, Roger Severino, dans un communiqué à Wall Street. Journal… Au cours des derniers mois, des dizaines de millions d'enregistrements ont été partagés avec Google, selon les personnes et les documents. Les autres sont en route. La nouvelle destination des données est le cloud de Google parent Alphabet Inc., essentiellement un stockage de données et de logiciels servi et accessible à distance, y compris par certains employés du géant de la recherche. Une histoire de Guardian aujourd'hui, qui comprenait un lien vers la vidéo de dénonciation que nous avons intégrée ci-dessous, a un factoïde d'une importance cruciale qui fait de cette enquête HHS un slam dunk si l'agence choisit de l'utiliser: L'accord entre Google et Ascension pour aller de l'avant avec le transfert de données a été officiellement signé lundi, quelques heures après que le Wall Street Journal a dévoilé l'histoire. Hein? D'importantes quantités de données ont déjà été transférées et, pire encore, les employés de Google ont accès aux données des patients. Quels étaient les adultes superviseurs de Google et d'Ascension qui fumaient? Ou pensaient-ils que commémorer leur compréhension les obligerait à mettre par écrit des choses qui ne valaient pas la peine d'être admises? Quoi qu'il en soit, vous ne pouvez pas faire des projets de cette envergure sur un clin d'œil et un signe de tête. Cela seul devrait être la raison de licencier tout le monde à Ascension en tant que décisionnaire impliqué dans ce schéma. Cela comprend leur avocat général et PDG; la vidéo de dénonciation ci-dessous indique que le projet est parrainé aux niveaux Directeur, VP, SVP, EVP et PDG d'Ascension et de Google. La règle de confidentialité autorise les prestataires couverts et les plans de santé à divulguer des informations médicales protégées à ces partenaires commerciaux »si les prestataires ou les plans obtiennent des assurances satisfaisantes que le partenaire commercial utilisera les informations uniquement aux fins pour lesquelles elles ont été engagées par l'entité couverte, protéger les informations contre toute utilisation abusive et aidera l'entité couverte à se conformer à certaines des obligations de l'entité couverte en vertu de la règle de confidentialité. Les entités couvertes peuvent divulguer des informations médicales protégées à une entité dans son rôle d'associé commercial uniquement pour aider l'entité couverte à s'acquitter de ses fonctions de soins de santé - pas pour l'usage ou les fins indépendants de l'associé commercial, sauf si cela est nécessaire pour la bonne gestion et l'administration de l'associé. Disposition générale. La règle de confidentialité exige qu'une entité couverte obtienne de son associé une assurance satisfaisante que l'associé protégera de manière appropriée les informations de santé protégées qu'elle reçoit ou crée au nom de l'entité couverte. Les assurances satisfaisantes doivent être fournies par écrit, que ce soit sous la forme d'un contrat ou d'un autre accord entre l'entité visée et l'associé. Contrats d'associé commercial. Le contrat ou tout autre accord écrit d'une entité couverte avec son associé doit contenir les éléments spécifiés au 45 CFR 164.504 (e). Par exemple, le contrat doit: décrire les utilisations autorisées et requises des informations médicales protégées par l'associé; Prévoir que l'associé n'utilisera pas ou ne divulguera pas davantage les informations de santé protégées autrement que dans la mesure permise ou requise par le contrat ou tel que requis par la loi; et exiger de l'associé commercial qu'il utilise des mesures de protection appropriées pour empêcher une utilisation ou une divulgation des informations de santé protégées autres que celles prévues par le contrat. Lorsqu'une entité couverte a connaissance d'une violation importante ou d'une violation par l'associé commercial du contrat ou de l'accord, l'entité couverte est tenue de prendre des mesures raisonnables pour remédier à la violation ou mettre fin à la violation et, si ces mesures échouent, de résilier le contrat. ou arrangement. Si la résiliation du contrat ou de l'accord n'est pas possible, une entité couverte est tenue de signaler le problème au Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux (HHS). Veuillez consulter notre exemple de contrat de partenaire commercial Alors, qu'en est-il du contrat? Ascension et Google n'ont-ils pas compris? Ou est-ce que toutes les dispositions du contrat doivent être stipulées, notamment en interdisant l'utilisation des informations sur les patients pour le propre usage de Google, ce que Google n'a pas voulu s'engager? Vous pouvez voir pourquoi il était dans l'intérêt de Google de continuer à jouer au Big Data Hoover et à engloutir toutes les informations sur les individus qu'il pourrait obtenir. Mais quelles faveurs sexuelles ont été échangées pour que les dirigeants de l'Ascension violent de manière aussi flagrante la loi et leurs obligations éthiques envers les patients et les médecins? Oh, et à part le propre compte du Journal, que Google et Ascension ne semblent pas avoir contesté, le lanceur d'alerte a créé sa propre petite vidéo avec des captures d'écran et des commentaires sur les documents du projet. Vous pouvez en déduire que le lanceur d'alerte est de l'Ascension. Je ne peux pas obtenir l'audio dans aucun de mes navigateurs, mais les images étaient suffisantes: Je vous invite à le regarder dans son intégralité, mais voici quelques captures d'écran qui montrent clairement que le système de Google est fondamentalement en contradiction avec les règles de confidentialité des patients, même pas très robustes en Amérique: Soulignons que Google monétise les données des patients est un non-non absolu. Les rédacteurs de HIPAA n'auraient jamais pu imaginer les horreurs que Google adorerait infliger aux patients, comme développer des profils afin de pouvoir plus tard les bombarder d'annonces ciblées sur leurs problèmes de santé spécifiques. Mais vous pouvez parier que c'est exactement le genre de chose qu'ils ne toléreraient pas. La vidéo exprime d'autres préoccupations, à savoir que les données individuelles nues des patients n'ont jamais été stockées sur le cloud en raison de risques de sécurité et sont déjà en cours ici, y compris avec les noms des patients et des liens vers les résultats des tests, 1 The Guardian a clairement indiqué que dans l'autre, plus petit projets de données médicales, les données médicales étaient cryptées, et seule l'organisation de soins de santé possédait les clés Même en Alabama soi-disant rétrograde, les images médicales envoyées par e-mail et les données des tests doivent être cryptées. Pour confirmer l'intention presque certainement illégale: La vidéo décrit plus tard un produit final de Google qu'il a l'intention de construire sur la base des données d'Ascension: Google Health Search ». Encore une fois, HIPAA est clair: un associé commercial »utilise les données des patients pour son propre plaisir et son profit est verboten. Pire, l'exemple de Google montre que les utilisateurs saisissent les noms des patients et voient d'abord les correspondances étroites. Toute personne autorisée à utiliser le système peut fouiller et consulter les données non seulement pour le patient recherché en cause, mais clairement les correspondances étroites ... ce qui suggère fortement que quiconque peut utiliser cet outil peut fouiller largement, sinon librement, chez le patient enregistrements de données. Nous avons vu comment les employés de la NSA espionnaient les amoureux. Qu'est-ce qui empêche les employés de faire un usage personnel malveillant de l'accès à ces informations? Le diaporama montre également les emplacements où les données des patients ont déjà été envoyées à Google. Êtes-vous victime? Ce n'est pas encourageant: Ce n'est pas non plus: Même sans le bénéfice des moches détails du Guardian et des documents des dénonciateurs, les lecteurs avertis du Wall Street Journal étaient plus agités que lorsque l'histoire a éclaté. Et les commentaires, sans exception, exprimaient la méfiance et le mépris de Google. Par exemple: PATRICK MROWCZYNSKI À plat contre les règles HIPAA. HIPAA prévoit le partage de données qui profite au patient, pas au fournisseur de soins de santé. Évidemment, il serait plus facile de stocker les informations sur le cloud (non cryptées, donc tout le monde pourrait y accéder) mais dans ce cas, le partage de données avec un partenaire n'améliore pas la santé ni le bien-être des patients. Cela pourrait bien sûr améliorer le fournisseur - mais Google pourrait également le corrompre. Richard Chupp Ma femme et ma fille travaillent pour un grand hôpital et HIPAA leur dit constamment à quel point elles sont limitées dans ce qu'elles peuvent dire aux patients et aux membres de leur famille. Cette interprétation de la légalité a été faite par une partie intéressée. Et ils ne sont pas les seuls à être mécontents de voir Google mettre la main sur les données des patients: Google a secrètement miné les dossiers de santé de dizaines de millions d'Américains pour augmenter les coûts pour les patients. Le mépris flagrant de la vie privée, du bien-être du public et des normes de base est désormais au cœur du modèle commercial de Google. Cet abus est au-delà de la honte. Google et Ascension collectent des millions de données privées sur la santé des patients sans leurs connaissances. Ils utilisent ces données pour commander plus de tests et envoyer plus de factures. La technologie devrait réduire les coûts et aider les patients, et non pas trouver de nouveaux moyens de les facturer davantage. Pourquoi le scepticisme est bien justifié Sur Twitter et dans certains commentaires, de temps en temps, quelqu'un dit que ce serait vraiment bien d'avoir tous les dossiers des patients en un seul endroit et Google ressemble exactement au type d'entreprise pour le faire. C'est une pensée profondément erronée. Tout d'abord, qu'en est-il de prendre une responsabilité personnelle et d'obtenir des copies de vos dossiers? Est-il difficile d'obtenir et de conserver des copies des résultats des tests? Certes, certains hôpitaux ne coopéreraient pas, mais même ils se mettent sous les pieds lorsqu'ils sont poussés. Un inconvénient possible de cet abus de Google est qu'il pourrait inciter les hôpitaux et autres fournisseurs de soins médicaux à fournir des dossiers, non seulement sur demande, mais par défaut, sous forme électronique (pas les dossiers de santé électroniques, qui nécessiteraient un logiciel spécialisé pour y accéder). , mais PDF lisibles par machine). Deuxièmement, il n'y a aucune raison de penser que Google sera bon dans cette tâche. Google est bon en publicité. Il serait probablement bon de développer des algos pour aider les fournisseurs de soins médicaux à se mettre à niveau, comme en charge encore plus et ainsi augmenter l'inflation des coûts médicaux. Il serait également bon de vendre des données sur les patients à des tiers, ainsi que de frauder. Il n'y a aucune raison de penser que Google sera tout à fait capable de visualiser les données médicales, ce qui semble être une capacité qu'il fait valoir dans ses documents d'Ascension, ou plus important encore, que la visualisation améliorera les résultats pour les patients. J'espère obtenir un expert en information médicale pour peser, mais les ambitions de Google rappellent terriblement la façon dont les visualisations Excel rendent les gens plus stupides ou la façon dont les gens de Corporate America en sont venus à considérer les feuilles de calcul comme étant plus réelles que les scénarios qu'elles tentent de Capturer. Un cynique pourrait conclure que certains développeurs ont écrit leur bibliothèque de visualisation dans les exigences du projet. -lambert La plupart du temps, il est préférable de regarder les données comme des données. Troisièmement, et le plus important, les dossiers de santé électroniques et l'intelligence artificielle n'ont jamais tenu leurs promesses depuis des décennies, même pas près. En fait, la création de DSE a en fait conduit à des dossiers de patients encore plus inexacts. En d'autres termes, Google se lance dans un projet d'ordures massives. Même si cela pouvait surmonter l'obstacle gigantesque de combiner des patients provenant de sources originales très diverses (identifier simplement correctement des patients uniques et collecter leurs données est vraiment difficile; les banques et les détaillants ont lutté avec cela pendant une décennie et demie et ils avaient des SSN) et les obtenir dans un seul format, les données sous-jacentes sont souvent mauvaises et Google n'est pas en mesure de les nettoyer. De Informatics MD, professeur d'informatique en soins de santé et témoin expert, à Health Care Renewal: D'abord et avant tout, l'objectif de ce projet "est le miracle cybernétique galvaudé qu'on nous promet depuis des décennies, l'intelligence artificielle" qui va révolutionner "la médecine". Je considère ce concept comme extrêmement sur-médiatisé et probablement frauduleux, un effort pour sauver les mêmes promesses faites de l'ensemble du projet DME sur lequel ont été dépensés des centaines de milliards de dollars (plus probablement au-delà de la billion de milliards à l'heure actuelle), en attendant pour Godot. Ces fonds auraient pu être mieux utilisés pour fournir des soins de santé de classe mondiale à toute une population, compte tenu notamment du manque de preuves des miracles promis. CMS par document intégré à la fin de l'article: Nous ne disposons d'aucune information qui soutient ou réfute les affirmations selon lesquelles une adoption plus large des DSE peut sauver des vies. » J'ai déjà écrit que l'ensemble du projet national de DME est une expérience de masse sur des sujets humains sans consentement éclairé qui peut mutiler ou tuer des patients de différentes manières, y compris la distraction des cliniciens et les erreurs informatiques, entre autres. Je note également que, comme j'ai été impliqué dans le soutien aux litiges au cours de la dernière décennie, j'ai été exposé à ce qui se passe vraiment sans le filtre de la presse et de l'industrie informatique. (Le verdict dans le dernier cas dans lequel j'ai témoigné au sujet de Bad Health IT, par exemple, est allé aux héritiers du demandeur décédé - s'élevant à plus de 16 millions de dollars; d'autres se situaient dans une fourchette inférieure mais toujours de plusieurs millions de dollars. Pourtant, vous avez probablement ne les lira jamais dans la littérature HIT)…. Ce nouveau développement représenterait une invitation à des abus massifs, délibérés ou par inadvertance, et constitue probablement une violation massive de la HIPAA Privacy Act, malgré les allégations contraires. Quelques heures seulement après la révélation du projet secret, les deux sociétés ont annoncé la collaboration dans un communiqué de presse, dans lequel elles ont déclaré que le projet commun verrait les données d'Ascension déplacées sur la plateforme cloud de Google. Selon le communiqué, le projet conjoint vise à optimiser la santé et le bien-être des individus et des communautés et à fournir un portefeuille complet de capacités numériques qui améliorent l'expérience des consommateurs, des patients et des prestataires cliniques d'Ascension dans le continuum des soins. » Plus de miracles cybernétiques promis pour les vrais croyants, exprimés dans la phraséologie typique de la magie informatique. Beaucoup de profits aussi. Eduardo Conrado, vice-président exécutif de la stratégie et des innovations chez Ascension, a déclaré: Alors que l'environnement des soins de santé continue d'évoluer rapidement, nous devons nous transformer pour mieux répondre aux besoins et aux attentes de ceux que nous servons ainsi que de nos propres soignants et prestataires de soins de santé. Les transformations nécessaires sont de réduire les TI et la bureaucratie qui pèsent sur les bons cliniciens et consomment d'énormes quantités de dollars, ainsi que la réduction des déchets sur les TI de mauvaise santé pires qu'inutiles (): Bad Health IT est une informatique mal adaptée à l'usage, difficile à utiliser, peu fiable, perd des données ou fournit des données incorrectes, est difficile et / ou trop coûteuse à personnaliser selon les besoins de différents médecins spécialistes et surspécialistes, provoque une surcharge cognitive, ralentit plutôt qui facilite les utilisateurs, manque d'alertes appropriées, crée le besoin d'hypervigilance (c'est-à-dire pour éviter les accidents liés aux TI) qui augmente le stress, manque de sécurité, compromet la vie privée du patient, manque de preuve probante ou montre autrement une conception et / ou une mise en œuvre sous-optimales. Plus de mumbo-jumbo d'entreprise: Pour ce faire, il faudra intégrer au programme de nouveaux modèles de soins fournis par le biais des plates-formes numériques, des applications et des services qui font partie de l'expérience quotidienne de ceux que nous servons. » Le partenariat explorera également l'intelligence artificielle et les applications d'apprentissage automatique pour améliorer la qualité clinique, l'efficacité, la sécurité des patients et accroître la satisfaction des consommateurs et des prestataires, selon le communiqué. Les données collectées par les DME d'aujourd'hui sont sujettes à l'inexactitude pour plusieurs raisons mentionnées sur ce blog, y compris les incitations perverses, le harcèlement des cliniciens et la surcharge cognitive, les limitations de temps, la saisie forcée de certaines données pour aller plus loin dans le dossier, et d'autres. De plus, les systèmes informatiques Bad Health utilisés pour les collecter et les afficher exposent les patients aux risques et aux blessures. AI "ne résoudra pas ces problèmes." Tariq Shaukat, président de Google Cloud, a ajouté: Ascension est un leader dans l'amélioration de l'accès des patients aux soins dans toutes les régions et tous les horizons, en particulier ceux des communautés défavorisées. Nous sommes fiers de nous associer à eux pour leur transformation numérique. La transformation numérique «est, franchement, la même BS que l'informatique révolutionnant les soins de santé» que j'avais entendu depuis au moins le milieu des années 90… Plus de milliards de dollars doivent être transférés des soins aux patients à l'industrie informatique. Ces dollars pourraient être bien mieux dépensés, à mon humble avis, pour la prestation de soins, y compris aux personnes défavorisées et aux minorités, et pour repenser le bourbier informatique actuel en matière de santé. … J'ai transmis les articles récemment publiés à ce sujet aux avocats ayant accès aux listes de diffusion des avocats nationaux, où les mérites du projet Nightingale »peuvent être examinés du point de vue des défenseurs des droits des patients non édentés. ENFIN: Je crois que les projets de trafic de données sur les soins de santé invasifs comme celui-ci, avec un potentiel d'abus massifs, fournissent une justification raisonnable aux patients pour REFUSER l'utilisation des DSE dans leurs soins. Le papier fonctionne très bien. En fait, lorsque l'informatique tombe en panne, c'est vers quoi les hôpitaux et les médecins retournent immédiatement, et le PR prétend toujours que les soins aux patients n'ont pas été compromis. » Comme Lambert l'a résumé: Merde, Google va fusionner les enregistrements de données médicales privées avec ses données existantes et vendre des publicités. 1) Mettre des problèmes techniques comme la fusion est difficile parce que les données sont mauvaises de côté…. 2) Google pense apparemment que ses données sont suffisamment bonnes pour qu'elles PEUVENT ou, de façon plus plausible, RÉCLAMER qu'elles PEUVENT cibler les chercheurs INDIVIDUELS avec des dossiers médicaux INDIVIDUELS. Je veux dire, n'est-ce pas ce que disent les mots? 3) qui est si mal que je ne peux même pas. Vous vous soumettez à un test de cancer, donc Google vous cible au travail avec des publicités sur le cancer, et votre travail vend les données de votre navigateur à un courtier de données et le courtier de données les vend à une compagnie d'assurance maladie qui fout ensuite votre police quand vous obtenez un diagnostic, vous finissez par faire faillite et tout cela parce que vous avez fait la bonne chose au départ et que vous vous êtes fait tester.