El cartel del mismo nombre fuera de la sede de Epic en Verona, Wisconsin.
Fuente: Yiem vía Wikipedia CC
Epic Systems, el mayor proveedor de software para gestionar registros médicos, afirma que una startup respaldada por empresas llamada Particle Health está utilizando datos de pacientes de forma no autorizada y poco ética que no tienen nada que ver con el tratamiento.
Epic dijo a los clientes en un aviso el jueves que cortó su conexión a Particle, lo que obstaculizó la capacidad de la compañía para acceder a un sistema con más de 300 millones de registros de pacientes. Particle es una de varias empresas que actúa como una especie de intermediario entre Epic y las organizaciones (normalmente hospitales y clínicas) que necesitan los datos.
Los datos de los pacientes son inherentemente sensibles y valiosos, y están protegidos por la Ley de Responsabilidad y Portabilidad del Seguro Médico, o HIPAA, una ley federal que requiere el consentimiento o conocimiento del paciente para el acceso de terceros. Una forma de acceder a los registros médicos electrónicos (EHR) de Epic es a través de una red de interoperabilidad llamada Carequality, que facilita el intercambio de más de 400.000 documentos al mes, según su sitio web. Particle es miembro de la red Carequality.
Para unirse a la red, las organizaciones son examinadas y deben aceptar cumplir con “fines permitidos” claros para el intercambio de datos de pacientes. Epic responde a las solicitudes de datos que se incluyen en el propósito permitido de “Tratamiento”, lo que significa que el destinatario brinda atención a la persona cuyos registros solicita.
Epic dijo en su aviso del jueves que presentó una disputa formal con Carequality el 21 de marzo, por preocupaciones de que Particle y sus organizaciones participantes “podrían estar representando de manera inexacta el propósito asociado con sus recuperaciones de registros”. La empresa suspendió su conexión con Particle ese día.
“Esto plantea riesgos potenciales de seguridad y privacidad, incluida la posibilidad de violaciones de la regla de privacidad HIPAA”, dijo Epic en el aviso, obtenido por CNBC.
En una publicación de blog el viernes por la noche, Carequality dijo que toma las disputas “muy en serio y está comprometido a mantener la integridad del proceso de resolución de disputas, así como el intercambio confiable dentro del marco”. La organización dijo que no puede comentar sobre la existencia de disputas o actividades de los miembros.
Los representantes de Epic y Particle no respondieron a las solicitudes de comentarios.
Epic, una empresa privada de 45 años con sede en Wisconsin, es el mayor proveedor de EHR por participación de mercado hospitalario en los EE. UU., con el 36% del mercado, según un informe de mayo de KLAS Research. Oráculo ocupa el segundo lugar con un 25%, tras la compra de Cerner por 28.000 millones de dólares por parte de la empresa de software en 2022.
En julio de 2022, Particle había recaudado un total de 39,3 millones de dólares de inversores, incluidos Menlo Ventures, Story Ventures y Pruven Capital, según un comunicado. La startup con sede en Nueva York dijo en ese momento que su tecnología “combina de manera única datos de más de 270 millones de registros médicos de pacientes agregando y unificando registros de atención médica de miles de fuentes”.
Epic dijo que Particle presentó miles de nuevas conexiones de participantes a Carequality en octubre y afirmó que estaban incluidas en el caso de uso de tratamiento. En los meses siguientes, todas las organizaciones participantes de Particle reclamaron un propósito de tratamiento permitido para sus solicitudes, dijo Epic.
‘Caso de uso sin tratamiento’
Sin embargo, Epic comenzó a notar algunas señales de alerta. La compañía dijo que observó anomalías en los patrones de intercambio de registros de pacientes, como solicitudes de una gran cantidad de registros dentro de una determinada región geográfica. Además, Epic dijo que las empresas conectadas a Particle no enviaban nuevos datos de los pacientes, lo que “sugiere un caso de uso sin tratamiento”.
Epic y su Consejo de Gobierno de Care Everywhere, formado por 15 representantes de la industria, evaluaron las conexiones de los nuevos participantes de Particle y determinaron que organizaciones como Integritort, MDPortals y Reveleer, que adquirieron MDPortals el año pasado, “probablemente no se ajustaban a un Propósito Permitido de Tratamiento”, dijo el aviso dicho.
Epic dijo que se enteró de que otro miembro de Carequality estaba planeando presentar una disputa, alegando que Integritort estaba utilizando los datos del paciente para intentar identificar posibles participantes en la demanda colectiva. El 28 de marzo, Epic dijo que descubrió que un participante llamado Novellia afirmó que estaba solicitando registros bajo tratamiento, a pesar de anunciar públicamente su producto como una “herramienta de salud personal”.
Integritort, Reveleer y Novellia no respondieron a las solicitudes de comentarios.
Epic dijo que presentó una disputa formal con Carequality por recomendación del Consejo de Gobierno. El 4 de abril, Epic pidió a Particle que proporcionara información adicional para ilustrar cómo sus participantes califican para el caso de uso del tratamiento, según el aviso.
Michael Marchant, director de interoperabilidad e innovación de la Universidad de California Davis Health, se desempeña como presidente del Consejo de Gobierno de Epic. Dijo que es difícil saber exactamente por qué Particle podría haber proporcionado registros a estas organizaciones, o si intencionalmente participó en irregularidades. Pero, dijo, las empresas tienen que actuar responsablemente incluso si se les presiona para que obtengan resultados financieros.
“Si estuvieran vendiendo cosas que sabían que no somos organizaciones relacionadas con el tratamiento en un esfuerzo por igualar la financiación de capital de riesgo o los márgenes de beneficio o los objetivos de ingresos o lo que sea, entonces eso sería realmente malo”, dijo Marchant a CNBC en una entrevista. .
En una declaración en LinkedIn el miércoles, el fundador de Particle, Troy Bannister, dijo que Epic actuó unilateralmente y que Particle no ha visto “fundamentos, justificaciones o afirmaciones oficiales” en torno a estos temas.
Bannister escribió que, hasta donde sabe la compañía, “todos los socios afectados apoyan directamente el tratamiento”. Dijo que estas organizaciones extraen datos de los proveedores de atención y los comparten con la red Carequality.
“Mientras continuamos manteniendo nuestra conexión con Carequality, la capacidad de un implementador de decidir, sin evidencia o siquiera una advertencia, desconectar a los proveedores a escala masiva, pone en peligro las operaciones clínicas de cientos de miles de pacientes, así como la confianza que es fundamental para un intercambio basado en la confianza”, escribió Bannister.
Bannister no abordó la solicitud de información adicional de Epic del 4 de abril.
El proceso de disputa formal aún está en curso. Marchant, quien también se desempeña como copresidente de un consejo asesor en Carequality, dijo que es la primera vez en la historia de la red que una queja llega tan lejos.
MIRAR: Las acciones de las aseguradoras caen por las tasas de Medicare
