Comment la règle de blocage des informations de la loi sur les cures pourrait avoir un impact sur la recherche
Les prestataires de soins de santé collectent de grandes quantités d’informations électroniques sur la santé (EHI) qui recèlent un énorme potentiel pour faire avancer la science. Cependant, ce potentiel a été limité par un manque d’incitations, d’impératifs et de moyens standardisés pour partager l’EHI avec les chercheurs. La loi fédérale fixe les conditions de partage des données identifiables pour la recherche par le biais de réglementations en vertu de la loi HIPAA et de la règle commune. Mais ces réglementations n’exigent pas que l’EHI soit partagé en premier lieu. Le résultat est que les entités produisant l’EHI ont eu un large pouvoir discrétionnaire sur l’accès des chercheurs.
Le 21st Century Cures Act et son compagnon Cures Act Final Rule, finalisés par le Bureau du coordinateur national des technologies de l’information sur la santé en 2020 et en vigueur depuis le 5 avril 2021, peuvent limiter ce pouvoir discrétionnaire, en particulier un ensemble de dispositions conçues pour empêcher la pratique du « blocage des informations » (ci-après dénommée la règle de l’IB). Le blocage d’informations est défini au sens large comme toute pratique susceptible d’interférer avec l’accès, l’échange ou l’utilisation d’EHI autrement autorisé par la loi. La règle de l’IB s’applique à plusieurs entités, notamment les prestataires de soins de santé (individus ou institutions), les développeurs de technologies d’information sur la santé certifiées (fournisseurs de dossiers de santé électroniques) et les réseaux et échanges d’informations sur la santé. La règle de l’IB ne couvre que l’EHI – pas les enregistrements papier – et est limitée à un ensemble de données très circonscrit jusqu’au 5 octobre 2022, date à laquelle elle s’étend pour inclure l’ensemble complet d’enregistrements désignés tel que défini dans la règle de confidentialité HIPAA.
La règle de l’IB ne crée pas d’exigences en matière de partage de données. Elle crée plutôt une présomption que l’EHI sera partagé dans des circonstances où il est légal de le faire. Par conséquent, le non-partage de l’EHI – ou l’imposition de conditions à ce partage au-delà de ce qui est requis par la loi – pourrait entraîner des sanctions pécuniaires ou des désincitations financières, telles que des paiements réduits de Medicare ou Medicaid.
La règle de l’IB s’applique au partage de données à des fins de recherche, mais laisse plusieurs questions sans réponse sur la manière dont les établissements doivent négocier la règle dans le contexte des réglementations et des pratiques de confidentialité existantes. Des directives fédérales sont nécessaires sur la mise en œuvre de la règle de l’IB pour le partage des données de recherche.
La règle de blocage des informations pour la recherche
Bien que la règle de l’IB n’ait peut-être pas été rédigée en pensant à la recherche, elle a néanmoins des implications sur la manière dont un établissement répond à une demande d’EHI à des fins de recherche. À l’heure actuelle, les établissements imposent souvent des conditions d’accès aux données à des fins de recherche au service de la protection des patients et de la sécurité de leurs données, d’assurer la conduite éthique de la recherche ou de maintenir un avantage concurrentiel. En vertu de la règle de l’IB, il n’est pas clair si les établissements peuvent continuer à imposer ces conditions au-delà de ce qui est minimalement requis par la loi. En s’attendant à ce que les établissements partagent les données avec les chercheurs, à condition que cela soit par ailleurs légal, la règle de l’IB mettra un pouce sur l’échelle en faveur du partage de l’EHI.
Exceptions à la règle de blocage des informations
Les demandes de données peuvent être refusées (ou des conditions d’accès aux données peuvent être imposées) si elles répondent à une exception explicite. Ces exceptions se répartissent en deux catégories : les raisons pour lesquelles les demandes d’accès, d’échange ou d’utilisation d’EHI ne sont pas satisfaites (confidentialité, prévention des dommages, sécurité, infaisabilité et exceptions de performances informatiques en matière de santé) et les procédures pour répondre aux demandes d’accès, d’échange ou d’utilisation d’EHI. (contenu et manière, frais et exceptions de licence). Les exceptions de la règle de l’IB ont été délibérément restreintes et ne couvrent pas nécessairement certaines des conditions habituelles imposées à l’accès à la recherche.
Ambiguïtés pour le partage des données de recherche
Les établissements peuvent, et doivent souvent, prendre des mesures pour se conformer aux exigences légales spécifiques en matière d’accès aux données de recherche sans être considérés comme « interférant » avec l’accès à l’EHI. Par exemple, les établissements doivent exiger l’approbation du comité d’examen institutionnel (IRB) pour les recherches couvertes par la règle commune, l’IRB ou l’approbation du conseil de la protection de la vie privée des dérogations aux exigences de consentement éclairé ou d’autorisation pour les recherches couvertes par la loi HIPAA, ou un accord d’utilisation des données pour la divulgation d’un Ensemble de données limité par HIPAA.
Cependant, les fournisseurs qui imposent des conditions d’accès à la recherche qui vont au-delà de ce qui est expressément requis pour se conformer à la loi peuvent être examinés et pénalisés par les Centers for Medicare et Medicaid Services. Par exemple, pour la recherche multi-institutionnelle non couverte par la politique « IRB unique dans la recherche multisite » des National Institutes of Health (NIH), les institutions exigent souvent l’approbation de l’IRB à domicile, c’est-à-dire l’examen et l’approbation de l’IRB de leur propre établissement. de céder l’examen à l’IRB du site principal. Mais si un « demandeur » de données EHI à des fins de recherche a déjà obtenu l’autorisation d’utiliser les données demandées auprès d’un IRB externe ou indépendant, l’exigence légale d’examen par l’IRB pourrait sans doute être satisfaite. Les institutions couvertes par la règle de l’IB qui exigent l’approbation de l’IRB national comme condition de partage des données demandées pourraient potentiellement être suspectes en vertu de la règle de l’IB, en particulier si cela entraîne un retard ou un refus de la recherche, car elle impose une condition au-delà de ce qui est requis par la loi. .
Le duel de déterminations de l’IRB – par exemple, si l’IRB d’origine de l’institution à laquelle les données sont demandées ne trouve pas que le plan de sécurité des données du demandeur est suffisant ou n’est pas d’accord avec la décision de renonciation prise par l’IRB du demandeur – présente également un dilemme en vertu de l’IB Règle, si la décision de la CISR d’origine impose des critères plus stricts sans justification claire et conforme aux décisions antérieures de la CISR. Les IRB ne sont pas couverts par la règle de l’IB, et les règles de recherche prévoient que les IRB prendront des décisions indépendamment des institutions qu’ils desservent. La règle de l’IB modifie-t-elle cette dynamique, en soumettant une institution au risque d’une violation de la règle de l’IB si elle insiste pour ne suivre que les décisions de son IRB d’origine ? Ou la règle de l’IB crée-t-elle potentiellement une nouvelle attente de confiance envers le conseil extérieur ?
La règle de l’IB remet en question le fait que les établissements puissent imposer d’autres conditions au-delà des exigences légales. Les mesures de protection des données qui vont au-delà des exigences légales expresses incluent l’ajout de conditions qui ne sont pas requises par HIPAA aux accords d’utilisation des données, ou l’autorisation uniquement d’accéder aux données via un portail aux données derrière un pare-feu, ou la transmission de données uniquement aux organisations avec, par exemple, un HITRUST environnement certifié. Ces mesures, qui peuvent constituer des obstacles à l’accès à la recherche, augmentent-elles les risques de sanctions pour les établissements soumis à la règle de l’IB ? Il ressort clairement de la règle de l’IB que l’octroi différencié d’accès à l’EHI selon que le demandeur est un concurrent violerait la règle de l’IB, mais des conseils supplémentaires de la part des régulateurs sont nécessaires pour savoir si d’autres conditions discrétionnaires sur la recherche – et insister sur le recours uniquement à l’examen IRB à domicile — sont acceptables.
Conséquences inattendues
Paradoxalement, les efforts pour se conformer à la règle de l’IB pourraient augmenter les risques pour la confidentialité et la sécurité des données. Actuellement, la recherche a souvent lieu avec des informations de santé anonymisées, car ces données ne sont pas limitées par la loi HIPAA ou la règle commune. Cependant, les données anonymisées ne sont pas couvertes par la règle de l’IB car elles ne répondent pas à la définition de l’EHI. L’accès aux données anonymisées resterait à l’entière discrétion des établissements, mais la règle de l’IB pourrait accroître la demande et l’utilisation d’EHI identifiables à des fins de recherche, s’éloignant de la recherche qui aurait pu être menée avec des données anonymisées.
Soutenir un système de soins de santé apprenant
Bien que la règle de l’IB soit techniquement en vigueur, elle n’est pas encore appliquée. Il est également difficile de savoir si la recherche sera un cas d’utilisation prioritaire pour l’application. Néanmoins, des éclaircissements sur la règle de l’IB sont nécessaires pour aider la communauté des chercheurs à négocier les règles existantes régissant le partage des données pour la recherche. Le manque d’orientations concernant la mise en œuvre des règles de l’IB dans les contextes de recherche pourrait créer un obstacle à la poursuite de sanctions contre des acteurs flagrants qui pourraient tenter d’exploiter des règles préexistantes pour justifier le blocage d’informations, limitant ainsi l’efficacité de la loi. Dans le même temps, le large champ d’application de la règle de l’IB pourrait inutilement saper les pratiques et les politiques qui préservent la confidentialité des patients et la sécurité des données. Malgré ces défis, la règle de l’IB pourrait finalement être le fer de lance d’améliorations dans la disponibilité de l’EHI à des fins de recherche en surmontant un manque de motivation pour partager des données. Il est essentiel que la règle de l’IB soit mise en œuvre de manière à nous faire évoluer vers un système de soins de santé interconnecté adapté à la recherche à grande échelle qui reste également protecteur des données des patients et conforme aux protections éthiques des sujets humains.
Note de l’auteur
Deven McGrow a reçu un salaire et détient des parts minoritaires dans Invitae, et fait partie du comité d’examen institutionnel du programme de recherche fédéral All of Us.