Ce n’est un secret pour personne que les hôpitaux et les systèmes de santé du pays sont rapidement passés des soins en personne aux soins virtuels au début de la pandémie de COVID-19. Mais alors que de nombreuses organisations se concentraient sur les visites vidéo, Unity Health Care, basé à Washington, DC, a tourné son attention vers la télésanté audio uniquement.
Le centre de santé agréé par le gouvernement fédéral (FQHC) reçoit environ 100 000 patients par an, principalement issus de populations mal desservies. L’organisation a été fondée en 1985 sous le nom de Health Care for the Homeless Project.
«L’accès à la télémédecine audio a été essentiel pour fournir des services pendant la pandémie», explique le Dr Andrew Robie, directeur de l’information médicale de Unity Health Care et médecin de famille en exercice. « Beaucoup de nos patients n’ont peut-être pas accès à un appareil prenant en charge la vidéo, ne sont pas suffisamment familiarisés avec leur appareil pour avoir une visite vidéo, ou n’ont pas la bande passante ou le plan de données pour la vidéo. »
Selon Robie, environ les deux tiers des visites de télésanté de Unity Health Care pendant la pandémie étaient uniquement audio. Pour d’autres organisations, telles que les FQHC et les centres de santé communautaire en Californie, la télésanté uniquement audio représentait plus de 90 % de toutes les visites virtuelles.
Plusieurs projets de loi présentés au Congrès, tels que le CONNECT for Health Act de 2021 et le Ensuring Parity in MA et PACE for Audio-Only Telehealth Act de 2021, visent à éliminer les obstacles à la fourniture de services de télésanté et au remboursement de l’assurance au niveau fédéral. En outre, plusieurs États américains cherchent à rendre permanentes les allocations temporaires pour la télésanté uniquement audio qui ont été adoptées lors de l’urgence de santé publique COVID-19.
Une fenêtre sur la fraude et le risque d’identité
De manière générale, la télésanté uniquement audio pose un faible risque pour la confidentialité et la sécurité des organisations de soins de santé.
Les appels téléphoniques entre les fournisseurs et les patients sont conformes à la loi HIPAA tant qu’ils remplissent deux conditions : premièrement, le fournisseur ne peut pas autoriser l’opérateur téléphonique ou le fournisseur de services Internet à accéder ou à stocker les informations de santé protégées discutées lors de l’appel. Deuxièmement, le fournisseur ne peut pas partager les RPS qui existaient déjà sous une forme électronique juste avant l’appel (en d’autres termes, des informations sans rapport avec la raison spécifique de l’appel).
De plus, le Bureau des droits civils au sein du ministère de la Santé et des Services sociaux a indiqué qu’il n’imposera pas de pénalités pour non-conformité à la loi HIPAA « en lien avec la fourniture de bonne foi de la télésanté » pendant l’urgence de santé publique COVID-19.
Les meilleures pratiques de sécurité courantes peuvent être appliquées aux visites audio uniquement. Par exemple, les réseaux Wi-Fi sécurisés, les réseaux privés virtuels et Transport Layer Security maintiendront les données d’appel cryptées en toute sécurité en transit. La désactivation de fonctionnalités telles que la transcription automatique de la messagerie vocale peut garantir que les RPS électroniques ne sont pas partagés avec la mauvaise personne. De plus, tout appareil qui stocke les coordonnées d’un patient, en particulier un smartphone, doit être sécurisé pour empêcher la divulgation de RPS électroniques en cas de perte ou de vol.
Alors que les visites uniques peuvent faire l’objet d’attaques d’ingénierie sociale ciblées – par exemple, par quelqu’un essayant de voler l’identité d’un patient individuel – les visites audio uniquement ne représentent pas une menace à grande échelle, selon Jeremy Grant de la Better Identity Coalition.
« En matière de sécurité, nous parlons souvent d’attaques évolutives et d’attaques isolées », explique Grant. « Une attaque basée sur un mot de passe – lorsque quelqu’un s’introduit dans une base de données – c’est une attaque évolutive. Il y a une vulnérabilité mais beaucoup de données. La télésanté audio uniquement n’est qu’une discussion unique entre un patient et un médecin. L’opportunité d’attaques évolutives n’est tout simplement pas là.
Au-delà de la visite elle-même, la gestion des identités représente le plus grand risque potentiel. Les hôpitaux et les systèmes de santé doivent être prudents s’ils utilisent le même produit de gestion des identités sur plusieurs produits destinés aux patients, tels que la prise de rendez-vous ou l’accès aux dossiers de santé électroniques via un portail patient. De cette façon, la visite de télésanté uniquement audio pourrait donner accès à la couche de données sous-jacente d’un patient, explique Grant. Les organisations doivent être particulièrement prudentes maintenant que la loi CARES du 21e siècle permet aux patients de demander que leurs données soient partagées avec des tiers.
« Le problème, c’est lorsqu’une application demande l’accès à vos dossiers. Comment savez-vous que l’application ne se fait pas passer pour quelqu’un d’autre ? » Grant demande. « Les mots de passe ne suffiront pas. Vous devez vous concentrer sur la situation dans son ensemble. Les organisations doivent considérer l’identité de manière plus globale, au lieu d’utiliser des solutions ponctuelles pour différentes applications.
L’autre préoccupation de Grant est le potentiel de fraude. Dans le cadre de l’urgence de santé publique, les fournisseurs peuvent facturer les services d’évaluation et de gestion téléphoniques par tranches de 5 à 10 minutes, de 11 à 20 minutes ou de 21 à 30 minutes.
« Les organisations ont besoin de contrôles en place pour s’assurer qu’une visite de télésanté a vraiment été effectuée et qu’un fournisseur ne se contente pas de facturer une visite qui n’a jamais eu lieu », déclare Grant. De plus, les réclamations ne peuvent pas être soumises si d’autres codes de facturation s’appliquent à la visite audio uniquement, comme une discussion sur le plan de soins d’un patient ou la prestation de services de gestion des soins chroniques. Les systèmes qui vérifient la double facturation ou le codage pour un service facturé à un taux plus élevé sont essentiels, dit-il.
LIRE LA SUITE: Comment les exigences et les politiques de télémédecine changeront après la pandémie.
