二零零九年八月十七日

迎接变化- ARRA为ROI请求增加了新的挑战
伊丽莎白·s·鲁普著
郑重声明
第21卷第16期，第10页

确保你的组织符合联邦要求将变得更加复杂。

HITECH法案将做的不仅仅是激励HIT的采用。2009年《美国复苏与再投资法案》(ARRA)的这一关键部分包含了HIPAA的变化，这些变化扩大了隐私权，并增加了惩罚和执行条款的力度——所有这些都将为信息发布(ROI)过程增加新的复杂性。

提供共享服务、投资回报率和审计跟踪技术的MRO公司总裁兼首席运营官斯蒂芬•海恩斯表示:“在如何应对这些新条款方面，人们仍在努力接受整个ARRA计划。”“有些细节是显而易见的，而其他细节则被埋在条款中，行业仍在努力挖掘。”

PHI披露的会计处理
HITECH对HIPAA最明显的变化涉及受保护实体和/或其业务伙伴披露受保护的健康信息。但即使是在这一点上明显的变化也带来了更多的问题而不是答案。

根据HITECH法案，患者将有权通过电子病历获得PHI披露的完整账目。以前，付款人、提供者和其他受保实体不需要为治疗、付款和操作的披露负责。

“会计是患者的权利之一，所以这实际上是为了扩大这些权利，”Lathrop & Gage LLP的健康法律律师朱莉·罗斯(Julie Roth)说。“你的软件或电子病历产品应该具有审计功能，这样你就可以回头查看特定患者记录的所有披露信息。它强调了拥有一个良好的审计功能的重要性，这个功能能够捕获披露信息，并确保您可以轻松地生成对用户友好的审计报告。”

对一些人来说，对扩大披露要求的会计处理的担忧更多的是后勤方面的，而不是技术方面的。是否每一项披露都需要报告，甚至是员工的内部访问或向注册中心报告信息?

进一步说，这将如何影响必须处理的请求量?如果假设所有供应商都有电子病历，修订是否意味着ROI请求必须实时处理?最后，由于电子病历部分由政府资金资助，这种扩展是否会影响设施和供应商收取费用以支付投资回报率成本的能力?

医疗保健咨询公司First Class Solutions, Inc .首席运营官、注册会计师Rose T. Dunn表示:“目前，适用于该法案的法规正在制定中，所以这还悬而未决。”“随着细节的展开，我们可能会看到澄清文件，说明如果你收到了电子病历的刺激激励付款……当病人从系统请求副本时，你不能收费。”这将对ROI行业和内部ROI服务产生巨大影响。”

然而，在负责管理ROI的人员中，引起最大恐慌的并不是信息披露、工作流关注、甚至是实时ROI的潜力的扩展。相反，这是要求他们遵守病人的要求，限制披露与个人自费的治疗或其他服务有关的PHI。

此前，HIPAA允许受保机构拒绝患者限制披露与自费服务相关信息的请求。然而，现在，如果病人支付手术或检测费用，而不是提交保险索赔，他们有权限制披露与这些服务有关的任何信息。

对于ROI专业人员来说，挑战将是有效地从不能公开的信息中分离出可以公开的信息。

“如果病人不想透露住院期间的部分护理，你该怎么做?”如何将病人想要继续支付的部分报告给付款人而不被指控为欺诈?MBA、CHPS、FHFMA、AHIMA政策和政府关系副总裁丹•罗德(Dan Rode)问道。“事实是，(在医院环境中)有如此巨大的潜在服务组合。哪些是与请求一致的?制定这个流程是可行的，但它将真正引起关于如何在组织内处理它的大量讨论。很多需求还没有被定义。希望一切结束后，我们能有个清晰的画面。但今天，我们没有一个清晰的画面，有一些有趣的选择。”

beplay最新备用网站对于ROI外包公司来说，遵守患者限制访问的权利可能是一个更大的挑战，因为它们通常依赖于客户机构来规定可减轻的情况和特定的患者授权。

“如果患者自费进行了某项手术或治疗，但没有向保险公司提出索赔，保险公司无权获得该记录。我们应该自然而然地知道。当然，这在程序上是不可能的除非医院告诉我们。如果请求中提到‘任何和所有记录’，我们只能依赖提供商提供给我们的内容，”外包投资回报率和技术提供商HealthPort的总法律顾问兼合规官简·麦克戴维(Jan McDavid)说。beplay最新备用网站

最后，HITECH法案还要求使用电子病历的相关实体提供方法，如果请求者希望的话，可以通过电子格式提交和接收ROI请求。虽然从表面上看这似乎是合理的，但它提出了一个问题，即在混合环境中该怎么做。

虽然有些人期望只有那些已经数字化的部分记录才需要以电子方式提供，就像HITECH法案的大部分内容一样，澄清是必要的。

“是只有病历的电子部分被数字化，还是(医疗服务提供者)必须扫描(纸质部分)?”它看起来像任何可以理解的东西吗?这些都是必须回答的问题，因为混合模式，”罗德说。

加强执法及罚则
除了扩大患者的隐私权和披露的会计之外，HITECH法案中的规定还加强了对违反HIPAA的行为的执行和处罚。

此前，根据HIPAA的隐私和安全标准，每次违规最高民事罚款为100美元，一年内所有类似违规最高罚款为25,000美元。一些不实披露还会受到司法部(Department of Justice)的刑事起诉，并可能面临最高25万美元的罚款和最高10年的监禁。

然而，根据HITECH法案，将有四个级别的处罚:

•如果违规行为不是故意的或在违规者不知情的情况下发生，则每次违规罚款100美元，最高罚款为日历年25,000美元。

•如果违规是由于合理原因，但不是故意疏忽，则每次违规的罚款为1,000美元，最高为日历年的100,000美元。

•当违规行为是由于故意疏忽，但被组织纠正时，每次违规行为的罚款最低为10,000美元，所有相同违规行为的罚款每年最高为250,000美元。

•如果违规行为是故意的，并且没有被组织纠正，则每次违规的罚款最低为50,000美元，在日历年内不超过150万美元。
刑事处罚也扩大到不仅适用于所涉实体，而且适用于个别雇员。此外，受损害的个人也有权分享民事诉讼造成的损失。

HITECH法案赋予各州的权力也令人担忧。“根据新规定，每个州的司法部长都将被赋予起诉违规行为的权力，”麦克戴维说。“我们认为这是一个问题，因为它把政客也牵扯进来了。如果有人竞选司法部长，而他们的居民抱怨违反了保密规定，他们可以直接起诉，而不是让政府先进行调查。如果他们成功了，法院可以免除国家的诉讼费;所以他们几乎没有什么不利因素。”

在违反无担保PHI的情况下，有关通知的法律也在HITECH下得到了加强。以前，受保护的实体不需要将数据泄露通知个人，但现在，它们必须在发现数据泄露后60天内通知个人。

新法律还影响到商业伙伴，当发现违规行为时，他们将被要求通知所涵盖的实体。他们还必须直接遵守隐私和安全标准，并对违规行为进行处罚。beplay最新备用网站

预计将于9月生效的违规通知要求“肯定会增加投资回报率过程中保障措施的重要性”。这将增加保持诚信的重要性，”罗斯说。“对于参与ROI流程的人员来说，勤奋地确保他们向正确的人员或实体发布正确的信息，并确保他们有正确的授权来这样做，这增加了重要性。否则，他们会考虑不得不发出违规通知的可能性。”

为不可避免的事情做准备
尽管仍有许多问题有待解答，但医疗保健组织及其ROI外包合作伙伴现在应该努力确保他们为HITECH法案不可避免的影响做好准备-从了解新法律开始。

邓恩说:“如果他们还没有读过相关规定，他们绝对需要这么做。”“我知道，每个HIM主管都有成堆的文书工作要处理，都在救火，但他们需要留出几个小时的时间来确保他们对法规有很好的了解，然后评估这对他们的组织意味着什么。”

邓恩建议利用各种组织举办的许多音频会议和网络研讨会，向与会者介绍HITECH法案。虽然可能会有一些相互矛盾的信息和解释，“只要有共同的信息，你就会知道它可能是事实，”她说。

组织还可以评估现有的业务伙伴协议，以确定是否以及如何更新它们以符合新的法律。

除了违规通知外，业务伙伴现在将直接受到HIPAA的监管，要求遵守安全要求，并受到与所涵盖实体相同的违规处罚。因此，业务伙伴协议更有可能需要修改以确保遵从性。beplay最新备用网站

麦克戴维说:“人们采取观望的态度，因为他们不想在协议中记住一些不是政府本意的事情，但我建议他们现在就开始考虑这件事。”

最后，组织应该准备为那些管理ROI过程的人员提供适当的培训，这既是对当前遵从性需求的复习，也是对任何新的授权的复习，一旦它们最终确定并澄清。beplay最新备用网站

罗斯说:“如果我是一名隐私官，我会拿出所有的HIPAA隐私和安全政策，并研究HITECH的新要求，找出它与现有政策相适应的地方……并考虑改进培训计划。”“他们已经大大扩大了处罚力度，因此企业将希望确保员工明白，这不是他们可以掉以轻心的事情。”

——伊丽莎白·s·鲁普来自佛罗里达州坦帕市。专门从事医疗保健和HIT的自由撰稿人。

下一期的郑重声明，作家伊丽莎白S.鲁普研究了HITECH法案如何改变整个医院的HIPAA策略。新规定将如何影响执法、违规通知、业务伙伴和加密?

为RAC做准备
尽管HITECH法案下的监管变化引起了业界的极大关注，但医疗保健组织也在为恢复审计承包商(RAC)计划在全国范围内的推出做准备。具体来说，信息发布(ROI)专业人员正准备管理预期的记录请求高峰。

“虽然RAC过程中有很多未知因素，但从投资回报率的角度来看，这是直截了当的。该行业已做好应对的准备。唯一的问题是这个数字会有多大，”MRO Corp.总裁兼首席运营官斯蒂芬•海恩斯表示，“销量会大幅增长还是小幅增长?这将因医院的不同而有所不同，这取决于rac所关注的内容，也会因地区的不同而有所不同，这取决于病例的混合情况和一系列其他因素。但严格从发行角度来看，我们并不是在重新发明轮子。”

根据HealthPort的收入周期产品经理Lori Brocato的说法，rac每45天就可以从医院请求每个国家供应商标识符多达200条记录。根据执业规模的不同，每隔45天就可以要求医师提供每组10到50个国家提供者标识符的记录。然后，提供商有45个日历日的时间提供记录或请求延期。

问题是很难用任何一致性来衡量请求的确切数量。例如，一个有20名医生的诊所，有4个地点，每个地点都有不同的集团国家提供者标识符，可能每45天就会收到100条记录的请求。

布罗卡托说:“如果他们知道自己在某些方面有风险，他们就能看到自己在过去几年里有多少病例，从技术上讲，他们就能想出某种计算方法。”

在内部处理ROI的设施可能最容易受到RAC请求的影响。这些组织将受益于对现有流程和技术的评估，以确保它们不仅能够处理请求的增加，而且能够跟踪RAC请求以确保遵守。beplay最新备用网站

Hynes指出，有新的软件和服务模式可以提供帮助，而尚未这样做的医院可能会从外包部分投资回报率中受益，作为管理RAC响应溢出的一种方式。这可能是以共享甚至远程服务的形式来解放内部员工。

“对于那些外包投资回报率的公司来说，处理额外的工作流程将是他们的外包供应商的责任，”他说。“在内部处理投资回报率的医院将不得不自己吸收(增加的数量)。他们可能想要查看自己的流程并进行调整，其中一部分可能是找到一家能够为他们提供某种程度帮助的公司来处理他们发布流程的某些部分。”

最后，对流程的监督至关重要，即使外包给服务提供商也是如此。因此，管理信息系统主任应明确定义响应过程，直至打印纸质、电子和/或混合记录中的每个文件的方向和位置。

为响应初始请求而提供的记录必须完整。这包括确保所有基于纸张的记录内容都被复制并与电子内容一起提交，无论是用于初始响应还是任何申诉。此外，如果法律记录在纸上而不是电子上记录了医生的签名，则应提交纸质版本，而不是任何可能在没有签名的情况下以电子方式存储的转录报告。

“即使医疗机构与投资回报率服务提供商签订了合同，这也不是一个不需要投资回报率管理监督的活动，”Rose T. Dunn说，他是注册会计师、注册会计师、FACHE、First Class Solutions, Inc.的首席运营官，“你绝对需要在这里进行监督。你只有一次机会提交信息。如果你有一个混合[记录]，而你忘记复印纸张或打印电子部分，你就会处于损失的一方。你的ROI人员必须非常谨慎，他们必须接触到所有可能存储信息的地方。”

- - - - - - ESR