五月2018

行业洞察:ROI供应商在费用上面临困惑
作者:Shannon B. Hartsfield
郑重声明
第30卷第5页

目前正在进行诉讼的一个案例突出了与提供受保护健康信息(PHI)访问相关的信息发布(ROI)供应商可能收取的费用方面的持续混乱。

今年1月，Ciox Health向美国哥伦比亚特区地方法院(案件编号1:18-cv-00040-APM)提交了一份针对埃里克·哈根(Eric Hargan, JD)的声明性和禁令性救济诉讼，后者当时是美国卫生与公众服务部(HHS)的代理部长。

在诉状中，Ciox要求声明和禁令救济，以阻止HHS执行其规定，限制ROI供应商提供包含PHI的记录副本的收费，特别是当记录将以营利为目的的律师事务所和其他第三方而不是患者个人时。

Ciox部分指出，“卫生与公众服务部的非法规定迫使医疗服务提供者承担国会从未考虑过的费用，并威胁到那些专门为医疗保健行业服务的医疗记录提供者破产，这些医疗记录提供者有效地——而且相当故意地——强制要求他们以净亏损的方式满足快速增长的PHI请求比例。”

背景
HIPAA和许多州的法律赋予患者获取某些被覆盖实体持有的PHI的权利。2009年的HITECH法案赋予个人有关PHI访问的新权利。具体而言，联邦法律规定以电子方式使用或维护PHI的受保护实体必须能够向个人提供该PHI的电子副本。受保护实体为提供电子副本而收取的费用“不得超过该实体响应副本请求的人工成本”。此外，《HITECH法案》赋予个人指示受保护实体将电子PHI副本传输给个人指定的实体或其他人的权利，只要该选择是“明确、明显和具体的”。

2013年，HHS发布了最终的综合规则，实施了HITECH法案的部分内容，包括其关于记录访问的规定。卫生与公众服务部表示，如果个人要求访问记录并要求将副本提供给第三方，则不需要授权表格。此外，联邦公报，第78卷，第5634页，卫生与公众服务部扩大了关于向第三方提供副本的规定，使其既适用于纸质记录，也适用于电子记录。

综合规则提供了关于在设置提供访问的费用时可以考虑的劳动力成本的详细信息。卫生与公众服务部指出，劳动力成本可能包括熟练技术人员创建和复制文件的时间。如果个人要求以便携式媒体形式提供电子副本，则实体也可以对相关供应(如闪存驱动器或CD)收取费用。但是，受保实体不得收取检索PHI的费用。

综合规则还包含有关PHI销售的规定。如果患者没有要求访问，但第三方根据患者授权要求PHI，则受保实体或商业伙伴只能收取“合理的、基于成本的费用，以支付为此目的准备和传输受保护健康信息的费用，或其他法律明确允许的其他费用”。

卫生与公众服务部指出，这笔费用可能包括直接和间接成本，包括检索PHI的成本，但“不允许从披露受保护的健康信息中收取利润的费用”。

商业伙伴和HIPAA责任
在综合规则的序言中，卫生与公众服务部提供了一份HIPAA条款清单，商业伙伴必须遵守这些条款，如果不遵守这些条款，商业伙伴可能会承担直接的监管责任。每联邦公报，第78卷，第5598-5599页，这些规定包括:

•不允许使用和披露PHI;

•未将违规行为通知受保实体;

•未能按照业务伙伴协议的规定，向个人(或其指定人)或承保实体提供PHI的访问权限;

•未能在合规调查中向HHS披露PHI;beplay最新备用网站

•未能妥善解释信息披露;和

•未能遵守HIPAA安全规则要求。

卫生与公众服务部指出，商业伙伴也将对商业伙伴协议的其他条款承担合同责任。卫生与公众服务部表示，对于商业伙伴，“无论承包商和分包商是否签订了必要的商业伙伴协议，都将根据HIPAA规则承担直接责任。”

记录查阅指引
执行HIPAA的民权办公室(OCR)在其网站上详细说明了PHI副本的可允许收费。OCR的指导方针指出，虽然个人可以为其PHI副本收取费用，但费用可能仅包括邮费、耗材和某些人工成本。与审核请求、检索和定位PHI以及准备PHI以备复制相关的成本可能不包括在内。

唯一允许的人工成本是“按照个人要求的形式和格式创建和交付电子或纸质副本”的成本。向个人收取的访问其自身PHI的费用不得包括与将该功能外包给第三方相关的管理和其他费用。

OCR提供了关于如何计算许可费用的详细指导。该指南创造了一种安全港，指出如果受保实体不想经过计算平均或实际允许成本的过程，则受保实体可以选择收取不超过6.5美元的固定费用。然而，OCR已经明确表示，6.50美元并不是可能收取的最高金额。

Ciox案
尽管HHS之前指出，商业伙伴可能会被发现对非法使用和披露PHI负直接责任，并且未能按照商业伙伴协议的规定提供访问权限，但最近HHS关于诉讼的声明提出了有关商业伙伴责任范围和HHS对商业伙伴的执法权力的问题。

Ciox的投诉称，“绝大多数”美国医院都与ROI供应商签订了合同，由于提供PHI访问的复杂性和所涉及的成本，HHS的行为“可能会破坏美国的医疗保健系统，增加患者的医疗保健成本，给数百万美国人带来可怕的后果。”

卫生与公众服务部部长、法学博士亚历克斯·阿扎尔(Alex Azar)于4月2日提交了一份驳回该案的动议。卫生与公众服务部辩称，Ciox“不受其所挑战的规则和指导方针的约束。”卫生与公众服务部指出，Ciox与其服务的受保实体可以就Ciox从受保实体收到的付款进行协商。卫生与公众服务部表示，当它限制受保实体可能向个人收取的费用时，它并没有对商业伙伴施加义务。

HHS还表示，OCR网站上关于记录访问收费的指导“对任何受保实体都没有约束力”，但“HHS继续坚持这一观点”，即限制寻求PHI访问的个人收取副本费用的规则。卫生与公众服务部表示，“隐私规则和指南中受到质疑的条款都只适用于受保护的实体，这是一种单独的企业类别。”

事实上，卫生与公众服务部表示，它“不能对Ciox就其对PHI的个别请求收取的费用采取强制行动”，而且“Ciox对未能遵守相关规定不承担责任”。

该动议提出了几个有趣的论点，这些论点可能会导致卫生与公众服务部对商业伙伴的管辖权的混淆，这些商业伙伴从事的活动如果由受保护实体执行，就会违反HIPAA。卫生与公众服务部在驳回动议中的声明似乎与综合规则序言中的措辞相冲突，该规则称，商业伙伴可以对不允许使用和披露PHI等行为负直接责任。

似乎使用PHI来收取不允许的费用，或者披露这样的PHI伴随着不允许的费用，将是一种违反。此外，45 C.F.R.§164.504(e)(2)(ii)(H)规定，业务伙伴协议必须要求业务伙伴遵守适用于受保护实体的隐私规则的要求，只要此类功能已被授权给业务伙伴。

Ciox于5月2日提交了备忘录，反对卫生与公众服务部的驳回动议，并提交了一份要求即决判决的交叉动议。Ciox称，卫生与公众服务部在这种情况下无法对商业伙伴采取执法行动的说法“令人震惊”。Ciox引用了2013年综合法规序言的部分内容，其中明确指出，卫生与公众服务部认为，《隐私规则》对受保护实体使用和披露PHI信息的限制将自动延伸至商业伙伴。

结论
Ciox案的结果还有待观察。同时，受保实体和业务伙伴应审查OCR提供的有关PHI访问收费的详细指导。即使商业伙伴不会因为向要求访问PHI的个人收取不允许的费用而受到HHS的强制行动，但很明显，受保护的实体仍可能受到此类强制行动的约束。因此，所涵盖的实体在构建ROI安排和审查拟议的费用结构时应谨慎行事。

Shannon B. Hartsfield是一名医疗保健律师，其执业重点是公司合规性，特别是在监管和数据隐私领域。beplay最新备用网站她是佛罗里达州法律专业和教育律师委员会的健康法委员会认证。她为客户提供州和联邦事务方面的咨询服务，包括内部调查、HIPAA和数据隐私、数据泄露、知情同意、基因检测、长期护理、欺诈和滥用、许可、紧急医疗和劳工法案、电子病历和处方药分销。