9月2019

要避免的八个ROI失误
作者:Lisa A. Eramo, MA
郑重声明
第三十一卷第八页

发布信息需要灵活的行动。你的团队是有漂亮的步法还是两只左脚?

故事是一样的，只是人物变了。有人想要一份病历的副本，而且要越快越好。这个“某人”可以是使用这些信息来改善健康状况的病人，可以是使用这些信息来衡量质量的付款人，可以是使用这些信息来支持诉讼论点的律师，也可以是使用这些信息来收集见解甚至推动利润的许多其他实体。

随着HIPAA法规的不断发展，信息发布(ROI)过程比以往任何时候都更加复杂。ROI人员必须在指定的时间范围内从多个系统检索记录，同时跟踪他们披露了哪些信息以及向谁披露了这些信息。

Verisma的创始人兼执行副总裁安德鲁·l·麦克马纳斯(Andrew L. McManus)说:“过去非常简单的复制服务已经变得复杂得多。”“你需要能够真正梳理信息，为每个请求找到正确数据点的主题专家。”

专家们一致认为，考虑到ROI的复杂性，很容易犯错误。本文讨论了8个常见的错误以及如何避免它们。

1.超过规定的30天周转时间
根据HIPAA综合规则，受保护的实体必须在30天内对受保护健康信息(PHI)的请求采取行动(如果适用延期，则为60天)。唯一的例外是当州法律更严格时，在这种情况下，被覆盖的实体必须遵守这些法律。

雇佣足够的员工——或者将ROI流程外包给供应商——是至关重要的，因为组织必须在收到请求时迅速采取行动，Lesia Peck说，她是宾夕法尼亚州塞勒斯维尔大观医院的HIM经理，MS, RHIA, PMP, CHDA, CHPS, CPHIMS。“这是我们选择外包的原因之一，”她说。“由于新规定的严格规定，我们希望及时公布我们的记录。”

派克说，与供应商合作可以让企业始终如一地满足30天的周转时间，即使是在需求突然激增的情况下。

2.释放比“最低必要”更多的东西
HIPAA的最低必要要求指出，所涵盖的实体应仅发布完成特定使用、披露或请求的预期目的所需的信息量。

派克说，企业一直在努力满足这一要求，因为他们忽略了一些基本的东西，比如让请求者选择确定具体的日期，而不是整个记录。她指出:“你需要了解请求者想要什么，然后只提供他们要求的东西。”

Record Reproduction Services的首席执行官扎卡里·佩里(Zachary Perry)说，付款人审计尤其棘手。他说:“我们谈论的数据是我们国家监管最严格的一些数据。”“我们花了大量的钱在这些数据周围建立一个边界，以确保它的安全。”

他补充说，向付款人提供进行审计所需的最低限度的信息——仅此而已——是至关重要的。

麦克马纳斯说:“挑战在于对这一过程没有适当的控制——不知道你发送了哪些患者信息来回应这些审计，或者没有一个有效的审计批准程序。”“当收到请求时，有什么制衡措施来确保正确使用患者信息?”

Barry S. Herrin, CHPS, FAHIMA, FHIMSS, FACHE, Esq是亚特兰大Herrin卫生法的律师，他同意这一观点，并补充说，一些组织为了提高质量而自动向支付者发布信息，即使支付者在没有明确的患者授权的情况下可能无权获得这些信息。

赫林说:“如果你没有因为满足某些质量要求而得到赔偿，那么向保险公司发布额外信息在技术上可能不属于TPO(治疗、支付和运营)的范畴。”他指出，最好的做法是在隐私实践通知中获得患者的许可，或者让付款人在登记过程中承担获得患者许可的责任。

3.拥有分散的ROI流程
McManus说:“集中的ROI方法支持更大的问责制和透明度，随着越来越多的实体寻求访问PHI，这两者都很重要。”集中化可能意味着使用外部供应商来处理所有请求，或者建立一个内部部门来处理系统范围内的所有请求。无论哪种方式，组织都必须能够回答以下五个问题:

•向谁或什么实体披露了PHI ?
•为什么披露PHI ?
•PHI是何时披露的?
•披露了哪些具体的PHI ?
•谁披露了PHI?

佩里说，随着医院不断获得医生实践，拥有一个集中的ROI流程非常重要。“在医生的实践中，工作人员要平衡各种任务，”他说。“他们可能没有接受过最新的合规培训，而且他们可能不是有资格的信息发布beplay最新备用网站专业人员，而这些专业人员了解所有规则和这些规则的细微差别。这可能会给组织带来潜在的风险。”

Perry说，对门诊记录的ROI请求是独特的，因为它们可能跨越多个日期、多个提供者和多个电子病历，而对住院记录的请求通常需要访问单个电子病历中定义的单个住院(具有明确的开始和结束日期)。

集权化的另一个原因?佩克说，这有助于确保整个卫生系统在组织对副本收费方面的一致性。

4.限制对患者披露的会计处理
根据HIPAA综合规则，承保实体必须向患者提供过去六年内所有第三方请求的披露账目，但以下披露类型除外:

•以TPO为目的;
•患者和患者的个人代表、朋友或家庭成员;
•根据患者的授权;
•作为有限数据集或设施目录的一部分，或作为附带披露的一部分;和
•向执法部门、惩教机构(在某些情况下)或出于国家安全目的。

披露的会计处理确实需要包括以下内容:

•政府规定的报告(例如，出生和死亡、传染病、癌症和其他登记、家庭暴力和虐待、事件报告、政府出院和其他规划数据库);

•根据机构审查委员会或隐私委员会的豁免进行的研究(例如，如果个人没有签署授权);和

•业务伙伴披露的与治疗、付款和保健业务无关的信息。

佩克说，一些组织无意中遗漏了本应作为会计的一部分的信息披露，尤其是那些传票、法院命令和联合委员会要求的信息披露。

麦克马纳斯表示，尽管受保护实体不需要追踪TPO的披露情况，但它们可能需要开始考虑如何处理这项任务，尤其是在一个投资回报率问责制更加严格的时代。他说:“供应商要在整个企业中捕捉这种活动，这将是一项巨大的责任。”

5.忽视全额自费患者提出的限制
根据HIPAA综合规则，全额自掏腰包的患者可以指定他们不希望他们的提供者向他们的付款人报告信息。赫林说，这包括纳税人要求审计记录的情况。他补充说，组织必须能够将电子病历中的记录标记为“隐私保护，全额付款”，这样这些记录就不会被披露。

6.不区分患者和第三方的要求
做出这种区分有助于组织正确地为满足记录请求收费。HIPAA要求保险实体向患者收取合理的基于成本的费用，其中仅包括与满足请求相关的某些人工、用品和邮费。如果组织不想计算这个数额，他们可以收取6.5美元。但是，他们可以向第三方收取州法律允许的最高费用。

民权办公室(Office for Civil Rights，简称OCR)最近的指导意见使情况变得更加混乱，因为它指出，合理的基于成本的费用限制适用于“无论个人是否要求将PHI副本发送给自己，还是指示受保实体将副本直接发送给个人指定的第三方(第三方是谁并不重要)。”

然而，该指南继续声明，“如果第三方在个人的HIPAA授权下(或根据隐私规则中另一个允许的披露条款)以自己的名义发起PHI请求，则访问费用限制不适用。”

麦克马纳斯说:“该指导方针继续在整个行业造成混乱。“许多第三方实体，特别是那些代表患者的实体，已经将这一指导解释为任何请求，无论目的如何，都将被视为患者访问请求。这包括标准的第三方请求，并附有患者签署的符合hipaa的授权表格。”

他说，这可能不是OCR的本意，并引用了指南中指向医疗保健相关场景的几个例子(例如，一名患者要求将她的出院摘要副本发送给她的初级保健医生，或者一名患者要求她的妇产科医生将她最近一次产前检查的记录以数字方式传输到她手机上的一个新的怀孕自我保健应用程序中)。

麦克马纳斯说:“问题是，这一切都导致了在全国范围内如何处理记录请求的严重不一致，导致了经济上的差距，即某些请求第三方以不同的财务规模获得患者记录。”

MRO副总裁兼总法律顾问、高级绅士丹妮尔·韦斯利(Danielle Wesley)对此表示赞同。她说:“律师们辩称，他们代表的是病人，但这绝不是病人接触的目的。”“ROI公司正在尽最大努力解决这个问题，但问题出在检索公司和律师身上，他们一心想把记录用于商业目的。他们想以折扣价获得记录，为了达到这个目的，他们正在操纵系统和OCR指导。”

韦斯利说，律师并不是唯一向第三方提出要求的人，他引用了数据聚合商和记录检索公司的例子，这些公司以一种价格获得记录，然后以更高的价格将这些信息转售给其他使用这种做法的人。

韦斯利说，记录检索公司完全绕过HIM部门，直接找合规和法律部门，这种情况并不罕见。beplay最新备用网站希望这些其他部门能对他的工作人员施加压力，要求他们提供记录。

“操纵系统的人正在接受如何操作的培训，”韦斯利说。“需要向卫生保健世界和卫生系统中的每个人提供培训，以应对这种情况。”

她说，在任何人有机会回应请求之前，第三方实体以OCR投诉威胁组织的情况并不罕见。“与其让律师或记录检索公司连续几周打电话来骚扰你的员工，最好的办法是联系OCR，让他们处理这个问题。”这是唯一能在OCR之前解决这个问题的方法，”韦斯利说。

Perry表示，油气行业需要OCR为第三方实体提供明确的定义。这个定义真的是无限的吗，还是只包括与医疗保健相关的实体?

与此同时，如果对请求的真实性有疑问，ROI的工作人员可以联系患者并询问几个问题进行澄清，MRO隐私、合规和HIM政策副总裁Rita Bowen (MA, RHIA, CHPS, CHPC, SSGB)说。beplay最新备用网站例如，考虑以下内容:

你批准这个请求了吗?

•您是否了解我们将发布包括临床和财务信息的指定记录集?

•您是否了解第三方实体将如何使用您的数据?

•您是否知道第三方实体会保护您的数据?根据HIPAA，他们不需要这样做。

佩里说:“受保护的实体和商业伙伴受HIPAA的约束，但任何不在这把保护伞之外的人都不受HIPAA的约束，规则开始改变。”“他们没有同样的义务和责任。我认为并非所有患者都明白这一点。”

7.忽视病人门户
专家们一致认为，门户网站为快速向患者发布信息提供了途径。但是，在使用门户时，组织应该遵循以下最佳实践:

•加密门户。这似乎是显而易见的，但Herrin说，一些组织忘记或错误地认为，因为电子病历是加密的，门户会自动收到相同的保护。

•整合门户。随着组织变得更加集成，可以存在多个门户(例如，一个用于医院，一个用于紧急护理中心，一个用于医生实践网络)。McManus说，迁移到具有强大功能的单一门户(例如，虚拟订购和接收记录的能力)从安全角度降低了复杂性，并增加了改进的自助服务患者体验。他说:“这一切都要追溯到控制管理和患者使用的便利性。”

•获取并保留代理表格。“这允许你验证访问个人记录的授权，”Peck说。

8.忽略关键性能指标
Peck表示，建立kpi可以帮助组织在HIPAA合规性和周转时间方面保持正轨。beplay最新备用网站她补充说，他们还提供了投资回报率人员配置和预算方面的见解。

Peck建议实施以下kpi:

•每月全系统请求总数和设置(例如，医院与医生实践);

•每月来自患者与第三方实体的请求总数;

•每月来自医疗保险与商业支付者的请求总数(包括特定支付者的细分);和

•按请求类型划分的周转时间(例如，患者个人使用vs护理连续性vs法律请求vs保险请求)。

Perry说，避免这八个投资回报率失误有助于组织确保合规，同时满足患者的需求。beplay最新备用网站“生态系统中的每个人都应该尽自己的一份力量，确保信息尽可能自由地流动，但要以一种合规和安全的方式流动，”他说。

- Lisa a . Eramo, MA，罗德岛克兰斯顿的自由撰稿人和编辑，专门研究HIM，医疗编码和医疗保健监管主题。