美国联邦贸易委员会在爱达荷州医院-医师收购案中的胜利应该是对未来和过去交易的警醒

Editor’s Note: This post originally appeared 上 贝克·Hostetler’s 反托拉斯倡导者 blog.

爱达荷州联邦地方法院要求圣卢克卫生系统(“圣卢克氏”)撤销对Saltzer Medical Group(“ Saltzer”)的收购的墨水仍在干燥。该专业小组由位于爱达荷州南帕市的大约44位医师组成。但是考虑到将来要收购医师团体的医院以及联邦贸易委员会可能认为未能兑现其在不提高价格的情况下改善医疗服务的承诺的医院,最好引起注意。

尽管有两家竞争对手的医院表示反对,而且联邦贸易委员会(FTC)和爱达荷州(Idaho AG)多次要求延迟交割,以便双方各自完成交易,但圣卢克在说服联邦地方法院法官允许交易继续进行后,于2012年12月结束了对Saltzer的收购。交易调查。正如我们 遮盖的,圣卢克的两名竞争对手提起诉讼,要求阻止交易完成。2013年3月,联邦贸易委员会(FTC)和爱达荷州爱达荷州(Idaho AG)提出诉讼,要求撤销该交易,从而加入了这场战斗。

重要的是,法院发现“随着合并后的实体获得市场支配地位,医疗保健成本很有可能会上升,这将使其能够(1)从健康保险计划中协商更高的报销率,并将其转嫁给消费者。 ,以及(2)将辅助服务(如X射线)的费用提高到更高的医院开票率。”尽管法院“赞扬”圣卢克为改善医疗质量所做的努力,但它认为,如果没有更高的报销率和增加的辅助服务费用,没有完全合并的替代安排也可以实现同样的改善。法院只发表了简短的意见。在法院解决保密问题并发表其完整意见后,将可获得其他见解。

美国联邦贸易委员会(FTC)在爱达荷州取得的胜利,为什么会给未来和过去的医院医师交易敲响警钟?首先,法院的调查结果清楚地表明,联邦贸易委员会在医院合并案中表达的损害理论(交易可以通过健康保险计划提高议价能力,从而提高报销)完全适用于医师收购案,并且至少强调了医院系统可以提高交易后费率的一种方法-将价格较低的医师提供的辅助服务转移到更高的医院开票率。 (转移到更高的医院开票率被视为向获得的医师提供更高补偿的一种手段。)其次,法院认定“还有其他方法可以实现与反托拉斯法相同的[改进]。明确规定,如果拟议中的交易很可能引起竞争关注,则需要考虑收购后缺乏雇用医师的从属关系模型。

更重要的是,FTC的胜利进一步支持了FTC主席伊迪丝·拉米雷斯(Edith Ramirez)去年夏天提出的要求,即FTC启动 回顾性审查 已完成的医疗保健提供者交易。在关于对合并交易中的机构决定进行回顾性分析的座谈会上,她强调了FTC从其第一次医院合并回顾中学到的内容,即FTC需要“改变”其应对横向医院合并挑战的方法。美国联邦贸易委员会(FTC)修改后的方法“现在强调合并如何使保险人(医院服务的直接付款人)离开网络,几乎没有其他选择,增加合并医院的议价能力,并导致更高的价格。”这种新方法的结果,首先是 埃文斯顿 根据主席拉米雷斯(Ramirez)的说法,2007年的案例是“一个成功的连胜,现在包括三个成功提起诉讼的合并挑战,以及越来越多的FTC威胁质疑后放弃的医院交易清单。”如上所述,这种改进的方法在FTC击败圣卢克的过程中发挥了核心作用。

由于医疗保健“仍然是机构的头等大事”,女主席拉米雷斯建议,更新的提供商医疗保健合并回顾展即将到来。但是,这种回顾性焦点在哪里?

主席拉米雷斯(Ramirez)认为,通过更仔细地研究具有“重大垂直要素”的组合所产生的效果,将会获得很多收益。她说,检查的领域将包括医院获得医师实践对不同专业的医师整合的影响。她说,联邦贸易委员会听到“越来越多的担忧”,其中涉及“在非重叠产品或地理市场中的供应商合并”,这可能导致价格上涨。这些组合可能包括,例如,“中心城市医院在边远地区收购较小的医院,或者普通急诊医院在收购儿童医院的资金。”据主席拉米雷斯说,“初步的经济证据表明,这种整合所带来的危害(通常不是我们要挑战的危害)可能是真实的和严重的。”

美国联邦贸易委员会(FTC)在爱达荷州的胜利以及其他更多内容将是2月26日美国东部时间下午12:30 –下午1:30 EST举行的长达一个小时的网络研讨会的焦点,该研讨会名为“从FTC调查和医疗保健提供者交易中吸取的教训”。我们希望您能与FTC前专员Pamela Jones Harbor和BakerHostetler反托拉斯业务的其他成员一起,深入了解FTC对医院和医生交易的调查。网络研讨会的主题包括:

  • 来自前FTC专员的见解在委员会期间参与了近30次医疗保健执法行动
  • 美国联邦贸易委员会对提供商交易的调查和挑战的最新统计数据
  • 可能触发FTC进行调查的因素
  • 可能带来来自FTC的直接挑战
  • 医疗保健提供者在考虑交易时可以采用的步骤和策略,以最大程度地减少FTC调查或质疑的可能性

您可以通过单击注册此事件 这里.

服用两个阿司匹林并在早上打电话给我:避免与ACO发生劳资关系头痛

问责护理组织(ACO)承诺,当ACO更经济有效地提供高质量的医疗保健服务时,可以实现共同节省。毫无疑问,ACO将改变医疗保健提供者开展业务的方式。但是,对于拥有工会的雇主而言,如果雇主无法执行必要的运营变更,则ACO的承诺将会失效。对于非工会雇主,ACO可能会为工会组织带来新的漏洞。本文的目的是预见潜在的麻烦点,并在医疗保健雇主进入ACO世界时规定预防措施。

告诉我哪里受伤

ACO的前提是,通过合力,医疗保健提供者可以降低成本并改善结果。因此,例如,医院可以与家庭医疗保健提供者协调护理的提供,以确保患有慢性但可控制病情的老年患者按照处方服用药物,并享有健康的生活方式。或者,医院和医师小组可以对门诊,非紧急服务以更低的成本共同负责。如果ACO成功,则可能有权与Medicare共享储蓄。

以下是ACO潜在的劳资关系问题点的示例:

  • 工会医院可能希望为其ACO的非工会伙伴的员工提供指导。这会成为不工会的伙伴吗’员工医院员工(即可能是讨价还价部门的一部分)?
  • 如果医院和ACO都有从事类似工作的员工,并且医院将患者送往ACO以提供低成本服务,那么讨价还价单位的工作分包吗?
  • 医院可能会更改职务说明,或者可能希望拥有更灵活的职务说明,以提高人员配备效率。这是否会构成员工工作条件的可商议的变化?
  • 工会可能要求增加工资或奖金,以允许工会雇员参加Medicare共享储蓄计划。雇主可能希望摆脱经典的薪酬结构-逐步增加,逐步补偿和转移差异-以奖励更好的患者结果和/或跨工作类别的协作。这些利益可以得到满足吗?
  • 医院员工’通过与非工会医院员工进行更频繁的互动,其合作伙伴可能容易组织起来。

Rx:预防保健

对于所有这些潜在的疾病,预防护理是最好的治疗方法。

对于工会雇主,员工变动’工资,工时和其​​他雇用条件(例如员工评估和纪律)通常在讨价还价的范围内。雇主在做出决定之前是否有义务与工会进行讨价还价,还是仅就决定的效力,或两者兼而有之,取决于特定的事实和情况。例如,推动变化的是什么?集体谈判协议(CBA)对雇主有何看法’的单方面更改权?

用人单位应在讨价还价之前预期需求并制定策略。例如,如果由于运营变更而要求员工履行新职责,则更改职务的决定可能无法商定,但工会有权要求就员工评估或与员工有关的纪律进行讨价还价。新职责。雇主可能想提供宽限期,或者“ramping up”期间或对员工进行额外培训,并且应在其实施时间表中留出足够的时间以使这种情况发生。

此外,随着CBA开放谈判,雇主可能会讨价还价以获得更大的管理权,采用工作规则或修改职位描述的更大自由度以及将谈判单位工作分包的能力。借助CBA中的这种语言,工会可以放弃其就议价范围内的决定进行议价的权利。因此,例如,雇主可以要求更改工作类别的资格或提高生产率标准的权利,而不必与工会协商。相反,雇主可以提出“meet and discuss”与工会。一个警告是,放弃一项决定的议价权可能不会免除雇主就该决定的效力进行讨价还价的义务。

医院的雇主也可能希望摆脱传统的薪酬结构,因为这种结构可以延长人的寿命,并且经常给医院带来沉重的经济负担,而这种做法旨在允许人员配备水平随患者普查的波动而变化。医院雇主也可能需要重新协商裁员语言,以便他们保留保留更多合格雇员或具有特殊技能的雇员的权利,而无需考虑年资。这些更改将需要以某种方式支付;工会将需要权衡取舍,以证明普通员工肯定会认为巨大“take aways.”这是ACO模型提供的潜在增加收入的地方。与雇员分担一部分收入对雇主而言,风险要比自动加薪或应计酬金或应酬金(无论医院是否盈利)必须承担的风险要小。

ACO可能会为增加医疗行业的工会创造机会。可以将不工会员工介绍给代表其ACO合作伙伴员工的工会。工会也可能进行公司竞选活动,向不团结的ACO合作伙伴施加压力,要求他们同意中立/卡片检查协议。最后,人们普遍怀疑,国家劳动关系委员会(NLRB)可能使工会更容易在一个讨价还价单位中组织主要雇主和分包商的雇员。 见米勒& Anderson Inc. 案例05-RC-079249; Bergman Brothers Staffing Inc. 案例05-RC-105509这样的步骤可以使工会尝试组织多个ACO合作伙伴,或通过增生来扩展现有的议价单位。

雇主应积极主动,保持健康的员工关系做法,这会阻碍组织工作。与员工保持良好及时的沟通,透明的政策以及对员工的公平和一致的对待至关重要。雇主还应审查员工手册和人事政策,以确保他们遵守最新的NLRB决定。这将减少成功获得不公平的劳工实践指控的风险,这对于工会组织始终是很好的饲料。

两周后给我打电话

尽管ACO尚处于起步阶段,但我们已经看到了当前模型的新变体和以降低的成本改善医疗效果的创新手段。因此,管理ACO的劳资关系方面将需要定期检查-定期审查工作说明,薪酬政策和人员配备策略以及评估劳资关系策略,以确保它可以支持组织的持续健康。

Welcome to 贝克·Hostetler’的《健康法》更新博客

医疗保健行业团队启动《健康法》更新博客

作为非常成功的,每两周一次的《健康法》更新电子邮件通讯的增强,医疗保健行业团队启动了 卫生法更新  本月的博客为卫生保健行业提供有关卫生法律和政策的及时新闻和更新。该博客将作为客户的补充资源,同时巩固团队成员作为该领域思想领袖的声誉。针对医院行业和医师实践,供应商和制药公司以及专门的利基提供商,它将以最新新闻,健康法的发展以及行业政策的变化为特色。

“医疗保健政策分析师和博客编辑”表示:“我们的目标是巩固我们作为医疗保健行业中知名且值得信赖的资源的声誉,提供商和其他组织可以在需要时转向他们。” 凯瑟琳·鲁宾斯坦.

潜在的主题包括医疗保险,医疗补助,州儿童健康保险计划,可负担医疗法案,虚假索赔法案,斯塔克法律,反回扣法律,法规遵从和执行问题,报销事项和争议,医师与医院关系,HIPAA / HITECH,医疗隐私,管理式照护,儿童保健,药品,生物制剂和医疗设备。

不育系 – Doc,如果您要免费的书,请去图书馆

联邦医疗保险和医疗补助服务中心(CMS)最近拒绝了由23名国会议员组成的两党联盟的要求,免除《医师付款阳光法》(《阳光法》)规定的教科书和经同行评审的医学期刊的分发)。 不育系最终规则中的法规序言规定,根据《阳光法》的规定,应向医师提供用于自己的教育的教材(包括医学教科书),但这些教材不能直接使患者受益。 42 C.F.R. §403.904(i)(4)。

许多国会和许多医学专业组织都反对免费分发教科书和经过同行评审的科学医学期刊材料的报道。议员们断言,国会从《阳光法案》的报告要求中排除了直接有益于患者或供患者使用的教育材料,包括直接受益于患者或供患者使用的教育材料。 SSA 1128G(e)(10)(B)(iii)。

作为回应, 不育系说明 它不认为《阳光法》允许适用的制造商以教育材料的形式将报告付款或其他转让排除在《阳光法》之外,因为这些材料不提供直接的患者利益,也不打算供患者使用。据CMS称,对患者的潜在下游利益不足以将其排除在报告要求之外。但是,打算与患者一起使用并因此直接使患者受益的墙壁模型和解剖模型不包括在报告要求中。

因此,在大多数情况下,医学教科书和同行评审期刊必须由制造商报告为根据“education” or “gift” categories.

网络研讨会将提供从FTC调查中汲取的教训以及医疗保健提供者交易的挑战

文比纳尔加入BakerHostetler反托拉斯律师的行列,深入了解FTC对医院和医生交易的调查。网络研讨会将于2014年2月26日(星期三)下午12:30举行。–下午1时30分ET。主题将包括:

—来自前FTC专员的见解,在委员会期间参与了近30次医疗保健执法行动
—关于联邦贸易委员会对医院交易的调查和挑战的最新统计数据
—可能触发FTC进行调查的因素
—可能带来来自FTC的直接挑战
—医疗保健提供者在考虑交易时可以采用的步骤和策略,以最大程度地减少FTC调查或挑战的可能性

介绍:
克里斯托弗·斯威夫特,合伙人,克利夫兰

主讲人:
帕米拉琼斯港联邦贸易委员会前专员,华盛顿特区合伙人
格雷戈里·贝克合伙人,华盛顿特区
乔纳森·刘易斯合伙人,华盛顿特区
李·西莫维兹合伙人,华盛顿特区

请点击 这里 注册此免费网络研讨会。

监察办和CMS延长了EHR捐赠的截止日期

As the final days of 2013 passed and the sunset of the 斯塔克定律 exception and 反回扣法 避风港 for electronic health record (EHR) donations loomed nearer, the U.S. Department of 健康 and Human 服务 (HHS) Centers for 医疗保险 and 医疗补助 服务 (CMS) and Office of Inspector General (OIG) issued last-minute final regulations to extend the expiration date of the provisions through 2021, subject to certain exclusions. 不育系 cited as its reason for extending the sunset date that the adoption of interoperable EHR technology remains an important goal of HHS.

在最终规则中,CMS和OIG分别限制了EHR技术的受保护捐助者的类别,以努力遏制评论者从这种安排中发现的潜在欺诈和滥用。具体而言,由于有实验室报告对医生进行EHR捐赠的报道,CMS和OIG将实验室从受保护捐赠者名单中排除’推荐。 不育系表示担心,如果医生根据捐赠的EHR技术而不是实验室提供的服务质量做出转诊决定,这种虐待性安排可能会影响患者护理。属于医院科室并在医院下计费的实验室’的提供者编号将继续有资格成为受保护的捐助者。 不育系和OIG还阐明,捐赠者或任何人代表捐赠者(包括EHR供应商或医师接受者)采取的限制捐赠物品或服务使用的任何行动均不受例外和安全港的保护。 。这些机构特别指出,向非接收者或捐赠者收取高接口费的供应商’竞争对手可能会担心当事方未正确锁定推介。最终规则还更新了互操作性视为条款,并删除了电子处方功能要求。

联邦法官驳回了哈利法克斯医院医疗中心一案中的所有反回扣诉求

2014年1月8日,在佛罗里达州中部地区待审的哈利法克斯医院医疗中心(医院)案件中的美国地方法官批准了该医院’解散所有关联者的动议’的反回扣法律主张。该“虚假索偿法”案件部分基于与医生之间的财务往来而涉嫌违反《斯塔克法》和反回扣法。 11月,法院裁定部分简易判决有利于政府,裁定医院’与雇用的肿瘤科医生的赔偿安排违反了斯塔克法。见 2013年12月12日发行 卫生法更新 .

政府选择不干预反回扣法的主张,事实证明这是一个明智的决定,因为地区法官认为,反回扣法保护了与医生的安排,因此,该聘用法规定了善意的雇佣例外。由独立的法律实体Halifax Staffing负责。地方法院法官注意到哈利法克斯人员配备是医院的一种工具,并且改变了我的自我,地方法官运用了普通法机构的测试,并确定了相关人员未能证明医生实际上是由哈利法克斯人员配备而不是由医院控制的,或者医生不是医院的独立承包商。结果,根据反回扣法的善意雇佣例外保护了支付给医生的补偿,该例外尤其不包含公平的市场价值标准或禁止基于医生的数量或价值进行补偿’ referrals.

法院还批准了医院’罢免相关人员的议案’s声称医院违反了《斯塔克法》,与医生订立了不受保护的医务主任安排,因为有关人员没有发现医务主任禁止任何转介到医院。医院未能成功驳回对两名受雇精神病医生提出的索赔要求,因为该医院承认发现精神病医生已将其转介至医院以接受指定的医疗服务。因为精神科医生’薪酬包括固定薪水和相当于医院100%的生产力奖金’的总收款减去帐单和收款成本及其薪金,法院裁定医师’薪酬随推荐数量或价值而变化。结果,斯塔克定律’员工的例外情况不适用。

法院还允许相关者’虚假索赔法索赔基于医疗上不必要的住院服务,通常称为“short stays,”与违反《虚假索偿法》有关的共谋索偿,以使医院幸存’进行简易判决的动议。

贝克·Hostetler’s Privacy and Data Protection Team Named a “年度最佳实践组” by 法360

Editor’s Note: This post is a joint submission with 贝克·Hostetler’s 数据隐私监控器 blog.

Congratulations to the 贝克·Hostetler Privacy and Data Protection Team for being named by 法360被评为“年度最佳实践团体” 在隐私法领域。 法360编辑小组选择了小组,他们审查了130家律师事务所提交的大约675份意见书,并从69家律师事务所中选择了154个小组来表彰今年的获奖者。

去年下半年,隐私和数据保护团队联合负责人 西奥多·科布斯三世 被单独命名为 法360的“隐私MVP”.

“我为作为首要的隐私和数据保护小组而受到的认可感到非常自豪。我们以在这个不断变化的法律领域的领先地位而感到自豪,并为能被任命为领导者而感到自豪。”隐私和数据保护团队共同负责人Gerald Ferguson说。隐私和数据保护团队共同负责人Theodore J. Kobus补充说:“我们有一个非常合作的团队致力于客户服务,这帮助我们吸引了一些最有才华的从事隐私事务的律师,包括 帕米拉琼斯港 谁本周加入了我们。”

进一步了解 贝克·Hostetler’s Privacy and Data Protection 球队。

医疗保健隐私– 2013年度回顾

Editor’s Note: This post is a joint submission with 贝克·Hostetler’s 数据隐私监控器 blog.

2013年1月25日,美国卫生与公众服务部(HHS)民权办公室(OCR)发布了期待已久的HIPAA Omnibus最终规则(最终规则),其中包括自隐私和安全规则已发布。根据最终规则,业务合作伙伴和分包商必须遵守OCR的《隐私和安全规则》,并对违规行为处以民事罚款。 《最终规则》还扩展了“业务伙伴”一词的定义,并要求业务伙伴与分包商签订子业务伙伴协议。最终规则还包括对标准的重要更改,该标准用于确定是否发生了违反受保护健康信息(PHI)的情况,因此必须通知受影响的个人。具体而言,最终规则取代了先前的标准,该标准要求对违规行为是否会对受影响的个人造成重大财务,声誉或其他损害的风险进行主观分析,OCR称之为更客观的标准,认为违规行为已经发生除非所涵盖的实体根据以下四个因素的分析可以证明PHI被入侵的可能性很小:(1)PHI的性质和程度; (二)涉案人员; (3)是否实际获取或查看了PHI; (4)减轻危害的程度。此外,《最终规则》修改了HIPAA的营销和筹款规定,要求获得有效的营销交流授权以换取财务报酬,并为个人提供明显而明显的机会,使其选择退出接受筹款交流。 《最终规则》还禁止卫生计划将遗传信息用于承保目的,将披露范围限制在患者自付费用的卫生计划中,并要求承保实体在可能的情况下以电子形式提供要求的记录。

光学字符识别在2013年总共发布了六项解决协议,其和解协议的民事罚款额从50,000美元到170万美元不等,而纠正措施计划的期限从60天到两年不等。 2013年的解决协议代表了OCR对两种主要的作为/不作为的关注:(1)持续未能遵守HIPAA隐私和安全规则,以及(2)不可原谅的披露。 2013年1月,OCR宣布了其第一份和解协议,该协议源于违反事件,据报道,该事件涉及不到500名患者 北爱达荷州的临终关怀 在其提交给OCR的年度报告中,该报告涉及2013年6月未加密的笔记本电脑被盗。 光学字符识别发现未能对便携式电子设备上的PHI进行风险分析,未采取适当的安全措施以应对潜在风险以及未能按照《安全规则》记录决策依据的情况。 2013年5月,OCR宣布与以下公司达成和解协议,继续专注于识别和缓解安全风险 爱达荷州立大学 关于2011年8月的一次事件,由于禁用服务器上的防火墙保护,PHI至少保持了10个月不安全。 2013年6月,OCR宣布与 沙斯塔地区医疗中心 源自2012年1月SRMC领导者向各种媒体不当披露患者信息。此后不久,OCR于2013年7月宣布了其解决协议,以及当年最大的CMP-170万美元 WellPoint,Inc. 关于WellPoint在线应用程序数据库在2009年至2010年期间超过5个月的安全漏洞的信息,这使未经授权的个人可以通过Internet访问ePHI。 光学字符识别关注的是WellPoint无法评估安全风险,包括在软件升级期间可能会影响其基于Web的应用数据库中维护的ePHI的安全性。 光学字符识别于2013年8月宣布了本年度的第五项解决协议,该协议再次着眼于组织的失败, 亲和健康计划有限公司 (亲和力),以评估和识别与ePHI相关的安全风险和漏洞。 光学字符识别的调查重点是Affinity在将影印机发送给租赁公司之前未能正确擦除影印机硬盘驱动器的情况下对ePHI的不当披露。到2013年底,HHS 光学字符识别与 成人&儿科皮肤科 (APDerm),一家在马萨诸塞州和新罕布什尔州提供皮肤病学服务的私人诊所。 光学字符识别专注于APDerm缺乏解决HITECH Act违规通知条款的政策和程序。正如2013年OCR解决方案协议所表明的那样,各种规模和类型的组织都必须继续确定如何最大程度地确保患者获得PHI的机会,同时在2014年之前充分保护PHI。鉴于2014年,执法活动可能会增加 监察办 2013年11月的报告 关于OCR监督和HIPAA安全规则的执行。根据2013年解决方案协议,作为有效的HIPAA安全合规性计划的一部分,涵盖实体及其业务伙伴必须继续分析风险,进行持续的风险管理并审查例行信息系统。

除了上面讨论的解决协议之外,我们继续看到医疗保健实体在2013年全年都对数据泄露事件做出了响应。涵盖实体报告了近145起事件,影响了500或更多个人,其中很大一部分归因于未加密电子设备的丢失或被盗设备和纸质记录仍然引发许多事件。从2013年事件中,被涵盖实体继续了解,违规响应并不会在通知中停止。集体诉讼中的原告继续主张各种诉讼原因,包括根据州和联邦法律,以试图追回所称实体因未能保护患者信息而造成的损害。除了集体诉讼外,我们继续看到OCR和州检察长参与了数据泄露响应和调查。这些监管机构不仅将其工作范围限于所涵盖的实体,而且还针对此类实体的业务伙伴采取了行动。因此,在来年,我们预计许多涵盖实体和业务伙伴将重新审查其业务伙伴协议,分析和分配风险,并实施新的隐私和安全措施以更好地遵守适用法律。

德州发射国家’的首个隐私和安全认证“Safe Harbor”

德州卫生服务局(THSA)最近 宣布 它选择了健康信息信任联盟(HITRUST)通用安全框架(CSF),该框架是美国医疗行业最广泛采用的信息隐私和安全框架,构成了德克萨斯涵盖实体隐私和安全认证计划的基础,德克萨斯州成为美国第一个实施正式认证计划的州,该计划结合了州和联邦的隐私和安全法规,包括HIPAA和《德克萨斯医疗记录隐私法案》(TMRPA)。自愿性认证计划于2011年根据德克萨斯州众议院第300号法案(HB 300)发起,旨在使德克萨斯州覆盖的实体能够证明其遵守联邦和州的隐私和安全标准“为了减少监管处罚,管理风险并增强信心”保护他们的健康信息。

在2011年,HB 300要求THSA制定程序,涵盖实体(根据德克萨斯州法律的定义,包括几乎任何拥有受保护的健康信息的个人或组织)都可以申请过去的认证证明。德州卫生与公共服务委员会为共享电子信息批准了隐私和安全标准。 HB 300还对TMRPA进行了修改,以包括德克萨斯州法院在确定违反TMRPA的涵盖实体的适当刑罚时必须考虑的缓解因素,包括其合规历史以及在违反时是否经过认证。尽管无需美国卫生与公共服务部(HHS)在确定适当的民事罚款以对违反HIPAA的行为施加罚款时考虑是否涵盖实体已获得认证,但HHS必须考虑涵盖实体’以前遵守HIPAA标准的历史。因此,THSA已表示认证可以作为“safe harbor”在州和联邦一级。

提供两种认证选项,它们根据所涉及实体的大小而有所不同。较大的实体,例如医院,可能需要由第三方HITRUST CSF评估员进行现场评估,并将评估中的文件提交给HITRUST进行审查。如果该实体满足德克萨斯州涵盖实体隐私和安全认证的要求,则HITRUST将提供一封推荐信,该组织随后可以将其提交给THSA进行认证。年收入低于500万美元的小型实体将能够进行远程评估,并将文档直接提交给HITRUST进行审核。

尽管认证是自愿的,但不是免费的。认证费根据实体的规模和评估的复杂程度而有所不同,范围从2500美元到7500美元不等。认证也将在一年后到期,这意味着所涵盖的实体必须每年支付认证费。对于选择将THSA认证与其他HITRUST产品结合的实体,可以享受折扣。 THSA还鼓励涵盖实体使用德克萨斯认证评估作为HIPAA要求的定期风险评估的补充或替代,HIPAA要求定期评估的风险是许多实体每年进行的。

许多得克萨斯州覆盖的实体已表达了对认证的兴趣,其他州也在密切监视德克萨斯州的认证计划,以确定是否应实施类似的计划。但是,对于认证相对于其成本的好处仍然存在疑问。认证在多大程度上减轻了州和/或联邦的处罚尚不清楚,尽管认证可能表明组织已采取某些措施来保护健康信息,但它不会使受保护实体免受潜在违规和调查的影响。目前尚不清楚得克萨斯州覆盖的实体是否将认证视为一项有价值的事业,并且可能至少部分取决于涉及认证实体的首次违规行为的结果。

LexBlog