Compliance: belangrijkste conclusies van het jaarlijkse evenement 'Let's Talk Compliance' van Foley en PYA

Voor het tweede jaar op rij organiseerden Foley & Lardner LLP en PYA een masterclass over verschillende compliancekwesties op het gebied van gezondheidszorg. "Let's Talk Compliance" is een jaarlijks eendaags evenement met een panel van sprekers, waaronder advocaten gespecialiseerd in gezondheidszorg, gecertificeerde accountants en taxateurs, en adviseurs op het gebied van gezondheidszorg, die belangrijke compliancekwesties bespreken. In 2020 hadden de presentaties betrekking op kwesties rond de beloning van artsen, te hoge betalingen, HIPAA-privacy- en veiligheidskwesties en transacties op het gebied van langdurige zorg.

Het evenement vond dit jaar plaats op vrijdag 24 januari in Orlando, Florida. Tot de panelleden behoorden de advocaten Jana Kolarik, Taylor Pancake, Myla Reizen en Kelly Thompson van Foley, evenals de opinieleiders Angie Caldwell, Barry Mathis, Valerie Rock en Andrew Stafford van PYA.

Om belangrijke informatie die tijdens het evenement aan bod kwam te benadrukken, worden in de volgende lijst de belangrijkste punten uit de "Let's Talk Compliance" van 2020 op een rijtje gezet.

1. Eind 2019 heeft het Office of Civil Rights (OCR) de eerste handhavingsmaatregelen genomen die we hebben gezien in verband met het Patient Right to Access Initiative van het Amerikaanse ministerie van Volksgezondheid en Human Services (DHHS). Dit moet dienen als een herinnering dat betrokken entiteiten tijdig moeten reageren op verzoeken van patiënten om toegang tot hun medische dossiers, in het door de patiënt gevraagde formaat, en niet meer dan een redelijke, op kosten gebaseerde vergoeding in rekening mogen brengen. (Opmerking: er kunnen staatswetten zijn die strenger zijn dan de federale wetgeving en die, indien van toepassing, moeten worden nageleefd.)
   
   
2. DHHS heeft ransomware aangemerkt als een van de meest voorkomende bedreigingen voor patiëntgegevens (PHI). Hoewel er aanvankelijk slechts twee basistypen ransomware waren – lock en crypto – is er nu een derde type, DataKeeper, dat in licentie wordt gegeven en snel terrein wint. Zorgverleners en aanverwante instanties moeten alert blijven op deze snelgroeiende bedreiging voor de privacy en veiligheid.
   
   
3. Het regelgevingskader voor zorgverleners is uitgebreid en omvat de Stark Law, de federale anti-kickbackwet (AKS), de Civil Monetary Penalties (CMP) Law, de False Claims Act, antitrustwetten, de Eliminating Kickbacks in Recovery Act van 2018 (EKRA) en staatswetten. Er staan wijzigingen op stapel in de fundamentele regelgeving, de Stark Law en de AKS, met de publicatie van voorgestelde regelgeving die naar verwachting zal worden afgerond. Bovendien vond in 2019 de eerste strafrechtelijke vervolging op grond van de EKRA plaats.
   
   
4. Het vaststellen van op waarde gebaseerde vergoedingsregelingen voor artsen kan lastig zijn. Om dit proces te vergemakkelijken, moeten zorgverleners op waarde gebaseerde vergoedingsinventarissen opstellen en begrijpen wat het te stimuleren resultaat is. In dit verband mogen dergelijke zorgverleners niet uitsluitend op benchmarkgegevens vertrouwen.
   
   
5. Op grond van de wettelijke vereiste om te veel betaalde bedragen binnen 60 dagen terug te betalen en de uitvoeringsbepalingen met betrekking tot Medicare Parts A en B, zijn zorgverleners verplicht om redelijke zorgvuldigheid te betrachten door tijdig en te goeder trouw geloofwaardige informatie te onderzoeken om te veel betaalde bedragen op te sporen. De beslissing of informatie voldoende geloofwaardig is om een onderzoek te rechtvaardigen, is afhankelijk van de specifieke feiten. De Centers for Medicare and Medicaid Services (CMS) maken echter in de voorschriften en preambules van Parts A/B duidelijk dat identificatie zowel proactieve als reactieve controle van de facturering vereist. Zorgverleners en leveranciers moeten ook in gedachten houden dat de vereiste inzake te veel betaalde bedragen verder reikt dan de wettelijke vereisten voor Medicare Parts A en B en ook geldt voor Medicare C en D, Medicare Advantage, Medicaid en Medicaid managed care-plannen. Er zijn geen uitvoeringsvoorschriften voor deze andere betalers, maar de wettelijke verplichting blijft bestaan.
   
   
6. Er is geen de minimis-drempel voor te hoge betalingen door de overheid, d.w.z. er is geen minimumbedrag dat kan worden genegeerd. Alle mogelijke te hoge betalingen moeten worden onderzocht. Zorgverleners moeten er rekening mee houden dat hun beslissing om al dan niet een relevante extrapolatie van claims uit te voeren (in plaats van een analyse per claim en terugbetaling) nauwkeurig zal worden gecontroleerd.
   
   
7. Enkele aandachtspunten bij due diligence met betrekking tot transacties in de gezondheidszorg zijn onder meer: hiaten in het begrip van nalevingsplannen of het ontbreken daarvan; problemen met codering, facturering en documentatie; HIPAA-beveiliging; rechtszaken, audits en onderzoeken; werknemersrelaties; risicobeheer; rapportage over kwaliteitsstatistieken; en vereisten voor het indienen/goedkeuren van eigendomsoverdrachten.
   
   
8. Compliance due diligence-processen moeten het volgende omvatten: jaarlijkse risicobeoordelingen om actuele compliance-werkplannen te ontwikkelen, uitsluitingscontroles en beoordelingen van belangenconflicten bij aanvang van het dienstverband of contract en daarna regelmatig, en beheer en monitoring van inkomstencyclusfuncties en contractuele afspraken met leveranciers.