编者按:PYA与富乐律师事务所于2025年1月23日至24日联合举办了第七届年度"合规对话"为期两天的虚拟会议。与会专家包括富乐律师事务所律师及PYA领域专家。本次活动由富乐合伙人主持。 Jana Kolarik主持,PYA咨询部主管 安吉·考德威尔主持。以下为各环节核心要点。会议录像及PPT资料可通过 此处。
第一场:监察长办公室《一般合规计划指南》:旧日情怀
富乐律师事务所合伙人、医疗保健业务组主席朱迪·沃尔茨与PYA咨询公司负责人香农·萨姆纳共同启动了2025年度"合规对话"系列讲座,重点介绍了医疗保健合规要求及执法动态的最新进展。
特朗普政府通过近期行动和表态确认,在联邦医疗保险和医疗补助计划中识别欺诈、浪费及滥用行为(下文统称"欺诈")仍将是执法工作的首要重点。参见NPR报道《政府效率部将目标对准联邦医疗保险和医疗补助计划》。政府效率部(DOGE)的早期举措表明,该部门正加大数据挖掘力度以识别欺诈嫌疑。
鉴于监管审查预计将持续或加强,服务提供商和供应商应继续着力确保其合规计划(且能证明其有效性)能够有效防范和应对运营欺诈。即使出现合规监督失误,拥有其他方面有效的合规计划也能帮助服务提供商减轻因欺诈指控而产生的后续损害。
监察长办公室的《通用合规计划指南》。萨姆纳首先回顾并更新了美国卫生与公众服务部监察长办公室于2023年11月发布的《通用合规计划指南》(GCPG)。该指南的核心内容已在去年会议中讨论过,摘要可在此处查阅。需要强调的是,遵守GCPG属于自愿行为。
在题为"监察长办公室《通用合规计划指南》:'旧日时光'"的本年度会议上,沃尔兹与萨姆纳分享了《通用合规计划指南》发布一周年后的观察。会议重点如下:
- 质量审查与合规整合。正如 《GCP指南》所述,Waltz和Sumner建议将合规与质量工作整合,包括加强合规委员会与质量委员会的互动协作。 在此背景下,萨姆纳强调合规官至少每季度向董事会汇报的重要性,并指出需建立有效的风险评估机制。她着重强调培训教育的重要性,包括建立参训人员提问机制,并考虑采用"微型"培训模块。她特别指出高级管理层应定期向董事会提交质量与患者安全报告。
- 州级排除机制。沃尔兹 提醒与会者,除审查联邦排除名单外,GCPG特别强调必须进行州级医疗补助排除核查。她同时指出,根据《平价医疗法案》及其实施条例要求,各州针对本州医疗补助服务提供者采取的关联排除措施正呈现增长趋势——这些措施往往源于其他州实施的排除行动。
- 最佳实践。以下为 GCPG实施所确定的“最佳实践”,可能普遍适用于所有行业领域。
- 机构治理层应更充分认识到适当的汇报关系(例如:合规官直接向首席执行官汇报,同时拥有独立渠道/直接向董事会汇报,且不向法律部门汇报)。
- 合规委员会(在董事会层面和实体层面)展现出 更高的参与度 。
- 合规委员会积极参与监督/参与风险评估流程。
- 多个积极参与合规工作的跨学科委员会——企业风险管理(ERM)、质量、根本原因分析、数据治理、人工智能、变更管理。
- 供应商/第三方风险评估与缓解意识有所增强。
- 治理机构(董事会/董事会下属委员会)必须加强对合规计划监督与问责的重视。
- 需要创新的合规培训课程体系和交付机制。
- 各部门库存的关键合规控制措施。
监察长办公室(OIG)的护理机构行业特定指南(ICP)。继 去年发布 《医疗保健行业特定指南》(GCPG)后, 监察长办公室于2024年11月首次发布了《护理机构行业特定指南》。 OIG计划发布一系列针对特定业务领域的指导文件,涵盖范围至少包括医疗保险优势计划、医院、临终关怀机构、临床实验室及制药企业。与GCPG类似,该ICP指南充斥着便于查阅的实用参考资料和链接。由于该ICP指南仅针对特定业务领域,萨姆纳和沃尔茨并未深入探讨其内容,而是着重分析其结构与组织形式,以此预测未来ICP指南的呈现方式。
从GCPG延续至本次ICPG的一个核心主题是监察长办公室(OIG)对护理质量的关注。监察长办公室多次提及参与护理机构的合规要求,并强调其在护理质量企业诚信协议(CIAs)方面的经验。在护理机构环境中建议审查的领域包括:药物合理使用、住户安全保障、员工筛查机制,以及避免为被排除的医疗服务提供者进行报销。 监察长办公室同时强调,除其他管理控制实体或个人外,"投资者"也应持续关注合规与质量问题。
当前应采取的措施。尽管 卫生与公众服务部(HHS)人员编制已缩减,且某些其他监管领域的执法工作可能不再是优先事项,但迄今尚无迹象表明特朗普政府将逆转监察长办公室(OIG)多年来在减少医疗保险和医疗补助计划中的欺诈、浪费及滥用行为方面的重点工作。 相反,特朗普政府似乎正寄望于通过遏制已查明的欺诈行为节省资金,以支持其他优先事项。医疗服务提供者和供应商应持续投入并严格评估企业合规计划的执行成效。通用合规计划指南(GCPG)为医疗行业各领域评估合规计划有效性提供了具体指引,而行业合规计划指南(ICPGs)将根据细分领域提供更直接的指导。
第二场:医疗隐私与安全趋势:网络安全、患者权益及生殖健康信息
富乐律师事务所合伙人詹妮弗·亨尼西与PYA咨询公司负责人巴里·马西斯就《健康保险流通与责任法案》(HIPAA)中个人获取自身信息的权利进行了知识更新,并探讨了HIPAA生殖健康信息修正案、HIPAA安全规则拟议修订、安全风险分析执法计划以及近期勒索软件和解案例。双方还交流了网络事件响应的有效策略、人工智能(AI)应用,以及管理第三方供应商网络风险的实用建议。
轩尼诗强调了理解《健康保险流通与责任法案》(HIPAA)访问要求的重要性,包括30天响应期限、提供指定记录集中所有受保护健康信息(PHI)的要求,以及费用限制。鉴于美国卫生与公众服务部(HHS)发起的HIPAA访问权倡议(目前已达成50多项和解协议),理解并遵守这些要求至关重要。
轩尼诗还谈及了保护生殖健康信息的新《健康保险流通与责任法案》修正案,并强调受该法案监管的实体在向卫生监管机构、执法部门、验尸官或法医披露生殖健康信息,或在司法及行政程序中披露此类信息前,必须获得书面证明。她同时提及了针对这些修正案的待决诉讼,以及特朗普政府可能不予执行的潜在可能性——尽管目前尚不明确。
随后,发言人转向网络安全议题,包括卫生与公众服务部(HHS)为保护电子个人健康信息(PHI)免受网络安全威胁而提出的《健康保险流通与责任法案》(HIPAA)安全规则修订方案。拟议修订内容包括:取消强制性与可选性实施规范的区分、要求建立技术资产书面清单、对年度安全风险分析提出更严格要求等。该提案的意见征询截止日期为2025年3月7日。
美国卫生与公众服务部(HHS)持续加强网络安全监管力度,宣布启动"安全风险分析执法计划",重点针对《健康保险流通与责任法案》(HIPAA)安全规则中风险分析条款的合规性展开专项调查。该计划于2024年10月达成首例和解协议,涉及一起勒索软件攻击事件。 演讲者指出,该计划的核心要义在于:机构必须确保风险分析及时全面,并制定风险管理计划,对已识别风险与漏洞进行及时整改。
马蒂斯强调了实施强有力的网络安全措施的迫切需求,包括制定全面的应急响应计划、实施持续监控,以及运用人工智能进行高级威胁检测。他主张将数据安全地存储于云端,并强调必须对第三方供应商实施严格的监控和安全要求,以防范恶意行为者采用的复杂数据窃取技术。
马蒂斯强调了以下针对服务提供者可采取行动的总体关键建议:
- 对电子健康信息(PHI)的潜在风险和漏洞进行安全风险分析,并定期更新。
- 确保隐私和安全政策符合HIPAA的要求。
- 实施强有力的安全控制措施,例如多因素身份验证。
- 保持系统更新。
- 实施安全程序以符合《健康保险流通与责任法案》安全规则及其他网络安全框架(例如审查信息系统活动)。
- 对员工进行网络安全和HIPAA政策及程序的培训。
- 开发并测试网络安全事件响应方案。
第三场:与联邦机构互动的新纪元
富乐律师事务所合伙人马修·克鲁格与PYA咨询公司负责人玛蒂·罗斯探讨了以下议题:在执行法定指令时,对机构解释的雪佛龙推崇原则终结,以及特朗普总统连任,将如何影响联邦机构的工作——例如卫生与公众服务部及其下属机构医疗保险和医疗补助服务中心(CMS)。 克鲁格与罗斯均建议各机构积极关注法规挑战动态,因最高法院在洛珀·布莱特案中推翻 雪佛龙原则后,法院更可能对法规颁布禁令或宣告其无效。
他们还指出,这个新时代可能创造机遇,通过规则制定挑战或应对执法行动,来质疑那些超出机构法定权限的法规或次级法规指导(例如医疗保险手册或承包商指导)。他们同时鼓励各组织在制定内部风险评估时考虑这些新动向,并根据Loper Bright案及特朗普政府的政策重新校准风险。
第四场:医疗服务机构并购中的反垄断问题
富乐律师事务所合伙人、反垄断与竞争业务组副主席本·德莱顿与PYA首席顾问迈克尔·拉米共同探讨了涉及医疗服务提供商的并购交易中出现的反垄断问题。双方就近期反垄断执法趋势、2023年联邦《并购指南》修订内容,以及《哈特-斯科特-罗迪诺法案》下大额交易申报规则即将实施的变更进行了深入交流。
在合规领域,德莱登和拉米探讨了制定尽职调查与整合规划中敏感商业信息共享协议的必要性,包括在适当情况下采用"清洁团队"或"黑匣子"方法。 他们还探讨了州监管机构在医疗保健并购审查中日益重要的角色,包括多州要求向州监管机构提交并购前申报的法律,以及某些情况下可使交易免于联邦反垄断审查的"公共利益证明"法规。最后,他们分析了特朗普政府可能的执法重点,包括更关注消费者影响,以及对私募股权投资医疗领域的怀疑态度可能有所缓和。
保持联系
如需了解更多关于“合规对话”系列的见解,请订阅我们的“合规对话”博客及 播客系列。若对本次年度合规对话活动涉及的议题有任何疑问,敬请联系Jennifer或Barry。
