放弃通过远程医疗交付COVID-19对策的国家许可要求

在2020年3月17日《公共准备和紧急状态法》(PREP Act)的第四次修订中,美国卫生与公共服务部(HHS)通过远程医疗扩大了使用COVID-19涵盖对策的机会,并阐明了责任范围PREP法规定的保护。特别是,该声明对远程医疗提供商很重要,因为在某些情况下,它似乎优先于使用远程医疗进行跨界医学实践的州法律。医疗保健提供者应注意,许可例外和任何豁免保护仅限于订购或执行涵盖性对策的医疗保健提供者,没有迹象表明有意扩大这些重点措施的范围。

访问文章.



加州选民批准《加州隐私权法》

2020年11月3日,加利福尼亚州的选民通过了加利福尼亚州隐私权法案(CPRA)的投票倡议,投票率略低于60%的人批准了该措施(发布时)。由“ 2018年加利福尼亚消费者隐私法案”(CCPA)的架构师提交的投票倡议,早先获得了900,000个签名,远远超过了2020年投票认证所需要的约625,000个签名。

的 CPRA amends the CCPA, adds new consumer rights, clarifies definitions 和 creates comprehensive privacy 和 data security obligations for processing 和 protecting personal information. 的 se material changes will require 商业es to—again—reevaluate their privacy 和 data security programs to comply with the law.

生效日期和时间表

CPRA修正案自 2023年1月1日, 和 will apply to personal information collected by 商业es 上 or after January 1, 2022 (except with respect to a consumer’有权访问其个人信息)。直到CPRA修正案开始执行 2023年7月1日.

CCPA’s existing exemptions for 商业 contacts, employees, job applicants, owners, directors, officers, medical staff members 和 independent contractors will remain in effect until 2022年12月31日.

新成立的加州隐私保护局(“Agency”)将被要求采用以下最终法规: 2022年7月1日. For more information about the 机构 和 its role in enforcing the amended CCPA, see our previous 文章 .

CPRA的通过不会影响CCPA目前实施的可执行性。

CPRA的新权利

除了CCPA’CPRA拥有知悉,删除和选择不出售个人信息的权利,CPRA为加利福尼亚消费者创造了以下新权利:

  • 更正个人信息的权利
  • 限制使用敏感个人信息的权利
  • 选择退出的权利“sharing”个人信息

这些权利在我们之前的文章中有更详细的解释。 文章 .

New compliance obligations for 商业es subject to the CPRA?

CPRA提出了新义务,类似于欧盟中的数据处理原则。’通用数据保护条例(GDPR)。这些职责包括:

  • 透明度: 企业必须明确明确地告知消费者他们如何收集和使用个人信息以及他们如何行使权利和选择权;
  • 目的限制: 企业只能吸引消费者’出于特定,明确和合法披露目的的个人信息,并且可能不会进一步收集,使用或披露消费者’个人信息出于与这些目的不符的原因;
  • 数据最小化: 企业可能会吸引消费者’仅在与收集,使用和共享目的相关且必要的范围内提供个人信息;
  • 消费者权益: Businesses must provide consumers with easily accessible means to obtain their personal information, delete it or correct it, 和 to opt out of its sale 和 the 分享 across 商业 platforms, services, 商业es 和 devices, 和 to limit the use of their sensitive information; 和
  • 安全: 要求企业采取合理的预防措施来保护消费者’来自安全漏洞的个人信息。

的 机构’的规则制定还将包含许多新要求,包括:

  • A requirement that 商业es whose processing of consumers’个人信息给消费者带来重大风险’隐私或安全措施:(i)每年进行一次网络安全审核; (ii)定期向管理局提交有关其处理个人信息的风险评估;
  • A requirement that 商业es provide access 和 opt-out rights with respect to their use of automated decision-making technology, including profiling, 和 requiring a 商业’对访问请求的响应,以包含有关该决策过程所涉及的逻辑的有意义的信息;和
  • 扩展了针对退出偏好信号的要求和技术规范,以指示消费者’打算退出销售或共享个人信息或限制消费者的使用或披露’敏感的个人信息。

其他义务在我们之前的文章中有更详细的描述 文章 .

Do 商业es need to scrap their CCPA compliance programs 和 start over with a new CPRA compliance program?

绝对不。现有的CCPA合规计划将成为CPRA合规的重要基础。但是,受CPRA约束的企业将需要扩展其现有合规性计划,以包括例如更新隐私声明(包括其隐私政策和收集时的通知),其他消费者权利的程序,服务提供商和承包商协议的更新,新的记录保存要求和网络安全评估。

What should 商业es be doing now?

虽然CPRA’s amendments will not be enforceable until 2023, we recommend that 商业es:

  • 审核修订的定义“business”确定修改后的CCPA是否仍将适用于其运营。拟议的修正案:(i)将与购买,出售或共享个人信息有关的门槛从50,000个消费者或家庭增加到100,000个消费者或家庭; (ii)缩小“common branding” applicability test to bring into scope 上 ly commonly branded related entities with whom a 商业 shares consumers’ personal information; (iii) bring into scope joint ventures or partnerships where the 商业es involved have at least a 40% interest; 和 (iv) bring into scope any 商业 that voluntarily certifies to the 机构 that it is in compliance with 和 agrees to be bound by the law.
  • Consider how the 商业 will document 和 map its uses of sensitive personal information for purposes of complying with consumer requests right to limit the use of their sensitive personal information.
  • Determine whether the new obligations 和 requirements can be implemented 上 ly for California consumers, or whether it would be easier for the 商业 to implement these obligations 和 requirements for all of its consumers, whether or not they reside in California.
  • 考虑并计划使您当前的CCPA计划符合CPRA修正案所需的预算和资源。

是否期望对加利福尼亚隐私法做出更多更改?

由于CPRA会在正常的立法过程中受到加利福尼亚州立法机构的修正,因此我们建议继续监视事态发展并相应地修改准备工作。



联邦机构合作伙伴警告医疗保健系统迫在眉睫的网络威胁

在联邦调查局(FBI),网络安全基础设施安全局(CISA)和卫生与公共服务部(HHS)发出罕见的联合建议后,美国医院和医疗系统应高度戒备,并警告所有美国医院和医院。医疗保健提供商“对美国医院和医疗保健提供商的网络犯罪威胁日益增加和迫在眉睫”。联合咨询可以找到  这里 .

访问文章。



CCPA新拟议法规增加了选择退出个人信息流程的明确性

2020年10月12日,加利福尼亚司法部宣布发布对加利福尼亚消费者隐私法案(CCPA)法规的新的第三套拟议修改。拟议的修改修订了仅在两个月前获得加利福尼亚行政法办公室批准的最终法规。

第三套拟议修改 to the CCPA Regulations released 上 October 12 do not make substantial changes to the previously final set of CCPA regulations. 的 majority of the proposed modifications serve to clarify existing requirements rather than add new requirements or materially alter existing 上 es. As a result, the new proposed modifications should help 商业es better understand what is expected to maintain compliance with certain aspects of the CCPA.

选择不出售个人信息的过程

的 Department of Justice proposed to amend Sections 999.306(b)(3) 和 999.315(h) to provide more detail about how a 商业 should provide the right to opt out of the sale个人信息. Specifically, the Department of Justice:

  • Provides illustrative examples of how a 商业 that collects personal information offline can provide its opt-out notice offline—through paper forms, posting signage directing consumers to an 上 line notice or orally over the phone.
  • 明确指出,提交退出请求的方法应便于消费者查找和执行。举例来说,消费者不必在搜寻或滚动后,点击“不要出售我的个人信息” link. A 商业 should not use confusing language, try to impair a consumer’选择退出或要求消费者通读或听取他们在确认请求之前不应该退出的原因。此外,请求退出的过程应仅收集执行请求所需的个人信息量。

验证授权代理

的 Department of Justice added language to Section 999.326(a) clarifying what a 商业 may request to verify that an agent is authorized to act 上 a consumer’s behalf. Specifically, a 商业 may require an authorized agent to provide proof of signed permission from the consumer for the agent to submit the request. In addition, the 商业 may require the consumer to either verify their own identity directly with the 商业 or directly confirm with the 商业 that they provided the authorized agent permission to submit the request. Previously, a 商业 had to go through the consumer to verify the authorized agent. Now, a 商业 can verify the authorized agent directly.

致16岁以下消费者的注意事项

Finally, the Department of Justice clarified in Section 999.332(a) that all 商业es that sell personal information about children must describe in their privacy policies the processes used to obtain consent from the child or parent (as applicable). Previously, the regulations were worded such that 上 ly a 商业 that sells the personal information of both consumers under 13 和 consumers between 13 和 15 had to describe the processes used to comply with the CCPA’未成年人的同意要求。

下一步

司法部表示,它将在2020年10月28日之前接受对新提议的修改的书面评论。’的员工,作为规则制定文件汇编的一部分。同时,我们建议您审核用于遵守CCPA的表格和程序’选择退出,代理验证和子级’提议修改的同意要求,以确定是否需要任何更新。



全国远程医疗的撤离凸显了提供商增强合规性的机会

美国司法部和美国卫生与公共服务部监察长办公室最近宣布了一项重大医疗欺诈案,涉及涉嫌涉及远程医疗的虚假和欺诈性索赔,涉及金额达45亿美元。指控涉及远程医疗主管向医疗保健提供者支付订购不必要的物品和服务的费用,以及耐用医疗设备公司,实验室和药房支付的订单费用。尽管所谓的行为并不代表绝大多数医疗保健提供者提供的合法和关键的远程医疗服务,但政府对远程医疗安排的持续关注以及不断扩大的远程医疗服务覆盖范围,为医疗保健提供者提供了重要的机会评估其远程医疗服务产品和安排,并进一步加强其相关合规性活动。

深入

2020年9月30日,美国司法部(DOJ)发布了 新闻稿 描述了司法部历史上最大的全国性医疗欺诈和阿片类药物执法行动(下称“删除”)。此次下架涉及与美国卫生和公共服务部监察长办公室(OIG)以及其他联邦和州执法机构的协调,并导致针对51个司法区的345多名被告提起诉讼。政府指控被告参与医疗欺诈计划,涉及联邦医疗保健计划涉嫌损失超过60亿美元,其中绝大部分指称损失(45亿美元)源于涉嫌“电话欺诈”的安排。

根据美国司法部的新闻稿,最近宣布的国家快速反应罢工部队领导了这项针对远程医疗的计划。国家快速反应打击部队是美国司法部刑事部门欺诈部门医疗欺诈部门的一部分,其任务是“调查和起诉涉及多个司法管辖区的主要医疗提供商的欺诈案件,包括主要的区域医疗提供商在整个美国由刑事司领导的医疗保健欺诈打击部队中。”

背景

近年来,政府越来越关注涉嫌涉及远程医疗服务的医疗欺诈计划。针对此次下架,OIG发布了 情况说明书 图形 highlighting the increase in “telefraud” arrangements leveraging “aggressive marketing 和 so-called telehealth services.” 的 individuals charged in the Takedown included telehealth company executives, medical providers, marketers 和 商业 owners who allegedly used telemarketing calls, direct mail, 和 television 和 internet advertisements to collect information from unsuspecting patients.

许多案件涉及远程医疗执行人员,据称他们向医疗保健提供者支付了费用,以订购不必要的耐用医疗设备(DME),基因和其他诊断测试以及药物,而无需与患者进行任何互动或仅进行短暂的电话通话。政府声称,这些安排涉及在DME公司,实验室或药房向Medicare或Medicaid开具账单,以支付政府声称通常不提供给受益人或“对患者毫无价值的”物品和服务后,回扣给远程医疗主管。 。 。并延迟了他们寻求适当医疗投诉的机会。”

司法部提供了 概要 被起诉的案件中,包括涉嫌涉及远程医疗的各种欺诈计划,其中包括:

  • 一家营销公司,该公司招募了Medicare受益人,以获取远程医疗医生命令的医疗上不必要的基因检测,而远程医疗医生则从远程医疗公司获得了非法的回扣和贿赂。
  • 一家远程医疗公司的所有者和运营商,他们向呼叫中心和医疗保健专业人员支付了回扣和贿赂,以换取转介和订购医疗保险受益人的医疗上不必要的基因癌症筛查测试的订单。
  • 一位实验室所有人,共谋为基因检测命令和标本支付回扣,以进行医学上不必要的诊断检测。
  • 被指控向营销商网络收取回扣的实验室所有者,他们购买了用于基因检测的DNA样本,他们知道这在医学上是不必要的,并且患者的医疗福利计划无法偿还。通过电话推销,门到门销售和参加高级健康博览会等方法来招募受益人,并且这些测试得到了一系列医疗专业人员的认可,包括在远程医疗平台上工作的医生,他们以前没有治疗过患者并且拥有在开处方时很少或根本没有与患者接触。

实际影响

“下撤”是政府对远程医疗服务安排的持续不断关注的一个例子。尽管所谓的欺诈行为并不代表以便捷有效的方式为患者提供必要护理的远程医疗提供商的广泛团体,但政府的行动提供了见解,可以帮助合法的远程医疗提供商进一步增强其正在进行的合规性实践。随着远程医疗成为提供医疗保健的一种越来越普遍的方法,当前的远程医疗提供商和考虑扩展到远程医疗服务的组织以及可能通过另一家公司提供远程医疗服务的个人医疗提供商应在审查其现有远程医疗计划时考虑以下问题或在建立新的远程医疗服务线或与第三方达成协议以提供远程医疗服务之前。

医患关系。根据司法部的说法,许多“撤离”案件的两个共同特征是,提供者和患者之间缺乏有意义的互动,以及订购了医疗上不必要的产品或服务。这些案例通常涉及所谓的不适当的患者营销活动,其中,如果潜在患者表示愿意与服务提供者交谈,则潜在患者会收到“打来的电话”,然后进行电话检查。建立充分的患者与提供者之间的关系以进行诊断,治疗以及订购医疗设备和实验室测试的要求主要由州法律和法规确定。这些法律和法规可能不清楚进行支持处方或订单发布的患者检查所需的技术模式类型。除了遵守州法律要求之外,通常还需要有效的患者与提供者的关系来向远程医疗服务的付款人付款。确定适当和不适当的行为之间有时模糊的界限对于确保提供适当的护理并减轻法律风险至关重要。

员工月光下。提供者组织应考虑评估其受雇或订约提供者的任何“月光下”活动。鉴于冠状病毒(COVID-19),由于亲自就诊的人数急剧下降,许多医生和其他提供者都在寻求其他机会为患者提供护理。提供商可以在其“休息”时间内通过其他公司或实体开始提供远程医疗服务。这些提供商应确保与知名的远程医疗公司合作,以避免陷入所谓的“网络欺诈”的重点,即所谓的“远程欺诈”安排。提供者组织应了解其医生在常规工作之外的工作;如果医生在不知不觉中参与了潜在的欺诈性远程医疗安排,则可能会对提供者组织的声誉产生负面影响。允许其受雇和签约员工“登月”的提供者组织可以通过向各个提供者提供教育和资源来确保他们知道存在欺诈性远程医疗公司和网络,这些公司可能没有提供者或其患者,从而减轻了风险'-出于最大利益考虑。

承保范围和计费要求。人们日益认识到远程医疗的价值和利益,导致远程医疗服务的覆盖范围和计费要求迅速发展。尽管这些变化可以对远程医疗计划的运营产生积极影响,但组织应仔细审查并及时了解政府和商业付款人对远程医疗服务的要求,因为它们并不像最初出现的那样广泛或自由。组织应确保进行适当的检查,以确保它们使用正确的计费和报销代码。

COVID-19豁免及其最终到期。在COVID-19公共卫生突发事件期间,医疗保险和医疗补助服务中心(CMS)在其1135豁免授权下扩大了远程医疗的支付,并允许提供商使用数十种新的远程医疗服务计费代码。正如我们之前详细介绍的,远程医疗法规在州一级也已放宽 这里 这里 。这种快速的法规变更为医疗服务提供者提供了更大的灵活性,并在COVID-19大流行期间为患者提供了更多的远程医疗服务。尽管进行了这些更改,合法的远程医疗提供者仍应制定适合医学的临床协议,以管理通过远程医疗提供的护理,确保使用安全可靠的技术,并制定操作指南以确保所提供的护理符合所有州和联邦的要求。此外,允许进行这些更改的与COVID-19相关的紧急声明将终止,并且提供者应准备遵守大流行前的法律和法规。

国家执照。为了合法地提供远程医疗服务并为远程医疗服务收费,除非存在例外情况,否则应授予提供者在遇到患者时所在州的各自行业从事执业的资格。作为对COVID-19的回应,许多州已放弃或放宽了许可要求。

重要要点
远程医疗服务提供者应:

  • 在与包括DME公司,实验室和药房在内的其他各方达成协议之前,请仔细考虑其影响,并考虑不同各方将提供与该协议有关的内容。
  • 在营销策略的设计和合规性监督方面要格外勤奋,以确保通过适当的渠道(可能不包括“冷门电话”)联系到患者。
  • 确保满足建立合法医患关系的州级要求。这涉及根据适用的州法律和法规评估提议的安排。这些法律法规中有许多已根据COVID-19进行了更改。
  • 确保提供商的合规性计划适当地解决了远程医疗安排带来的问题,包括仔细审查营销材料以及补偿和计费安排。
  • 仔细评估编码和计费方式,以确保这些方式与政府和商业付款人的要求一致。同样,由于COVID-19,这些要求已发生了很大变化,并且可能会继续发展。

请不要犹豫,与您的常任律师McDermott或本文的任何作者联系 就此主题而言 如果您在构建和评估远程医疗安排以及相关合规性实践和问题时有疑问或需要帮助。



保持联系

主题

档案