Episode 107:
Telehealth Fraud, AI, and Cybersecurity: The Compliance Landscape in 2025

Episode Transcript

Welcome, everybody, to another episode of compliance conversations. I am CJ Wolf with Healthicity, and today's guest is Susan Wahlberg. Welcome back, Susan.

Thank you. Good to be here.

Has been thank you so much for being here. Susan's been a guest before, and, has so much good information to share with all of us that we we invited her back. And, we have some new information for you from Susan, and, love to have her we're gonna jump into those topics in a moment. But, Susan, you wanna refresh our listeners a little bit about yourself and and, maybe introduce yourself briefly?

Sure. Sure. My background is I'm a health care attorney. I've been doing things in the compliance space one way or another for about thirty five years, did fraud investigations, worked as a CMS sub, worked worked as an attorney, compliance officer. Now I do independent consulting, so I have my own consulting business.

And the other flip side of what I do for, I guess, not even for a living, but less sort of, is that I do a lot of writing. So I've got books out there.

One of my latest is a health care technology law and compliance book, and I get into some of the topics from today as well as things like AI and and some other topics. And I write novels as well. So, those things keep me busy. So do consulting and do writing, and that kind of takes up my time, but I love it.

Yes. That's so great, and we're grateful for your expertise in those areas. And one of the things that you told me is you're you're trying to make compliance cool.

So you you write you write these thrillers, right, or or novels, fiction. Tell us a little bit about that because I don't think we've ever had a guest to who who who does that. My kids think my job is the most boring thing in the world when I try to explain to them what I do, compliance officer. So tell tell me about the book and how I can make them read it and so they know I'm actually cool.

Oh, okay. Well, I mean, really, it's a it's a medical legal thriller. Right? But the reason I like compliance is because to me, it's the nexus between law and medicine.

Right? So to me, a medical legal thriller, almost by definition, is a compliance thriller. But when it's written by a compliance person, it's written from that inside perspective. Like, if you're in a hospital and these things happen and you have to go investigate or there's, you know, of course, when you write a novel, there's bad guys and there's, you know, it's not just doing audits or whatever.

But there is, those sorts of elements, and I'm writing a series. I call it the deception series. The first one was Hippocratic Deception, which was dirty doctors and a hospital setting, drug diversions, some stuff like that. Yeah.

And then the second one, which I just released, I'm excited about because I think it's a it's a pretty cool book, is, Angels of Deception. It's in a nursing home, and it's a mercy killer storyline with some subplots of politics and drug abuse and a whole bunch of other stuff. One of the points of view is an old lady who's a resident, and then there's a young attorney that's helping her. So it's fun.

It's a fun thing to write about, but I do feel like it's it's a compliance thriller. Right? That's just the perspective that it's written from. So, anyway, that's a plug, but it's also just I feel like I like to write the books that I would wanna read.

Right? As a current rights person, like, there's not much out there for us. There's medical. There's legal.

This is this is for us.

So That's that's great.

And it sounds like it's a series. You'll have some others coming as well. And I think Yes. You'll be able to share we'll share in the show notes links to these books and how people can can get them and and read them. So thank you for sharing that. I I'm gonna wanna read that because, yeah, I just think that's kinda cool coming from that perspective.

So Yeah.

It's fun. I gotta I gotta put compliance out there as being a, you know, a cool thing.

So Yeah.

So I because I was once trying to, like, come up with some eye catching thing for when we were doing compliance training. And there was a movie. It wasn't health care compliance, but it was with, what's the actor's name? Last name is Pine.

He was in the Star Trek movies and Chris Pine. So this was a few years back. He was a compliance officer, and they were like or he he he was involved in, like, investigating espionage in, like, Russia or somewhere in in Europe, and his his cover was as a compliance officer for a financial firm. And so, that was, like, the first movie I've ever seen where somebody even mentioned a compliance officer.

So Oh, yeah.

I've got mentions in every one of my books.

So Cool.

Well, good. Good. We'll we'll look for those, and we'll have our viewers look for those as well. So, today, we wanna talk a little bit about telehealth. Right?

And you have a lot of experience there. And, you know, since the pandemic, telehealth, I think, is it was already being practiced before the pandemic, but it's solidified. Right? Like, it's here to stay.

People like it. You know, congress might have to pass new laws so that it's covered by Medicare and all these sorts of things. Exactly. I think the wave is moving in that direction, and and we're not gonna move backwards. I think it's only gonna become more and more, prolific as as, you know, as time goes on. And so, you know, with your background and experience, maybe you can share with us, what are some key considerations when setting up a new telehealth practice? Like, what do you advise clients and and others?

Sure. And just before I start as a side note, you know, all the stuff that congress is doing, and not to at all get political, but there's so much emphasis on the technology with the new administration.

You know? You still have the tech bros lined up.

Yeah.

I think that it's pretty likely that we're gonna see more and more focus on the technology. So I think concerns about the continuing resolution, I mean, I get that, but I think that it's it's gonna be it's gonna be front and center. I I totally agree. People want telehealth. And now that you've got all the tech guys that are probably influencing policy decision making even more. Right.

So Yeah.

You know, and just, like, culturally, you know, we people do things on their phones. Right? Like, I pay my bills through my bank on my phone. I, you know, I I set up other appointments to get my tires changed. I you know? So why not in health care? And so I think just the public's gonna demand it and over it might not happen overnight, but over time, it's just gonna be the way that we interact with health care, I think, more and more.

I I agree. And I I wanna get to your question, but one of the things that I learned when I was writing the health tech book was how much those apps have been taking our data and selling it.

And the FTC is cracking down on that with the data breach notification law because its apps are outside of HIPAA's purview.

So people just need to know that too. You know, everyone's got their fitness tracker and their diabetes monitor and this, that, and the other thing. And that data's been unless you consent to letting them do it, you know, they're not supposed to be sharing that with Google and Facebook and whoever else.

That's a great that's a great point too because and a lot of us health care compliance professionals haven't really interacted a lot with the FTC.

I I was a compliance officer for an international medical device company, So I did interact a little bit more when, you know, when you're in that kind of part of health care. But, like, if you're in hospital, you might a lot of our listeners might not be as familiar with FTC. So I'm glad you bring that up. Is you know, there's there's kinda new eyes, you know, of compliance, in in different areas in the government.

Yeah. There is. And the FTC and and I just I learned this when I did the book because I didn't know it either. But the FDA also, you know, we have software as a medical device.

That's right.

FDA. So, I mean, that's why I did the book actually because and I'm not trying to plug myself here. I'm just trying to paint the picture of the complexity of all these laws. It's not just HIPAA. You know? And I think we're all trained to think it's HIPAA.

And it's Right.

And that's Yep.

Anyway, you asked me about the setting up of a practice.

And I'm thinking here of a practice that crosses state lines, like setting up not just a sole office where you're gonna provide it for your patients, but setting up an actual practice.

One of the things that people need to really understand is the licensure issues. So licensure, where you're operating out of, but also where are your patients? Where are you providing services?

There's a lot of nuances there, and HHS has has weighed in on it.

Must be licensed where they are located and be licensed or allowed to practice in the patient state.

So, I mean, that's a pretty big deal if you're trying to set up. And I did talk to one physician who's who's done that when I was working on this book, and and he was telling me how difficult it is. The licensure requirements. So then each one has a cost.

Each one has education requirements. Each one is different. So, I mean, I'm visioning a spreadsheet here, right, with, like, every state and every single Nuance for every license. The owner has to have a license.

The providers do.

So that's just one of the one of the cumbersome things.

Although they are creating these multistate compacts, you you know, where there's, like, reciprocity.

So Yeah.

And I on that point, on that point yeah. And on that point, I've seen that nursing seems to be ahead of the game because, like, RNs and stuff because there's a lot of travel nurses. Right? And so that reciprocity and and cooperatives on licensing is definitely something that's happening and is gonna continue to happen. And, again, I think nursing is a little bit ahead of the game. So if we wanna see where maybe medicine, you know, MDs or physicians or nurse practitioners, PAs, where their licensing cooperatives may go, they may look at how successful the nursing was and and maybe kind of follow similar patterns.

Exactly. Exactly.

Another thing is accreditation. Joint commission now accredits telehealth practices.

So that was, that's a good one. Maybe everybody knows that. I don't know.

Insurance know that.

You know, insurance for telehealth, cybersecurity, professional liability, just those practices. I think that the concern is a telehealth practice might be viewed as simpler or easier, and it's not. You know, it's everything you would have to do and then some, for a regular medical practice.

The hiring. So thinking about background checks and exclusion checks. Right? So if you have a practice that you're based in, I'll say Florida, that's where I am, but you wanna have ten other states where you're seeing patients, then, you know, where are your practitioners located? They may not even be in those ten states. So Yes. If you're gonna contract or hire, you know, where are all those people located?

You know, you need background checks, exclusion checks, and also where have they been located because we all know the bad guys move around too. So there's just a lot of care that needs to be taken when you're doing things remotely and people are scattered all over. And that's true for any practice now. I mean, telehealth is everywhere. Right? Every people have all sorts of jobs where people work remotely. So that's just a a general word of caution to or a reminder.

The technology being used when you're setting the practice up, because the laws are changing, HHS requirements and guidance is changing. So I would say before you invest, be very careful that you're investing in something that, you know, HHS or Congress or whoever isn't gonna turn around in two weeks and say, no. We're not allowing that anymore.

So those are just kind of a top of mind, like, kinda high level Right.

Setting up a practice, things to think about. Yeah.

Oh, great. All great thoughts. So you mentioned kinda, you know, states. Right? So what are some key areas where state laws might pose some challenges for telehealth practice aware of?

Well, informed consent is a big one that comes to mind.

And think particularly I mean, you have to have informed consent before you provide the services, and that's not really a new thing.

But thinking about issues like minors.

So you've got minors in another state, and they might be allowed to consent to their own care. They might be seventeen years old, but they can consent to psychiatric or reproductive health or, you know, drug counseling or something. So each state, those are those are different in every state. I mean, I've worked in a variety of states, and they do vary.

And then also along those same lines, those minors can also have their records not be released. I mean, they've got rights.

So there's a lot of things when you're when you're building systems and processes just to really be mindful of of the consent issues. And I always think of minors because I've run across so many of those sorts of issues.

Sure.

Let's see. Oh, establishing the patient physician relationship, that's a state law issue, and that has to do with you know, some states might require an in person visit before telehealth is allowed.

Behavioral health is a big area for that.

But Right.

In other areas as well. So, again, if you're gonna be doing business in ten different states, you know, you gotta know what those those laws are to make sure that you don't run a foul.

Prescribing. Prescribing is another one. Now the the controlled substances, generally, if I recall correctly, I have my notes here. You need to have the in person first for controlled substances, but there's prescribing laws in general that vary across states too. So what can you do via telehealth?

So those are those are some of the key state issues other than, you know, the general, you know, that are everywhere, like fraud and abuse and security and privacy and, you know, those things that we all we already know about, but you can't forget those. They're Yeah.

Instead. Exact exactly. And, you know, on the top topic of prescribing, I would also think scope of practice might be an issue. Right? Like, some states might allow like, I've even seen some states allowing pharmacists to prescribe very, very limit in very, very limited scenarios, certain things.

Mhmm.

You know, practitioner might have certain prescribing rights in one state, but not in another. And so kind of all that scope of practice type of stuff too. Right?

Exactly. Exactly. Yeah. All of that. And that's a great point. And and that also goes back to who can provide services where also via telehealth.

I mean, HHS has a big piece in defining that, and, obviously, they're gonna pay for that or not, but the states as well. So that's yeah. It's complicated. It's really complicated.

I wouldn't wanna set one up in a whole bunch of states. I think I'd have a headache all day long.

Good. But it's that's where we're headed. And I think it will get easier and more streamlined as time goes on with, like, these multistate compacts and HHS rules. I think it will streamline.

I'm hoping. Yeah.

Yeah.

I think you're right. We're gonna take a quick break, everybody, and then we're gonna come back and talk some more, about telehealth. So, hang in there, and and we'll be right back.

Welcome back from the break, everybody. We're talking with Susan Wahlberg about telehealth. And I I should have probably mentioned at the beginning, we're on purpose, we're kinda staying away from the billing and coding rules.

We have done some other episodes, with some with some guests that are that dive a little deeper into that. So we're we're kind of looking at this on purpose intentionally. We're kinda staying away from those things in this particular episode. So, Susan, tell us a little bit about other compliance risk areas that that people might need to be aware of in in telehealth practice.

Okay.

I think that I mean, you have all the same issues as with a regular practice, but I think party partly because everything keeps changing, you need to be especially mindful. Like you said, at the billing and coding and, I mean, I know people that are do deep dives on that, and it's it's constantly changing.

But you have to stay on top of that. The privacy and security, there's a new proposed security rule out, and that rule is going to be affecting the smaller providers because it's requiring the risk analysis that used to be a little bit more of an addressable. And now it's a mandate, along with a whole bunch of standards that go along with that. So I think that's gonna impact some of these smaller organizations and and telehealth practices for sure. Just keeping on top of and and security, you know, you've got people. How are they accessing?

What's going on with the data? Are you storing it? What what systems are you using? I think there's there's just a lot more analysis that needs to happen when you're dealing with data in in that way. And if you're storing it, if you're transmitting it, It's just, you know, compliance, privacy, security on steroids and making sure that everybody understands it.

Beyond the billing and the security, the other huge area, and this one I wanna get into a bit, is the fraud and abuse concerns.

In July of twenty twenty two, the OIG was had already issued a fraud alert. And in that fraud alert, they were warning providers to be on the alert for the telemedicine, telehealth companies that were basically offering sweetheart deals to providers, getting them to sign off on orders.

You know, things like durable medical equipment, genetic testing, you know, the old braces. Right? Everyone's always getting those fake orders for a brace or DME.

Right.

And that particular warning let's see. I've got some of the highlights here. I have to put my glasses on. But it was it's it's worth highlighting those. The telemedicine company recruits the patient. So they come to the providers, and I'm just going through this because a provider could think that this is a great opportunity to build some business or whatever without realizing what they're getting into.

The telemedicine company has the patient. So these are those phone calls that people get. If you're in a smaller practice or even in a hospital, your patient might say, how come you guys were calling me about a brace or this or that, and we never talked about that? That's these guys.

That's right.

Okay. So that's what these guys are doing. They get these patients, and then they reimburse the provider based on the orders or the volume.

The clinician does not have contact with the patient.

Okay? So or if they do, it's like a two minute.

It's very abbreviated. They have no prior history, and they have no future follow-up.

And then they generate this order. So the telemedicine company typically only provides certain services. Right? So they don't have everything in the book. They're selling, you know, the super duper wheelchairs or braces or whatever, and that's what it's for. So that's another red flag on on these organizations.

What else? I think I've covered the main points, and I have some cases here too that we can talk about. But, I mean, I think it's really I think this is an important one because I think this and variations on this theme are gonna continue to proliferate as well, the fraudsters are always, you know, looking for new ways. And as technology keeps increasing, probably more opportunities where they're gonna be hacking into more records and using some of these strategies where the providers are the ones that they still need the providers.

So That's right.

They need that provider to sign an order or something like that. And before we get to some of those specific cases, I'm glad you mentioned the kind of the cybersecurity and the HIPAA security rule and the and the new proposals.

Just to kinda give folks a flavor, you know, when when the HIPAA security rule was released, that was, you know, many, many years ago, and they used the term workstation. Right? Like, access to a workstation. And back then, it was like a computer or, you know, a desktop or something.

And so one of the proposed changes in the in the rule adds language to workstation, meaning it could be a phone now. Right? It could be so don't think of workstation as this physical location on a desk. Workstation access to a workstation is almost any device now that gives you access to PHI.

And so I think, you know, that's kind of what you were referring to with this proposed rule. It it would be helpful for everyone to kinda read that those proposals because it's those type of nuances that they're they're honing in on. They're kinda giving it an update. You know? It's twenty twenty five now, folks. It's not twenty ten.

Yeah. Yeah. I mean, HIPAA has been outdated, I think, for a while. Some of the some of the languages. One of the other things, and I know we're getting a little off track, but I like to mention things when I think they're important.

This whole thing about having a designated security officer, and they that's been there. That's not a new thing. They did a little clarifying language, but I just wanna point out to anybody who's listening that might be a small practice in particular that just having an IT vendor is not meeting that requirement.

That's right.

Everyone I've worked with almost, even larger organizations, they're like, well, we have a vendor for that. It's like, is it in your contract that they're your designated security officer? Will they do their patches? They do no.

No. No. It's a whole different thing. And but people still don't understand that. And, I think that's might be why they highlighted that issue and beefed it up a little or clarified it.

People need to understand that. So just if you're not sure, check your contracts, make sure you got someone designated because the guy that does your your patches and your software updates probably doesn't know the security rule regulations, probably isn't ready to do your risk assessment every year, you know, or manage a breach. You know, it's a different skill set.

And That's right. People just And that security officer or that security official has a definition in the regs, and it talks about things like ownership.

Right? That person needs to own and feel the weight of the importance of security and policies and procedures and all that. It's not just, like you said, not just that technical person who understands, like, an encryption level or something like that.

Though those are important too.

So Yeah. Exactly. And and, also, like, to add to what you said, just giving it to some guy in the IT department is not fair to the person.

And I've certainly done as well. It's It's like, oh, well, Joe can handle it. It's like, yeah. Well, does Joe really know what he's getting into?

I mean, he's gonna be on the firing line.

You know?

And That's right.

So everybody needs to needs to understand some of that stuff.

So, Susan, I know you've you've prepared a couple cases you might wanna talk about, as they relate to telehealth. So anything you wanna share about maybe some examples of cases?

Yep. Absolutely.

I've got a few of them here, and they kinda go along well, two of them, I believe, go along with that that fraud announcement or the fraud alert. And these are new. I mean, these are two of them are this year. So one of them is let's see. Two Iowa health care practitioners have entered into civil settlements to resolve allegations they violated the False Claims Act by knowingly causing the submission of false claims to Medicare as part of the telemedicine scheme.

So these guys were not only doing orders, but they were also billing office visits. They were really maximizing their opportunity there.

So that was one of the ones that they got caught for it.

And and there that was January sixteenth.

So that's new.

That's new.

January tenth, telehealth company pays three hundred and eighty six thousand to resolve allegations of overbilling.

This one was, Sykes services, and what they were doing there was basic fudging your time records. You know, that's not unique to telehealth.

But But now there's a new avenue to do it in.

There's a new avenue, and they got caught, and they're they're paying for it. So Gotcha. You have people on all the time that talk about the importance of accurate documentation.

So, but now it's in the telehealth realm. And then let's see. This third one I have, criminal convictions and settlements.

Criminal convictions and civil settlements.

Takedowns of marketers and owners of medical supply companies. Yeah. These were this was just another case. This one was out of Michigan.

Okay.

And the doctors were involved in telehealth fraud schemes, ordering braces and genetic tests, you know, and the difficult language here. They were accused of wasting Medicare dollars and oh, here's an interesting this is why I pulled this case. This enforcement action is part of operation happy clickers, a joint initiative involving the US attorney's office, the US Department of Health and Human Services, office of OIG, and the FBI.

So happy clickers.

That's the new I remember I remember that one.

And and it was like you said, it was like this combined cooperation and enforcement agencies. They called it operation happy clickers. They were after people, and they called it happy clickers because part of the the fact pattern was pea the doctors were just clicking orders within sometimes within ten seconds. So it's like, okay.

In ten seconds, you evaluated this patient's history. Did you even see the patient? And then you said it's medically necessary. They need this DME or they need this genetic testing.

And so I remember reading that one too. Part of what they were about was like, you just got these people happy clicking with their mouse going through, you know, a thousand orders in an hour, and that just doesn't that's just not doesn't, you know, that doesn't make any sense. So I'm glad you brought that up.

Exactly. So those are the three cases I have. And I don't know if there was, those are just the top of mind topics that I had, but I don't know if there's any other aspects of the telehealth, that you wanna talk about.

No. We're we're kinda getting towards the end, and, of our time on on this topic. If if you have any last minute thoughts, I'd welcome those. But before I let you you do that, I would, you know, just kinda say that, what Susan has shared, I I can't agree with more.

It it it's just kind of this new avenue. Like, the way to do things wrong, like, doing things wrong and inappropriate is kinda always gonna be around. There's always bad people. There's always people who might be good people that just get caught up in trying to generate revenue or something.

So those motivations and principles are always gonna be there. It's just there's now kinda new ways to do it. And people are like, oh, well, now let's get into telehealth. Everyone's doing it.

Okay. But let's now apply these principles of how you can go astray in this new environment or in this new, you know, ball field, if you will, or or playground. And so Yeah. You know, those of us that have been doing compliance for twenty, thirty years kinda see these same things repeating just with a little bit different flavor, or in a different space.

So I'll let you if you have any last minute thoughts or or comments before we before we wrap up, I'll let you share those.

Just one thing. Well, I guess a couple things. One of them is AI. We've not talked about AI.

That's coming hot and heavy as we know. I mean, there's some great efficiencies to be had. It also kind of is scary because, you you know, if they start letting AI make clinical recommendations, how long before doctors are just signing off on those recommendations?

Right.

The other thing is how are AI systems getting trained? How are they getting that data?

You know, we need to be mindful of that. In fact, my next novel involves this topic. So this is something I've been kinda digging into too. But mostly just because I'm interested in it because I can envision a world where people are selling patient data to AI developers.

Yes. Because they need a they need a database to learn off of. AI the whole principle of AI is they it needs to learn off of existing information that's out there. And so great point.

Yeah. So that's that's a big one.

And and I just suggest that people just stay on top of that. And then the other thing is, you know, like I talked about very early on, and this is just something that I learned when I did this book. There's so many agencies now that are looking at some of these issues. And I think it's very smart for us. It behooves us to understand some of these kind of new, fabric of regulations.

Some of the old regs are being used in new ways. You know?

That's right.

Deceptive trade practices are now being used for cybersecurity.

I mean, they're really enforcing things in a weird way. You know? The the jelly bean case. A web developer is now violating HIPAA, but it's treated as a false claims act. There's just some crazy stuff out there, and I think that the regulations have not caught up yet.

So That's right.

I just think people need to kind of understand that that framework that's really kinda crazy right now, where you can have HHS or FTC, FDA, and there's, I think, a few others, SEC. I mean, they're all getting in involved. You go to their websites, and you can find things about telehealth and technology and cybersecurity on all of them. That's right. And they're being treated like false claims or HIPAA violations. I mean, it's Yeah. Really crazy.

It's such a good point. You know, your comment about AI, you know, the Department of Justice released, updates to their evaluation of effective corporate compliance programs.

I believe it was September of last year, and the the updated language had to do with AI.

They they asked, how is AI being used in your organizations, and could it be leading to areas of noncompliance? So I found that interesting. And the second one on cybersecurity, you're absolutely right. I think with these false claims act, kind of theories of how to use that law, both Penn State and Georgia Tech, had government contracts.

So these this wasn't even in health care. This was in Department of Defense. Mhmm. They had contracts with DOD, and in the contract, it required certain level of encryption and certain level of data protection.

Mhmm. And these universities allegedly were not meeting that. And so the government said, well, that's a false claim. Right?

Because you agreed in the contract, we'd pay you x, and in return, you would do all these things. One of those things was this level of encryption and Exactly.

And so they dinged them that way. So I'm I'm glad you brought that up. It's just kind of novel ways, kind of the same laws, but used in different novel ways.

Yeah. And I think as compliance people, and I don't wanna beat this dead horse to death, but think about like when you're educating leaders and boards and you want to make them appreciate risks. I think that some of these cases are an interesting way to show them that it's a new world.

And there's there's a lot of people watching now. It's it's not just, oh, the OIG or, oh, CMS. It's there's a whole lot of folks that are real interested in in cybersecurity and and and data protection, you know, selling data, all of that stuff.

Well, Susan, it's always a pleasure to talk to you, and I learn something every time I I speak with you. I'm looking forward to to reading more about this compliance thriller, and, making compliance cool. I love the way that you said that.

And so thank you so much for your willingness to share your time and expertise.

No. I love it. You're you're fun to talk to. It's always enjoyable.

Well, thank you, and thank you to our listeners.

As always, we invite you to, submit to us topics or speakers or guests that you'd like to hear more about on the podcast. So please don't be shy. Share your ideas with us.

And until next time, take care, everyone.

Thanks.

This transcript has been auto-generated. Please forgive the errors.