What are the 19 HRSA program requirements for FQHCs?

HRSA requires FQHCs to meet 19 program requirements covering: needs assessment, required/additional services, clinical staffing, accessible hours/locations, sliding fee scale, quality improvement/assurance, board authority, board composition, governance, financial management, billing/collections, budget, program data reporting, scope of project, federal/state requirements, health center controlled facilities, organizational structure, contracts/subawards, and conflict of interest policies. Noncompliance can result in conditions of award or loss of Section 330 funding.

How often do FQHCs receive HRSA Operational Site Visits (OSV)?

FQHCs receive an Operational Site Visit from HRSA approximately every 3 years. The OSV reviews compliance with all 19 program requirements. FQHCs should maintain continuous readiness by conducting internal audits and keeping documentation current rather than scrambling before a scheduled visit.

What are the HIPAA requirements for FQHCs?

FQHCs must comply with HIPAA Privacy, Security, and Breach Notification Rules including: Business Associate Agreements with all vendors handling PHI, annual security risk assessments (45 CFR § 164.308), workforce training within 30 days of hire and annually, breach notification to affected individuals within 60 days, and maintaining 6 years of HIPAA compliance documentation.

Can FQHCs bill two encounters on the same day?

Under Medicare PPS, FQHCs can bill 2 encounters on the same day if the patient sees two different providers for two different services (e.g., medical + behavioral health). Under Medi-Cal, generally only 1 PPS encounter per day is allowed, though some managed care plans may allow exceptions. FQHCs cannot bill 'incident-to' like private practices.

What is the False Claims Act penalty for FQHCs?

The Federal False Claims Act (31 USC § 3729-3733) imposes penalties of $13,946 to $27,894 per false claim plus treble damages (3× the overpayment). Common FQHC false claims include: billing incident-to, billing without face-to-face encounters, upcoding E/M levels, and 340B duplicate discounts. Whistleblowers receive 15-30% of recovered funds.

What is required in a HIPAA Business Associate Agreement (BAA)?

Every vendor that creates, receives, maintains, or transmits Protected Health Information (PHI) must sign a BAA before receiving any patient data. This includes EHR vendors, clearinghouses, cloud storage providers, billing services, and telehealth platforms. A missing BAA is an automatic HIPAA violation if that vendor experiences a breach.

How quickly must FQHCs report a HIPAA breach?

FQHCs must notify affected individuals within 60 days of discovering a breach. If 500+ individuals are affected in a state, prominent media outlets must also be notified. All breaches must be reported to HHS OCR via their breach portal. Breaches affecting fewer than 500 individuals must be logged and reported annually by March 1.

What is the most common HIPAA violation at FQHCs?

The most common HIPAA violation for FQHCs is failure to conduct an annual Security Risk Assessment as required by 45 CFR § 164.308(a)(1). The assessment must cover all systems containing ePHI, physical security, workforce practices, and encryption status. FQHCs can use the free HHS SRA Tool or hire an external auditor.

← Cumplimiento

Cumplimiento HIPAA para FQHCs

Proteja los datos del paciente. Evite multas de $100K+. Conozca las reglas.

Cada proveedor que cree, reciba, mantenga o transmita PHI debe firmar un BAA antes de recibir datos. Esto incluye proveedores de EHR, almacenamiento en la nube, servicios de facturación y plataformas de telesalud.

Riesgos HIPAA Clave

CRITICAL (20)L:4 × I:5

Missing HIPAA Risk Assessment

La organización no ha realizado una evaluación de riesgos de seguridad HIPAA en 12+ meses.

Evaluación de riesgos anual en el calendario de cumplimiento con auditor externo

HIGH (16)L:4 × I:4

PHI Exposure via Email

Personal enviando información de pacientes sin encriptar por correo electrónico personal o no seguro.

Encriptación de correo electrónico aplicada para todos los mensajes salientes con PHI

HIGH (15)L:3 × I:5

Missing Business Associate Agreement

Proveedor manejando PHI sin BAA firmado. Violación automática de HIPAA si el proveedor tiene una violación.

Inventario de PHI de proveedores revisado trimestralmente

HIGH (15)L:3 × I:5

Unencrypted Device with ePHI

Laptop, teléfono o unidad USB perdida o robada con datos de pacientes sin encriptar.

Encriptación de disco completo en todos los dispositivos que acceden al EHR o ePHI

HIGH (12)L:3 × I:4

Non-Compliant Telehealth Platform

Usando videoconferencia sin BAA para visitas de pacientes.

Lista de plataformas de telesalud aprobadas con BAAs verificados

MEDIUM (9)L:3 × I:3

Telehealth Licensing & Supervision Gaps

Expansión de telesalud aumenta riesgo: proveedores fuera del estado practicando sin licencia de CA, relaciones de supervisión no claras.

Verificación anual de licencia de proveedor; Auditoría de BAA y HIPAA de plataforma de telesalud antes del despliegue

Estudios de Caso HIPAA

Multi-site community health center • Central California • 2025

Violación de PHI por Correo Electrónico Sin Encriptar

Desafío: La coordinadora de atención envió una hoja de cálculo con 847 nombres, fechas de nacimiento y diagnósticos de pacientes a un plan de atención administrada usando Gmail personal.

Resolución: Realizó evaluación de riesgos de violación. Notificó a 847 pacientes dentro de 60 días. Reportó al OCR del HHS. Implementó escaneo DLP de correo electrónico.

Costo: $45,000 (remediation costs)

Lección: DLP de correo electrónico es esencial — el personal usará alternativas cuando los sistemas fallen.

Community health center network • Inland Empire, California • 2025

Ataque de Ransomware y Recuperación

Desafío: Ransomware encriptó todos los servidores de EHR y sistemas de respaldo. 23,000 registros de pacientes inaccesibles por 11 días.

Resolución: No pagó rescate. Restauró desde respaldo fuera del sitio. Reportó violación al HHS. Implementó respaldos aislados, capacitación de simulación de phishing y MFA.

Costo: $890,000+ (total incident costs)

Lección: Los respaldos aislados son innegociables. Probar recuperación ante desastres trimestralmente.

Community health center • Los Angeles County • 2025

Robo de Laptop Sin Encriptar — Violación HIPAA

Desafío: Laptop sin encriptar del gerente robado del automóvil. Dispositivo contenía 12,000 nombres, números de seguro social, diagnósticos y listas de medicamentos de pacientes.

Resolución: Realizó evaluación de riesgos de violación. Notificó a 12,000 pacientes dentro de 60 días. Proporcionó monitoreo de crédito de 24 meses. Implementó encriptación de disco completo.

Costo: $1,300,000 (OCR settlement)

Lección: La encriptación es un mínimo de HIPAA — sin excepciones por rendimiento. Sin encriptación, cualquier pérdida de dispositivo se presume que es una violación.

Multi-site FQHC • Sacramento County • 2025

Violación de Asociado Comercial — Incumplimiento del Proveedor

Desafío: Tercera empresa de transcripción médica sufrió una violación de datos: 45,000 registros de pacientes expuestos. Compañía notificó después de 19 días.

Resolución: FQHC notificó a pacientes y HHS OCR. Terminó relación. Implementó auditoría anual obligatoria de cumplimiento de BA.

Costo: $45,000 (patient notification and credit monitoring)

Lección: Un BAA no es 'establecer y olvidar'. La postura de seguridad de los proveedores se degrada con el tiempo. Las auditorías anuales son obligatorias.

Regulaciones Clave

45 CFR § 164.500-534, 45 CFR § 160.103

Regla de Privacidad HIPAA (45 CFR Parte 160 y 164)

Establece estándares para la información de salud protegida (PHI). Define los derechos del paciente a acceder, enmendar y restringir el uso de sus registros.

HHS Office for Civil Rights

45 CFR § 164.308, 45 CFR § 164.310, 45 CFR § 164.312

Regla de Seguridad HIPAA (45 CFR § 164.302-318)

Requiere salvaguardas administrativas, físicas y técnicas para ePHI. Incluye análisis de riesgos, capacitación del personal, controles de acceso y encriptación.

HHS Office for Civil Rights

45 CFR § 164.404, 45 CFR § 164.406, 45 CFR § 164.408

Regla de Notificación de Violaciones HIPAA

Requiere notificación a individuos, HHS y medios (si 500+ afectados) dentro de 60 días del descubrimiento de una violación de PHI.

HHS Office for Civil Rights

45 CFR § 164.502(e), 45 CFR § 164.504(e)

Acuerdos de Asociado Comercial (Requisitos de BAA)

Cualquier entidad que cree, reciba, mantenga o transmita PHI en nombre de un FQHC debe firmar un BAA.

HHS Office for Civil Rights

CA Civil Code § 1798.100-199, CPRA effective Jan 2023

Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de CA

Leyes de privacidad del estado de California que pueden aplicarse a operaciones de FQHC más allá de HIPAA.

California Attorney General

Riesgos HIPAA Clave

CRITICAL (20)L:4 × I:5

Missing HIPAA Risk Assessment

La organización no ha realizado una evaluación de riesgos de seguridad HIPAA en 12+ meses.

Evaluación de riesgos anual en el calendario de cumplimiento con auditor externo

HIGH (16)L:4 × I:4

PHI Exposure via Email

Personal enviando información de pacientes sin encriptar por correo electrónico personal o no seguro.

Encriptación de correo electrónico aplicada para todos los mensajes salientes con PHI

HIGH (15)L:3 × I:5

Missing Business Associate Agreement

Proveedor manejando PHI sin BAA firmado. Violación automática de HIPAA si el proveedor tiene una violación.

Inventario de PHI de proveedores revisado trimestralmente

HIGH (15)L:3 × I:5

Unencrypted Device with ePHI

Laptop, teléfono o unidad USB perdida o robada con datos de pacientes sin encriptar.

Encriptación de disco completo en todos los dispositivos que acceden al EHR o ePHI

HIGH (12)L:3 × I:4

Non-Compliant Telehealth Platform

Usando videoconferencia sin BAA para visitas de pacientes.

Lista de plataformas de telesalud aprobadas con BAAs verificados

MEDIUM (9)L:3 × I:3

Telehealth Licensing & Supervision Gaps

Expansión de telesalud aumenta riesgo: proveedores fuera del estado practicando sin licencia de CA, relaciones de supervisión no claras.

Verificación anual de licencia de proveedor; Auditoría de BAA y HIPAA de plataforma de telesalud antes del despliegue

Estudios de Caso HIPAA

Multi-site community health center • Central California • 2025

Violación de PHI por Correo Electrónico Sin Encriptar

Desafío: La coordinadora de atención envió una hoja de cálculo con 847 nombres, fechas de nacimiento y diagnósticos de pacientes a un plan de atención administrada usando Gmail personal.

Resolución: Realizó evaluación de riesgos de violación. Notificó a 847 pacientes dentro de 60 días. Reportó al OCR del HHS. Implementó escaneo DLP de correo electrónico.

Costo: $45,000 (remediation costs)

Lección: DLP de correo electrónico es esencial — el personal usará alternativas cuando los sistemas fallen.

Community health center network • Inland Empire, California • 2025

Ataque de Ransomware y Recuperación

Desafío: Ransomware encriptó todos los servidores de EHR y sistemas de respaldo. 23,000 registros de pacientes inaccesibles por 11 días.

Resolución: No pagó rescate. Restauró desde respaldo fuera del sitio. Reportó violación al HHS. Implementó respaldos aislados, capacitación de simulación de phishing y MFA.

Costo: $890,000+ (total incident costs)

Lección: Los respaldos aislados son innegociables. Probar recuperación ante desastres trimestralmente.

Community health center • Los Angeles County • 2025

Robo de Laptop Sin Encriptar — Violación HIPAA

Desafío: Laptop sin encriptar del gerente robado del automóvil. Dispositivo contenía 12,000 nombres, números de seguro social, diagnósticos y listas de medicamentos de pacientes.

Costo: $1,300,000 (OCR settlement)

Lección: La encriptación es un mínimo de HIPAA — sin excepciones por rendimiento. Sin encriptación, cualquier pérdida de dispositivo se presume que es una violación.

Multi-site FQHC • Sacramento County • 2025

Violación de Asociado Comercial — Incumplimiento del Proveedor

Desafío: Tercera empresa de transcripción médica sufrió una violación de datos: 45,000 registros de pacientes expuestos. Compañía notificó después de 19 días.

Resolución: FQHC notificó a pacientes y HHS OCR. Terminó relación. Implementó auditoría anual obligatoria de cumplimiento de BA.

Costo: $45,000 (patient notification and credit monitoring)

Lección: Un BAA no es 'establecer y olvidar'. La postura de seguridad de los proveedores se degrada con el tiempo. Las auditorías anuales son obligatorias.

Cumplimiento HIPAA para FQHCs

Acuerdos de Asociado Comercial

Derechos del Paciente

Protocolo de Notificación de Violaciones

Requisitos de Capacitación del Personal

Evaluación Anual de Riesgos de Seguridad

Riesgos HIPAA Clave

Missing HIPAA Risk Assessment

PHI Exposure via Email

Missing Business Associate Agreement

Unencrypted Device with ePHI

Non-Compliant Telehealth Platform

Telehealth Licensing & Supervision Gaps

Estudios de Caso HIPAA

Violación de PHI por Correo Electrónico Sin Encriptar

Ataque de Ransomware y Recuperación

Robo de Laptop Sin Encriptar — Violación HIPAA

Violación de Asociado Comercial — Incumplimiento del Proveedor

Regulaciones Clave

Regla de Privacidad HIPAA (45 CFR Parte 160 y 164)

Regla de Seguridad HIPAA (45 CFR § 164.302-318)

Regla de Notificación de Violaciones HIPAA

Acuerdos de Asociado Comercial (Requisitos de BAA)

Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de CA

Cumplimiento HIPAA para FQHCs

Acuerdos de Asociado Comercial

Derechos del Paciente

Protocolo de Notificación de Violaciones

Requisitos de Capacitación del Personal

Evaluación Anual de Riesgos de Seguridad

Riesgos HIPAA Clave

Missing HIPAA Risk Assessment

PHI Exposure via Email

Missing Business Associate Agreement

Unencrypted Device with ePHI

Non-Compliant Telehealth Platform

Telehealth Licensing & Supervision Gaps

Estudios de Caso HIPAA

Violación de PHI por Correo Electrónico Sin Encriptar

Ataque de Ransomware y Recuperación

Robo de Laptop Sin Encriptar — Violación HIPAA

Violación de Asociado Comercial — Incumplimiento del Proveedor

Regulaciones Clave

Regla de Privacidad HIPAA (45 CFR Parte 160 y 164)

Regla de Seguridad HIPAA (45 CFR § 164.302-318)

Regla de Notificación de Violaciones HIPAA

Acuerdos de Asociado Comercial (Requisitos de BAA)

Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de CA