羊舌齑
2019-05-21 02:08:13

卫生与公共服务部以一项为期一周的第二次重大隐私诉讼,以275万美元的罚款赔偿密西西比大学医疗中心(UMMC)。

HHS民权办公室(OCR)正在对UMMC的一系列涉嫌隐私和安全违反健康保险流通与责任法案(也称为HIPAA)的行为进行处罚。 该涉及2013年3月医院重症监护室失踪的密码保护笔记本电脑。经过调查,医疗中心确定计算机可能被要求借用的访客盗取。

广告

根据民权办公室的说法,医院的网络可以通过“通用”用户名和密码轻松访问,允许访问10,000名患者的受保护健康信息。 UMMC表示,笔记本电脑被分配到该设备,虽然访问网络需要单独登录,但访问患者记录数据库却没有。

该和解协议还要求制定一项为期三年的纠正行动 ,以解决该机构在调查中发现的不足之处。 具体而言,官员声称医疗中心未能为包含受保护数据的工作站安装物理保护措施,未能为访问电子健康信息的用户实施跟踪功能,并且未能通知受此类违规行为影响的所有个人。 医疗中心不承认和解中的责任。

在一份 ,他们承认了一些缺点,但表示没有证据表明任何受保护的数据是被访问的。

“在过去几年中,UMMC已经开始对其信息安全计划进行重大改进,”该声明称。“在其他举措中,医疗中心要求所有笔记本电脑都安装了加密软件,重组其角色和报告关系。首席信息安全官,并带来了一家外部公司,对其IT安全计划进行全面评估和改革。“

7月18日,民权办公室在2012年和2013年发生4起违规行为后,以270万美元的价格与俄勒冈健康与科学大学(OHSU)达成了另一项HIPAA案件。 在这些情况下,两个未加密的笔记本电脑和一个未加密的拇指驱动器丢失或被盗。 政府官员还表示,医院未能与存储健康数据的云服务提供商签订必要的安全协议。

该大学同意了一项为期三年的纠正行动以解决其安全程序中所谓的缺陷,但医院并未承认和解中的责任。 该大学 ,没有报道称数据处理不当,并且已经在其网络中扩展了计算机加密软件。

最近的一系列和解突显了OCR打算加强执法的意图,因为健康数据违规行为继续成为头条新闻。 6月29日,OCR与一家商业伙伴或承包商宣布了第一份HIPAA 协议,为医院和保险公司等组织处理医疗数据。

在经过2012年试点计划的长时间推迟后,该机构开始了其备受期待的HIPAA审计第二阶段的罚款。7月11日,OCR通知了167家医疗保健组织 - 或者涵盖的实体,因为他们在HIPAA下知道 - 他们选择了探针的桌面审核部分。 该机构最终计划启动现场审核。

HHS还希望扩大对HIPAA框架之外的健康数据的保护,鉴于移动医疗应用程序和可穿戴技术的蓬勃发展,这一领域正在不断增长。 卫生署署长助理卫生部长Karen DeSalvo于7月19日撰写了文章,敦促国会扩大对这些类型健康数据的保护。 就在同一天,DeSalvo办公室向国会发布了一份报告,概述了可穿戴设备如何通过HIPAA裂缝。

报道了这个故事 ,今年秋天推出了仅限用户访问突发新闻以及政策,法规和立法的内幕分析。

这个故事于7月26日下午5:12更新