简要

Anthem支付了1600万美元的最高HIPAA罚款

潜水简介:

  • 国歌已同意 支付1600万美元 在2015年进行了一系列针对性的网络攻击,揭露了将近7900万人的电子保护健康信息(ePHI)之后,HHS公民权利办公室(OCR)解决了历史上最大的健康数据泄露事件。

  • 8月批准的另一笔1.15亿美元和解金将 支付四年的信用监控 以及受影响个人的所有其他索偿,成本和费用。剩余的款项将用于支付超出原始1500万美元准备金的自付费用的有效索偿,将信用监控和欺诈解决服务扩展到四年期限之外,最后扩展到慈善事业。

  • 该和解协议于2017年8月获得法院的初步批准,要求Anthem采取一项纠正措施计划,以使其符合HIPAA规则。然而, 国歌不承认有任何不当行为,或承认攻击导致任何受益人受到伤害。

潜水见解:

该和解凸显了美国久发国际保健在以下一个方面的主导地位: 安全漏洞.

在今年上半年,久发国际保健在公共数据泄露方面领先于所有行业。最大的久发国际卫生机构是211 LA Country,通过意外损失暴露了350万条记录。

将其乘以大约23,就可以得出2015年Anthem违规的严重程度。作为其中之一 全国最大的健康福利公司 对于每8个美国人中就有1个而言,巨额的支付者对于希望获得大量健康数据的黑客来说是一个巨大的标志。

该网络攻击称为“高级持续威胁攻击”,使犯罪者能够不受检测地访问Anthem的IT系统,并且在2014年12月2日至2015年1月27日期间,窃取了大约7900万人的健康数据。

根据OCR调查,损坏的数据包括姓名,社会安全号码,久发国际身份证号码,地址,出生日期,电子邮件地址和就业信息。

Anthem在发现攻击后约两个月,于2015年3月向OCR提交了违规报告。备案后,该公司发现黑客已通过网络钓鱼电子邮件渗透了其数据基础结构,并在至少一名员工对欺诈性电子邮件做出回应并向黑客敞开大门之后发送给Anthem子公司。

随着攻击范围的扩大,OCR调查显示,Anthem无法采取基本的安全措施来保护患者ePHI,例如进行企业范围的风险分析或定期检查信息系统活动。 

OCR主任罗杰·塞韦里诺(Roger Severino)在一份声明中表示:``美国历史上最大的健康数据泄露事件完全值得历史上最大的HIPAA解决方案。'' “ Anthem未能实施适当的措施来检测能够访问其系统的黑客,以获取密码并窃取人们的私人信息。”

1600万美元的和解金额超过了Advocate Health Care在2016年向OCR支付的555万美元的最高价。

更正:本文的先前版本将1.15亿美元的集体诉讼和解误贴为OCR罚款。 

跟随 推特

提起下: 卫生IT 政策& Regulation