简要

Memorial 卫生保健 Systems将就可能违反HIPAA的行为支付550万美元

潜水简介:

  • Memorial 卫生保健 Systems已向HHS支付了550万美元,以解决潜在的HIPAA违规行为, HHS周四披露.
  • 六医院非营利系统向HHS的OCR披露了115,143个人 员工不允许访问受保护的健康信息(PHI),并且不得将其泄露给附属的医师办公室工作人员。
  • 几周后达成和解 小孩儿's Medical Center of Dallas was fined $3.2 million 违反HIPAA的行为。

潜水见解:

该和解凸显了医院和卫生系统保持检查和访问控制的重要性。最近 蛋白质报告 发现今年一月发生了31次健康数据泄露 影响388,307位患者记录,有59.2%的违规行为-影响了230,044位患者记录-是内部人员的结果。 2016年,有43%的健康违规行为是 内部人士的结果,这家网络安全公司发现。

HHS表示:“从2011年4月至2012年4月,未经检查的一名附属医师办公室前雇员的登录凭证已被每天访问MHS维护的ePHI,影响了80,000个人。” “尽管已经制定了劳动力访问政策和程序,但MHS未能按照HIPAA规则的要求执行有关审查,修改和/或终止用户访问权的程序。此外,MHS无法定期审查信息记录尽管在2007年至2012年期间由MHS进行的几项风险分析中都发现了这种风险,但由劳动力用户和相关医师实践的用户维护了电子PHI的应用程序的系统活动。”

HHS民权办公室代理主任Robinsue Frohboese建议组织实施审核控制并定期审核审核日志。 “如本例所示,缺乏访问控制和对审核日志的定期检查有助于黑客或恶意内部人员掩盖其电子记录,从而使所涵盖的实体和业务伙伴不仅难以从违规中恢复,而且难以在违规之前进行预防发生。”她说。 

这项与达拉斯儿童医学中心的和解方案突显了HHS十分重视执行违法行为,这可能对医疗服务提供者和卫生系统造成巨大损失。这些和解金的罚款是在其最初的违规通知后的五到七年内进行的,这可能会使一些提供最新数据泄露的提供商感到担忧。

Memorial 卫生保健 System向Healthcare Dive提供了有关该主题的以下声明:

重要的是要考虑到这种解决办法是在六年前就发生了这种情况,并且纪念医疗保健系统主动向卫生部报告了两名雇员的行为及其内部调查结果,涉及附属医生的工作人员和人类服务公民权利办公室(OCR)。得知违规行为后,Memorial迅速采取了行动,以实施旨在监控患者数据使用和访问的新的复杂技术,进一步限制访问以保护患者信息,并制定了新的政策和程序以增强密码安全性。 

纪念馆于2017年2月与OCR达成和解,解决了有关这些违规行为的所有指控.  纪念馆强烈不同意OCR的许多指控,不承担任何责任并选择了解决此案,尽管如此,它仍然同意OCR在维护患者信息安全方面的重要性。我们将继续大力监控患者信息的访问和使用,并维持严格的网络安全和内部保障。

跟随 推特

提起下: 卫生IT 实践管理