Yönetişim ve Risk Yönetimi, HIPAA/HITECH, Gizlilik
Yalnızca 2.250 Kişiyi Etkileyen 2 İhlalde ‘Uzun Süredir Devam Eden HIPAA Eksiklikleri’ Bulundu
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Eylül 2023
Federal düzenleyiciler, yaklaşık 2.250 kişiyi etkileyen nispeten küçük iki ihlal için potansiyel HIPAA ihlallerini çözmek için büyük bir Kaliforniya sağlık planını 1,3 milyon dolar para cezasıyla vurdu. Ancak yetkililer “uzun süredir devam eden HIPAA eksikliklerinin” sigorta şirketinde “sistemik” bir sorun olduğunu belirtiyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sivil Haklar Dairesi Pazartesi günü yaptığı açıklamada, Los Angeles merkezli LA Care Health Plan’daki iki olayla ilgili soruşturmasında, kuruluş genelinde HIPAA Gizlilik ve Güvenlik Kurallarına potansiyel uyumsuzluk olduğuna dair kanıt bulduğunu söyledi. Bu kapsanan varlığın büyüklüğü göz önüne alındığında ciddi bir endişe.”
LA Care, web sitesinde kendisini “ülkenin kamuya açık en büyük sağlık planı” olarak tanımlıyor ve Medicaid ve Medicare gibi eyalet ve federal programların yanı sıra Ekonomik Bakım Yasası sigorta planları aracılığıyla 2,9 milyon üyeye sağlık yardımları ve teminat sağlıyor.
HHS OCR direktörü Melanie Fontes Rainer Pazartesi günü yaptığı açıklamada, “Korunan sağlık bilgilerinin HIPAA tarafından düzenlenen bir kuruluş tarafından ihlal edilmesi, genellikle HIPAA Kurallarına sistematik uyumsuzluğu ortaya koyuyor” dedi. HIPAA Kurallarına uyun ve OCR’nin uzun süredir devam eden HIPAA eksikliklerini ortaya çıkarmasını beklemeyin.”
HHS OCR, LA Care ile ilgili soruşturması sırasında olası ihlalleri tespit etti. Düzenleyiciler, sigorta şirketinin doğru ve kapsamlı bir güvenlik riski analizi yapmak, riskleri ve güvenlik açıklarını azaltmak için güvenlik önlemleri uygulamak ve elektronik korumalı sağlığın güvenliğini etkileyen çevresel veya operasyonel değişiklikleri ele almak için periyodik teknik ve teknik olmayan değerlendirmeler yapmak da dahil olmak üzere HIPAA gerekliliklerini karşılaması gerektiğini söyledi. bilgi.
İhlal Ayrıntıları
HHS OCR’nin soruşturmasının merkezinde yer alan iki ayrı LA Care güvenlik olayı sırasıyla Ocak 2014 ve Ocak 2019’da meydana geldi.
HHS, ilk olayla ilgili olarak, 24 Ocak 2014 tarihinde ödeme portalına giriş yapan bazı LA Care sağlık planı üyelerinin, Mart 2014 tarihli çevrimiçi bir makaleye dayanarak Ocak 2016’da LA Care için bir uyumluluk incelemesi başlattığını söyledi. başka bir kişinin adını, adresini ve üye kimlik numarasını görüntüleyebilir. HHS OCR, iki gün içinde gerçekleşen açıklamaların yaklaşık 750 kişiyi etkilediğini ve bunun “manuel bilgi işleme hatasından” kaynaklandığını söyledi.
HHS OCR, LA Care’in, ajansın olayla ilgili soruşturması sırasında Şubat 2016’da HHS OCR’a kazayla ilgili bir ihlal raporu sunduğunu söyledi.
İkinci olay 30 Ocak 2019’da meydana geldi ve 15 Mart 2019’da LA Care tarafından HHS OCR’ye bildirildi. Bu olayda LA Care, Los Angeles Kamu Sosyal Hizmetleri Departmanının bazı LA’ların sağlık planına bilgi verdiğini bildirdi. Bakım sağlık planı üyelerine gönderilen posta kimlik kartları diğer üyelere yöneliktir.
Bu posta hatası yaklaşık 1.500 kişiyi etkiledi.
LA Care, HHS OCR ile yapılan çözüm anlaşması kapsamında mali uzlaşma ödemesinin yanı sıra bir düzeltici eylem planı uygulayacaktır.
Bu plan, LA Care’in, kurum çapında bir HIPAA güvenlik riski analizi yürütmeyi, risk analizinde belirlenen güvenlik sorunlarını ele almak ve azaltmak için kurum çapında bir risk yönetimi planı geliştirmeyi ve iş gücüne artırılmış bir HIPAA güvenliği geliştirmeyi ve sağlamayı içeren önlemler almasını gerektirir. gizlilik eğitim programı.
LA Care, Information Security Media Group’a yaptığı açıklamada, HHS OCR’nin olaylarla ilgili soruşturmasının, sağlık planının “kasıtlı olmadığını” belirlediğini ve LA Care’in, tespit üzerine makul düzeltici önlemler aldığını söyledi.
“OCR’nin araştırması sırasında, üye verilerinin gizliliğini ve güvenliğini güçlendirmeye yönelik diğer fırsatlar belirlendi ve LA Care, bu gelişmiş protokolleri ve süreçleri uygulamak için çalışıyor. Keşfedilen bu alanların hiçbiri veri ihlaliyle sonuçlanmadı.” LA Care’in beyanı şöyle:
LA Care, yaptığı açıklamada, “LA Care, işleme hataları nedeniyle, bunların keşfedilmesinden kısa bir süre sonra operasyonel değişiklikler yaptı ve LA Care ve OCR, gelecekte benzer olayların meydana gelme riskini azaltmak için karşılıklı olarak düzeltici bir eylem planı üzerinde anlaştılar.” dedi. ISMG.
LA Care ile yapılan 1,3 milyon dolarlık mali anlaşma, HHS OCR tarafından bu yıl şu ana kadar gerçekleştirilen sekizinci ve en büyük parasal HIPAA uygulama eylemidir.
Bir sonraki en büyük mali anlaşma, Şubat ayında Arizona merkezli Banner Health’e, 2016’da yaklaşık 3 milyon kişinin PHI’sını tehlikeye atan bir bilgisayar korsanlığı ihlali nedeniyle uygulanan 1,25 milyon dolarlık para cezasıydı (bkz: Federaller, Smack Banner Health’i İhlal Ederek 1,25 Milyon Dolarlık Ceza İle Cezalandırdı).