Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
Denetimler, fidye yazılımı ile ilgili HIPAA güvenlik kuralı hükümlerine odaklanıyor
Marianne Kolbasuk McGee (Healthinfosec) •
25 Mart 2025
ABD Sağlık ve İnsan Hizmetleri Bakanlığı, yaklaşık on yıl içinde ilk kez kapsanan kuruluşların ve iş ortaklarının HIPAA uyum denetimlerine sessizce devam etti.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Fidye yazılımı ve diğer hack olaylarındaki artış, son yıllarda federal düzenleyicilere bildirildiğinde, denetimlerin odak noktası, HIPAA’nın bu saldırılarla en alakalı hükümleri üzerinde olduğunu söyledi, HHS Sağlık Bilgi Gizlilik Müdürü Tim Noonan.
Yetkili, Aralık ayı sonlarında başlayan 2024-2025 denetimlerinin 50 kapalı sağlık kuruluşu ve iş ortakları içereceğini söyledi.
Denetçiler, HIPAA güvenlik kuralının fidye yazılımı ve büyük sağlık verilerinin ihlali eğilimlerini takip eden diğer hack olaylarını önleme ile ilişkili bazı hükümlere uymaya odaklandığını söyledi. Noonan, 2020’den 2024’e kadar, hack olayları% 30 arttı ve fidye yazılımı saldırıları ajansa bildirilen büyük sağlık verileri ihlallerinde% 45 arttı.
2024’te, HHS OCR’ye bildirilen 500 veya daha fazla kişiyi etkileyen büyük ihlallerin% 81’inin hacklemeyi içerdiğini söyledi.
Noonan, hangi HIPAA güvenlik kuralının hükümlerinin incelendiğini veya kuruluşların denetim için nasıl seçildiğini açıklamamıştı.
HHS OCR, Information Güvenlik Medya Grubu’nun zaman çizelgesi ve incelenen belirli HIPAA güvenlik kuralı hükümleri de dahil olmak üzere uyum denetimleri hakkında ek ayrıntılar talebine hemen yanıt vermedi.
HHS OCR, geçen yıl 2009 tarihli Hitech Yasası uyarınca zorunlu bulunan ancak en son 2016-2017’de yürütülen denetimleri diriltmeyi planladığını söyledi (bkz: bkz: HHS OCR HIPAA KURULUMU NASIL KURTARILIYOR: İşte Denetimler Gelin).
HHS Şubat 2024’te Federal Kayıt’ta yayınlandı Bir bildirim OCR, programın etkinliğini daha iyi değerlendirmek için 2016-2017 uyum denetimlerinin konusu olan HIPAA tarafından düzenlenen kuruluşlar hakkında bir anket gerçekleştireceğini ve iyileştirmelerin yapılması gerektiğinde (bkz: bkz: bkz: bkz: Geri döndüler: HHS OCR rastgele HIPAA denetimlerini diriltmeyi planlıyor).
Kasım ayında, HHS Genel Müfettişlik Ofisi, HHS OCR’nin hareketsiz HIPAA denetim programına devam etmesini öneren bir rapor yayınladı ve ayrıca HIPAA denetimleri sırasında tanımlanan eksikliklerin zamanında düzeltilmesini sağlamak için standartları ve rehberlikleri belgeliyor ve uyguladı (bakınız: bkz: WatchDog Raporu: HHS OCR, HIPAA Denetim Programını Sığır Etmelidir).
O zaman, HHS OCR, HHS OIG raporuna ajansdaki gerilen kaynakların denetim programını daha erken yeniden başlatmamada bir faktör olduğunu belirten bir yanıt yayınladı. Ajans, “HHS OCR’nin, OCR’nin sürdürülemez iş yükleriyle sonuçlanan ek ödenek ve kaynak talepleri ile bile, 20 yıldır neredeyse düz ödenekleri vardı.”
2024-2025 denetimleri hakkında bir web sayfasındaki HHS OCR, yeni denetim grubunun ajansa “uygunluk mekanizmalarını inceleme, sağlık bilgilerinin gizliliğini ve güvenliğini korumak için umut verici uygulamaları belirleme ve OCR’nin uygulama faaliyetleri tarafından açıklanamayan risk ve güvenlik açıklarını keşfetme fırsatı vereceğini” söyledi.
HHS OCR, 2024-2025 HIPAA denetimleri tamamlandıktan sonra bulgularını özetleyen bir endüstri raporu yayınlayacak.
HHS OCR, 166 kapalı firmanın ve 41 iş ortağının uyumunu gözden geçiren 2016-2017 denetimlerini tamamladıktan sonra, Ajansın Aralık 2020’ye kadar bulguları hakkında bir rapor yayınlaması aldı (bkz: bkz: Sonunda, HIPAA Uyum Denetim Programı sonuçları ortaya çıktı).
Bu denetimlerden elde edilen bulgular – birçok kuruluşun güvenlik riski analizi yapamaması ve hastaların kayıtlarına erişememesini içeren – HIPAA ihlali ve şikayet araştırmalarında HHS OCR tarafından dikkat çeken zayıflıklar hala ilgili zayıflıklardır.
HIPAA Güvenlik Kuralı Güncellemesi
HHS OCR’de devam eden diğer düzenleyici çalışmalara gelince, Noonan, ajansın Biden yönetiminin son günlerinde 6 Ocak’ta yayınlanan HIPAA güvenlik kuralına yönelik önerilen güncellemesinde aldığı 4.745 kamuoyu yorumunu okumaya başladığını söyledi (bakınız:: HHS’nin önerdiği HIPAA Güvenlik Kuralı Revizyonda Neler Var).
HHS OCR 7 Mart’a kadar kamuoyu yorumu topladı.
Bu yorumlar gözden geçirildikten sonra, “HHS içinde gelecekteki eylemler yapabileceğimiz konusunda çalışacağız.”
İlk olarak 2003 yılında sonuçlanan HIPAA Güvenlik Kuralı, 2012’de iş ortaklarını HIPAA uyumluluğundan doğrudan sorumlu kılan HITECH Yasası ile ilgili bazı değişikliklerin yanı sıra o zamandan beri büyük bir güncelleme yapmadı.