Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
Düzenleyici Görevler Arttıkça İhlaller ve Şikayetler Artmaya Devam Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
23 Şubat 2024
Büyük sağlık verileri ihlallerinin hacmi arttıkça, bu olayları araştırmakla görevli federal kurum bu hafta Kongre’ye, artan iş yüküne ayak uydurmak için gerekli fondan yoksun olduğunu söyledi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Dairesi, Perşembe günü Kongre’ye sunduğu yıllık iki raporda, ajansın 2022’de araştırması ve çözmesi için bildirilen ihlallerin ve HIPAA şikayetlerinin sayısının, ajansın ilgili düzenleyici düzenlemeleri nedeniyle yukarı doğru bir seyir izlediğini söyledi. görevleri de genişliyor.
Bir rapor HIPAA kurallarına uyumu içeren faaliyetleri ve eğilimleri ayrıntılarıyla anlatırken, diğer rapor HIPAA ihlal eğilimlerini ayrıntılarıyla anlatıyor.
OCR direktörü Melanie Fontes Rainer Perşembe günü yaptığı açıklamada, “OCR’nin Kongre’ye sunduğu raporlar, HIPAA şikayetleri ve ihlal raporlamasındaki eğilimler hakkında herkes için yararlı bilgiler sağlıyor” dedi.
“Sağlık sistemlerimiz bu eğilimleri dikkate almalı ve bir ihlal yaşanmadan veya bir OCR soruşturması bildirimi almadan önce olası HIPAA uyumluluk sorunlarını ele almalıdır” dedi. “Personelim ve ben, uyumluluğu artırmak ve güvenlik tehditlerine karşı koruma sağlamak için Kongre ve sağlık sektörüyle birlikte çalışmaya devam etmeye hazırız.”
HHS OCR, kurum tarafından alınan HIPAA şikayetlerinde 2018’den 2022’ye %17’lik bir artışın yanı sıra rapor edilen büyük ihlalleri (2018’den 2022’ye %107’lik bir artış) içeren, “aynı dönemde ödeneklerde herhangi bir artış olmaksızın” önemli artışların olduğunu vurguladı. dönem.”
2022’de OCR, HIPAA kurallarının ihlal edildiği iddiasıyla 30.435 yeni şikayet aldı. Aynı dönemde OCR, 500 veya daha fazla kişiyi etkileyen 626 ihlal bildirimi aldı; bu, 2021 takvim yılında alınan raporların sayısında %3’lük bir artışı temsil ediyor. Bildirilen bu ihlaller toplamda yaklaşık 41,7 milyon kişiyi etkiledi ve bilgisayar korsanlığı olayları, en sık bildirilen ihlal türüdür.
OCR ayrıca 500’den az kişiyi etkileyen 63.966 ihlal raporu aldı ve yetkisiz erişim veya ifşa, en sık bildirilen ihlal türü oldu. Bu daha küçük ihlaller 257.105 kişiyi etkiledi.
Gelecek yıl Kongre’ye bildirilecek olan 2023’e ait ihlal rakamları, daha da kasvetli bir tablo çiziyor.
Cuma sabahı itibarıyla, HHS OCR HIPAA İhlali Raporlama Aracı web sitesi, 2023’te bildirilen ve 136 milyondan fazla kişiyi etkileyen 739 büyük ihlali gösterdi. Bu, rapor edilen ihlallerin sayısı ve aynı zamanda bir yıl içinde etkilenen toplam insan sayısı açısından tüm zamanların rekorudur (bkz.: 2023, Sağlık Verileri İhlallerinde Uzun Süreli Rekorları Nasıl Kırdı?).
Daha Fazla Kaynak Gerekiyor
HHS OCR’nin neredeyse her yıl Kongre’den ek ihtiyari finansman talep etmesine rağmen, ajansın yıllık yetkili bütçesi son birkaç yılda sabit kaldı ve yaklaşık 39 milyon dolar oldu (bkz.: Biden’ın Önerilen 2022 Mali Yılı HHS Bütçesinde Neler Var?).
HHS OCR, HITECH Yasası uyarınca HIPAA anlaşmaları ve hukuki para cezaları yoluyla topladığı parayı uygulama programlarına yeniden yatırma yetkisine sahip olsa da, bu tahsilatlar HHS tarafından 2019’da Trump yönetimi sırasında alınan bir eylemle “önemli ölçüde” düşürüldü. HHS OCR, Kongre’ye, dört ceza kademesinden üçü için maksimum parasal ceza sınırlarının belirlendiğini söyledi.
OCR, 2021 yılında Kongre’ye sunulan 2023 mali yılı için ihtiyari ek bütçe talebinde HITECH sivil para cezası tavanlarının artırılmasını da istediğini bildirdi.
HHS OCR, 2022 yılında OCR’nin çözüm anlaşmaları ve düzeltici eylem planları ile yalnızca üç ihlal soruşturmasını çözdüğünü ve toplamda yaklaşık 2,4 milyon dolarlık uzlaşma topladığını söyledi.
Bu hafta HHS OCR, beş yıllık bir davada en son HIPAA uygulama eylemini duyurdu. Bu, ajansın fidye yazılımı saldırısı içeren bir ihlalde yaptığı ikinci anlaşmaydı. Green Ridge Behavioral Health, mali anlaşmada yalnızca 40.000 dolar ödedi ve düzeltici eylem planını kabul etti. Anlaşma, HHS OCR’nin Gaithersburg, Maryland merkezli akıl sağlığı sağlayıcısına 2019 yılında yapılan fidye yazılımı ve veri hırsızlığı saldırısına yönelik soruşturması sırasında tespit ettiği potansiyel HIPAA ihlallerini çözdü. Olay, yaklaşık 14.000 kişinin korunan sağlık bilgilerini tehlikeye attı.
HHS’ye göre vakaları zamanında çözmenin en büyük zorluklarından biri, HIPAA ihlallerini araştırma ve uzlaşma müzakereleri sürecinin çok daha zaman alıcı hale gelmesi.
Bunun nedeni, 2021’de HITECH Yasası’nda yapılan bir değişiklik uyarınca, OCR’nin ihlal araştırmalarında ve uyumluluk incelemelerinde, HIPAA tarafından düzenlenen bir kuruluşun en azından önceki 12 ay boyunca “tanınmış olduğunu” yeterince kanıtlayıp kanıtlamadığını dikkate alması gerekmesidir. HIPAA Güvenlik Kuralının olası ihlallerini çözmek için mali cezayı veya uzlaşmayı azaltabilecek güvenlik uygulamaları” (bkz.: ‘Tanınan Güvenlik Uygulamaları’ HIPAA Eylemleriyle Nasıl Uyum Sağlar?).
HHS OCR Kongre’ye verdiği demeçte, “Bu çabalar, OCR’nin iş yükünü ve HIPAA Güvenlik Kuralı soruşturmalarını tamamlama süresini önemli ölçüde artırdı.” dedi. “Bu faktörler bir araya gelerek OCR’nin sınırlı personeli ve kaynakları üzerinde ciddi bir baskıya neden oldu. Gerekli fon eksikliği, sağlık sektörüne yönelik siber güvenlik saldırılarının önemli ölçüde arttığı bir dönemde OCR’nin HIPAA uygulama faaliyetlerini sınırlıyor.”
HHS OCR, Kongre’ye, yeterli fon eksikliğinin aynı zamanda kurumun HITECH Yasası’nın başka bir görevini yerine getirme – HIPAA kurallarına uygunluğu değerlendirmek için kapsam dahilindeki kuruluşlar ve iş ortakları üzerinde periyodik denetimler yapma – yeteneğini de engellediğini söyledi.
Ajans, Kongre’ye “OCR, mali kaynak eksikliği nedeniyle 2022’de herhangi bir denetim gerçekleştirmedi” dedi. HHS OCR, OCR’nin 2022’de herhangi bir denetim başlatmadığını ancak şu anda “mali kaynakların mevcut olması durumunda” gelecekteki denetimlerin uygulanmasına yönelik kriterleri geliştirdiğini söyledi.
Bu ayın başlarında HHS OCR, Federal Kayıt’ta denetimlere devam etme planlarını detaylandıran bir bildirim yayınladı (bkz.: Geri Döndüler: HHS OCR Rastgele HIPAA Denetimlerini Yeniden Diriltmeyi Planlıyor).
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Ajansın hayal kırıklığını hissetmeden OCR’nin Kongre’ye sunduğu 2022 raporlarını okumak zor” dedi. “HIPAA uyumluluğuyla önlenebilecek ihlaller büyümeye devam ediyor ve her yıl on milyonlarca insanı etkiliyor.”
Hales, yetersiz kaynakların OCR’nin HIPAA’yı etkili bir şekilde uygulamasını engellediğini, buna kanunların gerektirdiği denetimlerin yapılmaması da dahil, dedi. “Kongrenin OCR’nin yaşadığı hayal kırıklığını ödeneklerle çözeceğini düşünmüyorum. Ancak Kongre, HIPAA’nın sivil para cezalarını gözden geçirerek OCR’nin yaptırım faaliyetlerinin kuruma yeterli kaynak sağlamasını sağlayabilir.”
HHS OCR, devam eden HIPAA uygulama ve uyumluluk görevlerine ek olarak, bu baharda HIPAA Güvenlik Kuralı için önerilen bir güncelleme yayınlama planları da dahil olmak üzere diğer düzenleyici çabalarla da ilgileniyor.
HHS OCR ayrıca Biden yönetiminin Aralık ayında açıklanan sağlık sektörü siber güvenlik stratejisini desteklemek için diğer HHS kurumlarıyla da işbirliği yapıyor (bkz: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Geçtiğimiz ay HHS, sağlık sektörü kuruluşları için gönüllü siber güvenlik performans hedeflerini detaylandıran yeni bir kılavuz yayınladı (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).