Kıdemli Sağlık Firması Devletlere İhlal Uzlaşmasını Ödüyor

   Ocak 3, 2023  Posted in Bankinfosecurity


Sağlık , HIPAA/HITECH , Sektöre Özel

Avalon Health Care, Utah ve Oregon’a 200.000 Dolar Ödüyor, Güvenlik Geliştirmeleri Taahhüdünde Bulunuyor

Marianne Kolbasuk McGee (SağlıkBilgisi) •
3 Ocak 2023

Kıdemli Sağlık Firması Devletlere İhlal Uzlaşmasını Ödüyor

Bir veri ihlalini yetkililere bildirmeyi geciktiren bir hemşirelik ve destekli yaşam bakımı firması, iki eyalet başsavcısına 200.000 $ para cezası ödedi ve bir güvenlik olayı müdahale planı uygulama sözü verdi.

Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Avalon Health Care Management ile Utah ve Oregon eyaletleri arasındaki bir anlaşma, şirketin suçunu kabul etmesini gerektirmez.
Temmuz 2019’da Salt Lake City merkezli firmanın bir çalışanı, 14.500 kişiyi etkileyen bir ihlale yol açan bir kimlik avı e-postası açtı. İhlal, isimleri, adresleri, resmi kimlik numaralarını ve tıbbi tedavi bilgilerini içeriyordu.
Başsavcı 27 Aralık’ta yaptığı açıklamada, Avalon’un ihlalden yaklaşık 10 ay sonrasına kadar etkilenen kişilere bildirimde bulunmadığını veya olayı eyalet ve federal düzenleyicilere bildirmediğini söyledi.
Oregon Başsavcısı Ellen Rosenblum, “2.000’e yakın Oregonlu – yanlış bir şekilde – bilgilerinin Avalon’da güvende olduğunu varsaydı,” dedi.
Oregon veri ihlali yasası, şirketlerin bir ihlali keşfettikten sonra en geç 45 gün içinde bildirimde bulunmasını gerektirir. Bir Utah yasası, şirketleri “makul olmayan gecikme olmaksızın” bildirimleri göndermeye yönlendirir. Federal yasa, 500 veya daha fazla kişiyi etkileyen, güvence altına alınmamış, korunan sağlık bilgilerinin ihlalinin bildirilmesi için 60 günlük bir süre öngörüyor. Eyalet avukatları, eyalet sakinleri adına HIPAA ihlalleri için dava açabilir.
HHS OCR HIPAA İhlal Raporlama Aracı web sitesine göre, Avalon’un HHS Sivil Haklar Ofisine yaptığı ihlal raporu, Şubat 2020’de yalnızca 2.717 kişiyi etkileyen bir e-posta korsanlığı olayı olarak sunuldu.
Düzenleyici avukat Rachel Rose, Utah ve Oregon’daki eyalet düzenleyicilerinin icra eylemleri için Avalon ihlalini neden takip ettikleri hakkında, “Bu ihlalle ilgili benim için öne çıkan şey, hasta popülasyonu, daha yaşlı ve muhtemelen Medicare ve/veya Medicaid yararlanıcılarıydı” diyor.
Avalon olayına katkıda bulunan diğer sorunların, çalışan eğitimi eksikliği ve çok faktörlü kimlik doğrulamanın uygulanmaması gibi “düşük asılı meyveler” olduğunu söylüyor.
Avalon olayı gibi belirli sağlık verisi ihlallerinde yaptırım önlemleri almak için “Medicaid sahtekarlığı potansiyeli ile federal hükümet gibi eyaletlerin kazanılmış bir menfaati var” diyor.
Avalon, Information Security Media Group’un yorum talebine hemen yanıt vermedi.

Artırılmış Güvenlik

200.000 $ para cezası ödemenin yanı sıra Avalon, aşağıdaki veri güvenliği iyileştirmelerini uygulamayı kabul etti:

  • Ayrıntılı bir veri güvenliği olay müdahale planı geliştirin ve uygulayın.
  • Kapsamlı bir bilgi güvenliği programı geliştirin, uygulayın ve sürdürün.
  • Uzak ağ erişimi için çok faktörlü kimlik doğrulaması uygulayın.
  • E-posta koruması ve filtreleme çözümlerini sürdürün;
  • Sosyal mühendislik şemaları gibi konular da dahil olmak üzere çalışan eğitimi sağlayın ve sahte kimlik avı alıştırmaları uygulayın.





Source link