美国卫生与公共服务部(HHS)公民权利办公室(OCR)在其2013年的第三项决议协议中 最近宣布 170万美元 解决协议 与健康保险公司和管理式护理公司WellPoint,Inc.合作。解决协议源自WellPoint’2010年6月18日,向OCR报告了在线应用程序数据库中的安全漏洞,该漏洞使2009年至2010年之间,未经授权的个人可以通过互联网访问612,402个人的受保护健康电子信息(ePHI),将近五个月。 ,出生日期,社会安全号码,电话号码和健康信息。

回应WellPoint’的报告,OCR开始对WellPoint进行调查’于2010年9月9日遵守《隐私权,安全性和违约通知规则》。OCR’的调查表明:

  • 与《安全规则》所规定的义务相反,WellPoint无法充分实施授权访问其基于Web的应用程序数据库中维护的ePHI的策略和程序;
  • WellPoint未能进行充分的技术评估,无法确保保障措施已到位,以满足安全规则对操作变更的要求— a software upgrade —这将影响在其基于Web的应用程序数据库中维护的ePHI的安全性;
  • 从2009年10月23日至2010年3月7日,WellPoint未能充分实施技术来验证寻求访问其基于Web的应用程序数据库中维护的ePHI的个人或实体。和
  • 在同一时期,WellPoint不允许披露其基于Web的应用程序数据库中维护的大约612,000个人的ePHI。

在HHS中直接解决’在关于WellPoint和解协议的新闻稿中,HHS指示相关实体及其业务伙伴采取合理,适当的技术,行政和物理保护措施,以保护ePHI的机密性,完整性和可用性。如前所述 数据隐私监控器自2013年9月23日起,违反HIPAA的责任将直接扩展至接收或存储PHI的业务伙伴。